HONEYPOT Seguridad en Redes. Concepto Un honeypot es un recurso del sistema de información cuyo...
-
Upload
isabell-solar -
Category
Documents
-
view
219 -
download
1
Transcript of HONEYPOT Seguridad en Redes. Concepto Un honeypot es un recurso del sistema de información cuyo...
HONEYPOTSeguridad en Redes
Concepto• Un honeypot es un recurso del sistema de
información cuyo valor reside en el uso no autorizado o ilícito de ese recurso.
• Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques.
Concepto• Es una herramienta de seguridad informática
utilizada para recoger información sobre los atacantes y sus técnicas.
• El término honeypot significa, literalmente, “tarro de miel”.
Historia• 1990-1991: Primera obra publica que documenta los conceptos de
Honeypot.
• 1997: La versión 0.1 del Kit de herramientas honeypot Fred Cohen fue es liberada.
• 1998: El desarrollo comenzó en CyberCop Sting, uno de los honeypots comerciales de venta al público.
• 1998: Marty Roesch y GTE Internetworking comenzar el desarrollo de una solución honeypot que finalmente se convierte NetFacade. En este trabajo se introduce el concepto de Snort.
Historia• 1998: BackOfficer Friendly es liberado. Un honeypot fácil
de usar y basado en Windows.
• 2000-2001: Uso de honeypots para capturar y estudiar actividades de virus. Cada vez más organizaciones adoptan honeypots para detectar ataques y para la investigación de nuevas amenazas.
• 2002: Un honeypot es utilizado para detectar y capturar en la naturaleza un ataque nuevo y desconocido.
Objetivo de un Honeypot• Los principales objetivos son el
distraer a los atacantes y
obtener información sobre el
ataque y el atacante.
• [R. Baumann, C. Plattner]
Tipos de Honeypot• Según su uso están clasificados en:
– Honeypots de Investigación.• Detectar nuevos tipos de ataques y herramientas de
hacking.
• Obtener mayor conocimiento de los atacantes (objetivos, actividades, etc.) y tendencias.
• Detectar nuevas formas de comunicaciones encubiertas.
• Detectar y analizar nuevas herramientas de DDoS.
– Honeypots de Producción:• Distraer al atacante del objetivo real (ganar tiempo para
proteger el ambiente de producción).
• Recolectar suficiente evidencia contra un atacante.
Tipos de Honeypot• Según su nivel de interacción están
clasificados en:
– Honeypots de BAJO nivel de interacción:• Regularmente sólo proveen servicios falsos o emulados.
• No hay un sistema operativo sobre el cual el atacante pueda interactuar.
• Son fáciles de instalar y de proveer mantenimiento.
• La desventaja es que la información obtenida es muy limitada.
– Honeypots de nivel MEDIO de interacción:• Brinda mayor interacción pero sin llegar a proveer un
sistema operativo sobre el cual interactuar.
Tipos de Honeypot• El atacante obtiene una mejor ilusión de un sistema
operativo real y mayores posibilidades de interactuar y escanear el sistema.
• El desarrollo/implementación es mas complejo y consume mas tiempo.
• Los emulaciones de los servicios son mas sofisticadas y brindan mayores posibilidades de interacción.
– Honeypots de nivel ALTO de interacción:• Cuentan con un sistema operativo real.
• Presentan un mayor nivel de riesgo y complejidad.
• Son objetivos mas “atractivos” para ser atacados.
• Se puede obtener mayor y mejor información de los atacantes.
• Requiere de mucho tiempo para su instalación y mantenimiento.
Tabla comparativa• Baumann – Plattner [Baum02]
Usos Comunes• Detección, prevención y obtención de
información de atacantes.• Detectar escaneos y ataques en forma
temprana.• Capturar nuevas herramientas de hacking,
gusanos, malware en general, etc.• Mejorar el conocimiento y tendencias de los• ataques/atacantes informáticos (hackers).
Herramienta de Honeypot• Honeyd
Esta herramienta no solo puede emular los servicios, sino emular a los sistemas actuales de operación. Honeyd puede parecer que el atacante sea un router cisco, webserver winxp o un servidor de DNS linux.
Ventajas para emular diferentes S.O• Mejor se pueden mezclar con las redes existentes, si el
honeypot tiene la misma apariencia y el comportamiento de los sistemas de producción.
• Puede dirigirse a los atacante específicos, previendo que los sistemas y servicios que a menudo se dirigen, o de los sistemas y servicios que desean aprender.
Fuentes de Información
• Spitzner, Lanzer; Honeypots: tracking hacckers:
http://books.google.com.mx/books?id=xBE73h-zdi4C&printsec=frontcover&dq=honeypot&hl=es&ei=NUOKTp3vNsStsAKm_eGxDw&sa=X&oi=book_result&ct=result&resnum=1&ved=0CC0Q6AEwAA#v=onepage&q=honeypot&f=false
• http://www.tracking-hackers.com/papers/honeypots.html• http://www.alegsa.com.ar/Dic/honeypot.php• http://www.noticiasdot.com/publicaciones/2003/0503/080
5/noticias080503/noticias080503-26.htm
Integrantes del equipo:
Rafael Esteban Castañeda Gómez.
Elizabeth Fernández Suárez.
Braulio Fregoso González.
Jaime Daniel García Cortés.
HONEYPOT