Está en la página 1de 17

UNIDAD 4 - TÉCNICAS Y HERRAMIENTAS PARA PROTECCIÓN Y MONITOREO DE SERVIDORES.

4.1 PROTOCOLO SNMP

Definición del término SNMP

SNMP significa Protocolo simple de administración

de

red .

Es

un protocolo que les permite a los administradores de red administrar dispositivos

de red y diagnosticar problemas en la red.

Principio operativo de SNMP

El sistema de administración de red se basa en dos elementos principales: un supervisor y agentes. El supervisor es el terminal que le permite al administrador de red realizar solicitudes de administración. Los agentes son entidades que se encuentran al nivel de cada interfaz. Ellos conectan a la red los dispositivos administrados y permiten recopilar información sobre los diferentes objetos.

UNIDAD 4 - TÉCNICAS Y HERRAMIENTAS PARA PROTECCIÓN Y MONITOREO DE SERVIDORES. 4.1 PROTOCOLO SNMP Definicióng nifica Protocolo simple de administración de red . Es un protocolo que les permite a los administradores de red administrar dispositivos de red y diagnosticar problemas en la red. Principio operativo de SNMP El sistema de administración de red se basa en dos elementos principales: un supervisor y agentes. El supervisor es el terminal que le permite al administrador de red realizar solicitudes de administración. Los agentes son entidades que se encuentran al nivel de cada interfaz. Ellos conectan a la red los dispositivos administrados y permiten recopilar información sobre los diferentes objetos. Los conmutadores , concentradores (hubs) , routers y servidores son ejemplos de hardware que contienen objetos administrados. Estos objetos administrados pueden ser información de hardware, parámetros de configuración, estadísticas de rendimiento y demás elementos que estén directamente relacionados con el comportamiento en progreso del hardware en cuestión. Estos elementos se encuentran clasificados en algo similar a una base de datos denominada MIB (" Base de datos de información de administración "). SNMP permite el diálogo entre el supervisor y los agentes para recolectar los objetos requeridos en la MIB. " id="pdf-obj-0-30" src="pdf-obj-0-30.jpg">

Los conmutadores, concentradores (hubs), routers y servidores son ejemplos de hardware que contienen objetos administrados. Estos objetos administrados pueden ser información de hardware, parámetros de configuración, estadísticas de rendimiento y demás elementos que estén directamente relacionados con el comportamiento en progreso del hardware en cuestión. Estos elementos se encuentran clasificados en algo similar a una base de datos denominada MIB("Base de datos de información de administración"). SNMP permite el diálogo entre el supervisor y los agentes para recolectar los objetos requeridos en la MIB.

La arquitectura de administración de la red propuesta por el protocolo SNMP se basa en tres elementos principales:

Los dispositivos administrados son los elementos de red (puentes, concentradores, routers o servidores) que contienen "objetos administrados" que pueden ser información de hardware, elementos de configuración o información estadística;

Los agentes, es decir, una aplicación de administración de red que se encuentra en un periférico y que es responsable de la transmisión de datos de administración local desde el periférico en formato SNMP;

El sistema de administración de red (NMS), esto es, un terminal a través del cual los administradores pueden llevar a cabo tareas de administración.

4.2

CORTA FUEGOS FÍSICOS Y LÓGICOS.

Un cortafuegos es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

La arquitectura de administración de la red propuesta por el protocolo SNMP se basa en tres

Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.

Cortafuegos Lógico

Lógico: Es el conjunto de medios usados para limitar el acceso a la información o recursos de manera lógica, como por ejemplo, una clave de acceso al programa de envío de correos electrónicos.

Un cortafuegos lógico, a diferencia de uno físico, es un equipo pc con un software y Sistema Operativo instalados para funcionar como cortafuegos. Dicho equipo será configurado para realizar el filtrado de paquetes ip en nuestra red.

Cortafuegos Físico

Físico: El que se basa en proteger los componentes físicos de los sistemas, como bloquear con llave la puerta de acceso a un centro de cómputos o áreas con contenidos de importancia.

Tipos de cortafuegos

Nivel de aplicación de pasarela Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y Telnet.……………………………………………………

Cortafuegos de capa de red o de filtrado de paquetes

 

Funciona a nivel de red (capa 3 del

modelo OSI, capa 2 del stack de

protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.

