1. EduardoSánchezPiña
Honeypot: un sistema de defensa suplido activo para la seguridad de red
Registra la información sobre herramientas y actividades del proceso de hurto de
información contenida en ordenadores, e impide ataque en viaje de ida del sistema
comprometido. Honeypot es una herramienta valiosa que ayuda las tecnologías de seguridad
tradicionales para mejorar la ejecución correspondiente. Otras herramientas de seguridad tales
como cortafuego e IDS son completamente pasivas para que su tarea es impedir o detectar
ataques. Honeypot activamente se entrega a ataque para ganar información sobre nuevos
entremetimientos. Definimos honeypot en tres pliegues.
Comoun recursode seguridadcuyovalor estribe en ser examinando, atacado o comprometa
Como una herramienta de seguridad cuyo valor estriba en activamente atrayendo ataques
para lograr informaciónde entremetimiento y mejorando la ejecución de otras herramientas
de seguridad tal como IDS.
Comouna tecnologíacuyovalor estribe enserunosmétodosalternativospara laseguridadde
red.
La producción Honeypot y la investigación Honeypot
El honeypotde producciónesapuntadohacer así. Siempre haga el honeypot de producto
entracompañía con lossistemasde produccióntalescomoservidorde correo y servidor de www.
Protegen el sistema de objetivo engañando y detectando van al ataque, dando la alarma al
administrador.El honeypot de investigación es primariamente para aprender nuevos métodos y
herramientasde atacar,que ganan nuevainformaciónsobre vanal ataque sin embargo puede ser
usado para el honeypot de producción. El honeypot de investigación toma un mecanismo de
control de datos efectivo para impedir ser un salto para atacar otro sistema de computadora.
Honeynet
Primeramente, principalmente usado para el trabajo de investigación. En segundo
término, allí el sistema múltiple en un honeynet. Honeynet es más interactivo que honeypot y
fuertemente asemeje una red real. Honeynet proyecta los focos en tecnologías relacionadas de
honeynet. Honeynetyavance de honeypotenconjuntopordividir atacan decepciones, captación
de datos y tecnología de control de datos.
Control de datos y captación de datos
La captación de datos cumple entremetimientos y ataques de grabación a honeypot. El
control de datos esigual a impidaque el honeypotcomprometidoserunaplanchade desembarco
y protegenlosdatosregistrados. La captación de datos usa una jerarquía de 3 capas para capturar
y almacenardatos.El componente de cortafuegoes la primera capa (capa de IP) para capturar los
datosde conexiónenviaje de idayporllegar.Todaslas conexionessonconsideradassospechosas.
Segundacapa de la captaciónde datos esel componente de IDS,que capturatodas lasactividades
de red del honeypot enel nivelde enlace.Losdatos de tronco son almacenados remotamente en
el servidor de tronco controlado fuerte de acceso.
Honeypot Taxonomy
Honeypot se puede clasificar por metas de seguridad o metas de aplicación. Rompemos
honeypotencuatrocategorías anchas segúnmetasde seguridad, prevención,detección, reacción
e investigación. El fuste tres enfocan los ciclos diferentes en seguridad, mientras que el último
enfoca el total atacando proceso. Las paradas de honeypot de prevención atacan el sistema de
producción comprometedor indirectamente.
De este modo, el honeypot disuade ataques y proteja sistema de producción de ser
comprendiendo. El honeypot de detección da a la alarma cuando el ataque ocurre. La diferencia
principal entre honeypot de detección e IDS estriba en que honeypot detecta compromisos en
virtudde las actividadesde sistema mientras que IDS compare modo de entremetimiento con la
2. EduardoSánchezPiña
firma conocida. Así el honeypot de detección es efectivo en detectando nuevo o los ataques
desconocidos.
El honeypotde investigaciónenfocainformaciónde amenazasincluyendo móviles, herramientas,
métodosyhabilidades.Esunaplataformacon lasvulnerabilidades comunes yagujeros de OS para
lograr la información del contrario. A diferencia del sobre tres honeypot, honeypot de
investigación no haga siempre la compañía con sistema de producción pero dé a la flexibilidad
excelente de ataque. La meta del honeypot de investigación es la investigación de seguridad.
Foco de investigación
La meta total del mejoramiento es, haciendo honeypot fácil de despliegue y más difícil
para detectar. La investigación presente apunta a los campos siguientes.
