2. HONEYPOTS Y HONEYNETS · PEDRO C
AGENDA:
•INTRODUCCION
•HONEYPOT “Tarro de miel”
•HONEYNET “Red de tarros”
•ASPECTOS LEGALES
•MANOS A LA OBRA
•PREGUNTAS
3. HONEYPOTS Y HONEYNETS · PEDRO C
INTRODUCCION
•¿ME ATACAN REALMENTE
DESDE INTERNET?
•NO, en Internet no hay mal@s
•Estoy completamente seguro
con mi cortafuegos y no
necesito nada más en mi red
4. HONEYPOTS Y HONEYNETS · PEDRO C
INTRODUCCION
•¿ME ATACAN REALMENTE
DESDE LA RED INTERNA?
•NO, los usuarios nunca hacen
nada
•Mis usuarios nunca mienten
•A mis usuarios no les interesa
mi información
5. HONEYPOTS Y HONEYNETS · PEDRO C
INTRODUCCION
•CONOCE A TU ENEMIGO como
a ti mismo…
•孙子
•Sun Tzu
•孫子兵法
•“El arte de la guerra”
7. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT
•Recurso de red destinado a ser
atacado o comprometido, de tal
forma que un “atacante” puede
acceder, examinar y
comprometer el “tarro de miel”
proporcionando información muy
valiosa antes que comprometa un
sistema real
8. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT
•Es un sistema “trampa”
diseñado para imitar el
comportamiento de uno real que
pudiera ser de interés para un
atacante
•Suelen contar con mecanismos
de protección para que un
atacante no “rompa todo”
9. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT
•Su finalidad NO es resolver o
arreglar las carencias de
seguridad
•Su finalidad es aprender qué
nos hacen cuando nos atacan
•Muchas veces logramos desviar
la atención sobre un sistema real
10. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT
•Debe incitar a los atacantes a
entrar en la red
•El nivel de complejidad debe
ser adecuado para atraerlos y
no exagerado para no
desalentarlos
•Debe ofrecer cosas atractivas
para los atacantes
11. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT
•No es un IDS aunque puede usarlo
como herramienta de apoyo
•Se diseña para engañar a los
intrusos, estudiar sus actividades y
aprender sus métodos
•Se basa en “conoce a tu
enemigo” para poder combatirlo
12. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT
•Mientras todo ello pasa… nosotros
hacemos como siempre…
15. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT
• El personal de seguridad debe de:
1.Monitorizar
2.Registrar
3.Observar las acciones
• Sin ello, no servirá para nada
nuestro “tarro de miel”
16. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT
• Cualquier tráfico entrante o
saliente se considera sospechoso
• La monitorización es continua
• No hay distinción de usuarios
• En algunos sitios puede ser ilegal
por lo que hay que conocer el
marco legal regulatorio para poder
instalarlo
17. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT
• Y por supuesto, el atacante no
debe darse cuenta que todas sus
actividades son monitorizadas
18. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Ventajas)
• Generan un pequeño volúmen de
datos pero de un altísimo valor
• Necesitan los mínimos recursos de
memoria, CPU y ancho de banda
para funcionar, sin necesitar
complejas arquitecturas
• Son universales: Para usuarios
internos y externos
19. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Ventajas)
• No usan algoritmos de análisis de
lo que ocurre
• Se instalan y se espera a ver lo
que hacen (siempre que no se
llame “honeypot.empresa.com” o
“trampa.honeynet.org”)
• Los registros se analizan
posteriormente
20. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Ventajas)
• No requieren mantenimiento
como las herramientas de
seguridad
• Siempre hay interesados en un
finger, un telnet, un ping de la
muerte…
• Admiten IPv6 donde muchos IDS
todavía no lo implementan
21. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Desventajas)
• Si no reciben ataques carecen de
utilidad y valor
• Son un fuerte potencial de riesgo
debido a la atracción de atacantes
• Hay que prestar mucho cuidado
para ejecutarlo en un entorno
cerrado y controlado (jailed
environment)
22. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Desventajas)
• Mediante un fingerprint
(identificación local o remota de un
sistema o servicio) es posible que
se delate si está mal configurado
• Cuando un atacante observa esto,
pierde el interés por el objetivo
volviéndose inútil
23. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT
• Se clasifican por:
• Su grado de funcionalidad
• Su grado de interacción o
compromiso
24. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Funcionalidad)
• Honeypot de producción (PHS).
Son Sistemas simulados que
envían alertas a los reales para
toma de decisiones
• Honeypot de investigación (RHS).
