EscuelaPolitcnicadelEjrcito

MaestradeGerenciadeSistemasVIII














Lic. Julio Ardita
CYBSEC S.A.
Autor: Pablo Andrs Mora T.
SEGURIDAD
INFORMTICA
HONEYPOTS

HONEYPOTS
Seguridades
Informticas

2


Contenido
Introduccin ............................................................................................................................3
1. Honeypots.........................................................................................................................5
2. Clasificacin de los Honeypots.....................................................................................7
3.1. Honeypots segn su Ambiente de Implementacin........................................7
3.1.1. Honeypots para la Produccin......................................................................7
3.1.2. Honeypots para la Investigacin ..................................................................7
3.2. Honeypots segn su Nivel de Interaccin...........................................................8
3.2.1. Honeypots de Baja Interaccin.....................................................................8
3.2.2. Honeypots de Alta Interaccin .....................................................................9
3. Ubicacin .........................................................................................................................9
4. WiFi Honeypots.............................................................................................................. 12
5. Honeynets...................................................................................................................... 13
Ejemplo 1: Honeynet Control de datos GenI.............................................................. 16
Ejemplo2: Emulacin de servidor de FTP...................................................................... 16
Ejemplo3: Prediccin y alerta trampa ......................................................................... 17
6. Ventajas y Desventajas de Honeypots..................................................................... 18
7. Diseo de la trampa .................................................................................................... 19
8. Anlisis de un caso real............................................................................................... 23
9. Creacin de un Honeypot Bsico............................................................................. 31
Sistema Operativo Windows: ..................................................................................... 31
Conclusiones......................................................................................................................... 33
Bibliografa ............................................................................................................................ 33

HONEYPOTS
Seguridades
Informticas

3

Introduccin
Los ataques a servidores conectados a Internet siguen aumentando cada ao. La
complejidad de los mtodos empleados por los atacantes ha ido creciendo
paralelamente, al igual que las herramientas que emplean para disimular sus
acciones en los equipos una vez que han conseguido acceso al sistema.
Hasta hace algn tiempo los sistemas atacados no solan contener informacin
confidencial, por lo que los administradores procedan a la reinstalacin y
actualizacin de estos equipos atacados, para as borrar los binarios y puertas
traseras instaladas por los atacantes, continuando posteriormente con la
actividad normal del sistema.
En la mayora de las situaciones, las nicas medidas que se solan adoptar con
respecto a los atacantes consistan en la notificacin del ataque a los
administradores de los equipos origen del ataque, si se llegaba a averiguar, y el
envo de un aviso interno a los usuarios del equipo, para que procedieran a
cambiar sus claves de acceso.
Sin embargo, con este incremento del nmero de equipos atacados, es cada vez
ms frecuente el tener que analizar las acciones realizadas por los atacantes en
los equipos, por un lado para averiguar el alcance del mismo y, llegado el
momento, poder tomar las medidas oportunas para denunciar el ataque a las
autoridades competentes y por otro, para llevar a cabo la actualizacin parcial
del equipo, ya que muchas veces no es posible dejar sin servicio a los usuarios
para proceder a una instalacin completa.
El nmero de incidentes reportados cada ao sigue en aumento, como se puede
ver en las estadsticas. Aunque el cdigo de los programas de ataque, o exploit,
ltimamente no suele aparecer de forma directa en listas de correo y servidores
www, es evidente que hay muchos foros de discusin y servidores en Internet
donde se pueden obtener estas herramientas ya compiladas, lo que hace que el
nmero de ataques siga creciendo.
Muchas veces se observa que los atacantes no suelen tener conocimientos
extensos sobre el funcionamiento general del sistema al que han conseguido
acceder: no saben cmo compilar los programas, ni dnde se encuentra la
configuracin del sistema de logs del equipo, e intentan ejecutar programas
pertenecientes a otros sistemas operativos. La mayora de ellos se limitan a utilizar
una serie de programas precocinados para borrar los rastros dejados e instalar
una serie de binarios precompilados para atacar despus otros servidores.
HONEYPOTS
Seguridades
Informticas

4

Las dificultades de acceso a los programas que emplean los atacantes impiden
muchas veces que los administradores puedan evaluar si un determinado
problema de seguridad afecta directamente a los equipos de la institucin,
teniendo que esperar bien a que los fabricantes del sistema operativo o
aplicacin distribuyan la versin actualizada del programa o a filtrar
determinados servicios al exterior.
Los sistemas de deteccin de intrusos son una de las herramientas que ms ha
evolucionado en los ltimos aos, habindose convertido en uno de los
principales mecanismos empleados por los administradores de redes para
detectar cundo se produce un ataque, aunque muchas veces no son suficientes
para evitar que estos se produzcan.
La dificultad para analizar los binarios instalados en los equipos por los atacantes
complica muchas veces la solucin de estos ataques. Los administradores deben
intentar eliminar todas las puertas traseras que se hayan podido dejar para entrar
con facilidad en el equipo, al igual que los programas de recoleccin de claves
que circulan en claro por la red (sniffer) y las herramientas de ataque a otros
equipos.
En los ltimos aos se ha empezado a utilizar equipos trampa o honeypots como
un mecanismo de seguridad en la red; estos sistemas suelen ser equipos
vulnerables monitorizados en la organizacin, que sirven para detectar cundo se
ha producido una intrusin y analizar en profundidad las acciones realizadas por
los atacantes.
Estos sistemas simulan hacia el exterior equipos vulnerables que al ser atacados
permiten a los administradores observar las acciones realizadas por los atacantes,
pudiendo de esta forma analizarlas.
Este anlisis permitir, por un lado verificar el uso de los procedimientos de anlisis
de ataques o anlisis forense, y por otro, capturar los nuevos patrones de ataque
empleados por los atacantes. De este modo se podrn configurar los sistemas de
deteccin de intrusos con estas nuevas reglas para detectar, a su vez, otros
nuevos ataques.
Estas mquinas trampa proporcionan muchas veces a los administradores los
programas de ataque empleados por los atacantes, que pueden servir para
evaluar la seguridad interna de la organizacin, siempre y cuando se tomen las
medidas oportunas.
HONEYPOTS
Seguridades
Informticas

5

1. Honeypots
Los Honeypots son una tecnologa nueva con enorme potencial para la
comunidad informtica. Los primeros conceptos fueron introducidos por primera
vez por varios conos en la seguridad informtica, especialmente aquellos
definidos por Cliff Stoll y Bill Cheswick. Desde entonces, han estado en una
continua evolucin, desarrollndose de manera acelerada y convirtindose en
una poderosa herramienta de seguridad hoy en da.
Un Honeypot es un sistema diseado para analizar cmo los hackers emplean sus
armas para intentar entrar en un sistema (analizan las vulnerabilidades) y alterar,
copiar o destruir sus datos o la totalidad de stos (por ejemplo borrando el disco
duro del servidor). Por medio del aprendizaje de sus herramientas y mtodos se
puede, entonces, proteger mejor los sistemas. Pueden constar de diferentes
aplicaciones, una de ellas sirve para capturar al intruso o aprender cmo actan
sin que ellos sepan que estn siendo vigilados.