Cortafuegos de capa de aplicación

 

Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP, se pueden realizar

filtrados

según

la URL a

la

que

se

está

intentando

acceder.

Un

cortafuegos a

nivel

7 de tráfico HTTP suele denominarse proxy, y

permite que los computadores de una organización entren a Internet de una

forma

controlada.

Un

proxy

oculta

de

manera

eficaz

las

verdaderas

direcciones

de

red.

Cortafuegos personal

 

Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.

4.3 SNIFFERS

Un sniffer es un programa informático que registra la información que envían los periféricos, así como la actividad realizada en un determinado ordenador.

4.3 SNIFFERS Un sniffer es un programa informático que registra la información que envían los periféricosIDS (Intrusion Detection System, Sistema de Detección de intrusos), estos son prácticamente analizadores con funcionalidades específicas. " id="pdf-obj-3-16" src="pdf-obj-3-16.jpg">

Los principales usos que se le pueden dar son:

Captura automática de contraseñas enviadas en claro y nombres de

usuario de la red.

Esta

capacidad

es

utilizada

en

muchas

ocasiones

por crackers para atacar sistemas a posteriori.

 

Conversión del tráfico de red en un formato inteligible por los humanos.

Análisis de fallos para descubrir problemas en la red, tales como: ¿por qué el ordenador A no puede establecer una comunicación con el ordenador B?

Medición del tráfico, mediante el cual es posible descubrir cuellos de botella en algún lugar de la red.

Detección de intrusos, con el fin de descubrir hackers. Aunque para ello existen programas específicos llamados IDS (Intrusion Detection System, Sistema de Detección de intrusos), estos son prácticamente analizadores con funcionalidades específicas.

Creación de registros de red, de modo que los hackers no puedan detectar que están siendo investigados.

Para

los

desarrolladores,

en

aplicaciones cliente-servidor. Les

permite

analizar la información real que se transmite por la red.

Los analizadores de paquetes tienen diversos usos, como monitorear redes para detectar y analizar fallos, o para realizar ingeniería inversa en protocolos de red. También es habitual su uso para fines maliciosos, como robar contraseñas, interceptar correos electrónicos, espiar conversaciones de chat, etc.

Algunos sniffers trabajan sólo con paquetes de TCP/IP, pero hay otros más sofisticados que son capaces de trabajar con un número más amplio de protocolos e incluso en niveles más bajos tal como el de las tramas del Ethernet.

Los más utilizados son los siguientes:

Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación.

Ettercap, es un interceptor/sniffer/registrador para LANs con switch. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer un Ataque Man-in-the- middle(Spoofing). Muchos modos de sniffing fueron implementados para darnos un conjunto de herramientas poderoso y completo de sniffing.

Kismet, es un sniffer, un husmeador de paquetes, y un sistema de detección de intrusiones para redes inalámbricas 802.11. entrante de paquetes compatible es otra sonda.

TCPDUMP, es un herramienta en línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red. Permite al usuario capturar y mostrar a tiempo real los paquetes transmitidos y recibidos en la red a la cual el ordenador está conectado.

4.4 CORREO NO DESEADO

El término "correo no deseado" se usa para describir el envío de correos

electrónicos masivos

(casi

siempre

de

publicidad) a destinatarios que no los solicitan

y

cuyas

direcciones,

por

lo

general,

se

consiguen

a

través

de Internet.

La

palabra

inglesa "spam" (correo no deseado) proviene

del

nombre

de

la

carne

enlatada

4.4 CORREO NO DESEADO El término " correo no deseado " se usa para describir el

comercializada por la empresa Hormel Foods.

El objetivo principal del correo no deseado es publicitar al precio más bajo a través del "correo basura" o "envío múltiple excesivo" (EMP).

¿Por qué "correo no deseado"?

El objetivo principal del correo no deseado es publicitar al precio más bajo a través del "correo basura" o "envío múltiple excesivo" (EMP).

Cómo trabajan los spammers

Los spammers recogen direcciones de correo electrónico de Internet (en foros, páginas Web, grupos de discusión, etc.) gracias a programas de software llamados "robots" que exploran varias páginas y almacenan en una base de datos todas las direcciones de correo electrónico que aparezcan en ellos.

En este punto, el spammer sólo tiene que iniciar una aplicación que envía el mensaje de publicidad a cada dirección de manera sucesiva.

Cómo combatir el correo no deseado

Existen sistemas antispam basados en reglas modernas que permiten detectar y eliminar mensajes no deseados cuando sea necesario. En general, el software antispam se divide en dos categorías:

Sistemas antispam para clientes, utilizados por el cliente del sistema de mensajería. A grandes rasgos, éstos presentan filtros de identificación, que se basan en reglas predefinidas, o filtros de aprendizaje (filtros Bayesian).

Sistemas antispam del servidor, que pueden filtrar el correo antes de que llegue al destinatario. Este tipo de sistema es sin duda el mejor ya que permite detener el correo basura en el nivel más alto y evitar la congestión de las redes y las direcciones de correo.

  • 4.5 COMPROBACIÓN DE INTEGRIDAD DE ARCHIVOS Y DIRECTORIOS.

En los sistemas de archivos tradicionales, el

método

de

escritura

de

datos es

intrínsecamente vulnerable

a

errores

imprevistos que generan incoherencias en el

sistema.

Debido

a

que

un

sistema de

archivos

tradicional no es transaccional, puede haber bloques sin referenciar, recuentos de vínculos erróneos u otras estructuras de sistema de archivos no coherentes.

 Sistemas antispam para clientes , utilizados por el cliente del sistema de mensajería. A grandes

La adición de diarios soluciona algunos de estos problemas, pero puede presentar otros problemas si el registro no se puede invertir.

La existencia de datos incoherentes en el disco de una configuración ZFS sólo puede ser debida a un error de hardware·(en cuyo caso, la agrupación debería haber sido redundante) o porque hay un error en el software de ZFS.

La utilidad fsck soluciona problemas conocidos específicos de sistemas de archivos UFS.

Casi todos los problemas de agrupación de almacenamiento ZFS suelen estar relacionados con errores de hardware o fallos de alimentación.

Muchos se pueden evitar utilizando agrupaciones redundantes.Si una agrupación se ha dañado por un error de hardware o un fallo de alimentación.

Si la agrupación no es redundante, siempre existe el riesgo de que los daños en el

sistema de

archivos

lleguen

a

hacer que

parte

o todos los datos queden

inaccesibles.

4.6 ANALIZADOR DE PUERTOS.

Un "analizador de red" (también llamado rastreador de puertos) es un dispositivo que permite "supervisar" el tráfico de red, es decir, capturar la información que circula por la red.---------------------------------------------------------------------------------------

En una red no conmutada, los datos se envían a todos los equipos de la red. Pero en uso normal, los equipos ignoran los paquetes que se les envían. Así, al usar la interfaz de red en un modo específico (en general llamado modo promiscuo), es posible supervisar todo el tráfico que pasa a través de una tarjeta de red (una

tarjeta

de

red

Ethernet,

una

tarjeta

de

Uso del rastreador de puertos

red inalámbrica, etc.).

Un rastreador es una herramienta que permite supervisar el tráfico de una red. En general, lo usan los administradores para diagnosticar problemas en sus redes y para obtener información sobre el tráfico que circula en la red. Los Sistemas de detección de intrusiones (IDS) se basan en un rastreador para capturar paquetes y usan bases de datos para detectar paquetes sospechosos.

Desafortunadamente, como ocurre con todas las herramientas administrativas, personas malintencionadas que tengan acceso físico a la red pueden usar el rastreador para recopilar información. Este riesgo es incluso mayor en redes inalámbricas ya que es difícil limitar las ondas de radio a un área; por lo tanto, personas malintencionadas pueden supervisar el tráfico con tan sólo estar en el vecindario.

Formas de evitar problemas debido al uso de rastreadores en la red:

Use

protocolos

cifrados

contenido confidencial.

para

todas las comunicaciones que tengan

Segmentar la red para limitar la divulgación de información. Se recomienda usar conmutadores en vez de concentradores (hub) ya que los primeros

alternan comunicaciones, lo que significa que la información se envía sólo a los equipos a los que va dirigida.

Usar un detector de rastreadores. Es una herramienta que analiza la red en busca de hardware mediante el modo promiscuo.

Se aconseja que, para redes inalámbricas, reduzca la potencia de su hardware para cubrir sólo el área de superficie necesaria. Esto no impedirá que potenciales hackers supervisen la red, pero limitará el área geográfica donde puedan operar.

4.7 MONITOREO DE RED

Monitorización de red

El

término Monitorización

de

constantemente monitoriza una

defectuosos o lentos, para

red describe

el

uso

de

un

sistema

que

luego

informar

en busca de componentes

a

los

mediante

alternan comunicaciones, lo que significa que la información se envía sólo a los equipos a losred de computadoras luego informar en busca de componentes a los administradores de redes mediante correo electrónico , pager u otras alarmas. Es un subconjunto de funciones de la administración de redes. Mientras que un sistema de detección de intrusos monitoriza una red por amenazas del exterior (externas a la red), un sistema de monitorización de red busca problemas causados por la sobrecarga y/o fallas en los servidores , como también problemas de la infraestructura de red (u otros dispositivos). Por ejemplo, para determinar el estatus de un servidor web , software de monitorización que puede enviar, periódicamente, peticiones HTTP ( Protocolo de Transferencia de Hipertexto ) para obtener páginas; para un servidor de correo electrónico , enviar mensajes mediante SMTP ( Protocolo de Transferencia de Correo Simple ), para luego ser retirados mediante IMAP ( Protocolo de Acceso a Mensajes de Internet ) o POP3 ( Protocolo Post Office ). Comúnmente, los datos evaluados son tiempo de respuesta y disponibilidad (o uptime ), aunque estadísticas tales como consistencia y fiabilidad han ganado popularidad. La generalizada instalación de dispositivos de optimización para redes de área extensa tiene un efecto adverso en la mayoría del software de monitorización, especialmente al intentar medir el tiempo de respuesta de punto a punto de manera precisa, dado el límite visibilidad de ida y vuelta. Las fallas de peticiones de estado, tales como que la conexión no pudo ser establecida, el tiempo de espera agotado, entre otros, usualmente produce una acción desde del sistema de monitorización. Estas acciones pueden variar: una alarma puede ser enviada al administrador, ejecución automática de mecanismos de controles de fallas, etcétera. Monitorizar la eficiencia del estado del enlace de subida se denomina Medición de tráfico de red . " id="pdf-obj-8-59" src="pdf-obj-8-59.jpg">

u otras alarmas. Es un subconjunto de

funciones de la administración de redes.

Mientras que un sistema de detección de intrusos monitoriza una red por amenazas del exterior (externas a la red), un sistema de monitorización de red busca problemas causados por la sobrecarga y/o fallas en los servidores, como también problemas de la infraestructura de red (u otros dispositivos).

Por ejemplo, para determinar el estatus de un servidor web, software de monitorización que puede enviar, periódicamente, peticiones HTTP (Protocolo de Transferencia de Hipertexto) para obtener páginas; para un servidor de correo electrónico, enviar mensajes mediante SMTP (Protocolo de Transferencia de Correo Simple), para luego ser retirados mediante IMAP (Protocolo de Acceso a Mensajes de Internet) o POP3 (Protocolo Post Office).

Comúnmente,

los

datos

evaluados

son

de

respuesta y disponibilidad (o uptime), aunque estadísticas tales como consistencia

y fiabilidad han ganado popularidad.

La generalizada instalación de dispositivos de optimización para redes de área extensa tiene un efecto adverso en la mayoría del software de monitorización, especialmente al intentar medir el tiempo de respuesta de punto a punto de manera precisa, dado el límite visibilidad de ida y vuelta.

Las fallas de peticiones de estado, tales como que la conexión no pudo ser establecida, el tiempo de espera agotado, entre otros, usualmente produce una acción desde del sistema de monitorización.

Estas acciones pueden variar: una alarma puede ser enviada al administrador, ejecución automática de mecanismos de controles de fallas, etcétera.

Monitorizar la eficiencia del estado del enlace de subida se denomina Medición de tráfico de red.

Monitorización de un servidor de internet

Monitorizar un servidor de Internet significa que el dueño de los servidores conoce si uno o todos sus servicios están caídos.

