SlideShare una empresa de Scribd logo

Honeynets, conoce a tu enemigo (RedIRIS)

R
raulsiles5

Este documento presenta una introducción a las honeynets. Explica que las honeynets permiten conocer mejor al enemigo mediante la simulación de entornos para que los atacantes interactúen con ellos de forma no autorizada y así capturar datos de intrusiones. También describe los componentes clave de una honeynet como el honeywall para controlar y analizar el tráfico, y herramientas como Sebek para capturar datos incluso cuando estén cifrados. Finalmente, menciona algunas demostraciones prácticas para ilustrar el funcionamiento de una

Tecnología
1 de 46
Descargar para leer sin conexión
Honeynets - © 2007 Raúl Siles 1 Honeynets, conoce a tu enemigo V Foro de seguridad RedIRIS Detección de Intrusiones 12 y 13 de Abril de 2007
Honeynets - © 2007 Raúl Siles 2 • Raúl Siles • GSE • Consultor Independiente de Seguridad • Miembro del Spanish Honeynet Project www.raulsiles.com Ponente
Honeynets - © 2007 Raúl Siles 3 • Detección y respuesta ante incidentes en la actualidad • Logs, logs y más logs • Sun Tzu • Honeynets, conoce a tu enemigo • Demostraciones prácticas: –Walleye & Sebek Índice
Honeynets - © 2007 Raúl Siles 4 Detección y respuesta ante incidentes 2007 DMZ IDS AV Perímetro VPNs Clientes remotos Clientes FW
Honeynets - © 2007 Raúl Siles 5 Un ejemplo de incidente… • Llamada a las 20:30 un martes • Cliente multinacional con múltiples sedes en España • Varios ficheros críticos borrados en un entorno Unix • Ocurrió a primera hora de la mañana (¡hace 12 horas!) • Impacto crítico en el negocio • ¿Qué podemos hacer?
Honeynets - © 2007 Raúl Siles 6 … resolución del incidente
Honeynets - © 2007 Raúl Siles 7 ¿Qué es necesario para investigar los incidentes?
Honeynets - © 2007 Raúl Siles 8 Logs, logs y más logs • Firewalls & Concentradores VPN & Proxies • IDS/IPS: red, sistemas & herramientas de integridad de ficheros • Sistemas: servidores, clientes, portátiles, PDAs… • Dispositivos de red: routers, switches, puntos acceso, AAA… • AV/AntiSpyware: cliente & servidor • Wireless IDS, bluetooth, móviles, blackberries… • Infraestructura PBX & VoIP • Aplicaciones: Web, CRM, ERP, propias… • Bases de datos • … Correlación: Syslog o SIM o SEM o …
Honeynets - © 2007 Raúl Siles 9 Resumen Avances en los ataques Complejidad SIC Detección y respuesta ante incidentes Honeynets
Honeynets - © 2007 Raúl Siles 10 Sun Tzu • Vivió en el 544-496 AC • China • General militar, mercenario, aristócrata • “Maestro del sol” • Libro: “The Art of War” http://www.gutenberg.org/etext/132 (Traducción de 1910, Lionel Giles)
Honeynets - © 2007 Raúl Siles 11 Sun Tzu - "The Art of War" "If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle."
Honeynets - © 2007 Raúl Siles 12 Honeynets
Honeynets - © 2007 Raúl Siles 13 Honeynets
Honeynets - © 2007 Raúl Siles 14 ¿Porqué se llaman Honeynets? Crimen organizado Atacante €, $… Phising Botnets DDoS Víctima SPAM …
Honeynets - © 2007 Raúl Siles 15 Honeynets: Principios • Definición de Honeynets / Honeypots: Recurso de seguridad cuyo valor se basa en el uso no autorizado o malicioso del mismo • Solución y tecnología de seguridad para la captura de información • Detección, análisis y respuesta ante incidentes de seguridad • Aprender las herramientas, tácticas y motivaciones de la comunidad blackhat • Compartir las lecciones aprendidas Mejorar la seguridad del entorno de IT
Honeynets - © 2007 Raúl Siles 16 Honeynets: Detalles • Simular y/o replicar los entornos de producción • Responder a las 5+1 W’s de los incidentes de seguridad: What, where, when, who, why + How • Niveles: – Control de datos (Data Control) – Captura de datos (Data Capture) – Análisis de datos (Data Analysis) • Reducido valor directo en la protección de redes y sistemas
Honeynets - © 2007 Raúl Siles 17 Honeynets: Ventajas • Cualquier tráfico es ilegítimo por naturaleza • Detectar nuevos ataques (0-day ) • Notificación temprana de incidentes • Reducir el número de falsos positivos • Gestionar los innumerables logs recolectados (si tienes suerte… ) • Entrenar al equipo de respuesta ante incidentes y análisis forense
Honeynets - © 2007 Raúl Siles 18 Honeynets: Leyes • Aspectos legales: –Responsabilidades: daños colaterales –Monitorización de datos: cabeceras frente a contenido –Evidencias forenses • ¿Realidad?
Honeynets - © 2007 Raúl Siles 19 Honeynets: Tipos • Nivel de interacción: alto o bajo • La mejor opción depende de los objetivos de la Honeynet • Alto: aplicaciones o sistemas reales (o virtuales) • Bajo: software de emulación –Nepenthes, Honeyd, Honeytrap
Honeynets - © 2007 Raúl Siles 20 The Honeynet Project “Promote honeynet technologies to improve Internet security” • Lance Spitzner, 1999 • Enseñar, informar, investigar: Security challenges, tools, papers… • The Honeynet Research Alliance http://www.honeynet.org
Honeynets - © 2007 Raúl Siles 21 Spanish Honeynet Project • Fundado en el verano de 2004 • Objetivos • SotM 32 - RaDa • Número de miembros actual: 4 • Honeynets: W2K3, SPAM, WiFi… http://www.honeynet.org.es
Honeynets - © 2007 Raúl Siles 22 Conoce a tu enemigo • ¿Cómo podemos defendernos del enemigo, cuando ni siquiera sabemos quién es? • KYE: Know Your Enemy • Objetivo: “Compartir las lecciones aprendidas” • Whitepapers: KYE & individual • KYE Book, 2nd Ed http://www.honeynet.org/papers/index.html
Honeynets - © 2007 Raúl Siles 23 Evolución de los ataques: pasado • Comunicaciones mediante túneles IPv6 (2002) • Extorsión en Internet mediante DDoS (2003) • Fraude automático de tarjetas de crédito (2003) • Honeynets en universidades (2004) • Botnets: SPAM, DoS (2005) • Phising (2005)
Honeynets - © 2007 Raúl Siles 24 Evolución de los ataques: futuro • Ataques en aplicaciones Web (2007) – GHH - The "Google Hack" Honeypot • Ataques en clientes (durante 2007) • Ataques a sistemas SCADA • Procesado de ataques dinámico: – Conexiones a puertos arbitrarios y emulación y análisis de shellcode • Global Distributed Honeynet (GDH) • Otros… 
Honeynets - © 2007 Raúl Siles 25 Honeynets servidor y cliente • Honeynets servidor: esperar a recibir los ataques • Honeynets cliente: ir en busca de ser atacado, simulando las acciones de los usuarios – Capture-HPC (alta interacción, VM & IE) – HoneyC (baja interacción, firmas) – MS HoneyMonkeys – McAfee SiteAdvisor (IE and Firefox) – Honeyclient
Honeynets - © 2007 Raúl Siles 26 Generaciones de Honeynets • Gen I – Arquitectura con Data Control y Data Capture • Gen II – Mejoras: –Bridge a nivel 2, filtrado, sistema de alertas, Sebek v2.x, basado en CD- ROM • Gen III – Data Analysis GenI (1999) – GenII (2002) – GenIII (2005) – Kanga 2007
Honeynets - © 2007 Raúl Siles 27 Honeywall CD-ROM • Punto de entrada/salida a la Honeynet (gateway) • Solución todo en uno • Fácil de implantar y gestionar • Basado en un único CD-ROM • Versiones: Eeyore y Roo Eeyore (Mayo 2003) – Roo (Mayo 2005) – Roo 1.2 (2007) http://www.honeynet.org/tools/cdrom/
Honeynets - © 2007 Raúl Siles 28 Subsistemas del Honeywall Data Control Iptables Rate-limitting Snort-inline Data Analysis MySQL Argus + Hflow Swatch (alerts) Walleye Data Capture Iptables logs Snort alerts p0f Hpots Sebek Tcpdump