Los Honeypots son en su forma ms bsica son servidores de informacin falsos,
posicionados estratgicamente en una red de prueba, los cuales son alimentados
con informacin falsa que es disfrazada como archivos de naturaleza
confidencial. A su vez, estos servidores son configurados inicialmente de manera
que sea difcil mas no imposible el hecho de ser penetrados por un atacante
informtico, exponindolos de manera deliberada y hacindolos altamente
atractivos para un hacker en busca de un blanco. Por ltimo, el servidor es
habilitado con herramientas de monitoreo y rastreo de informacin, de manera
que cada paso y rastro de actividad de un hacker pueda ser registrado en una
bitcora que indique esos movimientos de manera detallada.
Las funciones principales de un Honeypot son:
Desviar la atencin del atacante de la red real del sistema, de manera que
no se comprometan los recursos principales de informacin.
Capturar nuevos virus o gusanos para su estudio posterior.
Formar perfiles de atacantes y sus mtodos de ataque preferidos, de
manera similar a la usada por una corporacin policiaca para construir el
archivo de un criminal basado en su modus operandi.
Conocer nuevas vulnerabilidades y riesgos de los distintos sistemas
operativos, entornos y programas las cuales an no se encuentren
debidamente documentadas.
HONEYPOTS
Seguridades
Informticas

6

En un contexto ms avanzado, un conjunto de Honeypots forma una Honeynet,
proporcionando as una herramienta que abarca un conjunto extendido de
posibles amenazas y proporciona al administrador de sistemas mayor informacin
para su estudio. Inclusive, hace ms fascinante el ataque para intruso debido a
que se incrementan las posibilidades, blancos y mtodos de ataque.
Los Honeypots pueden ayudar a prevenir ataques en varias formas:
Defensa contra ataques automatizados: Estos ataques son basados en
herramientas que aleatoriamente rastrean redes enteras buscando sistemas
vulnerables. Si un sistema vulnerable es encontrado, estas herramientas
automatizadas atacaran y tomaran el sistema (con gusanos que se replican en la
vctima). Uno de las mtodos para proteger de tales ataques es bajando la
velocidad de su rastreo para despus detenerlos. Llamados Sticky Honeypots,
estas soluciones monitorean el espacio IP no utilizado. Cuando los sistemas son
analizados, estos Honeypots interactan con l y disminuyen la velocidad del
ataque. Esto se logra utilizando una variedad de trucos TCP, como poniendo el
Window Size a cero o poniendo al atacante en un estado de espera contina.
Esto es excelente para disminuir la velocidad o para prevenir la diseminacin de
gusanos que han penetrado en la red interna.
Proteccin contra intrusos humanos: Este concepto se conoce como engao o
disuasin. La idea de esta contramedida es confundir al atacante y hacerle
perder tiempo y recursos mientras interacta con el Honeypot. Mientras ese
proceso se lleva a cabo, se puede detectar la actividad del atacante y se tiene
tiempo para reaccionar y detener el ataque.
Mtodos de Deteccin Precisa: Tradicionalmente, la deteccin ha sido una tarea
extremadamente difcil de llevar a cabo. Las tecnologas como los Sistemas de
Deteccin de Intrusos y sistemas de logueo han sido deficientes por diversas
razones: Generan informacin en cantidades excesivas, grandes porcentajes de
falsos positivos (o falsas alarmas), no cuentan con la habilidad de detectar nuevos
ataques y/ o de trabajar en forma encriptada o en entornos IPv6. Los Honeypots
son excelentes en el ramo de la deteccin, solventando muchos de los problemas
de la deteccin clsica: Reducen los falsos positivos, capturan pequeas
cantidades de datos de gran importancia como ataques desconocidos y nuevos
mtodos de explotacin de vulnerabilidades (zero-days) y trabajan en forma
encriptada o en entornos Ipv6.
Labor Ciber-Forense: Una vez que un administrador de red se da cuenta que
uno(s) de sus servidores fueron comprometidos ilegalmente, es necesario
proceder inmediatamente a realizar un anlisis forense en el sistema
comprometido para realizar un control de daos causados por el atacante. Sin
HONEYPOTS
Seguridades
Informticas

7

embargo, hay dos problemas que afectan a la respuesta al incidente:
Frecuentemente, los sistemas comprometidos no pueden ser desconectados de
la red para ser analizados y la cantidad de informacin que se genera es
considerablemente extensa, de manera que es muy difcil determinar lo que hizo
el atacante dentro del sistema. Los Honeypots ayudar a solventar ambos
problemas, ya que son excelentes herramientas de anlisis de incidencias que
pueden rpida y fcilmente ser sacados de la red para un anlisis forense
completo, sin causar impacto en las operaciones empresariales diarias. La nica
actividad que guardan los Honeypots son las relacionadas con el atacante, ya
que no son utilizadas por ningn otro usuario, excepto los atacantes. La
importancia de los Honeypots, es la rpida entrega de la informacin, analizada
en profundidad previamente, para responder rpida y eficientemente a un
incidente.
2. ClasificacindelosHoneypots
Los Honeypots se pueden clasificar de acuerdo a dos criterios: Segn su Ambiente
de Implementacin y segn su Nivel de Interaccin. Estos criterios de clasificacin
hacen fcil entender su operacin y utilizacin al momento de planear la
implementacin de uno de ellos dentro de una red de datos o infraestructura de
TIs.
3.1. HoneypotssegnsuAmbientedeImplementacin
Bajo esta categora podemos definir dos tipos de Honeypots: Para la Produccin y
para la Investigacin.
3.1.1. HoneypotsparalaProduccin
Son aquellos que se utilizan para proteger a las organizaciones en ambientes
reales de operacin. Se implementan de manera colateral a las redes de datos o
infraestructuras de TIs y estn sujetas a ataques constantes las 24 horas del da, 7
das a la semana (24/ 7). Se les concede cada vez ms importancia debido a las
herramientas de deteccin que pueden brindar y por la forma cmo pueden
complementar la proteccin en la red y en los hosts.
3.1.2. HoneypotsparalaInvestigacin
Estos Honeypots no son implementados con la finalidad de proteger redes, sino
que constituyen recursos educativos de naturaleza demostrativa y de
investigacin cuyo objetivo se centra en estudiar patrones de ataque y amenazas
de todo tipo. Gran parte de la atencin actual se centra en los Honeypots para la
investigacin, que se utilizan para recolectar informacin sobre las acciones de
los intrusos.
HONEYPOTS
Seguridades
Informticas

8

El proyecto Honeynet, por ejemplo, es una organizacin para la investigacin
sobre seguridad voluntaria, sin nimo de lucro que utiliza los Honeypots para
recolectar informacin sobre las amenazas del ciberespacio. Honeypots segn su
Nivel de Interaccin Dentro de este criterio de clasificacin, el trmino Nivel de
Interaccin define el rango de posibilidades de ataque que un Honeypot le
permite tener un potencial atacante. Estas categoras nos ayudan a entender no
solo el tipo de Honeypot con el que se est trabajando, sino tambin ayudan a
definir la gama de opciones en cuanto a las vulnerabilidades que se desea que
un atacante explote. Estas son las caractersticas de mayor importancia al
momento de empezar a construir el perfil de un atacante.
3.2. HoneypotssegnsuNiveldeInteraccin
3.2.1. HoneypotsdeBajaInteraccin
Normalmente, stos Honeypots trabajan nicamente emulando servicios y
sistemas operativos. La actividad del atacante se encuentra limitada al nivel de
emulacin del Honeypot. La ventaja de un Honeypot de Baja Interaccin radica
principalmente en su simplicidad, ya que estos tienden a ser fciles de utilizar y
mantener con un riesgo mnimo. Por ejemplo, un servicio FTP emulado,
escuchando en el puerto 21, probablemente estar emulando un login FTP o
probablemente suportar algunos comandos FTP adicionales, pero no representa
un blanco de importancia crtica ya que probablemente no est ligado a un
servidor FTP que contenga informacin sensible.
Por lo general, el proceso de implementacin de un Honeypot de Baja
Interaccin consiste en instalar un software de emulacin de sistema operativo
(ej. VMWare Workstation o Server), elegir el sistema operativo y el servicio a
emular, establecer una estrategia de monitoreo y dejar que el programa opere
por si solo de manera normal. Este proceso, de naturaleza similar al plug and
play, hace que la utilizacin de este tipo de Honeypot sea extremadamente
sencilla. Los servicios emulados mitigan el riesgo de penetracin, conteniendo la
actividad del intruso que nunca tiene acceso al sistema operativo real donde
puede atacar o daar otros sistemas.
La principal desventaja de los Honeypots de Baja Interaccin radica en que
registran nicamente informacin limitada, ya que estn diseados para capturar
actividad predeterminada. Debido a que los servicios emulados solo pueden
llegar hasta un cierto lmite operacional, sa caracterstica limita la gama de
opciones que se pueden anunciar hacia el potencial intruso. De igual manera, es
relativamente sencillo para un atacante el detectar un Honeypot de Baja
Interaccin, ya que un intruso hbil puede detectar qu tan buena es la
emulacin con el debido tiempo.
HONEYPOTS
Seguridades
Informticas

