HONEYPOTS

UN PASO ADELANTE DE LOS ATACANTES

Pedro Hernán Pérez

Rodrigo Sánchez
ETSR2
GC-F-004 V.01
 Destacado
Área para colocar
texto.

HONEYPOTS SUBTÍTULO
TEMA

GC-F-004 V.01
 Título
Texto para reemplazar. Importancia de la formación
NOMBRE DE técnica y tecnológica y sus aportes en el desarrollo
TEMA A de un país.
El emprendimiento de base tecnológica: ¿Cómo
DESTACAR estamos?
Empleabilidad en Colombia; lo que los empresarios
requieren
Innovaciones para el campo colombiano

GC-F-004 V.01
 2 ANTECEDENTES

• Uso generalizado de redes de área local (LAN).

• Protección insuficiente o nula provoca alteración y pérdidas de datos sensibles.

• Herramientas de tipo reactivo (antivirus, IDS, firewalls), actúan una vez detectado el incidente de seguridad.

• Reportes de nuevas vulnerabilidades en aplicaciones y componentes de Sistemas Operativos son aprovechados por el malware

• Necesidad de actualizar base de firmas, librerías de sistemas, service packs; etc. periódicamente.

• Actualizaciones demoradas o inexistentes.

• Ataques desconocidos

GC-F-004 V.01
ANTECEDENTES

https://www.rediris.es/cert/doc/pdf/ids-uv.pdf

Crecimiento de la complejidad de los ataques en relación al conocimiento técnico requerido para su uso
GC-F-004 V.01
 ANTECEDENTES

¿Por qué no

• Estar “un paso adelante” de los atacantes?

• Conocer de antemano cuales son las debilidades de

nuestra red?

• Reforzar el sistema verdadero y tomar medidas de

seguridad anticipadas?

GC-F-004 V.01
 2 HISTORIA DE LOS HONEYPOTS

1990-1991: Primeras publicaciones acerca de honeypots: Clifford Stoll (The Cuckoo's Egg) y Bill Cheswick (An
Evening With Berferd).

1997: la versión 0.1 de Deception Toolkit fue presentada por Fred Cohen. Después de Clifford Stoll (The Cuckoo's
Egg) y Bill Cheswick (An Evening With Berferd), Deception Toolkit dio una idea de la primera estructura de un
honeypot. Fue el primer honeypot disponible públicamente, y estaba "destinado a hacer que los atacantes crean
que el sistema que ejecuta DTK tuviera una gran cantidad de vulnerabilidades ampliamente conocidas.“

1998: Se lanzó el primer honeypot comercial que se conoce como CyberCop Sting.

1998: BackOfficer Friendly Honeypot fue presentado. Era gratis y fácil de configurar. Sistema operativo Windows. El
concepto de honeypot se hizo cada vez más conocido.

https://images-na.ssl-images-amazon.com/images/
I/51FvGO6fPKL._SY346_.jpg

GC-F-004 V.01
 HISTORIA DE LOS HONEYPOTS

1999: Comienza el proyecto Honeynet. Además, también se lanzaron los Documentos Know Your
Enemy. (https://www.honeynet.org/papers/honeynet).

2000-2001: Los honeypots comenzaron a usarse para capturar software malicioso de Internet y
estar al tanto de las nuevas amenazas. Las empresas comenzaron a utilizar honeypots en sus
sistemas para mejorar la seguridad y ver el tráfico malicioso.

2002: El concepto de honeypot se hizo popular y los honeypots mejoraron sus funcionalidades, por
lo que se volvieron más útiles e interesantes tanto para los investigadores como para las compañías.

2004: Se introducen honeypots virtuales que permiten que múltiples honeypots se ejecuten en un
único servidor

https://pbs.twimg.com/profile_images/582417177254334464/BNceiZYA.png

GC-F-004 V.01
 ¿QUÉ ES UN HONEYPOT?

“Un sistema de detección de intrusos (IDS) es un proceso o dispositivo activo que analiza la actividad del sistema y de la red por entradas no autorizadas y/o
actividades maliciosas. La forma en que un IDS detecta las anomalías pueden variar ampliamente; sin embargo, el objetivo final de cualquier IDS es el de
atrapar a los perpetradores en el acto antes de que hagan algún daño a sus recursos.

