Honeynet
SISTEMAS HONEYNET
Rafael San Miguel Carrasco Soluciones Seguras
FIST Conference Febrero 2004 @
1. Definición de honeynet 2. Software con tecnología honeyn 3. Ejemplo: honeyd 4. Gestión de un sistema honeyne
FIST Conference Febrero 2004 @
Definición de honeynet : • honeynet = red trampa para hackers • cebo en la red • distinguir tráfico legítimo detráfico malintencionado • sustituye o complementa a sistemas HIDS y sondas
FIST Conference Febrero 2004 @
Definición de honeynet :
“Cualquier tráfico dirigido a una máquina de la red que NO está en producción (honeynet) proviene de un atacante”
SMTP
WEB
HONEYNE T
FIST Conference Febrero 2004 @
Clases de sistemas honeynet : • honeynet para investigación • honeynet vulnerablecomo IDS • honeynet protegida como IDS
FIST Conference Febrero 2004 @
honeynet para investigación:
• conocer la metodología de los hackers • máxima protección de la honeynet • importancia de los mecanismos de logging
FIST Conference Febrero 2004 @
honeynet vulnerable como IDS:
• vulnerabilidad real y fácilmente detectable • protección del entorno de la honeynet (firewall conreglas para tráfico out) • mecanismos de logging vulnerables
FIST Conference Febrero 2004 @
honeynet protegida como IDS:
• simulación de una vulnerabilidad fácilmente detectable • el atacante descubre el engaño fácilmente • mecanismos de logging fiables
FIST Conference Febrero 2004 @
honeynet vulnerable como IDS:
• disuade a los atacantes de comprometer el resto de máquinas de la redhoneynet protegida como IDS:
• identificación de atacantes y acciones de carácter legal o administrativo
FIST Conference Febrero 2004 @
Productos con tecnología • honeynet : Mantrap Symantec • Deception Toolkit • LaBrea • Honeyd
FIST Conference Febrero 2004 @
Symantec Decoy Server • (Mantrap) : sistema operativo cages sobre host • logging a través de syslog • CGM (ContentGeneration Module) • ataques internos • interfaz gráfica atractiva
FIST Conference Febrero 2004 @
Deception Toolkit : • simulación de servicios de red vulnerables • logging a través de syslog • gestión vía telnet/rsh • detección trivial
FIST Conference Febrero 2004 @
LaBrea : • defensa basada en ataque DoS • ralentiza la expansión de worms • idea tomada del exploit naphta • sólo “engaña” arobots de red
FIST Conference Febrero 2004 @
Honeyd : • emulación de: • servicios de red • topologías de red • SSOO a nivel de stack TCP/IP
FIST Conference Febrero 2004 @
SSOO emulados : • Linux • Windows (95/98/NT/2000/Me/XP) • Cisco IOS • Mac OS • Sega Dreamcast
FIST Conference Febrero 2004 @
Honeyd : • IP takeover • ratio de pérdida, latencia de comunicación • interfaz basadaen línea de comandos y ficheros de configuración
FIST Conference Febrero 2004 @
Honeyd : segmento de red destino
HONEYNE T
FIST Conference Febrero 2004 @
Honeyd : máquinas virtuales sistema Linux
• FTP, SMTP, POP3
sistema Windows
• IIS
router Cisco
• telnet
FIST Conference Febrero 2004 @
Honeyd : direcciones IP LIBRES En nuestro ejemplo: 192.168.0.60 –192.168.0.62
FIST Conference Febrero 2004 @
Arpd : captura de tráfico dirigido
a las virtuales máquinas
HONEYNE T
PETICIÓN 192.168.0.60 ARP
RESPUESTA ARP
FIST Conference Febrero 2004 @
Arpd : sintáxis
./arpd –i eth0 192.168.0.60192.168.0.62
FIST Conference Febrero 2004 @
honeyd.conf : máquina Linux
create linux set linux personality "Linux 2.0.32-34" set linux default tcpaction reset set linux default udp action reset add linux tcp port 110 "sh scripts/pop3.sh $ipsrc $ipdst $dport" add linux tcp port 25 "sh scripts/smtp.sh $ipsrc $ipdst $dport" add linux tcp port 21 "sh scripts/ftp.sh $ipsrc $ipdst $dport" set linux uptime 3284460 bind 80.58.63.61 linux
FIST Conference Febrero 2004 @
honeyd.conf : máquina
create windows set windows personality "Windows NT 4.0...
Regístrate para leer el documento completo.