9

Ejemplos de Honeypots de Baja Interaccin son: Specter, Honeyd, y KFSensor.
3.2.2. HoneypotsdeAltaInteraccin
Este tipo de Honeypots constituyen una solucin compleja, ya que implica la
utilizacin de sistemas operativos y aplicaciones reales montados en hardware
real sin la utilizacin de software de emulacin e involucrando aplicaciones reales
que se ejecutan de manera normal, muchas veces en directa relacin a servicios
como bases de datos y directorios de archivos compartidos. Por ejemplo:
Si se desea implementar un Honeypot sobre un servidor Linux que ejecute un
servidor FTP, se tendr que construir un verdadero sistema Linux y montar un
verdadero servidor FTP.
Las ventajas de dicha solucin son dos: Por un lado, se tiene la posibilidad de
capturar grandes cantidades de informacin referentes al modus operandi de los
atacantes debido a que los intrusos se encuentran interactuando frente a un
sistema real. De esta manera, se est en posibilidad de estudiar la extensin
completa de sus actividades: cualquier cosa desde nuevos rootkits, zero-days,
hasta sesiones internacionales de IRC. Por otro lado, los Honeypots de Alta
Interaccin no asumen nada acerca del posible comportamiento que tendr el
atacante, proveyendo un entorno abierto que captura todas las actividades
realizadas y que ofrece una amplia gama de servicios, aplicaciones y depsitos
de informacin que pueden servir como blanco potencial para aquellos servicios
que especficamente deseamos comprometer. Esto permite a las soluciones de
alta interaccin conocer comportamientos no esperados.
Sin embargo, esta ltima capacidad tambin incrementa el riesgo de que los
atacantes puedan utilizar estos sistemas operativos reales para lanzar ataques a
sistemas internos que no forman parte de los Honeypots, convirtiendo una
carnada en un arma. En consecuencia, se requiere la implementacin de una
tecnologa adicional que prevenga al atacante el daar otros sistemas que no
son Honeypots o que prive al sistema comprometido de sus capacidades de
convertirse en una plataforma de lanzamiento de ataques. Hoy por hoy, el mejor
ejemplo de un Honeypot de alta interaccin est representado en las Honeynets.
3. Ubicacin
La ubicacin de los Honeypots es esencial para maximizar su efectividad, ya que
debido a su carcter intrnsecamente pasivo; una ubicacin de difcil acceso
eliminar gran parte de su atractivo para potenciales atacantes. Por otro lado, si
su ubicacin es demasiado artificial u obvia cualquier experimentado atacante la
descubrir y evitar todo contacto.
HONEYPOTS
Seguridades
Informticas

10

Se debe tener en cuenta que los Honeypots se debe integrar con el resto del
sistema que se tiene implementado por ejemplo: servidores WWW, servidores de
ficheros, DNS. De manera de asegurar que no interfiera con las otras medidas de
seguridad que puedan ya existir en la red como Firewalls, IDS.
Los Honeypots pueden servir tanto para la deteccin de atacantes internos como
externos, se debe tener siempre en cuenta la posibilidad de establecer Honeypots
internos para la deteccin de atacantes o sistemas comprometidos en la red, por
ejemplo sistemas infectados con gusanos o virus.
Los Honeypots pueden ubicarse:
Antes del firewall (Front of firewall): Esta localizacin permitir evitar el
incremento del riesgo inherente a la instalacin del Honeypot. Como este se
encuentra fuera de la zona protegida por el firewall, puede ser atacado sin
ningn tipo de peligro para el resto de la red como se puede observar en la
figura:
INTERNET
LAN
Fi rewal l
Honeypot

Esta configuracin evitara las alarmas de otros sistemas de seguridad de la red
(IDS) al recibir ataques en el Honeypot. Sin embargo, existe el peligro de generar
mucho trfico debido precisamente a la facilidad que ofrece el Honeypot para
ser atacado.
Cualquier atacante externo ser lo primero que encuentra y esto generar un
gran consumo de ancho de banda y espacio en los ficheros de log. Por otro lado,
esta ubicacin evita la deteccin de atacantes internos.
HONEYPOTS
Seguridades
Informticas

11

Detrs del firewall (Behind the firewall): En esta posicin, el Honeypot queda
afectado por las reglas de filtrado del firewall. Por un lado se tiene que modificar
las reglas para permitir algn tipo de acceso al Honeypot por posibles atacantes
externos, y por el otro lado, al introducir un elemento potencialmente peligroso
dentro de la red se puede permitir a un atacante que gane acceso al Honeypot y
a la red.
INTERNET
LAN
Fi rewal l
Honeypot

La ubicacin tras el firewall permite la deteccin de atacantes internos as como
firewalls mal configurados, mquinas infectadas por gusanos o virus e incluso
atacantes externos.
Sin embargo las contrapartidas ms destacables son la gran cantidad de alertas
de seguridad que generarn otros sistemas de seguridad de la red (Firewalls, IDS).
Al recibir ataques el Honeypot se ve la necesidad de asegurar el resto de nuestra
red contra el Honeypot mediante el uso de firewalls extras o sistemas de bloqueo
de acceso, ya que si un atacante logra comprometer el sistema tendr va libre
en su ataque a toda la red.
Hay varias circunstancias que obligan a este tipo de arquitectura, como por
ejemplo la deteccin de atacantes internos o la imposibilidad de utilizar una
direccin IP externa para el Honeypot.
En la zona desmilitarizada: La ubicacin en la zona desmilitarizada permite por
un lado juntar en el mismo segmento a los servidores de produccin con el
Honeypot y por el otro controlar el peligro que aade su uso, ya que tiene un
firewall que lo asla de resto de la red local.
HONEYPOTS
Seguridades
Informticas

