Professional Documents
Culture Documents
HONEYPOT
Carlos Jara
Mario Gaete
Nicolás Villalón
Jueves 20 Noviembre 2008
HONEYPOT 2
INDICE
Introducción...........................................................................................................................4
Que es un Honeypot..............................................................................................................5
Tipos de Honeypots...............................................................................................................5
Por su Funcion....................................................................................................................5
Por Produccion................................................................................................................5
Por Investigacion.............................................................................................................5
Por su Grado de Interaccion...............................................................................................5
Compromiso Bajo...........................................................................................................5
Compromiso Medio........................................................................................................6
Compromiso Alto............................................................................................................7
Otras Caracteristicas............................................................................................................9
Especializacion de los Honeypot..........................................................................................9
Ubicacion................................................................................................................................9
Antes del Firewall.............................................................................................................10
Detrás del Firewall...........................................................................................................10
En la Zona Desmilitarizada..............................................................................................11
HoneyTokens.......................................................................................................................12
Wi-Fi Honeypots..................................................................................................................13
Repercusiones Legales........................................................................................................14
Trampas.............................................................................................................................15
Privacidad.........................................................................................................................15
Responsabilidad................................................................................................................16
Ventajas y Desventajas de Honeypot.................................................................................16
Ventajas de Honeypot.......................................................................................................16
Desventajas de Honeypot..................................................................................................17
Utilidades de Honeypot.......................................................................................................17
Necesidades de un IDS......................................................................................................19
Demasiada Informacion....................................................................................................19
Falsos Positivos................................................................................................................20
Falsos Negativos...............................................................................................................20
Recursos............................................................................................................................20
Honeynets.............................................................................................................................20
Honeynets Virtuales............................................................................................................22
Honeynet Virtual Auto-Contenida.....................................................................................22
Honeynet Virtual Hibrida.................................................................................................23
GEN I....................................................................................................................................24
GEN II..................................................................................................................................26
Honeynet Distribuidas........................................................................................................29
Para que Sirven.................................................................................................................30
SEGURIDAD INFORMATICA
HONEYPOT 3
Que es KFSensor.................................................................................................................31
Instalacion e Implementacion............................................................................................32
Conclusion............................................................................................................................42
Bibliografia..........................................................................................................................43
SEGURIDAD INFORMATICA
HONEYPOT 4
INTRODUCCION
SEGURIDAD INFORMATICA
HONEYPOT 5
¿Qué es un HoneyPot?
“Consiste en activar un servidor y llenarlo de archivos tentadores, hacer que sea difícil,
pero no imposible penetrarlo y sentarse a esperar que aparezcan los hackers. Los honeynets
(conjuntos de honeypots) dan a los hackers un gran espacio para recorrer. Presentan
obstáculos que poseen el nivel de complejidad suficiente para atraerlos, pero sin irse al
extremo para no desalentarlos... Ellos juegan con los archivos y conversan animadamente
entre ellos sobre todo los fascinantes programas que encuentran, mientras el personal de
seguridad informática observa con deleite cada movimiento que hacen. Francamente, siento
una combinación de sentimientos con respecto a espiar a la gente, aunque no sean buenas
personas”. Dan Adams.
Un Honeypot es un sistema diseñado para analizar cómo los hackers emplean sus
armas para intentar entrar en un sistema (analizan las vulnerabilidades) y alterar, copiar
o destruir sus datos o la totalidad de éstos (por ejemplo borrando el disco duro del
servidor). Por medio del aprendizaje de sus herramientas y métodos se puede, entonces,
proteger mejor los sistemas. Pueden constar de diferentes aplicaciones, una de ellas sirve
para capturar al intruso o aprender cómo actúan sin que ellos sepan que están siendo
vigilados.
Tipos de honeypots
Se pueden clasificar de dos formas diferentes. Por su grado de interacción con el atacante o
por su función.
Por su función
1. Production honeypot: Son aquellos honeypots que se instalan en las empresas para
desviar la atención de máquinas mucho más importantes. Están dentro de la propia
red de la empresa. Se instalan servicios vulnerables (o aparentemente vulnerables),
suelen tener muchísimos puertos abiertos, datos falsos, etc. Así los hacen más
atractivos y más deseables para un posible intruso.
2. Research honeypot: Estos son aquellos que se usan por pura investigación. No
contiene datos importantes y están pensados para ser comprometidos para su
posterior análisis forense. Por otro lado, también pueden ir enviando datos de los
intentos de intrusión y de las intrusiones cometidas, tales como ips, comandos,
aplicaciones instaladas, capturas de teclado,...
SEGURIDAD INFORMATICA
HONEYPOT 6
El riesgo que introduce esta variante es mínimo puesto que el atacante nunca podrá
acceder a la máquina, lo que nos hace perder la posibilidad de investigar y analizar
sus técnicas.
SEGURIDAD INFORMATICA
HONEYPOT 7
Este tipo de Honeypots son muy atractivas para los atacantes y permiten un estudio
completo de su comportamiento. Deben estar constantemente monitorizadas ya que
su peligro consiste en que si un atacante logra acceso a ella puede disponer de todo
el sistema como le plazca.
Esto significa que ya no podemos considerarlo como un lugar con logs “fiables” y
puede ser utilizado para atacar otros sistemas de nuestra red o incluso de otras
conectadas a Internet.
Los honeypots vienen con diversidad de colores y gustos, haciendo difícil su comprensión.
Para ayudarnos a entender mejor a los honeypots y a todos los diferentes tipos, dividiremos
a dos categorías generales: honeypots de "baja interacción" y de "alta interacción". Estas
categorías nos ayudan a entender con qué tipo de honeypots está trabajando usted, sus
fortalezas y debilidades. La interacción define el nivel de actividad que un honeypot le
SEGURIDAD INFORMATICA
HONEYPOT 8
permite tener un atacante. Los honeypots de baja interacción tienen una interacción
limitada, normalmente trabajan únicamente emulando servicios y sistemas operativos. La
actividad del atacante se encuentra limitada al nivel de emulación del honeypot. Por
ejemplo, un servicio FTP emulado escuchando en el puerto 21 probablemente estará
emulando un login FTP o probablemente suportará algunos comandos FTP adicionales. Las
ventajas de un honeypot de baja interacción es su simplicidad, estos honeypots tienden a ser
fáciles de utilizar y mantener con un riesgo mínimo: Por lo general es instalar un software,
elegir el sistema operativo y el servicio a emular y monitorear, y dejar que el programa
camine por sí solo desde ahí.
Este proceso cercano al "plug and play" hace que la utilización de éstos sea muy fácil para
la mayoría de las organizaciones. Incluso, los servicios emulados mitigan el riesgo
conteniendo la actividad del atacante: el atacante nunca tiene acceso al sistema operativo
real donde puede atacar o dañar otros sistemas. Las principales desventajas de los
honeypots de baja interacción es que registran únicamente información limitada y son
diseñados a capturar actividad prevista, los servicios emulados sólo pueden llegar hasta ahí.
También es fácil para un atacante detectar un honeypot de baja interacción, sin importar
cuán buena sea la emulación. Un perpetrador hábil puede, con el debido tiempo, detectar su
presencia. Ejemplos de honeypots de baja interacción se incluyen: Specter, Honeyd, y
KFSensor.
Los honeypots de alta interacción son diferentes, éstos generalmente son soluciones
complejas ya que implica la utilización de sistemas operativos y aplicaciones reales. Nada
es emulado, le damos a los hackers lo real. Si quiere un honeypot Linux corriendo un
servidor FTP, tendrá que construir un verdadero sistema Linux y montar un verdadero
servidor FTP. Las ventajas de dicha solución son dos: Primero, usted capturará grandes
cantidades de información dándoles a los hackers sistemas reales con la cual interactuar,
podrá aprender la completa extensión de sus actividades, cualquier cosa desde rootkits
nuevos hasta sesiones internacionales de IRC. La segunda ventaja es que los honeypots de
alta interacción no asumen acerca del posible comportamiento que tendrá el atacante, en
lugar de eso proveen un entorno abierto que captura todas las actividades realizadas. Esto
permite a las soluciones de alta interacción conocer el comportamiento no esperado. Un
excelente ejemplo de esto es cómo un honeypot capturó comandos "back door" codificados
en un protocolo IP no estándar (específicamente protocolo IP 11, Network Voice Protocol).
No obstante, esto también incrementa el riesgo de los honeypots ya que los atacantes
pueden utilizar estos sistemas operativos reales para lanzar ataques a sistemas internos que
no forman parte de los honeypots. En consecuencia, se requiere la implementación de una
tecnología adicional que prevenga al atacante de dañar otros sistemas que no son
honeypots. En general, honeypots de alta interacción pueden hacer todo lo que uno de baja
interacción puede hacer y mucho más, pero pueden ser más complejos para utilizar y
mantener. Ejemplos de honeypots de alta interacción son Symantec Decoy Server y los
Honeynets.
SEGURIDAD INFORMATICA
HONEYPOT 9
Otras características
Algunos honeypots, como Honeyd, no sólo emulan servicios sino que también emulan el
Sistema Operativo. En otras palabras, Honeyd puede aparentar ser un router Cisco, un
webserver WinXP o un servidor DNS Linux. Existen varias ventajas en emular diferentes
sistemas operativos. Primero, el honeypot puede encajar mejor con la red existente si el
honeypot tiene la misma apariencia y comportamiento que las computadoras productivas.
Segundo, se puede apuntar a atacantes específicos proveyéndoles sistemas y servicios que
buscan a menudo o sistemas y servicios que usted quiere aprender al respecto. Hay dos
elementos en sistemas operativos emulados. El primero es el servicio emulado. Cuando un
atacante se conecta a un servicio emulado, usted puede tener al servicio comportándose y
aparentando ser un sistema operativo determinado. Por ejemplo, si tiene un servicio
emulando un webserver y quiere que su honeypot aparente ser un Win2000 servidor,
entonces deberá emular el comportamiento de un IIS webserver, y para el caso de un Linux,
debería emular el comportamiento de un webserver Apache. La mayoría de los honeypots
emulan el SO de esta manera. Algunos honeypots sofisticados llevan la emulación un paso
adelante (como lo hace el Honeyd): No sólo emulan en el nivel de servicio, sino que en el
nivel del stack del IP. Si alguien realiza active fingerprinting para determinar el SO de su
honeypot, muchos honeypots responderán al nivel del IP Stack del SO real en donde esté
instalado el honeypot. Honeyd falsea la respuesta, emulando no sólo el servicio sino
emulando también el stack del IP, comportándose como si fuera realmente otro sistema
operativo. El nivel de emulación y sofisticación depende en qué tecnología de honeypot
elige para usar.
Ubicación
La ubicación de los Honeypots es esencial para maximizar su efectividad, ya que debido a
su carácter intrínsecamente pasivo una ubicación de difícil acceso eliminará gran parte de
su atractivo para potenciales atacantes. Por otro lado, si su ubicación es demasiado artificial
u obvia cualquier experimentado atacante la descubrirá y evitará todo contacto con ella.
Por otro lado debemos tener en cuenta que debe integrarse con el resto del sistema que
tenemos ya implantado (servidores WWW, servidores de ficheros, DNS…) y asegurarnos
que no interfiere con las otras medidas de seguridad que puedan ya existir en nuestra red
(Firewalls, IDS…).
Teniendo en cuenta que los Honeypots pueden servir tanto para la detección de atacantes
internos como externos, debemos tener siempre en cuenta la posibilidad de establecer
SEGURIDAD INFORMATICA
HONEYPOT 10
1. Antes del firewall (Front of firewall): Esta localización permite evitar el incremento del
riesgo inherente a la instalación del Honeypot. Como este se encuentra fuera de la zona
protegida por el firewall, puede ser atacado sin ningún tipo de peligro para el resto de
nuestra red
Esta ubicación nos permite tener un acceso directo a los atacantes, puesto que el firewall ya
se encarga de filtrar una parte del tráfico peligroso o no deseado, obteniendo trazas reales
de su comportamiento y estadísticas muy fiables sobre la cantidad y calidad de ataques que
puede recibir nuestra red.
Además con esta configuración evitaremos las alarmas de otros sistemas de seguridad de
nuestra red (IDS) al recibir ataques en el Honeypot. Sin embargo, existe el peligro de
generar mucho tráfico debido precisamente a la facilidad que ofrece el Honeypot para ser
atacado.
Cualquier atacante externo será lo primero que encuentra y esto generará un gran consumo
de ancho de banda y espacio en los ficheros de log. Por otro lado, esta ubicación nos evita
la detección de atacantes internos.
2. Detrás del firewall (Behind the firewall): En esta posición, el Honeypot queda afectado
por las reglas de filtrado del firewall. Por un lado tenemos que modificar las reglas para
permitir algún tipo de acceso a nuestro Honeypot por posibles atacantes externos, y por el
otro lado, al introducir un elemento potencialmente peligroso dentro de nuestra red
podemos permitir a un atacante que gane acceso al Honeypot un paseo triunfal por nuestra
red.
SEGURIDAD INFORMATICA
HONEYPOT 11
La ubicación tras el firewall nos permite la detección de atacantes internos así como
firewalls mal configurados, máquinas infectadas por gusanos o virus e incluso atacantes
externos.
Sin embargo las contrapartidas más destacables son la gran cantidad de alertas de seguridad
que nos generarán otros sistemas de seguridad de nuestra red (Firewalls, IDS…) al recibir
ataques el Honeypot y la necesidad de asegurar el resto de nuestra red contra el Honeypot
mediante el uso de firewalls extras o sistemas de bloqueo de acceso, ya que si un atacante
logra comprometer el sistema tendrá vía libre en su ataque a toda nuestra red.
Hay varias circunstancias que obligan a este tipo de arquitectura, como por ejemplo la
detección de atacantes internos o la imposibilidad de utilizar una dirección IP externa para
el Honeypot.
SEGURIDAD INFORMATICA
HONEYPOT 12
Esta arquitectura nos permite tener la posibilidad de detectar ataques externos e internos
con una simple reconfiguración de nuestro sistema de firewall puesto que se encuentra en la
zona de acceso público.
Además eliminamos las alarmas de nuestros sistemas internos de seguridad y el peligro que
supone para nuestra red al no estar en contacto directo con esta.
HoneyTokens
De la misma forma, podemos definir Honeytoken como “un recurso digital de cualquier
tipo (un documento Word, Excel, un fichero de música, un número de tarjeta de crédito…)
destinado únicamente a interaccionar con posibles atacantes”.
SEGURIDAD INFORMATICA
HONEYPOT 13
Un Honeytoken es un recurso que siempre que sea utilizado u accedido lo será de forma
ilícita, y por tanto lo utilizará únicamente un atacante.
1. No deben tener valor real ni afectar de ninguna manera que se comprometan o divulguen.
2. Deben ser similares a uno real. El objetivo es que el atacante se lo “crea” totalmente y
confíe en su autenticidad como si fuera de verdad. Verosimilitud.
Estas características intrínsecas debido a su construcción, les confieren las mismas ventajas
y características que los Honeypots. Otra característica que les hace interesantes es lo
simple que resulta utilizarlos. No necesitamos ordenadores, ni licencias de ningún tipo, un
simple fichero creado en 3 minutos o un número de tarjeta inventado nos bastan para tener
un perfecto Honeytoken.
Cabe señalar que la detección de un Honeytoken circulando por nuestra red, no implica
necesariamente que esta haya sido comprometida, sin embargo sí prueba la existencia de un
comportamiento inadecuado e identifica a las partes implicadas. Una vez detectado, otros
medios complementarios (IDS, ficheros de logs…) deben probar la culpabilidad real de las
partes.
WI-FI Honeypots
SEGURIDAD INFORMATICA
HONEYPOT 14
universitarios están iniciando un nuevo paso en las comunicaciones, las redes inalámbricas
(wireless networks).
Como ocurre con cualquier red de comunicaciones, los accesos no autorizados o los ataques
perpetrados por hackers están a la orden del día. Sin embargo, el peligro de este tipo de
redes se dispara debido a tres factores diferenciales:
1. Los estándares y especificaciones para este tipo de redes son “nuevos” y poco probados.
Como siempre que se realiza una cosa por primera vez, la existencia de indefiniciones, a
las interpretaciones o fallos de conceptos es bastante probable. Estos aspectos difusos son
los más utilizados por los atacantes para obtener acceso a este tipo de redes.
2. Cualquiera con un simple portátil (o incluso con un PDA) puede intentar acceder de
forma fraudulenta a nuestra red inalámbrica. A diferencia de otros tipos de redes, no
necesita estar físicamente conectado o estar confinado en un área concreta. Los ataques
pueden venir de cualquier sitio.
3. La mayor ventaja de las redes sin hilos es la movilidad que proporcionan. Este aspecto
también puede jugar en nuestra contra, ya que el atacante puede ir cambiando de ubicación
mientras realiza su ataque.
Repercusiones legales
Hasta ahora, en los diferentes capítulos de este trabajo se han presentado diferentes
herramientas y/o sistemas que permiten de una forma u otra aumentar la seguridad de
nuestra red.
En este punto se comentarán brevemente (puesto que va más allá de las pretensiones de este
trabajo) las implicaciones legales que pueden acarrear el uso de Honeypots. Cabe destacar
que las siguientes líneas hacen referencia al código de leyes norteamericano, y como tal NO
es aplicable a España o la CEE. Sin embargo, debido al peso específico de los Estados
Unidos debe de ser tenido en cuenta siempre…
SEGURIDAD INFORMATICA
HONEYPOT 15
El surrealismo aumenta cuando este supuesto permite al atacante denunciarnos por invadir
su intimidad y ganar el caso.
De todo esto, podemos observar que antes que cualquier otra cosa debemos responder a la
siguiente pregunta: « ¿Cuál es el objetivo de mi Honeypot? »
De que la respuesta sea únicamente “proteger mi red” a que sea “conocer la identidad de los
atacantes” o “recoger información de posibles ataques o técnicas nuevas” puede depender
ganar o perder un juicio.
Lance Spitzner desglosa las posibles responsabilidades legales derivadas del uso de
Honeypots en tres cuestiones básicas (obviamente siguiendo el sistema de leyes
norteamericano):
SEGURIDAD INFORMATICA
HONEYPOT 16
############################################################
# READ BEFORE CONTINUING: #
##
# This system is for the use of authorized users only. #
# By using this computer you are consenting to having #
# all of your activity on this system monitored and #
# Disclosed to others. #
############################################################
3. Responsabilidad (Liability): Este aspecto hace referencia a las posibles demandas que
podemos recibir en el caso de que un atacante utilice nuestro Honeypot como plataforma de
lanzamiento de ataques.
Las demandas se basarían en que nosotros no hemos realizado unos mínimos esfuerzos de
seguridad en nuestra red, sino que al contrario, facilitamos el acceso a nuestros recursos
para que sean utilizados en todo tipo de ataques. ¿Qué grado de culpabilidad tenemos
cuando un atacante usas nuestros recursos para atacar a otros? ¿Es punible la incompetencia
en materia de seguridad informática?
Ventajas:
Los honeypots son un concepto increíblemente simple, las cuales ofrecen una fortaleza muy
poderosa:
* Nuevas herramientas y tácticas: Los honeypots son diseñados para capturar cualquier
cosa que interactúa con él, incluyendo herramientas o tácticas nunca vistas.
* Mínimos recursos: Los honeypots requieren mínimos recursos, sólo capturan actividad
irregular. Esto significa que un viejo Pentium con 128mb de RAM puede manejar
fácilmente una entera red clase B en una red OC-12.
SEGURIDAD INFORMATICA
HONEYPOT 17
como los sistemas IDS, honeypots trabajan bien en entornos encriptados como IPv6. No
importa lo que los "chicos malos" lancen hacia el honeypot, el honeypot lo detectará y lo
capturará.
* Información: Los honeypots pueden recoger información "en profundidad" como pocos,
si es que existen tecnologías que se le parezcan.
* Simplicidad: Finalmente, los honeypots son conceptualmente simples. No hay por qué
desarrollar algoritmos raros, ni complejas tablas que mantener, o firmas que actualizar.
Mientras más simple sea la tecnología, menos posibilidades de errores o desconfiguraciones
habrá.
Desventajas:
Como en cualquier otra tecnología, los honeypots también tienen su debilidad. Esto es
debido a que no reemplaza a la actual tecnología, sino que trabaja con las existentes.
* Visión Limitada: Los honeypots pueden sólo rastrear y capturar actividad que
interactúen directamente con ellos. Los Honeypots no podrán capturar ataques a otros
sistemas vecinos, al menos que el atacante o la amenaza interactúe con el honeypot al
mismo tiempo.
* Riesgo: Todas las tecnologías de seguridad tienen un riesgo. Los firewalls tienen el
riesgo de que sean penetrados, la encriptación tiene el riesgo de que sean rotos, sensores
IDS tienen el riesgo de que fallen al detectar ataques. Los Honeypots no son diferentes,
tienen un riesgo también. Específicamente, los honeypots tienen el riesgo de que sean
apoderados y controlados por los "chicos malos" y que lo utilicen para dañar otros sistemas.
El riesgo es variado para los diferentes honeypots. Dependiendo en el tipo de honeypots
puede haber un riesgo no mayor a la de una falla del sensor IDS, mientras que en otros
honeypots puede que haya que enfrentarse a una situación crítica.
Utilidades de Honeypots
Específicamente, cómo se pueden usar los honeypots. Una vez más, tenemos dos categorías
generales, los honeypots pueden ser usados con propósitos productivos o de investigación.
Cuando es utilizado con propósitos productivos, los honeypots están protegiendo una
organización. En este mundo se incluye, prevención, detección o la ayuda a organizaciones
a responder a un ataque. Cuando es utilizado con propósitos de investigación, los honeypots
son utilizados para recolectar información. La importancia de esta información depende
según las organizaciones. Algunas organizaciones querrán estudiar la tendencia de las
actividades hacker, mientras otras estarán interesadas en la predicción y prevención
anticipada, o las fuerzas legales. En general, honeypots de baja interacción son utilizados
con propósitos productivos, mientras honeypots de alta interacción son utilizados con
propósitos de investigación. Sin embargo, los dos tipos de honeypots pueden funcionar para
ambos propósitos. Cuando es utilizado con propósitos productivos, honeypots pueden
proteger organizaciones en las tres formas al mismo tiempo: prevención, detección y
SEGURIDAD INFORMATICA
HONEYPOT 18
reacción. Veremos con más profundidad cómo un honeypot puede trabajar en las tres
formas perfectamente.
Los honeypots pueden ayudar a prevenir ataques en varias formas. El primero es contra
ataques automatizados, como gusanos (worms) o auto-rooters. Estos ataques son basados
en herramientas que aleatoriamente escanean (sondean) redes enteras buscando sistemas
vulnerables. Si un sistema vulnerable es encontrado, estas herramientas automatizadas
atacarán y tomarán el sistema (con gusanos que se auto-copian, copiándose a sí mismo a la
víctima). Uno de las métodos para proteger de tales ataques es bajando la velocidad de su
escaneo y potencialmente detenerlos. Llamados "sticky honeypots" (Tarros de miel
"pegajosos"), estas soluciones monitorean el espacio IP no utilizado. Cuando los sistemas
son escaneados, estos honeypots interactúan con él y disminuyen la velocidad del ataque.
Hacen esto utilizando una variedad de trucos TCP, como poniendo el "Windows size" a
cero o poniendo al atacante en un estado de espera continua. Esto es excelente para bajar la
velocidad o para prevenir la diseminación de gusanos que han penetrado en la red interna.
Un ejemplo de un sticky honeypot es el LaBrea Tarpit. Los "Honeypots pegajosos" son más
comunes encontrarlos entre soluciones de baja interacción (hasta podría llamársele
soluciones "no interactivas", ya que reducen tanto la velocidad que hacen gatear al
atacante). Honeypots pueden también proteger su organización de perpetradores humanos.
Este concepto se conoce como engaño o disuasión. La idea es confundir al atacante, hacerle
perder el tiempo y recursos interactuando con honeypots. Mientras tanto, su organización
habría detectado la actividad del atacante y tendría tiempo para reaccionar y detener el
ataque. Hasta se puede dar un paso más allá: si un atacante sabe que su organización está
utilizando honeypots pero no sabe cuáles son los sistemas honeypots y cuales son sistemas
legítimos, quizás tenga miedo de ser capturado por honeypots y decida no atacarlo. Por lo
tanto, honeypots disuaden al atacante. Un ejemplo de honeypot diseñado para hacer esto, es
el Deception Toolkit, un honeypot de baja interacción.
La segunda forma por la cual honeypots pueden ayudar a proteger una organización es por
medio de la detección. La detección es crítica, su propósito es la identificación de una falla
o ruptura para la prevención. No importa cuán segura sea la organización, siempre habrá
fallas si los hombres están involucrados en el proceso... Detectando al atacante, podrán
rápidamente reaccionar ante ellos, deteniéndolos, o mitigando el daño que hicieron.
Tradicionalmente, la detección ha sido extremadamente difícil de hacer. Tecnologías como
sensores IDS y sistemas de logueo han sido inefectivos por diversas razones: Generan
muchos datos, grandes porcentajes de falsos positivos, inhabilidad de detectar nuevos
ataques, y la inhabilidad de trabajar en forma encriptado o en entornos IPv6. Los
Honeypots son excelentes en detección, solventando muchos de los problemas de la
detección clásica. Los honeypots reducen falsos positivos, capturando pequeñas cantidades
de datos de gran importancia, capturan ataques desconocidos como nuevos exploits o
shellcodes polimórficos, y trabajan en forma encriptado o en entornos IPv6. Podrá aprender
más acerca de esto en el trabajo Honeypots: Simple, Cost Effective Detection. En general,
honeypots de baja interacción son la mejor solución para la detección, hacen fácil la tarea
de utilizar y mantener que honeypots de alta interacción y tienen un riesgo limitado.
La forma tercera y final por la cual honeypots nos pueden ayudar a proteger una
organización es en la respuesta. Una vez que una organización detecta una falla, ¿cómo
SEGURIDAD INFORMATICA
HONEYPOT 19
debe responder? Esto es a menudo uno de los grandes retos que una organización debe
enfrentar. Hay por lo general poca información acerca de quién es el atacante, cómo ingresó
al sistema o cuánto daño hizo. En estas situaciones, la información detallada acerca a las
actividades del atacante son cruciales. Hay dos problemas que afectan a la respuesta al
incidente: el primero, a menudo los sistemas comprometidos no pueden ser desconectados
de la red para ser analizados. Sistemas de producción, como el servidor mail de una
organización, son tan críticos que aunque estén hackeados los expertos en seguridad no
pueden desconectarlos y hacer un análisis forense como corresponde. Están limitados a
analizar el sistema encendido mientras sigue proveyendo sus servicios productivos. Esto
merma la habilidad para analizar qué sucedió, cuánto daño hizo el atacante, e incluso si el
atacante accedió a otros sistemas de la red. El otro problema es que incluso en el caso de
que este desconectado, hay tanta polución de datos que es muy difícil determinar qué es lo
que hizo el "chico malo". Con polución de datos me refiero que hay tanta actividad
(logging in de usuarios, lecturas de cuentas de mail, archivos escritos a bases de datos, etc.)
que puede ser difícil determinar cuál es la actividad normal del día a día y qué es lo que
hizo el atacante. Los Honeypots pueden ayudar a solventar ambos problemas. Honeypots
son una excelente herramienta de incidencias ya que pueden rápidamente y fácilmente ser
sacados de la red para un análisis forense completo, sin el impacto en las operaciones
empresariales de todos los días. Recuerden que la única actividad que guardan los
honeypots son las relacionadas con el atacante, ya que no las utilizan nadie, excepto de
señuelo para los atacantes. La importancia de los honeypots aquí es la rápida entrega de la
información, analizada en profundidad, a la organización que la necesita para responder
rápida y eficientemente a un incidente. En general, honeypots de alta interacción son la
mejor solución para la respuesta. Para reaccionar ante un intruso, se necesita conocimientos
en profundidad sobre qué hicieron, cómo ingresaron, y qué herramientas utilizaron. Para la
obtención de ese tipo de datos, se necesitarán las capacidades de un honeypot de alta
interacción.
La necesidad de un IDS:
Además, pueden ser utilizados para monitorizar objetos concretos, detectar abusos
particulares o avisar de comportamientos anómalos en un sistema. Además de estas
técnicas, el sistema puede estar orientado al host individual o a la red, algo así como la
diferencia entre tomar los acontecimientos como individuales o colectivos. En general, son
más útiles los orientados a red (distribuidos), por tomar el tráfico como un todo del que
entran y salen paquetes constantemente, en vez de tomar cada máquina como posible
objetivo de ataque. Esto último es lo que se ha venido haciendo desde siempre en los logs
que genera por ejemplo, un sistema operativo con respecto a los acontecimientos internos.
Demasiada información: Uno de los problemas comunes de los IDS tradicionales es que
generan un gigantesco volumen de alertas. El solo peso de este "ruido" consume tiempo,
SEGURIDAD INFORMATICA
HONEYPOT 20
demanda demasiados recursos y costos para revisar los datos. Por el contrario, los
honeypots recolectan los datos únicamente cuando alguien interactúa con ellos. Los grupos
de pequeña información pueden facilitar y hacer más eficiente la labor de identificar las
actividades no autorizadas y proceder en consecuencia.
Falsos positivos: Quizás el mayor inconveniente de un IDS es que muchas de las alertas
generadas son falsas. Los falsos positivos son un gran problema incluso para las
organizaciones que gastan mucho tiempo sincronizando sus sistemas. Si un IDS crea
constantemente falsos positivos, los administradores eventualmente comenzarán a ignorar
el sistema. Los honeypots obvian este problema porque toda actividad que se realice con
ellos es por definición no autorizada. Esto hace que las organizaciones reduzcan las alertas
falsas si es que no las eliminan.
Falsos negativos: Las tecnologías IDS también tienen dificultad para identificar los
ataques o comportamientos desconocidos. Además, toda actividad con un honeypot es
anómala haciendo que se destaquen los ataques nuevos o previamente desconocidos.
Honeynets
Son un conjunto de Honeypots, así abarca más información para su estudio. Incluso hace
más fascinante el ataque al intruso, lo cual incrementa el número de ataques. La función
principal a parte de la de estudiar las herramientas de ataque, es la de desviar la atención del
atacante de la red real del sistema y la de capturar nuevos virus o gusanos para su posterior
estudio. Una de las múltiples aplicaciones que tiene es la de poder formar perfiles de
atacantes y ataques.
SEGURIDAD INFORMATICA
HONEYPOT 21
Podemos definir una Honeynet como “un tipo concreto de Honeypot. Específicamente es
un Honeypot altamente interactivo diseñado para la investigación y la obtención de
información sobre atacantes. Una Honeynet es una arquitectura, no un producto concreto
o un software determinado.”.
El nuevo enfoque consiste no en falsear datos o engañar a un posible atacante (como suelen
hacer algunos Honeypot) sino que el objetivo principal es recoger información “real” de
cómo actúan los atacantes en un entorno de verdad.
Para conseguir este entorno real (con sistemas reales, no con simples emulaciones de
servicios) y altamente interactivo, se dispone una configuración de red típica con todos sus
elementos.
Obviamente, esta red ha sido diseñada para ser comprometida, por lo que debe estar
separada de forma segura y controlada de la de producción.
Por otro lado, como nuestro objetivo es el de hacer creer al atacante que está ante una red
“real”, debemos añadir los distintos elementos que conforman una arquitectura “normal” en
cualquier red (distintas máquinas, distintos sistemas operativos…)
Una Honeynet presenta dos requerimientos básicos para ser realmente útil y que nos
permita la extracción de información valiosa.
Honeynets Virtuales
SEGURIDAD INFORMATICA
HONEYPOT 22
Las Honeynets Virtuales toman el concepto de las tecnologías de las Honeynets, y las
implementan en un único sistema. Las Honeynets Virtuales no son un nuevo concepto, de
hecho toman el concepto actual de Honeynet y las implementan de una forma diferente.
Esta implementación tiene sus únicas ventajas y desventajas comparadas con las Honeynets
tradicionales. Las ventajas son coste reducido y más fácil manejo, ya que todo está;
combinado en un único sistema. Sin embargo, esta simplicidad también nos cuesta.
Primero, estás limitado a qué tipos de sistemas operativos puedes implantar debido al
hardware y al programa virtual. Segundo, las Honeynets virtuales traen un riesgo,
específicamente que un atacante puede salirse del programa virtual y tomar el sistema
Honeynet, saltándose el mecanismo de Control de Datos y de Captura de Datos.
Una Honeynet Virtual Auto-Contenida es una red entera Honeynet condensada en un sólo
computador. La red entera está virtualmente contenida en un único y físico sistema. Una
red Honeynet típicamente consiste de un cortafuego para Control de Datos y Captura de
Datos, y los honeypots dentro de la Honeynet. Algunas ventajas de este tipo de Honeynet(s)
virtual(es) son:
SEGURIDAD INFORMATICA
HONEYPOT 23
Software Limitado, ya que todo tiene que ejecutarse en una máquina, estás limitado
al software que puedes usar. Por ejemplo, es difícil ejecutar una IOS Cisco en un
procesador Intel.
Una Honeynet Híbrida es una combinación de la clásica Honeynet y del software virtual.
Captura de Datos, como por ejemplo cortafuegos, y Control de Datos, como por ejemplo
sensores IDS y almacenamiento de logs, están en un sistema separado y aislado. Este
aislamiento reduce el riesgo de compromiso. Sin embargo, todas las honeynets son
virtualmente ejecutadas en una única máquina. Las ventajas de esta configuración son:
SEGURIDAD INFORMATICA
HONEYPOT 24
GEN I
Tal y como sucede en cualquier programa (software) o especificación formal (RFC por
ejemplo), con el tiempo se van perfilando nuevas mejoras y ampliaciones de
funcionalidades. Las Honeynets no son ninguna excepción a esta regla, y en el momento de
escribir este capítulo, existen dos generaciones diferenciadas de Honeynets.
Las Honeynets de primera generación (GEN I) se caracterizan por implementar únicamente
los mecanismos básicos de control de flujo de datos (Data control) y captura de datos
(Data capture). La arquitectura utilizada presenta una subdivisión en tres subredes (la
Honeynet, la red de producción e Internet) separadas perfectamente por un firewall.
SEGURIDAD INFORMATICA
HONEYPOT 25
En esta arquitectura, el control de todas las redes se realiza mediante un firewall, ya que
cualquier paquete de entrada o salida debe pasa obligatoriamente por él. El router también
se utiliza como medio de control y filtrado, pero únicamente como soporte al firewall.
El firewall está configurado para llevar la cuenta del número de conexiones que se
establecen tanto hacia dentro como hacia fuera. De esta forma, cuando el número de
conexiones desde nuestra Honeynet hacia el exterior supera un límite preestablecido, estas
quedan anuladas. El límite de conexiones depende del lo atractiva que deseamos hacer
nuestra red a un eventual atacante, se recomiendan valores entorno a las diez conexiones
por hora.
Una red que permita cualquier tipo y número de conexiones al exterior es un gran atractivo
para cualquier atacante. Sin embargo, también es un riesgo potencial demasiado grande, ya
que puede ser utilizada como trampolín de ataque a otros sistemas externos. Por otro lado,
una que no permita conexiones al exterior carece de interés y por lo tanto eliminará la
obtención de datos “reales” (in the wild) que es nuestro principal objetivo.
En esta configuración, el firewall se coloca expresamente por delante del router. Los
motivos de esta configuración son por un lado esconder/disimular el firewall a los atacantes
y por otro dotar de medidas extras de seguridad a nuestra Honeynet para que no sea
utilizada para ataques a terceros, ya que el router también realizará parte del filtrado de las
comunicaciones de entrada y salida. Nuestro control de flujo de datos (Data control) no
debe depender únicamente de un solo punto de control.
Cuando un atacante tome el control de nuestra Honeynet, encontrará que puede salir a
Internet directamente, ya que pasa por un router real de producción, asumiendo que el
filtrado de paquetes que exista (nuestro firewall) será un filtrado realizado por nuestro
ISP y no por nosotros. De esta forma reforzamos su opinión de que somos una red
“desvalida”.
SEGURIDAD INFORMATICA
HONEYPOT 26
La captura de puertas traseras (back doors) en nuestros sistemas es otra de las posibilidades
que nos brinda este tipo de arquitectura, ya que una correlación de peticiones a puertos “no
standards” revelará rápidamente su existencia.
Gen II
Las Honeynets de segunda generación (GEN II) se caracterizan por combinar todos los
requisitos de la primera generación en un solo dispositivo. De esta forma tanto el control de
flujo de datos (Data control) como la captura (Data capture) y la recolección de datos
quedan agrupadas en una misma entidad.
El hecho de presentarse como un dispositivo de capa 2 hace que este dispositivo carezca de
pila IP, por lo que no generará ningún tipo de tráfico que el atacante pueda observar.
SEGURIDAD INFORMATICA
HONEYPOT 27
En alguna bibliografía tanto para GEN I como para GEN II, se denomina al dispositivo que
controla todo el acceso de entrada y salida a nuestra Honeynet Honeywall. Esta
nomenclatura viene dada porque conceptualmente este dispositivo es el muro que separa
nuestra Honeynet del resto de las redes. Esta unión de capacidades en una única entidad
compacta facilita la instalación y administración de la Honeynet. Debido a su actuación
como dispositivo transparente, la detección por parte de un atacante se dificulta
enormemente.
Pese a que en el esquema parezca que hay dos redes (la de producción y la Honeynet)
realmente sólo hay una. El dispositivo es de capa 2, y por lo tanto NO tiene dirección IP en
los interfaces A y B, lo que “virtualmente” significa que a nivel de IP no existe. El
dispositivo C sí que tiene asignada una dirección IP y servirá como canal seguro (VPN)
para el control, administración del Honeywall y para el movimiento de los ficheros de logs
hacia un repositorio “seguro”.
La primera mejora que introduce esta arquitectura hace referencia al control del flujo de
datos. En la GEN I realizábamos un control del total de conexiones desde nuestra Honeynet
hacia el exterior. De forma que si no se alcanzaba un umbral definido, las conexiones hacia
el exterior eran “permitidas”.
SEGURIDAD INFORMATICA
HONEYPOT 28
Con este paradigma de GEN II, obtenemos un control total de todas y cada una de las
conexiones que pueda realizar, independientemente de si su número es mayor, menor o
igual al límite existente en las Honeynet de GEN I.
La segunda mejora que obtenemos hace referencia directa a la forma en que podemos
responder ante las actividades no autorizadas desde nuestra Honeynet. En lugar bloquear
simplemente cualquier tipo de acceso no permitido, podemos modificar y dosificar la
actividad del atacante. De esta forma, el ataque como tal sale de la Honeynet (cosa que
puede ver y comprobar el atacante) sin embargo no es efectivo debido a las modificaciones
que podemos realizar en tiempo real sobre el paquete de datos (cosa que muy difícilmente
puede detectar el atacante).
Esta capacidad añade credibilidad ante el atacante, que verá como sus paquetes “salen”
hacia sus nuevas víctimas y retornan sin ningún tipo de filtro o control. Sin embargo, estos
paquetes son modificados en tiempo real de forma que si utiliza una vulnerabilidad del
servicio FTP, sea detectada por nuestro sistema y modifique el paquete de forma que sea
inocuo.
Los paquetes entran y salen “libremente”, sin embargo su contenido no. Esta nueva
característica añade las capacidades de un sistema NIPS (Network Intrusion prevention
System) a las capacidades de bloqueo ya existentes en la GEN I.
Este sistema es tan flexible que no sólo permite modificar los paquetes que salen hacia
fuera, sino que incluso nos permite modificar la respuesta que el atacante obtiene por parte
del sistema externo que quiere atacar. Podemos por ejemplo devolverle paquetes TCP-RST
(reset) simulando que el sistema atacado rechaza sus peticiones de control.
A estas técnicas se les conoce como “honeypots” o tarros de miel (y se usan para
conseguir literalmente que los hackers, atacantes o saboteadores “se engolosinen” y crean
que en realidad están vulnerando todo y durante este proceso se puedan tomar medidas
verdaderamente preventivas), y consisten en instalar servidores de red (comúnmente UNÍX
o NT) específicamente para atraer la atención actuando como trampas, consiguiendo
registrar movimientos y alertando a los administradores de la red de que se está
produciendo un intento de violación, con lo cual hay tiempo de reacción para parar el
ataque y obtener los datos del posible intruso. Simulan ser un elemento real de red, pero
están desactivados para que no se pueda tomar su control desde el exterior, se encuentran
en una zona al margen del tráfico convencional y disponen de un auténtico filtro dedicado
SEGURIDAD INFORMATICA
HONEYPOT 29
para evitar todo el tráfico saliente en caso de que fallen o un experto (un verdadero hacker y
no un atacante furtivo o novato, o un auténtico especialista formado en estos temas) consiga
acercarse lo suficiente como para intentar tomar su control.
Honeynets distribuidas
El siguiente paso que se está realizando con las Honeynets es la aplicación del viejo
principio de “la unión hace la fuerza”. El escenario con el que nos encontramos puede ser
el de una gran organización internacional con múltiples redes en múltiples países o varios
equipos de expertos en seguridad diseminados por todo el planeta que desean compartir la
información generada por sus Honeynets.
SEGURIDAD INFORMATICA
HONEYPOT 30
Una vez que ya tenemos definidas unas arquitecturas estables (GEN II) y lo
suficientemente flexibles como para permitir la interconexión de los sistemas, el siguiente
paso es plantearse cómo hacerlo.
SEGURIDAD INFORMATICA
HONEYPOT 31
Los honeypots son sistemas deliberadamente expuestos para ser atacados o comprometidos,
y aunque no solucionan ningún problema de seguridad, son una herramienta que sirve para
conocer las estrategias que se emplean a la hora de vulnerar un sistema. Permiten conocer
de forma precisa los ataques que se realizan contra la plataforma de trabajo que hemos
elegido, o bien contra las plataformas configuradas de la misma forma, y sirven para
guardar todos los procesos que se están ejecutando contra algún sistema, con el claro
objetivo de acceder a información sensible para una organización, empresa o corporativo.
¿Qué es KFSensor?
KFSensor es un Sistema de Detección de Intrusiones (IDS) que funciona a través de un
Host.
Actúa como un honeypot para atraer y detectar a los hackers mediante la simulación de
troyanos y servicios de sistemas vulnerables.
SEGURIDAD INFORMATICA
HONEYPOT 32
Instalación de WinPcap.
SEGURIDAD INFORMATICA
HONEYPOT 33
Instalación KFSensor.
SEGURIDAD INFORMATICA
HONEYPOT 34
Configuración de KFSensor
SEGURIDAD INFORMATICA
HONEYPOT 35
Seleccionamos el dominio.
SEGURIDAD INFORMATICA
HONEYPOT 36
SEGURIDAD INFORMATICA
HONEYPOT 37
Instalamos el servicio de sistemas para que independiente de que usuario inicie sesión el
KFSensor Server funcione e inicie automáticamente.
SEGURIDAD INFORMATICA
HONEYPOT 38
SEGURIDAD INFORMATICA
HONEYPOT 39
SEGURIDAD INFORMATICA
HONEYPOT 40
SEGURIDAD INFORMATICA
HONEYPOT 41
SEGURIDAD INFORMATICA
HONEYPOT 42
CONCLUSION
El propósito de este trabajo fue definir que es un Honeypot y su valor hacia la seguridad de
la comunidad o empresas. Identificamos 3 tipos de honeypots, baja interacción, media
interacción y alta interacción. La interacción define cuanta actividad un honeypot permite a
un ataque. El valor de estas soluciones es para 2 propósitos, producción e investigación.
Los Honeypots pueden ser usados para propósitos de producción, previniendo, detectando o
respondiendo a los ataques. Los Honeypots también pueden ser usados para investigación,
reuniendo información de las amenazas para así entender mejor y poder defenderse contra
ellos.
SEGURIDAD INFORMATICA
HONEYPOT 43
BIBLIOGRAFIA
HoneyNet en Español
http://his.sourceforge.net/trad/honeynet/
Zonavirus
http://www.zonavirus.com/Detalle_Articulo.asp?Articulo=108
Symantec
http://www.symantec.com/region/mx/enterprisesecurity/content/framework/LAM_2371.ht
ml
Datafull
http://www.datafull.com/datahack/informe.php?id=255
Forzis
http://www.forzis.com
Tracking-Hackers
http://www.tracking-hackers.com
http://www.honeynet.org
Honeypots for windows, Roger A Grimes, 2005, Editorial Apress
Honeypots, Tracking Hackers, Lance Spitzner, 2003, Addison Wesley
SEGURIDAD INFORMATICA