Método de detección
Seguirlapistade laactividadde ataque enlugar de contar meramente susconexiones en viaje de
ida. Una actividad es afirmada para ser un ataque según la actividad, real en el honeypot. La
aserción es hacer basar en sucesión de orden de uso común o las herramientas tal como
sugerencia, telnet.
Método de reacción
El control de datos se puede reemplazar por una entrada de 2 capas, que modifica varios
bytes de los paquetes pequeños considerados para ser los ataques. Ataque todavía puede crear
conexiones con otro sistema envían solicitud ordinaria pero no pueden recibir los paquete
pequeñode respuesta apropiados. Esta es una vía de respuesta preferible sin golpear el ataque.
Captación de datos y datos almacenan método
Cómo capturar y almacenar datos en una vía de truco es el problema permanente. El
proyecto de Honeynet propone una solución diestra a captación de datos. Las actividad de
ataques son capturadas por el módulo de núcleo de OS de honeypot, que se encierra en una
cápsula. Los datos capturados con un IP engañado y protocolo de uso común tal como NetBIOS.
Entrada de Honeypotactivamente captura,decodifica, y reedifican estos datos. Datos de captura
en el módulo de núcleo hacen que ello independiente de la comunicación significa, tales como
SSH, SSL, o IPSEC.
Los IP y encapsulación engañados están acostumbrado a trampear ataques.
Honeypot virtual
Combinacaptaciónde datosy control de datosasí como otros componentesdel honeypot
enuna máquinasencilla. El honeypot virtual aún puede simular los tipos diferentes y el número
diferente delhoneypot enundispositivo.Lastecnologíasrelacionadas incluyen el entorno virtual
en OS de casa, IP apila simulador y simulador de aplicación.
Ejemplos de Honeypot
Escogemos varios sistemas de honeypot para mostrar el estatus de los productos de
honeypot. Cada uno es una muestra de un tipo. Investigamos el sistema de honeypot diferente
concerniente a valor de seguridad, las interacciones y virtualización.
Backofficer Friendly (BOF)
Es un honeypot de pocopesoy libere paradistribuir.Representaunadestilaciónexactade
lasideasy perspicaciasdel honeypot. BOF emula varios campo común atienda tal como http, ftp,
telnet, correo y Backonifice. Diarios de BOF, alarmas y respuestas una réplica falsa siempre que
alguien conecta tales puertos. El usuario de BOF puede tener aclarar vista del proceso de atacar.
Espectro
El espectro es un |honeypot| de producción comercial cuyo valor estriba en detección.
Spector puede simular 13 sistemas operativos diferentes en el nivel de aplicación incluyendo
Windows,Linux, Aix, Solaris, MacOS etc. Es unas ventanas base en el software que ofrece 14 red
diferente atiendeyarmatrampas. El otro carácter estáreuniendoactivamente la información del
3. EduardoSánchezPiña
ataque tal comoque es y lookupde DNS.El espectroesun honeypotinteractivo bajo que falsifica
la réplica de la solicitud de ataque. El ataque no puede utilizar la aplicación para obrar
recíprocamente con el O.
Honeyd
Honeyd es un honeypot de producción poderoso, que puede ser usado para atacan
deteccióny reacción. Representael nivel de hoydel honeypot de producción en muchos campos.
En primerlugar,puede emularmásde 400 tiposde OS en IPapile nivel.Estooculta el huésped OS
antesdel ataque.En segundolugar,emularcientosde computadorasaunamáquinasencillaporel
uso de Arp engañando. Tercero, Honeyd es el sistema de honeypot de fuente abierto.
Honeynet
Honeynetrepresentael nivel másalto del honeypot de investigación. Haberes señalados
que es un alto honeypot de interacción que se usa primariamente para la investigación. Ello
también puede estar modificado al honeypot de producción para atacan detección y reacción.
Nuevos métodos de captación de datos y control de datos propuestos por el proyecto de
Honeynet muestran mayor flexibilidad y la habilidad de control de acceso más alta, que puede
aplicó ambos honeypot de investigación y honeypot de investigación.
Conclusión
Honeypot no es una solución a seguridad de red aloje en una choza una herramienta
buenasuple otrastecnologíasde seguridad para formar un sistema de defensa activo alternativo
para la seguridad de red. Trabajar con IDS y cortafuego, Honeypot proporcione nueva vía a
prevención de ataques, detección y reacción. Honeypot puede servir de una herrami enta de
decepciónbuenaparalaprevencióndel sistemade productodebidoasu habilidaddel jaezvaya al
ataque a un sistemade señuelo.Suplido con IDS, el honeypot reduce el grado positivo falso y las
negativas falsas.