12

Servidores
Publicos
INTERNET
LAN
Fi rewal l
Honeypot

Esta arquitectura nos permite tener la posibilidad de detectar ataques externos e
internos con una simple reconfiguracin del sistema de firewall puesto que se
encuentra en la zona de acceso pblico.
Adems se elimina las alarmas de los sistemas internos de seguridad y el peligro
que supone para la red al no estar en contacto directo con esta.
La deteccin de atacantes internos se ve algo debilitada, puesto que al no
compartir el mismo segmento de red que la LAN, un atacante local no acceder
al Honeypot. Sin embargo, desde la red local si es posible acceder al Honeypot,
con lo que un atacante interno que intente atacar a los servidores pblicos u
otros sistemas externos por ejemplo un gusano, muy probablemente acabe
siendo detectado.
4. WiFiHoneypots
Las redes de comunicaciones se han ido expandindose lentamente por centros
militares, universitarios y centros de investigacin hasta el estallido de Internet. A
partir de este momento la obsesin por estar conectados ha llevado a la
instalacin de millones de metros de cables que cubren todo tipo de edificios y
superficies.
Sin embargo, la dependencia de Internet contina alimentando el deseo de estar
conectados en cualquier sitio y a cualquier hora. Bares, libreras e incluso campus
universitarios estn iniciando un nuevo paso en las comunicaciones, las redes
inalmbricas (wireless networks).
Obviamente, no se puede descartar el papel de catalizador que la gran
expansin de los telfonos mviles ha tenido en el desarrollo de estas redes sin
HONEYPOTS
Seguridades
Informticas

13

hilos. Actualmente ya existen varios estndares de IEEE que regulan estas
comunicaciones como el 802.11b y el 802.11g.
Como ocurre con cualquier red de comunicaciones, los accesos no autorizados o
los ataques perpetrados por hackers estn a la orden del da. Sin embargo, el
peligro de este tipo de redes se dispara debido a tres factores diferenciales:
Los estndares y especificaciones para este tipo de redes son nuevos y
poco probados. Como siempre que se realiza una cosa por primera vez, la
existencia de indefiniciones, malas interpretaciones o fallos de conceptos
es bastante probable. Estos aspectos difusos son los ms utilizados por los
atacantes para obtener acceso a este tipo de redes.
Cualquiera usuario con un simple porttil o incluso con un PDA puede
intentar acceder de forma fraudulenta a nuestra red inalmbrica. A
diferencia de otros tipos de redes, no se necesita estar fsicamente
conectado o estar confinado en un rea concreta. Los ataques pueden
venir de cualquier sitio.
La mayor ventaja de las redes sin hilos es la movilidad que proporcionan.
Este aspecto tambin puede jugar en contra, ya que el atacante puede ir
cambiando de ubicacin mientras realiza su ataque.
La utilizacin de Honeypots en las redes inalmbricas es una de las ltimas
aplicaciones que se estn probando con xito en Estados Unidos. Actualmente el
programa WISE (Wireless Information Security Experiment) lidera la investigacin en
este campo.
5. Honeynets
Se puede definir una Honeynet como un tipo concreto de Honeypot.
Especficamente es un Honeypot altamente interactivo diseado para la
investigacin y la obtencin de informacin sobre atacantes. Una Honeynet es
una arquitectura, no un producto concreto o un software determinado.
El nuevo enfoque consiste no en falsear datos o engaar a un posible atacante
(como suelen hacer algunos Honeypot) sino que el objetivo principal es recoger
informacin real de cmo actan los atacantes en un entorno de verdad.
Para conseguir este entorno real con sistemas reales, no con simples emulaciones
de servicios y altamente interactivo, se dispone una configuracin de red tpica
con todos los elementos.
HONEYPOTS
Seguridades
Informticas

14

INTERNET
Fi rewal l
LOG Honeypot
Wi ndows NT Sol ari s 7 Li nux 2.2x Wi ndows 98
Fi rewal l
SISTEMA
REAL
HONEYNET

Esta red ha sido diseada para ser comprometida, por lo que debe estar
separada de forma segura y controlada de la de produccin. Por otro lado,
como el objetivo es el de hacer creer al atacante que est ante una red real, se
debe aadir los distintos elementos que conforman una arquitectura normal en
cualquier red distintas mquinas, distintos sistemas operativos.
Una Honeynet presenta dos requerimientos bsicos para ser realmente til y que
permita la extraccin de informacin valiosa:
Control del flujo de datos (Data control): Siempre que se interacta con un
atacante, el peligro aumenta exponencialmente. El objetivo de la Honeynet es el
de ser comprometida y atacada, se debe mantener siempre un control del flujo
de datos para evitar que el atacante la utilice contra terceros o contra la red.
Si bien es cierto que cuanta ms interaccin permitamos con el exterior ms
datos reales podremos obtener del atacante, se debe evaluar los riesgos que
conlleva. Anlogamente, una Honeynet que no permita ningn tipo de actividad
con el exterior dejar de ser atractiva para un atacante y perder toda su
utilidad. Como siempre, la bsqueda de un equilibrio nos debe guiar en este
aspecto.
Captura de datos (Data capture): La captura de todos los movimientos y
acciones que realice el atacante en nuestra Honeynet nos revelar sus tcnicas y
motivaciones. Si bien es esencial que el nivel de vigilancia y captura sea alto, si
este es excesivo o detectado por el atacante dejar de ser efectivo.
Obviamente, la captura de datos debe hacerse sigilosamente y sin despertar
ningn tipo de sospecha, por lo que debe planificarse cuidadosamente.
HONEYPOTS
Seguridades
Informticas

15

El lugar dnde se almacena esta informacin debera encontrarse fuera de la
Honeynet, ya que si realmente compromete un sistema puede encontrarla o
incluso peor, falsearla o borrarla. Esto eliminara cualquier utilidad a la Honeynet.
Tradicionalmente, la mayora de los sistemas de seguridad han sido siempre de
carcter defensivo. IDS, Firewalls y dems soluciones se basan en la defensa de
los sistemas, y cuando un ataque o vulnerabilidad es detectado se debe arreglar
el problema tan rpido como sea posible.
Estas aproximaciones siempre van siempre un paso por detrs de los atacantes,
ya que la reaccin depende directamente de los ataques sufridos y detectados.
Si no se recibe ningn ataque o no se descubre alguna vulnerabilidad, los sistemas
de defensa permanecern iguales. No hay mejora intrnseca o pro actividad
propia de los sistemas de ningn tipo.
Las Honeynets miran de cambiar esta actitud mediante el estudio de los ataques
y atacantes. Obtener nuevos patrones de comportamiento y nuevos mtodos de
ataque con el objetivo de prevenirlos en los sistemas reales.
Sin Honeynets, cada vez que se produzca un ataque nuevo y exitoso a un sistema
real existente, este dejar de dar servicio y se ver comprometido. Con las
Honeynets, un ataque exitoso o nuevo no tiene porqu afectar a ningn sistema
real.
Adems perder el factor sorpresa, ya que se habr obtenido datos precisos de
su ataque en el estudio de los logs, cosa que permitirn contrarrestarlo de una
manera ms eficiente.
Al igual que los Honeypots, la cantidad y calidad de informacin producida es
muy importante, ya que cualquier actividad existente es sospechosa.
HONEYPOTS
Seguridades
Informticas

16

Ejemplo1:HoneynetControldedatosGenI

Este es un ejemplo de una poltica de cortafuegos que implementa el control de
datos utilizando un corta fuegos. Checkpoint Firewall. La regla que se marca es la
que controla el trfico saliente sta es la regla que limita el riesgo. El origen es la
red Honeynet, el destino es cualquier red (Internet) salvo la red de Produccin.
Cuando una conexin se establece, el corta fuegos ejecuta la alerta definida por
el usuario, que cuenta los nmeros de conexiones, y los bloquea cuando supera
un lmite de 10 conexiones.

Ejemplo2:EmulacindeservidordeFTP
Aqu se puede ver el cdigo de un tarro de miel de baja interaccin (Honeyd)
que emula un servidor de FTP. Basndose en la entrada del ataque, existe una
salida predefinida.
HONEYPOTS
Seguridades
Informticas

17


Ejemplo3:Prediccinyalertatrampa
Este es un modelo estadstico, basado en firmas IDS, muestra el concepto de
alerta temprana.

