Cómo hacer que los honeypots mejoren la seguridad de tu red


Estos componentes simulan ser sistemas vulnerables a los ataques para atraer a los hackers y/o spammers con el fin de mantenerles ocupados mientras el departamento informático reacciona.





Hasta hace poco, los sistemas de seguridad de red implicaban tácticas defensivas como cortafuegos, detección de intrusos y codificación. Sin embargo, estas tácticas ya no son suficientes. Se necesita ser proactivo para detectar, desviar y contraatacar los intentos de utilización no autorizada de los sistemas de información.

El honeypot es un sistema proactivo y que produce muy buenos resultados. Los colaboradores del Knowledge Center de eWEEK, Niels Provos y Thorsten Holz, nos explican lo que son los honeypots, y cómo pueden ayudarnos a mejorar la seguridad de nuestra red.

Tradicionalmente, los sistemas de seguridad informática que se han venido utilizando han sido puramente defensivos. Entre los ejemplos más clásicos de defensa utilizados para proteger las redes de comunicación están los cortafuegos, la codificación y los sistemas de detección de intrusos. La estrategia sigue un paradigma de seguridad clásico de “Proteger, Detectar y Contraatacar”. En otras palabras, tratar de proteger la red lo mejor posible, detener cualquier fallo en el sistema defensivo y después reaccionar ante estos fallos.

El problema con estos sistemas es que el atacante tiene la iniciativa y siempre está un paso por delante de nosotros. Por ejemplo, los antivirus tradicionales dedican casi todas sus fuerzas a detectar todo el flujo de códigos maliciosos nuevos que surgen a diario (hay que tener en cuenta que los atacantes pueden probar modelos nuevos de malware antes de expandirlos). En los últimos años, se ha hecho cada vez más evidente que estas técnicas tradicionales de defensa basadas en red tienen importantes limitaciones.

Por tanto, necesitamos nuevas técnicas para mejorar nuestros sistemas defensivos. Un intento bastante esperanzador es el uso de los honeypots, un recurso que nos permite rastrear la red muy de cerca y que actúa como cebo para que sea rastreado, atacado y comprometido. Es decir, el valor de este sistema está en que, a diferencia de los sistemas de defensa clásico, este "monitoriza el uso ilegal de un recurso".

El valor del honeypot

El valor de un honeypot se mide por la información que puede obtenerse con él. Rastrear la información que entra y sale de un honeypot nos permite reunir información que no está disponible para un IDS (sistema de detección de intrusos). Por ejemplo, podemos registrar las pulsaciones de una sesión interactiva incluso aunque la codificación que esté utilizando proteja el tráfico en la red. Para detectar comportamientos ilícitos, el IDS requiere las firmas de ataques conocidos y no siempre acierta a la hora de detectar intrusos que no se conocían en el momento de producirse el ataque.

Por otro lado, los honeypots pueden detectar vulnerabilidades que aún no se comprenden, los llamados “ataques del día cero”. Por ejemplo, podemos detectar riesgos observando el tráfico que sale del honeypot, incluso aunque el exploit sea desconocido.

Los honeypots funcionan con cualquier sistema operativo y con un gran número de servicios. Los servicios configurados determinan los vectores que le corresponden a un adversario por comprometer o amenazar el sistema. La llamada "honeypot de alta interacción" ofrece un sistema real con el que el atacante puede interactuar. Por el contrario, un “honeypot de baja interacción” simula sólo algunas partes; por ejemplo, el honeypot de baja interacción Honeyd simula la parte de la red de los sistemas arbitrarios.

Alta interacción versus baja interacción

Los honeypots de alta interacción pueden ser atacados completamente, permitiendo que el adversario tenga acceso total al sistema y lo utilice para lanzar desde allí sus futuros ataques. Con ayuda de estos honeypots, puedes, por ejemplo, saber más de los ataques dirigidos contra tus sistemas, o incluso sobre los ataques de gente de dentro del sistema.

Por el contrario, los honeypots de baja interacción simulan sólo servicios que no pueden ser atacados para obtener acceso completo al honeypot. Los honeypots de baja interacción son más limitados, pero son útiles para conseguir información de alto nivel; por ejemplo, para saber de exploraciones a la red o actividad de gusanos dentro de tu red. Los honeypots de baja-interacción pueden utilizarse también para analizar spammers o para contraatacar de forma activa a los gusanos. No obstante, no puede decirse que ninguno de los dos sistemas sea mejor o peor que el otro.

Después de todo, el honeypot es un concepto y no una herramienta que pueda simplemente ser instalada. Necesitas saber con antelación lo que quieres aprender, para así poder adaptar el honeypot a tus necesidades.

