Honeypot
Páginas: 28 (6828 palabras)
Publicado: 30 de julio de 2013
Honeypot
Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas.
Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y seles conoce como honeypots de baja interacción Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.
Un tipo especial de honeypot de baja interacción son los sticky honeypots (honeypots pegajosos) cuya misión fundamental es la de reducir la velocidad delos ataques automatizados y los rastreos.
En el grupo de los honeypot de alta interacción nos encontramos también con los honeynet.
]
Honeypots de seguridad
Programas como Deception Toolkit de Fred Cohen se disfrazan de servicios de red vulnerables. Cuando un atacante se conecta al servicio y trata de penetrar en él, el programa simula el agujero de seguridad pero realmente no permite ganar elcontrol del sistema. Registrando la actividad del atacante, este sistema recoge información sobre el tipo de ataque utilizado, así como la dirección IP del atacante, entre otras cosas.
Honeynet Project es un proyecto de investigación que despliega redes de sistemas honeypot (HoneyNets) para recoger información sobre las herramientas, tácticas y motivos de los criminalesinformáticos.[cita requerida]
Security Suite es un proyecto que desarrolla una Suite de Seguridad Informática. Dentro de los programas que la engloban esta disponible un Honeypot configurable de baja interacción. El proyecto es multiplataforma, programado en Ruby y esta licenciado bajo GNU/GPL.[
Sistema de detección de intrusos(IDS)
Un sistema de detección de intrusos (o IDS de sus siglas en inglés IntrusionDetection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos crackers, o de Script Kiddies que usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta,gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
Funcionamiento
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc..Tipos de IDS
Existen dos tipos de sistemas de detección de intrusos:
1. HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, yhacer un reporte de sus conclusiones.
2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
Un IDS usa alguna de las dos siguientes técnicas para determinar que un ataque se encuentra en curso:
Heurística
Un IDS basado en heurística, determina actividad normal de red, comoel orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este varía de aquel considerado como normal, clasificándolo como anómalo.
Patrón
Un IDS basado en patrones, analiza paquetes en la red, y los compara con patrones de ataques conocidos, y preconfigurados. Estos patrones se denominan firmas....
Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas.
Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y seles conoce como honeypots de baja interacción Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.
Un tipo especial de honeypot de baja interacción son los sticky honeypots (honeypots pegajosos) cuya misión fundamental es la de reducir la velocidad delos ataques automatizados y los rastreos.
En el grupo de los honeypot de alta interacción nos encontramos también con los honeynet.
]
Honeypots de seguridad
Programas como Deception Toolkit de Fred Cohen se disfrazan de servicios de red vulnerables. Cuando un atacante se conecta al servicio y trata de penetrar en él, el programa simula el agujero de seguridad pero realmente no permite ganar elcontrol del sistema. Registrando la actividad del atacante, este sistema recoge información sobre el tipo de ataque utilizado, así como la dirección IP del atacante, entre otras cosas.
Honeynet Project es un proyecto de investigación que despliega redes de sistemas honeypot (HoneyNets) para recoger información sobre las herramientas, tácticas y motivos de los criminalesinformáticos.[cita requerida]
Security Suite es un proyecto que desarrolla una Suite de Seguridad Informática. Dentro de los programas que la engloban esta disponible un Honeypot configurable de baja interacción. El proyecto es multiplataforma, programado en Ruby y esta licenciado bajo GNU/GPL.[
Sistema de detección de intrusos(IDS)
Un sistema de detección de intrusos (o IDS de sus siglas en inglés IntrusionDetection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos crackers, o de Script Kiddies que usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta,gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
Funcionamiento
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc..Tipos de IDS
Existen dos tipos de sistemas de detección de intrusos:
1. HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, yhacer un reporte de sus conclusiones.
2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
Un IDS usa alguna de las dos siguientes técnicas para determinar que un ataque se encuentra en curso:
Heurística
Un IDS basado en heurística, determina actividad normal de red, comoel orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este varía de aquel considerado como normal, clasificándolo como anómalo.
Patrón
Un IDS basado en patrones, analiza paquetes en la red, y los compara con patrones de ataques conocidos, y preconfigurados. Estos patrones se denominan firmas....
Leer documento completo
Regístrate para leer el documento completo.