HONEYPOTS
Seguridades
Informticas

18

6. VentajasyDesventajasdeHoneypots
Las principales caractersticas y ventajas que nos ofrecen los sistemas basados en
Honeypots son:
Generan un volumen pequeo de datos, que al contrario de los sistemas
clsicos de seguridad (Firewalls, IDS), generan cientos de megas de
ficheros de logs con todo tipo de informacin no necesaria, que para el
caso de los Honeypots estos generan muy pocos datos y de altsimo valor.
Los Honeypots son ordenadores que ningn usuario o sistema normal debe
acceder a ellos. Permitiendo de esta forma, relevar cualquier acceso,
atacante o una configuracin errnea de un sistema, sin existir falsos
positivos.
Se necesita recursos mnimos, ya que a diferencia de otros sistemas de
seguridad, las necesidades de un Honeypot son mnimas. No consume ni
ancho de banda ni memoria o CPU extra. No necesita complejas
arquitecturas o varios ordenadores centralizados, cualquier ordenador
conectado a la red puede realizar este trabajo.
Este tipo de sistemas sirven tanto para posibles atacantes internos como
externos. De esta forma, se evita poner a las mquinas nombres como
honeypot o attack-me; muchas veces ni tan siquiera estn dadas de
altas en los DNS. Su objetivo es pasar desapercibidas en una red como una
mquina ms.
Como todo sistema tiene tambin unas contrapartidas o desventajas asociadas.
En el caso de los Honeypots los principales inconvenientes son:
Son elementos totalmente pasivos. De esta forma, si no reciben ningn
ataque no sirven de nada.
Son fuentes potenciales de riesgo para nuestra red. Debido a la atraccin
que ejercen sobre posibles atacantes, si no calibramos perfectamente el
alcance del Honeypot y lo convertimos en un entorno controlado y
cerrado, puede ser utilizado como fuente de ataques a otras redes o
incluso a la nuestra propia.
Consumen una direccin IP como mnimo. De todas formas, este
inconveniente es mnimo, ya que lo ideal es asignar direcciones IP del
rango de direcciones libres.
HONEYPOTS
Seguridades
Informticas

19

Del anlisis de todas las caractersticas principales de los Honeypots y aplicando
el desglose del concepto de seguridad en prevencin, deteccin y reaccin,
obtenemos el siguiente anlisis:
1. Los Honeypots tienen un limitado carcter preventivo. No evitarn o disuadirn
a ningn posible atacante.
2. Tienen un alto grado de deteccin. Si bien son elementos pasivos, los atacantes
rara vez se centran en una simple mquina, sino que buscan por toda la red
posibles vctimas, lo que hace que antes o despus se encuentre con el
Honeypot.
3. La reaccin es otro de los valores que aade el uso de Honeypots. En los de
Honeypots de produccin se puede de forma automtica generar los comandos
necesarios para evitar el acceso del atacante al resto del sistema. En los de
investigacin, adems nos permiten a posteriori la ejecucin de tcnicas forenses
(computer forense) para examinar el comportamiento del atacante y descubrir
sus comportamientos.
7. Diseodelatrampa
El Honeypots est formado por un conjunto de equipos vulnerables; las mquinas
trampa propiamente dichas y un equipo de control que monitoriza al resto de los
equipos. Este sistema permitir el trfico entre la red de equipos trampa y el
exterior, bloqueando los equipos cuando se detecta un ataque, de forma que no
se puedan emplear estos, a su vez, para realizar nuevos ataques.
En los equipos trampa se pueden instalar los diversos sistemas operativos usados
en la institucin con la configuracin de servicios que se dese monitorizar
(servidor WWW, FTP, etc.). Dado que estos equipos trampa no necesitan tener un
rendimiento alto, se pueden emplear sistemas antiguos que hayan sido retirados
del servicio, aunque es conveniente que pueden ejecutar versiones actuales de
los sistemas operativos.
Para proceder al anlisis de los datos dejados por el atacante en el equipo, no
conviene que los sistemas tengan una capacidad de almacenamiento muy
elevada. Por ejemplo un equipo Pentium 133 con un disco duro de 1,6 2Gb y 32
Megas de memoria RAM se puede emplear para la instalacin de diversos
sistemas operativos Unix/Linux sobre plataforma Intel; mientras que un antiguo
Sparc puede servir para la instalacin de un Solaris 2.7.
Estos equipos trampa tendrn direccionamiento propio de la red de la
organizacin y estarn conectados entre s a un hub que permita al atacante, en
HONEYPOTS
Seguridades
Informticas

20

un momento dado, capturar el trfico falso entre equipos externos y las mquinas
trampa de manera que el atacante pueda ser dirigido a otros equipos trampa.
El equipo de control funciona en modo puente Ethernet, actuando de forma
transparente a nivel IP, pudiendo, de esta manera, conectar las mquinas trampa
a la red, mantenindolas aisladas del resto de los equipos de la organizacin y sin
tener que implementar una subred donde incluirlas. Este equipo de control
deber tener, a su vez, una direccin IP para poder gestionarlo.
Para poder monitorizar los ataques, el equipo de control capturar todo el trfico
con origen y/o destino a la red de mquinas trampa, de forma que se pueda
tener un registro de las conexiones que realiza el atacante a ellas.
Este registro de trfico sirve, entre otras cosas, para poder detectar nuevos
ataques y vulnerabilidades ya que se puede comparar el trfico generado por el
uso del ataque o exploit con los realizados por otros ataques similares; y detectar
as cuando aparecen nuevos ataques o variaciones de otros ya existentes.
Red de la Organizacin
10.0.1.0/24
10.0.1.10
Router de acceso
10.0.1.10
10.0.1.120
Servi dor
Equi po de control
Red trampa
Maqui nas trampa
10.0.1.20
10.0.1.19
10.0.0.5
EJEMPLO DE RED TRAMPA

HONEYPOTS
Seguridades
Informticas

21

En la figura se observa la configuracin del Honeypots propuesto. Como se puede
observar, el equipo trampa divide en dos la red de la institucin, separando los
equipos trampa del resto de equipos de la organizacin. Esta separacin a nivel
fsico impide que los equipos trampa puedan capturar el trfico a nivel IP que
circule por el resto de la red, con independencia del tipo de entorno (conmutado
o compartido) en el que se encuentre la red de mquinas trampa.
El trfico entre los equipos de usuarios del servidor no se detectara en ninguna de
las mquinas trampa, solamente aqul destinado a toda la red de broadcast
Ethernet llegara a estos equipos.
As pues, cuando desde el exterior se realizase un escaneo contra la red
10.0.1.0/ 24 todos los equipos, normales y trampa, responderan a las conexiones y,
llegado el momento, el atacante podra entrar en una de las mquinas trampa,
por ejemplo la 10.0.1.80, e instalar un sniffer en ella para intentar capturar las
claves de acceso; sin embargo, solamente obtendra la informacin generada
por las mquinas trampa; proporcionada mediante scripts para simular trfico y
no la generada por los equipos de usuario (10.0.1.5 y 10.0.1.10).
Para evitar que una vez que el atacante haya accedido a los equipos pueda
atacar a otros sistemas, es conveniente limitar en el router de acceso la cantidad
de conexiones salientes que se pueden realizar desde estos equipos. No se debe
filtrar completamente ya que, de lo contrario, es muy posible que algunos
programas, como los clientes y servidores de FTP, no funcionen correctamente.
Para el equipo de control se puede emplear un sistema Linux con la caracterstica
de puente Ethernet activada. Esta caracterstica est presente en las ltimas
versiones de los ncleos 2.4.x, donde tambin hay una opcin que permite el
filtrado a nivel de direccin Ethernet de los equipos del tiempo, que se puede
emplear para bloquear el trfico de los equipos atacados sin tener que aplicar
filtros en los router de acceso de la organizacin.
CONFIG_BRIDGE=m Activa el empleo de las funciones de puente
Ethernetenelncleodelequipo
CONFIG_BRIDGE_NF Indica que se van a poder emplear las facilidades de
filtrodepaquetes(netfilter)paralastrampasEthernet
quecirculenporelpuente
CONFIG_NETFILTER Activa el sistema de IPtables para el filtrado de
paquetesIPytrampasenelncleodelquipo
CONFIG_IP_NF_IPTABLES Activa el sistema de IPtables para el filtrado de las
tramas
CONFIG_IP_NF_MATCH_MAC Permite filtrar en funcin de la direccin Ethernet
(MAC) de las trampas, para impedir por ejemplo que
HONEYPOTS
Seguridades
Informticas

