Cómo hacer que los honeypots mejoren la seguridad de tu red


Estos componentes simulan ser sistemas vulnerables a los ataques para atraer a los hackers y/o spammers con el fin de mantenerles ocupados mientras el departamento informático reacciona.





Hasta hace poco, los sistemas de seguridad de red implicaban tácticas defensivas como cortafuegos, detección de intrusos y codificación. Sin embargo, estas tácticas ya no son suficientes. Se necesita ser proactivo para detectar, desviar y contraatacar los intentos de utilización no autorizada de los sistemas de información.

El honeypot es un sistema proactivo y que produce muy buenos resultados. Los colaboradores del Knowledge Center de eWEEK, Niels Provos y Thorsten Holz, nos explican lo que son los honeypots, y cómo pueden ayudarnos a mejorar la seguridad de nuestra red.

Tradicionalmente, los sistemas de seguridad informática que se han venido utilizando han sido puramente defensivos. Entre los ejemplos más clásicos de defensa utilizados para proteger las redes de comunicación están los cortafuegos, la codificación y los sistemas de detección de intrusos. La estrategia sigue un paradigma de seguridad clásico de “Proteger, Detectar y Contraatacar”. En otras palabras, tratar de proteger la red lo mejor posible, detener cualquier fallo en el sistema defensivo y después reaccionar ante estos fallos.

El problema con estos sistemas es que el atacante tiene la iniciativa y siempre está un paso por delante de nosotros. Por ejemplo, los antivirus tradicionales dedican casi todas sus fuerzas a detectar todo el flujo de códigos maliciosos nuevos que surgen a diario (hay que tener en cuenta que los atacantes pueden probar modelos nuevos de malware antes de expandirlos). En los últimos años, se ha hecho cada vez más evidente que estas técnicas tradicionales de defensa basadas en red tienen importantes limitaciones.

Por tanto, necesitamos nuevas técnicas para mejorar nuestros sistemas defensivos. Un intento bastante esperanzador es el uso de los honeypots, un recurso que nos permite rastrear la red muy de cerca y que actúa como cebo para que sea rastreado, atacado y comprometido. Es decir, el valor de este sistema está en que, a diferencia de los sistemas de defensa clásico, este "monitoriza el uso ilegal de un recurso".

El valor del honeypot

El valor de un honeypot se mide por la información que puede obtenerse con él. Rastrear la información que entra y sale de un honeypot nos permite reunir información que no está disponible para un IDS (sistema de detección de intrusos). Por ejemplo, podemos registrar las pulsaciones de una sesión interactiva incluso aunque la codificación que esté utilizando proteja el tráfico en la red. Para detectar comportamientos ilícitos, el IDS requiere las firmas de ataques conocidos y no siempre acierta a la hora de detectar intrusos que no se conocían en el momento de producirse el ataque.

Por otro lado, los honeypots pueden detectar vulnerabilidades que aún no se comprenden, los llamados “ataques del día cero”. Por ejemplo, podemos detectar riesgos observando el tráfico que sale del honeypot, incluso aunque el exploit sea desconocido.

Los honeypots funcionan con cualquier sistema operativo y con un gran número de servicios. Los servicios configurados determinan los vectores que le corresponden a un adversario por comprometer o amenazar el sistema. La llamada "honeypot de alta interacción" ofrece un sistema real con el que el atacante puede interactuar. Por el contrario, un “honeypot de baja interacción” simula sólo algunas partes; por ejemplo, el honeypot de baja interacción Honeyd simula la parte de la red de los sistemas arbitrarios.

Alta interacción versus baja interacción

Los honeypots de alta interacción pueden ser atacados completamente, permitiendo que el adversario tenga acceso total al sistema y lo utilice para lanzar desde allí sus futuros ataques. Con ayuda de estos honeypots, puedes, por ejemplo, saber más de los ataques dirigidos contra tus sistemas, o incluso sobre los ataques de gente de dentro del sistema.

Por el contrario, los honeypots de baja interacción simulan sólo servicios que no pueden ser atacados para obtener acceso completo al honeypot. Los honeypots de baja interacción son más limitados, pero son útiles para conseguir información de alto nivel; por ejemplo, para saber de exploraciones a la red o actividad de gusanos dentro de tu red. Los honeypots de baja-interacción pueden utilizarse también para analizar spammers o para contraatacar de forma activa a los gusanos. No obstante, no puede decirse que ninguno de los dos sistemas sea mejor o peor que el otro.

