Honeypot
Páginas: 5 (1229 palabras)
Publicado: 29 de noviembre de 2010
Honeyd es un honeypot. Un honeypot simula redes con hosts activos con puertos y servicios abiertos, entonces se tienen redes simuladas levantadas para atraer atacantes a dichas redes. Ustedes se preguntaran: ¿Para qué nos sirve un honeypot a un tester?. A mi en particular me fue muy útil para tener una red estática y probar la parte del descubrimiento de redes de un software de penetrationtesting. Además se pueden diseñar diferentes tipos de redes con la cantidad de hosts que queramos, los os que queramos y los puertos TCP y UDP abiertos que queramos. En esta primer parte les voy a enseñar como configurar el honeyd.
Sé que existe una versión de honeyd para windows pero siempre usé para linux. La primera vez que comencé con esto lo instalé en un slackware pero en ubuntu es realmentesimple.
Para instalar el honeyd en ubuntu basta sólo con correr el siguiente comando:
sudo apt-get install honeyd
Tarros de miel
La idea atrás de los honeypots es simple: mostrar a los ata-cantes un sistema virtual que parezca el sistema real, de esa manera los ataques se efectuarán sobre ese sistema sin causar ningún daño al sistema real. Es el software o hardware (computadoras) cuya intenciónes atraer (como la miel) a los atacantes simulando ser sistemas débiles o con fallas de seguridad no del todo evidentes, pero si lo suficiente para atraerlos y ser un reto para sus habilidades de intrusión.
Tipos de honeypots
Podemos dividir los honeypots en dos tipos:
* Para investigación: se usan para recolectar información sobre los movimientos de los intrusos, o sea se registra cadamovimiento del atacante para usar esta información y crear perfiles de los mismos.
* Para producción: se usan para proteger a los verdaderos servidores y desviar la atención de los atacantes. De esta manera se disminuye la superficie de ataque de los intrusos.
Otra división que suelen tener los honeypots es en base al grado de interacción con el usuario, aquí nuevamente tenemos dos tipos:
*Alta interacción: se usan sistemas complejos que recrean un sistema completo con sistema operativo y aplicaciones reales, en este caso no hay emulación, quien entre encontrará un gran sistema para interactuar, de esta manera se pueden estudiar mejor las actividades de quienes ingresan al mismo. Estos sistemas requieren más trabajo de implementación y solamente son usados por grandes organizacionesque disponen de los recursos necesarios para hacerlo.
* Baja interacción: en este tipo la interacción con el usuario es mucho menor y se limita por lo general a emular servicios. Son rápidos y fáciles de implementar por lo que, en general, son los más utilizados.
Ventajas
* Los honeypots no requieren gran hardware, ya que solamente registran datos cuando son accedidos y se puedencon-figurar para sólo registrar ciertos tipos de eventos, de esta manera los responsables de la seguridad no se ven sobrepasados con registros de miles de líneas que muchas veces son difíciles de analizar.
* Se pueden reducir las falsas alertas, es decir, muchas veces ciertos eventos que suceden a menudo suelen ignorarse de la misma manera que cuando suenan las alarmas de los autos en unestacionamien-to, la mayoría de la gente cansada de las alarmas empieza a ignorarlas creando una falsa alarma o falso positivo. Todo acceso a un honeypot por definición es no autorizado, por lo tanto no hay que obviarlo.
* Detección de falsos negativos, es decir, se pueden detectar nuevos y desconocidos ataques, ya que todo acceso, como dijimosantes, es una anomalía y debe ser analizada.
* Trabajan connuevas tecnologías como SSH, IPSec, SSL e Ipv6.
* Nivel de flexibilidad, se pueden adaptar casi a cualquier situación y recrear cualquier
ambiente y de esta manera ofrecer base de datos o situaciones para atraer atacantes.
Desventajas
* Solamente podemos ver lo que pasa con los honeypots, ya que las actividades a las que estamos registrando son sobre este sistema y nada podemos hacer...
Sé que existe una versión de honeyd para windows pero siempre usé para linux. La primera vez que comencé con esto lo instalé en un slackware pero en ubuntu es realmentesimple.
Para instalar el honeyd en ubuntu basta sólo con correr el siguiente comando:
sudo apt-get install honeyd
Tarros de miel
La idea atrás de los honeypots es simple: mostrar a los ata-cantes un sistema virtual que parezca el sistema real, de esa manera los ataques se efectuarán sobre ese sistema sin causar ningún daño al sistema real. Es el software o hardware (computadoras) cuya intenciónes atraer (como la miel) a los atacantes simulando ser sistemas débiles o con fallas de seguridad no del todo evidentes, pero si lo suficiente para atraerlos y ser un reto para sus habilidades de intrusión.
Tipos de honeypots
Podemos dividir los honeypots en dos tipos:
* Para investigación: se usan para recolectar información sobre los movimientos de los intrusos, o sea se registra cadamovimiento del atacante para usar esta información y crear perfiles de los mismos.
* Para producción: se usan para proteger a los verdaderos servidores y desviar la atención de los atacantes. De esta manera se disminuye la superficie de ataque de los intrusos.
Otra división que suelen tener los honeypots es en base al grado de interacción con el usuario, aquí nuevamente tenemos dos tipos:
*Alta interacción: se usan sistemas complejos que recrean un sistema completo con sistema operativo y aplicaciones reales, en este caso no hay emulación, quien entre encontrará un gran sistema para interactuar, de esta manera se pueden estudiar mejor las actividades de quienes ingresan al mismo. Estos sistemas requieren más trabajo de implementación y solamente son usados por grandes organizacionesque disponen de los recursos necesarios para hacerlo.
* Baja interacción: en este tipo la interacción con el usuario es mucho menor y se limita por lo general a emular servicios. Son rápidos y fáciles de implementar por lo que, en general, son los más utilizados.
Ventajas
* Los honeypots no requieren gran hardware, ya que solamente registran datos cuando son accedidos y se puedencon-figurar para sólo registrar ciertos tipos de eventos, de esta manera los responsables de la seguridad no se ven sobrepasados con registros de miles de líneas que muchas veces son difíciles de analizar.
* Se pueden reducir las falsas alertas, es decir, muchas veces ciertos eventos que suceden a menudo suelen ignorarse de la misma manera que cuando suenan las alarmas de los autos en unestacionamien-to, la mayoría de la gente cansada de las alarmas empieza a ignorarlas creando una falsa alarma o falso positivo. Todo acceso a un honeypot por definición es no autorizado, por lo tanto no hay que obviarlo.
* Detección de falsos negativos, es decir, se pueden detectar nuevos y desconocidos ataques, ya que todo acceso, como dijimosantes, es una anomalía y debe ser analizada.
* Trabajan connuevas tecnologías como SSH, IPSec, SSL e Ipv6.
* Nivel de flexibilidad, se pueden adaptar casi a cualquier situación y recrear cualquier
ambiente y de esta manera ofrecer base de datos o situaciones para atraer atacantes.
Desventajas
* Solamente podemos ver lo que pasa con los honeypots, ya que las actividades a las que estamos registrando son sobre este sistema y nada podemos hacer...
Leer documento completo
Regístrate para leer el documento completo.