Este documento describe los diferentes niveles de interacción de un Honeypot, que es una red diseñada para parecer vulnerable y atraer ataques informáticos con el fin de recopilar información sobre atacantes. Explica que los Honeypots de alto nivel de interacción, que utilizan sistemas operativos reales, son los más efectivos para obtener datos sobre ataques, aunque también son los más complejos de implementar y mantener.
2. • Se frustre al atacante.
• Pierda tiempo (se entretenga)
• Atacar al atacante
• Se recopile la mayor Información posible
sobre atacante y ataque
Inclinar la balanza a nuestro favor. De modo que:
4. • No hay trafico normal
• Nos ahorramos computación en
filtrado
• Puede brindar información muy
valiosa acerca del atacante y el
ataque empleado
• Distraer e incluso detener al
atacante
• Dependiendo del tipo de
HoneyPot, puede haber riesgos
potenciales sobre la red.
• El mantenimiento puede consumir
mucho tiempo.
• No es un mecanismo de defensa.
5. NIVEL BAJO DE INTERACCION
Servicios falsos, o emuladores.
- Listeners, Honeyd, etc.
No hay un SO sobre el cual el
atacante pueda interactuar.
Fáciles de instalar y mantener
La info. Obtenida es muy
limitada.
NIVEL MEDIO DE INTERACCION
Mayor interacción sin llegar a
proveer un SO sobre el cual
interactuar.
El atacante obtiene una mejor
ilusión de un SO real y mayores
posibilidades de interactuar y
escanear el sistema.
El desarrollo/implementación es
más complejo y consume más
tiempo.
NIVEL ALTO DE INTERACCION
Cuentan con un SO real.
Presentan un mayor nivel de
riesgo y complejidad.
Son objetivos más “atractivos”
Se obtiene mayor y mejor
información de los ataques.
Requiere mucho tiempo para
instalar y mantener.
6. En este caso estamos hablando de una red
diseñada específicamente para que pueda verse
comprometida fácilmente. De otra forma, es un
HoneyPot de alto nivel de interacción diseñado
para la investigación, con el objetivo de recopilar
información sobre el atacante.
7. ● Detectar escaneos y ataques en forma temprana.
● Capturar nuevas herramientas de hacking, gusanos, malware
en general, etc.
● Identificar atacantes internos.
● Mejorar el conocimento y tendencias de los
ataques/atacantes informáticos (hackers).
● Identificar maquinas infectadas o comprometidas