Trabajo Final Honeypot

2008

Carlos Jara

Mario Gaete

Nicolás Villalón

Jueves 20 Noviembre 2008

HONEYPOT

2HONEYPOT

INDICE

Introducción...........................................................................................................................4Que es un Honeypot..............................................................................................................5Tipos de Honeypots...............................................................................................................5 Por su Funcion....................................................................................................................5 Por Produccion................................................................................................................5 Por Investigacion.............................................................................................................5 Por su Grado de Interaccion...............................................................................................5 Compromiso Bajo...........................................................................................................5 Compromiso Medio........................................................................................................6 Compromiso Alto............................................................................................................7Otras Caracteristicas............................................................................................................9Especializacion de los Honeypot..........................................................................................9Ubicacion................................................................................................................................9 Antes del Firewall.............................................................................................................10 Detrás del Firewall...........................................................................................................10 En la Zona Desmilitarizada..............................................................................................11HoneyTokens.......................................................................................................................12Wi-Fi Honeypots..................................................................................................................13Repercusiones Legales........................................................................................................14 Trampas.............................................................................................................................15 Privacidad.........................................................................................................................15 Responsabilidad................................................................................................................16Ventajas y Desventajas de Honeypot.................................................................................16 Ventajas de Honeypot.......................................................................................................16 Desventajas de Honeypot..................................................................................................17Utilidades de Honeypot.......................................................................................................17 Necesidades de un IDS......................................................................................................19 Demasiada Informacion....................................................................................................19 Falsos Positivos................................................................................................................20 Falsos Negativos...............................................................................................................20 Recursos............................................................................................................................20Honeynets.............................................................................................................................20Honeynets Virtuales............................................................................................................22 Honeynet Virtual Auto-Contenida.....................................................................................22 Honeynet Virtual Hibrida.................................................................................................23GEN I....................................................................................................................................24GEN II..................................................................................................................................26Honeynet Distribuidas........................................................................................................29 Para que Sirven.................................................................................................................30

SEGURIDAD INFORMATICA

3HONEYPOT

Que es KFSensor.................................................................................................................31Instalacion e Implementacion............................................................................................32Conclusion............................................................................................................................42Bibliografia..........................................................................................................................43


4HONEYPOT

INTRODUCCION

El papel de la tecnología del sistema de detección de intrusos basado en señuelos -- o "honeypots" - está evolucionando. Los honeypots, que alguna vez fueron utilizados principalmente por los investigadores como una forma de atraer a los hackers a un sistema de redes para estudiar sus movimientos y comportamiento, están adquiriendo una importancia cada vez mayor en la seguridad empresarial. En efecto, al brindar detección temprana de actividad no autorizada en las redes, los honeypots son ahora más útiles que nunca para los profesionales de seguridad de TI. Este artículo analiza el funcionamiento de los honeypots y su tecnología, que se está convirtiendo en el componente clave del sistema de capas de protección contra intrusos. Los Honeypots son una emocionante tecnología nueva, con un enorme potencial para la comunidad informática. Los primeros conceptos fueron introducidos por primera vez por varios iconos en la seguridad informática, especialmente por Cliff Stoll en el libro "The Cuckoo's Egg" y el trabajo de Bill Cheswick "An Evening with Berferd". Desde entonces, los honeypots han estado en una continua evolución desarrollándose en una poderosa herramienta de seguridad hoy en día. El propósito del presente trabajo es el de explicar exactamente qué son los honeypots, sus ventajas y desventajas, y su importancia en la seguridad. Los Honeypots (Potes de miel) “Consisten en activar un servidor y llenarlo de archivos tentadores, hacer que sea difícil, pero no imposible penetrarlo y sentarse a esperar que aparezcan los intrusos. Los honeynets (conjuntos de honeypots) dan a los crackers un gran espacio para recorrer. Presentan obstáculos que poseen el nivel de complejidad suficiente para atraerlos, pero sin irse al extremo para no desalentarlos... Ellos juegan con los archivos y conversan animadamente entre ellos sobre todo los fascinantes programas que encuentran, mientras el personal de seguridad observa con deleite cada movimiento que hacen. Francamente, siento una combinación de sentimientos con respecto a espiar a la gente, aunque no sean buenas personas”. Dan Adams.También existe el Honeynet, que es un conjunto de Honeypots, así abarca más información para su estudio. Incluso hace más fascinante el ataque al intruso, lo cual incrementa el número de ataques. La función principal a parte de la de estudiar las herramientas de ataque, es la de desviar la atención del atacante de la red real del sistema y la de capturar nuevos virus o gusanos para su posterior estudio. Una de las múltiples aplicaciones que tiene es la de poder formar perfiles de atacantes y ataques. Son sistemas que deliberadamente se decide exponerlos a ser atacados o comprometidos. Estos, no solucionan ningún problema de seguridad, son una herramienta que nos sirve para conocer las estrategias que se emplean a la hora de vulnerar un sistema. Son una herramienta muy útil a la hora de conocer de forma precisa los ataques que se realizan contra la plataforma de trabajo que hemos elegido, o bien, las plataformas configuradas de la misma forma, y que sirven para guardar todos los procesos que se están ejecutando contra o en nuestro sistema con el claro objetivo de acceder a información sensible para una organización, empresa o corporativo. Así mismo nos permiten conocer nuevas vulnerabilidades y riesgos de los distintos sistemas operativos y diversos entornos y programas, las cuales aún no se encuentren debidamente documentadas.


5HONEYPOT

¿Qué es un HoneyPot?

“Consiste en activar un servidor y llenarlo de archivos tentadores, hacer que sea difícil, pero no imposible penetrarlo y sentarse a esperar que aparezcan los hackers. Los honeynets (conjuntos de honeypots) dan a los hackers un gran espacio para recorrer. Presentan obstáculos que poseen el nivel de complejidad suficiente para atraerlos, pero sin irse al extremo para no desalentarlos... Ellos juegan con los archivos y conversan animadamente entre ellos sobre todo los fascinantes programas que encuentran, mientras el personal de seguridad informática observa con deleite cada movimiento que hacen. Francamente, siento una combinación de sentimientos con respecto a espiar a la gente, aunque no sean buenas personas”. Dan Adams.

Un Honeypot es un sistema diseñado para analizar cómo los hackers emplean sus armas para intentar entrar en un sistema (analizan las vulnerabilidades) y alterar, copiar o destruir sus datos o la totalidad de éstos (por ejemplo borrando el disco duro del servidor). Por medio del aprendizaje de sus herramientas y métodos se puede, entonces, proteger mejor los sistemas. Pueden constar de diferentes aplicaciones, una de ellas sirve para capturar al intruso o aprender cómo actúan sin que ellos sepan que están siendo vigilados.

Tipos de honeypots

Se pueden clasificar de dos formas diferentes. Por su grado de interacción con el atacante o por su función.

Por su función

1. Production honeypot: Son aquellos honeypots que se instalan en las empresas para desviar la atención de máquinas mucho más importantes. Están dentro de la propia red de la empresa. Se instalan servicios vulnerables (o aparentemente vulnerables), suelen tener muchísimos puertos abiertos, datos falsos, etc. Así los hacen más atractivos y más deseables para un posible intruso.

2. Research honeypot: Estos son aquellos que se usan por pura investigación. No contiene datos importantes y están pensados para ser comprometidos para su posterior análisis forense. Por otro lado, también pueden ir enviando datos de los intentos de intrusión y de las intrusiones cometidas, tales como ips, comandos, aplicaciones instaladas, capturas de teclado,...

Por su grado de interacción

1. Compromiso bajo (Low involvement): El sistema Honeypot simplemente simula la existencia de que existe algún servicio común (WWW, FTP, TELNET...) escucha y almacena todas las peticiones recibidas en ficheros de logs. De esta forma, tenemos


http://www.virusprot.com/ArtBorrArch.htm

http://www.virusprot.com/ArtBorrArch.htm

http://www.virusprot.com/Glosarioc.html

6HONEYPOT

un sistema totalmente pasivo que simplemente registra peticiones de acceso ya que NO respondemos a ninguna de ellas o interaccionamos con el atacante.

