HONEY POST Y HONEY NETS

MARLON DAVID MOLINA TAJAN

Lic. Informática y Medios Audiovisuales
Esp (c). Telecomunicaciones
E-mail: mardamota@gmail.com

LAURA PATRICIA PATERNINA ÁLVAREZ

Ingeniera de Sistemas
Esp (c). Telecomunicaciones
E-mail: laurapaters10@gmail.com

1. HONEYPOTS
RESUMEN: En la actualidad, en el mundo
cambiante de tecnología, la facilidad de recursos por 1.1 Antecedentes históricos de los
medio de herramientas electrónicas y sistemas de Honeypots.
computación ha influido grandemente para beneficio de
las vidas de las personas. Cada día la comunicación es
casi instantánea con cualquier persona sin importar la Las primeras referencias de honeypot se
ubicación geográfica que éstas tengan, el manejo y agrupan en el proyecto de HoneyNet, este proyecto se
reciprocidad de información y transferencias en líneas inició informalmente en la lista de correo “Wargames”
son ejemplos de lo que la tecnología ha hecho en las en abril de 1999 gracias a los correos cruzados entre
vidas de las personas, instituciones y corporaciones. varios expertos en seguridad de redes que culminaron
con el desarrollo formal del proyecto antes de finalizar
el año.

En junio de 2000 y por espacio de tres

La idea de Honeypot es desarrollada con el
término Honeynet (Red Trampa). Esta expresión fue
adoptada por The Money Project; una organización no
lucrativa, fundada por Lance Spitzner. Este grupo está
compuesto por expertos en seguridad, cuyo objetivo es
aprender las herramientas, tácticas y motivos de los
atacantes.
La seguridad de la información es un tema
prioritario. Para nadie es un secreto que la tarea de
mantener un servidor o un equipo cualquiera,
conectado a una red, representa uno de los mayores
riesgos posibles. En cualquier momento el sistema
puede ser comprometido por un tercero y junto con él,
la información.
Una Honeynet es una herramienta de
investigación. Es un tipo de Honeypot que consiste en
una red diseñada para ser comprometida por intrusos.
Sirve para estudiar las técnicas utilizadas por los
intrusos que han comprometido la seguridad de la red.
El objetivo principal es conocer al enemigo, aprender de
él, en definitiva es una herramienta diseñada con
propósitos académicos.
semanas, el Honeypot del proyecto fue atacado y
comprometido por un famoso grupo de hackers, lo que
permitió el estudio del comportamiento de este
grupo en “real” así como demostrar la viabilidad y
utilidad de esta nueva herramienta de seguridad.
a. Los Honeypots o redes de trampa es una tecnología
altamente dinámica que provee información para
conocer al enemigo.
Las honeypots definen una arquitectura de red
con el fin de recoger información de las amenazas, es
decir de quien ataca a las redes y servicios de las
empresas; en este tipo de honeypot no hay emulación,
se trabaja con sistemas operativos, servidores y
aplicaciones reales. Cuanta más variedad en sistemas
operativos y servicios ofrecidos se podrán registrar más
eventos y obtener mayor información.
1.2 Pasos para implantar un sistema
de Honeypot.
Los pasos para implantar un sistema honeypot se
pueden resumir en:

