Honeypots <ul><li>Universidad Veracruzana </li></ul><ul><li>Jorge Alberto Hernández Hernández </li></ul>
Índice <ul><li>Introducción  </li></ul><ul><li>Definición de honeypot </li></ul><ul><li>Honeynet </li></ul><ul><li>Funcion...
Introducción 1/2 <ul><li>Tradicionalmente, la naturaleza del ramo de la seguridad informática ha sido puramente defensiva....
Introducción 2/2 <ul><li>Los Honeypots han demostrado su valor como herramienta de investigación en el área de la segurida...
¿Qué es un honeypot? <ul><li>Un honeypot (tarro de miel) es un sistema de seguridad informatica ,diseñado como una trampa ...
Honeynet <ul><li>Son redes de honeypots utilizadas para investigar nuevas formas de intrusión, nuevas tendencias en explot...
Arquitectura de una honeynet
Funciones de un honeypot <ul><li>Desviar la atención del atacante de la red real del sistema, de manera que no se comprome...
Clasificación de los honeypots <ul><li>Los Honeypots se pueden clasificar de acuerdo a dos criterios: Según su ambiente de...
Honeypots según su Ambiente de Implementación  <ul><li>Bajo esta categoría podemos definir dos tipos de Honeypots: Para la...
Honeypots según su Nivel de Interacción <ul><li>Honeypots de Baja Interacción: Normalmente, éstos Honeypots trabajan única...
Ventajas y desventajas del uso de honeypots 1/3 <ul><li>Los Honeypots son un concepto increıblemente simple, los cuales of...
Ventajas y desventajas del uso de honeypots 2/3 <ul><li>Desventajas </li></ul><ul><li>Visión Limitada: Solo pueden rastrea...
Ventajas y desventajas del uso de honeypots 3/3 <ul><li>Riesgo: Inherentemente, el uso de todas las tecnologías de segurid...
Honeyd <ul><li>Honeypot de codigo abierto que permite crear o simular multiples honeypots virtuales incluso puede simular ...
Honeyd man 1/2 <ul><li>-d  Do not daemonize, and enable verbose debugging messages. </li></ul><ul><li>-P  On some operatin...
Honeyd man 2/2 <ul><li>-a assoc Read the file that associates nmap style fingerprints with xprobe style fingerprints. </li...
Estados de los puertos para la configuración de un host virtual con honeyd <ul><li>TCP (default is Open)  </li></ul><ul><l...
Sistemas operativos emulados por honeyd <ul><li>Linux </li></ul><ul><li>Windows (95/98/NT/2000/Me/XP/Server)‏ </li></ul><u...
Creando honeypots con honeyd 1/2 <ul><li>Crear un archivo de texto para la configuración de los honeypots virtuales (guard...
Creando honeypots con honeyd 2/2 <ul><li>Para crear un router virtual : </li></ul><ul><li>##creamos el router </li></ul><u...
Probando los honeypots 1/3 <ul><li>Despues de haber creado nuestro archivo de configuración (honeyd.conf) debemos ejecutar...
Probando los honeypots 2/3 <ul><li>En este caso los honeypots pertenecen a la red 10.0.0.0/8 por lo que ejecutaremos en un...
Probando los honeypots 3/3 <ul><li>Ahora desde otro host real perteneciente a la misma red puedes probar los honeypots hac...
Práctica <ul><li>Los siguientes videos contiene la configuración, ejecución y forma en que se comportan los honeypots usan...
Referencias <ul><li>http://www.alegsa.com.ar/Dic/honeypot.php </li></ul><ul><li>http://www.tech-faq.com/lang/es/what-is-a-...
Próxima SlideShare
Cargando en…5
×

Honeypots

7.465 visualizaciones

Publicado el

Publicado en: Tecnología
0 comentarios
4 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
7.465
En SlideShare
0
De insertados
0
Número de insertados
316
Acciones
Compartido
0
Descargas
385
Comentarios
0
Recomendaciones
4
Insertados 0
No insertados

No hay notas en la diapositiva.

