Documentos de Académico
Documentos de Profesional
Documentos de Cultura
HONEYPOTS SUBTÍTULO
TEMA
GC-F-004 V.01
Título
Texto para reemplazar. Importancia de la formación
NOMBRE DE técnica y tecnológica y sus aportes en el desarrollo
TEMA A de un país.
El emprendimiento de base tecnológica: ¿Cómo
DESTACAR estamos?
Empleabilidad en Colombia; lo que los empresarios
requieren
Innovaciones para el campo colombiano
GC-F-004 V.01
2 ANTECEDENTES
• Herramientas de tipo reactivo (antivirus, IDS, firewalls), actúan una vez detectado el incidente de seguridad.
• Reportes de nuevas vulnerabilidades en aplicaciones y componentes de Sistemas Operativos son aprovechados por el malware
• Necesidad de actualizar base de firmas, librerías de sistemas, service packs; etc. periódicamente.
• Ataques desconocidos
GC-F-004 V.01
ANTECEDENTES
https://www.rediris.es/cert/doc/pdf/ids-uv.pdf
Crecimiento de la complejidad de los ataques en relación al conocimiento técnico requerido para su uso
GC-F-004 V.01
ANTECEDENTES
¿Por qué no
GC-F-004 V.01
2 HISTORIA DE LOS HONEYPOTS
1990-1991: Primeras publicaciones acerca de honeypots: Clifford Stoll (The Cuckoo's Egg) y Bill Cheswick (An
Evening With Berferd).
1997: la versión 0.1 de Deception Toolkit fue presentada por Fred Cohen. Después de Clifford Stoll (The Cuckoo's
Egg) y Bill Cheswick (An Evening With Berferd), Deception Toolkit dio una idea de la primera estructura de un
honeypot. Fue el primer honeypot disponible públicamente, y estaba "destinado a hacer que los atacantes crean
que el sistema que ejecuta DTK tuviera una gran cantidad de vulnerabilidades ampliamente conocidas.“
1998: Se lanzó el primer honeypot comercial que se conoce como CyberCop Sting.
1998: BackOfficer Friendly Honeypot fue presentado. Era gratis y fácil de configurar. Sistema operativo Windows. El
concepto de honeypot se hizo cada vez más conocido.
https://images-na.ssl-images-amazon.com/images/
I/51FvGO6fPKL._SY346_.jpg
GC-F-004 V.01
HISTORIA DE LOS HONEYPOTS
1999: Comienza el proyecto Honeynet. Además, también se lanzaron los Documentos Know Your
Enemy. (https://www.honeynet.org/papers/honeynet).
2000-2001: Los honeypots comenzaron a usarse para capturar software malicioso de Internet y
estar al tanto de las nuevas amenazas. Las empresas comenzaron a utilizar honeypots en sus
sistemas para mejorar la seguridad y ver el tráfico malicioso.
2002: El concepto de honeypot se hizo popular y los honeypots mejoraron sus funcionalidades, por
lo que se volvieron más útiles e interesantes tanto para los investigadores como para las compañías.
2004: Se introducen honeypots virtuales que permiten que múltiples honeypots se ejecuten en un
único servidor
https://pbs.twimg.com/profile_images/582417177254334464/BNceiZYA.png
GC-F-004 V.01
¿QUÉ ES UN HONEYPOT?
“Un sistema de detección de intrusos (IDS) es un proceso o dispositivo activo que analiza la actividad del sistema y de la red por entradas no autorizadas y/o
actividades maliciosas. La forma en que un IDS detecta las anomalías pueden variar ampliamente; sin embargo, el objetivo final de cualquier IDS es el de
atrapar a los perpetradores en el acto antes de que hagan algún daño a sus recursos.
Un IDS protege a un sistema contra ataques, malos usos y compromisos. Puede también monitorear la actividad de la red, auditar las configuraciones de la
red y sistemas por vulnerabilidades, analizar la integridad de los datos y más. Dependiendo de los métodos de detección que se utilicen, existen numerosos
beneficios directos e incidentales de usar un IDS. “
http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/ch-detection.html
https://winids-snort.wikispaces.com/file/view/IDS_main.jpg/543148750/IDS_main.jpg
GC-F-004 V.01
2 ¿QUÉ ES UN HONEYPOT?
El nombre honeypot proviene de una expresión inglesa que podría traducirse como tarro de miel o
señuelo, diseñado para proteger los sistemas informáticos de atacantes, generadores de correo
basura y ataques automatizados como virus, troyanos, gusanos y malware.
Un honeypot es un "recurso del sistema de información cuyo valor radica en el uso no autorizado o
ilícito de esos recursos “ (https://www.securityfocus.com)
"Un servidor que está configurado para detectar un intruso duplicando un sistema de producción real.
Aparece como un servidor común que hace el trabajo, pero todos los datos y transacciones son falsos.
Un honeypot puede estar ubicado antes o después del firewall, y se utiliza para conocer las técnicas
de un intruso y determinar las vulnerabilidades en el sistema real. “
(http://www.pcmag.com/encyclopedia_term/0,2542,t=honeypot&i=44335,00.asp)
En la práctica, los honeypots son computadores que se aparentan estar desprotegidos. El honeypot
registra todas las acciones y interacciones con los usuarios
https://www.sofistic.com/wp-content/uploads/2015/05/honeypot2.jpg
GC-F-004 V.01
¿QUÉ ES UN HONEYPOT?
https://www.pentestpartners.com/content/uploads/2015/05/Honeypots.png
GC-F-004 V.01
FUNCIONAMIENTO DE UN HONEYPOT?
Los honeypots se pueden asimilar a usar cemento húmedo para detectar intrusos
humanos, y su funcionamiento está basado en tres conceptos simples:
• Cualquier tráfico que tenga por destino el honeypot será sospechoso de ser un
sondeo o un ataque.
• Cualquier tráfico que tenga por origen el honeypot significará que el sistema ha
sido comprometido.
https://image.slidesharecdn.com/honeypotpresentation-120928013656-phpapp01/
95/honeypot-4-728.jpg?cb=1405130062
GC-F-004 V.01
CARACTERÍSTICAS DE UN HONEYPOT
GC-F-004 V.01
REQUISITOS PARA LA IMPLEMENTACIÓN
Control de Datos:
Asegurar que nuestro honeypot no sea usado para atacar otros equipos.
Captura de Datos:
Obtener la mayor cantidad de información del atacante, sin que se dé cuenta
Análisis de datos:
Analizar los datos capturados.
Recolección de datos:
Recopilar toda la información de diversos honeypots que hagan referencia a una única fuente de ataque.
GC-F-004 V.01
ELEMENTOS DE UN HONEYPOT
• Sistema señuelo
• Firewall
• Unidad de monitoreo
• Unidad de alertas
• Unidad de registro
GC-F-004 V.01
VENTAJAS DE USAR UN HONEYPOT
• Detección de nuevos tipos de ataques, a diferencia de un IDS que funciona con firmas o reglas predefinidas
• Resuelven el problema de auditar archivos de logs extensos (cualquier tráfico hacia el honeypot es sospechoso por definición
• La Auditoría nos muestra las herramientas y las técnicas usadas por el atacante
GC-F-004 V.01
DESVENTAJAS DE USAR UN HONEYPOT
• Solo permiten rastrear y capturar actividad destinada a interactuar directamente con ellos
• Pueden llegar a constituir un riesgo potencial para la red si hay una mala configuración
• Pueden ser usados como punto de inicio para ataques a otras redes
GC-F-004 V.01
2 CLASIFICACIÓN DE LOS HONEYPOTS
GC-F-004 V.01
2 HONEYPOTS PARA INVESTIGACIÓN
Usos:
• Capturar amenazas automatizadas analizando los payloads* del malware capturado.
• Prevenir futuros ataques en función del análisis de la información recopilada.
• Capturar herramientas y técnicas desconocidas.
• Adquirir un mayor entendimiento de las motivaciones y organización de los atacantes.
• Obtener información sobre hackers avanzados.
• No reduce el riesgo de forma directa como las honeypots en producción, pero pueden servir como una gran fuente de información.
*
“…parte del malware que realiza la acción maliciosa. En el análisis de programas maliciosos como gusanos, virus o troyanos, se refiere a los
resultados del ataque del software. Ejemplos de payloads podrían ser la destrucción de datos, mensajes ofensivos o correo electrónico
basura enviado a una gran cantidad de personas.” (https://es.wikipedia.org/wiki/Carga_%C3%BAtil_(inform%C3%A1tica))
GC-F-004 V.01
HONEYPOTS PARA PRODUCCIÓN
GC-F-004 V.01
HONEYPOTS DE ALTA INTERACCIÓN
GC-F-004 V.01
FUNCIONES DE UN HONEYPOT DE ALTA INTERACCIÓN
• Ofrecer un sistema operativo completo para que el atacante interactúe con él.
• Registrar y monitorear todas las actividades que lleve a cabo el atacante sin que éste se dé cuenta.
• Asegurar la máquina para que la interacción dentro del honeypot no afecte a otros sistemas.
Información obtenida:
A diferencia de otros honeypots, deben situarse detrás del firewall para minimizar el riesgo asociado y al mismo tiempo desde las reglas del
firewall debe impedirse que la máquina pueda lanzar ataques a otros sistemas.
GC-F-004 V.01
VENTAJAS Y DESVENTAJAS DE UN HONEYPOT DE ALTA
INTERACCIÓN
• Altamente funcionales.
• Hay que saber utilizar distintas herramientas que deben adaptarse a la situación.
• Requiere un gran esfuerzo analizar un honeypot comprometido por un atacante (40 horas por cada 30 minutos que el atacante haya actuado
sobre el sistema) tanto en tiempo como en dificultad (identificar y analizar todas las modificaciones y el malware introducido en el sistema).
• Se introduce un nivel elevado de riesgo sobre el sistema y puede comprometer la seguridad de la organización en su totalidad si no se toman
las medidas adecuadas.
GC-F-004 V.01
HONEYPOTS DE MEDIA INTERACCIÓN
• Se limitan básicamente a emular parcialmente algún servicio vulnerable más allá de mantener el puerto
a la escucha.
• Este tipo de honeypot puede desplegarse en un entorno virtualizado que simule uno real, de forma que
la actividad del atacante queda enjaulada dentro del entorno virtualizado.
GC-F-004 V.01
FUNCIONES DE UN HONEYPOT DE MEDIA INTERACCIÓN
Información obtenida
• Tiempo y fecha del ataque.
• Dirección IP y puerto destino del ataque.
• Dirección IP y puerto origen del ataque.
• Sistema operativo de atacante.
• Información sobre actividad superficial, tal como comandos introducidos en la consola.
GC-F-004 V.01
VENTAJAS Y DESVENTAJAS DE UN HONEYPOT DE MEDIA
INTERACCIÓN
• Mayor información que en las de baja interacción sin los riesgos elevados de las de alta interacción.
• Es muy difícil dotar al entorno virtualizado de funcionalidad completa y operatividad como en un sistema real.
• Mayor tiempo para instalar y configurar el entorno que las de baja interacción.
• Mayor número de modificaciones sobre la configuración original que las de baja interacción.
GC-F-004 V.01
HONEYPOTS DE BAJA INTERACCIÓN
• Los datos más comunes de ataque son la información del origen del ataque y las
credenciales utilizadas para intentar acceder al servicio simulado. Debido a estas
características estos honeypots no detectarán gran cantidad de exploits desconocidos.
• Este tipo de honeypot suele asociarse a los honeypots virtuales, ya que el nivel de
interacción requerido permite virtualizar los servicios en lugar de ofrecerlos realmente.
https://www.first.org/resources/papers/conference2006/veysset-franck-slides.pdf
GC-F-004 V.01
FUNCIONES DE UN HONEYPOT DE BAJA INTERACCIÓN
Información obtenida:
• Tiempo y fecha del ataque.
GC-F-004 V.01
VENTAJAS Y DESVENTAJAS DE UN HONEYPOT DE BAJA
INTERACCIÓN
• Fáciles de instalar
• El registro y análisis de la actividad maliciosa es sencillo (poco volumen de información que recoger y poco
variada).
• Poco funcionales.
• La capacidad de registrar información está muy limitada (debido a las actividades permitidas).
GC-F-004 V.01
CLASIFICACIÓN DE LOS HONEYPOTS SEGÚN SU
DESPLIEGUE – HONEYPOTS FÍSICOS
No existe una diferencia significativa de funcionamiento del honeypot que sea dependiente del despliegue, las diferencias
fundamentales radican en el entorno operativo. Las consideraciones que hay que tener en cuenta a la hora de elegir un modelo u otro
radican básicamente en el riesgo y la ganancia.
