Son servidores de información falsos, que son posicionados estratégicamente en una red de prueba y alimentados de información disfrazada como archivos de naturaleza confidencial.
Son herramientas de seguridad informática diseñadas para atraer atacantes y analizar el comportamientos de los ataques que realizan estos atacantes, para utilizar esto como referencia para diferentes propósitos, que pueden ser:
Estadísticas
Descubrimiento de nuevas vulnerabilidades y herramientas.
Análisis de ataques, para su posterior estudio.
Evitar que los principales sistemas de información sean atacados.
How to use Redis with MuleSoft. A quick start presentation.
Honey Pots
1. Sistemas de Seguridad II
HONEY
POTS
Preparado por:
Montenegro, Jesús
Moreno, José
Muñoz, Andrea
Rodríguez, Carlos
2. Honey
Pots
Agenda
01 – Antecedentes
02 – Que son HoneyPots
03 – Características
04 – Tipos de HoneyPots
04.a – Según el ambiente de implementación
04.b – Según el nivel de interacción
05 – Ubicación de HoneyPots (LAN, WAN, DMZ)
06 – Ventajas y desventajas
07 – Ejemplos de HoneyPots Comerciales
08 – Ejemplos de HoneyPots OpenSource
09 – MHN - The Modern Honey Network (OpenSource)
3. Honey
Pots
Antecedentes
Lanze Spencer realizó experimentos basado en unos cuantos
computadores que dejó que fuesen atacados para ver el
comportamiento y forma en que actúan los atacantes.
Su proyecto duró casi un año y guardó todo tipo de información
generada.
Pudo darse cuenta observando la intensidad de ataques y que
elementos son comúnmente mas atacados. Incluso el mismo
utilizo herramientas automatizadas para hacer ataques desde el
exterior a su red de computadores captadores.
Actualmente es uno de los mas grandes expertos en HoneyPots
y gracias a su trabajo hay una gran comunidad que se dedica a
ofrecer herramientas y consejos relacionados a ataques y
análisis de ataques.
4. Honey
Pots
HoneyPots
Son servidores de información falsos, que son posicionados
estratégicamente en una red de prueba y alimentados de
información disfrazada como archivos de naturaleza
confidencial.
Son herramientas de seguridad informática diseñadas para atraer
atacantes y analizar el comportamientos de los ataques que
realizan estos atacantes, para utilizar esto como referencia para
diferentes propósitos, que pueden ser:
Estadísticas
Descubrimiento de nuevas vulnerabilidades y herramientas.
Análisis de ataques, para su posterior estudio.
Evitar que los principales sistemas de información sean
atacados.
5. Honey
Pots
Características
Desvía la atención del atacante para proteger la red real o
principal del sistema.
Captura de nuevos gusanos y virus para su posterior estudio y
forma de solventar el problema.
Verificación y estudio de puertos, aplicaciones, dispositivos
más atacados.
Análisis de métodos utilizados por los atacantes para entrar a
la red.
Estudio del atacante en elementos como equipo atacante,
programas utilizados para el ataque y fines de la intrusión.
Construye perfiles de atacantes y métodos de ataques
preferidos de estos.
En el análisis forense son herramientas rápidas ya que solo
guardan información relacionadas al atacante, en el caso de
que se analice por ejemplo: un servidor afectado.
6. Honey
Pots
Tipos – Según su Implementación
HoneyPots de Producción
Para organizaciones en ambientes reales de operación.
Están sujetas a ataques constantes 24/7.
Contienen agentes de detensión de amenazas.
HoneyPots de Investigación
No se usan para la protección de ambientes reales
La naturaleza de su finalidad es demostrativa.
Son utilizados para estudiar patrones de ataque y amenazas de
todo tipo.
Se trabaja con ellos sin ánimo de lucro. Solo para contribuir
en la detección y control de amenazas.
7. Honey
Pots
Tipos – Según su nivel de interacción
HoneyPots de baja interacción
Emulan servicios y sistemas operativos
La actividad del atacante esta limitada al nivel de emulación del
honeypot.
Implementación simple
Riesgo mínimo.
Mitigan riesgos evitando que el atacante llegue al sistema
operativo real.
Contienen agentes de detención de amenazas.
Registran información Limitada.
Su bajo rango de aplicaciones emuladas permite que atacantes
expertos identifique que esta atacando un honeypot.
Ejemplos: SPECTER, HONEYD y KFSENSOR
8. Honey
Pots
Tipos – Según su nivel de interacción
HoneyPots de alta interacción
Implementación compleja
Requieren de sistemas operativos y aplicaciones montadas
sobre hardware real.
Puede capturar una vasta cantidad de datos.
El engaño es menos obvio debido a que los atacantes estan
interactuando con hardware y software real.
La gama de aplicaciones y servicios para el engaño es más
alta.
Permiten capturar comportamientos no esperados.
Es posible que el atacante se haga con el control del honeyPot
y lo utilice para lanzar ataques al sistema real.
Requiere de tecnologías de apoyo para evitar que sean
tomadas por atacantes.
Ejemplos: HoneyNETS
10. Honey
Pots
Ubicación de HoneyPots - WAN
Antes del Firewall
Al estar fuera de la red, puede ser atacado sin generar peligro a
la zona protegida por el firewall.
Genera mucho tráfico debido a la facilidad que ofrece de ser
atacado.
Alto consumo de ancho de banda y espacio de disco duro.
11. Honey
Pots
Ubicación de HoneyPots - LAN
Detrás del Firewall
El honeypot es afectado por las reglas de filtrado del firewall.
La estrategia de dejar que exista una acceso al honeypot
permite al atacante ganar acceso al honeypot y a la red.
Permite la detección de atacantes internos.
Permite ver firewall mal configurados, máquinas infectadas por
virus y gusanos y atacantes externos.
Regularmente se usan Firewall Internos para no comprometer
la Red
12. Honey
Pots
Ubicación de HoneyPots - DMZ
En la DMZ
Pone en el mismo lugar al honeypot y los servidores de
producción, por lo que controla el peligro que supone el uso de
estos.
Permite la detección de ataques internos y externos.
Se debilita la detección de ataques internos, ya que al no estar
en la LAN el atacante no accederá directo al honeypot.
Los atacantes internos serán detectados por el honeypot en
caso de un ataque dirigidos hacia los servidores.
13. Honey
Pots
Ventajas de los HoneyPots
Genera menor volumen de datos que otros sistemas como IDS
y firewall que genera información de todo. Los HoneyPots
solo generan información acerca del atacante.
Permite revelar cualquier acceso, atacante o configuraciones
erróneas debido a que ningún usuario de la organización debe
tener acceso a este sistema.
Recursos mínimos para la implementación, una PC cualquiera
conectada a la red debe poder el trabajo del honeyPot y no
consume ancho de banda.
Sirve para la detección de ataques internos y externos. Su
objetivo es pasar desapercibidas a los usuarios y atacantes.
14. Honey
Pots
Desventajas de los HoneyPots
Son elementos pasivos, de manera que sino reciben ataques
no sirven para nada.
Fuentes potenciales de riesgo para nuestra RED, ya que
aumenta la atracción de atacantes, por lo que es importante
que el ambiente alrededor sea controlado y cerrado.
Tienen un limitado carácter preventivo. No tratarán ningún
posible atacante.
Los atacantes no centran sus ataques a una máquina, sino a
toda la red.
15. Honey
Pots
Ejemplos: HoneyPots Comerciales
Specter: simula hasta 14 sistemas operativos diferentes y
funciona bajo el sistema operativo Windows.
KFsensor: actúa como honeypot e IDS, funciona también para el
sistema operativo Windows.
16. Honey
Pots
Ejemplos: HoneyPots OpenSource
BackOfficer Friendly: diseñado para detectar ataques back door en
los equipos.
HoneyWeb: interface web que maneja clientes honeypots.
Deception Toolkit: es una herramienta que permite el contraataque
a atacantes dando información disfrazada que provoca confusión al
atacante.
LaBrea Tarpit: crea servidores virtuales que son atractivos para
gusanos, hackers y otras amenazas que llegan por internet.
Honeyd: pequeña aplicación que crea HOST virtuales en una red y
que permite la configuración de servicios arbitrarios.
Sendmail SPAM Trap
Bigeye
Bubblegum Proxypot
Jackpot
17. Honey
Pots
MHN – Modern Honey Network
Es un proyecto que maneja una plataforma OpenSource para el
manejo de HoneyPots.
Hace fácil el manejo de HoneyPots, conseguir y visualizar el flujo
de datos que estos generan.
La visualización de la data colectada se muestra en tiempo real.