Un IDS protege a un sistema contra ataques, malos usos y compromisos. Puede también monitorear la actividad de la red, auditar las configuraciones de la
red y sistemas por vulnerabilidades, analizar la integridad de los datos y más. Dependiendo de los métodos de detección que se utilicen, existen numerosos
beneficios directos e incidentales de usar un IDS. “
http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/ch-detection.html

https://winids-snort.wikispaces.com/file/view/IDS_main.jpg/543148750/IDS_main.jpg

GC-F-004 V.01
 2 ¿QUÉ ES UN HONEYPOT?

El nombre honeypot proviene de una expresión inglesa que podría traducirse como tarro de miel o
señuelo, diseñado para proteger los sistemas informáticos de atacantes, generadores de correo
basura y ataques automatizados como virus, troyanos, gusanos y malware.

Un honeypot es un "recurso del sistema de información cuyo valor radica en el uso no autorizado o
ilícito de esos recursos “ (https://www.securityfocus.com)
"Un servidor que está configurado para detectar un intruso duplicando un sistema de producción real.
Aparece como un servidor común que hace el trabajo, pero todos los datos y transacciones son falsos.
Un honeypot puede estar ubicado antes o después del firewall, y se utiliza para conocer las técnicas
de un intruso y determinar las vulnerabilidades en el sistema real. “
(http://www.pcmag.com/encyclopedia_term/0,2542,t=honeypot&i=44335,00.asp)

En la práctica, los honeypots son computadores que se aparentan estar desprotegidos. El honeypot
registra todas las acciones y interacciones con los usuarios

https://www.sofistic.com/wp-content/uploads/2015/05/honeypot2.jpg

GC-F-004 V.01
 ¿QUÉ ES UN HONEYPOT?

• Recurso de red vulnerable, destinado a a ser atacado.

• Se utiliza para obtener información sobre el atacante.

• Trampa para neutralizar ataques.

• Sistema de vigilancia y mecanismo de alerta temprana.

https://www.pentestpartners.com/content/uploads/2015/05/Honeypots.png

GC-F-004 V.01
 FUNCIONAMIENTO DE UN HONEYPOT?

Los honeypots se pueden asimilar a usar cemento húmedo para detectar intrusos
humanos, y su funcionamiento está basado en tres conceptos simples:

• Un honeypot no es un sistema de producción y, por tanto, nadie debería tratar

de comunicarse con él. No habrá falsos positivos.

• Cualquier tráfico que tenga por destino el honeypot será sospechoso de ser un
sondeo o un ataque.

• Cualquier tráfico que tenga por origen el honeypot significará que el sistema ha
sido comprometido.

https://image.slidesharecdn.com/honeypotpresentation-120928013656-phpapp01/
95/honeypot-4-728.jpg?cb=1405130062

GC-F-004 V.01
 CARACTERÍSTICAS DE UN HONEYPOT

• Genera un volumen pequeño de datos y alta tasa de aciertos.

• No existen los falsos positivos.
• Necesitan recursos mínimos.
• Son elementos pasivos.
• Son fuentes potenciales de riesgo para la red.
• Usan una dirección IP como mínimo.
• Tienen un limitado carácter preventivo.
• La reacción (interacción) con el atacante puede ser programada.
• Brindan capacidades para confundir y distraer a los atacantes.
• Pueden funcionar virtualmente sin intervención de los administradores de seguridad.

¿Qué no hace un honeypot?

• No sirve para eliminar o corregir fallos de seguridad existentes.

• Si la red es vulnerable, añadir un honeypot no resolverá esas fallas.
• Evitar que un atacante fije su interés en nuestra red.

GC-F-004 V.01
 REQUISITOS PARA LA IMPLEMENTACIÓN

Control de Datos:
Asegurar que nuestro honeypot no sea usado para atacar otros equipos.

Captura de Datos:
Obtener la mayor cantidad de información del atacante, sin que se dé cuenta

Análisis de datos:
Analizar los datos capturados.

Recolección de datos:
Recopilar toda la información de diversos honeypots que hagan referencia a una única fuente de ataque.

