Es una táctica usada para la seguridad en la red, consta de vulnerabilidades intencionadas con el fin de que un probable intruso pueda atacar, así las actividades o métodos que usa un atacante pueden ser registradas y posteriormente ser analizadas y estudiadas.

1. HONEYNET.
Karen Santos Reyes (1)
Facultad de Sistemas Y Telecomunicaciones,
Universidad Estatal Península de Santa Elena.
La Libertad – Ecuador
santos.reyes.k@gmail.com (1)
dquirumbay@upse.edu.ec
Comunicaciones II
Resumen
Es una táctica usada para la seguridad en la red, consta de vulnerabilidades intencionadas con el fin de que un probable
intruso pueda atacar, así las actividades o métodos que usa un atacante pueden ser registradas y posteriormente ser
analizadas y estudiadas. Honeynet se trata de una red completa y compleja de sistemas informáticos que soportan
estos tipos de ataques para conseguir una mayor seguridad en la red.
Palabras Claves: honeynet, red, trampa, ataque, virualizado.

2. 1
1. Introducción.
La tecnología ha tenido una gran
repercusión durante los últimos años,
especialmente en el ámbito de la
informática, es por eso que se han ido
incrementando los ataques informáticos a
través del Internet.
Estos tipos de ataques tienen mayor
impacto puesto que vienen acompañado
de nuevas herramientas informáticas que
son usadas por usuarios mal
intencionado, permitiendo que sus
conocimientos puedan ir mejorando en
cuanto a técnicas utilizadas para vulnerar
los distintos sistemas informáticos.
2. Definición de Honeynet.
Es una herramienta de seguridad (red
compleja de sistemas) diseñada para ser
sondeada, atacada y comprometida por
un hipotético intruso. Se trata de una red
completa, compuesta por un conjunto de
sistemas (Honeypots*) dispuestos a
recibir estos ataques y una serie de
mecanismos encargados de la
monitorización, el registro y el control de
estas acciones.[1]
2.1. Honeypots
Honeypot es un recurso que aparenta ser
un blanco real, cuyo objetivo es que éste
sea atacado. Sirve para obtener
información sobre el ataque y el intruso
(atacante).
[2]Su funcionamiento está basado en tres
conceptos:
 Honeypot no es un sistema de
producción y, por tanto, nadie
debería tratar de comunicarse con
él. No habrá falsos positivos.
 Cualquier tráfico que tenga por
destino el honeypot será
sospechoso de ser un sondeo o un
ataque.
 Cualquier tráfico que tenga por
origen el honeypot significará que
el sistema ha sido comprometido.
2.1.1. Ventajas.
Como se ha mencionado
anteriormente, un honeypot tiene
como objetivo detectar intrusiones o
prevenir ataques, siendo de gran
utilidad para:
 Desalentar al atacante haciendo
que pierda su tiempo en entrar a
un sistema que no encontrará
información que le resulte de
provecho. Durante ese intervalo
de tiempo se puede captar
información, aprender sus
técnicas y así poder proteger los
sistemas reales de producción.
 En lo que se refiere a su capacidad
de detección de intrusiones, estas
herramientas están diseñadas para
detectar y recopilar información
detallada sobre los ataques que
vayan dirigidos contra los
servicios que ofrecen.[2]
 Pueden utilizarse para la captura y
el análisis de intrusiones con la
finalidad de aprender las distintas
técnicas y herramientas que
utilizan los atacantes para llevar a
cabo sus acciones, y para
descubrir las vulnerabilidades
buscadas por los intrusos y los
motivos que les lleva a tratar de
atacar el sistema.

3. 2
2.1.2. Desventajas.
 Solo reaccionan ante ataques
dirigidos contra este recurso
(honeypot).
 Implementar y darle
mantenimiento a esta herramienta
demanda mucho tiempo y es
compleja.
2.1.3. Riesgos.
 Sobre el sistema operativo que
está operando el honeypot puede
verse comprometido en su
seguridad.
 El software que implemente el
honeypot puede presentar
vulnerabilidades.
 Existe un mayor riesgo, cuando su
nivel de interacción es alta.
3. Características de un Honeynet.
 Un honeynet es un tipo de
honeypot, pero dedicado a la
investigación y sobre todo para
recoger información de las
amenazas. Es una red formada por
varios sistemas y aplicaciones,
pudiendo usar varios sistemas al
mismo tiempo tales como Solaris,
Linux, Windows NT, router
CISCO, etc.[3]
 Teniendo la ventaja de usar
diferentes sistemas operativos, se
pueden aprender diferentes
tácticas y sobre todo poder
conocer las posibles
vulnerabilidades a las que se está
expuesto. De esta manera también
es posible poder detectar el perfil
del atacante y deducir sus
tendencias e intereses.[4]
 Una de sus características, es
mejorar la seguridad de Internet
mediante el intercambio de
lecciones aprendidas acerca de las
amenazas más comunes.[1]
 Capturar nuevas herramientas de
hacking, gusanos, malware,
etc.[5]
Para entender mejor el objetivo de un
honeynet se puede determinar el
siguiente ejemplo:
Las organizaciones pueden utilizar
Honeynets para comprobar y
desarrollar su capacidad de Respuesta
ante Incidentes. Las ventajas que se
obtienen analizando estos sistemas
comprometidos es que se obtienen la
mayoría de las respuestas. Puede
tratar el sistema comprometido como
un 'reto', donde comprobará sus
habilidades para determinar qué pasó
utilizando diversas técnicas forenses.
Entonces puede comparar estos
resultados con los datos capturados
dentro de la Honeynet.[3]
4. Requisitos para construir
Honeynet.
Para construir su Honeynet de forma
satisfactoria, hay dos requisitos
críticos; Control de Datos y Captura
de Datos. Si hay algún fallo en
cualquier requisito, entonces hay un
fallo en la Honeynet. Las Honeynets
pueden construirse y desarrollarse en
cantidad de maneras diferentes, de
forma que dos Honeynets nunca son
iguales. A pesar de esto, todas deben
reunir los requisitos sobre Control de
Datos y Captura de Datos.[3]
El control de datos, se refiere a una
actividad de contención, se espera
que una vez vulnerado el honeypot,

4. 3
éste no pueda dañar cualquier otro
sistema que no se la Honeynet.
En cuanto a la captura de datos,
consiste principalmente en poder
registrar todo lo que realiza el
atacante, estrategias o herramientas.
El Honeynet Project ha creado un
documento que define estos tres
requisitos extensa y detalladamente.
El propósito del documento es dar a
las organizaciones la flexibilidad para
construir una honeynets adaptada a su
entorno y objetivos. Sin embargo, el
documento asegura que las honeynets
son desarrolladas con eficiencia y
seguridad, permitiendo la interacción
de diferentes honeynets.[3]
5. Arquitectura.
El mencionado Honeynet Project, que
es una organización dedicada a la
investigación de estos atracos, ha
determinado distintos requisitos,
puesto que no existe una
estandarización clara para su
implementación. Por eso, en esta
ponencia se lo dividirá en dos
secciones que son: Honeynet de
primera generación y Honeynet de
segunda generación.[2]
5.1. Honeynet De Primera Generación.
Las tecnologías usadas en la primera
generación fueron utilizadas desde
1991 al 2001 y fueron relevantes en la
redacción de los documentos en
“Know your enemy”.
Su propósito trató de implementar el
Control de Datos y la Captura de
Datos con medidas simples pero
eficaces.
Cuando no se ha desarrollado un
Honeynet, es importante conocer
estas herramientas de la primera
generación, ayudan a entender su
funcionalidad aunque se puede estar
expuestos a fallas o riesgos.
La tarea del control del intruso se
realiza de forma conjunta entre el
cortafuegos y el router.[2]
El cortafuegos es un filtro de paquetes
a nivel de red que constituye el nexo
de unión entre el interior de la
honeynet e Internet y divide la propia
honeynet en dos segmentos de red:
uno de honeypots y otro
administrativo que contiene el
servidor remoto de logs y el sistema
detector de intrusiones. Está
configurado para permitir cualquier
conexión desde el exterior de la
honeynet a la red de honeypots,
proteger los equipos de la subred
administrativa y controlar las
conexiones que se traten de establecer
desde los honeypots hacia el
exterior.[2]
Para el control de intruso se van a
contar los intentos de conexión desde
cada honeypot hacia cualquier equipo
del exterior de la honeynet, de tal
forma que, si se supera cierto umbral,
se bloqueará cualquier siguiente
intento.[2]