En el caso de un servidor TELNET, podríamos contestar a las peticiones TCP del puerto 23 permitiendo un establecimiento de conexión, pero cerrándola inmediatamente evitando cualquier posibilidad de que el usuario pueda conectarse al sistema (envío y recepción de login y password).

El riesgo que introduce esta variante es mínimo puesto que el atacante nunca podrá acceder a la máquina, lo que nos hace perder la posibilidad de investigar y analizar sus técnicas.

2. Compromiso medio (Médium involvement): En este grupo los sistemas simulan la existencia de uno o varios servicios de forma más sofisticada. Con este tipo de Honeypots se pretende captar la atención del atacante y permitir un grado mayor de interacción que nos permitirá analizar mínimamente el comportamiento del atacante.

El grado de riesgo aumenta moderadamente, ya que por un lado el servicio sigue siendo una simulación, lo que permite tener acotado/enjaulado la interacción entre el atacante y el servicio. Por otro lado, si existe un fallo en la implementación del servicio simulado, el atacante puede aprovecharlo para atacar el sistema real.


7HONEYPOT

3. Compromiso alto (High involvement): En este grupo se encuentran aquellos sistemas que no simulan diferentes servicios, sino que utilizan un entorno real con servicios de verdad (in the wild).

Este tipo de Honeypots son muy atractivas para los atacantes y permiten un estudio completo de su comportamiento. Deben estar constantemente monitorizadas ya que su peligro consiste en que si un atacante logra acceso a ella puede disponer de todo el sistema como le plazca.

Esto significa que ya no podemos considerarlo como un lugar con logs “fiables” y puede ser utilizado para atacar otros sistemas de nuestra red o incluso de otras conectadas a Internet.

Los honeypots vienen con diversidad de colores y gustos, haciendo difícil su comprensión. Para ayudarnos a entender mejor a los honeypots y a todos los diferentes tipos, dividiremos a dos categorías generales: honeypots de "baja interacción" y de "alta interacción". Estas categorías nos ayudan a entender con qué tipo de honeypots está trabajando usted, sus fortalezas y debilidades. La interacción define el nivel de actividad que un honeypot le


8HONEYPOT

permite tener un atacante. Los honeypots de baja interacción tienen una interacción limitada, normalmente trabajan únicamente emulando servicios y sistemas operativos. La actividad del atacante se encuentra limitada al nivel de emulación del honeypot. Por ejemplo, un servicio FTP emulado escuchando en el puerto 21 probablemente estará emulando un login FTP o probablemente suportará algunos comandos FTP adicionales. Las ventajas de un honeypot de baja interacción es su simplicidad, estos honeypots tienden a ser fáciles de utilizar y mantener con un riesgo mínimo: Por lo general es instalar un software, elegir el sistema operativo y el servicio a emular y monitorear, y dejar que el programa camine por sí solo desde ahí.

Este proceso cercano al "plug and play" hace que la utilización de éstos sea muy fácil para la mayoría de las organizaciones. Incluso, los servicios emulados mitigan el riesgo conteniendo la actividad del atacante: el atacante nunca tiene acceso al sistema operativo real donde puede atacar o dañar otros sistemas. Las principales desventajas de los honeypots de baja interacción es que registran únicamente información limitada y son diseñados a capturar actividad prevista, los servicios emulados sólo pueden llegar hasta ahí. También es fácil para un atacante detectar un honeypot de baja interacción, sin importar cuán buena sea la emulación. Un perpetrador hábil puede, con el debido tiempo, detectar su presencia. Ejemplos de honeypots de baja interacción se incluyen: Specter, Honeyd, y KFSensor.

Los honeypots de alta interacción son diferentes, éstos generalmente son soluciones complejas ya que implica la utilización de sistemas operativos y aplicaciones reales. Nada es emulado, le damos a los hackers lo real. Si quiere un honeypot Linux corriendo un servidor FTP, tendrá que construir un verdadero sistema Linux y montar un verdadero servidor FTP. Las ventajas de dicha solución son dos: Primero, usted capturará grandes cantidades de información dándoles a los hackers sistemas reales con la cual interactuar, podrá aprender la completa extensión de sus actividades, cualquier cosa desde rootkits nuevos hasta sesiones internacionales de IRC. La segunda ventaja es que los honeypots de alta interacción no asumen acerca del posible comportamiento que tendrá el atacante, en lugar de eso proveen un entorno abierto que captura todas las actividades realizadas. Esto permite a las soluciones de alta interacción conocer el comportamiento no esperado. Un excelente ejemplo de esto es cómo un honeypot capturó comandos "back door" codificados en un protocolo IP no estándar (específicamente protocolo IP 11, Network Voice Protocol). No obstante, esto también incrementa el riesgo de los honeypots ya que los atacantes pueden utilizar estos sistemas operativos reales para lanzar ataques a sistemas internos que no forman parte de los honeypots. En consecuencia, se requiere la implementación de una tecnología adicional que prevenga al atacante de dañar otros sistemas que no son honeypots. En general, honeypots de alta interacción pueden hacer todo lo que uno de baja interacción puede hacer y mucho más, pero pueden ser más complejos para utilizar y mantener. Ejemplos de honeypots de alta interacción son Symantec Decoy Server y los Honeynets.


9HONEYPOT

Otras características

Algunos honeypots, como Honeyd, no sólo emulan servicios sino que también emulan el Sistema Operativo. En otras palabras, Honeyd puede aparentar ser un router Cisco, un webserver WinXP o un servidor DNS Linux. Existen varias ventajas en emular diferentes sistemas operativos. Primero, el honeypot puede encajar mejor con la red existente si el honeypot tiene la misma apariencia y comportamiento que las computadoras productivas. Segundo, se puede apuntar a atacantes específicos proveyéndoles sistemas y servicios que buscan a menudo o sistemas y servicios que usted quiere aprender al respecto. Hay dos elementos en sistemas operativos emulados. El primero es el servicio emulado. Cuando un atacante se conecta a un servicio emulado, usted puede tener al servicio comportándose y aparentando ser un sistema operativo determinado. Por ejemplo, si tiene un servicio emulando un webserver y quiere que su honeypot aparente ser un Win2000 servidor, entonces deberá emular el comportamiento de un IIS webserver, y para el caso de un Linux, debería emular el comportamiento de un webserver Apache. La mayoría de los honeypots emulan el SO de esta manera. Algunos honeypots sofisticados llevan la emulación un paso adelante (como lo hace el Honeyd): No sólo emulan en el nivel de servicio, sino que en el nivel del stack del IP. Si alguien realiza active fingerprinting para determinar el SO de su honeypot, muchos honeypots responderán al nivel del IP Stack del SO real en donde esté instalado el honeypot. Honeyd falsea la respuesta, emulando no sólo el servicio sino emulando también el stack del IP, comportándose como si fuera realmente otro sistema operativo. El nivel de emulación y sofisticación depende en qué tecnología de honeypot elige para usar.

Especialización de los honeypots

Últimamente estoy notando una clara tendencia al uso de honeypots especializados en un protocolo, un servicio, etc. Por ejemplo, existen por la red proyectos de honeypots que simulan proxys abiertos (proxypots), aplicaciones web (como phphop).

Ubicación

La ubicación de los Honeypots es esencial para maximizar su efectividad, ya que debido a su carácter intrínsecamente pasivo una ubicación de difícil acceso eliminará gran parte de su atractivo para potenciales atacantes. Por otro lado, si su ubicación es demasiado artificial u obvia cualquier experimentado atacante la descubrirá y evitará todo contacto con ella.

Por otro lado debemos tener en cuenta que debe integrarse con el resto del sistema que tenemos ya implantado (servidores WWW, servidores de ficheros, DNS…) y asegurarnos que no interfiere con las otras medidas de seguridad que puedan ya existir en nuestra red (Firewalls, IDS…).

Teniendo en cuenta que los Honeypots pueden servir tanto para la detección de atacantes internos como externos, debemos tener siempre en cuenta la posibilidad de establecer


10HONEYPOT

Honeypots internos para la detección de atacantes o sistemas comprometidos en nuestra red (por ejemplo sistemas infectados con un gusano o virus).