Honeynets - © 2007 Raúl Siles 29 Internet No Restrictions No Restrictions Honeypot Honeypot Data Control Internet Honeywall Honeypot Honeypot No Restrictions Connections Limited Packet Scrubbed
Honeynets - © 2007 Raúl Siles 30 Data Capture • Logs del firewall (iptables) • Alertas del IDS (Snort) • Identificación pasiva de SO (p0f) • Captura avanzada de datos (Sebek) • Tráfico de red (tcpdump) • Alertas del IPS (Snort-inline)
Honeynets - © 2007 Raúl Siles 31 Data Analysis • Correlación de información en una base de datos MySQL • Información de flujos de tráfico y relaciones (Argus + Hflow) • Logs del firewall & alertas del IDS (Swatch) • Interfaz gráfico Web (Walleye)
Honeynets - © 2007 Raúl Siles 32 El problema del análisis de datos • Lecciones aprendidas: • Solución: Walleye https://IP_HoneyWall/walleye.pl “… necesidad de disponer de una herramienta de análisis de datos potente y fácil de usar.”
Honeynets - © 2007 Raúl Siles 33 Capacidades de Walleye • Administración del sistema: – Estado del sistema y administración del SO – Administración y configuración del Honeywall – Gestión de usuarios y reglas de Snort • Análisis de datos:
Honeynets - © 2007 Raúl Siles 34 Walleye: múltiples vistas • Estadísticas de tráfico • Detalles de flujos de tráfico • Alertas del IDS • Información avanzada de las actividades en el sistema –Procesos en ejecución –Actividades detalladas de cada proceso
Honeynets - © 2007 Raúl Siles 35 Walleye: análisis de datos
Honeynets - © 2007 Raúl Siles 36 • Captura del tráfico de red: Ethereal – “Follow TCP Stream” • ¿Cómo superar el uso de cifrado? (SSH, SSL, IPSec…) • No es posible sino se tiene la clave hasta que apareció… El problema de la captura de datos ¿Cómo capturar las actividades de los atacantes sin que lo sepan?
Honeynets - © 2007 Raúl Siles 37 • Herramienta de captura de datos • Permite visualizar incluso tráfico cifrado sin disponer de la clave • Monitorización de teclas pulsadas • Similar a un rootkit de kernel: – LKM – Linux, Solaris, *BSD… – Driver de Kernel - Windows Sebek http://www.honeynet.org/tools/sebek/
Honeynets - © 2007 Raúl Siles 38 Sistema de comunicación de Sebek
Honeynets - © 2007 Raúl Siles 39 • Sebek permite capturar los datos tecleados por el atacante, pero … • El parche permite capturar también la respuesta recibida por el atacante (llamada al sistema “write”) Parche “write” para Sebek
Honeynets - © 2007 Raúl Siles 40 Monitorización con Sebek “write” Comandos del atacante Respuesta recibida
Honeynets - © 2007 Raúl Siles 41 Siguientes pasos y usos… • Análisis forense de sistemas • Análisis forense de tráfico de red • Recolección y análisis de malware • Probar el plan de respuesta ante incidentes (CERTs) • Sistemas de notificación de alertas tempranas • Firmas de AV, SPAM, RBL…
Honeynets - © 2007 Raúl Siles 42 Despliegue de Honeynets DMZ IDS AV Perímetro VPNs Clientes remotos Clientes FW
Honeynets - © 2007 Raúl Siles 43 Honeytérminos • Honeypot • Honeynet • Honeywall • Honeyclient (Honeymonkey) • Honeystick • Honeytoken
Honeynets - © 2007 Raúl Siles 44 Demostraciones prácticas Atacante Honeywall Honeypot(s) Honeynet Red gestión Sistema de gestión Atacante Control de datos Captura de datos Análisis de datos
Honeynets - © 2007 Raúl Siles 45 Formación en Honeynets • SANS Institute • Security 554: Honeynets • Curso de 1 día (2007) • Sesiones pasadas en España, Londres y USA en 2006 http://www.sans.org/staysharp/description.php?tid=354
Honeynets - © 2007 Raúl Siles 46 ¡Muchas gracias! • The Honeyney Project http://www.honeynet.org • Spanish Honeyney Project http://www.honeynet.org.es • Raul Siles http://www.raulsiles.com

Recomendados

Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Seguridad Global
Seguridad GlobalSeguridad Global
Seguridad GlobalInternet Security Auditors
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet ProjectConferencias FIST
 
Ccnas v11 ch01_eb
Ccnas v11 ch01_ebCcnas v11 ch01_eb
Ccnas v11 ch01_ebEdgar Benavente
 
Presentación Honeynets Universidad Libre
Presentación Honeynets Universidad Libre Presentación Honeynets Universidad Libre
Presentación Honeynets Universidad Libre Katherine Cancelado
 
Honeypots para dar a luz perfiles de atacantes
Honeypots para dar a luz perfiles de atacantesHoneypots para dar a luz perfiles de atacantes
Honeypots para dar a luz perfiles de atacantescampus party
 
Webcast en español: Log & Event Manager
Webcast en español: Log & Event ManagerWebcast en español: Log & Event Manager
Webcast en español: Log & Event ManagerSolarWinds
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 

Recomendados

Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Seguridad Global
Seguridad GlobalSeguridad Global
Seguridad GlobalInternet Security Auditors
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet ProjectConferencias FIST
 
Ccnas v11 ch01_eb
Ccnas v11 ch01_ebCcnas v11 ch01_eb
Ccnas v11 ch01_ebEdgar Benavente
 
Presentación Honeynets Universidad Libre
Presentación Honeynets Universidad Libre Presentación Honeynets Universidad Libre
Presentación Honeynets Universidad Libre Katherine Cancelado
 
Honeypots para dar a luz perfiles de atacantes
Honeypots para dar a luz perfiles de atacantesHoneypots para dar a luz perfiles de atacantes
Honeypots para dar a luz perfiles de atacantescampus party
 
Webcast en español: Log & Event Manager
Webcast en español: Log & Event ManagerWebcast en español: Log & Event Manager
Webcast en español: Log & Event ManagerSolarWinds
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínWebsec México, S.C.
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Eduardo Brenes
 
Estado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias CalderónEstado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias CalderónAsociación
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophosCSA Argentina
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...RootedCON
 
Honeypots
HoneypotsHoneypots
Honeypotsfel1118
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
Panda Security - Presentación Endpoint Protection
Panda Security - Presentación Endpoint ProtectionPanda Security - Presentación Endpoint Protection
Panda Security - Presentación Endpoint ProtectionPanda Security
 
computadores
computadorescomputadores
computadoresssuserdffa93
 
PC
PCPC
PCssuserdffa93
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusosJuan Manuel García
 
Criptografía
CriptografíaCriptografía
CriptografíaOrestes Febles
 
Power Point Tema13
Power Point Tema13Power Point Tema13
Power Point Tema13jimyfloy
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6pacvslideshare
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMFrancisco Javier Barrena
 
Privacidad en la red Tema 13
Privacidad en la red Tema 13Privacidad en la red Tema 13
Privacidad en la red Tema 13jimifloi haselbain
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 

Más contenido relacionado

Similar a Honeynets, conoce a tu enemigo (RedIRIS)

David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínWebsec México, S.C.
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Eduardo Brenes
 
Estado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias CalderónEstado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias CalderónAsociación
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophosCSA Argentina
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...RootedCON
 
Honeypots
HoneypotsHoneypots
Honeypotsfel1118
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
Panda Security - Presentación Endpoint Protection
Panda Security - Presentación Endpoint ProtectionPanda Security - Presentación Endpoint Protection
Panda Security - Presentación Endpoint ProtectionPanda Security
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusosJuan Manuel García
 
Power Point Tema13
Power Point Tema13Power Point Tema13
Power Point Tema13jimyfloy
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6pacvslideshare
 

Similar a Honeynets, conoce a tu enemigo (RedIRIS) (20)

David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
 
Estado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias CalderónEstado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias Calderón
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophos
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
 
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
 
Honeypots
HoneypotsHoneypots
Honeypots
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
Panda Security - Presentación Endpoint Protection
Panda Security - Presentación Endpoint ProtectionPanda Security - Presentación Endpoint Protection
Panda Security - Presentación Endpoint Protection
 
computadores
computadorescomputadores
computadores
 
PC
PCPC
PC
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusos
 
Criptografía
CriptografíaCriptografía
Criptografía
 
Power Point Tema13
Power Point Tema13Power Point Tema13
Power Point Tema13
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUM
 