Después de todo, el honeypot es un concepto y no una herramienta que pueda simplemente ser instalada. Necesitas saber con antelación lo que quieres aprender, para así poder adaptar el honeypot a tus necesidades.

Honeypots físicos versus honeypots virtuales

También diferenciamos entre honeypots físicos y honeypots virtuales. El físico es una máquina real en la red con su propia dirección IP. El físico implica a menudo alta interacción, ya que deja que el sistema sea comprometido completamente. Suelen ser caros de instalar y mantener. Para lugares con muchas direcciones, no son muy prácticos y resulta imposible instalar un honeypot físico en cada dirección IP. En estos casos, se necesitan los honeypots virtuales.

Un honeypot virtual es una solución simulada por otra máquina que responde al tráfico que se envía al honeypot virtual. A la hora de reunir información sobre la red y los intentos de ataque, el número de honeypots influirá en la cantidad de información recogida y en su precisión. Un buen ejemplo es medir la actividad de los gusanos basados en HTTP: podemos identificar estos gusanos sólo después de que completen la negociación del TCP y envíen la carga. Sin embargo, la mayor parte de las peticiones de conexión no recibirán respuesta porque eligen una dirección al azar. Un honeypot puede capturar la carga del gusano configurándolo para que funcione como un servidor Web o simulando servicios de red vulnerable. Cuantos más honeypots despleguemos, más posibilidad habrá de que uno de ellos contacte con el gusano.

Con la ayuda de los honeypots virtuales se puede desplegar fácilmente un gran número de honeypots. Y no sólo eso, este tipo de honeypots ofrece dos ventajas adicionales: escalabilidad y facilidad de mantenimiento. Podemos tener miles de honeypots en una sola máquina. No son caros de instalar y son accesibles para casi todo el mundo.

Enlace importante:
Honeypots (Servidores Trampa)
http://www.xombra.com/go_articulo.php?articulo=56

Fuente:
Por Pablo Fernández
http://www.eweekeurope.es



Otras noticias de interés:

Como reconocer si su ordenador se encuentra en una botnet
Una botnet o red bot, es una red de máquinas zombies que realizan acciones programadas remotamente por un atacante externo. ...
Hoaxes (Peligro del email)
Los hoaxes (broma, engaño) son mensajes de correo electrónico engañosos que se distribuyen en cadena. Algunos tienen textos alarmantes sobre catástrofes (virus informáticos, perder el trabajo o incluso la muerte) que pueden sucederte si no reen...
El problema de llevarse las contraseñas a la tumba
Los datos de la gente están cada vez menos offline y más en la Red, el correo electrónico y otros dispositivos, lo cual a veces acarrea problemas. ...
Un estudio afirma que el sistema operativo Linux se creó con código robado
El estudio realizado por Kenneth Brown asegura que la mayoría de los programas Open Source se implementan con código robado. Según Brown, el sistema operativo Linux también podría haber sido creado reutilizando programas de otras empresas ...
Triatlón Regional de Software Libre en Mérida - Venezuela
El 3er Congreso Nacional de Software Libre y la Universidad de Los Andes invitan a participar en 1er Triatlón de Software Libre, una competencia tecnológica que se realizará los días Miércoles 13 y Jueves 14 de Junio de 2007, en el Marco del ...
Aseguran haber accedido a datos de jugadores de Counter Strike y Half Life
Alguien denominado MaddoxX asegura haber accedido a servidores de Valve Corporation, la empresa que comercializa los populares juegos Counter Strike y Half Life....
Disponible la versión 9.60 de Opera
Se ha lanzado la versión 9.60 del navegador Opera, que corrige dos vulnerabilidades que podrían ser aprovechadas por un atacante remoto para saltarse restricciones de seguridad, revelar información sensible, causar una denegación de servicio o ej...
Service Pack 2 bloquea una serie de programas
Windows XP SP 2 incorpora una serie de novedades pero a la vez bloquea una serie de aplicaciones, indican Gartner e IBM en informes separados. Por ahora, IBM ha prohibido a sus empleados instalar SP2. ...
Encriptación // Historia de la encriptación
La criptografía es tan antigua como la escritura. Desde que el homo sapiens inició su recorrido sobre este planeta, ha necesitado comunicarse con sus semejantes, pero en ocasiones no quiere que otros se enteren. Las razones son evidentes, ya que a ...
Falsificación de información en barra de Google
La barra de Google (Google Toolbar), permite falsificar la información presentada en la ventana de diálogo que se muestra cuando se agrega un nuevo botón. Esto puede ser utilizado por un atacante para que convenza a un usuario a agregar un botón,...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • honeypots
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mejoren
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • red
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra