2. Qué es un honeypot
Un honeypot es un sistema de seguridad
informatica ,diseñado como una trampa que se
utiliza para identificar, evitar y, en cierta medida,
neutralizar los intentos de infiltrarse en sistemas y
redes de información.
Generalmente un honeypot puede ser una
computadora o un sitio de red que parecen ser
parte de una red pero que en realidad están
aislados, protegidos y monitorizados, y que
parecen contener información o recursos que
serían valiosos para los posibles atacantes.
3. Funciones de un honeypot
Desviar la atención del atacante de la red real del
sistema, de manera que no se comprometan los
recursos principales de información
Capturar nuevos virus o gusanos para su estudio
posterior
Formar perfiles de atacantes y sus métodos de
ataque preferidos, de manera similar a la usada por
una corporación policiaca para construir el archivo de
un criminal basado en su modus operandi.
Conocer nuevas vulnerabilidades y riesgos de los
distintos sistemas operativos, entornos y programas
las cuales aún no se encuentren debidamente
documentadas
4. Clasificación de los honeypots
Los Honeypots se pueden clasificar de acuerdo
a dos criterios: Según su ambiente de
implementación y según su nivel de interacción.
5. Honeypots según su Ambiente de
Implementación
Bajo esta categoría podemos definir dos tipos de Honeypots: Para
la producción y para la investigación.
Honeypots para la Producción: Son aquellos que se utilizan para
protegera las organizaciones en ambientes reales de operación.
Honeypots para la Investigación: Estos Honeypots no son
implementados con la finalidad de proteger redes, sino que
constituyen recursos educativos de naturaleza demostrativa y de
investigación cuyo objetivo se centra en estudiar patrones de
ataque y amenzas de todo tipo. Gran parte de la atención actual
se centra en los Honeypots para la investigación, que se utilizan
para recolectar información sobre las acciones de los intrusos.
6. Honeypots según su Nivel de
Interacción
Honeypots de Baja Interacción:
Normalmente, éstos Honeypots trabajan únicamente
emulando servicios y sistemas operativos.
La ventaja de un Honeypot de Baja Interacción radica
principalmente en su simplicidad, ya que estos tienden a ser
fáciles de utilizar y mantener con un riesgo mínimo.
Honeypots de Alta Interacción:
Este tipo de Honeypots constituyen una solución compleja,
ya que implica la utilización de sistemas operativos y
aplicaciones reales montados en hardware real sin la
utilización de software de emulación e involucrando
aplicaciones reales que se ejecutan de manera normal,
muchas veces en directa relación a servicios como bases
de datos y directorios de archivos compartidos.
7. Honeyd
Honeypot de codigo abierto que permite crear o
simular multiples honeypots virtuales incluso
puede simular hasta una red.
Permite configurar host virtuales como diferentes
tipos de servidores con sus respectivos sistemas
operativos
Su interfaz es basada en linea de comandos y
archivos de configuraciones
Sitio oficial www.honeyd.org
10. Creando honeypots con honeyd
Creando un maquina virtual /etc/honeypot/honeyd.conf
create template
set template personality "Microsoft Windows XP Professional SP1"
set template uptime 1728650
set template maxfds 35
# For a complex IIS server
add template tcp port 80 "sh /usr/share/honeyd/scripts/win32/web.sh"
add template tcp port 22 "/usr/share/honeyd/scripts/test.sh $ipsrc $dport"
add template tcp port 23 proxy $ipsrc:23
add template udp port 53 proxy 141.211.92.141:53
set template default tcp action reset
11. Creando honeypots con honeyd
Creando un router virtual /etc/honeypot/honeyd.conf
create router
set router personality "Cisco 1601R router running IOS 12.1(5)"
set router default tcp action reset
add router tcp port 22 "/usr/share/honeyd/scripts/test.sh"
add router tcp port 23 "/usr/share/honeyd/scripts/routertelnet.pl"
12. Poniendo en marcha el honeyd
sudo route n add net 10.0.0.0/8 lo
sudo honeyd d p /etc/honeypot/nmap.prints f /etc/honeypot/honeyd.conf i lo
10.0.0.0/8
#comandos nmap
#para ver todos los host conectados a la red 10.3.1.0/24
nmap sP 10.3.1.0/24
#para ver puertos abiertos del host 10.3.1.11
sudo nmap sS 10.3.1.11
#para ver el SO del host 10.3.1.11
sudo nmap O 10.3.1.11