La bibliografía consultada establece tres puntos básicos candidatos a albergar los Honeypots según nuestras necesidades:

1. Antes del firewall (Front of firewall): Esta localización permite evitar el incremento del riesgo inherente a la instalación del Honeypot. Como este se encuentra fuera de la zona protegida por el firewall, puede ser atacado sin ningún tipo de peligro para el resto de nuestra red

Esta ubicación nos permite tener un acceso directo a los atacantes, puesto que el firewall ya se encarga de filtrar una parte del tráfico peligroso o no deseado, obteniendo trazas reales de su comportamiento y estadísticas muy fiables sobre la cantidad y calidad de ataques que puede recibir nuestra red.

Además con esta configuración evitaremos las alarmas de otros sistemas de seguridad de nuestra red (IDS) al recibir ataques en el Honeypot. Sin embargo, existe el peligro de generar mucho tráfico debido precisamente a la facilidad que ofrece el Honeypot para ser atacado.

Cualquier atacante externo será lo primero que encuentra y esto generará un gran consumo de ancho de banda y espacio en los ficheros de log. Por otro lado, esta ubicación nos evita la detección de atacantes internos.

2. Detrás del firewall (Behind the firewall): En esta posición, el Honeypot queda afectado por las reglas de filtrado del firewall. Por un lado tenemos que modificar las reglas para permitir algún tipo de acceso a nuestro Honeypot por posibles atacantes externos, y por el otro lado, al introducir un elemento potencialmente peligroso dentro de nuestra red podemos permitir a un atacante que gane acceso al Honeypot un paseo triunfal por nuestra red.


11HONEYPOT

La ubicación tras el firewall nos permite la detección de atacantes internos así como firewalls mal configurados, máquinas infectadas por gusanos o virus e incluso atacantes externos.

Sin embargo las contrapartidas más destacables son la gran cantidad de alertas de seguridad que nos generarán otros sistemas de seguridad de nuestra red (Firewalls, IDS…) al recibir ataques el Honeypot y la necesidad de asegurar el resto de nuestra red contra el Honeypot mediante el uso de firewalls extras o sistemas de bloqueo de acceso, ya que si un atacante logra comprometer el sistema tendrá vía libre en su ataque a toda nuestra red.

Hay varias circunstancias que obligan a este tipo de arquitectura, como por ejemplo la detección de atacantes internos o la imposibilidad de utilizar una dirección IP externa para el Honeypot.

3. En la zona desmilitarizada (into DMZ): La ubicación en la zona desmilitarizada permite por un lado juntar en el mismo segmento a nuestros servidores de producción con el Honeypot y por el otro controlar el peligro que añade su uso, ya que tiene un firewall que lo aísla de resto de nuestra red local


12HONEYPOT

Esta arquitectura nos permite tener la posibilidad de detectar ataques externos e internos con una simple reconfiguración de nuestro sistema de firewall puesto que se encuentra en la zona de acceso público.

Además eliminamos las alarmas de nuestros sistemas internos de seguridad y el peligro que supone para nuestra red al no estar en contacto directo con esta.

La detección de atacantes internos se va algo debilitada, puesto que al no compartir el mismo segmento de red que nuestra LAN un atacante local no accederá al Honeypot. Sin embargo, desde la red local si que es posible acceder al Honeypot, con lo que un atacante interno que intente atacar nuestros servidores públicos u otros sistemas externos (un gusano por ejemplo) muy probablemente acabe siendo detectado.

HoneyTokens

Cabe señalar que aunque históricamente se ha asociado erróneamente un Honeypot con un ordenador, esto no solo no es cierto, sino que la misma definición se desmarca de esta mala interpretación definiéndolo como un recurso de red, no como un ordenador o recurso físico concreto.

De la misma forma, podemos definir Honeytoken como “un recurso digital de cualquier tipo (un documento Word, Excel, un fichero de música, un número de tarjeta de crédito…) destinado únicamente a interaccionar con posibles atacantes”.

Este concepto de “información falsa” en sí mismo no es nuevo, sin embargo la denominación de Honeytoken nace en 2003 de la mano de Augusto Páez de Barros en una serie de discusiones mantenidas en las listas de correo de Honeypots.


13HONEYPOT

Un Honeytoken es un recurso que siempre que sea utilizado u accedido lo será de forma ilícita, y por tanto lo utilizará únicamente un atacante.

Obviamente, estos recursos deben cumplir dos requisitos fundamentales:

1. No deben tener valor real ni afectar de ninguna manera que se comprometan o divulguen.

2. Deben ser similares a uno real. El objetivo es que el atacante se lo “crea” totalmente y confíe en su autenticidad como si fuera de verdad. Verosimilitud.

Estas características intrínsecas debido a su construcción, les confieren las mismas ventajas y características que los Honeypots. Otra característica que les hace interesantes es lo simple que resulta utilizarlos. No necesitamos ordenadores, ni licencias de ningún tipo, un simple fichero creado en 3 minutos o un número de tarjeta inventado nos bastan para tener un perfecto Honeytoken.

Un ejemplo de funcionamiento de esta técnica, consiste en introducir un número de tarjeta de crédito falso (por ejemplo el 4356974837584710) en nuestra base de datos. El número es único y cumple los dos requisitos anteriores, es plausible y nadie de forma natural accederá nunca a él.

Simplemente necesitamos activar nuestros sensores para la búsqueda de esta información viajando por la red (por ejemplo IDS o Firewall que examine los paquetes IP) y tendremos un acceso no autorizado.

Un eventual atacante tratará de conseguir cualquier (o incluso toda) información posible, con lo que no podrá distinguir si es un Honeytoken o es un valor correcto. Para entornos de comunicación cifrados, simplemente se han de desarrollar herramientas a nivel del sistema operativo que interactúen con las llamadas del kernel de lectura (read).

Cabe señalar que la detección de un Honeytoken circulando por nuestra red, no implica necesariamente que esta haya sido comprometida, sin embargo sí prueba la existencia de un comportamiento inadecuado e identifica a las partes implicadas. Una vez detectado, otros medios complementarios (IDS, ficheros de logs…) deben probar la culpabilidad real de las partes.

WI-FI Honeypots

Inicialmente las redes de comunicaciones fueron expandiéndose lentamente por centros militares, universitarios y centros de investigación hasta el estallido de Internet. A partir de este momento la obsesión por estar conectados ha llevado a la instalación de millones de metros de cables que cubren todo tipo de edificios y superficies.

Sin embargo, el ansia/dependencia de Internet continúa alimentando el deseo de estar conectados en cualquier sitio y a cualquier hora. Bares, librerías e incluso campus


14HONEYPOT

universitarios están iniciando un nuevo paso en las comunicaciones, las redes inalámbricas (wireless networks).

Obviamente, no podemos descartar el papel de catalizador que la gran expansión de los teléfonos móviles ha tenido en el desarrollo de estas redes sin hilos. Actualmente ya existen varios estándares de IEEE que regulan estas comunicaciones como el 802.11b y el 802.11g.

Como ocurre con cualquier red de comunicaciones, los accesos no autorizados o los ataques perpetrados por hackers están a la orden del día. Sin embargo, el peligro de este tipo de redes se dispara debido a tres factores diferenciales:

1. Los estándares y especificaciones para este tipo de redes son “nuevos” y poco probados. Como siempre que se realiza una cosa por primera vez, la existencia de indefiniciones, a las interpretaciones o fallos de conceptos es bastante probable. Estos aspectos difusos son los más utilizados por los atacantes para obtener acceso a este tipo de redes. 2. Cualquiera con un simple portátil (o incluso con un PDA) puede intentar acceder de forma fraudulenta a nuestra red inalámbrica. A diferencia de otros tipos de redes, no necesita estar físicamente conectado o estar confinado en un área concreta. Los ataques pueden venir de cualquier sitio.

3. La mayor ventaja de las redes sin hilos es la movilidad que proporcionan. Este aspecto también puede jugar en nuestra contra, ya que el atacante puede ir cambiando de ubicación mientras realiza su ataque.

