2008

HONEYPOT

Carlos Jara
Mario Gaete
Nicolás Villalón
Jueves 20 Noviembre 2008
 HONEYPOT 2

INDICE

Introducción...........................................................................................................................4
Que es un Honeypot..............................................................................................................5
Tipos de Honeypots...............................................................................................................5
Por su Funcion....................................................................................................................5
Por Produccion................................................................................................................5
Por Investigacion.............................................................................................................5
Por su Grado de Interaccion...............................................................................................5
Compromiso Bajo...........................................................................................................5
Compromiso Medio........................................................................................................6
Compromiso Alto............................................................................................................7
Otras Caracteristicas............................................................................................................9
Especializacion de los Honeypot..........................................................................................9
Ubicacion................................................................................................................................9
Antes del Firewall.............................................................................................................10
Detrás del Firewall...........................................................................................................10
En la Zona Desmilitarizada..............................................................................................11
HoneyTokens.......................................................................................................................12
Wi-Fi Honeypots..................................................................................................................13
Repercusiones Legales........................................................................................................14
Trampas.............................................................................................................................15
Privacidad.........................................................................................................................15
Responsabilidad................................................................................................................16
Ventajas y Desventajas de Honeypot.................................................................................16
Ventajas de Honeypot.......................................................................................................16
Desventajas de Honeypot..................................................................................................17
Utilidades de Honeypot.......................................................................................................17
Necesidades de un IDS......................................................................................................19
Demasiada Informacion....................................................................................................19
Falsos Positivos................................................................................................................20
Falsos Negativos...............................................................................................................20
Recursos............................................................................................................................20
Honeynets.............................................................................................................................20
Honeynets Virtuales............................................................................................................22
Honeynet Virtual Auto-Contenida.....................................................................................22
Honeynet Virtual Hibrida.................................................................................................23
GEN I....................................................................................................................................24
GEN II..................................................................................................................................26
Honeynet Distribuidas........................................................................................................29
Para que Sirven.................................................................................................................30

SEGURIDAD INFORMATICA
 HONEYPOT 3

Que es KFSensor.................................................................................................................31
Instalacion e Implementacion............................................................................................32
Conclusion............................................................................................................................42
Bibliografia..........................................................................................................................43

SEGURIDAD INFORMATICA
 HONEYPOT 4

INTRODUCCION

El papel de la tecnología del sistema de detección de intrusos basado en señuelos -- o

"honeypots" - está evolucionando. Los honeypots, que alguna vez fueron utilizados
principalmente por los investigadores como una forma de atraer a los hackers a un sistema
de redes para estudiar sus movimientos y comportamiento, están adquiriendo una
importancia cada vez mayor en la seguridad empresarial. En efecto, al brindar detección
temprana de actividad no autorizada en las redes, los honeypots son ahora más útiles que
nunca para los profesionales de seguridad de TI. Este artículo analiza el funcionamiento de
los honeypots y su tecnología, que se está convirtiendo en el componente clave del sistema
de capas de protección contra intrusos. Los Honeypots son una emocionante tecnología
nueva, con un enorme potencial para la comunidad informática. Los primeros conceptos
fueron introducidos por primera vez por varios iconos en la seguridad informática,
especialmente por Cliff Stoll en el libro "The Cuckoo's Egg" y el trabajo de Bill Cheswick
"An Evening with Berferd". Desde entonces, los honeypots han estado en una continua
evolución desarrollándose en una poderosa herramienta de seguridad hoy en día. El
propósito del presente trabajo es el de explicar exactamente qué son los honeypots, sus
ventajas y desventajas, y su importancia en la seguridad. Los Honeypots (Potes de miel)
“Consisten en activar un servidor y llenarlo de archivos tentadores, hacer que sea difícil,
pero no imposible penetrarlo y sentarse a esperar que aparezcan los intrusos. Los honeynets
(conjuntos de honeypots) dan a los crackers un gran espacio para recorrer. Presentan
obstáculos que poseen el nivel de complejidad suficiente para atraerlos, pero sin irse al
extremo para no desalentarlos... Ellos juegan con los archivos y conversan animadamente
entre ellos sobre todo los fascinantes programas que encuentran, mientras el personal de
seguridad observa con deleite cada movimiento que hacen. Francamente, siento una
combinación de sentimientos con respecto a espiar a la gente, aunque no sean buenas
personas”. Dan Adams.También existe el Honeynet, que es un conjunto de Honeypots, así
abarca más información para su estudio. Incluso hace más fascinante el ataque al intruso, lo
cual incrementa el número de ataques. La función principal a parte de la de estudiar las
herramientas de ataque, es la de desviar la atención del atacante de la red real del sistema y
la de capturar nuevos virus o gusanos para su posterior estudio. Una de las múltiples
aplicaciones que tiene es la de poder formar perfiles de atacantes y ataques. Son sistemas
que deliberadamente se decide exponerlos a ser atacados o comprometidos. Estos, no
solucionan ningún problema de seguridad, son una herramienta que nos sirve para conocer
las estrategias que se emplean a la hora de vulnerar un sistema. Son una herramienta muy
útil a la hora de conocer de forma precisa los ataques que se realizan contra la plataforma
de trabajo que hemos elegido, o bien, las plataformas configuradas de la misma forma, y
que sirven para guardar todos los procesos que se están ejecutando contra o en nuestro
sistema con el claro objetivo de acceder a información sensible para una organización,
empresa o corporativo. Así mismo nos permiten conocer nuevas vulnerabilidades y riesgos
de los distintos sistemas operativos y diversos entornos y programas, las cuales aún no se
encuentren debidamente documentadas.

SEGURIDAD INFORMATICA
 HONEYPOT 5

¿Qué es un HoneyPot?

“Consiste en activar un servidor y llenarlo de archivos tentadores, hacer que sea difícil,
pero no imposible penetrarlo y sentarse a esperar que aparezcan los hackers. Los honeynets
(conjuntos de honeypots) dan a los hackers un gran espacio para recorrer. Presentan
obstáculos que poseen el nivel de complejidad suficiente para atraerlos, pero sin irse al
extremo para no desalentarlos... Ellos juegan con los archivos y conversan animadamente
entre ellos sobre todo los fascinantes programas que encuentran, mientras el personal de
seguridad informática observa con deleite cada movimiento que hacen. Francamente, siento
una combinación de sentimientos con respecto a espiar a la gente, aunque no sean buenas
personas”. Dan Adams.

Un Honeypot es un sistema diseñado para analizar cómo los hackers emplean sus
armas para intentar entrar en un sistema (analizan las vulnerabilidades) y alterar, copiar
o destruir sus datos o la totalidad de éstos (por ejemplo borrando el disco duro del
servidor). Por medio del aprendizaje de sus herramientas y métodos se puede, entonces,
proteger mejor los sistemas. Pueden constar de diferentes aplicaciones, una de ellas sirve
para capturar al intruso o aprender cómo actúan sin que ellos sepan que están siendo
vigilados.

Tipos de honeypots
Se pueden clasificar de dos formas diferentes. Por su grado de interacción con el atacante o
por su función.

 Por su función

1. Production honeypot: Son aquellos honeypots que se instalan en las empresas para
desviar la atención de máquinas mucho más importantes. Están dentro de la propia
red de la empresa. Se instalan servicios vulnerables (o aparentemente vulnerables),
suelen tener muchísimos puertos abiertos, datos falsos, etc. Así los hacen más
atractivos y más deseables para un posible intruso.

2. Research honeypot: Estos son aquellos que se usan por pura investigación. No
contiene datos importantes y están pensados para ser comprometidos para su
posterior análisis forense. Por otro lado, también pueden ir enviando datos de los
intentos de intrusión y de las intrusiones cometidas, tales como ips, comandos,
aplicaciones instaladas, capturas de teclado,...

 Por su grado de interacción

1. Compromiso bajo (Low involvement): El sistema Honeypot simplemente simula la

existencia de que existe algún servicio común (WWW, FTP, TELNET...) escucha y
almacena todas las peticiones recibidas en ficheros de logs. De esta forma, tenemos

SEGURIDAD INFORMATICA
 HONEYPOT 6

un sistema totalmente pasivo que simplemente registra peticiones de acceso ya que

NO respondemos a ninguna de ellas o interaccionamos con el atacante.

En el caso de un servidor TELNET, podríamos contestar a las peticiones TCP del

puerto 23 permitiendo un establecimiento de conexión, pero cerrándola
inmediatamente evitando cualquier posibilidad de que el usuario pueda conectarse al
sistema (envío y recepción de login y password).

El riesgo que introduce esta variante es mínimo puesto que el atacante nunca podrá
acceder a la máquina, lo que nos hace perder la posibilidad de investigar y analizar
sus técnicas.

2. Compromiso medio (Médium involvement): En este grupo los sistemas simulan la

existencia de uno o varios servicios de forma más sofisticada. Con este tipo de
Honeypots se pretende captar la atención del atacante y permitir un grado mayor de
interacción que nos permitirá analizar mínimamente el comportamiento del
atacante.

El grado de riesgo aumenta moderadamente, ya que por un lado el servicio sigue

siendo una simulación, lo que permite tener acotado/enjaulado la interacción entre el
atacante y el servicio. Por otro lado, si existe un fallo en la implementación del
servicio simulado, el atacante puede aprovecharlo para atacar el sistema real.

SEGURIDAD INFORMATICA
 HONEYPOT 7

3. Compromiso alto (High involvement): En este grupo se encuentran aquellos

sistemas que no simulan diferentes servicios, sino que utilizan un entorno real con
servicios de verdad (in the wild).

Este tipo de Honeypots son muy atractivas para los atacantes y permiten un estudio
completo de su comportamiento. Deben estar constantemente monitorizadas ya que
su peligro consiste en que si un atacante logra acceso a ella puede disponer de todo
el sistema como le plazca.

Esto significa que ya no podemos considerarlo como un lugar con logs “fiables” y
puede ser utilizado para atacar otros sistemas de nuestra red o incluso de otras
conectadas a Internet.

Los honeypots vienen con diversidad de colores y gustos, haciendo difícil su comprensión.
Para ayudarnos a entender mejor a los honeypots y a todos los diferentes tipos, dividiremos
a dos categorías generales: honeypots de "baja interacción" y de "alta interacción". Estas
categorías nos ayudan a entender con qué tipo de honeypots está trabajando usted, sus
fortalezas y debilidades. La interacción define el nivel de actividad que un honeypot le

SEGURIDAD INFORMATICA
 HONEYPOT 8

permite tener un atacante. Los honeypots de baja interacción tienen una interacción
limitada, normalmente trabajan únicamente emulando servicios y sistemas operativos. La
actividad del atacante se encuentra limitada al nivel de emulación del honeypot. Por
ejemplo, un servicio FTP emulado escuchando en el puerto 21 probablemente estará
emulando un login FTP o probablemente suportará algunos comandos FTP adicionales. Las
ventajas de un honeypot de baja interacción es su simplicidad, estos honeypots tienden a ser
fáciles de utilizar y mantener con un riesgo mínimo: Por lo general es instalar un software,
elegir el sistema operativo y el servicio a emular y monitorear, y dejar que el programa
camine por sí solo desde ahí.

Este proceso cercano al "plug and play" hace que la utilización de éstos sea muy fácil para
la mayoría de las organizaciones. Incluso, los servicios emulados mitigan el riesgo
conteniendo la actividad del atacante: el atacante nunca tiene acceso al sistema operativo
real donde puede atacar o dañar otros sistemas. Las principales desventajas de los
honeypots de baja interacción es que registran únicamente información limitada y son
diseñados a capturar actividad prevista, los servicios emulados sólo pueden llegar hasta ahí.
También es fácil para un atacante detectar un honeypot de baja interacción, sin importar
cuán buena sea la emulación. Un perpetrador hábil puede, con el debido tiempo, detectar su
presencia. Ejemplos de honeypots de baja interacción se incluyen: Specter, Honeyd, y
KFSensor.

Los honeypots de alta interacción son diferentes, éstos generalmente son soluciones
complejas ya que implica la utilización de sistemas operativos y aplicaciones reales. Nada
es emulado, le damos a los hackers lo real. Si quiere un honeypot Linux corriendo un
servidor FTP, tendrá que construir un verdadero sistema Linux y montar un verdadero
servidor FTP. Las ventajas de dicha solución son dos: Primero, usted capturará grandes
cantidades de información dándoles a los hackers sistemas reales con la cual interactuar,
podrá aprender la completa extensión de sus actividades, cualquier cosa desde rootkits
nuevos hasta sesiones internacionales de IRC. La segunda ventaja es que los honeypots de
alta interacción no asumen acerca del posible comportamiento que tendrá el atacante, en
lugar de eso proveen un entorno abierto que captura todas las actividades realizadas. Esto
permite a las soluciones de alta interacción conocer el comportamiento no esperado. Un
excelente ejemplo de esto es cómo un honeypot capturó comandos "back door" codificados
en un protocolo IP no estándar (específicamente protocolo IP 11, Network Voice Protocol).
No obstante, esto también incrementa el riesgo de los honeypots ya que los atacantes
pueden utilizar estos sistemas operativos reales para lanzar ataques a sistemas internos que
no forman parte de los honeypots. En consecuencia, se requiere la implementación de una
tecnología adicional que prevenga al atacante de dañar otros sistemas que no son
honeypots. En general, honeypots de alta interacción pueden hacer todo lo que uno de baja
interacción puede hacer y mucho más, pero pueden ser más complejos para utilizar y
mantener. Ejemplos de honeypots de alta interacción son Symantec Decoy Server y los
Honeynets.

SEGURIDAD INFORMATICA
 HONEYPOT 9

Otras características

Algunos honeypots, como Honeyd, no sólo emulan servicios sino que también emulan el
Sistema Operativo. En otras palabras, Honeyd puede aparentar ser un router Cisco, un
webserver WinXP o un servidor DNS Linux. Existen varias ventajas en emular diferentes
sistemas operativos. Primero, el honeypot puede encajar mejor con la red existente si el
honeypot tiene la misma apariencia y comportamiento que las computadoras productivas.
Segundo, se puede apuntar a atacantes específicos proveyéndoles sistemas y servicios que
buscan a menudo o sistemas y servicios que usted quiere aprender al respecto. Hay dos
elementos en sistemas operativos emulados. El primero es el servicio emulado. Cuando un
atacante se conecta a un servicio emulado, usted puede tener al servicio comportándose y
aparentando ser un sistema operativo determinado. Por ejemplo, si tiene un servicio
emulando un webserver y quiere que su honeypot aparente ser un Win2000 servidor,
entonces deberá emular el comportamiento de un IIS webserver, y para el caso de un Linux,
debería emular el comportamiento de un webserver Apache. La mayoría de los honeypots
emulan el SO de esta manera. Algunos honeypots sofisticados llevan la emulación un paso
adelante (como lo hace el Honeyd): No sólo emulan en el nivel de servicio, sino que en el
nivel del stack del IP. Si alguien realiza active fingerprinting para determinar el SO de su
honeypot, muchos honeypots responderán al nivel del IP Stack del SO real en donde esté
instalado el honeypot. Honeyd falsea la respuesta, emulando no sólo el servicio sino
emulando también el stack del IP, comportándose como si fuera realmente otro sistema
operativo. El nivel de emulación y sofisticación depende en qué tecnología de honeypot
elige para usar.

Especialización de los honeypots

Últimamente estoy notando una clara tendencia al uso de honeypots especializados en un

protocolo, un servicio, etc. Por ejemplo, existen por la red proyectos de honeypots que
simulan proxys abiertos (proxypots), aplicaciones web (como phphop).

Ubicación
La ubicación de los Honeypots es esencial para maximizar su efectividad, ya que debido a
su carácter intrínsecamente pasivo una ubicación de difícil acceso eliminará gran parte de
su atractivo para potenciales atacantes. Por otro lado, si su ubicación es demasiado artificial
u obvia cualquier experimentado atacante la descubrirá y evitará todo contacto con ella.

Por otro lado debemos tener en cuenta que debe integrarse con el resto del sistema que
tenemos ya implantado (servidores WWW, servidores de ficheros, DNS…) y asegurarnos
que no interfiere con las otras medidas de seguridad que puedan ya existir en nuestra red
(Firewalls, IDS…).

Teniendo en cuenta que los Honeypots pueden servir tanto para la detección de atacantes
internos como externos, debemos tener siempre en cuenta la posibilidad de establecer

SEGURIDAD INFORMATICA
 HONEYPOT 10

Honeypots internos para la detección de atacantes o sistemas comprometidos en nuestra red

(por ejemplo sistemas infectados con un gusano o virus).

La bibliografía consultada establece tres puntos básicos candidatos a albergar los

Honeypots según nuestras necesidades:

1. Antes del firewall (Front of firewall): Esta localización permite evitar el incremento del
riesgo inherente a la instalación del Honeypot. Como este se encuentra fuera de la zona
protegida por el firewall, puede ser atacado sin ningún tipo de peligro para el resto de
nuestra red

Esta ubicación nos permite tener un acceso directo a los atacantes, puesto que el firewall ya
se encarga de filtrar una parte del tráfico peligroso o no deseado, obteniendo trazas reales
de su comportamiento y estadísticas muy fiables sobre la cantidad y calidad de ataques que
puede recibir nuestra red.

Además con esta configuración evitaremos las alarmas de otros sistemas de seguridad de
nuestra red (IDS) al recibir ataques en el Honeypot. Sin embargo, existe el peligro de
generar mucho tráfico debido precisamente a la facilidad que ofrece el Honeypot para ser
atacado.

Cualquier atacante externo será lo primero que encuentra y esto generará un gran consumo
de ancho de banda y espacio en los ficheros de log. Por otro lado, esta ubicación nos evita
la detección de atacantes internos.

2. Detrás del firewall (Behind the firewall): En esta posición, el Honeypot queda afectado
por las reglas de filtrado del firewall. Por un lado tenemos que modificar las reglas para
permitir algún tipo de acceso a nuestro Honeypot por posibles atacantes externos, y por el
otro lado, al introducir un elemento potencialmente peligroso dentro de nuestra red
podemos permitir a un atacante que gane acceso al Honeypot un paseo triunfal por nuestra
red.

SEGURIDAD INFORMATICA
 HONEYPOT 11

La ubicación tras el firewall nos permite la detección de atacantes internos así como
firewalls mal configurados, máquinas infectadas por gusanos o virus e incluso atacantes
externos.

Sin embargo las contrapartidas más destacables son la gran cantidad de alertas de seguridad
que nos generarán otros sistemas de seguridad de nuestra red (Firewalls, IDS…) al recibir
ataques el Honeypot y la necesidad de asegurar el resto de nuestra red contra el Honeypot
mediante el uso de firewalls extras o sistemas de bloqueo de acceso, ya que si un atacante
logra comprometer el sistema tendrá vía libre en su ataque a toda nuestra red.

Hay varias circunstancias que obligan a este tipo de arquitectura, como por ejemplo la
detección de atacantes internos o la imposibilidad de utilizar una dirección IP externa para
el Honeypot.

3. En la zona desmilitarizada (into DMZ): La ubicación en la zona desmilitarizada

permite por un lado juntar en el mismo segmento a nuestros servidores de producción con
el Honeypot y por el otro controlar el peligro que añade su uso, ya que tiene un firewall
que lo aísla de resto de nuestra red local

SEGURIDAD INFORMATICA
 HONEYPOT 12

Esta arquitectura nos permite tener la posibilidad de detectar ataques externos e internos
con una simple reconfiguración de nuestro sistema de firewall puesto que se encuentra en la
zona de acceso público.

Además eliminamos las alarmas de nuestros sistemas internos de seguridad y el peligro que
supone para nuestra red al no estar en contacto directo con esta.

La detección de atacantes internos se va algo debilitada, puesto que al no compartir el

mismo segmento de red que nuestra LAN un atacante local no accederá al Honeypot. Sin
embargo, desde la red local si que es posible acceder al Honeypot, con lo que un atacante
interno que intente atacar nuestros servidores públicos u otros sistemas externos (un gusano
por ejemplo) muy probablemente acabe siendo detectado.

HoneyTokens

Cabe señalar que aunque históricamente se ha asociado erróneamente un Honeypot con un

ordenador, esto no solo no es cierto, sino que la misma definición se desmarca de esta mala
interpretación definiéndolo como un recurso de red, no como un ordenador o recurso físico
concreto.

De la misma forma, podemos definir Honeytoken como “un recurso digital de cualquier
tipo (un documento Word, Excel, un fichero de música, un número de tarjeta de crédito…)
destinado únicamente a interaccionar con posibles atacantes”.

Este concepto de “información falsa” en sí mismo no es nuevo, sin embargo la

denominación de Honeytoken nace en 2003 de la mano de Augusto Páez de Barros en una
serie de discusiones mantenidas en las listas de correo de Honeypots.

SEGURIDAD INFORMATICA
 HONEYPOT 13

Un Honeytoken es un recurso que siempre que sea utilizado u accedido lo será de forma
ilícita, y por tanto lo utilizará únicamente un atacante.

Obviamente, estos recursos deben cumplir dos requisitos fundamentales:

1. No deben tener valor real ni afectar de ninguna manera que se comprometan o divulguen.

2. Deben ser similares a uno real. El objetivo es que el atacante se lo “crea” totalmente y
confíe en su autenticidad como si fuera de verdad. Verosimilitud.

Estas características intrínsecas debido a su construcción, les confieren las mismas ventajas
y características que los Honeypots. Otra característica que les hace interesantes es lo
simple que resulta utilizarlos. No necesitamos ordenadores, ni licencias de ningún tipo, un
simple fichero creado en 3 minutos o un número de tarjeta inventado nos bastan para tener
un perfecto Honeytoken.

Un ejemplo de funcionamiento de esta técnica, consiste en introducir un número de tarjeta

de crédito falso (por ejemplo el 4356974837584710) en nuestra base de datos. El número es
único y cumple los dos requisitos anteriores, es plausible y nadie de forma natural accederá
nunca a él.

Simplemente necesitamos activar nuestros sensores para la búsqueda de esta información

viajando por la red (por ejemplo IDS o Firewall que examine los paquetes IP) y tendremos
un acceso no autorizado.

Un eventual atacante tratará de conseguir cualquier (o incluso toda) información posible,

con lo que no podrá distinguir si es un Honeytoken o es un valor correcto. Para entornos de
comunicación cifrados, simplemente se han de desarrollar herramientas a nivel del sistema
operativo que interactúen con las llamadas del kernel de lectura (read).

Cabe señalar que la detección de un Honeytoken circulando por nuestra red, no implica
necesariamente que esta haya sido comprometida, sin embargo sí prueba la existencia de un
comportamiento inadecuado e identifica a las partes implicadas. Una vez detectado, otros
medios complementarios (IDS, ficheros de logs…) deben probar la culpabilidad real de las
partes.

WI-FI Honeypots

Inicialmente las redes de comunicaciones fueron expandiéndose lentamente por centros

militares, universitarios y centros de investigación hasta el estallido de Internet. A partir de
este momento la obsesión por estar conectados ha llevado a la instalación de millones de
metros de cables que cubren todo tipo de edificios y superficies.

Sin embargo, el ansia/dependencia de Internet continúa alimentando el deseo de estar

conectados en cualquier sitio y a cualquier hora. Bares, librerías e incluso campus

SEGURIDAD INFORMATICA
 HONEYPOT 14

universitarios están iniciando un nuevo paso en las comunicaciones, las redes inalámbricas
(wireless networks).

Obviamente, no podemos descartar el papel de catalizador que la gran expansión de los

teléfonos móviles ha tenido en el desarrollo de estas redes sin hilos. Actualmente ya existen
varios estándares de IEEE que regulan estas comunicaciones como el 802.11b y el 802.11g.

Como ocurre con cualquier red de comunicaciones, los accesos no autorizados o los ataques
perpetrados por hackers están a la orden del día. Sin embargo, el peligro de este tipo de
redes se dispara debido a tres factores diferenciales:

1. Los estándares y especificaciones para este tipo de redes son “nuevos” y poco probados.
Como siempre que se realiza una cosa por primera vez, la existencia de indefiniciones, a
las interpretaciones o fallos de conceptos es bastante probable. Estos aspectos difusos son
los más utilizados por los atacantes para obtener acceso a este tipo de redes.

2. Cualquiera con un simple portátil (o incluso con un PDA) puede intentar acceder de
forma fraudulenta a nuestra red inalámbrica. A diferencia de otros tipos de redes, no
necesita estar físicamente conectado o estar confinado en un área concreta. Los ataques
pueden venir de cualquier sitio.

3. La mayor ventaja de las redes sin hilos es la movilidad que proporcionan. Este aspecto
también puede jugar en nuestra contra, ya que el atacante puede ir cambiando de ubicación
mientras realiza su ataque.

La utilización de Honeypots en las redes inalámbricas es una de las últimas aplicaciones

que se están probando con éxito en Estados Unidos. Actualmente el programa WISE
(Wireless Information Security Experiment) lidera la investigación en este campo.

Repercusiones legales

Hasta ahora, en los diferentes capítulos de este trabajo se han presentado diferentes
herramientas y/o sistemas que permiten de una forma u otra aumentar la seguridad de
nuestra red.

En este punto se comentarán brevemente (puesto que va más allá de las pretensiones de este
trabajo) las implicaciones legales que pueden acarrear el uso de Honeypots. Cabe destacar
que las siguientes líneas hacen referencia al código de leyes norteamericano, y como tal NO
es aplicable a España o la CEE. Sin embargo, debido al peso específico de los Estados
Unidos debe de ser tenido en cuenta siempre…

La ley norteamericana (al igual que la europea) protege la inviolabilidad de las

comunicaciones personales (interception of communications) de una forma muy estricta. El
punto de discusión se basa en que dependiendo del tipo de Honeypot que utilicemos,
podemos violar esta ley al recoger una serie de información sobre nuestro atacante que la
ley protege explícitamente.

SEGURIDAD INFORMATICA
 HONEYPOT 15

Tal y como se ha explicado anteriormente, los Honeypots de producción tienen un objetivo

mucho más concreto (proteger nuestra red) que los Honeypots de investigación (cuyo
interés se centra en conseguir tanta información de los atacantes como sea posible para
comprender/estudiar su comportamiento y técnicas).

Dependiendo del grado de configuración de nuestro Honeypot, podemos “espiar” los

movimientos y comunicaciones que realice nuestro atacante dentro de nuestra Honeypot
(hacia nuestra red o hacia el propio Honeypot) y desde nuestra Honeypot hacia terceros.

Precisamente en este “espionaje” de las comunicaciones que realice el atacante desde

nuestra red hacia terceros sitios viene el problema. Estamos espiando una comunicación
entre terceros sin ningún tipo de autorización para ello.

El surrealismo aumenta cuando este supuesto permite al atacante denunciarnos por invadir
su intimidad y ganar el caso.

De todo esto, podemos observar que antes que cualquier otra cosa debemos responder a la
siguiente pregunta: « ¿Cuál es el objetivo de mi Honeypot? »

De que la respuesta sea únicamente “proteger mi red” a que sea “conocer la identidad de los
atacantes” o “recoger información de posibles ataques o técnicas nuevas” puede depender
ganar o perder un juicio.

Lance Spitzner desglosa las posibles responsabilidades legales derivadas del uso de
Honeypots en tres cuestiones básicas (obviamente siguiendo el sistema de leyes
norteamericano):

1. Trampa (Entrapment): Es el proceso realizado por los cuerpos policiales (law

enforcement) de “inducir” a alguien a cometer un acto punible con el objetivo de iniciar la
acción judicial pertinente. En este caso del Honeypot, aunque es un elemento pasivo creado
por nosotros para ser atacado (sin que seamos parte de los cuerpos policiales) si no
deseamos perseguir judicialmente esta intrusión en el Honeypot, no realizamos ninguna
trampa. El objetivo del Honeypot es recibir los ataques, no recoger información para
demandar a los atacantes del Honeypot.

2. Privacidad (Privacy): Que el Honeypot recoge información es innegable. Sin embargo,

la información recogida puede dividirse en información transaccional (transactional) e
información de contenido.

La información transaccional (meta-información) no hace referencia a la información en sí,

sino a aspectos de esta como la dirección IP, la fecha y hora, valores de las cabeceras de los
paquetes IP…

La información de contenido es propiamente la comunicación que realiza en atacante con

terceros. Precisamente este es el objetivo del debate (y también el de los Honeypots de
investigación). La intercepción de una comunicación privada es la piedra angular que puede

SEGURIDAD INFORMATICA
 HONEYPOT 16

permitir a un atacante demandarnos ante un juzgado y probablemente ganar. En cualquier

caso, todos los autores están de acuerdo que se deberían incluir mensajes de advertencia y
renuncia (disclaimer) como el indicado a continuación en todos los Honeypots. Sin
embargo esto no exime del problema, ya que el hecho de que pongamos un aviso no
significa que un eventual atacante lo vea o lea

############################################################
# READ BEFORE CONTINUING: #
##
# This system is for the use of authorized users only. #
# By using this computer you are consenting to having #
# all of your activity on this system monitored and #
# Disclosed to others. #
############################################################

3. Responsabilidad (Liability): Este aspecto hace referencia a las posibles demandas que
podemos recibir en el caso de que un atacante utilice nuestro Honeypot como plataforma de
lanzamiento de ataques.
Las demandas se basarían en que nosotros no hemos realizado unos mínimos esfuerzos de
seguridad en nuestra red, sino que al contrario, facilitamos el acceso a nuestros recursos
para que sean utilizados en todo tipo de ataques. ¿Qué grado de culpabilidad tenemos
cuando un atacante usas nuestros recursos para atacar a otros? ¿Es punible la incompetencia
en materia de seguridad informática?

VENTAJAS Y DESVENTAJAS DE HONEYPOT

Ventajas:

Los honeypots son un concepto increíblemente simple, las cuales ofrecen una fortaleza muy
poderosa:

* Conjunto de datos pequeños pero de gran importancia: Los Honeypots recolectan

pequeñas cantidades de información. En lugar de loguear 1 Gb por día, loguean sólo 1 Mb
de datos por día. En vez de generar 10.000 alertas por día, pueden generar sólo 10 alertas
por día. Recuerden, los honeypots sólo capturan actividad sospechosa ya que cualquier
interacción con un honeypot es muy probablemente actividad no autorizada o una actividad
maliciosa. Propiamente dicho, los honeypots reducen el "ruido" recogiendo sólo datos
indispensables, de gran valor, los producidos únicamente por "chicos malos". Esto significa
que es mucho más fácil (y barato) de analizar los datos que un honeypot recoge.

* Nuevas herramientas y tácticas: Los honeypots son diseñados para capturar cualquier
cosa que interactúa con él, incluyendo herramientas o tácticas nunca vistas.

* Mínimos recursos: Los honeypots requieren mínimos recursos, sólo capturan actividad
irregular. Esto significa que un viejo Pentium con 128mb de RAM puede manejar
fácilmente una entera red clase B en una red OC-12.

* Encriptación o IPv6: A diferencia de la mayoría de las tecnologías para la seguridad,

SEGURIDAD INFORMATICA
 HONEYPOT 17

como los sistemas IDS, honeypots trabajan bien en entornos encriptados como IPv6. No
importa lo que los "chicos malos" lancen hacia el honeypot, el honeypot lo detectará y lo
capturará.

* Información: Los honeypots pueden recoger información "en profundidad" como pocos,
si es que existen tecnologías que se le parezcan.

* Simplicidad: Finalmente, los honeypots son conceptualmente simples. No hay por qué
desarrollar algoritmos raros, ni complejas tablas que mantener, o firmas que actualizar.
Mientras más simple sea la tecnología, menos posibilidades de errores o desconfiguraciones
habrá.

Desventajas:

Como en cualquier otra tecnología, los honeypots también tienen su debilidad. Esto es
debido a que no reemplaza a la actual tecnología, sino que trabaja con las existentes.

* Visión Limitada: Los honeypots pueden sólo rastrear y capturar actividad que
interactúen directamente con ellos. Los Honeypots no podrán capturar ataques a otros
sistemas vecinos, al menos que el atacante o la amenaza interactúe con el honeypot al
mismo tiempo.

* Riesgo: Todas las tecnologías de seguridad tienen un riesgo. Los firewalls tienen el
riesgo de que sean penetrados, la encriptación tiene el riesgo de que sean rotos, sensores
IDS tienen el riesgo de que fallen al detectar ataques. Los Honeypots no son diferentes,
tienen un riesgo también. Específicamente, los honeypots tienen el riesgo de que sean
apoderados y controlados por los "chicos malos" y que lo utilicen para dañar otros sistemas.
El riesgo es variado para los diferentes honeypots. Dependiendo en el tipo de honeypots
puede haber un riesgo no mayor a la de una falla del sensor IDS, mientras que en otros
honeypots puede que haya que enfrentarse a una situación crítica.

Utilidades de Honeypots

Específicamente, cómo se pueden usar los honeypots. Una vez más, tenemos dos categorías
generales, los honeypots pueden ser usados con propósitos productivos o de investigación.
Cuando es utilizado con propósitos productivos, los honeypots están protegiendo una
organización. En este mundo se incluye, prevención, detección o la ayuda a organizaciones
a responder a un ataque. Cuando es utilizado con propósitos de investigación, los honeypots
son utilizados para recolectar información. La importancia de esta información depende
según las organizaciones. Algunas organizaciones querrán estudiar la tendencia de las
actividades hacker, mientras otras estarán interesadas en la predicción y prevención
anticipada, o las fuerzas legales. En general, honeypots de baja interacción son utilizados
con propósitos productivos, mientras honeypots de alta interacción son utilizados con
propósitos de investigación. Sin embargo, los dos tipos de honeypots pueden funcionar para
ambos propósitos. Cuando es utilizado con propósitos productivos, honeypots pueden
proteger organizaciones en las tres formas al mismo tiempo: prevención, detección y

SEGURIDAD INFORMATICA
 HONEYPOT 18

reacción. Veremos con más profundidad cómo un honeypot puede trabajar en las tres
formas perfectamente.

Los honeypots pueden ayudar a prevenir ataques en varias formas. El primero es contra
ataques automatizados, como gusanos (worms) o auto-rooters. Estos ataques son basados
en herramientas que aleatoriamente escanean (sondean) redes enteras buscando sistemas
vulnerables. Si un sistema vulnerable es encontrado, estas herramientas automatizadas
atacarán y tomarán el sistema (con gusanos que se auto-copian, copiándose a sí mismo a la
víctima). Uno de las métodos para proteger de tales ataques es bajando la velocidad de su
escaneo y potencialmente detenerlos. Llamados "sticky honeypots" (Tarros de miel
"pegajosos"), estas soluciones monitorean el espacio IP no utilizado. Cuando los sistemas
son escaneados, estos honeypots interactúan con él y disminuyen la velocidad del ataque.
Hacen esto utilizando una variedad de trucos TCP, como poniendo el "Windows size" a
cero o poniendo al atacante en un estado de espera continua. Esto es excelente para bajar la
velocidad o para prevenir la diseminación de gusanos que han penetrado en la red interna.
Un ejemplo de un sticky honeypot es el LaBrea Tarpit. Los "Honeypots pegajosos" son más
comunes encontrarlos entre soluciones de baja interacción (hasta podría llamársele
soluciones "no interactivas", ya que reducen tanto la velocidad que hacen gatear al
atacante). Honeypots pueden también proteger su organización de perpetradores humanos.
Este concepto se conoce como engaño o disuasión. La idea es confundir al atacante, hacerle
perder el tiempo y recursos interactuando con honeypots. Mientras tanto, su organización
habría detectado la actividad del atacante y tendría tiempo para reaccionar y detener el
ataque. Hasta se puede dar un paso más allá: si un atacante sabe que su organización está
utilizando honeypots pero no sabe cuáles son los sistemas honeypots y cuales son sistemas
legítimos, quizás tenga miedo de ser capturado por honeypots y decida no atacarlo. Por lo
tanto, honeypots disuaden al atacante. Un ejemplo de honeypot diseñado para hacer esto, es
el Deception Toolkit, un honeypot de baja interacción.

La segunda forma por la cual honeypots pueden ayudar a proteger una organización es por
medio de la detección. La detección es crítica, su propósito es la identificación de una falla
o ruptura para la prevención. No importa cuán segura sea la organización, siempre habrá
fallas si los hombres están involucrados en el proceso... Detectando al atacante, podrán
rápidamente reaccionar ante ellos, deteniéndolos, o mitigando el daño que hicieron.
Tradicionalmente, la detección ha sido extremadamente difícil de hacer. Tecnologías como
sensores IDS y sistemas de logueo han sido inefectivos por diversas razones: Generan
muchos datos, grandes porcentajes de falsos positivos, inhabilidad de detectar nuevos
ataques, y la inhabilidad de trabajar en forma encriptado o en entornos IPv6. Los
Honeypots son excelentes en detección, solventando muchos de los problemas de la
detección clásica. Los honeypots reducen falsos positivos, capturando pequeñas cantidades
de datos de gran importancia, capturan ataques desconocidos como nuevos exploits o
shellcodes polimórficos, y trabajan en forma encriptado o en entornos IPv6. Podrá aprender
más acerca de esto en el trabajo Honeypots: Simple, Cost Effective Detection. En general,
honeypots de baja interacción son la mejor solución para la detección, hacen fácil la tarea
de utilizar y mantener que honeypots de alta interacción y tienen un riesgo limitado.

La forma tercera y final por la cual honeypots nos pueden ayudar a proteger una
organización es en la respuesta. Una vez que una organización detecta una falla, ¿cómo

SEGURIDAD INFORMATICA
 HONEYPOT 19

debe responder? Esto es a menudo uno de los grandes retos que una organización debe
enfrentar. Hay por lo general poca información acerca de quién es el atacante, cómo ingresó
al sistema o cuánto daño hizo. En estas situaciones, la información detallada acerca a las
actividades del atacante son cruciales. Hay dos problemas que afectan a la respuesta al
incidente: el primero, a menudo los sistemas comprometidos no pueden ser desconectados
de la red para ser analizados. Sistemas de producción, como el servidor mail de una
organización, son tan críticos que aunque estén hackeados los expertos en seguridad no
pueden desconectarlos y hacer un análisis forense como corresponde. Están limitados a
analizar el sistema encendido mientras sigue proveyendo sus servicios productivos. Esto
merma la habilidad para analizar qué sucedió, cuánto daño hizo el atacante, e incluso si el
atacante accedió a otros sistemas de la red. El otro problema es que incluso en el caso de
que este desconectado, hay tanta polución de datos que es muy difícil determinar qué es lo
que hizo el "chico malo". Con polución de datos me refiero que hay tanta actividad
(logging in de usuarios, lecturas de cuentas de mail, archivos escritos a bases de datos, etc.)
que puede ser difícil determinar cuál es la actividad normal del día a día y qué es lo que
hizo el atacante. Los Honeypots pueden ayudar a solventar ambos problemas. Honeypots
son una excelente herramienta de incidencias ya que pueden rápidamente y fácilmente ser
sacados de la red para un análisis forense completo, sin el impacto en las operaciones
empresariales de todos los días. Recuerden que la única actividad que guardan los
honeypots son las relacionadas con el atacante, ya que no las utilizan nadie, excepto de
señuelo para los atacantes. La importancia de los honeypots aquí es la rápida entrega de la
información, analizada en profundidad, a la organización que la necesita para responder
rápida y eficientemente a un incidente. En general, honeypots de alta interacción son la
mejor solución para la respuesta. Para reaccionar ante un intruso, se necesita conocimientos
en profundidad sobre qué hicieron, cómo ingresaron, y qué herramientas utilizaron. Para la
obtención de ese tipo de datos, se necesitarán las capacidades de un honeypot de alta
interacción.

La necesidad de un IDS:

Los sistemas de detección de intrusos son un elemento integral y necesario en una

infraestructura de información segura, representando el complemento ideal a los
cortafuegos en las redes. De manera sencilla, los IDS permiten una completa supervisión de
las redes, independientemente de la acción tomada, esa información siempre estará ahí y
será necesaria para determinar la naturaleza del incidente y su fuente.

Además, pueden ser utilizados para monitorizar objetos concretos, detectar abusos
particulares o avisar de comportamientos anómalos en un sistema. Además de estas
técnicas, el sistema puede estar orientado al host individual o a la red, algo así como la
diferencia entre tomar los acontecimientos como individuales o colectivos. En general, son
más útiles los orientados a red (distribuidos), por tomar el tráfico como un todo del que
entran y salen paquetes constantemente, en vez de tomar cada máquina como posible
objetivo de ataque. Esto último es lo que se ha venido haciendo desde siempre en los logs
que genera por ejemplo, un sistema operativo con respecto a los acontecimientos internos.

Demasiada información: Uno de los problemas comunes de los IDS tradicionales es que
generan un gigantesco volumen de alertas. El solo peso de este "ruido" consume tiempo,

SEGURIDAD INFORMATICA
 HONEYPOT 20

demanda demasiados recursos y costos para revisar los datos. Por el contrario, los
honeypots recolectan los datos únicamente cuando alguien interactúa con ellos. Los grupos
de pequeña información pueden facilitar y hacer más eficiente la labor de identificar las
actividades no autorizadas y proceder en consecuencia.

Falsos positivos: Quizás el mayor inconveniente de un IDS es que muchas de las alertas
generadas son falsas. Los falsos positivos son un gran problema incluso para las
organizaciones que gastan mucho tiempo sincronizando sus sistemas. Si un IDS crea
constantemente falsos positivos, los administradores eventualmente comenzarán a ignorar
el sistema. Los honeypots obvian este problema porque toda actividad que se realice con
ellos es por definición no autorizada. Esto hace que las organizaciones reduzcan las alertas
falsas si es que no las eliminan.

Falsos negativos: Las tecnologías IDS también tienen dificultad para identificar los
ataques o comportamientos desconocidos. Además, toda actividad con un honeypot es
anómala haciendo que se destaquen los ataques nuevos o previamente desconocidos.

Recursos: Un IDS requiere demasiados recursos de hardware para seguir el tráfico de la

red de la organización. Cuando una red aumenta en velocidad y genera más información, el
IDS tiene que aumentar para no quedarse rezagado. (Administrar toda esa información
también demanda muchos recursos). Los honeypots requieren recursos mínimos, incluso en
las grandes redes. De acuerdo con Lance Spitzner, fundador del Proyecto Honeynet, se
puede utilizar una computadora Pentium con 128 Mb de RAM para monitorear millones de
direcciones IP.

Honeynets
Son un conjunto de Honeypots, así abarca más información para su estudio. Incluso hace
más fascinante el ataque al intruso, lo cual incrementa el número de ataques. La función
principal a parte de la de estudiar las herramientas de ataque, es la de desviar la atención del
atacante de la red real del sistema y la de capturar nuevos virus o gusanos para su posterior
estudio. Una de las múltiples aplicaciones que tiene es la de poder formar perfiles de
atacantes y ataques.

Son sistemas que deliberadamente se decide exponerlos a ser atacados o comprometidos.

Estos, no solucionan ningún problema de seguridad, son una herramienta que nos sirve para
conocer las estrategias que se emplean a la hora de vulnerar un sistema. Son una
herramienta muy útil a la hora de conocer de forma precisa los ataques que se realizan
contra la plataforma de trabajo que hemos elegido, o bien, las plataformas configuradas de
la misma forma, y que sirven para guardar todos los procesos que se están ejecutando
contra o en nuestro sistema con el claro objetivo de acceder a información sensible para una
organización, empresa o corporativo. Así mismo nos permiten conocer nuevas
vulnerabilidades y riesgos de los distintos sistemas operativos y diversos entornos y
programas, las cuales aún no se encuentren debidamente documentadas.

SEGURIDAD INFORMATICA
 HONEYPOT 21

Históricamente, una vez definido el concepto de Honeypot y realizadas las primeras

pruebas con éxito, se propuso la extensión de este concepto.

Podemos definir una Honeynet como “un tipo concreto de Honeypot. Específicamente es
un Honeypot altamente interactivo diseñado para la investigación y la obtención de
información sobre atacantes. Una Honeynet es una arquitectura, no un producto concreto
o un software determinado.”.

El nuevo enfoque consiste no en falsear datos o engañar a un posible atacante (como suelen
hacer algunos Honeypot) sino que el objetivo principal es recoger información “real” de
cómo actúan los atacantes en un entorno de verdad.

Para conseguir este entorno real (con sistemas reales, no con simples emulaciones de
servicios) y altamente interactivo, se dispone una configuración de red típica con todos sus
elementos.

Obviamente, esta red ha sido diseñada para ser comprometida, por lo que debe estar
separada de forma segura y controlada de la de producción.

Por otro lado, como nuestro objetivo es el de hacer creer al atacante que está ante una red
“real”, debemos añadir los distintos elementos que conforman una arquitectura “normal” en
cualquier red (distintas máquinas, distintos sistemas operativos…)

Una Honeynet presenta dos requerimientos básicos para ser realmente útil y que nos
permita la extracción de información valiosa.

Honeynets Virtuales

SEGURIDAD INFORMATICA
 HONEYPOT 22

Las Honeynets Virtuales toman el concepto de las tecnologías de las Honeynets, y las
implementan en un único sistema. Las Honeynets Virtuales no son un nuevo concepto, de
hecho toman el concepto actual de Honeynet y las implementan de una forma diferente.

Esta implementación tiene sus únicas ventajas y desventajas comparadas con las Honeynets
tradicionales. Las ventajas son coste reducido y más fácil manejo, ya que todo está;
combinado en un único sistema. Sin embargo, esta simplicidad también nos cuesta.

Primero, estás limitado a qué tipos de sistemas operativos puedes implantar debido al
hardware y al programa virtual. Segundo, las Honeynets virtuales traen un riesgo,
específicamente que un atacante puede salirse del programa virtual y tomar el sistema
Honeynet, saltándose el mecanismo de Control de Datos y de Captura de Datos.

Hemos dividido las Honeynets Virtuales en dos categorías, Auto-Contenidas e Híbridas.

Definiremos estos dos diferentes tipos.

Honeynet Virtual Auto-Contenida

Una Honeynet Virtual Auto-Contenida es una red entera Honeynet condensada en un sólo
computador. La red entera está virtualmente contenida en un único y físico sistema. Una
red Honeynet típicamente consiste de un cortafuego para Control de Datos y Captura de
Datos, y los honeypots dentro de la Honeynet. Algunas ventajas de este tipo de Honeynet(s)
virtual(es) son:

 Movible, las Honeynets Virtuales pueden ser situadas en un portátil y llevadas a

donde quiera. El Honeynet Project demostró esta funcionalidad en la Blackhat
Briefings en Agosto de 2002.
 Conecta y Coge, Puedes coger una máquina y simplemente conectarla en cualquier
red y estará preparada para coger a los blackhats. Esto hace que la implantación sea
más fácil, ya que físicamente estás implantando y conectando un sólo sistema.
 Barata en dinero y en espacio, Sólo necesitas un computador, así que reduce tus
gastos de hardware.

Hay algunas desventajas:

 Único punto de fallo. Si algo va mal con el hardware, la honeynet entera se quedaría
sin funcionar.
 Computador de Alta Calidad, aunque las Honeynets Auto-Contenidas sólo requieren
un computador, tendrá que ser un sistema potente. Dependiendo de tu
configuración, puedes necesitar bastante memoria y procesador.
 Seguridad, ya que todo puede estar compartiendo el mismo hardware, hay peligro
de que un atacante acceda a otras partes del sistema. Mucho depende del software
virtual, que será discutido luego.

SEGURIDAD INFORMATICA
 HONEYPOT 23

 Software Limitado, ya que todo tiene que ejecutarse en una máquina, estás limitado
al software que puedes usar. Por ejemplo, es difícil ejecutar una IOS Cisco en un
procesador Intel.

Honeynet Virtual Híbrida

Una Honeynet Híbrida es una combinación de la clásica Honeynet y del software virtual.
Captura de Datos, como por ejemplo cortafuegos, y Control de Datos, como por ejemplo
sensores IDS y almacenamiento de logs, están en un sistema separado y aislado. Este
aislamiento reduce el riesgo de compromiso. Sin embargo, todas las honeynets son
virtualmente ejecutadas en una única máquina. Las ventajas de esta configuración son:

 Segura: Como vimos en las Honeynets Auto-Contenidas, existe un peligro de que el

atacante acceda a otras partes de la honeynet (como el cortafuegos). Con las
Honeynets Híbridas, el único peligro sería que el atacante accediera a otras
honeypots.
 Flexible: Puedes usar una gran cantidad de software y hardware para el Control de
Datos y la Captura de Datos de la red Híbrida. Un ejemplo sería que puedes usar el
sensor OpenSnort en la red, o un Cisco Pix. Puedes incluso ejecutar cualquier clase
de honeypot que quieras porque simplemente puedes añadir otro computador en la
red (además de tu máquina con la Honeypot Virtual).

Algunas desventajas son:

 No movible, Ya que la red honeynet consistirá en más de una máquina, es más
difícil moverla.
 Cara en tiempo y en espacio, tendrás que pasar más electricidad, espacio y
posiblemente dinero puesto que hay más de un computador en la red.

Las Honeynets Híbridas Virtuales pueden permitirte alcanzar la flexibilidad de las

honeynets clásicas y permitirte incrementar la cantidad de honeypots usando el software
virtual.

SEGURIDAD INFORMATICA
 HONEYPOT 24

GEN I

Tal y como sucede en cualquier programa (software) o especificación formal (RFC por
ejemplo), con el tiempo se van perfilando nuevas mejoras y ampliaciones de
funcionalidades. Las Honeynets no son ninguna excepción a esta regla, y en el momento de
escribir este capítulo, existen dos generaciones diferenciadas de Honeynets.
Las Honeynets de primera generación (GEN I) se caracterizan por implementar únicamente
los mecanismos básicos de control de flujo de datos (Data control) y captura de datos
(Data capture). La arquitectura utilizada presenta una subdivisión en tres subredes (la
Honeynet, la red de producción e Internet) separadas perfectamente por un firewall.

SEGURIDAD INFORMATICA
 HONEYPOT 25

En esta arquitectura, el control de todas las redes se realiza mediante un firewall, ya que
cualquier paquete de entrada o salida debe pasa obligatoriamente por él. El router también
se utiliza como medio de control y filtrado, pero únicamente como soporte al firewall.

El firewall está configurado para llevar la cuenta del número de conexiones que se
establecen tanto hacia dentro como hacia fuera. De esta forma, cuando el número de
conexiones desde nuestra Honeynet hacia el exterior supera un límite preestablecido, estas
quedan anuladas. El límite de conexiones depende del lo atractiva que deseamos hacer
nuestra red a un eventual atacante, se recomiendan valores entorno a las diez conexiones
por hora.

Una red que permita cualquier tipo y número de conexiones al exterior es un gran atractivo
para cualquier atacante. Sin embargo, también es un riesgo potencial demasiado grande, ya
que puede ser utilizada como trampolín de ataque a otros sistemas externos. Por otro lado,
una que no permita conexiones al exterior carece de interés y por lo tanto eliminará la
obtención de datos “reales” (in the wild) que es nuestro principal objetivo.

En esta configuración, el firewall se coloca expresamente por delante del router. Los
motivos de esta configuración son por un lado esconder/disimular el firewall a los atacantes
y por otro dotar de medidas extras de seguridad a nuestra Honeynet para que no sea
utilizada para ataques a terceros, ya que el router también realizará parte del filtrado de las
comunicaciones de entrada y salida. Nuestro control de flujo de datos (Data control) no
debe depender únicamente de un solo punto de control.

Cuando un atacante tome el control de nuestra Honeynet, encontrará que puede salir a
Internet directamente, ya que pasa por un router real de producción, asumiendo que el
filtrado de paquetes que exista (nuestro firewall) será un filtrado realizado por nuestro
ISP y no por nosotros. De esta forma reforzamos su opinión de que somos una red
“desvalida”.

SEGURIDAD INFORMATICA
 HONEYPOT 26

La captura de datos (Data capture) se inicia en el propio firewall, ya que es un dispositivo

lo suficientemente potente y colocado estratégicamente para recibir todos los paquetes de
entrada y salida. Como sabemos que cualquier tipo de actividad hacia o desde nuestra
Honeynet es potencialmente peligroso, debemos capturar todo este tráfico en el firewall.

La captura de puertas traseras (back doors) en nuestros sistemas es otra de las posibilidades
que nos brinda este tipo de arquitectura, ya que una correlación de peticiones a puertos “no
standards” revelará rápidamente su existencia.

La captura de todo el tráfico existente en nuestra Honeynet es realizado por el sistema de

detección de intrusos (IDS). En la arquitectura de GEN I podemos observar como el IDS
está conectado a nuestra Honeynet de forma que por un lado registra la actividad existente
en la red y por otro actúa como un detector de firmas (signatures)

Finalmente, toda esta información se va copiando diariamente en un ordenador “seguro”

para poder analizarla o consultarla como un histórico. Esto nos asegura que en caso de que
el atacante encuentre la información de sus movimientos y decida destruirla no afecte
excesivamente al sistema.

Obviamente, la existencia de un ordenador-almacén puede ser fácilmente descubierta por

un atacante. Sin embargo esta arquitectura no trata de esconderlo, ya que lo más que puede
hacer el atacante es desactivar el “log daemon” de la máquina atacada, comportamiento ya
muy habitual en muchos atacantes.

En caso de que el atacante decidiera atacar directamente a nuestro sistema de

almacenamiento “seguro”, debería enfrentarse a un sistema mucho más seguro. Incluso en
el caso de que lograra entrar y eliminar todos los logs del sistema no sería catastrófico,
puesto que el sistema IDS registra toda la actividad de la red y podríamos ver al sistema
IDS como un segundo log del sistema.

Gen II

Las Honeynets de segunda generación (GEN II) se caracterizan por combinar todos los
requisitos de la primera generación en un solo dispositivo. De esta forma tanto el control de
flujo de datos (Data control) como la captura (Data capture) y la recolección de datos
quedan agrupadas en una misma entidad.

Esta entidad es un dispositivo de capa 2 (Layer 2 gateway) con capacidades de transmisión

de paquetes tipo puente (bridge). Esta capacidad de puente hace referencia a la
transparencia con que actúa este dispositivo de red, simplemente se encarga de enviar por
un extremo lo mismo que recibe por el otro, lo que le convierte en un dispositivo
“invisible”.

El hecho de presentarse como un dispositivo de capa 2 hace que este dispositivo carezca de
pila IP, por lo que no generará ningún tipo de tráfico que el atacante pueda observar.

SEGURIDAD INFORMATICA
 HONEYPOT 27

En alguna bibliografía tanto para GEN I como para GEN II, se denomina al dispositivo que
controla todo el acceso de entrada y salida a nuestra Honeynet Honeywall. Esta
nomenclatura viene dada porque conceptualmente este dispositivo es el muro que separa
nuestra Honeynet del resto de las redes. Esta unión de capacidades en una única entidad
compacta facilita la instalación y administración de la Honeynet. Debido a su actuación
como dispositivo transparente, la detección por parte de un atacante se dificulta
enormemente.

Pese a que en el esquema parezca que hay dos redes (la de producción y la Honeynet)
realmente sólo hay una. El dispositivo es de capa 2, y por lo tanto NO tiene dirección IP en
los interfaces A y B, lo que “virtualmente” significa que a nivel de IP no existe. El
dispositivo C sí que tiene asignada una dirección IP y servirá como canal seguro (VPN)
para el control, administración del Honeywall y para el movimiento de los ficheros de logs
hacia un repositorio “seguro”.

La primera mejora que introduce esta arquitectura hace referencia al control del flujo de
datos. En la GEN I realizábamos un control del total de conexiones desde nuestra Honeynet
hacia el exterior. De forma que si no se alcanzaba un umbral definido, las conexiones hacia
el exterior eran “permitidas”.

SEGURIDAD INFORMATICA
 HONEYPOT 28

Con este paradigma de GEN II, obtenemos un control total de todas y cada una de las
conexiones que pueda realizar, independientemente de si su número es mayor, menor o
igual al límite existente en las Honeynet de GEN I.

La segunda mejora que obtenemos hace referencia directa a la forma en que podemos
responder ante las actividades no autorizadas desde nuestra Honeynet. En lugar bloquear
simplemente cualquier tipo de acceso no permitido, podemos modificar y dosificar la
actividad del atacante. De esta forma, el ataque como tal sale de la Honeynet (cosa que
puede ver y comprobar el atacante) sin embargo no es efectivo debido a las modificaciones
que podemos realizar en tiempo real sobre el paquete de datos (cosa que muy difícilmente
puede detectar el atacante).

Esta capacidad añade credibilidad ante el atacante, que verá como sus paquetes “salen”
hacia sus nuevas víctimas y retornan sin ningún tipo de filtro o control. Sin embargo, estos
paquetes son modificados en tiempo real de forma que si utiliza una vulnerabilidad del
servicio FTP, sea detectada por nuestro sistema y modifique el paquete de forma que sea
inocuo.

Los paquetes entran y salen “libremente”, sin embargo su contenido no. Esta nueva
característica añade las capacidades de un sistema NIPS (Network Intrusion prevention
System) a las capacidades de bloqueo ya existentes en la GEN I.

Este sistema es tan flexible que no sólo permite modificar los paquetes que salen hacia
fuera, sino que incluso nos permite modificar la respuesta que el atacante obtiene por parte
del sistema externo que quiere atacar. Podemos por ejemplo devolverle paquetes TCP-RST
(reset) simulando que el sistema atacado rechaza sus peticiones de control.

La captura de la actividad que realiza el atacante en cualquiera de los sistemas incluidos en

nuestra Honeynet ha variado substancialmente en los últimos años. Las capturas directas
del teclado o las capturas de paquetes de red utilizando snifers son inefectivas ante el uso de
SSH o cualquier otro sistema de comunicación cifrado.
La herramienta SEBEK2 permite la captura de este tipo de información en espacio de
kernel. No entraremos detalles puesto que su funcionamiento se sale de los propósitos de
este trabajo.

A estas técnicas se les conoce como “honeypots” o tarros de miel (y se usan para
conseguir literalmente que los hackers, atacantes o saboteadores “se engolosinen” y crean
que en realidad están vulnerando todo y durante este proceso se puedan tomar medidas
verdaderamente preventivas), y consisten en instalar servidores de red (comúnmente UNÍX
o NT) específicamente para atraer la atención actuando como trampas, consiguiendo
registrar movimientos y alertando a los administradores de la red de que se está
produciendo un intento de violación, con lo cual hay tiempo de reacción para parar el
ataque y obtener los datos del posible intruso. Simulan ser un elemento real de red, pero
están desactivados para que no se pueda tomar su control desde el exterior, se encuentran
en una zona al margen del tráfico convencional y disponen de un auténtico filtro dedicado

SEGURIDAD INFORMATICA
 HONEYPOT 29

para evitar todo el tráfico saliente en caso de que fallen o un experto (un verdadero hacker y
no un atacante furtivo o novato, o un auténtico especialista formado en estos temas) consiga
acercarse lo suficiente como para intentar tomar su control.

De hecho, cuando se piensa en seguridad para las redes se piensa en routers

(controladores de tráfico en las redes), cortafuegos y en Sistemas de Detección de
Intrusos (éstos forman parte del modelo de seguridad adoptado por una organización o
empresa, sirven para detectar actividades inapropiadas, incorrectas o anómalas desde el
exterior o interior de todo un sistema informático). En este contexto es como se nos
presentan los Honeypots como alternativa -además de adicional- bastante útil como una
medida eficaz que nos permita afinar nuestros criterios de seguridad corporativa e incluso
con el tiempo poder ir contribuyendo a la evolución y desarrollo de estándares
internacionales de seguridad de redes.

En la actualidad ya se empiezan a tener investigaciones serias en este sentido (Honeynet

Project), los honeypots hasta el momento solamente son algo experimental y con fines de
estudio. Recalcamos también que, no podemos ser por el momento demasiado optimistas,
uno de los tantos estudios –de acuerdo con Cristian Fabián A.S.S. Borghello- revela como a
“un intruso le tomó menos de un minuto irrumpir en la computadora de su universidad,
estuvo dentro menos de media hora y a los investigadores les tomó 34 horas descubrir todo
lo que hizo” y, también se estima que “esas 34 horas de limpieza pueden costar 2000
dólares a una organización y 22000 si se debiera tratar con un consultor especializado.” 

Honeynets distribuidas

El siguiente paso que se está realizando con las Honeynets es la aplicación del viejo
principio de “la unión hace la fuerza”. El escenario con el que nos encontramos puede ser
el de una gran organización internacional con múltiples redes en múltiples países o varios
equipos de expertos en seguridad diseminados por todo el planeta que desean compartir la
información generada por sus Honeynets.

Obviamente, la posibilidad de centralizar (o al menos comunicar) las distintas

Honeynets para la recolección de información es básico puesto que nos permitirá la
correlación de resultados así como la comunicación de nuevos descubrimientos de forma
más rápida y eficiente.

SEGURIDAD INFORMATICA
 HONEYPOT 30

Una vez que ya tenemos definidas unas arquitecturas estables (GEN II) y lo
suficientemente flexibles como para permitir la interconexión de los sistemas, el siguiente
paso es plantearse cómo hacerlo.

El modelo escogido es mediante la creación de túneles privados virtuales cifrados con

IPSec (IPSec VPN). De esta forma, una vez al día los diferentes Honeywalls se conectarán
por el interface C de forma segura al repositorio central para depositar los ficheros de log
del día anterior.

¿Para qué sirven?

Su uso es simple. Consiste en instalar servidores de red (comúnmente Unix o NT)
específicamente para atraer la atención del intruso. Actúan como trampas, consiguiendo
registrar movimientos y alertar a los administradores de la red de un intento de violación.
Simulan ser un elemento real de red, pero están desactivados para que no se pueda tomar su
control desde el exterior; se encuentran en una zona al margen del tráfico convencional y
disponen de un auténtico filtro dedicado a evitar todo el tráfico saliente en caso de que
fallen o un experto consiga acercarse lo suficiente como para intentar tomar su control.

A diferencia de los firewalls o un sistema de detección de intrusos, los honeypots no

solucionan un problema específico. Son una herramienta flexible que se presenta en
diversos tamaños y formas. Pueden hacer cualquier cosa, desde detectar ataques
encriptados en redes, hasta capturar lo último en fraudes de tarjetas de créditos on-line. Su
efectividad depende de los atacantes que interactúan con éstos.

SEGURIDAD INFORMATICA
 HONEYPOT 31

Los honeypots son sistemas deliberadamente expuestos para ser atacados o comprometidos,
y aunque no solucionan ningún problema de seguridad, son una herramienta que sirve para
conocer las estrategias que se emplean a la hora de vulnerar un sistema. Permiten conocer
de forma precisa los ataques que se realizan contra la plataforma de trabajo que hemos
elegido, o bien contra las plataformas configuradas de la misma forma, y sirven para
guardar todos los procesos que se están ejecutando contra algún sistema, con el claro
objetivo de acceder a información sensible para una organización, empresa o corporativo.

Asimismo, permiten conocer nuevas vulnerabilidades y riesgos de los distintos sistemas

operativos y diversos entornos y programas, las cuales aún no se encuentren debidamente
documentadas.

¿Qué es KFSensor?
KFSensor es un Sistema de Detección de Intrusiones (IDS) que funciona a través de un
Host.

Actúa como un honeypot para atraer y detectar a los hackers mediante la simulación de
troyanos y servicios de sistemas vulnerables.

El sistema ofrece muchísimas posibilidades de configuración e incluye la posibilidad de

registros detallados, análisis de datos y alertas de seguridad.

Es un enfoque que complementa a otros tipos de sistemas de seguridad y aporta nuevas

defensas contra la creciente amenaza a la que se enfrentan todas las organizaciones.

SEGURIDAD INFORMATICA
 HONEYPOT 32

Instalación e implementación de KFSensor

Instalación de WinPcap.

Después de seguir la instalación por defecto la aplicación ha sido instaurada.

SEGURIDAD INFORMATICA
 HONEYPOT 33

Instalación KFSensor.

Elegimos la ruta en donde será instalado el programa.

SEGURIDAD INFORMATICA
 HONEYPOT 34

Reiniciamos el sistema para finalizar la instalación.

Configuración de KFSensor

SEGURIDAD INFORMATICA
 HONEYPOT 35

Seleccionamos las clases de puertos a incluir en la detección.

Seleccionamos el dominio.

SEGURIDAD INFORMATICA
 HONEYPOT 36

Incluimos direcciones de correo para recibir informes de ataques.

Seleccionamos las opciones de instalación.

SEGURIDAD INFORMATICA
 HONEYPOT 37

Instalamos el servicio de sistemas para que independiente de que usuario inicie sesión el
KFSensor Server funcione e inicie automáticamente.

Finalizamos la configuración de KFSensor.

SEGURIDAD INFORMATICA
 HONEYPOT 38

Muestra grafica de avisos de intrusión al sistema.

SEGURIDAD INFORMATICA
 HONEYPOT 39

Muestra de un evento de intrusión.

SEGURIDAD INFORMATICA
 HONEYPOT 40

SEGURIDAD INFORMATICA
 HONEYPOT 41

SEGURIDAD INFORMATICA
 HONEYPOT 42

CONCLUSION

El propósito de este trabajo fue definir que es un Honeypot y su valor hacia la seguridad de
la comunidad o empresas. Identificamos 3 tipos de honeypots, baja interacción, media
interacción y alta interacción. La interacción define cuanta actividad un honeypot permite a
un ataque. El valor de estas soluciones es para 2 propósitos, producción e investigación.

Los Honeypots pueden ser usados para propósitos de producción, previniendo, detectando o
respondiendo a los ataques. Los Honeypots también pueden ser usados para investigación,
reuniendo información de las amenazas para así entender mejor y poder defenderse contra
ellos.

SEGURIDAD INFORMATICA
 HONEYPOT 43

BIBLIOGRAFIA
 HoneyNet en Español
http://his.sourceforge.net/trad/honeynet/
 Zonavirus
http://www.zonavirus.com/Detalle_Articulo.asp?Articulo=108
 Symantec
http://www.symantec.com/region/mx/enterprisesecurity/content/framework/LAM_2371.ht
ml
 Datafull
http://www.datafull.com/datahack/informe.php?id=255
 Forzis
http://www.forzis.com
 Tracking-Hackers
http://www.tracking-hackers.com
http://www.honeynet.org
 Honeypots for windows, Roger A Grimes, 2005, Editorial Apress
 Honeypots, Tracking Hackers, Lance Spitzner, 2003, Addison Wesley

SEGURIDAD INFORMATICA