Privacidad en la red Tema 13
Privacidad en la red Tema 13Privacidad en la red Tema 13
Privacidad en la red Tema 13
 

Último

Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 

Último (11)

Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

Honeynets, conoce a tu enemigo (RedIRIS)

  • 1. Honeynets - © 2007 Raúl Siles 1 Honeynets, conoce a tu enemigo V Foro de seguridad RedIRIS Detección de Intrusiones 12 y 13 de Abril de 2007
  • 2. Honeynets - © 2007 Raúl Siles 2 • Raúl Siles • GSE • Consultor Independiente de Seguridad • Miembro del Spanish Honeynet Project www.raulsiles.com Ponente
  • 3. Honeynets - © 2007 Raúl Siles 3 • Detección y respuesta ante incidentes en la actualidad • Logs, logs y más logs • Sun Tzu • Honeynets, conoce a tu enemigo • Demostraciones prácticas: –Walleye & Sebek Índice
  • 4. Honeynets - © 2007 Raúl Siles 4 Detección y respuesta ante incidentes 2007 DMZ IDS AV Perímetro VPNs Clientes remotos Clientes FW
  • 5. Honeynets - © 2007 Raúl Siles 5 Un ejemplo de incidente… • Llamada a las 20:30 un martes • Cliente multinacional con múltiples sedes en España • Varios ficheros críticos borrados en un entorno Unix • Ocurrió a primera hora de la mañana (¡hace 12 horas!) • Impacto crítico en el negocio • ¿Qué podemos hacer?
  • 6. Honeynets - © 2007 Raúl Siles 6 … resolución del incidente
  • 7. Honeynets - © 2007 Raúl Siles 7 ¿Qué es necesario para investigar los incidentes?
  • 8. Honeynets - © 2007 Raúl Siles 8 Logs, logs y más logs • Firewalls & Concentradores VPN & Proxies • IDS/IPS: red, sistemas & herramientas de integridad de ficheros • Sistemas: servidores, clientes, portátiles, PDAs… • Dispositivos de red: routers, switches, puntos acceso, AAA… • AV/AntiSpyware: cliente & servidor • Wireless IDS, bluetooth, móviles, blackberries… • Infraestructura PBX & VoIP • Aplicaciones: Web, CRM, ERP, propias… • Bases de datos • … Correlación: Syslog o SIM o SEM o …
  • 9. Honeynets - © 2007 Raúl Siles 9 Resumen Avances en los ataques Complejidad SIC Detección y respuesta ante incidentes Honeynets
  • 10. Honeynets - © 2007 Raúl Siles 10 Sun Tzu • Vivió en el 544-496 AC • China • General militar, mercenario, aristócrata • “Maestro del sol” • Libro: “The Art of War” http://www.gutenberg.org/etext/132 (Traducción de 1910, Lionel Giles)
  • 11. Honeynets - © 2007 Raúl Siles 11 Sun Tzu - "The Art of War" "If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle."
  • 12. Honeynets - © 2007 Raúl Siles 12 Honeynets
  • 13. Honeynets - © 2007 Raúl Siles 13 Honeynets
  • 14. Honeynets - © 2007 Raúl Siles 14 ¿Porqué se llaman Honeynets? Crimen organizado Atacante €, $… Phising Botnets DDoS Víctima SPAM …
  • 15. Honeynets - © 2007 Raúl Siles 15 Honeynets: Principios • Definición de Honeynets / Honeypots: Recurso de seguridad cuyo valor se basa en el uso no autorizado o malicioso del mismo • Solución y tecnología de seguridad para la captura de información • Detección, análisis y respuesta ante incidentes de seguridad • Aprender las herramientas, tácticas y motivaciones de la comunidad blackhat • Compartir las lecciones aprendidas Mejorar la seguridad del entorno de IT
  • 16. Honeynets - © 2007 Raúl Siles 16 Honeynets: Detalles • Simular y/o replicar los entornos de producción • Responder a las 5+1 W’s de los incidentes de seguridad: What, where, when, who, why + How • Niveles: – Control de datos (Data Control) – Captura de datos (Data Capture) – Análisis de datos (Data Analysis) • Reducido valor directo en la protección de redes y sistemas
  • 17. Honeynets - © 2007 Raúl Siles 17 Honeynets: Ventajas • Cualquier tráfico es ilegítimo por naturaleza • Detectar nuevos ataques (0-day ) • Notificación temprana de incidentes • Reducir el número de falsos positivos • Gestionar los innumerables logs recolectados (si tienes suerte… ) • Entrenar al equipo de respuesta ante incidentes y análisis forense
  • 18. Honeynets - © 2007 Raúl Siles 18 Honeynets: Leyes • Aspectos legales: –Responsabilidades: daños colaterales –Monitorización de datos: cabeceras frente a contenido –Evidencias forenses • ¿Realidad?
  • 19. Honeynets - © 2007 Raúl Siles 19 Honeynets: Tipos • Nivel de interacción: alto o bajo • La mejor opción depende de los objetivos de la Honeynet • Alto: aplicaciones o sistemas reales (o virtuales) • Bajo: software de emulación –Nepenthes, Honeyd, Honeytrap
  • 20. Honeynets - © 2007 Raúl Siles 20 The Honeynet Project “Promote honeynet technologies to improve Internet security” • Lance Spitzner, 1999 • Enseñar, informar, investigar: Security challenges, tools, papers… • The Honeynet Research Alliance http://www.honeynet.org
  • 21. Honeynets - © 2007 Raúl Siles 21 Spanish Honeynet Project • Fundado en el verano de 2004 • Objetivos • SotM 32 - RaDa • Número de miembros actual: 4 • Honeynets: W2K3, SPAM, WiFi… http://www.honeynet.org.es
  • 22. Honeynets - © 2007 Raúl Siles 22 Conoce a tu enemigo • ¿Cómo podemos defendernos del enemigo, cuando ni siquiera sabemos quién es? • KYE: Know Your Enemy • Objetivo: “Compartir las lecciones aprendidas” • Whitepapers: KYE & individual • KYE Book, 2nd Ed http://www.honeynet.org/papers/index.html
  • 23. Honeynets - © 2007 Raúl Siles 23 Evolución de los ataques: pasado • Comunicaciones mediante túneles IPv6 (2002) • Extorsión en Internet mediante DDoS (2003) • Fraude automático de tarjetas de crédito (2003) • Honeynets en universidades (2004) • Botnets: SPAM, DoS (2005) • Phising (2005)
  • 24. Honeynets - © 2007 Raúl Siles 24 Evolución de los ataques: futuro • Ataques en aplicaciones Web (2007) – GHH - The "Google Hack" Honeypot • Ataques en clientes (durante 2007) • Ataques a sistemas SCADA • Procesado de ataques dinámico: – Conexiones a puertos arbitrarios y emulación y análisis de shellcode • Global Distributed Honeynet (GDH) • Otros… 
  • 25. Honeynets - © 2007 Raúl Siles 25 Honeynets servidor y cliente • Honeynets servidor: esperar a recibir los ataques • Honeynets cliente: ir en busca de ser atacado, simulando las acciones de los usuarios – Capture-HPC (alta interacción, VM & IE) – HoneyC (baja interacción, firmas) – MS HoneyMonkeys – McAfee SiteAdvisor (IE and Firefox) – Honeyclient
  • 26. Honeynets - © 2007 Raúl Siles 26 Generaciones de Honeynets • Gen I – Arquitectura con Data Control y Data Capture • Gen II – Mejoras: –Bridge a nivel 2, filtrado, sistema de alertas, Sebek v2.x, basado en CD- ROM • Gen III – Data Analysis GenI (1999) – GenII (2002) – GenIII (2005) – Kanga 2007
  • 27. Honeynets - © 2007 Raúl Siles 27 Honeywall CD-ROM • Punto de entrada/salida a la Honeynet (gateway) • Solución todo en uno • Fácil de implantar y gestionar • Basado en un único CD-ROM • Versiones: Eeyore y Roo Eeyore (Mayo 2003) – Roo (Mayo 2005) – Roo 1.2 (2007) http://www.honeynet.org/tools/cdrom/
  • 28. Honeynets - © 2007 Raúl Siles 28 Subsistemas del Honeywall Data Control Iptables Rate-limitting Snort-inline Data Analysis MySQL Argus + Hflow Swatch (alerts) Walleye Data Capture Iptables logs Snort alerts p0f Hpots Sebek Tcpdump
  • 29. Honeynets - © 2007 Raúl Siles 29 Internet No Restrictions No Restrictions Honeypot Honeypot Data Control Internet Honeywall Honeypot Honeypot No Restrictions Connections Limited Packet Scrubbed