PALABRAS CLAVES: Honeypots, Honeynets,  Colocar un recurso que no contenga

Virtualización, NIDS, HIDS, IDS, Firewall. información de producción, por lo que nada ni
nadie debería interactuar con él.
  Registrar cualquier transacción que se realice
desde o hacia el recurso, pues significará un
acceso no autorizado.
1.3 Ventajas y desventajas de los
Honeypots.
La simplicidad en la concepción de los honeypots es la
que le brinda sus grandes ventajas y desventajas.
1.3.1 Ventajas.
La principal ventaja de los honeypots
reside en la forma de recopilar la información. No
contienen tráfico de producción por lo que los datos
colectados son extremadamente valiosos, producto de
algún tipo de intrusión. El esquema de enfocarse en
reunir únicamente datos producto de accesos no
autorizados, facilita su administración, análisis y
difusión. Además, permite solucionar problemas
típicos de la detección de ataques como los falsos
positivos y los falsos negativos.
Un falso positivo es cuando un sistema de
Seguridad de la Información reporta como ataque algo
que en realidad constituye tráfico normal. Similar al
problema de las alarmas de los carros que se activan
por las vibraciones que genera un camión que pasa
muy cerca.
Si la activación se repite constantemente, se
decide ignorarla. Los honeypots reducen
significativamente los falsos positivos porque
prácticamente cualquier actividad es, por definición, no
autorizada.
Un falso negativo es cuando se falla en
detectar ataques desconocidos. Si el ladrón de carros
diseña un nuevo ataque para desactivar la alarma, se lo
robará sin que se genere una alerta. Una vez más,
cualquier interacción con el honeypot es, por definición,
no autorizada, independientemente de la táctica o
herramienta utilizada. Por ello, puede detectar y
generar alertas ante nuevos ataques.
Por último, los honeypots constituyen una
tecnología altamente flexible y adaptable a cualquier
ambiente. El recurso que proveen para ser atacado
puede ser de diversa índole como computadoras
con diferentes sistemas operativos (Windows, Linux,
Unix, etc.), un equipo de red (enrutador, firewall,
etc.), un servicio (correo electrónico, página web, base
de datos, etc), en fin, cualquier recurso.
1.3.2 Desventajas.
La misma simplicidad en su concepción es la que
origina las desventajas de los honeypots. La principal
es su limitado campo de visión, pues solo detectan los
ataques que interactúan con ellos y no los
dirigidos a otros recursos. Adicionalmente, todo
honeypot conlleva riesgos. Uno es la identificación,
pues si el atacante detecta la existencia de la red de
trampa, podría introducir datos que lleven a
conclusiones erróneas. Otro riesgo es que el atacante
logre comprometer la red de trampa, pues puede
utilizarla para lanzar ataques a otros recursos, internos
o externos, que si contengan información de
producción.
2. Honeynets.
En la actualidad las empresas de cualquier
tipo o sector, se enfrentan cada vez con más riesgos e
inseguridades procedentes de una amplia variedad de
amenazas que pueden afectar de forma importante los
sistemas de información y la información procesada y
almacenada por ellos.
Ante estas circunstancias, las organizaciones
experimentan la necesidad de establecer estrategias y
controles adecuados que garanticen una gestión segura
de la seguridad informática y de los procesos del
negocio, dando mayor protección a la información.
Para esto existen los Honeypots, que pueden
ser software o un conjunto de computadores cuya
intención es atraer atacantes, simulando ser sistemas
vulnerables o débiles a los ataques. Es una herramienta
de seguridad informática utilizada para recoger
información sobre los atacantes y sus técnicas. Los
Honeypots pueden distraer a los atacantes de las
máquinas más importantes del sistema, y advertir
rápidamente al administrador del sistema de un ataque,
además de permitir un examen en profundidad del
atacante, durante y después del ataque al Honeypot.
2
 Algunos Honeypots son programas que se
limitan a simular sistemas operativos no existentes en
la realidad y se les conoce como Honeypots de baja
interacción, y son usados fundamentalmente como
medida de seguridad. Otros, sin embargo, trabajan
sobre sistemas operativos reales y son capaces de
reunir mucha más información; sus fines suelen ser de
investigación y se los conoce como Honeypots de alta
interacción.
Dentro de los tipos de honeypots de alta
interacción, se encuentran las Honeynets que definen
una arquitectura de red con el fin de recoger
información de las amenazas, es decir de quien ataca a
las redes y servicios de las empresas; en este tipo de
honeypot no hay emulación, se trabaja con sistemas
