HONEYPOT Seguridad en Redes
Concepto Un honeypot es un recurso del sistema de información cuyo valor reside en el uso no autorizado o ilícito de ese recurso. Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques.
Concepto Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. El término honeypot significa, literalmente, “tarro de miel”.
Historia 1990-1991: Primera obra publica que documenta los conceptos de Honeypot. 1997: La versión 0.1 del Kit de herramientas honeypot Fred Cohen fue es liberada. 1998: El desarrollo comenzó en CyberCop Sting, uno de los honeypots comerciales de venta al público. 1998: Marty Roesch y GTE Internetworking comenzar el desarrollo de una solución honeypot que finalmente se convierte NetFacade. En este trabajo se introduce el concepto de Snort.
Historia 1998: BackOfficer Friendly es liberado. Un honeypot fácil de usar y basado en Windows. 2000-2001: Uso de honeypots para capturar y estudiar actividades de virus. Cada vez más organizaciones adoptan honeypots para detectar ataques y para la investigación de nuevas amenazas. 2002: Un honeypot es utilizado para detectar y capturar en la naturaleza un ataque nuevo y desconocido.
Objetivo de un Honeypot Los principales objetivos son el distraer a los atacantes y obtener información sobre el ataque y el atacante. [R. Baumann, C. Plattner]
Tipos de Honeypot Según su uso están clasificados en: Honeypots de Investigación. Detectar nuevos tipos de ataques y herramientas de hacking. Obtener mayor conocimiento de los atacantes (objetivos, actividades, etc.) y tendencias. Detectar nuevas formas de comunicaciones encubiertas. Detectar y analizar nuevas herramientas de DDoS. Honeypots de Producción: Distraer al atacante del objetivo real (ganar tiempo para proteger el ambiente de producción). Recolectar suficiente evidencia contra un atacante.
Tipos de Honeypot Según su nivel de interacción están clasificados en: Honeypots de BAJO nivel de interacción: Regularmente sólo proveen servicios falsos o emulados. No hay un sistema operativo sobre el cual el atacante pueda interactuar. Son fáciles de instalar y de proveer mantenimiento. La desventaja es que la información obtenida es muy limitada. Honeypots de nivel MEDIO de interacción: Brinda mayor interacción pero sin llegar a proveer un sistema operativo sobre el cual interactuar.
Tipos de Honeypot Honeypots de nivel ALTO de interacción: El atacante obtiene una mejor ilusión de un sistema operativo real y mayores posibilidades de interactuar y escanear el sistema. El desarrollo/implementación es mas complejo y consume mas tiempo. Los emulaciones de los servicios son mas sofisticadas y brindan mayores posibilidades de interacción. Honeypots de nivel ALTO de interacción: Cuentan con un sistema operativo real. Presentan un mayor nivel de riesgo y complejidad. Son objetivos mas “atractivos” para ser atacados. Se puede obtener mayor y mejor información de los atacantes. Requiere de mucho tiempo para su instalación y mantenimiento.
Tabla comparativa Baumann – Plattner [Baum02]
Usos Comunes Detección, prevención y obtención de información de atacantes. Detectar escaneos y ataques en forma temprana. Capturar nuevas herramientas de hacking, gusanos, malware en general, etc. Mejorar el conocimiento y tendencias de los ataques/atacantes informáticos (hackers).
Herramienta de Honeypot Honeyd Esta herramienta no solo puede emular los servicios, sino emular a los sistemas actuales de operación. Honeyd puede parecer que el atacante sea un router cisco, webserver winxp o un servidor de DNS linux.
Ventajas para emular diferentes S.O Mejor se pueden mezclar con las redes existentes, si el honeypot tiene la misma apariencia y el comportamiento de los sistemas de producción. Puede dirigirse a los atacante específicos, previendo que los sistemas y servicios que a menudo se dirigen, o de los sistemas y servicios que desean aprender.
Fuentes de Información Spitzner, Lanzer; Honeypots: tracking hacckers: http://books.google.com.mx/books?id=xBE73h-zdi4C&printsec=frontcover&dq=honeypot&hl=es&ei=NUOKTp3vNsStsAKm_eGxDw&sa=X&oi=book_result&ct=result&resnum=1&ved=0CC0Q6AEwAA#v=onepage&q=honeypot&f=false http://www.tracking-hackers.com/papers/honeypots.html http://www.alegsa.com.ar/Dic/honeypot.php http://www.noticiasdot.com/publicaciones/2003/0503/0805/noticias080503/noticias080503-26.htm
HONEYPOT Integrantes del equipo: Rafael Esteban Castañeda Gómez. Elizabeth Fernández Suárez. Braulio Fregoso González. Jaime Daniel García Cortés.