5. 4
5.2. Honeynet de Segunda Generación.
La segunda generación fue
desarrollada en el año 2002, después
de determinar los errores producidos
por la primera generación. Más allá
de los errores, se detectaron varios
problemas que impedían que dichos
ataques sean controlados de manera
adecuada.
Entonces, con la llegada de la
segunda generación, se pudo mejorar
y así crear soluciones que sean más
fácil de desarrollar pero más difícil de
detectar. Para el control de datos se
ofrece al agresor altas posibilidades
para interactuar con los sistemas,
teniendo mayor control sobre sus
propias actividades. [3]
Se espera que al darle al agresor más
flexibilidad en sus acciones,
especialmente en conexiones
salientes, podamos recoger mayor
información de ellas. Esto se
consigue creando una respuesta más
inteligente y flexible a las acciones
del blackhat.[3]
En la segunda generación el firewall
trabaja en capa dos; en modo
BRIDGE y controla todo el tráfico de
entrada y salida de la Honeynet
haciendo su detección más difícil.[2]
Otra característica de esta generación
es la utilización de un IPS (Intrusion
Prevention System) en el gateway.
Un IPS trabaja de manera similar a un
IDS, sólo que éste tiene la capacidad
de bloquear el tráfico e incluso de
modificarlo. Si el intruso intenta
lanzar un ataque en contra de un
equipo fuera de la Honeynet, el IPS
podría detectar y eliminar la amenaza.
Sin embargo el IPS trabaja con firmas
de ataques conocidos, tal y como lo
hace un IDS, de manera que los
ataques desconocidos serán
ignorados por este medio; es por ello
que se conjunta con el control de
conexiones al exterior desde los
Honeypots, en el firewall.[6]
6. Honeynets Virtuales.
Este tipo de redes virtuales no
representan una nueva generación,
incluso estas redes virtuales trabajan
bajo los mismos principios de las
Tabla 1. Honeynet de
Primera Generación.
Tabla 2. Honeynet de
Segunda Generación.

6. 5
redes de primera y segunda
generación. Sin embargo existe una
serie de cualidades que las diferencia,
entre ellas:
 Utiliza una sola maquina física,
pues ella funciona como
anfitriona de toda la red virtual.
En este aspecto se disminuye el
coste del hardware y el espacio
requerido por la honeynet.[2]
 El hecho de que todo se ejecute en
un único equipo convierte una
honeynet en una solución “plug-
and-play”.[2]
 La utilización de software de
virtualización limita la variedad
de sistemas operativos que
puedan constituir una honeynet a
los soportados por la herramienta.
Así mismo, para la generación de
la red virtual solo se podrán
utilizar aquellos componentes de
red que la herramienta de
virtualización sea capaz de
simular, que generalmente serán
switches.[2]
7. Conclusiones.
En este documento se ha redactado
las principales funciones de una
honeynet, que quiere decir una red de
trampa pues se tiene como objetivo
poder capturar el mayor número de
ataques o tácticas y estudiarlas.
Para lograr este objetivo, es necesario
hacer uso de diferentes herramientas
y procesos que ayuden a que nuestra
red sea más segura.
Honeynet, se la puede definir como
un sistema orientado a la
investigación y capturar puntos
débiles de la red.
8. Recomendaciones.
En las herramientas usadas, tanto
como los de primera y segunda
generación han ido mejorando, pero
como todo sistema, hay que estar
alertas a fallas.
Este tipo de sistemas sirven para las
empresas que deseen poner a prueba
su seguridad en red y planes de
contingencias.
9. Bibliografía.
[1] E. M. Palacios, “Honeynet.” [Online].
Available:
http://es.slideshare.net/lalineitor/hone
ynet. [Accessed: 02-Aug-2015].
[2] E. Gallego and J. E. L. De Vergara,
“Honeynets : Aprendiendo del
Atacante.”
[3] “Conoce a tu enemigo: Honeynets.”
[Online]. Available:
http://his.sourceforge.net/honeynet/pa
Tabla 3. Honeynet Virtual

7. 6
pers/honeynet/. [Accessed: 02-Aug-
2015].
[4] “What is honeynet? - Definition from
WhatIs.com.” [Online]. Available:
http://searchsecurity.techtarget.com/d
efinition/honeynet. [Accessed: 02-
Aug-2015].
[5] “Honeypots (parte 1).” [Online].
Available:
http://www.fing.edu.uy/inco/grupos/g
si/documentos/diapos-ssi/honeypots-
intro-ssi.pdf. [Accessed: 02-Aug-
2015].
[6] “Introduccion a las Honeynets,” pp.
1–12.