Comparacin de Honeynets Virtuales con Honeywall vs Firewall
IDSSaltos Byron, Borja JavierEscuela Politcnica Nacional Quito,
[email protected] [email protected]
Resumen El concepto de Honeynet provee una forma de enfrentar a
los atacantes buscando investigar y comprender los medios que
utilizan para sus intrusiones. Uno de los problemas ms comunes para
su implementacin es el requerimiento de recursos, los mismos que se
vieron solucionadas, en parte, por la virtualizacin. Empero los
requerimientos del equipo host siguen siendo altas, por lo que el
siguiente trabajo presenta una comparacin entre distintos mtodos de
implementacin de una Honeynet Virtual, una con un IDS Firewall y la
otra mediante una Honeywall, buscando elegir la mejor opcin.
Presentando los hallazgos y conclusiones obtenidas. Palabras clave
Honeynet, Virtualizacin, Honeywall. I. Introduccin Las formas
tpicas de enfrentar la seguridad informtica siempre correspondan a
procesos reactivos como parches a los sistemas, o actualizaciones,
o esperar que ciertos investigadores hayan encontrado una nueva
vulnerabilidad en algn sistema e informen de sus actividades a los
desarrolladores y encargados respectivos del software. Ante esto
surgi la idea de establecer una forma de conocer los mtodos usados
por los atacantes o intrusos a un sistema, primero se establecieron
mquinas trampa que enganchaban al atacante para conocer algunos
datos relevantes, como origen de la conexin, mtodos usados, adems
de detener el ataque, estos mtodos fueron conocidos como tarpit o
pozo de brea que atrapaba a los intrusos. Tambin surgieron
conceptos como honeypot que en un principio emulaban ciertos
servicios de un sistema real esperando e incitando a ser atacados.
Todos estos conceptos han ido evolucionando hasta incorporar
sistemas reales para conocer informacin relevante del intruso
netamente por investigacin. Uno de estos mtodos son las honeynet
que presentan un entorno real de red semejante a la de produccin
que busca controlar el acceso del atacante y evitar que comprometa
otros sistemas que no sean los ya establecidos y que en lo posible,
y sin que este se de cuenta que se est recolectando toda la
informacin posible de su actividad en la red. Un concepto
fundamental que apareci posteriormente fue el de virtualizar estar
redes constituyendo las llamadas Honeynet Virtuales que abarataron
los costos de implementacin y mantenimiento de las honeynet. Aunque
a pesar de ello se necesita de equipos potentes que soporten estas
implementaciones. Es aqu donde entra este proyecto, que busca
analizar el consumo de recursos de las distintas implementaciones
disponibles para una Honeynet en este caso la
implementacin de un Firewall y un IDS para captura y control de
datos en un solo equipo o el uso de un Honeywall de capa dos.
Buscado elegir la mejor opcin de implementacin. El siguiente prrafo
describe el resto del contenido del paper: en la seccin dos se
trata todos los conceptos relacionados para conocer, implementar y
entender el funcionamiento de una Honeynet Virtual y las
herramientas utilizadas, en la seccin tres se describe el
procedimiento de puesta en marcha de las honeynet y los resultados
y conclusiones obtenidas de la mediciones de rendimiento realizadas
sobre las distintas formas de implementacin de la honeynet. La
seccin cuatro describe las relaciones con otros trabajos
relacionados, y la seccin cinco muestra las conclusiones obtenidas
del experimento. II. Marco Terico Referencial. 1. Honeypot. Existen
mltiples definiciones de una honeypot o tarro de miel pero por su
versatilidad tomaremos la definicin de [1] que dice que una
honeypot es un recurso de seguridad cuyo valor reside en que sea
explorada, atacada o comprometida. Generalmente emulan el
comportamiento de ciertos sistemas como routers, servidores web o
de correo. Su utilidad consiste en atraer al intruso a su sistema
engandolo aparentando un equipo vulnerable para recoger informacin
sobre los mtodos utilizados y los datos que busca comprometer.
