Honeypots

ndice de contenido 1.- Introduccin. Qu es un honeypot? 2 2.- Ventajas e inconvenientes de los honeypots 3 a.- Ventajas 3 b.- Desventajas. 3 3.- Rol de los honeypots en nuestro plan de seguridad. 4 a.-Prevencin 4 b.- Deteccin. 4 c.- Respuesta. 4 4.- Clasificacin de los honeypots. 5 a.- Clasificacin en funcin del nivel de interaccin. 5 b.- Clasificacin atendiendo al rol al que se destine. 5 5.- Ejemplos de honeypots. 5 a.- Comerciales: 5 b.- Sistemas libres 6 6.- Honeyd 7 7.- Honeynet. 8 a.- Mtodos, motivos y herramientas involucradas. 9 b.- Anlisis de tendencias. 9 c.- Respuesta a incidentes 9 d.- Bancos de prueba. 9 e.- Cmo funcionan las Honeynet? 9 f.- Riesgo asociado a las honeynets. 10 8.- Conclusiones. 10

1.- Introduccin. Qu es un honeypot? En realidad y pese a ser una tecnologa bastante reciente en el mundo informtico - los primeros trabajos que tratan los conceptos de los honeypots datan de 1990/1991, en concreto The Cuckoos Egg de Clifford Stollss y An Evening With Berferd de Bill Cheswicks - constituyen un recurso muy valioso para la seguridad de cualquier empresa o incluso de una pequea red personal. Los honeypots, literalmente tarros de miel, tambin conocidos como sistemas de decepcin o engao, constituyen una trampa -la otra acepcin del trmino- para posibles

atacantes. Un honeypot no es ms que un sistema cuya nica finalidad es la de ser probado, atacado o incluso comprometido. El funcionamiento de estos sistemas es bastante sencillo y consiste en poner en marcha un sistema con una serie de servicios expuestos a la red, cuya nica finalidad es la de registrar la actividad de cualquier individuo que interacte con ellos. La diferencia con respecto a un sistema real en produccin, es que la nica intencin del sistema es ser probado por un atacante, no ofrecer un servicio real. La idea subyacente, por tanto, es que nosotros ponemos a disposicin de cualquier integrante de una red, un equipo con una serie de servicios -o puertos- expuestos a ciertas vulnerabilidades que, por otra parte, no son publicados en ningn sitio. De este modo todo aqul que intente acceder a ellos, en realidad lo que estar haciendo es una bsqueda de servicios disponibles (escneado de red) , con objeto de buscar sistemas accesibles que tengan alguna vulnerabilidad conocida -o no- que pueda ser explotada de modo que el equipo quede comprometido y a disposicin del atacante. Los sistemas dedicados por tanto a honeypot no deberan recibir casi ningn trfico de entrada al sistema -no son sistemas en produccin-, con lo que el trfico de entrada podra suponer ya un ataque. Por otra parte, y por la misma razn, el trfico de salida debera ser inexistente, de hecho el trfico saliente sera un indicador de que nuestro honeypot ha sido vulnerado y comprometido por un atacante. Como veremos, un poco ms adelante, un honeypot puede, dependiendo del tipo, no slo registrar los intentos de acceso a determinados servicios (la forma ms trivial de honeypot) sino que incluso puede llegar a engaar al atacante hacindole creer que ha conseguido comprometer un sistema. En este ltimo caso, no slo registraramos el ataque efectuado, sino que seramos capaces de ver, recuperar y probar el software que el atacante emplear durante las fases de refuerzo y consolidacin y pudiendo, por tanto, descubrir y estudiar nuevas tcnicas, metodologas y aplicaciones empleadas por los atacantes. En realidad los honeypots son sistemas que nos ofrecen una ayuda de incalculable valor a la hora de detectar nuevos ataques -para los que todava no existen firmas en sistemas IDS- o incluso para alertarnos de equipos comprometidos en nuestra red. En el primer caso, si un atacante descubre una nueva vulnerabilidad podra pasar totalmente desapercibido a cualquier Sistema de Deteccin de Intrusiones que tuvisemos desplegado en la red, ya que la firma del mismo no estara todava registrada; sin embargo en el momento que intentase acceder a nuestro honeypot nos servira de advertencia ya que como hemos visto no deberan tener casi trfico entrante y el saliente es inexistente. El segundo uso est relacionado con la existencia de gusanos, auto-rooters y massrouters, en esencia es software que prueban, de manera automatizada, amplios rangos de

redes siendo capaces de explotar vulnerabilidades en los sistemas que no han sido parcheadas. Si detectamos trfico desde nuestra red a nuestro honeypot sera un indicador de que puede haber un sistema comprometido, independientemente de que la firma del ataque sea conocida o explote una vulnerabilidad todava no publicada. 2.- Ventajas e inconvenientes de los honeypots En primer lugar deberamos decir que los honeypots no son ms que otra herramienta de seguridad que podra y debera ser usada en cualquier entorno de red junto con otros como NIDS, cortafuegos,...y que como cualquier otra aplicacin tiene una serie de ventajas e inconvenientes.
a.- Ventajas

La primera ventaja que ofrecen es el valor de los datos, frente a otros sistemas como los IDS con un gran nmero de falsos positivos que tendremos que discriminar a mano, estos sistemas tienen pocos logs -son sistemas que no deberan tener ningn trfico- y por lo tanto son muy valiosos y muy fciles de analizar. En segundo lugar requieren para su despliegue muy pocos recursos y como adems capturan muy poco trfico no resultarn sobrecargados con lo que podemos emplear equipos desfasados o incluso podran emplearse en entornos virtuales. En tercer lugar son sistemas muy simples (aunque algunos como las honeynets no lo son tanto) en los que no es necesario mantener e instalar complicadas Bases de datos, firmas que actualizar... Por ltimo y muy significativo en entornos empresariales ofrecen un buen retorno de la inversin. Habitualmente las aplicaciones destinadas a la seguridad como pueda ser un buen cortafuegos es difcil de demostrar su retorno econmico ya que si todo funciona bien no ocurre nada malo en la organizacin. En su lugar con los honeypots, precisamente cuando funcionan bien, es muy sencillo demostrar que estamos expuestos constantemente a ataques y que es necesario dedicar recursos a la seguridad.
b.- Desventajas.

En primer lugar tan slo ven la actividad dirigida en su contra. Permanecen ajenos a lo que ocurre en el resto de la red, por lo que un ataque en el que no se vieran involucrados pasara totalmente desapercibido. En realidad tienen un efecto microscpico de lo que sucede en la red. En segundo lugar son sensibles a ataques fingerprinting; una mala implementacin de los mismos podra hacer que fueran detectados por un atacante como lo que realmente son. En este caso el atacante podra lanzar ataques contra el sistema simulando ser

sistemas de nuestra propia red y hacindonos creer que equipos de nuestra red han sido comprometidos. Por ltimo y como desventaja principal es el riesgo inherente a este tipo de sistemas. El riesgo se deriva de dos factores, en primer lugar lo que estamos haciendo es atraer hacia l las miradas de cualquier atacante y en segundo lugar, especialmente en los sistemas que ofrecen al atacante un alto grado de interaccin, en el caso de resultar comprometidos podran ser usados por el atacante para comprometer nuestros propios equipos en produccin o incluso sistemas ajenos accesibles mediante la red. 3.- Rol de los honeypots en nuestro plan de seguridad. Los honeypots son sistemas que ayudan a reforzar la seguridad de nuestra organizacin. Atendiendo a la clasificacin de las tareas en las que se puede categorizar cualquier proceso de seguridad propuesta por Bruce Shenier en Secrets and Lies : Prevencin ( que incluira estimacin y proteccin), Deteccin y Respuesta veremos como un honeypot puede ayudarnos, o no, en cada una de estas fases.
a.-Prevencin

En trminos de seguridad quiere decir mantener todo el trfico malicioso y a los atacantes fuera de nuestra red. Algunos mtodos de prevencin seran, por tanto, el uso de cortafuegos, claves y dispositivos de acceso, encriptacin,.... Desde este punto de vista los honeypots no parecen ofrecer mucha proteccin ya que ms bien hacen lo contrario, atraer atacantes a nuestro sistema. Algunos autores defienden el uso de honeypots cmo mtodos de disuasin o decepcin ya que a un atacante que lo detecte no le gustar dejar registros de su actividad o malgastar el tiempo con sistemas de este tipo, constituyendo un factor psicolgico que ayude a que deje nuestros sistemas intactos. Sin embargo, un buen nmero de ataques provienen de herramientas automatizadas como gusanos (worms) o mass-routers en los que no existir ese factor psicolgico ya que atacarn a cualquier sistema de modo indiscriminado. Para estos ataques, existen algunos honeypots como LaBrea Tarpit que usan tcnicas para mantener y ralentizar las conexiones con lo que son capaces de mitigar en el tiempo ecaneos y ataques aunque no los eviten completamente.
b.- Deteccin.