Sistemas que se despliegan con el único propósito de servir como honeypot y que no utilizan ningún mecanismo de virtualización para
tal fin.
Aunque son más caros que los honeypots virtuales, son más difíciles de identificar, ya que el atacante tendrá las respuestas usuales de
un sistema real. Aunque este hecho por sí solo no identifique de forma precisa la existencia de un honeypot sí puede hacer que el
atacante sospeche. Como desventaja está el hecho de que un honeypot real comprometido puede permitir al atacante utilizar el
sistema para actividades maliciosas. En este aspecto hay que diferenciar entre honeypots Windows y Linux, siendo las primeras más
vulnerables a este hecho que los segundos.
GC-F-004 V.01
CLASIFICACIÓN DE LOS HONEYPOTS SEGÚN SU
DESPLIEGUE – HONEYPOTS VIRTUALES
• Máquinas en las que se virtualizan una serie de servicios que serán analizados y
registrados.
https://www.usenix.org/legacy/publications/library/proceedings/sec04/tech/full_papers/provos/provos_html/img1.png
GC-F-004 V.01
COMPARACIÓN ENTRE HONEYPOTS
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/38001/7/imutesTFM0614memoria.pdf
GC-F-004 V.01
PAPEL DE LOS HONEYPOTS EN EL PLAN DE SEGURIDAD
Prevención
• Ya que los honeypots pueden hacer perder mucho tiempo y recursos a un atacante esto indirectamente ayuda a prevenir los ataques sobre la
organización.
• Si el atacante detecta honeypots desplegados en un entorno posiblemente cambie su intención de atacar el entorno.
Detección
• Reducen el nivel de falsos positivos: debido a que no hay tráfico legítimo que deba alcanzar al honeypot
• Reduce el nivel de falsos negativos: ya que es difícil que los nuevos ataques pasen inadvertidos.
• Reduce el volumen de datos capturados: informando solo de información útil sobre ataques reales.
• En ningún caso los honeypots son una solución infalible para la seguridad, por lo que deben desplegarse otras herramientas de seguridad en el
entorno.
Respuesta
• A diferencia de otros sistemas en producción, los honeypots pueden ser sometidas a un análisis riguroso sin afectar al funcionamiento de la
organización.
• En los honeypots es más fácil detectar cambios en logs y registros.
• La información del ataque almacenada en los honeypots no se corromperá con el funcionamiento normal de la misma.
GC-F-004 V.01
UBICACIÓN DE LOS HONEYPOTS
• Se debe integrar con el resto del sistema: servidores WWW, servidores de archivos, DNS.
• No debe interferir las otras medidas de seguridad: firewalls, IDS.
http://www.cybsec.com/upload/ESPE_Honeypots.pdf
GC-F-004 V.01
UBICACIÓN DE LOS HONEYPOTS
http://www.cybsec.com/upload/ESPE_Honeypots.pdf
GC-F-004 V.01
UBICACIÓN DE LOS HONEYPOTS
En la DMZ
http://www.cybsec.com/upload/ESPE_Honeypots.pdf
GC-F-004 V.01
2 TÉCNICAS DE DETECCIÓN DE HONEYPOTS
• Propiedades técnicas de los honeypots (tiempos de respuesta, banners, entradas en el registro, respuestas inconsistentes o ciertos parámetros.)
• Propiedades del sistema en relación a la interacción con los usuarios (tiempos de acceso y modificación de los archivos pueden hacer sospechar
que el sistema no se usa como un usuario convencional lo haría.)
• Búsqueda de presencia de máquinas virtuales (las soluciones de virtualización pueden ser detectadas fácilmente en un entorno local.)
• Buscar trazas de herramientas típicas usadas en honeypots (archivos temporales, volcados del núcleo, backdoors, Sebek,etc.)
• Buscar en los historiales de archivos/logs en busca de errores de configuración cometidos al desplegar el honeypot.