22

desde los equipos trampa se pueda acceder a
determinadosequiposdelared
CONFIG_IP_NF_FILTER Activacindelosfiltros
Tabla: Opciones de configuracin del ncleo de Linux
En la tabla se muestran las opciones ms importantes que hay que activar para
que el equipo pueda funcionar como puente Ethernet y filtrar las conexiones. En
general se pueden activar todas las funcionalidades que aparecen dentro del
men de configuracin de los filtros (IP Netfilter configuration) de los ncleos.
Adems de la compilacin del ncleo, hay que instalar en el equipo las utilidades
de gestin de puentes (bridge-utils) que permiten la configuracin y gestin de los
puentes Ethernet.
La captura del trfico generado con origen/ destino en/ a los equipos trampa se
puede realizar directamente con el programa tcpdump, separando el trfico en
ficheros distintos y clasificndolo segn la direccin IP del equipo origen/ destino.
Peridicamente se deben realizar rotaciones de estos logs, para evitar tener
ficheros de captura demasiado grandes.
Las opciones que se han empleado con el programa tcpdump para capturar el
trfico aparecen comentadas en la tabla.
HONEYPOTS
Seguridades
Informticas

23



Tcpdumpnnns1500wtrampa10.0.1.80Ibr0host10.0.1.80
n NoconsultarenelservidordeDNSelnombasociadoalasdireccionsIP
nn No consultat en el fichero /etc/services el nombre de los puertos
involucradosencadaconexin
s1500 Nmero mximo de bytes a almacenar de cada paquete, este valordebe
ser igual o mayor que la MTU de los interfaces Ethernet (1.500
normalmente)
wfichero Almacenarlainformacindirectamenteenunfichero
Ibr0 Emplearelinterfacedelpuente,enesteelbr0
Hostequipo CapturarsloeltrficocondestinoaesteequipoanivelIP
Tabla: Opciones de captura para TCPDUMP
Adems, en el equipo de control se lanzar el software de deteccin de
intrusiones snort, que avisar cuando se haya producido un ataque contra las
mquinas trampa.
Estos programas de deteccin de intrusos funcionan leyendo todo el trfico que
llega al equipo y comparando cada paquete IP con una base de datos de reglas
que especifican un determinado ataque.
Estas reglas detectan patrones de ataques conocidos, por lo que deben
actualizarse peridicamente con los patrones de nuevos ataques que van
surgiendo.
8. Anlisisdeuncasoreal
Desde un punto de vista prctico, una vez que se ha detectado o se sospecha
que la integridad del sistema ha podido ser vulnerada por algn tipo de intrusin,
es conveniente hacer una copia de la informacin que hay en el sistema.
Dependiendo de la situacin, puede ser conveniente incluso hacer una copia de
los procesos que se estn ejecutando en ese momento en el equipo, del espacio
de intercambio (swap), de las conexiones activas, etc.
Para realizar una copia de las particiones del sistema de ficheros, en los equipos
Unix, se puede usar el comando dd. Las copias obtenidas pueden volcarse en
una particin libre del propio equipo o a un fichero (cosa poco recomendable,
ya que el contenido del sistema atacado debera modificarse lo menos posible),
sin embargo es preferible enviar los contenidos a otro equipo empleando, por
ejemplo, el programa Netcat (nc).
HONEYPOTS
Seguridades
Informticas

24

El siguiente ejemplo muestra cmo se podra realizar esta copia, transfiriendo el
contenido de la particin sda4 del equipo vctima al equipo de control.
En el equipo vctima se ejecutara:

y en el equipo remoto se recibira el fichero:

Tambin se pueden enganchar los discos a un equipo y realizar la copia a bajo
nivel, empleando discos duros de iguales caractersticas (mismo modelo) y
haciendo la copia mediante dd.
En sistemas operativos como Windows NT, que no disponen de un procedimiento
de backup a bajo nivel, se puede utilizar el procedimiento empleado para
sistemas Unix: arrancar el equipo desde un disco de rescate o instalacin de
Linux/ Unix (menos recomendable por aquello de modificar datos del sistema) y
proceder a realizar la copia de los dispositivos a bajo nivel.
En cualquier caso, es conveniente realizar estas copias a bajo nivel para poder
restaurar los datos en caso de que ocurra algn problema al analizar los ficheros,
adems esto permitir el anlisis de los archivos buscando las fechas de
modificacin de los mismos.
Todo este proceso (es decir, los pasos dados para la copia de los datos del
sistema) debera quedar registrado y documentado en algn sitio de forma
automtica. En estos casos, comandos como script pueden resultar muy tiles.
Una vez que se ha realizado la copia y la migracin de los datos al equipo remoto
donde se va a efectuar al anlisis, se debe proceder a la recopilacin de datos
relacionados con el tipo de sistema y su entorno: versin del sistema operativo,
particiones utilizadas, fecha en la que se detect el ataque, fecha en la que se
desconect de la red el equipo y cualquier otra modificacin que pudiese tener
relevancia para el anlisis.
Posteriormente, se proceder a montar las imgenes de las particiones para
comenzar el anlisis de las mismas en el equipo remoto. Para esto se puede usar
el mecanismo de loop-back disponile en Linux, que permite el montaje de los
ficheros imagen de la particin en el equipo Unix, pudiendo as acceder a
archivos de estos sistemas de ficheros.
HONEYPOTS
Seguridades
Informticas

25


Una vez montadas las particiones, se utilizar fundamentalmente el paquete TCT
para realizar el anlisis. El primer paso ser la obtencin de los tiempos de
Modificacin/Acceso/ Cambio (tiempos MAC) de todos los ficheros del sistema. Es
fundamental capturar estos tiempos antes de emprender cualquier accin sobre
los ficheros del equipo atacado que pueda modificar su valor. La secuencia de
accesos a los ficheros permitir crear una lnea temporal que muestre los
acontecimientos ocurridos en el sistema.
Mediante las herramientas ils e ils2mac1 se podrn obtener los tiempos MAC de
los nodos-i borrados de las particiones. El fichero resultante ser combinado, a su
vez, con el fichero obtenido tras la ejecucin de grave- robber2 sobre el sistema
de ficheros anterior, para, de esta forma, tener los tiempos MAC tanto de los
nodos-i borrados como de los nodos-i activos. La secuencia de comandos usada
para hacer esto podra ser la que se detalla a continuacin:

Al final de este proceso se obtiene un listado completo (contenido en el fichero
fichero.txt) de los tiempos MAC de todos los ficheros del sistema (incluidos los
borrados) que hayan modificado alguno de sus tiempos MAC desde fecha.
La siguiente accin a realizar, una vez obtenidos los tiempos MAC, es comprobar
todos los programas y ficheros de configuracin instalados en el equipo.
En muchas intrusiones, lo primero que hace el atacante es modificar los
programas y herramientas del sistema para ocultar su acceso; adems, suelen
modificar los ficheros de configuracin para crear nuevos usuarios, permitir
accesos desde determinadas mquinas, etc., de forma que puedan acceder al
equipo ms cmodamente con posterioridad.
HONEYPOTS
Seguridades
Informticas

26

Por todo lo comentado anteriormente, es conveniente que no se empleen los
programas instalados en el propio equipo, sino versiones que se tengan
compiladas estticamente siempre que se tenga que realizar el anlisis sobre el
mismo equipo atacado y no se pueda usar otro sistema para realizarlo. El motivo
de utilizar ficheros compilados estticamente se debe a que no emplean
llamadas a libreras del sistema susceptibles de ser modificadas por los atacantes.
Por esa misma razn no es conveniente que se emplee el sistema operativo de la
mquina atacada, ya que puede ser modificado mediante mdulos para ocultar
los procesos y ficheros del atacante. Sin embargo, aunque se usen programas
compilados estticamente, esto no evita que la informacin mostrada pueda ser
errnea, ya que existen rootkits que pueden modificar, mediante mdulos, el
propio ncleo del sistema operativo. Un ejemplo sera Adore.
Si no se dispone de una base de datos de integridad en un dispositivo externo
para poder comprobar la integridad de los ficheros (ayudndose de herramientas
como, por ejemplo, Tripwire), se pueden usar tcnicas como comparar los
ficheros binarios existentes en el sistema con los de la instalacin original (cuando
no estn empaquetados) o con los que hay en otro equipo con la misma versin y
parches del sistema operativo, empleando comandos como cmp.
La mayora de los sistemas operativos disponen de un sistema de verificacin de
paquetes instalados.
La base de datos se mantiene en el propio equipo (por lo que el atacante puede
modificarla) pero de todas maneras puede emplearse muchas veces para
comprobar qu ficheros se han modificado.
Aunque es habitual que algunos ficheros cambien de permisos o de contenido,
por ejemplo al aadir usuarios al fichero de password, despus de realizar algunas
instalaciones que producen cambios en los formatos, etc.; no suele ser habitual
que comandos como /bin/ls sean modificados, lo que puede indicar que se trata
de una versin troyanizada.
Para comprobar la consistencia de los paquetes instalados en el sistema
atacado, buscando especialmente errores de chequeo de md5, se puede usar la
utilidad rpm (o su equivalente si existe en el sistema operativo atacado) con las
opciones adecuadas, como por ejemplo:
HONEYPOTS
Seguridades
Informticas

27


La aparicin de modificaciones en ficheros como: netstat, ifconfig, ps, top, ls, top,
tcpd..., se sugerira la posibilidad de que se haya instalado un rootkit en el sistema.
Un mtodo para saber si los ficheros modificados son versiones troyanizadas de los
originales es examinar los ficheros sospechosos buscando cadenas que delaten
esta posibilidad. Normalmente, la informacin que se obtiene de este estudio
suelen ser rutas de directorios y ficheros que no deberan aparecer en el sistema,
por ejemplo:

El fichero /dev/ xdta resulta ser un fichero de configuracin que contiene un
listado con todos los procesos que no mostrara el comando ps (aunque se
estuvieran ejecutando), para no delatar la presencia de intrusos en el equipo.
Sin embargo, este sistema no siempre da buenos resultados ya que en los ataques
ms recientes se estn empezando a utilizar ficheros que se ejecutan
comprimidos por lo que no es posible visualizar las cadenas de texto que
HONEYPOTS
Seguridades
Informticas

28

contienen y otras tcnicas de ofuscacin que impiden obtener informacin til
empleando el mtodo anterior.
Una vez analizadas las cadenas de los programas supuestamente modificados, se
debe intentar recuperar el contenido de los ficheros borrados (el nmero de
nodo-i que tena asociado cada archivo antes de ser borrado se puede obtener
del fichero de tiempos MAC generado anteriormente).
Para recuperar el contenido de estos ficheros se puede usar el comando icat,
incluido en el TCT. Este programa devuelve toda la informacin que encuentra
sobre el nodo-i que se le pasa como parmetro realizando la bsqueda en la
imagen de la particin indicada.
Anteriormente se han obtenido, mediante el comando ils, los nodos-i actualmente
vacos que hubiesen contenido informacin en el periodo en el que se produjo el
incidente. Para obtener una copia de estos ficheros se puede emplear el
comando icat, en lugar de realizar una bsqueda mediante un editor.

Al realizar este proceso, la siguiente tarea ser averiguar el tipo de cada fichero
para abrirlo con el programa adecuado (el comando file, o sus anlogos en
cada sistema operativo, pueden facilitar esta tarea).
Posteriormente, se deber analizar el contenido de cada uno de estos ficheros.
As, por ejemplo, los ficheros de texto pueden contener trozos de logs borrados
deliberadamente por el intruso, los ficheros ejecutables pueden corresponder a
programas utilizados por el atacante, los ficheros comprimidos pueden ser
paquetes instalados.
HONEYPOTS
Seguridades
Informticas

29


En este punto, si fuese necesario, se procedera al desensamblado de los ficheros
ejecutables para determinar cmo mayor exactitud su funcionalidad.
Recogida y analizada esta informacin bsica (que puede dar una idea muy
aproximada de lo que ha pasado en el sistema), se proceder al estudio del
fichero de tiempos MAC que se gener anteriormente. Este anlisis tratar de
establecer una lnea temporal que muestre la secuencia de acontecimientos
ocurrida en el sistema.
A continuacin se observa un extracto de los datos que genera el programa
mactime, y una pequea resea de la informacin que se puede obtener de
estos (la salida ha sido ligeramente modificada para ajustarla a la pgina).
Como ejemplo se muestra la informacin que aparece cuando se modifica el
fichero ps. A continuacin podemos observar la creacin del fichero de
configuracin (dev/ xmx) que se haba detectado anteriormente.

HONEYPOTS
Seguridades
Informticas

30

En primer lugar, se puede observar que por la proximidad de las fechas en las que
se modifican los ficheros es muy posible que se trate de la ejecucin de un script,
ya que se crean varios ficheros en el mismo instante de tiempo en el anlisis
completo de este ataque se puede verificar esta hiptesis, recuperando el script
empleado entre los ficheros borrados por el atacante.
En la primera entrada de tiempos se accede a varios ficheros del sistema para
obtener informacin del equipo. El fichero raiz-hda4-dead-2404 es el fichero
comprimido de la instalacin que es borrado posteriormente por el atacante.
Por ltimo se puede observar la creacin y modificacin de diversos ficheros en
los directorios del sistema, que reemplazan a los binarios originales del equipo.
Mediante la recuperacin del script lanzado por el atacante, se puede
comprobar que algunos de estos ficheros eran las versiones reales de los
demonios del sistema, como / usr/ bin/ ct, versin original del programa crontab.
Los ficheros instalados por el atacante en el directorio / dev contenan la
configuracin de los binarios del rootkit, indicando qu procesos y conexiones se
deban ocultar a los administradores.
En la ltima fase del anlisis en realidad, no tiene por qu ser la ltima, puede ser
incluso la primera o ir intercalndose, procedindose a examinar el flujo de trfico
capturado por un IDS. El objetivo es establecer y corroborar todos los datos
hallados en el sistema.
En general, los pasos a seguir suelen dividirse en:
1. Anlisis de los flujos de datos para agruparlos segn las distintas conexiones
capturadas. En estos casos conviene la utilizacin de algn tipo de script
que facilite y automatice esta labor, puesto que la cantidad de
informacin con la que se puede llegar a trabajar (del orden de varios
gigabytes) hace inviable un tratamiento manual.
2. Almacenamiento de la informacin de cada conexin en un fichero
donde sea fcilmente identificable: origen y destino de la conexin, fecha
y hora de comienzo y finalizacin, puerto utilizado y tamao de la misma.
3. Establecer, en su caso, si existe algn tipo de desfase horario entre el
sistema de control (IDS, Firewall) y el equipo analizado. Esto es fundamental
para poder comparar los datos de las conexiones almacenadas con la
informacin que ha quedado registrada en el equipo atacado.
4. Estudio de las conexiones y bsqueda de datos que faciliten la
identificacin del atacante. El orden seguido al examinar las conexiones
HONEYPOTS
Seguridades
Informticas