Existen diferentes tipos de Honeypot desarrolladas de acuerdo los
objetivos de seguridad o aplicacin[1] : de produccin cuyo objetivo
es defender a la organizacin donde se encuentran en funcionamiento
mientras que las de investigacin como su nombre lo menciona buscan
aprender del atacante. Las honeypot de produccin de acuerdo a [4]
se pueden subclasificar en: de prevencin, de deteccin y de reaccin.
Las primeras buscan detener al atacante desviando su atencin de los
sistemas en produccin, las de deteccin emiten alertas cuando un
ataque es llevado a cabo estn basadas en sistemas de deteccin de
intrusos (IDS), y las ltimas constituyen honeypots que acompaan a
los sistemas de produccin con un entorno similar a este que busca
encontrar la causa y la solucin de las vulnerabilidades del sistema
una vez que ha sido comprometido. Tambin de las clasifica segn [2]
en: de baja interaccin cuando emulan el comportamiento de un
sistema o varios sistemas y de alta interaccin cuando estos
constituyen servicios y host reales vulnerables (no emulados). La
primera permite al intruso interactuar de manera limitada con el
honeypot, por lo que no afecta al sistema por completo (riesgo
mnimo), su funcionalidad es
reducida de manera que se hace fcil su implementacin,
configuracin y administracin. El segundo grupo al ser sistemas
reales (hardware, sistemas operativos, software aplicativo, etc.)
proveen un alto riesgo si son controladas por el atacante de ah que
su puesta en marcha sea complejo. 2. Honeynet Las Honeynet
constituyen la evolucin de las tecnologas honeypots se definen segn
[3] como: un honeypot con mucha interaccin designado principalmente
para la investigacin, recogiendo informacin del enemigo. Se
diferencias de las mismas debido a que no constituyen un solo
sistema sino una red de varios sistemas y aplicaciones que son
atacadas por los intrusos, reflejan un entorno de red real y muy
semejante al de produccin con la interaccin de distintos sistemas y
plataformas (routers, conmutadores, firewalls, servicios de DNS,
correo, Web sobre Linux o Windows, entre otros). En el caso de los
honeypots al estar ubicados en ambientes de produccin, el anlisis
del trfico sospecho se vuelve una tarea tediosa y larga. En cambio
en las honeynets al constituir sistemas que no se encuentran en
produccin todo trfico entrante es sospechoso y todo trfico saliente
constituye un punto de anlisis (ya que la red ha sido comprometida)
de los mtodos usados por los intrusos. A pesar de que una honeynet
puede ser implementada de distintas formas segn [3] existen dos
requisitos crticos, de manera que si existe un fallo en alguno de
ellos la honeynet se vera comprometida, estos son: Control de datos
y captura de datos. El control de datos es una actividad de
contencin. Una vez que la honeynet ha sido comprometida debemos
tener la capacidad de evitar que esta sea usada para comprometer o
atacar otros equipos y de igual forma permitir el uso de equipo por
parte del atacante para conocer sus mtodos sin que este sospeche
que est siendo monitoreado permitindole la comunicacin con el
exterior. Hay que tomar en cuenta que mientras ms flexibilidad se
le de al atacante mayor ser el aprendizaje pero tambin el riesgo.