GC-F-004 V.01
TÉCNICAS DE DETECCIÓN DE HONEYPOTS
Es importante cuidar detalles como direcciones físicas (MAC), direccionamiento IP, banners, fingerprinting de
navegadores para accesos a paneles web, etc., ya que existen servicios, como el proporcionado por SHODAN, en el
que revisando una dirección IP se puede averiguar si corresponde a un honeypot o a un sistema real.
https://www.certsi.es/sites/default/files/blog/Honeypots_Indus/shodan_1.png
GC-F-004 V.01
SOFTWARE DE HONEYPOT
GC-F-004 V.01
PROYECTO HONEYNET - HISTORIA
Este proyecto agrupa a miembros con perfiles muy distintos: expertos en los
distintos sistemas operativos, desarrolladores de herramientas de seguridad,
psicólogos, etc.
http://his.sourceforge.net/honeynet/papers/honeynet/lab.jpg
GC-F-004 V.01
OBJETIVOS DE UNA HONEYNET
Información: Para aquellos que ya conocen, para enseñar e informar sobre las amenazas.
https://image.slidesharecdn.com/honeypots-140921060716-phpapp01/95/honeypots-19-638.jpg?cb=1411279725
GC-F-004 V.01
CARACTERÍSTICAS DE UNA HONEYNET
• No tiene valor de producción, cualquier cosa que vaya hacia o desde un honeypot es probablemente una
sonda, ataque o compromiso.
GC-F-004 V.01
VENTAJAS Y DESVENTAJAS DE UNA HONEYNET
Ventajas
• Recursos mínimos
• Conceptualmente simple
Desventajas
• Riesgo
GC-F-004 V.01
¿QUÉ ES UNA HONEYNET?
Una vez comprometidos, se recopilan datos para aprender las herramientas, tácticas y motivos de la comunidad blackhat .
https://avatars2.githubusercontent.com/u/3327517?s=280&v=4
http://his.sourceforge.net/honeynet/papers/gen2/
GC-F-004 V.01
¿CÓMO FUNCIONA UNA HONEYNET?
Una red altamente controlada donde cada paquete que ingresa o sale es monitoreado, capturado y analizado. Cualquier tráfico que entre o
salga de una honeynet es sospechoso por naturaleza
Una honeynet puede contener cualquier componente de red imaginable, incluyendo routers y switches, lo que le permite replicar la red de
cualquier organización. Este hecho, unido a que los equipos que contiene son sistemas reales con servicios y configuraciones habituales, hace que
los riesgos y las vulnerabilidades que permite descubrir sean exactamente las mismas que se pueden encontrar en cualquier organización que
cuente con sistemas similares a los expuestos.
https://image.slidesharecdn.com/honeypothoneynet-120427190956-phpapp02/95/honeypot-honeynet-6-728.jpg?
cb=1335553876
GC-F-004 V.01
REQUERIMIENTOS DE UNA HONEYNET
Control de datos: Se debe garantizar que una honeynet comprometida por un intruso no podrá ser usada para atacar otros sistemas
que no pertenezcan a la honeynet. Con este fin, es preciso controlar todas y cada una de las conexiones que el atacante trate de
realizar desde el sistema comprometido, filtrando aquellas que puedan ser nocivas.
Captura de datos. Es fundamental capturar todo el tráfico que entre o salga de la honeynet, así como cualquier actividad del intruso
en el interior de un sistema comprometido, para estudiar las utilidades, tácticas y motivos del ataque.
Recolección de datos: Para conseguir un mejor rendimiento en escenarios con distintas honeynets dispersas por Internet es
recomendable que la información capturada se envíe de forma segura a un servidor centralizado para su almacenamiento y análisis.
De este modo se puede tener un mayor control sobre los datos recogidos, se pueden reaprovechar experiencias y se puede obtener
una imagen más clara de la evolución de los diferentes ataques presentes en La red.
Aparte de los sistemas destinados a recibir los ataques, una honeynet cuenta con un conjunto de dispositivos adicionales que le
permiten detectar, filtrar y registrar tanto el tráfico que entra y sale de la red como las acciones de un intruso en el interior de un
sistema de la red de señuelos tras su compromiso. Todo esto se realiza de forma pasiva, para que el intruso no note ningún
comportamiento extraño que le induzca a pensar que está siendo vigilado.