La utilización de Honeypots en las redes inalámbricas es una de las últimas aplicaciones que se están probando con éxito en Estados Unidos. Actualmente el programa WISE (Wireless Information Security Experiment) lidera la investigación en este campo.

Repercusiones legales

Hasta ahora, en los diferentes capítulos de este trabajo se han presentado diferentes herramientas y/o sistemas que permiten de una forma u otra aumentar la seguridad de nuestra red.

En este punto se comentarán brevemente (puesto que va más allá de las pretensiones de este trabajo) las implicaciones legales que pueden acarrear el uso de Honeypots. Cabe destacar que las siguientes líneas hacen referencia al código de leyes norteamericano, y como tal NO es aplicable a España o la CEE. Sin embargo, debido al peso específico de los Estados Unidos debe de ser tenido en cuenta siempre…

La ley norteamericana (al igual que la europea) protege la inviolabilidad de las comunicaciones personales (interception of communications) de una forma muy estricta. El punto de discusión se basa en que dependiendo del tipo de Honeypot que utilicemos, podemos violar esta ley al recoger una serie de información sobre nuestro atacante que la ley protege explícitamente.


15HONEYPOT

Tal y como se ha explicado anteriormente, los Honeypots de producción tienen un objetivo mucho más concreto (proteger nuestra red) que los Honeypots de investigación (cuyo interés se centra en conseguir tanta información de los atacantes como sea posible para comprender/estudiar su comportamiento y técnicas).

Dependiendo del grado de configuración de nuestro Honeypot, podemos “espiar” los movimientos y comunicaciones que realice nuestro atacante dentro de nuestra Honeypot (hacia nuestra red o hacia el propio Honeypot) y desde nuestra Honeypot hacia terceros.

Precisamente en este “espionaje” de las comunicaciones que realice el atacante desde nuestra red hacia terceros sitios viene el problema. Estamos espiando una comunicación entre terceros sin ningún tipo de autorización para ello.

El surrealismo aumenta cuando este supuesto permite al atacante denunciarnos por invadir su intimidad y ganar el caso.

De todo esto, podemos observar que antes que cualquier otra cosa debemos responder a la siguiente pregunta: « ¿Cuál es el objetivo de mi Honeypot? »

De que la respuesta sea únicamente “proteger mi red” a que sea “conocer la identidad de los atacantes” o “recoger información de posibles ataques o técnicas nuevas” puede depender ganar o perder un juicio.

Lance Spitzner desglosa las posibles responsabilidades legales derivadas del uso de Honeypots en tres cuestiones básicas (obviamente siguiendo el sistema de leyes norteamericano):

1. Trampa (Entrapment): Es el proceso realizado por los cuerpos policiales (law enforcement) de “inducir” a alguien a cometer un acto punible con el objetivo de iniciar la acción judicial pertinente. En este caso del Honeypot, aunque es un elemento pasivo creado por nosotros para ser atacado (sin que seamos parte de los cuerpos policiales) si no deseamos perseguir judicialmente esta intrusión en el Honeypot, no realizamos ninguna trampa. El objetivo del Honeypot es recibir los ataques, no recoger información para demandar a los atacantes del Honeypot.

2. Privacidad (Privacy): Que el Honeypot recoge información es innegable. Sin embargo, la información recogida puede dividirse en información transaccional (transactional) e información de contenido.

La información transaccional (meta-información) no hace referencia a la información en sí, sino a aspectos de esta como la dirección IP, la fecha y hora, valores de las cabeceras de los paquetes IP…

La información de contenido es propiamente la comunicación que realiza en atacante con terceros. Precisamente este es el objetivo del debate (y también el de los Honeypots de investigación). La intercepción de una comunicación privada es la piedra angular que puede


16HONEYPOT

permitir a un atacante demandarnos ante un juzgado y probablemente ganar. En cualquier caso, todos los autores están de acuerdo que se deberían incluir mensajes de advertencia y renuncia (disclaimer) como el indicado a continuación en todos los Honeypots. Sin embargo esto no exime del problema, ya que el hecho de que pongamos un aviso no significa que un eventual atacante lo vea o lea

############################################################# READ BEFORE CONTINUING: ## ## This system is for the use of authorized users only. ## By using this computer you are consenting to having ## all of your activity on this system monitored and ## Disclosed to others. #############################################################

3. Responsabilidad (Liability): Este aspecto hace referencia a las posibles demandas que podemos recibir en el caso de que un atacante utilice nuestro Honeypot como plataforma de lanzamiento de ataques.Las demandas se basarían en que nosotros no hemos realizado unos mínimos esfuerzos de seguridad en nuestra red, sino que al contrario, facilitamos el acceso a nuestros recursos para que sean utilizados en todo tipo de ataques. ¿Qué grado de culpabilidad tenemos cuando un atacante usas nuestros recursos para atacar a otros? ¿Es punible la incompetencia en materia de seguridad informática?

VENTAJAS Y DESVENTAJAS DE HONEYPOT

Ventajas:

Los honeypots son un concepto increíblemente simple, las cuales ofrecen una fortaleza muy poderosa:

* Conjunto de datos pequeños pero de gran importancia: Los Honeypots recolectan pequeñas cantidades de información. En lugar de loguear 1 Gb por día, loguean sólo 1 Mb de datos por día. En vez de generar 10.000 alertas por día, pueden generar sólo 10 alertas por día. Recuerden, los honeypots sólo capturan actividad sospechosa ya que cualquier interacción con un honeypot es muy probablemente actividad no autorizada o una actividad maliciosa. Propiamente dicho, los honeypots reducen el "ruido" recogiendo sólo datos indispensables, de gran valor, los producidos únicamente por "chicos malos". Esto significa que es mucho más fácil (y barato) de analizar los datos que un honeypot recoge.

* Nuevas herramientas y tácticas: Los honeypots son diseñados para capturar cualquier cosa que interactúa con él, incluyendo herramientas o tácticas nunca vistas.

* Mínimos recursos: Los honeypots requieren mínimos recursos, sólo capturan actividad irregular. Esto significa que un viejo Pentium con 128mb de RAM puede manejar fácilmente una entera red clase B en una red OC-12.


17HONEYPOT

* Encriptación o IPv6: A diferencia de la mayoría de las tecnologías para la seguridad, como los sistemas IDS, honeypots trabajan bien en entornos encriptados como IPv6. No importa lo que los "chicos malos" lancen hacia el honeypot, el honeypot lo detectará y lo capturará.

* Información: Los honeypots pueden recoger información "en profundidad" como pocos, si es que existen tecnologías que se le parezcan.

* Simplicidad: Finalmente, los honeypots son conceptualmente simples. No hay por qué desarrollar algoritmos raros, ni complejas tablas que mantener, o firmas que actualizar. Mientras más simple sea la tecnología, menos posibilidades de errores o desconfiguraciones habrá.

Desventajas:

Como en cualquier otra tecnología, los honeypots también tienen su debilidad. Esto es debido a que no reemplaza a la actual tecnología, sino que trabaja con las existentes.

* Visión Limitada: Los honeypots pueden sólo rastrear y capturar actividad que interactúen directamente con ellos. Los Honeypots no podrán capturar ataques a otros sistemas vecinos, al menos que el atacante o la amenaza interactúe con el honeypot al mismo tiempo.

* Riesgo: Todas las tecnologías de seguridad tienen un riesgo. Los firewalls tienen el riesgo de que sean penetrados, la encriptación tiene el riesgo de que sean rotos, sensores IDS tienen el riesgo de que fallen al detectar ataques. Los Honeypots no son diferentes, tienen un riesgo también. Específicamente, los honeypots tienen el riesgo de que sean apoderados y controlados por los "chicos malos" y que lo utilicen para dañar otros sistemas. El riesgo es variado para los diferentes honeypots. Dependiendo en el tipo de honeypots puede haber un riesgo no mayor a la de una falla del sensor IDS, mientras que en otros honeypots puede que haya que enfrentarse a una situación crítica.

Utilidades de Honeypots

Específicamente, cómo se pueden usar los honeypots. Una vez más, tenemos dos categorías generales, los honeypots pueden ser usados con propósitos productivos o de investigación. Cuando es utilizado con propósitos productivos, los honeypots están protegiendo una organización. En este mundo se incluye, prevención, detección o la ayuda a organizaciones a responder a un ataque. Cuando es utilizado con propósitos de investigación, los honeypots son utilizados para recolectar información. La importancia de esta información depende según las organizaciones. Algunas organizaciones querrán estudiar la tendencia de las actividades hacker, mientras otras estarán interesadas en la predicción y prevención anticipada, o las fuerzas legales. En general, honeypots de baja interacción son utilizados con propósitos productivos, mientras honeypots de alta interacción son utilizados con propósitos de investigación. Sin embargo, los dos tipos de honeypots pueden funcionar para


18HONEYPOT

ambos propósitos. Cuando es utilizado con propósitos productivos, honeypots pueden proteger organizaciones en las tres formas al mismo tiempo: prevención, detección y reacción. Veremos con más profundidad cómo un honeypot puede trabajar en las tres formas perfectamente.

Los honeypots pueden ayudar a prevenir ataques en varias formas. El primero es contra ataques automatizados, como gusanos (worms) o auto-rooters. Estos ataques son basados en herramientas que aleatoriamente escanean (sondean) redes enteras buscando sistemas vulnerables. Si un sistema vulnerable es encontrado, estas herramientas automatizadas atacarán y tomarán el sistema (con gusanos que se auto-copian, copiándose a sí mismo a la víctima). Uno de las métodos para proteger de tales ataques es bajando la velocidad de su escaneo y potencialmente detenerlos. Llamados "sticky honeypots" (Tarros de miel "pegajosos"), estas soluciones monitorean el espacio IP no utilizado. Cuando los sistemas son escaneados, estos honeypots interactúan con él y disminuyen la velocidad del ataque. Hacen esto utilizando una variedad de trucos TCP, como poniendo el "Windows size" a cero o poniendo al atacante en un estado de espera continua. Esto es excelente para bajar la velocidad o para prevenir la diseminación de gusanos que han penetrado en la red interna. Un ejemplo de un sticky honeypot es el LaBrea Tarpit. Los "Honeypots pegajosos" son más comunes encontrarlos entre soluciones de baja interacción (hasta podría llamársele soluciones "no interactivas", ya que reducen tanto la velocidad que hacen gatear al atacante). Honeypots pueden también proteger su organización de perpetradores humanos. Este concepto se conoce como engaño o disuasión. La idea es confundir al atacante, hacerle perder el tiempo y recursos interactuando con honeypots. Mientras tanto, su organización habría detectado la actividad del atacante y tendría tiempo para reaccionar y detener el ataque. Hasta se puede dar un paso más allá: si un atacante sabe que su organización está utilizando honeypots pero no sabe cuáles son los sistemas honeypots y cuales son sistemas legítimos, quizás tenga miedo de ser capturado por honeypots y decida no atacarlo. Por lo tanto, honeypots disuaden al atacante. Un ejemplo de honeypot diseñado para hacer esto, es el Deception Toolkit, un honeypot de baja interacción.

La segunda forma por la cual honeypots pueden ayudar a proteger una organización es por medio de la detección. La detección es crítica, su propósito es la identificación de una falla o ruptura para la prevención. No importa cuán segura sea la organización, siempre habrá fallas si los hombres están involucrados en el proceso... Detectando al atacante, podrán rápidamente reaccionar ante ellos, deteniéndolos, o mitigando el daño que hicieron. Tradicionalmente, la detección ha sido extremadamente difícil de hacer. Tecnologías como sensores IDS y sistemas de logueo han sido inefectivos por diversas razones: Generan muchos datos, grandes porcentajes de falsos positivos, inhabilidad de detectar nuevos ataques, y la inhabilidad de trabajar en forma encriptado o en entornos IPv6. Los Honeypots son excelentes en detección, solventando muchos de los problemas de la detección clásica. Los honeypots reducen falsos positivos, capturando pequeñas cantidades de datos de gran importancia, capturan ataques desconocidos como nuevos exploits o shellcodes polimórficos, y trabajan en forma encriptado o en entornos IPv6. Podrá aprender más acerca de esto en el trabajo Honeypots: Simple, Cost Effective Detection. En general, honeypots de baja interacción son la mejor solución para la detección, hacen fácil la tarea de utilizar y mantener que honeypots de alta interacción y tienen un riesgo limitado.


19HONEYPOT

La forma tercera y final por la cual honeypots nos pueden ayudar a proteger una organización es en la respuesta. Una vez que una organización detecta una falla, ¿cómo debe responder? Esto es a menudo uno de los grandes retos que una organización debe enfrentar. Hay por lo general poca información acerca de quién es el atacante, cómo ingresó al sistema o cuánto daño hizo. En estas situaciones, la información detallada acerca a las actividades del atacante son cruciales. Hay dos problemas que afectan a la respuesta al incidente: el primero, a menudo los sistemas comprometidos no pueden ser desconectados de la red para ser analizados. Sistemas de producción, como el servidor mail de una organización, son tan críticos que aunque estén hackeados los expertos en seguridad no pueden desconectarlos y hacer un análisis forense como corresponde. Están limitados a analizar el sistema encendido mientras sigue proveyendo sus servicios productivos. Esto merma la habilidad para analizar qué sucedió, cuánto daño hizo el atacante, e incluso si el atacante accedió a otros sistemas de la red. El otro problema es que incluso en el caso de que este desconectado, hay tanta polución de datos que es muy difícil determinar qué es lo que hizo el "chico malo". Con polución de datos me refiero que hay tanta actividad (logging in de usuarios, lecturas de cuentas de mail, archivos escritos a bases de datos, etc.) que puede ser difícil determinar cuál es la actividad normal del día a día y qué es lo que hizo el atacante. Los Honeypots pueden ayudar a solventar ambos problemas. Honeypots son una excelente herramienta de incidencias ya que pueden rápidamente y fácilmente ser sacados de la red para un análisis forense completo, sin el impacto en las operaciones empresariales de todos los días. Recuerden que la única actividad que guardan los honeypots son las relacionadas con el atacante, ya que no las utilizan nadie, excepto de señuelo para los atacantes. La importancia de los honeypots aquí es la rápida entrega de la información, analizada en profundidad, a la organización que la necesita para responder rápida y eficientemente a un incidente. En general, honeypots de alta interacción son la mejor solución para la respuesta. Para reaccionar ante un intruso, se necesita conocimientos en profundidad sobre qué hicieron, cómo ingresaron, y qué herramientas utilizaron. Para la obtención de ese tipo de datos, se necesitarán las capacidades de un honeypot de alta interacción.

La necesidad de un IDS:

Los sistemas de detección de intrusos son un elemento integral y necesario en una infraestructura de información segura, representando el complemento ideal a los cortafuegos en las redes. De manera sencilla, los IDS permiten una completa supervisión de las redes, independientemente de la acción tomada, esa información siempre estará ahí y será necesaria para determinar la naturaleza del incidente y su fuente.

Además, pueden ser utilizados para monitorizar objetos concretos, detectar abusos particulares o avisar de comportamientos anómalos en un sistema. Además de estas técnicas, el sistema puede estar orientado al host individual o a la red, algo así como la diferencia entre tomar los acontecimientos como individuales o colectivos. En general, son más útiles los orientados a red (distribuidos), por tomar el tráfico como un todo del que entran y salen paquetes constantemente, en vez de tomar cada máquina como posible objetivo de ataque. Esto último es lo que se ha venido haciendo desde siempre en los logs que genera por ejemplo, un sistema operativo con respecto a los acontecimientos internos.


20HONEYPOT

Demasiada información: Uno de los problemas comunes de los IDS tradicionales es que generan un gigantesco volumen de alertas. El solo peso de este "ruido" consume tiempo, demanda demasiados recursos y costos para revisar los datos. Por el contrario, los honeypots recolectan los datos únicamente cuando alguien interactúa con ellos. Los grupos de pequeña información pueden facilitar y hacer más eficiente la labor de identificar las actividades no autorizadas y proceder en consecuencia.

