Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. HONEYPOTS
RESUMEN: En la actualidad, en el mundo
cambiante de tecnología, la facilidad de recursos por 1.1 Antecedentes históricos de los
medio de herramientas electrónicas y sistemas de Honeypots.
computación ha influido grandemente para beneficio de
las vidas de las personas. Cada día la comunicación es
casi instantánea con cualquier persona sin importar la Las primeras referencias de honeypot se
ubicación geográfica que éstas tengan, el manejo y agrupan en el proyecto de HoneyNet, este proyecto se
reciprocidad de información y transferencias en líneas inició informalmente en la lista de correo “Wargames”
son ejemplos de lo que la tecnología ha hecho en las en abril de 1999 gracias a los correos cruzados entre
vidas de las personas, instituciones y corporaciones. varios expertos en seguridad de redes que culminaron
con el desarrollo formal del proyecto antes de finalizar
el año.
2
Algunos Honeypots son programas que se Una Honeynet es una red diseñada para ser
limitan a simular sistemas operativos no existentes en atacada o comprometida, no debe ser usada para
la realidad y se les conoce como Honeypots de baja tráfico productivo. Cualquier tráfico detectado entrante o
interacción, y son usados fundamentalmente como saliente de la red es sospechoso por definición.
medida de seguridad. Otros, sin embargo, trabajan Cualquier conexión iniciada desde fuera de la Honeynet
sobre sistemas operativos reales y son capaces de hacia dentro de la red es probablemente algún tipo de
reunir mucha más información; sus fines suelen ser de sondeo, ataque u otra actividad maliciosa. Cualquier
investigación y se los conoce como Honeypots de alta conexión iniciada desde dentro de la Honeynet hacia
interacción. otra red de fuera indica que un sistema fue
comprometido, es decir, que un atacante ha iniciado
Dentro de los tipos de honeypots de alta una conexión desde su recién atacada computadora y
interacción, se encuentran las Honeynets que definen ahora está saliendo a Internet. Este concepto de ningún
una arquitectura de red con el fin de recoger tráfico productivo simplifica enormemente la captura de
información de las amenazas, es decir de quien ataca a datos y el análisis.
las redes y servicios de las empresas; en este tipo de
honeypot no hay emulación, se trabaja con sistemas 2.3 Requisitos de las Honeynets
operativos, servidores y aplicaciones reales. Cuanta
más variedad en sistemas operativos y servicios Una Honeynet presenta dos requisitos básicos y críticos
ofrecidos se podrán registrar más eventos y obtener para que sea realmente útil y permita la extracción de
mayor información. información valiosa:
2.1 Características y usos de las Una vez comprometida la Honeynet se deben dar
algunos permisos para que el atacante utilice, por
Honeynets. ejemplo dar acceso a Internet, descargar herramientas,
Figura 1. Arquitectura típica de una Honeynet.
enviar correos electrónicos, chatear, etc., aunque entre
Dentro de las características y usos de las Honeynets mayor sea la interacción con el exterior más datos
se encuentran: reales se podrán obtener del atacante, se deben
evaluar los riesgos que esto conlleva; la idea es darle al
o Están diseñadas para ser atacadas y recolectar
atacante la flexibilidad para ejecutar lo que necesite,
información sobre los ataques.
pero sin permitir que utilice el sistema comprometido
o Controlan, analizan y capturan todo el tráfico
para atacar a otros.
entrante y saliente.
o Se pueden utilizar para detectar actividades no Una Honeynet que no permita ningún tipo de
autorizadas o ataques (honeypot tradicional). actividad con el exterior dejará de ser atractiva para un
o Requieren mucho trabajo, riesgos y atacante y perderá toda su utilidad. Siempre debe
administración. haber un equilibrio en este aspecto.
o Recolectan información sobre amenazas
existentes.
o Se pueden descubrir nuevas herramientas de
ataques. 2. Captura de datos (Data capture): el objetivo de
o Pueden determinarse patrones de ataque y este requisito es capturar todas las actividades,
estudiar los motivos del atacante. movimientos y acciones que realice el atacante en
o Pueden adaptarse a cualquier tecnología. la Honeynet, esta información es analizada para
aprender sobre las herramientas, técnicas y
2.2 Definición y Funcionalidad de las motivaciones del atacante. La idea es capturar la
Honeynets mayor cantidad de datos sin que el atacante
sospeche que lo están vigilando. El lugar donde se
3
almacena esta información debe encontrarse fuera Dentro de las ventajas que pueden tener las honeynets
de la Honeynet, es decir, debe guardarse de forma se encuentran:
remota ya que si el atacante realmente
compromete un sistema, puede encontrarla, o Se pueden descubrir nuevas herramientas y
falsearla o borrarla. tácticas de ataques de los intrusos.
o Se pueden determinar patrones de ataques y los
motivos del atacante con el objetivo de prevenirlos
2.4 Arquitecturas. en los sistemas reales.
o Un ataque nuevo y exitoso a las honeynets evita el
Se puede diferenciar dos clases de honeynets: las de ataque a los sistemas reales.
primera generación y las de segunda generación. o Minimizan los falsos positivos.
o Comprueban y desarrollan capacidad de
2.4.1 Honeynets de primera respuesta ante incidentes de seguridad.
o Desvían la atención del intruso de los servidores
generación principales.
4
puede salirse del programa virtual y tomar el sistema Seguridad: ya que todo puede estar
Honeynet, saltándose los mecanismos de Control de compartiendo el mismo hardware, hay peligro de
Datos y de Captura de Datos. Se ha dividido las que un atacante acceda a otras partes del
Honeynets Virtuales en dos categorías, Auto- sistema.
Contenidas e Híbridas. Software Limitado, ya que todo tiene que
ejecutarse en una máquina.
2.7.1 Honeynet virtual auto-contenida.
2.7.2 Honeynet virtual híbrida.
Una Honeynet Virtual Auto-Contenida es una
red entera Honeynet condensada en un sólo
computador. Una honeynet híbrida es una combinación de
la clásica Honeynet y del software virtual.
La red entera está virtualmente contenida en
un único y físico sistema. Una red Honeynet Captura de Datos, como por ejemplo
típicamente consiste de un cortafuego para Control de cortafuegos, y Control de Datos, como por ejemplo
Datos y Captura de Datos, y los honeypots dentro de la sensores IDS y almacenamiento de logs, están en un
Honeynet. sistema separado y aislado. Este aislamiento reduce el
riesgo de compromiso.
Movible: las Honeynets Virtuales pueden ser o Segura: Como vimos en las Honeynets Auto-
situadas en un portátil y llevadas a donde Contenidas, existe un peligro de que el atacante
quiera. acceda a otras partes de la honeynet (como
Conectar y escoger: Se puede escoger una el cortafuegos). Con las Honeynets Híbridas, el
máquina y simplemente conectarla en cualquier único peligro sería que el atacante accediera a
red y estará preparada para recolectar información otras honeypots.
de los blackhats. Esto hace que la implantación o Flexible: puede usarse una gran cantidad de
sea más fácil, ya que físicamente estás software y hardware para el Control de Datos y la
implantando y conectando un sólo sistema. Captura de Datos de la red Híbrida. Un ejemplo
Económica en costo y en espacio: sólo se sería que puede usarse el sensor OpenSnort en la
necesita un computador, así que reduce los red, o un Cisco Pix. Se puede incluso ejecutar
gastos de hardware. Ocupa poco espacio y solo cualquier clase de honeypot que se requiera
necesita un puerto de la red. porque simplemente se añade otro computador
Desventajas: único punto de fallo: si algo va en la red (además de la computadora con la
mal con el hardware, la honeynet entera queda Honeypot Virtual).
sin funcionar.
Computador de alta calidad: aunque las Algunas desventajas son:
Honeynets Auto-Contenidas sólo requieren un
computador, tendrá que ser un sistema potente. o No movible, ya que la red honeynet consistirá en
Dependiendo de la configuración, se puede más de una máquina, es más difícil moverla.
necesitar bastante memoria y procesador.
5
o Costosa en tiempo y en espacio, se tendrá que Permite capturar las sesiones del intruso de forma
pasar más electricidad, espacio y posiblemente pasiva a través del kernel del sistema anfitrión.
dinero puesto que hay más de un computador en
la red. Desventajas:
6
acceder al código fuente y no existe el derecho de
realizar modificaciones en la aplicación.
3. CONCLUSIONES
4. REFERENCIAS