GC-F-004 V.01
 ELEMENTOS DE UN HONEYPOT

• Sistema señuelo

• Firewall

• Unidad de monitoreo

• Unidad de alertas

• Unidad de registro

GC-F-004 V.01
VENTAJAS DE USAR UN HONEYPOT

• No hay tráfico normal

• Detección de nuevos tipos de ataques, a diferencia de un IDS que funciona con firmas o reglas predefinidas

• Uso mínimo de recursos

• Funciona en IPv4 e IPv6

• Pueden operar en entornos cifrados

• Generan información en vez de alertas

• Puede distraer o detener al atacante

• Resuelven el problema de auditar archivos de logs extensos (cualquier tráfico hacia el honeypot es sospechoso por definición

• La Auditoría nos muestra las herramientas y las técnicas usadas por el atacante

GC-F-004 V.01
DESVENTAJAS DE USAR UN HONEYPOT

• Trabajan con las tecnologías existentes, no las reemplazan

• Solo permiten rastrear y capturar actividad destinada a interactuar directamente con ellos

• Pueden llegar a constituir un riesgo potencial para la red si hay una mala configuración

• Pueden ser usados como punto de inicio para ataques a otras redes

• Posibilidad de ser detectados ya que poseen características y comportamientos fijos

GC-F-004 V.01
2 CLASIFICACIÓN DE LOS HONEYPOTS

GC-F-004 V.01
 2 HONEYPOTS PARA INVESTIGACIÓN

• Recopilan información sobre nuevos ataques y herramientas para llevarlos a cabo.

• Permiten identificar al atacante, los motivos del ataque o cómo los llevan a cabo, además de la frecuencia de los ataques.
• Permiten obtener toda esta información de manera relativamente económica si lo comparamos con otros mecanismos de investigación.
• Aporta una plataforma de estudio de ciber-amenazas.

Usos:
• Capturar amenazas automatizadas analizando los payloads* del malware capturado.
• Prevenir futuros ataques en función del análisis de la información recopilada.
• Capturar herramientas y técnicas desconocidas.
• Adquirir un mayor entendimiento de las motivaciones y organización de los atacantes.
• Obtener información sobre hackers avanzados.
• No reduce el riesgo de forma directa como las honeypots en producción, pero pueden servir como una gran fuente de información.

*
“…parte del malware que realiza la acción maliciosa. En el análisis de programas maliciosos como gusanos, virus o troyanos, se refiere a los
resultados del ataque del software. Ejemplos de payloads podrían ser la destrucción de datos, mensajes ofensivos o correo electrónico
basura enviado a una gran cantidad de personas.” (https://es.wikipedia.org/wiki/Carga_%C3%BAtil_(inform%C3%A1tica))

GC-F-004 V.01
 HONEYPOTS PARA PRODUCCIÓN

• Ayudan a mitigar riesgo en la red o el entorno.

• Proporcionan un valor medible a la seguridad del sistema y las

redes.

• Previenen, detectan y ayudan a responder a ataques sufridos

por la red.

• No han sido diseñados para recoger información sobre las

actividades de hacking

• Se implementan de manera colateral a las redes de datos o

infraestructuras en ambientes reales y son utilizados para
proteger a las organizaciones.

• Están sujetos a ataques constantes.

https://es.slideshare.net/eepica/honeynet-para-dar-a-luz-perfiles-de-atacantes-cparty-colombia-2010

GC-F-004 V.01
 HONEYPOTS DE ALTA INTERACCIÓN

• Su configuración debe ser igual a un sistema de producción real.

• El atacante interactúa con el sistema como lo haría con cualquier

otro sistema operativo.

• Hay poca restricción sobre lo que el atacante puede hacer

después de ingresar al sistema.

• Entorno muy controlado, al igual que las actividades que se

lleven a cabo dentro de sus límites. Todas estas actividades deben
ser registradas para análisis posterior sin que los atacantes lo
perciban.

• Se usa principalmente para fines de investigación.

• No tienen información útil en su interior, aunque debe simularse

https://www.first.org/resources/papers/conference2006/veysset-franck-slides.pdf
su existencia para que resulten atractivas a los atacantes.

GC-F-004 V.01
 FUNCIONES DE UN HONEYPOT DE ALTA INTERACCIÓN

• Ofrecer un sistema operativo completo para que el atacante interactúe con él.
• Registrar y monitorear todas las actividades que lleve a cabo el atacante sin que éste se dé cuenta.
• Asegurar la máquina para que la interacción dentro del honeypot no afecte a otros sistemas.