Es decir, detectar y alertar de cualquier atividad que no est permitida en nuestro permetro. En esta fase es dnde los honeypots nos ofrecen la mayor ayuda. Frente a los NIDS eliminan en gran medida los falsos positivos, cualquier trfico que llegue al honeypot indica un potencial ataque y el trfico saliente un compromiso.

Tambin ayudan a eliminar los falsos negativos, es decir trfico que aparentemente es normal pero que representa un ataque real y que podra no ser advertido por nuestro NIDS debido a que no tenemos la base de firmas actualizada o simplemente que por novedoso dicha firma todava no es conocida; en cualquier caso desde el momento que accede a nuestro honeypot constituira una indicacin de un posible ataque. Por ltimo y debido a su simplicidad eliminan el otro problema de los sistemas de deteccin de intrusiones: la agregacin de datos, es decir, la gran cantidad de informacin y logs que generan y que depus debe ser tratada por un humano; los honeypots generan tan pocos registros y tan indicativos que simplifican enormemente la tarea. Por ejemplo si ponemos un honeypot con el puerto 80 abierto en nuestro DMZ y alguin accede a l indicar que estn intentando escanear las vulnerabilidades de nuestro sistema.
c.- Respuesta.

Cuando un atacante entra en un sistema deja evidencias, el estudio de las mismas es crucial para conocer cmo ha conseguido entrar en el sistema, qu herramientas ha empleado y en definitiva, quin es. Sin toda esta informacin las organizaciones no pueden responder de manera efectiva a los incidentes. Incluso si trata de borrar los logs, si est bien planificado el registro de la actividad, siempre quedan rastros que permitirn conocer la actividad del atacante. El problema que se plantea en sistemas en produccin es la gran cantidad de trfico, lo que hace que sea muy difcil seguir los rastros de movimientos. En este sentido los honeypots filtran el trfico no relevante ya que slo registrarn la actividad de cualquier atacante e incluso, en el caso de honeypots de investigacin, podramos ver cules son las herramientas que est empleando el atacante. 4.- Clasificacin de los honeypots. En realidad se pueden realizar clasificaciones de los honeypots atendiendo a dos caractersticas: por un lado dependiendo del nivel de interaccin que ofrezcan al atacante y por otro dependiendo de la funcin para la que est pensado.
a.- Clasificacin en funcin del nivel de interaccin.

Segn esta clasificacin dividiremos los honeypots en baja, media y alta interaccin dependiendo de las posibilidades que ofrezcan al posible atacante.

Baja interaccin: tanto la informacin que ofrecen como la actividad que puede desarrollar el atacante es muy reducida, en ocasiones se limitan a registrar la ip del sistema que nos est rastreando. Alto nivel de interaccin: son sistemas actuales con sistemas operativos y aplicaciones completas. Esto implica que conllevan un mayor riesgo ya que el atacante tiene a su disposicin un sistema operativo en el que entrar y desde el

que podra atacar a otros equipos. Por otra parte permiten que podamos incluso recoger las herramientas empleadas por los atacantes. Por todo ello y por la mayor necesidad de recursos humanos y materiales suelen emplearse con propsitos de investigacin.
b.- Clasificacin atendiendo al rol al que se destine.

Dependiendo del nivel de interaccin que nos ofrezca un honeypot el atacante podr desarrollar una mayor o menor actividad, desde realizar simples escneres de red a hacerse con el control del sistema. Es probable que a una empresa no le interese un sistema con el que poder seguir paso a paso las actividades de un intruso ni recolectar todas las herramientas empleadas por un hacker en su intento de hacerse con el control de su red ya que para ello tendra que desplegar un sistema completo, configurarlo,.... los honeypots de este tipo seran los honeypots de investigacin -que explicar en mayor profundidad cuando hable de las honeynets. Por otra parte existen los honeypots de produccin que estn destinados a detectar cualquier actividad maliciosa advirtindonos de ella, constituyen un sistema de alerta frente a algunos tipos de intrusin y suelen desplegarse en combinacin con otros sistemas en redes en las que lo importante es simplemente advertir de cierta actividad sospechosa. 5.- Ejemplos de honeypots. Algunos ejemplos de honeypots atendiendo a las anteriores clasificaciones y diferenciando sistemas comerciales de libres seran:
a.- Comerciales:

1. Patriotbox: honeypot de baja interaccin diseado para sistemas windows, en la versin 2 -la actual- incluye soporte para loguin de bases de datos, proxy de puertos e incluso para scripts honeyd. 2. KFSensor: sistema de baja interaccin para Windows. Destinado para deteccin, incluye simulacin NetBIOS y es capaz de interactuar con scripts Honeyd. 3. NetBait: Permite ejecutarla como producto o como servicio. 4. ManTrap: Llamado ahora Symantec Decoy Server. Es un honeypot de alta interaccin. Permite la ejecucin de hasta cuatro sistemas operativos completos distintos que corren encerrados en jaulas- en subsistemas separados del sistema anfitrin. 5. Specter: es un honeypot de baja interaccin diseado para ser ejecutado en windows. Puede emular hasta 14 sistemas diferentes y diferentes servicios tal y cmo se puede apreciar en la siguiente imagen:

b.- Sistemas libres

Bubblegum Proxypot. Es un honeypot cuya nica utilidad es la deteccin de spammers mediante la simulacin de un proxy abierto. Jackpot. Otro honeypot para la deteccin de spammers. BackOfficer Friendly. BOF es un honeypot libre para Windows pensado para funcionar como una simple alarma. Ha sido escrito por Marcus Ranum y NFR en 1998, pensado para identificar ataques de Back Orifice as como otros tipos de escneres. BackOfficer ha sido adquirida por Checkpoint y es difcil encontrar un lugar para bajarla y poder probarla. Yo lo he hecho desde el enlace ofrecido por www.guardiansofjustice.com, en concreto desde el siguiente enlace: http://www.guardiansofjustice.com/diablo/Frames/Fileutil.htm. La instalacin es muy sencilla, consta de un ejecutable que tras la instalacin nos da acceso a una ventana dnde nos mostrar el trfico detectado y desde el men opciones podremos configurar los servicios que queremos auditar de los disponibles.

Las dos primeras detecciones (http y ftp) se corresponden con intentos de conexin manuales desde un navegador, las cuatro ltimas son un escaneo de puertos con nmap, podemos ver cmo se producen las 4 exactamente a la misma hora, lo cual nos da bastantes pistas:

Bait-n-Switch: en realidad no es un honeypot, sino que es una aplicacin que permite redirigir todo el trfico no autorizado o que no es de produccin a nuestros honeypots. Bigeye: honeypot de baja interaccin que permite emular algunos servicios. Honeyweb: Emula distintos tipos de servidores. Puede cambiar dinmicamente dependiendo del tipo de solicitudes que reciba. Deceptcion toolkit: DTK fue el primer honeypot Opensource y fue desarrollado en 1997. Escrito por Fred Cohen, es una coleccin de scripts en Perl y cdigo C que emula diversos servicois. Su primer proposito es hacer desistir a atacantes humanos. LaBrea Tarpit: este honeypot est diseado para ralentizar y parar los ataques actuando como un honeypot pegajoso. Puede correr en Windows y Unix. Honeyd. Es una honeypot bastante potente, de baja interaccin y OpenSource. Ha sido creado por Niels Provos en 2002, escrito en C y diseado para plataformas Unix. Introdujo una gran variedad de nuevos conceptos como la habilidad de monitorizar numerosas Ips, numerosos sistemas operativos, puertos UDP y TCP y la posibilidad de incorporar scripts para simular la ejecucin de algunas aplicaciones o servicios. La analizo con un poco ms de profundidad en los siguientes puntos. Honeynets: son redes con variedad de sistemas operativos diseadas para que sean comprometidas. Al montar sistemas completos constituyen sistemas de alta interactividad y por tanto presentan grandes riesgos. Sin embargo pueden capturar ms informacin que cualquier otro tipo de honeypot por lo que se engloban en los sistemas de investigacin, eso s, tambin conllevan una mayor complejidad en su implantacin y mantenimiento. Los explico con un poco ms de profundidad en los siguientes puntos. Honeywall: combina todas las herramientas para montar un gateway honeynet en un nico cdrom. Sendmail Spam Trap. Empleaddo para identificar spammers y capturar su spam, sin enviarlo a ninguna vctima.

Tiny Honeypot: escrito por George Bakos, es el nico que aparenta ser vulnerable siempre, no importa el ataque que lancen contra l, siempre aparenta tener xito.

