HONEYPOTSeguridad en Redes

Concepto• Un honeypot es un recurso del sistema de

información cuyo valor reside en el uso no autorizado o ilícito de ese recurso.

• Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques.

Concepto• Es una herramienta de seguridad informática

utilizada para recoger información sobre los atacantes y sus técnicas.

• El término honeypot significa, literalmente, “tarro de miel”.

Historia• 1990-1991: Primera obra publica que documenta los conceptos de

Honeypot.

• 1997: La versión 0.1 del Kit de herramientas honeypot Fred Cohen fue es liberada.

• 1998: El desarrollo comenzó en CyberCop Sting, uno de los honeypots comerciales de venta al público.

• 1998: Marty Roesch y GTE Internetworking comenzar el desarrollo de una solución honeypot que finalmente se convierte NetFacade. En este trabajo se introduce el concepto de Snort.

Historia• 1998: BackOfficer Friendly es liberado. Un honeypot fácil

de usar y basado en Windows.

• 2000-2001: Uso de honeypots para capturar y estudiar actividades de virus. Cada vez más organizaciones adoptan honeypots para detectar ataques y para la investigación de nuevas amenazas.

• 2002: Un honeypot es utilizado para detectar y capturar en la naturaleza un ataque nuevo y desconocido.

Objetivo de un Honeypot• Los principales objetivos son el

distraer a los atacantes y

obtener información sobre el

ataque y el atacante.

• [R. Baumann, C. Plattner]

Tipos de Honeypot• Según su uso están clasificados en:

– Honeypots de Investigación.• Detectar nuevos tipos de ataques y herramientas de

hacking.

• Obtener mayor conocimiento de los atacantes (objetivos, actividades, etc.) y tendencias.

• Detectar nuevas formas de comunicaciones encubiertas.

• Detectar y analizar nuevas herramientas de DDoS.

– Honeypots de Producción:• Distraer al atacante del objetivo real (ganar tiempo para

proteger el ambiente de producción).

• Recolectar suficiente evidencia contra un atacante.

Tipos de Honeypot• Según su nivel de interacción están

clasificados en:

– Honeypots de BAJO nivel de interacción:• Regularmente sólo proveen servicios falsos o emulados.

• No hay un sistema operativo sobre el cual el atacante pueda interactuar.

• Son fáciles de instalar y de proveer mantenimiento.

• La desventaja es que la información obtenida es muy limitada.

– Honeypots de nivel MEDIO de interacción:• Brinda mayor interacción pero sin llegar a proveer un

sistema operativo sobre el cual interactuar.

Tipos de Honeypot• El atacante obtiene una mejor ilusión de un sistema

operativo real y mayores posibilidades de interactuar y escanear el sistema.

• El desarrollo/implementación es mas complejo y consume mas tiempo.

• Los emulaciones de los servicios son mas sofisticadas y brindan mayores posibilidades de interacción.

– Honeypots de nivel ALTO de interacción:• Cuentan con un sistema operativo real.

• Presentan un mayor nivel de riesgo y complejidad.

• Son objetivos mas “atractivos” para ser atacados.

• Se puede obtener mayor y mejor información de los atacantes.

• Requiere de mucho tiempo para su instalación y mantenimiento.

Tabla comparativa• Baumann – Plattner [Baum02]

Usos Comunes• Detección, prevención y obtención de

información de atacantes.• Detectar escaneos y ataques en forma

temprana.• Capturar nuevas herramientas de hacking,

gusanos, malware en general, etc.• Mejorar el conocimiento y tendencias de los• ataques/atacantes informáticos (hackers).

Herramienta de Honeypot• Honeyd

Esta herramienta no solo puede emular los servicios, sino emular a los sistemas actuales de operación. Honeyd puede parecer que el atacante sea un router cisco, webserver winxp o un servidor de DNS linux.

Ventajas para emular diferentes S.O• Mejor se pueden mezclar con las redes existentes, si el

honeypot tiene la misma apariencia y el comportamiento de los sistemas de producción.

• Puede dirigirse a los atacante específicos, previendo que los sistemas y servicios que a menudo se dirigen, o de los sistemas y servicios que desean aprender.

Fuentes de Información

• Spitzner, Lanzer; Honeypots: tracking hacckers:

http://books.google.com.mx/books?id=xBE73h-zdi4C&printsec=frontcover&dq=honeypot&hl=es&ei=NUOKTp3vNsStsAKm_eGxDw&sa=X&oi=book_result&ct=result&resnum=1&ved=0CC0Q6AEwAA#v=onepage&q=honeypot&f=false

• http://www.tracking-hackers.com/papers/honeypots.html• http://www.alegsa.com.ar/Dic/honeypot.php• http://www.noticiasdot.com/publicaciones/2003/0503/080

5/noticias080503/noticias080503-26.htm

Integrantes del equipo:

Rafael Esteban Castañeda Gómez.

Elizabeth Fernández Suárez.

Braulio Fregoso González.

Jaime Daniel García Cortés.

HONEYPOT