Información obtenida:

• Información completa sobre los ataques y los atacantes.

• Información sobre ataques y malware desconocidos.

A diferencia de otros honeypots, deben situarse detrás del firewall para minimizar el riesgo asociado y al mismo tiempo desde las reglas del
firewall debe impedirse que la máquina pueda lanzar ataques a otros sistemas.

GC-F-004 V.01
 VENTAJAS Y DESVENTAJAS DE UN HONEYPOT DE ALTA
INTERACCIÓN

• Altamente funcionales.

• Información recopilada abundante y precisa sobre las actividades.

• Mayor oportunidad de aprender sobre el atacante y su metodología.

• Ayudan a prevenir ataques futuros aún no descubiertos.

• Permiten comprender mejor las amenazas.

• Es costoso en tiempo construir, configurar, desplegar y mantener un honeypot de este tipo.

• Hay que saber utilizar distintas herramientas que deben adaptarse a la situación.

• Requiere un gran esfuerzo analizar un honeypot comprometido por un atacante (40 horas por cada 30 minutos que el atacante haya actuado
sobre el sistema) tanto en tiempo como en dificultad (identificar y analizar todas las modificaciones y el malware introducido en el sistema).

• Se introduce un nivel elevado de riesgo sobre el sistema y puede comprometer la seguridad de la organización en su totalidad si no se toman
las medidas adecuadas.

GC-F-004 V.01
 HONEYPOTS DE MEDIA INTERACCIÓN

• Se limitan básicamente a emular parcialmente algún servicio vulnerable más allá de mantener el puerto
a la escucha.

• Capturan el malware que se intente cargar en el honeypot.

• Este tipo de honeypot puede desplegarse en un entorno virtualizado que simule uno real, de forma que
la actividad del atacante queda enjaulada dentro del entorno virtualizado.

GC-F-004 V.01
 FUNCIONES DE UN HONEYPOT DE MEDIA INTERACCIÓN

• Interactuar con el servidor, realizando peticiones y procesando la respuesta.

• Crear una cola de peticiones de ejecución del servidor hacia la herramienta.
• Analizar el sistema o la respuesta del servidor en busca de violaciones de las políticas de seguridad de los sistemas.
• Detectar escaneos o intentos de conexión no autorizados.
• Emulación parcial de servicios.

Información obtenida
• Tiempo y fecha del ataque.
• Dirección IP y puerto destino del ataque.
• Dirección IP y puerto origen del ataque.
• Sistema operativo de atacante.
• Información sobre actividad superficial, tal como comandos introducidos en la consola.

GC-F-004 V.01
 VENTAJAS Y DESVENTAJAS DE UN HONEYPOT DE MEDIA
INTERACCIÓN

• Mayor información que en las de baja interacción sin los riesgos elevados de las de alta interacción.

• Mayor dificultad de detección que las de baja interacción.

• Muy complejo y con mayor posibilidad de una configuración deficiente.

• Es muy difícil dotar al entorno virtualizado de funcionalidad completa y operatividad como en un sistema real.

• Mayor tiempo para instalar y configurar el entorno que las de baja interacción.

• Mayor número de modificaciones sobre la configuración original que las de baja interacción.

GC-F-004 V.01
 HONEYPOTS DE BAJA INTERACCIÓN

• Se usan en entornos en producción.

• Muestran determinados puertos abiertos (simulación de servicios) y permite intentos de

conexión (que serán rechazados, ya que no hay servicios útiles implementados
escuchando) así como a mostrar los anuncios de servicio.

• Fáciles de instalar, configurar, desplegar y mantener, ya que su funcionalidad y diseño son

muy básicos. Cada vez que se observa un intento de conexión de una IP desconocida se
intercepta la conexión y se produce la interacción con el atacante.

• Los datos más comunes de ataque son la información del origen del ataque y las
credenciales utilizadas para intentar acceder al servicio simulado. Debido a estas
características estos honeypots no detectarán gran cantidad de exploits desconocidos.

• Este tipo de honeypot suele asociarse a los honeypots virtuales, ya que el nivel de
interacción requerido permite virtualizar los servicios en lugar de ofrecerlos realmente.
https://www.first.org/resources/papers/conference2006/veysset-franck-slides.pdf

• Utilizan análisis estático (coincidencia de firmas y métodos heurísticos) que permite

detectar ciertas respuestas maliciosas que pasarían desapercibidas en honeypots de alta
interacción, tales como bombas temporales o ataques de día cero

GC-F-004 V.01
FUNCIONES DE UN HONEYPOT DE BAJA INTERACCIÓN

• Interactuar con el servidor, realizando peticiones y procesando la respuesta.

• Crear una cola de peticiones de ejecución del servidor hacia la herramienta.

• Analizar el sistema o la respuesta del servidor en busca de violaciones de las

políticas de seguridad de los sistemas.

• Detectar escaneos o intentos de conexión no autorizados.

Información obtenida:
• Tiempo y fecha del ataque.

• Dirección IP y puerto destino del ataque.

• Dirección IP y puerto origen del ataque.

• Sistema operativo del atacante.

GC-F-004 V.01
 VENTAJAS Y DESVENTAJAS DE UN HONEYPOT DE BAJA
INTERACCIÓN

• Buen punto de partida.

• Fáciles de instalar

• Riesgo introducido muy limitado.

• El registro y análisis de la actividad maliciosa es sencillo (poco volumen de información que recoger y poco
variada).

• Poco funcionales.

• No existe interacción real con el atacante.

• La capacidad de registrar información está muy limitada (debido a las actividades permitidas).

• Solo capturan ataques conocidos.

• Son muy fáciles de detectar por atacantes experimentados.

GC-F-004 V.01
 CLASIFICACIÓN DE LOS HONEYPOTS SEGÚN SU
DESPLIEGUE – HONEYPOTS FÍSICOS

No existe una diferencia significativa de funcionamiento del honeypot que sea dependiente del despliegue, las diferencias
fundamentales radican en el entorno operativo. Las consideraciones que hay que tener en cuenta a la hora de elegir un modelo u otro
radican básicamente en el riesgo y la ganancia.

Sistemas que se despliegan con el único propósito de servir como honeypot y que no utilizan ningún mecanismo de virtualización para
tal fin.

Aunque son más caros que los honeypots virtuales, son más difíciles de identificar, ya que el atacante tendrá las respuestas usuales de
un sistema real. Aunque este hecho por sí solo no identifique de forma precisa la existencia de un honeypot sí puede hacer que el
atacante sospeche. Como desventaja está el hecho de que un honeypot real comprometido puede permitir al atacante utilizar el
sistema para actividades maliciosas. En este aspecto hay que diferenciar entre honeypots Windows y Linux, siendo las primeras más
vulnerables a este hecho que los segundos.

GC-F-004 V.01
 CLASIFICACIÓN DE LOS HONEYPOTS SEGÚN SU
DESPLIEGUE – HONEYPOTS VIRTUALES

• Máquinas en las que se virtualizan una serie de servicios que serán analizados y
registrados.

• Más económicos y seguros.

• Fácilmente reemplazables sin la necesidad de detener la actividad del honeypot

mientras se analiza la imagen comprometida.

• Los servicios virtualizados solo engañarán a los atacantes menos experimentados y

habilidosos.

• Existe una mayor limitación con respecto a la información que se registrará.

https://www.usenix.org/legacy/publications/library/proceedings/sec04/tech/full_papers/provos/provos_html/img1.png

GC-F-004 V.01
COMPARACIÓN ENTRE HONEYPOTS

http://openaccess.uoc.edu/webapps/o2/bitstream/10609/38001/7/imutesTFM0614memoria.pdf

GC-F-004 V.01
 PAPEL DE LOS HONEYPOTS EN EL PLAN DE SEGURIDAD

Prevención
• Ya que los honeypots pueden hacer perder mucho tiempo y recursos a un atacante esto indirectamente ayuda a prevenir los ataques sobre la
organización.
• Si el atacante detecta honeypots desplegados en un entorno posiblemente cambie su intención de atacar el entorno.