Honeypots

  1. 1. Honeypots <ul><li>Universidad Veracruzana </li></ul><ul><li>Jorge Alberto Hernández Hernández </li></ul>
  2. 2. Índice <ul><li>Introducción </li></ul><ul><li>Definición de honeypot </li></ul><ul><li>Honeynet </li></ul><ul><li>Funciones de un honeypot </li></ul><ul><li>Clasificación de los honeypots </li></ul><ul><li>Ventajas y desventajas del uso de honeypots </li></ul><ul><li>Honeyd </li></ul><ul><li>Creando honeypots con honeyd </li></ul><ul><li>Referencias </li></ul>
  3. 3. Introducción 1/2 <ul><li>Tradicionalmente, la naturaleza del ramo de la seguridad informática ha sido puramente defensiva. Los muros de fuego, sistemas de detección de intrusos, y el cifrado son mecanismos que se usan defensivamente para proteger los recursos informáticos. Los dogmas estratégicos de la seguridad informática consisten en defender la infraestructura de información tan bien como sea posible, detectar posibles fallos en la estructura defensiva y reaccionar a esos fallos de manera proactiva. La naturaleza de la existencia y operación del enemigo informático es puramente defensiva, ya que éste siempre está al ataque. </li></ul>
  4. 4. Introducción 2/2 <ul><li>Los Honeypots han demostrado su valor como herramienta de investigación en el área de la seguridad de la información. Muchos investigadores y organizaciones, tanto públicas como privadas, que forman parte de la comunidad de la seguridad están utilizando actualmente redes “trampa” para aprender las tácticas, técnicas y los procedimientos que la comunidad “cracker” utiliza para irrumpir de manera no autorizada a bóvedas de información electrónica que podrían contener información potencialmente sensible. </li></ul>
  5. 5. ¿Qué es un honeypot? <ul><li>Un honeypot (tarro de miel) es un sistema de seguridad informatica ,diseñado como una trampa que se utiliza para identificar, evitar y, en cierta medida, neutralizar los intentos de secuestrar sistemas y redes de información. </li></ul><ul><li>Generalmente un honeypot puede ser una computadora o un sitio de red que parecen ser parte de una red pero que en realidad están aislados, protegidos y monitorizados, y que parecen contener información o recursos que serían valiosos para los posibles atacantes. </li></ul>
  6. 6. Honeynet <ul><li>Son redes de honeypots utilizadas para investigar nuevas formas de intrusión, nuevas tendencias en explotación de vulnerabilidades o en investigación de las mismas. </li></ul><ul><li>Las Honeynets pueden utilizar varios sistemas al mismo tiempo, como Solaris, Linux, Windows NT, router Cisco, conmutadores Alteon, etc. </li></ul><ul><li>Todos los sistemas situados dentro de una Honeynet son sistemas comerciales estándar. </li></ul><ul><li>Nada es emulado ni se hace nada para que los sistemas sean menos seguros </li></ul>
  7. 7. Arquitectura de una honeynet
  8. 8. Funciones de un honeypot <ul><li>Desviar la atención del atacante de la red real del sistema, de manera que no se comprometan los recursos principales de información </li></ul><ul><li>Capturar nuevos virus o gusanos para su estudio posterior </li></ul><ul><li>Formar perfiles de atacantes y sus métodos de ataque preferidos, de manera similar a la usada por una corporación policiaca para construir el archivo de un criminal basado en su modus operandi. </li></ul><ul><li>Conocer nuevas vulnerabilidades y riesgos de los distintos sistemas operativos, entornos y programas las cuales aún no se encuentren debidamente documentadas </li></ul>
  9. 9. Clasificación de los honeypots <ul><li>Los Honeypots se pueden clasificar de acuerdo a dos criterios: Según su ambiente de implementación y según su nivel de interacción. </li></ul>
  10. 10. Honeypots según su Ambiente de Implementación <ul><li>Bajo esta categoría podemos definir dos tipos de Honeypots: Para la producción y para la investigación. </li></ul><ul><li>Honeypots para la Producción: Son aquellos que se utilizan para protegera las organizaciones en ambientes reales de operación. </li></ul><ul><li>Honeypots para la Investigación: Estos Honeypots no son implementados con la finalidad de proteger redes, sino que constituyen recursos educativos de naturaleza demostrativa y de investigación cuyo objetivo se centra en estudiar patrones de ataque y amenzas de todo tipo. Gran parte de la atención actual se centra en los Honeypots para la investigación, que se utilizan para recolectar información sobre las acciones de los intrusos. </li></ul>
  11. 11. Honeypots según su Nivel de Interacción <ul><li>Honeypots de Baja Interacción: Normalmente, éstos Honeypots trabajan únicamente emulando servicios y sistemas operativos. La actividad del atacante se encuentra limitada al nivel de emulación del Honeypot. La ventaja de un Honeypot de Baja Interacción radica principalmente en su simplicidad, ya que estos tienden a ser fáciles de utilizar y mantener con un riesgo mínimo. Ejemplos Specter, Honeyd, y KFSensor. </li></ul><ul><li>Honeypots de Alta Interacción: Este tipo de Honeypots constituyen una solución compleja, ya que implica la utilización de sistemas operativos y aplicaciones reales montados en hardware real sin la utilización de software de emulación e involucrando aplicaciones reales que se ejecutan de manera normal, muchas veces en directa relación a servicios como bases de datos y directorios de archivos compartidos. Ejemplos Honeynets. </li></ul>
  12. 12. Ventajas y desventajas del uso de honeypots 1/3 <ul><li>Los Honeypots son un concepto increıblemente simple, los cuales ofrecen una fortaleza muy poderosa </li></ul><ul><li>Ventajas: </li></ul><ul><li>Nuevas Herramientas y Tácticas: Son diseñados para capturar cualquier cosa que interactúa con ellos, incluyendo herramientas o tácticas nunca vistas mejor conocidas como 'zero-days'. </li></ul><ul><li>Mínimos Recursos: Esto significa que los recursos pueden ser mínimos y aún así se puede implementar una plataforma lo suficientemente potente para operar a gran escala. </li></ul><ul><li>Información: Pueden recopilar información de manera detallada a diferencia de otras herramientas de análisis de incidentes de seguridad. </li></ul>
  13. 13. Ventajas y desventajas del uso de honeypots 2/3 <ul><li>Desventajas </li></ul><ul><li>Visión Limitada: Solo pueden rastrear y capturar actividad destinada a interactuar directamente con ellos. No capturan información relacionada a ataques destinados hacia sistemas vecinos, a menos que el atacante o la amenaza interactúe con el Honeypot al mismo tiempo. Riesgo: Inherentemente, el uso de todas las tecnologías de seguridad implican un riesgo potencial. Los Honeypots no son diferentes ya que también corren riesgos, especıficamente el de ser secuestrados y controlados por el intruso y ser utilizados como plataforma de lanzamiento de otros ataques. </li></ul>
  14. 14. Ventajas y desventajas del uso de honeypots 3/3 <ul><li>Riesgo: Inherentemente, el uso de todas las tecnologías de seguridad implican un riesgo potencial. Los Honeypots no son diferentes ya que también corren riesgos, especıficamente el de ser secuestrados y controlados por el intruso y ser utilizados como plataforma de lanzamiento de otros ataques. </li></ul>