31

puede disminuir el tiempo que es necesario emplear, por eso conviene
empezar por las que parezcan ms prometedoras.
Una vez analizada y clasificada toda la informacin almacenada en el IDS se
pudo determinar que el ataque se produjo aprovechando una vulnerabilidad del
proceso rpc.statd. Posteriormente, el atacante realiz una conexin ftp desde el
propio equipo para bajarse los programas necesarios para completar la intrusin.
Un anlisis ms en profundidad de las conexiones permiti obtener un listado de
las actividades desarrolladas por el atacante: desde la conexin a un servidor
para descargarse el archivo con los ficheros troyanizados, hasta la instalacin de
los mismos.
9. CreacindeunHoneypotBsico
SistemaOperativoWindows:
Paso 1:
Se deber bajar el entorno Perl (ActivePerl 5.8.6) para Windows
http:/ / www.activestate.com/ Products/ Download/Download.plex?id=ActivePerl
all encontrar varios formatos, se recomienda bajar el .zip
http:/ /downloads.activestate.com/ActivePerl/Windows/ 5.8/ActivePerl-5.8.6.811-
MSWin32-x86-122208.zip , una vez descargado se deber ejecutar en lnea de
comando installer.bat, all se presentar una serie de opciones que se puede
dejar por defecto.
Paso 2:
Se debe aadir el directorio Perl al PATH. Entre en Mi PC. Con el botn derecho
entre en opciones avanzadas, variables de entorno y se debe agregar lo
siguiente:
c:>path=%path%;c:perl (o donde haya instalado el Perl).
Paso 3:
Se descargar el entorno Python (ActivePython 2.4.0)
http:/ /www.activestate.com/Products/Download/Download.plex?id=Activepytho
n
Una vez instalado el SO (sistema operativo) estar en la disponibilidad de ejecutar
ficheros .py.
HONEYPOTS
Seguridades
Informticas

32

Es imprescindible equipar una mquina diseada para ser atacada, con un
sistema de seguridad; en caso contrario podra volverse en nuestra contra.
Paso 4:
Se debe bajar el script (free) desde:
http:/ /www.megamultimedia.com/arroba/arroba78/descargas/intrusos.zip de
nombre windog, es la mnima expresin de un Honeypot. Adems de
configurable es sencillo de instalar y su cdigo es bastante entendible. Solo basta
tener ciertos conocimientos de programacin.
Una vez descomprimido se encontrar 2 ficheros perl (sendmail.pl y telnet.pl)
como tambin un readme del autor del script. S el entorno Perl est corriendo
solo se tendr que pulsar dos veces sobre cualquiera de los ficheros nombrados
anteriormente y aparecer una consola indicando que el script est corriendo.
NOTA: Se debe estar atento que no exista ningn servicio corriendo en los puertos
que se indican en el script (23 si se ejecuta el telnel.pl o el 25 si se ejecuta el
sendmail.pl).
Paso 5:
Se debe comprobar que est funcionando el script, para luego pulsar sobre
telnet.pl dos veces. Por medio de la consola se realizar un telnet
telnet localhost
Aparecer algo similar a esto:
Unix(r) System V release 4.0
(Brooder)
Login:
Se introduzca el login y contrasea de acceso al sistema. El mensaje que muestra
por consola puede ser modificado a gusto. Todos los intentos de login y
contrasea quedarn reflejados en la ventana en la que se levant el script y
nunca sern validados porque no est programado de esa forma; adems de
que no hay servicio alguno que validar. Si se deja corriendo esto por un tiempo
con vista a Internet se observar cmo alguien intentar entrar por ese servicio
ficticio.
Para modificar el banner que sale al principio indicando que el visitante acaba
de conectarse a un sistema Unix, se debe abrir el fichero telnet.pl y modificar la
lnea:
HONEYPOTS
Seguridades
Informticas

33

$banner ="nrnrUnix (r) System V Release 4.0 (brooder) nr";
Para el fichero sendmail es exactamente igual.
S se usa el fichero sendmail.pl, al hacer conexin va telnet, reconocer el
comando HELO y responder con un saludo y la direccin IP del visitante que
acaba de conectarse.
Los script son tan sencillos que se puede hasta cambiar el puerto. Si se desea
trabaja con el puerto 23 slo debe cambiar el valor de la variable $port, ejemplo:
$port =22;
Hay que recordar que la verdadera potencia de los servidores trampa consiste en
saber atacar al Script Kiddie donde ms les duele. Hay que tener presente que se
deber combinar diferentes herramientas de anlisis y monitorizacin para sacar
un verdadero provecho de un HoneyPot.
Conclusiones
La instalacin honeypots aislados de la red en produccin permite analizar
los mtodos empleados por los atacantes para acceder a los equipos sin
comprometer la seguridad de la organizacin.
Los honeypots permiten recuperar y analizar diversos programas instalados
y empleados por los atacantes, permitiendo determinar los fines que
llevaron a la intrusin, detectando adems los equipos desde donde se
llevaban a cabo los ataques preliminares, as como obtener, para su
posterior anlisis, otros programas utilizados por el atacante.
El anlisis del trfico de red complementa perfectamente la informacin
obtenida directamente de los honeypots, pudindose relacionar de forma
inmediata la actividad en la red, como por ejemplo los escaneos desde
determinados equipos, con los ataques realizados con xito contra los
equipos trampa.
La documentacin generada sobre las actuaciones realizadas en los
equipos vctima es de utilidad directa en situaciones reales en las que un
equipo ha sido atacado, sirviendo de gua en los pasos a seguir para
realizar un anlisis del ataque.
Bibliografa
Honeynet Project, http:/ / www.honeynet.org
HONEYPOTS
Seguridades
Informticas

34

Honeynet Project Mxico, http:/ / www.honeynet.org.mx
Honeynet Project, Know your Enemy: Honeynets,
http:/ / www.honeynet.org/ papers/honeynet/ index.html
Philippine Honeynet Project, Honeynets Learning, 2006
http:/ / www.philippinehoneynet.org/ docs/ honeynetlearning.pdf
Honeypots: Definitions and Values, http:/ / www.spitzner.net/ honeypots.html
HoneyNet Espaol, http:/ / his.sourceforge.net/ trad/ honeynet/
Zonavirus, http:/ / www.zonavirus.com/ Detalle_Articulo.asp?Articulo=108
Symantec,
http:/ / www.symantec.com/ region/ mx/ enterprisesecurity/ content/framewor
k/ LAM_2371.html
Datafull, http://www.datafull.com/ datahack/ informe.php?id=255
Forzis, http:/ / www.forzis.com
Tracking-Hackers, http:/ /www.tracking-hackers.com