La captura de datos consiste es la recoleccin de todas las
actividades del atacante que son usadas para aprender sobre sus
herramientas, tcticas y motivos. Dicha requisito debe recoger cada
actividad del intruso sin que este se de cuenta, para ello se debe
evitar almacenar localmente estos registros ya que podran dar
alerta de la honeynet, por lo que hay que considerar su
almacenamiento remoto. 2.1 Tipos de Honeynet Como ya se mencion
existen diferentes formas de implementar una honeynet, considerando
los requisitos ya mencionados en el documento [3] presenta dos
formas de realizarlo: 2.1.1 Primera Generacin La Primera Generacin
(GenI) de honeynets involucra el desarrollo de una forma simple
pero efectiva. La figura 1 muestra un esquema detallado de la
implementacin y los componentes de la red. En dicho diagrama se
observa un firewall de nivel tres que segmenta la honeynet en
tres
redes: la honeynet, Internet y la red Administrativa. Todo el
trfico de la red pasa por el router y el firewall los mismos que
son usados en el Control de los Datos. El firewall es el principal
componente de la red para controlar el trfico de la red, en el caso
del trfico saliente se permite cualquier acceso, y para el trfico
saliente se debe considerar el nmero de conexiones permitidas en un
cierto tiempo dependiendo del tipo de atacantes que se desee
controlar. Esto nos permite una proteccin automtica contra el abuso
mientras se le brinda la libertad necesaria al intruso.
Fig. 1 Esquema detallado de una Honeynet de GenI. Tomado de [3].
El router mostrado en la figura 1 cumple la funcin de esconder el
firewall adems de simular un entorno real y de ofrecer un
complemento de filtrado al mismo al evitar que otros objetivos
fuera de la honeynet sean atacados con los honeypot comprometidos.
Una de las formas ms efectivas para la Captura de Datos es el uso
de capas o niveles en este caso tres: la primera la conforma el
mismo firewall utilizado anteriormente y que sirve de registro para
las conexiones salientes y entrantes enviando alertas al
administrador ante un evento sospechoso en la red, la segunda capa
la constituye el IDS que registra toda la actividad de la red y
cuyos registros son utilizados para analizar las actividades del
intruso, de manera similar al firewall puede ser configurado para
enviar alertas sobre la actividad realizada en la red. La tercera
capa la constituyen los propios equipos o sistemas de la honeynet
que pueden almacenar sus registros y actividades local y
remotamente. 2.1.2 Segunda Generacin La Segunda Generacin (GenII)
de honeynet busca mejorar la flexibilidad, gestin y seguridad de
los despliegues de la honeynet en el control y la captura de datos,
basndonos en el documento [5] se realizar una breve descripcin de
la arquitectura y el funcionamiento de esta generacin de honeynets.
El elemento clave de cualquier honeynet es el gateway (puerta de
enlace), que separa los honeynet del resto del mundo. De hecho este
funciona, como ya se demostr en la GenI, como una pared que
controla los accesos dentro y fuera de la red (Honeywall).
Siguiendo el ejemplo de la figura 2, como en el caso anterior este
dispositivo controla
todo el trfico saliente y entrante a la red. Este gateway
constituye un bridge (puente) de nivel dos, que segmenta la red
como en las Honeynet de GenI, consta de tres interfaces, una
conectada a la red de produccin, otra a la honeynet (ambas estn en
la misma red IP en modo puente por lo que no tienen IP) y una
tercera interfaz para objetivos de administracin remota del equipo.
Esta configuracin presenta tres ventajas: nos permite conocer tanto
de la red interna como externa, el gateway se hace ms difcil de
detectar, adems de simplificar el desarrollo de la red al
incorporar en un solo dispositivo el Control de y la Captura de
datos.
