Autor: Diego Jurado
Buenos días hackers!
En el día de hoy os traemos un tema muy interesante y que está muy de moda y no es otro que el de los sistemas señuelos, conocidos comúnmente como honeypots. Trataremos de dar una introducción clara y concisa para más adelante poder exponer un análisis más exhaustivo.
¿Que es un Honeypot?
Un honeypot (en inglés "tarro de miel") es un sistema muy flexible dentro de la seguridad informática, que se encarga de atraer y analizar el comportamiento de los atacantes en internet, y que provee al informático forense de una información extremadamente valiosa.
Y os preguntareis, ¿para que puede querer una persona atraer atacantes a sus propio sistema? , esto puede resultar muy contradictorio, pero lo que se busca con esta implementación es capturar todo el tráfico de red entrante y conocer todos los detalles acerca de las tendencias y metodologías de ataque de los atacantes así como los fallos de seguridad en nuestra red con el fin de subsanarlos.
Los honeypots pueden ejecutarse bajo cualquier sistema operativo y bajo cualquier servicio. Los servicios configurados determinan los vectores de ataque disponibles para que el intruso comprometa y ponga a prueba el sistema.
Finalidad de los Honeypots
Estas son algunas de las posibilidades que nos ofrecen los honeypots:
Clasificación de Honeypots
Los honeypots se clasifican según su implementación (virtuales o físicas) y su nivel de interacción (baja, media, alta).
SEGÚN SU IMPLEMENTACIÓN:
Tipos de Honeypots
En el día de hoy os traemos un tema muy interesante y que está muy de moda y no es otro que el de los sistemas señuelos, conocidos comúnmente como honeypots. Trataremos de dar una introducción clara y concisa para más adelante poder exponer un análisis más exhaustivo.
¿Que es un Honeypot?
Un honeypot (en inglés "tarro de miel") es un sistema muy flexible dentro de la seguridad informática, que se encarga de atraer y analizar el comportamiento de los atacantes en internet, y que provee al informático forense de una información extremadamente valiosa.
Y os preguntareis, ¿para que puede querer una persona atraer atacantes a sus propio sistema? , esto puede resultar muy contradictorio, pero lo que se busca con esta implementación es capturar todo el tráfico de red entrante y conocer todos los detalles acerca de las tendencias y metodologías de ataque de los atacantes así como los fallos de seguridad en nuestra red con el fin de subsanarlos.
Los honeypots pueden ejecutarse bajo cualquier sistema operativo y bajo cualquier servicio. Los servicios configurados determinan los vectores de ataque disponibles para que el intruso comprometa y ponga a prueba el sistema.
Finalidad de los Honeypots
Estas son algunas de las posibilidades que nos ofrecen los honeypots:
- Desviar y distraer la atención del atacante.
- Detectar y aprender nuevas vulnerabilidades.
- Obtener información sobre el atacante (geolocalización, ip,puertos,etc).
- Obtener tendencias de ataque y paises más atacados.
- Detectar nuevas muestras de malware que aún no se conozcan.
- Recopilar y estudiar tendencias de ataque
Clasificación de Honeypots
Los honeypots se clasifican según su implementación (virtuales o físicas) y su nivel de interacción (baja, media, alta).
SEGÚN SU IMPLEMENTACIÓN:
- Para producción: Al implementar un honeypot en una red de producción, el objetivo principal es la obtención de información sobre técnicas empleadas para tratar de vulnerar los sistemas que componen dicha infraestructura.
- Para investigación: Por otro lado, en este caso los honeypots constituyen recursos educativos de naturaleza demostrativa cuyo fin es recopilar la mayor cantidad de información que permita al investigador poder analizar las nuevas tendencias y métodos de ataque así como los distintos objetivos atacados y orígenes de los ataques.
SEGÚN SU INTERACCIÓN:
- Alta interacción: Este tipo de honeypots se trata de un sistema convencional,construidos con máquinas reales como el que podría utilizar cualquier usuario. Se sitúan generalmente en la red interna en producción y no tiene más utilidad que la de ser atacados, lo cual significaría que el sistema está mal configurado.
Cada interacción con este honeypot se considera sospechosa por definición, y todo el tráfico debe ser monitorizado y almacenado en una zona segura de la red a la que un potencial atacante no tenga acceso.
- Baja interacción: Este tipo suele ser creado y gestionado por organizaciones dedicadas a la investigación de acciones fraudulentas en la red, con la cual se investiga acerca de nuevas amenazas en la red. Son más fáciles de utilizar y mantener, con un riesgo prácticamente nulo.
Esta implementación se basa por lo general en una instalación de software de emulación de sistema operativo, utilizando herramientas conocidas como VMware o Virtual Box.
Estos son algunos de los honeypots más conocidos:
- Kippo: Baja interacción, emula servicios de Secure Shell (SSH).
- Glastopf: Baja interacción para aplicaciones web.
- Dionaea; Baja interacción, sucesor de "Nepenthes" para la recogida de malware.
- Honeyd: Baja interacción , demonio que crea host virtuales en la red para servicios arbitrarios.
- Sebek: Alta interacción , funciona como HIDS (Host-Based Intrusion Detection System).
- Otros: KFSensor, Specter, HoneyBOT, HiHat
Espero que les haya gustado esta breve introducción, en la próxima entrega mostraremos en que partes de la red podemos montar estos sistemas señuelos y realizaremos una prueba de concepto (PoC) montando un honeypot de baja interacción en un sistema windows, linux o en una simple raspberry.
Para aprender más sobre el tema, os recomendamos la charla de Francisco Rodríguez (@0fjrm0), experto en ciberseguridad en INCIBE y creador de HoneyStation.
“conociendo como te atacan puedes defenderte mejor”
No hay comentarios:
Publicar un comentario