Falsos positivos: Quizás el mayor inconveniente de un IDS es que muchas de las alertas generadas son falsas. Los falsos positivos son un gran problema incluso para las organizaciones que gastan mucho tiempo sincronizando sus sistemas. Si un IDS crea constantemente falsos positivos, los administradores eventualmente comenzarán a ignorar el sistema. Los honeypots obvian este problema porque toda actividad que se realice con ellos es por definición no autorizada. Esto hace que las organizaciones reduzcan las alertas falsas si es que no las eliminan.

Falsos negativos: Las tecnologías IDS también tienen dificultad para identificar los ataques o comportamientos desconocidos. Además, toda actividad con un honeypot es anómala haciendo que se destaquen los ataques nuevos o previamente desconocidos.

Recursos: Un IDS requiere demasiados recursos de hardware para seguir el tráfico de la red de la organización. Cuando una red aumenta en velocidad y genera más información, el IDS tiene que aumentar para no quedarse rezagado. (Administrar toda esa información también demanda muchos recursos). Los honeypots requieren recursos mínimos, incluso en las grandes redes. De acuerdo con Lance Spitzner, fundador del Proyecto Honeynet, se puede utilizar una computadora Pentium con 128 Mb de RAM para monitorear millones de direcciones IP.

Honeynets

Son un conjunto de Honeypots, así abarca más información para su estudio. Incluso hace más fascinante el ataque al intruso, lo cual incrementa el número de ataques. La función principal a parte de la de estudiar las herramientas de ataque, es la de desviar la atención del atacante de la red real del sistema y la de capturar nuevos virus o gusanos para su posterior estudio. Una de las múltiples aplicaciones que tiene es la de poder formar perfiles de atacantes y ataques.

Son sistemas que deliberadamente se decide exponerlos a ser atacados o comprometidos. Estos, no solucionan ningún problema de seguridad, son una herramienta que nos sirve para conocer las estrategias que se emplean a la hora de vulnerar un sistema. Son una herramienta muy útil a la hora de conocer de forma precisa los ataques que se realizan contra la plataforma de trabajo que hemos elegido, o bien, las plataformas configuradas de la misma forma, y que sirven para guardar todos los procesos que se están ejecutando contra o en nuestro sistema con el claro objetivo de acceder a información sensible para una organización, empresa o corporativo. Así mismo nos permiten conocer nuevas


http://www.virusprot.com/Evirus.html

21HONEYPOT

vulnerabilidades y riesgos de los distintos sistemas operativos y diversos entornos y programas, las cuales aún no se encuentren debidamente documentadas.

Históricamente, una vez definido el concepto de Honeypot y realizadas las primeras pruebas con éxito, se propuso la extensión de este concepto.

Podemos definir una Honeynet como “un tipo concreto de Honeypot. Específicamente es un Honeypot altamente interactivo diseñado para la investigación y la obtención de información sobre atacantes. Una Honeynet es una arquitectura, no un producto concreto o un software determinado.”.

El nuevo enfoque consiste no en falsear datos o engañar a un posible atacante (como suelen hacer algunos Honeypot) sino que el objetivo principal es recoger información “real” de cómo actúan los atacantes en un entorno de verdad.

Para conseguir este entorno real (con sistemas reales, no con simples emulaciones de servicios) y altamente interactivo, se dispone una configuración de red típica con todos sus elementos.

Obviamente, esta red ha sido diseñada para ser comprometida, por lo que debe estar separada de forma segura y controlada de la de producción.

Por otro lado, como nuestro objetivo es el de hacer creer al atacante que está ante una red “real”, debemos añadir los distintos elementos que conforman una arquitectura “normal” en cualquier red (distintas máquinas, distintos sistemas operativos…)

Una Honeynet presenta dos requerimientos básicos para ser realmente útil y que nos permita la extracción de información valiosa.


22HONEYPOT

Honeynets Virtuales

Las Honeynets Virtuales toman el concepto de las tecnologías de las Honeynets, y las implementan en un único sistema. Las Honeynets Virtuales no son un nuevo concepto, de hecho toman el concepto actual de Honeynet y las implementan de una forma diferente.

Esta implementación tiene sus únicas ventajas y desventajas comparadas con las Honeynets tradicionales. Las ventajas son coste reducido y más fácil manejo, ya que todo está; combinado en un único sistema. Sin embargo, esta simplicidad también nos cuesta.

Primero, estás limitado a qué tipos de sistemas operativos puedes implantar debido al hardware y al programa virtual. Segundo, las Honeynets virtuales traen un riesgo, específicamente que un atacante puede salirse del programa virtual y tomar el sistema Honeynet, saltándose el mecanismo de Control de Datos y de Captura de Datos.

Hemos dividido las Honeynets Virtuales en dos categorías, Auto-Contenidas e Híbridas. Definiremos estos dos diferentes tipos.

Honeynet Virtual Auto-Contenida

Una Honeynet Virtual Auto-Contenida es una red entera Honeynet condensada en un sólo computador. La red entera está virtualmente contenida en un único y físico sistema. Una red Honeynet típicamente consiste de un cortafuego para Control de Datos y Captura de Datos, y los honeypots dentro de la Honeynet. Algunas ventajas de este tipo de Honeynet(s) virtual(es) son:

Movible, las Honeynets Virtuales pueden ser situadas en un portátil y llevadas a donde quiera. El Honeynet Project demostró esta funcionalidad en la Blackhat Briefings en Agosto de 2002.

Conecta y Coge, Puedes coger una máquina y simplemente conectarla en cualquier red y estará preparada para coger a los blackhats. Esto hace que la implantación sea más fácil, ya que físicamente estás implantando y conectando un sólo sistema.

Barata en dinero y en espacio, Sólo necesitas un computador, así que reduce tus gastos de hardware.

Hay algunas desventajas: Único punto de fallo. Si algo va mal con el hardware, la honeynet entera se quedaría

sin funcionar. Computador de Alta Calidad, aunque las Honeynets Auto-Contenidas sólo requieren

un computador, tendrá que ser un sistema potente. Dependiendo de tu configuración, puedes necesitar bastante memoria y procesador.

Seguridad, ya que todo puede estar compartiendo el mismo hardware, hay peligro de que un atacante acceda a otras partes del sistema. Mucho depende del software virtual, que será discutido luego.


23HONEYPOT

Software Limitado, ya que todo tiene que ejecutarse en una máquina, estás limitado al software que puedes usar. Por ejemplo, es difícil ejecutar una IOS Cisco en un procesador Intel.

Honeynet Virtual Híbrida

Una Honeynet Híbrida es una combinación de la clásica Honeynet y del software virtual. Captura de Datos, como por ejemplo cortafuegos, y Control de Datos, como por ejemplo sensores IDS y almacenamiento de logs, están en un sistema separado y aislado. Este aislamiento reduce el riesgo de compromiso. Sin embargo, todas las honeynets son virtualmente ejecutadas en una única máquina. Las ventajas de esta configuración son:

Segura: Como vimos en las Honeynets Auto-Contenidas, existe un peligro de que el atacante acceda a otras partes de la honeynet (como el cortafuegos). Con las Honeynets Híbridas, el único peligro sería que el atacante accediera a otras honeypots.

Flexible: Puedes usar una gran cantidad de software y hardware para el Control de Datos y la Captura de Datos de la red Híbrida. Un ejemplo sería que puedes usar el sensor OpenSnort en la red, o un Cisco Pix. Puedes incluso ejecutar cualquier clase de honeypot que quieras porque simplemente puedes añadir otro computador en la red (además de tu máquina con la Honeypot Virtual).

Algunas desventajas son: No movible, Ya que la red honeynet consistirá en más de una máquina, es más

difícil moverla. Cara en tiempo y en espacio, tendrás que pasar más electricidad, espacio y

posiblemente dinero puesto que hay más de un computador en la red.

Las Honeynets Híbridas Virtuales pueden permitirte alcanzar la flexibilidad de las honeynets clásicas y permitirte incrementar la cantidad de honeypots usando el software virtual.


24HONEYPOT

GEN I

Tal y como sucede en cualquier programa (software) o especificación formal (RFC por ejemplo), con el tiempo se van perfilando nuevas mejoras y ampliaciones de funcionalidades. Las Honeynets no son ninguna excepción a esta regla, y en el momento de escribir este capítulo, existen dos generaciones diferenciadas de Honeynets.Las Honeynets de primera generación (GEN I) se caracterizan por implementar únicamente los mecanismos básicos de control de flujo de datos (Data control) y captura de datos (Data capture). La arquitectura utilizada presenta una subdivisión en tres subredes (la Honeynet, la red de producción e Internet) separadas perfectamente por un firewall.


25HONEYPOT

En esta arquitectura, el control de todas las redes se realiza mediante un firewall, ya que cualquier paquete de entrada o salida debe pasa obligatoriamente por él. El router también se utiliza como medio de control y filtrado, pero únicamente como soporte al firewall.

El firewall está configurado para llevar la cuenta del número de conexiones que se establecen tanto hacia dentro como hacia fuera. De esta forma, cuando el número de conexiones desde nuestra Honeynet hacia el exterior supera un límite preestablecido, estas quedan anuladas. El límite de conexiones depende del lo atractiva que deseamos hacer nuestra red a un eventual atacante, se recomiendan valores entorno a las diez conexiones por hora.

Una red que permita cualquier tipo y número de conexiones al exterior es un gran atractivo para cualquier atacante. Sin embargo, también es un riesgo potencial demasiado grande, ya que puede ser utilizada como trampolín de ataque a otros sistemas externos. Por otro lado, una que no permita conexiones al exterior carece de interés y por lo tanto eliminará la obtención de datos “reales” (in the wild) que es nuestro principal objetivo.

En esta configuración, el firewall se coloca expresamente por delante del router. Los motivos de esta configuración son por un lado esconder/disimular el firewall a los atacantes y por otro dotar de medidas extras de seguridad a nuestra Honeynet para que no sea utilizada para ataques a terceros, ya que el router también realizará parte del filtrado de las comunicaciones de entrada y salida. Nuestro control de flujo de datos (Data control) no debe depender únicamente de un solo punto de control.Cuando un atacante tome el control de nuestra Honeynet, encontrará que puede salir aInternet directamente, ya que pasa por un router real de producción, asumiendo que el filtrado de paquetes que exista (nuestro firewall) será un filtrado realizado por nuestroISP y no por nosotros. De esta forma reforzamos su opinión de que somos una red“desvalida”.


26HONEYPOT

La captura de datos (Data capture) se inicia en el propio firewall, ya que es un dispositivo lo suficientemente potente y colocado estratégicamente para recibir todos los paquetes de entrada y salida. Como sabemos que cualquier tipo de actividad hacia o desde nuestra Honeynet es potencialmente peligroso, debemos capturar todo este tráfico en el firewall.

La captura de puertas traseras (back doors) en nuestros sistemas es otra de las posibilidades que nos brinda este tipo de arquitectura, ya que una correlación de peticiones a puertos “no standards” revelará rápidamente su existencia.

La captura de todo el tráfico existente en nuestra Honeynet es realizado por el sistema de detección de intrusos (IDS). En la arquitectura de GEN I podemos observar como el IDS está conectado a nuestra Honeynet de forma que por un lado registra la actividad existente en la red y por otro actúa como un detector de firmas (signatures)

Finalmente, toda esta información se va copiando diariamente en un ordenador “seguro” para poder analizarla o consultarla como un histórico. Esto nos asegura que en caso de que el atacante encuentre la información de sus movimientos y decida destruirla no afecte excesivamente al sistema.

Obviamente, la existencia de un ordenador-almacén puede ser fácilmente descubierta por un atacante. Sin embargo esta arquitectura no trata de esconderlo, ya que lo más que puede hacer el atacante es desactivar el “log daemon” de la máquina atacada, comportamiento ya muy habitual en muchos atacantes.

En caso de que el atacante decidiera atacar directamente a nuestro sistema de almacenamiento “seguro”, debería enfrentarse a un sistema mucho más seguro. Incluso en el caso de que lograra entrar y eliminar todos los logs del sistema no sería catastrófico, puesto que el sistema IDS registra toda la actividad de la red y podríamos ver al sistema IDS como un segundo log del sistema.

Gen II

Las Honeynets de segunda generación (GEN II) se caracterizan por combinar todos los requisitos de la primera generación en un solo dispositivo. De esta forma tanto el control de flujo de datos (Data control) como la captura (Data capture) y la recolección de datos quedan agrupadas en una misma entidad.

Esta entidad es un dispositivo de capa 2 (Layer 2 gateway) con capacidades de transmisión de paquetes tipo puente (bridge). Esta capacidad de puente hace referencia a la transparencia con que actúa este dispositivo de red, simplemente se encarga de enviar por un extremo lo mismo que recibe por el otro, lo que le convierte en un dispositivo “invisible”.

El hecho de presentarse como un dispositivo de capa 2 hace que este dispositivo carezca de pila IP, por lo que no generará ningún tipo de tráfico que el atacante pueda observar.


27HONEYPOT

En alguna bibliografía tanto para GEN I como para GEN II, se denomina al dispositivo que controla todo el acceso de entrada y salida a nuestra Honeynet Honeywall. Esta nomenclatura viene dada porque conceptualmente este dispositivo es el muro que separa nuestra Honeynet del resto de las redes. Esta unión de capacidades en una única entidad compacta facilita la instalación y administración de la Honeynet. Debido a su actuación como dispositivo transparente, la detección por parte de un atacante se dificulta enormemente.

Pese a que en el esquema parezca que hay dos redes (la de producción y la Honeynet) realmente sólo hay una. El dispositivo es de capa 2, y por lo tanto NO tiene dirección IP en los interfaces A y B, lo que “virtualmente” significa que a nivel de IP no existe. El dispositivo C sí que tiene asignada una dirección IP y servirá como canal seguro (VPN) para el control, administración del Honeywall y para el movimiento de los ficheros de logs hacia un repositorio “seguro”.

La primera mejora que introduce esta arquitectura hace referencia al control del flujo de datos. En la GEN I realizábamos un control del total de conexiones desde nuestra Honeynet hacia el exterior. De forma que si no se alcanzaba un umbral definido, las conexiones hacia el exterior eran “permitidas”.


28HONEYPOT

Con este paradigma de GEN II, obtenemos un control total de todas y cada una de las conexiones que pueda realizar, independientemente de si su número es mayor, menor o igual al límite existente en las Honeynet de GEN I.

La segunda mejora que obtenemos hace referencia directa a la forma en que podemos responder ante las actividades no autorizadas desde nuestra Honeynet. En lugar bloquear simplemente cualquier tipo de acceso no permitido, podemos modificar y dosificar la actividad del atacante. De esta forma, el ataque como tal sale de la Honeynet (cosa que puede ver y comprobar el atacante) sin embargo no es efectivo debido a las modificaciones que podemos realizar en tiempo real sobre el paquete de datos (cosa que muy difícilmente puede detectar el atacante).

Esta capacidad añade credibilidad ante el atacante, que verá como sus paquetes “salen” hacia sus nuevas víctimas y retornan sin ningún tipo de filtro o control. Sin embargo, estos paquetes son modificados en tiempo real de forma que si utiliza una vulnerabilidad del servicio FTP, sea detectada por nuestro sistema y modifique el paquete de forma que sea inocuo.

Los paquetes entran y salen “libremente”, sin embargo su contenido no. Esta nueva característica añade las capacidades de un sistema NIPS (Network Intrusion preventionSystem) a las capacidades de bloqueo ya existentes en la GEN I.

Este sistema es tan flexible que no sólo permite modificar los paquetes que salen hacia fuera, sino que incluso nos permite modificar la respuesta que el atacante obtiene por parte del sistema externo que quiere atacar. Podemos por ejemplo devolverle paquetes TCP-RST (reset) simulando que el sistema atacado rechaza sus peticiones de control.

La captura de la actividad que realiza el atacante en cualquiera de los sistemas incluidos en nuestra Honeynet ha variado substancialmente en los últimos años. Las capturas directas del teclado o las capturas de paquetes de red utilizando snifers son inefectivas ante el uso de SSH o cualquier otro sistema de comunicación cifrado.La herramienta SEBEK2 permite la captura de este tipo de información en espacio de kernel. No entraremos detalles puesto que su funcionamiento se sale de los propósitos de este trabajo.

