Transcript Honeypot
Concepto • Un honeypot es un recurso del sistema de información cuyo valor reside en el uso no autorizado o ilícito de ese recurso. • Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Concepto • Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. • El término honeypot significa, literalmente, “tarro de miel”. Historia • 1990-1991: Primera obra publica que documenta los conceptos de Honeypot. • 1997: La versión 0.1 del Kit de herramientas honeypot Fred Cohen fue es liberada. • 1998: El desarrollo comenzó en CyberCop Sting, uno de los honeypots comerciales de venta al público. • 1998: Marty Roesch y GTE Internetworking comenzar el desarrollo de una solución honeypot que finalmente se convierte NetFacade. En este trabajo se introduce el concepto de Snort. Historia • 1998: BackOfficer Friendly es liberado. Un honeypot fácil de usar y basado en Windows. • 2000-2001: Uso de honeypots para capturar y estudiar actividades de virus. Cada vez más organizaciones adoptan honeypots para detectar ataques y para la investigación de nuevas amenazas. • 2002: Un honeypot es utilizado para detectar y capturar en la naturaleza un ataque nuevo y desconocido. Objetivo de un Honeypot • Los principales objetivos son el distraer a los atacantes y obtener información sobre el ataque y el atacante. • [R. Baumann, C. Plattner] Tipos de Honeypot • Según su uso están clasificados en: – Honeypots de Investigación. • Detectar nuevos tipos de ataques y herramientas de hacking. • Obtener mayor conocimiento de los atacantes (objetivos, actividades, etc.) y tendencias. • Detectar nuevas formas de comunicaciones encubiertas. • Detectar y analizar nuevas herramientas de DDoS. – Honeypots de Producción: • Distraer al atacante del objetivo real (ganar tiempo para proteger el ambiente de producción). • Recolectar suficiente evidencia contra un atacante. Tipos de Honeypot • Según su nivel de interacción están clasificados en: – Honeypots de BAJO nivel de interacción: • Regularmente sólo proveen servicios falsos o emulados. • No hay un sistema operativo sobre el cual el atacante pueda interactuar. • Son fáciles de instalar y de proveer mantenimiento. • La desventaja es que la información obtenida es muy limitada. – Honeypots de nivel MEDIO de interacción: • Brinda mayor interacción pero sin llegar a proveer un sistema operativo sobre el cual interactuar. Tipos de Honeypot • El atacante obtiene una mejor ilusión de un sistema operativo real y mayores posibilidades de interactuar y escanear el sistema. • El desarrollo/implementación es mas complejo y consume mas tiempo. • Los emulaciones de los servicios son mas sofisticadas y brindan mayores posibilidades de interacción. – Honeypots de nivel ALTO de interacción: • • • • Cuentan con un sistema operativo real. Presentan un mayor nivel de riesgo y complejidad. Son objetivos mas “atractivos” para ser atacados. Se puede obtener mayor y mejor información de los atacantes. • Requiere de mucho tiempo para su instalación y mantenimiento. Tabla comparativa • Baumann – Plattner [Baum02] Usos Comunes • Detección, prevención y obtención de información de atacantes. • Detectar escaneos y ataques en forma temprana. • Capturar nuevas herramientas de hacking, gusanos, malware en general, etc. • Mejorar el conocimiento y tendencias de los • ataques/atacantes informáticos (hackers). Herramienta de Honeypot • Honeyd Esta herramienta no solo puede emular los servicios, sino emular a los sistemas actuales de operación. Honeyd puede parecer que el atacante sea un router cisco, webserver winxp o un servidor de DNS linux. Ventajas para emular diferentes S.O • Mejor se pueden mezclar con las redes existentes, si el honeypot tiene la misma apariencia y el comportamiento de los sistemas de producción. • Puede dirigirse a los atacante específicos, previendo que los sistemas y servicios que a menudo se dirigen, o de los sistemas y servicios que desean aprender. Fuentes de Información • Spitzner, Lanzer; Honeypots: tracking hacckers: http://books.google.com.mx/books?id=xBE73hzdi4C&printsec=frontcover&dq=honeypot&hl=es&ei=NUOK Tp3vNsStsAKm_eGxDw&sa=X&oi=book_result&ct=result& resnum=1&ved=0CC0Q6AEwAA#v=onepage&q=honeypot &f=false • http://www.tracking-hackers.com/papers/honeypots.html • http://www.alegsa.com.ar/Dic/honeypot.php • http://www.noticiasdot.com/publicaciones/2003/0503/080 5/noticias080503/noticias080503-26.htm HONEYPOT Integrantes del equipo: Rafael Esteban Castañeda Gómez. Elizabeth Fernández Suárez. Braulio Fregoso González. Jaime Daniel García Cortés.