La monitorización del servidor puede ser interna o externa. Durante la

monitorización de los servidores se verifican características como el uso de CPU, uso de memoria, rendimiento de red y el espacio libre en disco e incluso las aplicaciones instaladas (como Apache, MySQL, Nginx, Postgres entre otros). Durante este proceso se verifican también los codigos HTTP enviados del servidor

(definidos en la especificación HTTP

RFC
RFC

2616), que suelen

ser

la

forma más

rápida de verificar el funcionamiento de los mismos.

4.7 HERRAMIENTAS DE AUDITORIA DE RED

4.8.1 Pruebas de penetración.

Penetration Testing, también llamadas Pentest por su nombre en inglés, son los métodos para evaluar la seguridad de los sistemas de cómputo y redes de una empresa y/o institución, para comprometer los accesos a los diferentes servicios, aplicaciones, base de datos, servidores, etc., simulando los ataques que Hackers externos podrían llevar a cabo a los sistemas de una institución.

Esta actividad, involucra un análisis activo sobre los sistemas, explotando las vulnerabilidades que se puedan encontrar en los mismos.

Las pruebas de penetración sirven para:

Identificar las vulnerabilidades de alto riesgo de un sistema.

Identificación de las vulnerabilidades que pueden ser difíciles o imposibles de detectar.

Evaluación de la magnitud de las vulnerabilidades encontradas y los impactos operacionales de ataques con éxito.

Pruebas a la capacidad de las herramientas para detectar las pruebas y responder a los ataques.

Proporcionar evidencias para lograr la mejora de los dispositivos, herramientas, etc. En lo que se refiere al personal, seguridad y tecnología.

Las estrategias de prueba de penetración son:

Pruebas orientadas a un objetivo

Estas pruebas selectivas se llevan a cabo en conjunto por el equipo de TI de la organización y el equipo de pruebas de penetración. A veces se le llama un enfoque de “luces encendidas” porque cualquiera puede ver el examen que se lleva a cabo.

Comprobación externa

Este tipo de prueba de penetración se dirige a los servidores o dispositivos de la compañía que son visibles externamente, incluyendo servidores de nombres de dominio (DNS), servidores de correo electrónico, servidores web o firewalls. El objetivo es averiguar si un atacante externo puede entrar y hasta dónde puede llegar una vez que ha obtenido acceso.

Pruebas internas

Esta prueba simula un ataque interno detrás del firewall por un usuario autorizado, con privilegios de acceso estándar. Este tipo de prueba es útil para estimar la cantidad de daño que un empleado descontento podría causar.

Pruebas a ciegas

Una estrategia de prueba a ciegas simula las acciones y procedimientos de un atacante real, limitando severamente la información dada de antemano a la persona o equipo que está realizando la prueba. Por lo general, solo se les puede dar el nombre de la empresa. Debido a que este tipo de prueba puede requerir una cantidad considerable de tiempo para el reconocimiento, puede ser costosa.

Pruebas de doble ciego

Las pruebas de doble ciego toman la prueba a ciegas y la llevan un paso más allá. En este tipo de prueba de penetración, solo una o dos personas de la organización pueden ser conscientes de que se está realizando una prueba. Las pruebas de doble ciego pueden ser útiles para probar el monitoreo de seguridad y la identificación de incidentes de la organización, así como sus procedimientos de respuesta.

4.8.1 Hacking Ético

Antes que nada se debe diferenciar y entender que es Hacker vs. Cracker:

Hacker.- neologismo utilizado para referirse a un experto en varias ramas técnicas relacionadas con las Tecnologías de la Información y Telecomunicaciones:

programación, redes, sistemas operativos, etc.

Cracker.- es quien viola la seguridad de un sistema informático de forma similar a un hacker, sólo que a diferencia de este, el cracker realiza la intrusión con fines ilícitos o con un objetivo deshonesto y no ético.

Por lo anterior se puede decir, que un Hacker Ético es aquel profesional de la seguridad que aplica sus conocimientos con fines defensivos y legales; conduciéndose siempre bajo los principios esenciales de la seguridad de TI que son: Confidencialidad, Autenticidad, Integridad y Disponibilidad.

Herramientas para Hacking Ético

Nmap: Esta herramienta, de código abierto, es sin duda el analizador de red más conocido y utilizado por los usuarios que quieren comprobar de forma remota la seguridad de un sistema informático. Entre otras, las principales funciones que nos ofrece esta herramienta son control de puertos abiertos, horario de uso de servicios de red, control del host y de la actividad en la red del mismo, así como identificar la configuración del ordenador (sistema operativo, firewall, etc).