mismos o con un keylogger que registre las pulsaciones del
teclado y enve dicha informacin a un repositorio de almacenamiento
central. Adicionalmente el IDS puede sen configurado para emitir
alertas de trfico sospechoso en la red. 2.1.3 Honeynets Virtuales
Uno de los principales conflicto para la implementacin de una
honeynet es la alta necesidad de recursos fsicos y mecanismos de
seguridad para implantarlas. Para solucionar este problema se ha
desarrollado el concepto de Honeynets virtuales [6] cuya ventaja
reside en ejecutar todos los sistemas necesarios en uno solo, con
lo que se abarata sus costos, implementacin y mantenimiento. El
concepto consiste en implementar una Honeynet mediante el concepto
de Virtualizacin que es la forma de particionamiento lgico de un
equipo fsico en mltiples mquinas virtuales, para compartir recursos
de hardware, como CPU, memoria y dispositivos de entrada y salida
[7]. Segn [6] se dividen a las honynets en dos categoras,
Auto-contenidas e Hbridas. Las Auto-contenidas consisten en una red
entera Honeynet condensada en un solo computador (ver figura 3), es
decir que cada elemento ha sido virtualizado por completo. Presenta
ventajas como portabilidad, plug and Catch (Conecte y use), barato
en dinero y espacio. Aunque tambin ciertas desventajas como: existe
un solo punto de falla (el equipo en que corre la honeynet), se
necesita de un servidor de alta capacidad de procesamiento,
almacenamiento y memoria, depende del software de virtualizacin
utilizado para emular determinados componentes de red.
Fig. 2. Esquema detallado de una Honeynet de GenII. Tomado de
[5]. Como ya se mencion anteriormente el objetivo del control de
datos es evitar que el atacante use la honeynet para atacar o daar
otros equipos externos a la misma. Pero como controlar la cantidad
de actividad saliente de la red sin poner en riesgo a otros
sistemas, de forma que podamos aprender todo lo posible del
intruso. Pues se utiliza dos tcnicas, como en las Honeynet de GenI
se aplica en conteo de conexiones usando un firewall y la tecnologa
NIPS (Network Intrusion Prevention System por sus siglas en ingls o
Sistema de Prevencin de Intrusiones de Red) que permite bloquear o
deshabilitar ataques conocidos y que investiga cada paquete que
viaja por el gateway comparndolos con las reglas del IDS, pudiendo
emitir una alerta como en el modo tradicional o incluso eliminando
o modificando el paquete. Este nos permite por ejemplo permitir que
un ataque sea llevado a cabo, pero sin daar al objetivo, por lo que
nos dar tiempo para analizar las actividades del intruso. De manera
similar a las honeynet de GenI se utilizan tres capas para la
captura de datos: registros del firewall, trfico de la red y
actividad del sistema comprometido. El primer punto es vital para
la captura de datos ya que por dicho dispositivo pasa todo el
trfico saliente y entrante de la red, la captura del trfico de la
red es decir sus paquetes y contenidos se los realiza con algn IDS
configurado especficamente para esta tarea, y se puede analizar los
honeypot comprometidos mediante los registros de los
Fig. 3 Esquema simple de una Honeynet Virtual Autocontenida.
Tomado de [6]. Las Honeynet virtuales Hbridas constituyen una
combinacin de la Honeynet Clsica y el Software de virtualizacin.
Elementos vitales para la honeynet como el firewall y el IDS usados
en el Control y Captura de Datos se encuentran es un sistema
aislado, mientras que los honeypots son virtualizados (ver figura
4). Sus ventajas consisten en provee un menor riesgo de seguridad y
es flexible en el software para su configuracin. Aunque se
dificulta su portabilidad e incrementa sus costos en energa y
espacio.
de las honeypot, la medicin del rendimiento de las
implementaciones. 3.1 Plataformas experimentales. La figura 5
representa la implementacin de la plataforma de experimentacin, la
cual es una honeypot con un servidor como firewall e IDS; la cual
fue comparada con la segunda implementacin, se us una honeywall,
representada en la figura 6. Las caractersticas de software y
hardware estn descritas en la tabla 1.
Fig. 4 Esquema simple de una Honeynet Virtual Hbrida. Tomado de
[6]. 4. Herramientas utilizadas. Para la construccin de este
proyecto se ha utilizado en gran medida software libre basado en
GNU/Linux, la gran mayora recomendados por el proyecto
Honeynet.org. A continuacin se describe brevemente el sofware
utilizado. VirtualBox [8], consiste en una plataforma de
virtualizacin completa que funciona sobre diferentes arquitecturas
(x86 y AMD64/INTEL64) y que permite correr diferentes plataformas
de Sistemas Operativos (Linux, Windows, Solaris, etc.). Se
distribuye bajo Licencia GPL version 2. Snort [9], es un sistema
abierto de Deteccin (IDS) y de Prevencin de intrusos (IPS) que fue
liberado por la funcadin Sourcefire y el CTO Martin Roesch en 1998.