  15. 15. Honeyd <ul><li>Honeypot de codigo abierto que permite crear o simular multiples honeypots virtuales incluso puede simular hasta una red. </li></ul><ul><li>Permite configurar host virtuales como diferentes tipos de servidores con sus respectivos sistemas operativos </li></ul><ul><li>Su interfaz es basada en linea de comandos y archivos de configuraciones </li></ul><ul><li>Sitio oficial www.honeyd.org </li></ul>
  16. 16. Honeyd man 1/2 <ul><li>-d Do not daemonize, and enable verbose debugging messages. </li></ul><ul><li>-P On some operating systems, it is not possible to get event notifications for pcap via select(2). In that case, honeyd needs to run in polling mode. This flag enables polling. </li></ul><ul><li>-l logfile Log packets and connections to the logfile specified by logfile. </li></ul><ul><li>-s servicelog Logs information from service scripts to the log file specified by servicelog. </li></ul><ul><li>-p fingerprints Read nmap style fingerprints. The names defined after the token are stored as personalities. </li></ul><ul><li>-x xprobe Read xprobe style fingerprints. This file determines how honeydreacts to ICMP fingerprinting tools. </li></ul>
  17. 17. Honeyd man 2/2 <ul><li>-a assoc Read the file that associates nmap style fingerprints with xprobe style fingerprints. </li></ul><ul><li>-f file Read the configuration in file. It is possible to create host templates with the configuration file that specify which servers should run and which scripts should be started to simulate them. honeyd will reread the configuration file when sent a SIGHUP signal. </li></ul>
  18. 18. Estados de los puertos para la configuración de un host virtual con honeyd <ul><li>TCP (default is Open) </li></ul><ul><li>- Open: Respond with Syn/Ack, establish connection </li></ul><ul><li>- Block: Drop packet and do not reply </li></ul><ul><li>- Reset: Respond with RST </li></ul><ul><li>- Tarpit: Sticky connection </li></ul><ul><li>UDP (default is Closed) </li></ul><ul><li>- Open: No response </li></ul><ul><li>- Block: Drop packet and do not reply </li></ul><ul><li>- Reset: Respond with ICMP port error message </li></ul><ul><li>ICMP (default is Open) </li></ul><ul><li>- Open: Reply to ICMP packets </li></ul><ul><li>- Block: Drop packet and do not reply </li></ul>
  19. 19. Sistemas operativos emulados por honeyd <ul><li>Linux </li></ul><ul><li>Windows (95/98/NT/2000/Me/XP/Server)‏ </li></ul><ul><li>Cisco IOS </li></ul><ul><li>Mac OS </li></ul><ul><li>Sega Dreamcast </li></ul>
  20. 20. Creando honeypots con honeyd 1/2 <ul><li>Crear un archivo de texto para la configuración de los honeypots virtuales (guardarlo prefreiblemente como honeyd.conf)‏ </li></ul><ul><li>Sintaxis : </li></ul><ul><li>Para crear una pc virtual : </li></ul><ul><li>##Creamos una maquina windows </li></ul><ul><li>create windows </li></ul><ul><li>##asignamos un sistema operativo </li></ul><ul><li>set windows personality &quot;Microsoft Windows XP Professional SP1&quot; </li></ul><ul><li>##asignamos el comportamiento en los puertos </li></ul><ul><li>set windows default tcp action reset </li></ul><ul><li>set windows default udp action reset </li></ul><ul><li>set windows default icmp action open </li></ul><ul><li>##agregamos los puertos que va a tener el host virtual </li></ul><ul><li>add windows tcp port 139 open </li></ul><ul><li>add windows udp port 137 open </li></ul><ul><li>add windows tcp port 112 close </li></ul><ul><li>##asignamos dirección ip </li></ul><ul><li>bind 10.0.0.14 windows </li></ul>