Honeypots físicos versus honeypots virtuales

También diferenciamos entre honeypots físicos y honeypots virtuales. El físico es una máquina real en la red con su propia dirección IP. El físico implica a menudo alta interacción, ya que deja que el sistema sea comprometido completamente. Suelen ser caros de instalar y mantener. Para lugares con muchas direcciones, no son muy prácticos y resulta imposible instalar un honeypot físico en cada dirección IP. En estos casos, se necesitan los honeypots virtuales.

Un honeypot virtual es una solución simulada por otra máquina que responde al tráfico que se envía al honeypot virtual. A la hora de reunir información sobre la red y los intentos de ataque, el número de honeypots influirá en la cantidad de información recogida y en su precisión. Un buen ejemplo es medir la actividad de los gusanos basados en HTTP: podemos identificar estos gusanos sólo después de que completen la negociación del TCP y envíen la carga. Sin embargo, la mayor parte de las peticiones de conexión no recibirán respuesta porque eligen una dirección al azar. Un honeypot puede capturar la carga del gusano configurándolo para que funcione como un servidor Web o simulando servicios de red vulnerable. Cuantos más honeypots despleguemos, más posibilidad habrá de que uno de ellos contacte con el gusano.

Con la ayuda de los honeypots virtuales se puede desplegar fácilmente un gran número de honeypots. Y no sólo eso, este tipo de honeypots ofrece dos ventajas adicionales: escalabilidad y facilidad de mantenimiento. Podemos tener miles de honeypots en una sola máquina. No son caros de instalar y son accesibles para casi todo el mundo.

Enlace importante:
Honeypots (Servidores Trampa)
http://www.xombra.com/go_articulo.php?articulo=56

Fuente:
Por Pablo Fernández
http://www.eweekeurope.es



Otras noticias de interés:

Microsoft pide a los usuarios de IE6 que actualicen
La compañía de Redmond ha iniciado una campaña en la que pretende dar por zanjado un navegador con ocho años de antigüedad....
Twitter de nuevo con problemas técnicos
De nuevo Twitter sufre de problemas técnicos. Aproximadamente desde las 10:00am GMT-4 (Ayer), el servicio no permitía actualizar nuevos status. Se puede acceder al sitio, incluso navegar por él y ver nuestra lista de amigos, replys y mensajes dire...
Apple confirma un error en la actualización de Leopard
Apple ha confirmado la existencia de un error que impide a algunos usuarios actualizar sus máquinas Leopard Mac OS X utilizando el mecanismo automatizado de actualización de software integrado en el sistema...
Google Te Ayuda a Hackear
Los hackers suelen usar software ilegal para acceder a la información privada que reside en la Red o en las redes informáticas privadas. Pero el último as que acaban de sacar de la manga es una herramienta que todos los usuarios de la Web conocen ...
Microsoft informa de un cambio de configuración para evitar el troyano Download.JECT
A continuación reproducimos el comunicado que Microsoft está haciendo llegar a sus clientes, a través de e-mail y web, en el que se informa de un cambio de configuración que resuelve el reciente ataque contra Internet Explorer conocido como Do...
Actualización del kernel para Debian Linux 5.x
Debian ha publicado una actualización del kernel 2.6.x, que soluciona un total de 31 CVE. Las vulnerabilidades podrían permitir a un atacante llegar a elevar privilegios, causar una denegación de servicio u obtener información sensible. ...
Ubuntu 9.04 soportará EXT4
El sistema de ficheros EXT4 es el gran protagonista de los próximos meses, y lo demuestra el soporte que tendrá en Ubuntu 9.04, donde ya se podrá elegir este tipo de formato para las particiones en las que instalemos esta distribución de GNU/Linu...
parches para vulnerabilidades en Windows 2000, Office XP y MSN Messenger
Microsoft ha publicado nuevos parches de seguridad para tres de sus productos, que cubren otras tantas vulnerabilidades. Los parches están catalogados de moderados a importantes, y se encuentran disponibles desde las 18:00 GMT/UTC del 9/3/2004 d...
Google desvela la velocidad real de las conexiones a Internet
Google ha lanzado un conjunto de herramientas con las que permitirá a los usuarios conocer cuál es la velocidad real de la conexión a Internet que ofrece el operador y si éste bloquea determinadas aplicaciones, como las P2P....
Detectados 22 fallos sin resolver, 5 en Office
Según TippingPoint, algunos de estos fallos tienen más de dos años de vida y se encuentran en productos de Microsoft, IBM y HP software. Tal y como prometieron el año pasado, TippingPoint, el principal programa de detección de fallos, ha presen...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • honeypots
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mejoren
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • red
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra