HONEYPOTSeguridad en Redes
Concepto• Un honeypot es un recurso del sistema de
información cuyo valor reside en el uso no autorizado o ilícito de ese recurso.
• Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques.
Concepto• Es una herramienta de seguridad informática
utilizada para recoger información sobre los atacantes y sus técnicas.
• El término honeypot significa, literalmente, “tarro de miel”.
Historia• 1990-1991: Primera obra publica que documenta los conceptos de
Honeypot.
• 1997: La versión 0.1 del Kit de herramientas honeypot Fred Cohen fue es liberada.
• 1998: El desarrollo comenzó en CyberCop Sting, uno de los honeypots comerciales de venta al público.
• 1998: Marty Roesch y GTE Internetworking comenzar el desarrollo de una solución honeypot que finalmente se convierte NetFacade. En este trabajo se introduce el concepto de Snort.
Historia• 1998: BackOfficer Friendly es liberado. Un honeypot fácil
de usar y basado en Windows.
• 2000-2001: Uso de honeypots para capturar y estudiar actividades de virus. Cada vez más organizaciones adoptan honeypots para detectar ataques y para la investigación de nuevas amenazas.
• 2002: Un honeypot es utilizado para detectar y capturar en la naturaleza un ataque nuevo y desconocido.
Objetivo de un Honeypot• Los principales objetivos son el
distraer a los atacantes y
obtener información sobre el
ataque y el atacante.
• [R. Baumann, C. Plattner]
Tipos de Honeypot• Según su uso están clasificados en:
– Honeypots de Investigación.• Detectar nuevos tipos de ataques y herramientas de
hacking.
• Obtener mayor conocimiento de los atacantes (objetivos, actividades, etc.) y tendencias.
• Detectar nuevas formas de comunicaciones encubiertas.
• Detectar y analizar nuevas herramientas de DDoS.
– Honeypots de Producción:• Distraer al atacante del objetivo real (ganar tiempo para
proteger el ambiente de producción).
• Recolectar suficiente evidencia contra un atacante.
Tipos de Honeypot• Según su nivel de interacción están
clasificados en:
– Honeypots de BAJO nivel de interacción:• Regularmente sólo proveen servicios falsos o emulados.
• No hay un sistema operativo sobre el cual el atacante pueda interactuar.
• Son fáciles de instalar y de proveer mantenimiento.
• La desventaja es que la información obtenida es muy limitada.
– Honeypots de nivel MEDIO de interacción:• Brinda mayor interacción pero sin llegar a proveer un
sistema operativo sobre el cual interactuar.
Tipos de Honeypot• El atacante obtiene una mejor ilusión de un sistema
operativo real y mayores posibilidades de interactuar y escanear el sistema.
• El desarrollo/implementación es mas complejo y consume mas tiempo.
• Los emulaciones de los servicios son mas sofisticadas y brindan mayores posibilidades de interacción.
– Honeypots de nivel ALTO de interacción:• Cuentan con un sistema operativo real.
• Presentan un mayor nivel de riesgo y complejidad.
• Son objetivos mas “atractivos” para ser atacados.
• Se puede obtener mayor y mejor información de los atacantes.
• Requiere de mucho tiempo para su instalación y mantenimiento.
Tabla comparativa• Baumann – Plattner [Baum02]
Usos Comunes• Detección, prevención y obtención de
información de atacantes.• Detectar escaneos y ataques en forma
temprana.• Capturar nuevas herramientas de hacking,
gusanos, malware en general, etc.• Mejorar el conocimiento y tendencias de los• ataques/atacantes informáticos (hackers).
Herramienta de Honeypot• Honeyd
Esta herramienta no solo puede emular los servicios, sino emular a los sistemas actuales de operación. Honeyd puede parecer que el atacante sea un router cisco, webserver winxp o un servidor de DNS linux.
Ventajas para emular diferentes S.O• Mejor se pueden mezclar con las redes existentes, si el
honeypot tiene la misma apariencia y el comportamiento de los sistemas de producción.
• Puede dirigirse a los atacante específicos, previendo que los sistemas y servicios que a menudo se dirigen, o de los sistemas y servicios que desean aprender.
Fuentes de Información
• Spitzner, Lanzer; Honeypots: tracking hacckers:
http://books.google.com.mx/books?id=xBE73h-zdi4C&printsec=frontcover&dq=honeypot&hl=es&ei=NUOKTp3vNsStsAKm_eGxDw&sa=X&oi=book_result&ct=result&resnum=1&ved=0CC0Q6AEwAA#v=onepage&q=honeypot&f=false
• http://www.tracking-hackers.com/papers/honeypots.html• http://www.alegsa.com.ar/Dic/honeypot.php• http://www.noticiasdot.com/publicaciones/2003/0503/080
5/noticias080503/noticias080503-26.htm
Integrantes del equipo:
Rafael Esteban Castañeda Gómez.
Elizabeth Fernández Suárez.
Braulio Fregoso González.
Jaime Daniel García Cortés.
HONEYPOT
Top Related