GC-F-004 V.01
DIFERENCIA ENTRE HONEYPOT Y HONEYNET
Las honeynets están especialmente diseñadas para la investigación de nuevas técnicas de ataque y se consideran el concepto de
honeypot de alta interacción llevado al extremo. Esto se logra desplegando sistemasconvencionales dentro de una red altamente
controlada.
El reto no se encuentra en desplegar las honeypots, ya que los sistemas no requieren demasiadas configuraciones más allá de la
instalación básica del sistema operativo, sino construir una red controlada que monitorice y capture toda la actividad que ocurra dentro
de su alcance. Es por tanto el tipo de honeypot que más riesgo tiene asociado. Como ventaja destacar que aportan el mayor número de
información posible. Su tecnología es inteligente, pero sus resultados son increíblemente inquietantes. Para resolver el problema de la
responsabilidad aguas abajo, Spitzer y su equipo desarrollaron una gama de técnicas de control de datos. Poro ejemplo, una regla de
firewall adaptable que permite cinco o 10 conexiones salientes cada hora: eso es lo suficientemente alto para evitar un atacante no
sospeche, pero lo suficientemente bajo como para evitar daños graves a los sistemas de terceros. Estas reglas pueden ser
implementado en sistemas de firewall comerciales o en firewalls construidos desde sistemas Linux y OpenBSD. Por supuesto, ninguna
técnica de control de datos es perfecta.
GC-F-004 V.01
HERRAMIENTAS RELACIONADAS: HONEYTOKENS
Son un tipo de honeypot no basado en sistemas computacionales. Los honeytokens pueden adoptar infinidad de formas: una cuenta falsa, una
dirección de e-mail o una entrada en una base de datos que solo será consultada por consultas maliciosas. Esta definición las hace tremendamente
flexibles y versátiles.
En general no previenen el acceso a los datos, pero aporta al administrador una medición de la fiabilidad en la integridad de los datos.
Se eligen para que adopten valores únicos y para que aparezca en el tráfico legítimo, pero pueden ser fácilmente detectadas por un IDS, alertando al
administrador de un comportamiento que no debería estarse llevando a cabo, por lo tanto además de asegurar la integridad también pueden usarse
para detectar actividades maliciosas poco agresivas.
https://ai2-s2-public.s3.amazonaws.com/figures/2017-08-08/ca8b9184b5e9a74f80780b41cbc53d1f2ab7ac05/4-Figure3-1.png
GC-F-004 V.01
HERRAMIENTAS RELACIONADAS: PORTSPOOF (Honetpot agresivo)
Se simula un puerto concreto o incluso varios que por una regla de NAT entrante, redirija el tráfico que iba al puerto original
hacia el puerto en el que escucha portspoof, por defecto el 4444.
Permite incluso contraatacar a la IP que hace el escaneo, a través de scripts NSE (Nmap Network Scanning)
Al ejecutar un escaneo de puertos con Nmap mostrará múltiples puertos abiertos (65535, en el peor de los casos), con un
servicio en modo LISTEN en cada uno de ellos, dificultando el accionar del atacante. El escaneo puede durar hasta 10 horas.
En algunos casos, es posible hacer que portspoof devuelva un payload malicioso que fuerza la ejecución de código remoto o el
envío de una shell desde la máquina atacante.
GC-F-004 V.01
HERRAMIENTAS RELACIONADAS: PORTSPOOF (Honeypot agresivo)
Cuando una solicitud ARP para una IP en particular no recibe respuesta en el tiempo configurado (predeterminado: 3
segundos), LaBrea crea una respuesta ARP que enruta todo el tráfico destinado a la IP a una dirección MAC "falsa".
LaBrea olfatea el tráfico TCP / IP enviado a esa dirección MAC y luego responde a cualquier paquete SYN con un
paquete SYN / ACK que crea.
Las “maquinas virtuales” responden los intentos de conexión de tal forma que hace que la máquina del otro extremo
se “atasque” por mucho tiempo.
GC-F-004 V.01
USO DE LOS HONEYPOTS
• WiFi Honeypots
• Honeypots virtuales
• Honeypots y Worms
• Honeypots distribuidos
• Honeypot farms
• Proyecto Honeynet
GC-F-004 V.01
PRÁCTICA: HONEYDRIVE
GC-F-004 V.01
PRÁCTICA: HONEYDRIVE
GC-F-004 V.01
GC-F-004 V.01