Se encuentra disponible para sistemas basados en UNIX y Windows. Es
el estndar de facto de los IPS. Honeyd [10], consite en un demonio
que nos permite crear hosts virtuales en una red, los mismos que
pueden correr servicios arbitrarios aparentando un Sistema
Operativos real (Honeypot de Baja interaccin). Se encuentra
liberado bajo licencia GPL y est disponible para sistemas BSD,
GNU/Linux y Solaris. IPTables [11], desarrollado y mantenido por
Netfilter.org, este programa de lnea de comandos permite configurar
reglas de acceso y filtros sobre una red como un Firewall. Es usado
y configurado sobre IPV4 en kernels de Linux de series 2.4.x y
2.6.x. Honeywall CDROM [12], consiste en un sistema operativo
basado en CentOS desarrollado por el Proyecto Honeynet.org cuyo
objetivo es automatizar la instalacin y mantenimiento de una
Honeynet. Existen dos versiones Eeyore basadas en tecnologas de
GenII y la nueva versin Roo basadas en tercera generacin. Incluyen
herramientas como Snort, IPtables, Sebek [13] (mdulo del kernel
disponible para sistemas Windows o Linux usado en la captura de
datos, por ejemplo como un keylogger incluso en ambientes
encriptados), etc. III. Configuracin del Experimento Esta seccin ha
sido dividida en las siguientes tres partes: Las plataformas
experimentales, la configuracin
Fig. 5 Topologa de honeypot con firewall e IDS.
Fig. 6 Topologa de honeypot con honeywall. Como se observa en la
topologa de la figura 5, un computador fsico alberga a la VNE de
esta primera implementacin. Una mquina virtual como firewall e IDS,
una segunda mquina virtual como honeypot, esta ltima emula a tres
componentes de red: un router y dos computadores. La segunda
topologa, figura 6, reemplaza al firewall e IDS por una mquina
virtual como honeywall, esta tambin contiene los servicios de la
primera implementacin. El resto de la configuracin de la VNE se
mantuvo intacta.
Tabla 1: Elementos de la plataforma de experimentacin.Mquina
virtual Firewall & IDS Adaptador Intel PRO/1000 MT Desktop
(NAT) Configuracin: IP:10.0.2.15 Mscara: 255.255.255.2 48
Especificaciones Tcnicas Hardware Virtual RAM:768Mb Procesador: 1
Interfaces de red: 2
Red Adaptador Externa 1
Adaptador Configuracin: Software Intel IP:192.168.56. SO: Fedora
13 PRO/1000 64 bits Red Adaptador 103 MT Snort 2.9.2.1 Interna 2
Mscara: Desktop 255.255.255.2 (VirtualBox 48 Host-Only) Mquina
Virtual Honeypot Especificaciones Tcnicas
funcionamiento del mismo, se instal el entorno grfico y dems
aplicaciones incluidas con la distribucin. La configuracin del
Iptable fue realizada, en base al asistente grfico provedo por el
sistema. Estableciendo las condiciones de conexin a un servidor
web, para mantener la concordancia con los servicios emulados por
el honeypot. El servidor con honeywall fue instalado considerando
la configuracin de la honeypot explicada anteriormente. 3.3 Medicin
del rendimiento. Para la realizacin del las mediciones del
rendimiento de las configuraciones de las honeypots, se utiliz la
herramienta del sistema operativo Windows 7, perfomance monitor, la
cual permite obtener resultados en tiempo real o programados,
valores de los contadores por cada indicador seleccionado. En la
tabla 2 se observan los objetos medidos del computador fsico que
alberga a al VNE. Tabla 2: Objetos medidos del computador
fsico.Objeto % procesador Procesador % usuario % interrupciones %
idle Memoria % bytes confirmados Pginas/segundo % de uso % de uso
de disco Contadores
Hardware Virtual Adaptador RAM 512 Mb Configuracin: Intel
Procesador 1 IP:192.168.56. PRO/1000 Interfaces de red Red
Adaptador 104 MT 1 Interna 1 Mscara: Desktop Software 255.255.255.2
(VirtualBox SO: Ubuntu 48 Host-Only) 11.04 64 bits Honeyd 1.5c
Mquina Virtual Honeywall Adaptador Intel PRO/1000 MT Desktop (NAT)
Configuracin: IP:10.0.2.15 Mscara: 255.255.255.2 48
Especificaciones Tcnicas Hardware Virtual RAM:512Mb Procesador: 1
Interfaces de red: 3
Red Adaptador Externa 1
Disco Fsico
Adaptador Configuracin: Software Intel IP:192.168.56. SO:
Honeywall PRO/1000 Roo 1.4 Red Adaptador 103 MT Interna 2 Mscara:
Desktop 255.255.255.2 (VirtualBox 48 Host-Only) Entornor Virtual
Especificacin de la Mquina Fsica Hardware RAM: 4096 Mb Procesador:
Intel Core 2 Duo P8700 Interfaces de Red: 1 Gigabit Ethernet
Software SO: Windows 7 Profesional 64 bits Software Virtualizacin:
Virtual Box
Las mediciones realizadas fueron hechas durante un periodo de
dos horas, tomando un total de cien medidas, con un intervalo de
ochenta segundos entre cada una. IV. Evaluacin de Resultados y
Discusin Los datos obtenidos de la medicin de desempeo del
computador fsico para los dos entornos virtualizados de honeypot
fueron procesados en deciles y en base a ellos se realizaron las
grficas. Obteniendo los siguientes resultados. 4.1 Mediciones en el
entorno de Honeywall. Las figuras 7, 8, 9 y 10 son el procesamiento
de los indicadores recogidos.% interrupciones 0%
% de uso de CPU% usuario 16%
3.2 Configuracin de las honeypot. La configuracin realizada en
cada uno de los componentes de las redes fue la obtenida por
defecto al momento de instalarlos. Para la honeypot se us el
archivo de configuracin propio del sistema, honeyd.conf, ubicado en
la direccin /etc/honeypot/. Para el servidor Fedora con firewall e
IDS, se debi configurar el sistema detector de intrusos, snort.
Esta fue realizada con la creacin de las carpetas y las reglas que
deber alertar el sistema. Se utilizaron patrones de deteccin
genricos para el monitoreo de toda la red, se opt por capturar
todos los paquetes de entrada o salida de los protocolos: TCP, IP,
ICMP, UDP. Este servidor fue instalado con los componentes bsicos
para el
% de uso 8% % inactivo 76%
Fig. 7 Uso de procesador. La figura 7 indica que el uso del
procesador no se ve comprometido, ni presentar un problema en el
uso de esta topologa de red para la honeypot, al mostrar un 76% del
tiempo en que el CPU no tiene carga.
% de uso de RAMUso de RAM RAM libre
porcentaje del 82% de inactividad del CPU, por lo que no
representa un problema esta configuracin.% de uso de RAM
37%
63%
Memoria usada 39% No usado 61%
Fig. 8 Uso de la memoria RAM. La RAM cont con el 63% de memoria
disponible para ser utilizada en otras tareas.Memoria RAM -
Pginas/segundo4,5 4 3,5 3 2,5 2 1,5 1 0,5 0
Fig. 12 Uso de la memoria RAM. Se observa que existe un 61% de
RAM no utilizada, por lo que no hay problema de memoria en el
esquema de firewall IDS.Memoria RAM - pginas/segundo2,5
s a n i g P
Promedio General Mediciones
2 1,5
s a n i g P
1
0,5 0
Promedi Pginas/s
Fig. 9 Memoria RAM pginas/segundo. La paginacin realizada no
representa un problema, adems se tiene un promedio de 1,15
pginas/segundo.% tiempo de uso de disco100 90 80 70 60 50 40 30 20
10 0
Fig. 13 Memoria pginas/segundo. La paginacin no representa un
problema en la topologa, cuyo valor promedio es menor a 1.
% de tiempo de uso del discoPromedio General Uso de disco 100 90
80 70 60 50 40 30 20 10 0
c i e d o s u
Promedio General Uso del disco
Fig. 10 Uso de disco. Los valores obtenidos muestran un uso del
disco fsico cercano a cero, por lo que no representa un problema.
Su valor promedio es 0,7%. 4.2 Medicin en el entorno de firewall
IDS. Al igual que en el punto anterior, las figuras 11, 12, 13 y 14
son los resultados del procesamiento de los datos.% de
interrupciones 0%
Fig. 14 Uso de disco. El uso del disco fsico es cercano a cero,
por lo que no representa un problema. Aunque su valor promedio es
de 5,48%. 4.3 Discusin. La comparacin del rendimiento de las dos
topologas implementadas muestra que no existe una clara diferencia
entre qu tecnologa usar. Sin embargo se puede observar a lo largo
del experimento que, pese a usar un sistema operativo como firewall
e IDS, no hay una clara mejora en el desempeo del VNE al
implementar una honeywall. Se puede considerar que la honeywall
usada en este experimento, aun cuando solo requiere de 650 Mb de
instalacin, no representa una alternativa a considerar si se desea
virtualizar una honeypot; porque por definicin la honeywall
implementa los mismos servicios utilizados en la topologa con el
servidor Fedora. Adems se observ que s hubo una ligera diferencia
de consumo de recursos
% de uso de CPU
% de procesador 12% % de usuario 6%
% tiempo inactivo 82%
Fig. 11 Uso procesador. Se observa en la figura 11, que el
procesador tiene un
en favor del servidor firewall IDS, aun cuando este est
instalado con componentes propios de un servidor para dar mayores
funcionalidades al mismo, como por ejemplo el entorno grfico. A
diferencia del sistema honeywall, en el cual su interaccin es
principalmente por lnea de comandos; aunque existe un entorno
grfico para la administracin y configuracin que aparenta no
consumir demasiados recursos, no hay una clara ventaja en su uso,
ms all que su desarrollo est pensado para monitorear la red y ser
invisible. Se puede considerar que la topologa con el servidor
Fedora presenta una ventaja al permitir instalar una mayor cantidad
de herramientas que permitan capturar y analizar una mayor cantidad
de datos recolectados, adems se debe considerar que los servidores
basados en Linux estn constantemente desarrollados, al igual que
las aplicaciones para las distribuciones, es implica que se pueden
desarrollar mejores herramientas para las honeynets. V. Trabajo
Relacionado Aunque no existen muchos trabajos relacionados con el
presente proyecto se presentan los trabajos a fines al mismo. En
[16] se analiza como una mejor propuesta la implementacin y las
prestaciones que ofrecen las honeynets virtuales respecto a las
implentaciones clsicas, aunque no compara entre distintas
implementaciones de Honeynet virtuales. En [4] solo se brindan
cierto conceptos fundamentales sobre honeypots y honeynet y sus
principales, pero no muestra ningn tipo de experimento relacionado
con la comparacin de honeynets virtuales. En [17] se investigan las
posibles limitaciones y detecciones de la implementacin de las
honeynets virtuales frente a diferentes ataques propuestos, en este
documento se propone diferentes honeynets virtuales y su
comportamiento con los atacantes mas no se realiza una comparacin
de rendimiento de las mismas. VI. Conclusiones y Trabajo Futuro El
experimento mostr que no hay clara diferencia en implementar un
servidor con firewall e IDS frente a un sistema honeywall. La
tecnologa para honeynets desarrollada presenta una fcil instalacin,
mas requiere de una complicada configuracin y hay una falta de
manuales de configuracin bsicos. En el trabajo futuro se deber
medir el desempeo de las topologas con un ataque real, para
verificar si los hallazgos encontrados son vlidos en condiciones de
monitoreo de ataques o cdigo malicioso. Agradecimientos Se desea
agradecer a las personas que colaboran annimante, en muchos casos,
en el Internet al facilitar sus experiencias y conocimiento para la
implementacin de diferentes configuraciones de sistemas
informticos. Adems de los compaeros de aulas, quienes muestran
diariamente con hechos que solo con solidaridad y empata se pueden
solucionar los problemas y progresar, sin intereses ms grandes que
ayudarnos entre nosotros. A
todos ustedes gracias. Referencias [1] Lance Spitzner.