  • 30. Honeynets - © 2007 Raúl Siles 30 Data Capture • Logs del firewall (iptables) • Alertas del IDS (Snort) • Identificación pasiva de SO (p0f) • Captura avanzada de datos (Sebek) • Tráfico de red (tcpdump) • Alertas del IPS (Snort-inline)
  • 31. Honeynets - © 2007 Raúl Siles 31 Data Analysis • Correlación de información en una base de datos MySQL • Información de flujos de tráfico y relaciones (Argus + Hflow) • Logs del firewall & alertas del IDS (Swatch) • Interfaz gráfico Web (Walleye)
  • 32. Honeynets - © 2007 Raúl Siles 32 El problema del análisis de datos • Lecciones aprendidas: • Solución: Walleye https://IP_HoneyWall/walleye.pl “… necesidad de disponer de una herramienta de análisis de datos potente y fácil de usar.”
  • 33. Honeynets - © 2007 Raúl Siles 33 Capacidades de Walleye • Administración del sistema: – Estado del sistema y administración del SO – Administración y configuración del Honeywall – Gestión de usuarios y reglas de Snort • Análisis de datos:
  • 34. Honeynets - © 2007 Raúl Siles 34 Walleye: múltiples vistas • Estadísticas de tráfico • Detalles de flujos de tráfico • Alertas del IDS • Información avanzada de las actividades en el sistema –Procesos en ejecución –Actividades detalladas de cada proceso
  • 35. Honeynets - © 2007 Raúl Siles 35 Walleye: análisis de datos
  • 36. Honeynets - © 2007 Raúl Siles 36 • Captura del tráfico de red: Ethereal – “Follow TCP Stream” • ¿Cómo superar el uso de cifrado? (SSH, SSL, IPSec…) • No es posible sino se tiene la clave hasta que apareció… El problema de la captura de datos ¿Cómo capturar las actividades de los atacantes sin que lo sepan?
  • 37. Honeynets - © 2007 Raúl Siles 37 • Herramienta de captura de datos • Permite visualizar incluso tráfico cifrado sin disponer de la clave • Monitorización de teclas pulsadas • Similar a un rootkit de kernel: – LKM – Linux, Solaris, *BSD… – Driver de Kernel - Windows Sebek http://www.honeynet.org/tools/sebek/
  • 38. Honeynets - © 2007 Raúl Siles 38 Sistema de comunicación de Sebek
  • 39. Honeynets - © 2007 Raúl Siles 39 • Sebek permite capturar los datos tecleados por el atacante, pero … • El parche permite capturar también la respuesta recibida por el atacante (llamada al sistema “write”) Parche “write” para Sebek
  • 40. Honeynets - © 2007 Raúl Siles 40 Monitorización con Sebek “write” Comandos del atacante Respuesta recibida
  • 41. Honeynets - © 2007 Raúl Siles 41 Siguientes pasos y usos… • Análisis forense de sistemas • Análisis forense de tráfico de red • Recolección y análisis de malware • Probar el plan de respuesta ante incidentes (CERTs) • Sistemas de notificación de alertas tempranas • Firmas de AV, SPAM, RBL…
  • 42. Honeynets - © 2007 Raúl Siles 42 Despliegue de Honeynets DMZ IDS AV Perímetro VPNs Clientes remotos Clientes FW
  • 43. Honeynets - © 2007 Raúl Siles 43 Honeytérminos • Honeypot • Honeynet • Honeywall • Honeyclient (Honeymonkey) • Honeystick • Honeytoken
  • 44. Honeynets - © 2007 Raúl Siles 44 Demostraciones prácticas Atacante Honeywall Honeypot(s) Honeynet Red gestión Sistema de gestión Atacante Control de datos Captura de datos Análisis de datos
  • 45. Honeynets - © 2007 Raúl Siles 45 Formación en Honeynets • SANS Institute • Security 554: Honeynets • Curso de 1 día (2007) • Sesiones pasadas en España, Londres y USA en 2006 http://www.sans.org/staysharp/description.php?tid=354
  • 46. Honeynets - © 2007 Raúl Siles 46 ¡Muchas gracias! • The Honeyney Project http://www.honeynet.org • Spanish Honeyney Project http://www.honeynet.org.es • Raul Siles http://www.raulsiles.com