Suelen ser Sistemas Reales
aislados permitiendo la entrada
como “root” o “administrador”
25. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Interacción)
• Honeypot de baja interacción
(LIHS). Empleados para detectar
escaneos e inicios de sesión no
autorizados.
• De media interacción (MIHS)
obteniendo algunas respuestas
por parte del servicio
• De alta interacción (HIHS)
27. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETS
•El proyecto original y actual
nace en 1999 por Lance Spitzner
•http://www.honeynet.org
•Existen muchos actualmente
reportando continuamente
actividades maliciosas
•Instala una y lo verás!!!
28. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETS
•Es una red diseñada para ser
comprometida por los intrusos
•Es una arquitectura, no un
software ni un producto
•Se compone de varios honeypots
simulando diferentes servidores,
clientes, switches, routers… para
hacerla altamente creíble
29. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETS
• Los requisitos básicos para un
correcto funcionamiento son:
1.Control de Datos
2.Captura de Datos
• Opcionalmente también es
deseable Centralización de
Datos
30. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETS (Control Datos)
• Es la contención controlada de
la información y conexiones
• Hay que asegurar que una vez
comprometido no afectará a los
sistemas legítimos
• El ataque siempre empieza por
lo básico elevando los
privilegios. ¡No restringir!
31. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETS (Captura Datos)
• Es la captura, monitorización
y registro de todas las
actividades maliciosas
• Hay que aislar el tráfico legal
• Hay que evitar que el atacante
sepa que estamos registrando
todas sus actividades
33. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETS (Centralización)
• Es deseable centralizar en un
punto común todos los datos
capturados para su análisis
• Dicha información debe ser
transmitida de forma segura a
dicho almacén
34. HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETS
• Se pueden implementar en dos
tipos:
1.Autocontenida
2.Híbrida
• Para ello, hoy en día tenemos
excelentes herramientas de
virtualización
41. HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALES
• ¿Actividad ilegal por nosotros?
• Hay que analizar la legislación
del país donde se instalen
• Es España hay un “mar de
dudas” al respecto
• No se puede denunciar al
atacante
42. HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALES
• Se entiende por delito
informático todo ilícito penal
llevado a cabo a través de
medios informáticos y que está
íntimamente ligado a los bienes
jurídicos relacionados con las
TIC o tiene como fin estos
bienes. (Código Penal España)
43. HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALES
• Del convenio del Consejo de
Europa reflejados en el código
penal se extrae la conducta
delictiva en la que los datos o
sistemas informáticos son
instrumentos de comisión del
delito o el objeto del delito
44. HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALES
• Delitos contra CID de los datos
y sistemas informáticos:
45. HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALES
• Responsabilidad:
• Somos responsables directos
si nuestro honeypot o
honeynet se usa para atacar o
dañar otros sistemas u
organizaciones
• Este riesgo es mayor si
usamos sistemas reales
46. HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALES
• Privacidad: Los honeypots
pueden capturar gran cantidad
de información sobre el
atacante, lo cual, puede de
forma potencial violar su
privacidad, información
contenida de emails, etc…
47. HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALES
• Privacidad: En España
podemos violar la privacidad del
atacante y/o la privacidad de la
gente que se comunica con él.
• Podemos infringir varias leyes
(LOPD, Ley secreto
comunicaciones, etc.) y ser los
denunciados
48. HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALES
• ¿Inducción? “Entrapment”
• Se refiere al hecho de inducir a
una persona a cometer un delito
no contemplado por el mismo
• Es una defensa legal que se
usa para evitar una condena.
No se puede acusar a nadie
de inducción
50. HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!
• Mi sistema operativo es…
Windows, GNU/Linux, Mac OS,
BSD…
• Quiero una herramienta…
Comercial
Software Libre
Propia
51. HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!
• Netcat para Windows
• Basado en ProFTPD 1.3.3c
62. HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!
• GNU/LINUX
• Bubblegum Proxypot
• Jackpot
• BackOfficer Friendly
• BigEye
• HoneyWeb
• Deception Toolkit
63. HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!
• GNU/LINUX
• Labrea Tarpit
• Honeyd
• Sendmail SPAM Trap
• Tiny Honeypot
• Kojoney, Kippo,
• Etc…
64. HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!
• PROPIAS
• Desarrollo a medida de una
honeynet
• Desarrollo a medida de un honeypot
• Desarrollo a medida de servicios
65. HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!
• PHPOT
• http://sbdtools.googlecode.com
/files/phpot.php
• Licencia GNU/GPLv3
• Desarrollado por Alberto Ortega
(alberto@pentbox.net)
• PHP y MySQL