operativos, servidores y aplicaciones reales. Cuanta
más variedad en sistemas operativos y servicios
ofrecidos se podrán registrar más eventos y obtener
mayor información.
2.1 Características y usos de las
Honeynets.
Figura 1. Arquitectura típica de una Honeynet.
Dentro de las características y usos de las Honeynets
se encuentran:
o Están diseñadas para ser atacadas y recolectar
información sobre los ataques.
o Controlan, analizan y capturan todo el tráfico
entrante y saliente.
o Se pueden utilizar para detectar actividades no
autorizadas o ataques (honeypot tradicional).
o Requieren mucho trabajo, riesgos y atacante y perderá toda su utilidad. Siempre debe
administración.
o Recolectan información sobre amenazas
existentes.
o Se pueden descubrir nuevas herramientas de
ataques.
o Pueden determinarse patrones de ataque y
estudiar los motivos del atacante.
o Pueden adaptarse a cualquier tecnología.
2.2 Definición y Funcionalidad de las
Honeynets
Una Honeynet es una red diseñada para ser
atacada o comprometida, no debe ser usada para
tráfico productivo. Cualquier tráfico detectado entrante o
saliente de la red es sospechoso por definición.
Cualquier conexión iniciada desde fuera de la Honeynet
hacia dentro de la red es probablemente algún tipo de
sondeo, ataque u otra actividad maliciosa. Cualquier
conexión iniciada desde dentro de la Honeynet hacia
otra red de fuera indica que un sistema fue
comprometido, es decir, que un atacante ha iniciado
una conexión desde su recién atacada computadora y
ahora está saliendo a Internet. Este concepto de ningún
tráfico productivo simplifica enormemente la captura de
datos y el análisis.
2.3 Requisitos de las Honeynets
Una Honeynet presenta dos requisitos básicos y críticos
para que sea realmente útil y permita la extracción de
información valiosa:
1. Control del flujo de datos (Data control):
cuando hay interacción con un atacante, siempre
hay riesgos. Estos riesgos son los que deben ser
reducidos asegurando que una vez la Honeynet
está comprometida o es atacada, se debe
mantener siempre un control del flujo de datos
para evitar que el atacante la utilice contra
terceros o contra la red de producción.
Una vez comprometida la Honeynet se deben dar
algunos permisos para que el atacante utilice, por
ejemplo dar acceso a Internet, descargar herramientas,
enviar correos electrónicos, chatear, etc., aunque entre
mayor sea la interacción con el exterior más datos
reales se podrán obtener del atacante, se deben
evaluar los riesgos que esto conlleva; la idea es darle al
atacante la flexibilidad para ejecutar lo que necesite,
pero sin permitir que utilice el sistema comprometido
para atacar a otros.
Una Honeynet que no permita ningún tipo de
actividad con el exterior dejará de ser atractiva para un
haber un equilibrio en este aspecto.
2. Captura de datos (Data capture): el objetivo de
este requisito es capturar todas las actividades,
movimientos y acciones que realice el atacante en
la Honeynet, esta información es analizada para
aprender sobre las herramientas, técnicas y
motivaciones del atacante. La idea es capturar la
mayor cantidad de datos sin que el atacante
sospeche que lo están vigilando. El lugar donde se
3
 almacena esta información debe encontrarse fuera
de la Honeynet, es decir, debe guardarse de forma
remota ya que si el atacante realmente
compromete un sistema, puede encontrarla,
falsearla o borrarla.
2.4 Arquitecturas.
Se puede diferenciar dos clases de honeynets: las de
primera generación y las de segunda generación.
2.4.1 Honeynets de primera
generación
Su arquitectura está compuesta de un firewall,
responsable del control de datos, un sistema de
detección de intrusos (Intrusion Detection System, o
IDS), responsable de la captura de datos, un servidor
centralizado de logs y un conjunto de máquinas
víctimas o sistemas señuelos (honeypots). El IDS
puede especializarse en eventos locales al host donde
está instalado (HIDS) o eventos propios de la red
(NIDS)
2.4.2 Honeynets de segunda
generación
En las honeynets de primera generación, no se contaba
con la posibilidad de monitorear a los atacantes por un
período de tiempo lo suficientemente largo sin que
éstos detectaran la presencia de la propia honeynet.
Esto se debió a limitaciones inherentes a la propia
implementación: primero, las restricciones en el número
de conexiones salientes desde la honeynet, y segundo,
el excesivo uso de comunicaciones sobre la capa de
red (capa 3 del modelo OSI) en dispositivos críticos
como firewall, IDS y servidores de logs. Al revelarse su
existencia, se incrementaba notablemente el riesgo de
convertirse en objetivos de ataque.
La arquitectura de una honeynet de segunda
generación está compuesta por un equipo denominado
honeywall, que cumple el papel de firewall e IDS
simultáneamente, y un conjunto de honeypots.
2.5 Ventajas
Dentro de las ventajas que pueden tener las honeynets
se encuentran:
o Se pueden descubrir nuevas herramientas y
tácticas de ataques de los intrusos.
o Se pueden determinar patrones de ataques y los
motivos del atacante con el objetivo de prevenirlos
en los sistemas reales.
o Un ataque nuevo y exitoso a las honeynets evita el
ataque a los sistemas reales.
o Minimizan los falsos positivos.
o Comprueban y desarrollan capacidad de
respuesta ante incidentes de seguridad.
o Desvían la atención del intruso de los servidores
principales.
2.6 Desventajas
Dentro de las desventajas que pueden tener las
honeynets se encuentran:
o Ofrecen una visión limitada de lo que pasa en la
red (para grandes redes, grandes honeynets).
o Riesgos: sin la vigilancia adecuada, una honeynet
puede utilizarse para atacar otros sistemas.
o Problemas legales: en algunos países se
considera espionaje y/o estafa, sin embargo, no
hay evidencia de la prohibición explícita del tema.
En Colombia en la ley de delitos informáticos[5]
tampoco es muy claro.
o El montaje es complicado: requiere mucho trabajo,
riesgos y administración.
o Puede requerir muchos recursos.
o Requieren sobrecarga administrativa.
2.7 Honeynets virtuales.
Las Honeynets Virtuales toman el concepto
de las tecnologías de las Honeynets, y las implementan
en un único sistema. Las Honeynets Virtuales no son
un nuevo concepto, de hecho toman el concepto actual
de Honeynet y las implementan de una forma
diferente. Esta implementación tiene sus ventajas y
desventajas comparadas con las Honeynets
tradicionales. Las ventajas son coste reducido y más
fácil manejo, ya que todo está; combinado en un único
sistema. Sin embargo, esta simplicidad también resulta
costosa.
Primero, la limitación de qué tipos de sistemas
operativos se puede implantar debido al hardware y al
programa virtual. Segundo, las Honeynets virtuales
traen un riesgo, específicamente que un atacante
4
puede salirse del programa virtual y tomar el sistema
Honeynet, saltándose los mecanismos de Control de
Datos y de Captura de Datos. Se ha dividido las
Honeynets Virtuales en dos categorías, Auto-
Contenidas e Híbridas.
2.7.1 Honeynet virtual auto-contenida.
Una Honeynet Virtual Auto-Contenida es una
red entera Honeynet condensada en un sólo
computador.
La red entera está virtualmente contenida en
un único y físico sistema. Una red Honeynet
típicamente consiste de un cortafuego para Control de
Datos y Captura de Datos, y los honeypots dentro de la
Honeynet.
Figura 2. Honeynet Virtual Auto-Contenida
Algunas ventajas de este tipo de Honeynet(s) virtual(es)
son:
 Movible: las Honeynets Virtuales pueden ser
situadas en un portátil y llevadas a donde
quiera.
 Conectar y escoger: Se puede escoger una
máquina y simplemente conectarla en cualquier
red y estará preparada para recolectar información
de los blackhats. Esto hace que la implantación
sea más fácil, ya que físicamente estás
implantando y conectando un sólo sistema.
 Económica en costo y en espacio: sólo se
necesita un computador, así que reduce los
gastos de hardware. Ocupa poco espacio y solo
necesita un puerto de la red.
 Desventajas: único punto de fallo: si algo va
mal con el hardware, la honeynet entera queda
sin funcionar.
 Computador de alta calidad: aunque las
Honeynets Auto-Contenidas sólo requieren un
computador, tendrá que ser un sistema potente.
Dependiendo de la configuración, se puede
necesitar bastante memoria y procesador.
 Seguridad: ya que todo puede estar
compartiendo el mismo hardware, hay peligro de
que un atacante acceda a otras partes del
sistema.
 Software Limitado, ya que todo tiene que
ejecutarse en una máquina.
2.7.2 Honeynet virtual híbrida.
Una honeynet híbrida es una combinación de
la clásica Honeynet y del software virtual.
Captura de Datos, como por ejemplo
cortafuegos, y Control de Datos, como por ejemplo
sensores IDS y almacenamiento de logs, están en un
sistema separado y aislado. Este aislamiento reduce el
riesgo de compromiso.
Las ventajas
de esta
configuración son:3. Honeynet Virtual Híbrida
Figura
o Segura: Como vimos en las Honeynets Auto-
Contenidas, existe un peligro de que el atacante
acceda a otras partes de la honeynet (como
el cortafuegos). Con las Honeynets Híbridas, el
único peligro sería que el atacante accediera a
otras honeypots.
o Flexible: puede usarse una gran cantidad de
software y hardware para el Control de Datos y la
Captura de Datos de la red Híbrida. Un ejemplo
sería que puede usarse el sensor OpenSnort en la
red, o un Cisco Pix. Se puede incluso ejecutar
cualquier clase de honeypot que se requiera
porque simplemente se añade otro computador
en la red (además de la computadora con la
Honeypot Virtual).
Algunas desventajas son:
o No movible, ya que la red honeynet consistirá en
más de una máquina, es más difícil moverla.
5
o Costosa en tiempo y en espacio, se tendrá que
pasar más electricidad, espacio y posiblemente
dinero puesto que hay más de un computador en
la red.
2.7.3 Honeynets distribuidas.
El siguiente paso que se está realizando con
las Honeynets es la aplicación del viejo principio de
“la unión hace la fuerza”. El escenario con el que
nos encontramos puede ser el de una gran
organización internacional con múltiples redes en
múltiples países o varios equipos de expertos en
seguridad diseminados por todo el planeta que
desean compartir la información generada por sus
Honeynets.
Obviamente, la posibilidad de centralizar (o
al menos comunicar) las distintas Honeynets para la
recolección de información es básico puesto que nos
permitirá la correlación de resultados así como la
comunicación de nuevos descubrimientos de forma
más rápida y eficiente.
2.8
FiguraHerramientas de Virtualización.
4. Arquitectura Distribuida de Honeynets
Algunas de las herramientas de virtualización que se
pueden utilizar para el desarrollo de Honeynets
virtuales son: User Mode Linux, VMware Workstation,
GSX Server y Microsoft Virtual PC.
2.8.1 User Mode Linux.
Es un modulo del kernel que permite la ejecución
simultanea de varios sistemas Linux como procesos de
otra máquina Linux. Su utilización tiene una serie de
ventajas:
 Se trata de una herramienta de código abierto, por
lo que se puede revisar, corregir y adaptar a las
necesidades de la Honeynet.
 Se puede utilizar sin necesidad de licencia.
 Permite capturar las sesiones del intruso de forma
pasiva a través del kernel del sistema anfitrión.
Desventajas:
 Sólo alberga maquinas virtuales Linux.
 No ofrece interfaz gráfica y su utilización no
resulta sencilla de manejar.
 Carece de soporte técnico.
2.8.2 Vmware
Es un sistema de virtualización por software.
Un sistema virtual por software es un programa que
simula un sistema físico (una computadora) con
unas características hardware determinadas. Cuando
se ejecuta el programa (simulador), proporciona un
ambiente de ejecución similar a todos los efectos a una
computadora física, con CPU, BIOS, tarjeta gráfica,
memoria RAM, tarjeta de red, sistema de sonido,
conexión USB, disco duro, etc.
Un virtualizador por software permite
ejecutar (simular) varios servidores o computadoras
(sistemas operativos) dentro de un mismo hardware de
manera simultánea, permitiendo así el mayor
aprovechamiento de recursos. No obstante, y al ser una
capa intermedia entre el sistema físico y el sistema
operativo que funciona en el hardware emulado, la
velocidad de ejecución de este último es menor, pero
en la mayoría de los casos suficiente para usarse en
entornos de producción.
2.8.3 VMware Workstation.
Es una herramienta de virtualización comercial
diseñada para ejecutarse sobre equipos con sistemas
Windows o Linux y presenta las siguientes ventajas:
a. Puede hospedar máquinas virtuales con
sistemas operativos Windows, Linux, Netware
y FreeBSD, aunque potencialmente es
capaz de albergar cualquier sistema que se
ejecute sobre la plataforma X86 de Intel.
b. b. Se administra desde una interfaz gráfica
de usuario y ofrece una documentación
detallada. El proceso de instalación de un
sistema operativo en una maquina virtual es el
mismo que se utiliza en los equipos físicos.
Como inconveniente al utilizar la
herramienta es la exigencia de pago de la licencia y
que es un software propietario, por lo que no se debe
6
acceder al código fuente y no existe el derecho de
realizar modificaciones en la aplicación.

2.8.4 VMware GSK Server.

Es una herramienta de virtualización para ser

utilizada en sistemas Windows o Linux y tiene mayores
ventajas que la versión Workstation, por lo que se
agregan las siguientes:

Puede albergar máquinas virtuales más

potentes y redes más complejas. Permite la
administración remota de la herramienta a través de
una interfaz Web y una consola remota que permite el
acceso a las máquinas virtuales instaladas. Incluye una
API que permite el control de las máquinas virtuales.
Existe soporte técnico al cual se puede optar por
contratar.

2.8.5 Microsoft Virtual PC

Es una herramienta diseñada para funcionar sobre

Windows, OS/2 y MAC OS que es comparable, tanto
en rendimiento como en funcionalidades, a la
versión Workstation de VMware.

3. CONCLUSIONES

4. REFERENCIAS