6.- Honeyd Al igual que el honeypot BackOfficer, explicado previamente, es un honeypot de baja interaccin, aunque mucho ms verstil y que ofrece mucha ms informacin. Para funcionar no asume la ip del sistema en el que se instala -como hace BackOfficer-, sino que emplea ips no empleadas por otro equipo. Una de las ventajas que ofrece es que es capaz de simular una gran cantidad de sistemas operativos al mismo tiempo. Es un sistema de baja-interaccin empleado principalmente en sistemas de produccin a modo de alerta para detectar tanto ataques como sistemas comprometidos. De todos modos permite la incorporacin de scripts para simular determinados servicios, algunos de ellos, por ejemplo en el caso del virus Kuang2 permiten incluso ms interactividad para el atacante, guardando incluso los ficheros subidos por los atacantes. Para trabajar con honeyd tendremos que redirigir todo el trfico que deseemos al sistema que alberga honeyd, para ello podemos emplear bsicamente dos mtodos:

ARP Spoofing: podemos emplear programas como arpd o farpd, la manera de funcionar es realizando spoofing de ARP, es decir, cuando en la red local alguien pregunta la MAC de la tarjeta de red para una ip determinada, permanecen a la escucha y suplantan la identidad de las ips que queramos. ARP Proxy: incluso lo podemos hacer de manera esttica, lo nico que tenemos que hacer es asignar de manera esttica las MAC del honeypot a las ip con arp s.

En mi caso para simular parte de las ip del sistema en produccin he empleado el siguiente comando: farpd -d -i eth2 192.168.0.20-192.168.0.30 Con la opcin -d le indicamos que no demonice el serivicio y que muestre informacin detallada de las peticiones a las que responde. Con la opcin -i eth2 le especificamos que debe escuchar las peticiones de MAC en la interfaz eth2. Finalmente especificamos que slo haga spoofing de las ips desde la 192.168.0.20 a la 192.168.0.30. Nos permite emplear ficheros de firmas para que responda como lo hara el sistema real a determinados escneres en busca de la huella del sistema (fingerprintins). Por defecto podemos emplear los ficheros de firmas de nmap ( inicindo honeyd con la opcin -p )

para simular el sistema y la versin del mismo que deseemos. Tambin podemos especificar, con la opcin -x, el fichero de firmas de xprobe para determinar cmo responder el honeypot a las herramientas fingerprints de ICMP. Por defecto almacena las conexiones en syslogd, aunque se pueda especificar un fichero independiente (mediante la opcin -l ) dnde registrar todos los logs de honeyd. Adems de esto se pueden especificar logs independientes para cada uno de los scripts empleados. Por ejemplo, suponiendo que estamos en el directorio /usr/share/honeyd/ y que hemos configurado los equipos a simular en el fichero honeyd.conf podramos ejecutar honeyd de la manera siguiente: honeyd -d -f honeyd.conf -p nmap.prints -x xprobe2.conf -0 pf.os -a nmap.assoc -l /var/log/honeypot/honeyd.log -i eth2 Finalmente tal y cmo explicar en el otro documento honeyd debera ser empleado conjuntamente con algn sistema IDS -tipo snort-, para determinar con mayor facilidad el tipo de ataque y/o con algn sistema para almacenar el contenido completo de las comunicaciones -como tcpdump, tshark o wireshark-. 7.- Honeynet. Generalmente se emplean en sistemas de investigacin y no en produccin ya que requieren una gran cantidad de tiempo y recursos para su implementacin y mantenimiento. Su utilizacin excede el uso como prevencin, deteccin o reaccin a ataques pero son excelentes como honeypots de investigacin dando respuesta, entre otras a cuestiones como Quines son los atacantes?Qu herramientas usan?Qu tcticas emplean?Cules son sus motivaciones? Ninguna otra solucin honeypot nos puede dar tanta informacin.
a.- Mtodos, motivos y herramientas involucradas.

La primera norma de investigacin es aprender tanto como sea posible sobre los atacantes. Las honeynets nos permiten capturar sus pulsaciones de teclas, las herramientas que emplean para probar y explotar sistemas o incluso sus sesiones de chat.
b.- Anlisis de tendencias.

La informacin recogida puede servir para predecir ataques actuando como sistemas de alerta temprana. Generalmente es difcil determinar cuando se va a atacar a un sistema o con que herramientas. Con respecto a las alertas, las basadas en sistemas IDS tienen el problema de los falsos positivos mientras que en cualquier honeypot es mucho menor (todo el trfico es sospechoso) y son capaces de detectar ataques desconocidos y de los que, por tanto, no

existe firma con la que comparar. La informacin recogida sobre nuevos ataques puede ser empleada para predecir ataques o para incorporarlo posteriormente a nuestros IDS.
c.- Respuesta a incidentes

La informacin que recogemos no es confidencial con lo que podemos compartirla con otras organizaciones sin daar la imagen de la empresa y dando a los profesionales de seguridad informacin que podrn emplear para establecer mecanismos de respuesta y aprender nuevas herramientas y tcnicas. Nos dan informacin entendible, desde pulsaciones de teclas, herramientas,... con lo que podemos comparar la informacin de nuestra red para analizar procedimientos y fallos.
d.- Bancos de prueba.