Metasploit: Los exploits son pequeñas piezas de software diseñadas para aprovechar vulnerabilidades en otras aplicaciones o sistemas operativo. Metasploit es uno de los kits de explotación más grandes de la red. En él podemos encontrar un gran número de exploits con los que vamos a poder analizar la seguridad de cualquier sistema y su robustez frente a este tipo de ataques informáticos.

Angry IP Scanner: Esta herramienta gratuita y de código abierto, también conocida como IPScan, es utilizada en el hacking ético para realizar escáneres de red. Su principal característica es su sencillez de uso ya que,

gracias a ello, el proceso de análisis de direcciones IP y puertos para encontrar posibles puertas traseras es muy rápido y simple, bastante más que con otras herramientas similares.

Cain and Abel: Desde ella vamos a poder llevar a cabo una serie de ataques (por ejemplo, la captura de datos de red) para intentar buscar debilidades en las contraseñas o si es posible adivinarlas a través de técnicas de explotación, por fuerza bruta, por diccionario e incluso por criptoanálisis, además, es capaz de llevar a cabo otras funciones más complejas como la grabación de llamadas Vo-IP.

Ettercap: Es una de las herramientas más utilizadas para hacking ético a nivel de red. Esta herramienta permite llevar a cabo diferentes ataques como ARP poisoning para identificar sistemas dentro de una red, tras lo cual lanzar otro tipo de ataques como MITM para poder llevar a cabo ataques más avanzados, por ejemplo, la explotación de vulnerabilidades.

¿Cual es la diferencia entre pruebas de penetración y hacking ético?

Para la mayoría de la gente es lo mismo pero difiere en cosas muy prácticas:

Los Pentest se llevan a cabo con herramientas específicas y de forma general de descubrimiento en una red, ya definido el objetivo y con dispositivos señalados para su análisis.

Los Hackeos Éticos, tienen un objetivo en específico, pero con la diferencia que se desconoce el lugar donde se encuentra este y se debe llegar al objetivo mostrando toda la evidencia recolectada en el camino.

Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más

información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.

Un tipo especial de honeypot de baja interacción son los sticky honeypots (honeypots pegajosos) cuya misión fundamental es la de reducir la velocidad de los ataques automatizados y los rastreos.

En el grupo de los honeypot de alta interacción nos encontramos también con los honeynet.

Spam honeypots

Los spammers son usuarios que abusan de recursos como los servidores de correo abiertos y los proxies abiertos. Algunos administradores de sistemas han creado honeypots que imitan este tipo de recursos para identificar a los presuntos spammers.

Algunos honeypots son Jackpot, escrito en Java, y smtpot.py, escrito en Python.

Proxypot

es

un

honeypot

que

imita

un

proxy abierto (o proxypot).

Honeypots de Seguridad

Programas como Deception Toolkit de Fred Cohen se disfrazan de servicios de red vulnerables. Cuando un atacante se conecta al servicio y trata de penetrar en él, el programa simula el agujero de seguridad pero realmente no permite ganar el control del sistema. Registrando la actividad del atacante, este sistema recoge información sobre el tipo de ataque utilizado, así como la dirección IP del atacante, entre otras cosas.

Honeynet Project es un proyecto de investigación que despliega redes de sistemas honeypot (HoneyNets) para recoger información sobre las herramientas, tácticas y motivos de los criminales informáticos.

PenTBox Security Suite es un proyecto que desarrolla una Suite de Seguridad Informática. Dentro de los programas que la engloban esta disponible un Honeypot configurable de baja interacción. El proyecto es multiplataforma, programado en Ruby y esta licenciado bajo GNU/GPL.

Alumno Vega Ramírez Víctor Isaí Profesor: Ramírez Treviño Rolando Carrera: Ingeniería en Tecnologías de la Información

Alumno

Vega Ramírez Víctor Isaí

Profesor:

Ramírez Treviño Rolando

Carrera:

Ingeniería en Tecnologías de la Información y Comunicaciones

Materia

Administración y Seguridad de Redes

Trabajo a Entregar:

Unidad 4 - Técnicas Y Herramientas Para Protección Y Monitoreo De Servidores.