Este documento describe las características y clasificaciones de los honeypots y honeynets. Explica que los honeypots son recursos de red comprometidos que sirven como señuelos para capturar eventos de ataques. También describe las clasificaciones de honeypots de producción y de investigación, así como las ventajas de usar honeynets virtuales que permiten simular múltiples sistemas operativos en un solo host.
1. HONEYNETS PARA DAR LUZ A
PERFILES DE ATACANTES
Katherine Cancelado @eepica
Andres Morantes @poterpig
2. HONEYPOTS
● Son recursos de red, como servidores,
aplicaciones o servicios comprometidos que
sirven como señuelos para ser atacados y
poder capturar eventos.
3. HONEYPOTS
CARACTERISTICAS
– Necesitan poco recurso de red, y recurso de
maquina.
– Son usados para la recolección de datos de
un objetivo específicamente, como un
sistema operativo comprometido, una
aplicación comprometida, etc
– Disminuye la cantidad de falsos positivos.
– Generan riesgos muy altos para la red, los
atacantes pueden usar estos honeypots en
contra de la red.
4. HONEYPOTS
MITOS Y REALIDADES
– Una Honeypot no es un IDS
– Nos ayuda a recolectar información de
personas mal intencionadas
– No es un recurso que ayuda a proteger la
red.
– No hará que un atacante se fije en su red.
5. HONEYNET
Red de honeypots que se caracterizan por
una alta interacción simulando una
arquitectura de red con servicios y
aplicaciones .
6. CLASIFICACION
● Producción
– Compromiso alto
– Compromiso medio
– Compromiso bajo
● Investigación
– Emulación y virtualizacion
– Hipervirtualizacion
12. HONEYNETS VIRTUALES
● La idea de la creación de Honeynets
virtuales es poder tener múltiples Honeypots
dentro de un mismo anfitrión.
– Ventajas:
● Múltiples Sistemas Operativos corriendo bajo
un mismo host
● Generan un gran volumen de información
bajo una zona controlada.
● Mayor flexibilidad en el uso de honeypots
● Disminución de costos en la creación de
Honeypots
13. HONEYNETS VIRTUALES
– Desventajas:
● Podría ser fácil detectar un escenario virtual
para un atacante.
● Podría disminuir la interacción entre el
atacante y la Honeynet.
14. HONEYNETS VIRTUALES
TIPOS DE HONEYNET VIRTUALES QUE SE
PUEDEN CREAR.
● Simulación
● Virtualización Completa y Nativa
● Hypervirtualización o Paravirtualización
15. HONEYNET VIRTUALES
● Simulación: es capaz de simular una maquina completa, con
características especiales, por ejemplo ram, procesador tarjeta de
vídeo,etc.
Quemu: es un emulador de procesadores basado en la traducción
dinámica de binarios (conversión del código binario de la arquitectura
fuente en código entendible por la arquitectura huésped).
VENTAJAS
● Opensource
● Multiarquitectura: x86, x86-64, PowerPC, MIPS,
SPARC, etc.
DESVENTAJAS
● Es un poco mas lento que los simuladores
tradicionales
16. HONEYNETS VIRTUALES
● VIRTUALIZACION
Simulación de múltiples sistemas operativos
que se ejecutan desde una sola maquina
anfitriona.
● Virtualizacion Completa
● Virtualizacion Nativa
17. HONEYNETS VIRTUALES
Virtualización Completa:
La maquina virtual simula poseer distintos tipos
de hardware para ser detectados dentro de un
Sistema Operativo aislado virtualizado.
Ejemplos:
● Vmware
● Virtualbox
● Openvz
●
18. HONEYNETS VIRTUALES
Virtualización Nativa:
Es aquella virtualización que toma recursos
de la máquina anfitriona combinándolo con
la virtualización, esto gracias a los nuevos
procesadores AMD-V, Intel-VT.
● Ejemplos:
– Virtualbox
– Vmware Workstation
– Vmware Server
– KVM-Quemu
19. HONEYNETS VIRTUALES
Hypervirtualización
– Llamado así por su plataforma de
virtualización Hypervisor (en ingles) el cual
permite usar múltiples sistemas operativos
en un mismo host anfitrión
21. HONEYNETS
HONEYWALL
Proyecto que se dedica al estudio de honeynets de
alta interacción. Este proyecto reúne una gran
información, códigos fuentes y documentación
para el estudio del mismo. Posee además de esto
una recolección de herramientas para la creación
y estudio de honeynets recopiladas en un CDROM
llamado Honestar.
27. HONEYD
● Es un demonio que permite la creación de
múltiples host que simulando una red, con
múltiples vulnerabilidades, entre sus
características se destacan sus mecanismos
para detección y análisis de amenazas.
28. MWCOLLECT
● Es un interesante proyecto que actualmente
esta conformado por Nephentes y
Honeytrap.
– Nephentes: Herramienta para captura de
malware por medio de la simulación de
vulnerabilidades, actúa pasivamente.
– Honeytrap: Honeypot de baja interacción,
especializado en la observación de
servicios TCP
29. IDS
● Intrusion Detection System:
– Modelo o recurso de seguridad, que
recolecta y analiza información recolectada
de espacios de red o hosts específicos de
la misma, con el fin de identificar posibles
fallos de seguridad.
– Tipos de IDS
● HIDS: Host IDS
● NIDS: Network IDS
– Signature based NIDS
– Anomaly based NIDS
– Protocol modeling NIDS
30. IPS
● Intrusion Prevention System:
– Dispositivo (Hardware o Software) cuyo
objetivo es detectar ataques conocidos o
no conocidos y reaccionar ante ellos,
impidiendo el éxito de los mismos, la cual
es su característica principal.
– Podrían considerarse la evolución de
sistemas como Firewall y los anteriormente
nombrados IDS.
33. REFERENCIAS
● Experiencias de Virtualización en CICA, Juan Carlos Rubio Pineda,
http://www.slideshare.net/jcrubio/virtualizacion-1607987
● Honeypots, herramientas forenses para trazar perfiles del enemigo,
Armando Carvajal,
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSegu
● Linux virtualization and PCI passthrough,
http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/
● Virtualizacion All plataforms,
http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/
● Proyecto
Honeynet,http://www.ibm.com/developerworks/linux/library/l-pci-
passthrough/
● Libro Seguridad en Redes IP, Gabriel Verdejo Alvarez