Detección
• Reducen el nivel de falsos positivos: debido a que no hay tráfico legítimo que deba alcanzar al honeypot
• Reduce el nivel de falsos negativos: ya que es difícil que los nuevos ataques pasen inadvertidos.
• Reduce el volumen de datos capturados: informando solo de información útil sobre ataques reales.
• En ningún caso los honeypots son una solución infalible para la seguridad, por lo que deben desplegarse otras herramientas de seguridad en el
entorno.

Respuesta
• A diferencia de otros sistemas en producción, los honeypots pueden ser sometidas a un análisis riguroso sin afectar al funcionamiento de la
organización.
• En los honeypots es más fácil detectar cambios en logs y registros.
• La información del ataque almacenada en los honeypots no se corromperá con el funcionamiento normal de la misma.

GC-F-004 V.01
 UBICACIÓN DE LOS HONEYPOTS

• Se debe integrar con el resto del sistema: servidores WWW, servidores de archivos, DNS.
• No debe interferir las otras medidas de seguridad: firewalls, IDS.

Antes del firewall

http://www.cybsec.com/upload/ESPE_Honeypots.pdf

GC-F-004 V.01
UBICACIÓN DE LOS HONEYPOTS

Después del firewall

http://www.cybsec.com/upload/ESPE_Honeypots.pdf

GC-F-004 V.01
UBICACIÓN DE LOS HONEYPOTS

En la DMZ

http://www.cybsec.com/upload/ESPE_Honeypots.pdf

GC-F-004 V.01
 2 TÉCNICAS DE DETECCIÓN DE HONEYPOTS

• Propiedades técnicas de los honeypots (tiempos de respuesta, banners, entradas en el registro, respuestas inconsistentes o ciertos parámetros.)

• Propiedades del sistema en relación a la interacción con los usuarios (tiempos de acceso y modificación de los archivos pueden hacer sospechar
que el sistema no se usa como un usuario convencional lo haría.)

• Búsqueda de presencia de máquinas virtuales (las soluciones de virtualización pueden ser detectadas fácilmente en un entorno local.)

• Buscar trazas de herramientas típicas usadas en honeypots (archivos temporales, volcados del núcleo, backdoors, Sebek,etc.)

• Buscar en los historiales de archivos/logs en busca de errores de configuración cometidos al desplegar el honeypot.

• Buscar vulnerabilidades y exploits que afecten al software del honeypot.

GC-F-004 V.01
TÉCNICAS DE DETECCIÓN DE HONEYPOTS

Es importante cuidar detalles como direcciones físicas (MAC), direccionamiento IP, banners, fingerprinting de
navegadores para accesos a paneles web, etc., ya que existen servicios, como el proporcionado por SHODAN, en el
que revisando una dirección IP se puede averiguar si corresponde a un honeypot o a un sistema real.

https://www.certsi.es/sites/default/files/blog/Honeypots_Indus/shodan_1.png

GC-F-004 V.01
SOFTWARE DE HONEYPOT

GC-F-004 V.01
 PROYECTO HONEYNET - HISTORIA

El grupo comenzó informalmente en abril de 1999 como la lista de correo

[Wargames]. Con el tiempo, el grupo creció, convirtiéndose oficialmente en el
Proyecto Honeynet en junio de 2000.

El objetivo es “estudiar las técnicas, tácticas y motivos de la comunidad de

atacantes y compartir las lecciones aprendidas”.

Este proyecto agrupa a miembros con perfiles muy distintos: expertos en los
distintos sistemas operativos, desarrolladores de herramientas de seguridad,
psicólogos, etc.

http://his.sourceforge.net/honeynet/papers/honeynet/lab.jpg

GC-F-004 V.01
 OBJETIVOS DE UNA HONEYNET

Conciencia: Para crear conciencia de las amenazas que existen.

Información: Para aquellos que ya conocen, para enseñar e informar sobre las amenazas.

Investigación: Ofrecer a las organizaciones la capacidad de aprender más por sí mismas.

https://image.slidesharecdn.com/honeypots-140921060716-phpapp01/95/honeypots-19-638.jpg?cb=1411279725

GC-F-004 V.01
 CARACTERÍSTICAS DE UNA HONEYNET

• Un recurso de seguridad cuyo valor radica en ser probado, atacado o comprometido.

• No tiene valor de producción, cualquier cosa que vaya hacia o desde un honeypot es probablemente una
sonda, ataque o compromiso.

GC-F-004 V.01
 VENTAJAS Y DESVENTAJAS DE UNA HONEYNET

Ventajas

• Reducir falsos negativos y falsos positivos

• Recopilar pocos datos, pero datos de alto valor

• Recursos mínimos

• Conceptualmente simple

Desventajas

• Campo de visión limitado

• Riesgo

GC-F-004 V.01
 ¿QUÉ ES UNA HONEYNET?

• Honeypot de alta interacción.

• Es una arquitectura, no un producto o software.
• Es una red completa que contiene un conjunto de sistemas dispuestos para ser atacados.
• Poblada con sistemas en vivo.

Una vez comprometidos, se recopilan datos para aprender las herramientas, tácticas y motivos de la comunidad blackhat .

https://avatars2.githubusercontent.com/u/3327517?s=280&v=4

http://his.sourceforge.net/honeynet/papers/gen2/
GC-F-004 V.01
 ¿CÓMO FUNCIONA UNA HONEYNET?

Una red altamente controlada donde cada paquete que ingresa o sale es monitoreado, capturado y analizado. Cualquier tráfico que entre o
salga de una honeynet es sospechoso por naturaleza

Una honeynet puede contener cualquier componente de red imaginable, incluyendo routers y switches, lo que le permite replicar la red de
cualquier organización. Este hecho, unido a que los equipos que contiene son sistemas reales con servicios y configuraciones habituales, hace que
los riesgos y las vulnerabilidades que permite descubrir sean exactamente las mismas que se pueden encontrar en cualquier organización que
cuente con sistemas similares a los expuestos.

https://image.slidesharecdn.com/honeypothoneynet-120427190956-phpapp02/95/honeypot-honeynet-6-728.jpg?
cb=1335553876
GC-F-004 V.01
 REQUERIMIENTOS DE UNA HONEYNET

Control de datos: Se debe garantizar que una honeynet comprometida por un intruso no podrá ser usada para atacar otros sistemas
que no pertenezcan a la honeynet. Con este fin, es preciso controlar todas y cada una de las conexiones que el atacante trate de
realizar desde el sistema comprometido, filtrando aquellas que puedan ser nocivas.

Captura de datos. Es fundamental capturar todo el tráfico que entre o salga de la honeynet, así como cualquier actividad del intruso
en el interior de un sistema comprometido, para estudiar las utilidades, tácticas y motivos del ataque.

Recolección de datos: Para conseguir un mejor rendimiento en escenarios con distintas honeynets dispersas por Internet es
recomendable que la información capturada se envíe de forma segura a un servidor centralizado para su almacenamiento y análisis.
De este modo se puede tener un mayor control sobre los datos recogidos, se pueden reaprovechar experiencias y se puede obtener
una imagen más clara de la evolución de los diferentes ataques presentes en La red.

Aparte de los sistemas destinados a recibir los ataques, una honeynet cuenta con un conjunto de dispositivos adicionales que le
permiten detectar, filtrar y registrar tanto el tráfico que entra y sale de la red como las acciones de un intruso en el interior de un
sistema de la red de señuelos tras su compromiso. Todo esto se realiza de forma pasiva, para que el intruso no note ningún
comportamiento extraño que le induzca a pensar que está siendo vigilado.

GC-F-004 V.01
 DIFERENCIA ENTRE HONEYPOT Y HONEYNET

Diferencia entre honeypot y honeynet:

A diferencia de las honeypots, que se implementan sobre un único equipo y que pueden configurarse
con distintos niveles de interacción, una honeynet se extiende sobre una red entera y el grado de interacción es
siempre alto, para que así pueda recopilarse mucha más información.

Las honeynets están especialmente diseñadas para la investigación de nuevas técnicas de ataque y se consideran el concepto de
honeypot de alta interacción llevado al extremo. Esto se logra desplegando sistemasconvencionales dentro de una red altamente
controlada.
El reto no se encuentra en desplegar las honeypots, ya que los sistemas no requieren demasiadas configuraciones más allá de la
instalación básica del sistema operativo, sino construir una red controlada que monitorice y capture toda la actividad que ocurra dentro
de su alcance. Es por tanto el tipo de honeypot que más riesgo tiene asociado. Como ventaja destacar que aportan el mayor número de
información posible. Su tecnología es inteligente, pero sus resultados son increíblemente inquietantes. Para resolver el problema de la
responsabilidad aguas abajo, Spitzer y su equipo desarrollaron una gama de técnicas de control de datos. Poro ejemplo, una regla de
firewall adaptable que permite cinco o 10 conexiones salientes cada hora: eso es lo suficientemente alto para evitar un atacante no
sospeche, pero lo suficientemente bajo como para evitar daños graves a los sistemas de terceros. Estas reglas pueden ser
implementado en sistemas de firewall comerciales o en firewalls construidos desde sistemas Linux y OpenBSD. Por supuesto, ninguna
técnica de control de datos es perfecta.

GC-F-004 V.01
 HERRAMIENTAS RELACIONADAS: HONEYTOKENS

Son un tipo de honeypot no basado en sistemas computacionales. Los honeytokens pueden adoptar infinidad de formas: una cuenta falsa, una
dirección de e-mail o una entrada en una base de datos que solo será consultada por consultas maliciosas. Esta definición las hace tremendamente
flexibles y versátiles.

En general no previenen el acceso a los datos, pero aporta al administrador una medición de la fiabilidad en la integridad de los datos.

Se eligen para que adopten valores únicos y para que aparezca en el tráfico legítimo, pero pueden ser fácilmente detectadas por un IDS, alertando al
administrador de un comportamiento que no debería estarse llevando a cabo, por lo tanto además de asegurar la integridad también pueden usarse
para detectar actividades maliciosas poco agresivas.

https://ai2-s2-public.s3.amazonaws.com/figures/2017-08-08/ca8b9184b5e9a74f80780b41cbc53d1f2ab7ac05/4-Figure3-1.png

GC-F-004 V.01
 HERRAMIENTAS RELACIONADAS: PORTSPOOF (Honetpot agresivo)

Actúa a modo de Honeypot pero con capacidades ofensivas.

Se simula un puerto concreto o incluso varios que por una regla de NAT entrante, redirija el tráfico que iba al puerto original
hacia el puerto en el que escucha portspoof, por defecto el 4444.

Permite incluso contraatacar a la IP que hace el escaneo, a través de scripts NSE (Nmap Network Scanning)

Al ejecutar un escaneo de puertos con Nmap mostrará múltiples puertos abiertos (65535, en el peor de los casos), con un
servicio en modo LISTEN en cada uno de ellos, dificultando el accionar del atacante. El escaneo puede durar hasta 10 horas.

En algunos casos, es posible hacer que portspoof devuelva un payload malicioso que fuerza la ejecución de código remoto o el
envío de una shell desde la máquina atacante.

Su uso puede ser ilegal.

GC-F-004 V.01
 HERRAMIENTAS RELACIONADAS: PORTSPOOF (Honeypot agresivo)

$ nmap –sV –p - -PN portspoof.org

https://i0.wp.com/hackingvision.com/wp-content/uploads/2017/02/nmap_scan.jpg?fit=784%2C649&ssl=1 GC-F-004 V.01

HERRAMIENTAS RELACIONADAS: LaBrea (Honeypot “pegajoso”)

Labrea crea máquinas virtuales en un bloque definido de direcciones IP no utilizadas.

Cuando una solicitud ARP para una IP en particular no recibe respuesta en el tiempo configurado (predeterminado: 3
segundos), LaBrea crea una respuesta ARP que enruta todo el tráfico destinado a la IP a una dirección MAC "falsa".
LaBrea olfatea el tráfico TCP / IP enviado a esa dirección MAC y luego responde a cualquier paquete SYN con un
paquete SYN / ACK que crea.

Las “maquinas virtuales” responden los intentos de conexión de tal forma que hace que la máquina del otro extremo
se “atasque” por mucho tiempo.

GC-F-004 V.01
USO DE LOS HONEYPOTS

• WiFi Honeypots

• Honeypots virtuales

• Honeypots y Worms

• Honeypots distribuidos

• HoneyClients: Navegadores web sin parches que buscan activamente sitios

web maliciosos.

• Honeypot farms

• Proyecto Honeynet

GC-F-004 V.01
PRÁCTICA: HONEYDRIVE

GC-F-004 V.01
PRÁCTICA: HONEYDRIVE

GC-F-004 V.01
GC-F-004 V.01