A estas técnicas se les conoce como “honeypots” o tarros de miel (y se usan para conseguir literalmente que los hackers, atacantes o saboteadores “se engolosinen” y crean que en realidad están vulnerando todo y durante este proceso se puedan tomar medidas verdaderamente preventivas), y consisten en instalar servidores de red (comúnmente UNÍX o NT) específicamente para atraer la atención actuando como trampas, consiguiendo registrar movimientos y alertando a los administradores de la red de que se está produciendo un intento de violación, con lo cual hay tiempo de reacción para parar el ataque y obtener los datos del posible intruso. Simulan ser un elemento real de red, pero están desactivados para que no se pueda tomar su control desde el exterior, se encuentran en una zona al margen del tráfico convencional y disponen de un auténtico filtro dedicado


29HONEYPOT

para evitar todo el tráfico saliente en caso de que fallen o un experto (un verdadero hacker y no un atacante furtivo o novato, o un auténtico especialista formado en estos temas) consiga acercarse lo suficiente como para intentar tomar su control.

De hecho, cuando se piensa en seguridad para las redes se piensa en routers (controladores de tráfico en las redes), cortafuegos y en Sistemas de Detección de Intrusos (éstos forman parte del modelo de seguridad adoptado por una organización o empresa, sirven para detectar actividades inapropiadas, incorrectas o anómalas desde el exterior o interior de todo un sistema informático). En este contexto es como se nos presentan los Honeypots como alternativa -además de adicional- bastante útil como una medida eficaz que nos permita afinar nuestros criterios de seguridad corporativa e incluso con el tiempo poder ir contribuyendo a la evolución y desarrollo de estándares internacionales de seguridad de redes.

En la actualidad ya se empiezan a tener investigaciones serias en este sentido (Honeynet Project), los honeypots hasta el momento solamente son algo experimental y con fines de estudio. Recalcamos también que, no podemos ser por el momento demasiado optimistas, uno de los tantos estudios –de acuerdo con Cristian Fabián A.S.S. Borghello- revela como a “un intruso le tomó menos de un minuto irrumpir en la computadora de su universidad, estuvo dentro menos de media hora y a los investigadores les tomó 34 horas descubrir todo lo que hizo” y, también se estima que “esas 34 horas de limpieza pueden costar 2000 dólares a una organización y 22000 si se debiera tratar con un consultor especializado.”

Honeynets distribuidas

El siguiente paso que se está realizando con las Honeynets es la aplicación del viejo principio de “la unión hace la fuerza”. El escenario con el que nos encontramos puede ser el de una gran organización internacional con múltiples redes en múltiples países o varios equipos de expertos en seguridad diseminados por todo el planeta que desean compartir la información generada por sus Honeynets.

Obviamente, la posibilidad de centralizar (o al menos comunicar) las distintasHoneynets para la recolección de información es básico puesto que nos permitirá la correlación de resultados así como la comunicación de nuevos descubrimientos de forma más rápida y eficiente.


30HONEYPOT

Una vez que ya tenemos definidas unas arquitecturas estables (GEN II) y lo suficientemente flexibles como para permitir la interconexión de los sistemas, el siguiente paso es plantearse cómo hacerlo.

El modelo escogido es mediante la creación de túneles privados virtuales cifrados conIPSec (IPSec VPN). De esta forma, una vez al día los diferentes Honeywalls se conectarán por el interface C de forma segura al repositorio central para depositar los ficheros de log del día anterior.

¿Para qué sirven?

Su uso es simple. Consiste en instalar servidores de red (comúnmente Unix o NT) específicamente para atraer la atención del intruso. Actúan como trampas, consiguiendo registrar movimientos y alertar a los administradores de la red de un intento de violación. Simulan ser un elemento real de red, pero están desactivados para que no se pueda tomar su control desde el exterior; se encuentran en una zona al margen del tráfico convencional y disponen de un auténtico filtro dedicado a evitar todo el tráfico saliente en caso de que fallen o un experto consiga acercarse lo suficiente como para intentar tomar su control.

A diferencia de los firewalls o un sistema de detección de intrusos, los honeypots no solucionan un problema específico. Son una herramienta flexible que se presenta en diversos tamaños y formas. Pueden hacer cualquier cosa, desde detectar ataques encriptados en redes, hasta capturar lo último en fraudes de tarjetas de créditos on-line. Su efectividad depende de los atacantes que interactúan con éstos.


31HONEYPOT

Los honeypots son sistemas deliberadamente expuestos para ser atacados o comprometidos, y aunque no solucionan ningún problema de seguridad, son una herramienta que sirve para conocer las estrategias que se emplean a la hora de vulnerar un sistema. Permiten conocer de forma precisa los ataques que se realizan contra la plataforma de trabajo que hemos elegido, o bien contra las plataformas configuradas de la misma forma, y sirven para guardar todos los procesos que se están ejecutando contra algún sistema, con el claro objetivo de acceder a información sensible para una organización, empresa o corporativo.

Asimismo, permiten conocer nuevas vulnerabilidades y riesgos de los distintos sistemas operativos y diversos entornos y programas, las cuales aún no se encuentren debidamente documentadas.

¿Qué es KFSensor?

KFSensor es un Sistema de Detección de Intrusiones (IDS) que funciona a través de un Host.

Actúa como un honeypot para atraer y detectar a los hackers mediante la simulación de troyanos y servicios de sistemas vulnerables.

El sistema ofrece muchísimas posibilidades de configuración e incluye la posibilidad de registros detallados, análisis de datos y alertas de seguridad.

Es un enfoque que complementa a otros tipos de sistemas de seguridad y aporta nuevas defensas contra la creciente amenaza a la que se enfrentan todas las organizaciones.


32HONEYPOT

Instalación e implementación de KFSensor

Instalación de WinPcap.

.

Después de seguir la instalación por defecto la aplicación ha sido instaurada.


33HONEYPOT

Instalación KFSensor.

Elegimos la ruta en donde será instalado el programa.


34HONEYPOT

Reiniciamos el sistema para finalizar la instalación.

Configuración de KFSensor


35HONEYPOT

Seleccionamos las clases de puertos a incluir en la detección.

Seleccionamos el dominio.


36HONEYPOT

Incluimos direcciones de correo para recibir informes de ataques.

Seleccionamos las opciones de instalación.


37HONEYPOT

Instalamos el servicio de sistemas para que independiente de que usuario inicie sesión el KFSensor Server funcione e inicie automáticamente.

Finalizamos la configuración de KFSensor.


38HONEYPOT

Muestra grafica de avisos de intrusión al sistema.


39HONEYPOT

Muestra de un evento de intrusión.


40HONEYPOT


41HONEYPOT


42HONEYPOT

CONCLUSION

El propósito de este trabajo fue definir que es un Honeypot y su valor hacia la seguridad de la comunidad o empresas. Identificamos 3 tipos de honeypots, baja interacción, media interacción y alta interacción. La interacción define cuanta actividad un honeypot permite a un ataque. El valor de estas soluciones es para 2 propósitos, producción e investigación.

Los Honeypots pueden ser usados para propósitos de producción, previniendo, detectando o respondiendo a los ataques. Los Honeypots también pueden ser usados para investigación, reuniendo información de las amenazas para así entender mejor y poder defenderse contra ellos.


43HONEYPOT

BIBLIOGRAFIA

HoneyNet en Españolhttp://his.sourceforge.net/trad/honeynet/

Zonavirushttp://www.zonavirus.com/Detalle_Articulo.asp?Articulo=108

Symantechttp://www.symantec.com/region/mx/enterprisesecurity/content/framework/LAM_2371.html Datafullhttp://www.datafull.com/datahack/informe.php?id=255

Forzishttp://www.forzis.com

Tracking-Hackershttp://www.tracking-hackers.comhttp://www.honeynet.org

Honeypots for windows, Roger A Grimes, 2005, Editorial Apress

Honeypots, Tracking Hackers, Lance Spitzner, 2003, Addison Wesley


Trabajo Final Honeypot

Documents