"Honeypot: Traking Hackers", Addison Wesley, (2002). ISBN :
0-321-10895-7 http://www.spitzner.net [2] JIMNEZ David, Honeypots y
el monitoreo de seguridad de RedUNAM. Revista Digital Universitaria
[en lnea]. 10 de abril 2008, Vol. 9, No. 4. [Consultada: Diciembre
2011]. Disponible en Internet: ISSN: 1607-6079. [3] Honeynet
Proyect, Know your Enemy: Honeynets [en lnea] Diciembre de 2011
http://old.honeynet.org/papers/honeynet/ [4] Feng Zhang, Honeypot:
a Supplemented Active Defense System for Network Security [en lnea]
Diciembre de 2011
http://folk.uio.no/ingardm/sysarp/honeypota_supplemented_active_defense_for_network_securi
ty.pdf [5] Honeynet Proyect, Know your Enemy: GenII [en lnea]
Diciembre de 2011 http://old.honeynet.org/papers/gen2/index.html
[6] Honeynet Proyect, Know your Enemy: Definig Virtual Honeynets
[en lnea] Diciembre de 2011 http://old.honeynet.org/papers/virtual/
[7] Humphreys, J. and Grieser T. Mainstreaming Server
Virtualization. The Intel White Paper. Oct/2006 [8] VirtualBox [en
linea] Diciembre de 2011 https://www.virtualbox.org/ [9] Snort [en
linea] Diciembre de 2011 http://www.snort.org/ [10] Honeyd [en
linea] Diciembre de 2011 http://www.honeyd.org/ [11] Netfilter,
IPtables [en linea] Diciembre de 2011
http://www.netfilter.org/projects/iptables/ [12] Honeynet Proyect,
Honeywall [en lnea] Diciembre de 2011
https://projects.honeynet.org/honeywall/ [13] Honeynet Proyect,
Sebek [en lnea] Diciembre de 2011
https://projects.honeynet.org/sebek/ [14] Anderson, R.E. Social
impacts of computing: Codes of professional ethics. Social Science
Computing Review. Vol. 10, No. 2, (winter 1992), pp.453-469. [15]
Harmon, J.E. The Structure of Scientific and Engineering Paper: A
Historical Perspective. IEEE Tans. On Professional Communication.
Vol 21, No. 2, (September, 1989), pp. 132-138. [16] Eduardo Gallego
y Jorge E. Vergara, Honeynets: Aprendiendo del Atacante [en lnea]
Diciembre de 2011
http://jungla.dit.upm.es/~jlopez/publicaciones/mundo internet04.pdf
[17] Hugo Fernndez et al, Deteccin y limitaciones de ataques
clsicos con Honeynets virtuales [en lnea] Diciembre 2011
http://www.criptored.upm.es/cibsi/cibsi2009/docs/Pa
pers/CIBSI-Dia2-Sesion4(5).pdf