Las honeynets se pueden emplear como bancos de prueba para nuevas aplicaciones, sistemas operativos u otros mecanismos de seguridad en un entorno controlado.
e.- Cmo funcionan las Honeynet?

Son un recurso que tiene poco o ningn trfico de produccin. Cualquier trfico entrante es sospechoso, cualquier trfico saliente indica que el sistema ha sido comprometido. Llevan el honeypot un paso ms all, en lugar de un slo sistema forman una red fsica de mltiples sistemas. Los elementos crticos de una arquitectura Honeynet son: control de datos (control de la actividad atacante para que no pase a sistemas en produccin), captura de datos (es importante capturar informacin desde distintos sistemas y empleando varios medios para evitar en lo posible su alteracin o destruccin por parte del atacante) y recoleccin de datos ( en el caso de monitorizar varias honeynets debemos centralizar los logs y la homogeneidad de los mismos de modo que puedan ser monitorizados conjuntamente de manera sencilla. Un factor fundamental a tener en cuenta es que debemos controlar que el atacante no pueda atacar otros equipos en Internet o del sistema de produccin (aunque pueda atacar a otros de la honeynet). Uno de los retos de las honeynets es la automatizacin de este control. Por otra parte hemos de permitir cierto trfico de salida una vez el sistema ha sido comprometido ya que en caso contrario el atacante se dara cuenta de que est en un sistema cerrado, con lo que no podramos capturar herramientas y resto de informacin sensible. Existen bsicamente dos tcnicas para controlar el trfico saliente la que utilizan las honeynets de primera generacin consiste bsicamente en controlar el nmero de paquetes que dejamos salir de nuestro equipo. Esta tcnica tiene la

desventaja de que aunque reduzcamos a lo mnimo el trfico saliente podrn emplear el equipo comprometido para atacar a otros equipos. Para evitarlo se pueden emplear los de segunda generacin; un ejemplo de estos sera Honeywall. El equipo en el que instalamos HoneyWall acta a modo de gateway puente separando los equipos de produccin de los de la honeynet. Es decir el equipo tendr dos tarjetas de red filtrando el trfico que pasa de produccin la honeynet y viceversa, aunque ambas compartirn el rango de ips (en el mismo dominio de colisin). A diferencia de los sistemas de primera generacin estos sistemas pueden controlar el nmero de paquetes salientes pero adems son capaces de filtrar el trfico malicioso saliente empleando algn IDS -honeywall emplea snort-, de forma que cualquier trfico generado en la honeynet que vaya a ser empleado para atacar a otros sistemas tendr que pasar obligatoriamente por el sistema con honeywall instalado, con lo que ser eliminado y no llegar a destino, de este modo slo saldr trfico no daino para otros sistemas. Para el control de los logs generados emplea Swatch, sistemas con el que podremos seguir fcilmente los movimientos de los atacantes, ya sea va email, con la ejecucin de determinadas aplicaciones o incluso va telfono cuando encuentra trfico que se corresponda con algn patrn que hayamos introducido previamente.
f.- Riesgo asociado a las honeynets.

Son las estructuras con mayor riesgo de todas las soluciones honeypot debido a:

Los atacantes tienen acceso completo al sistema operativo, una vez han accedido existen lmites respecto a lo que pueden hacer al sistema que estar limitado por el control de datos salientes La complejidad asociada a su despliegue ya que deben estar bien configurados cortafuegos, scripts de alerta, sistemas de log, actualizaciones del IDS,... estn pensados para controlar cierto tipo de actividad esperada, con lo que trfico inesperado podra pasar los mecanismos de seguridad y sufrir una nueva herramienta o tctica.

Son estos riesgos los que hacen que sean empleadas bsicamente en sistemas de investigacin dnde obtendremos las ventajas ya comentadas para estos sistemas. 8.- Conclusiones.

La lectura inicial del libro Honeypots: Tracking hackers constituye un buen punto de partida a la hora de estudiar y analizar en qu consiste un honeypot, para qu se puede emplear y las distintas tecnologas y clasificaciones de los mismos.