  21. 21. Creando honeypots con honeyd 2/2 <ul><li>Para crear un router virtual : </li></ul><ul><li>##creamos el router </li></ul><ul><li>create router </li></ul><ul><li>##asignamos un sistema operativo </li></ul><ul><li>set router personality &quot;Cisco IOS 11.3 - 12.0(11)&quot; </li></ul><ul><li>##comportamiento de los puerto </li></ul><ul><li>set router default tcp action reset </li></ul><ul><li>##agregamos puertos </li></ul><ul><li>add router tcp port 22 &quot;/usr/share/honeyd/scripts/test.sh&quot; </li></ul><ul><li>add router tcp port 23 &quot;/usr/share/honyed/scripts/router-telnet.pl&quot; </li></ul><ul><li>##Asignamos dirección ip </li></ul><ul><li>bind 10.0.0.20 router </li></ul><ul><li>Nota: Para ver las versiones de los sistemas operativos validas para asignar a los host virtuales puede consultar el archivo /etc/honeypot/nmap.assoc </li></ul>
  22. 22. Probando los honeypots 1/3 <ul><li>Despues de haber creado nuestro archivo de configuración (honeyd.conf) debemos ejecutar honeyd pero antes debemos ejecutar farpd </li></ul><ul><li>Pero,¿para que sirve farpd? </li></ul><ul><li>Nuestros honeypots tienen dircciones ip de un rango especifico, lo que hace farpd es capturar todo el trafico que valla hacia el rango que le especifiquemos. </li></ul>
  23. 23. Probando los honeypots 2/3 <ul><li>En este caso los honeypots pertenecen a la red 10.0.0.0/8 por lo que ejecutaremos en una terminal como supero usuario : </li></ul><ul><li>#farpd 10.0.0.0/8 </li></ul><ul><li>arpd[8511]: listening on eth0: arp and (dst net 10.0.0.0/8) and not ether src aa:00:04:00:0a:04 </li></ul><ul><li>Ahora ejecutaremos honeyd usando el archivo de configuracion que creamos, el archivo nmap.prints ubicado en /etc/honeypot y el rango de direcciones ip de los honeypots. nmap.prints es el archivo que contiene la informacion del la version del sistema operativo elegido y toda la informacion necesaria para que nuestro honeypot se comporte como un host con ese sistema operativo. </li></ul><ul><li>#honeyd -p /map.prints -f honeyd.conf 10.0.0.0/8 </li></ul><ul><li>Honeyd V1.5b Copyright (c) 2002-2004 Niels Provos </li></ul><ul><li>honeyd[8600]: started with -p /etc/honeypot/nmap.prints -f /home/jorge/Desktop/honeyd.conf 10.0.0.0/8 </li></ul><ul><li>honeyd[8600]: listening promiscuously on eth0: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip </li></ul><ul><li>and (net 10.0.0.0/8))) and not ether src aa:00:04:00:0a:04 </li></ul><ul><li>Honeyd starting as background process </li></ul>
  24. 24. Probando los honeypots 3/3 <ul><li>Ahora desde otro host real perteneciente a la misma red puedes probar los honeypots haciendo ping </li></ul><ul><li>También puedes usar un scanner como nmap. </li></ul>
  25. 25. Práctica <ul><li>Los siguientes videos contiene la configuración, ejecución y forma en que se comportan los honeypots usando honeyd </li></ul><ul><li>Software utilizado : honeyd, farpd y nmap </li></ul><ul><li>Hardware : 2 PC's y un switch </li></ul><ul><li>Hice una red con dos host , el host que contiene los honeypots (10.0.0.1) y el otro que escaneará a los honeypots (10.0.0.2)‏ </li></ul><ul><li>Videos: </li></ul><ul><li>http://felino11.googlepages.com/configurandohoneypot.htm </li></ul><ul><li>http://felino11.googlepages.com/pruebadeloshoneypots.avi </li></ul>
  26. 26. Referencias <ul><li>http://www.alegsa.com.ar/Dic/honeypot.php </li></ul><ul><li>http://www.tech-faq.com/lang/es/what-is-a-honeypot.shtml </li></ul><ul><li>http://www.alerta-antivirus.es/seguridad/ver_pag.html?tema=S&articulo=4&pagina=6 </li></ul><ul><li>http://el-directorio.org/Seguridad/Honeypots </li></ul><ul><li>http://barceludena.wordpress.com/category/honeynets/ </li></ul><ul><li>Honeynet Project México, http://www.honeynet.org.mx </li></ul><ul><li>Honeyd, http://www.honeyd.org </li></ul><ul><li>Honeynet Project, http://www.honeynet.org </li></ul><ul><li>www.fistconference.org/data/presentaciones/honeynets.pdf </li></ul><ul><li>www.wikipedia.com </li></ul>

×