ANÁLISIS DE ATAQUES INFORMÁTICOS MEDIANTE HONEYPOTS PARA EL APOYO DE ACTIVIDADES ACADÉMICAS EN LA UNIVERSIDAD DISTRITAL

FRANCISCO JOSÉ DE CALDAS

CAMILO ANDRÉS LEÓN CUERVO MARÍA ALEJANDRA BONILLA DÍAZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA

INGENIERIA EN TELEMÁTICA BOGOTÁ D.C

2017

ANÁLISIS DE ATAQUES INFORMÁTICOS MEDIANTE HONEYPOTS PARA EL APOYO DE ACTIVIDADES ACADÉMICAS EN LA UNIVERSIDAD DISTRITAL

FRANCISCO JOSÉ DE CALDAS

CAMILO ANDRÉS LEÓN CUERVO CÓDIGO: 20152678004

MARÍA ALEJANDRA BONILLA DÍAZ CÓDIGO: 20152678005

Proyecto de Grado para optar por el título de INGENIERO EN TELEMÁTICA

TUTOR: Ing. Miguel Ángel Leguizamón Páez

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA INGENIERIA EN TELEMÁTICA

BOGOTÁ D.C 2017

Nota de aceptación.

_______________________________

_______________________________

_______________________________

_______________________________

_______________________________

_______________________________

_______________________________

_______________________________

_______________________________

_______________________________

_______________________________

Ing. Guillermo Hurtado

Jurado

_______________________________

Ing. Miguel Ángel Leguizamón Páez

Tutor

Bogotá, 24 de Octubre de 2017

TABLA DE CONTENIDO

RESUMEN .............................................................................................................. 8 ABSTRACT ............................................................................................................. 9

INTRODUCCIÓN .................................................................................................. 10 1. FASE DE DEFINICIÓN Y PLANEACIÓN ....................................................... 11

1.1. TÍTULO .................................................................................................... 11 1.2. PLANTEAMIENTO DEL PROBLEMA ...................................................... 11

1.2.1. Descripción ........................................................................................ 11

1.2.2. Formulación ....................................................................................... 12 1.3. OBJETIVOS ............................................................................................. 13

1.3.1. Objetivo General ................................................................................ 13 1.3.2. Objetivos Específicos ........................................................................ 13

1.4. JUSTIFICACIÓN ...................................................................................... 13 1.6. DELIMITACIONES ................................................................................... 14

1.7. SOLUCIÓN TECNOLÓGICA ................................................................... 14 1.8. MARCO REFERENCIAL .......................................................................... 15

1.8.1. Marco Teórico .................................................................................... 15

1.8.2. Estado del Arte ..................................................................................... 30 1.9. FACTIBILIDAD ......................................................................................... 36

1.9.1. Técnica .............................................................................................. 36

1.9.2. Operativa ........................................................................................... 36 1.9.3. Legal .................................................................................................. 36

1.9.4. Económica ......................................................................................... 37 1.10. DESARROLLO METODOLÓGICO ....................................................... 38

1.11. CRONOGRAMA ................................................................................... 41 2. ANÁLISIS ....................................................................................................... 42

2.1. CARACTERÍSTICAS DE LA RED ............................................................ 42 2.2. ANÁLISIS SOBRE SEGURIDAD DE LA INFORMACIÓN ........................ 44 2.3. ANÁLISIS DE PERCEPCIÓN SOBRE SEGURIDAD INFORMÁTICA Y ACEPTACIÓN DE LA PROPUESTA ................................................................. 52

3. DISEÑO ......................................................................................................... 55

3.1. DISEÑO DE INFRAESTRUCTURA ......................................................... 55 3.2. ARQUITECTURA DE HARDWARE ......................................................... 58

3.3. CONFIGURACIÓN DE SOFTWARE - HONEYPOTS .............................. 60 3.3.1. Cowrie ............................................................................................... 60 3.3.2. HoneyPy ............................................................................................ 67

3.4. REPRESENTACIÓN DE RESULTADOS ................................................. 71

3.4.1. Cowrie logviewer ............................................................................... 71 3.4.2. HoneyDB ........................................................................................... 73

3.5. CONFIGURACIÓN DE REGLAS ............................................................. 78

CONCLUSIONES .................................................................................................. 80 REFERENCIAS BIBLIOGRÁFICAS ...................................................................... 82 ANEXOS ............................................................................................................... 84

TABLA DE ILUSTRACIONES

Ilustración 1 Mecanismos de Salvaguarda. .......................................................... 17 Ilustración 2 Ubicación de un Honeypot antes del Firewall ................................... 26

Ilustración 3 Ubicación de un Honeypot después del Firewall. ............................. 26 Ilustración 4 Ubicación de un Honeypot en la zona desmiliarizada. ...................... 27 Ilustración 5 Ejemplo de un red trampa. ................................................................ 30 Ilustración 6 Consola de Deception Toolkit. .......................................................... 31 Ilustración 7 Consola de Specter ........................................................................... 32

Ilustración 8 Ciclo PHVA ....................................................................................... 40 Ilustración 9 Cronograma de Actividades .............................................................. 41 Ilustración 10 Enlace de datos en sedes lejanas de la Universidad Distrital ......... 42 Ilustración 11 Enlace de datos en sedes cercanas de la Universidad Distrital ...... 43

Ilustración 12 Topología de red de la Universidad Distrital ................................... 43 Ilustración 13 Actividad de las aplicaciones del servicio del correo ....................... 45

Ilustración 14 Informe de Ataques según Check Point - Parte 1 ........................... 47 Ilustración 15 Informe de Ataques según Check Point - Parte 2 ........................... 48 Ilustración 16 Informe de Ataques según Check Point - Parte 3 ........................... 49

Ilustración 17 Informe de Ataques según Kaspersky - Parte 1 .............................. 50 Ilustración 18 Informe de Ataques según Kaspersky - Parte 2 .............................. 51 Ilustración 19 Resultados de encuesta – Preg. 1 .................................................. 52

Ilustración 20 Resultados de encuesta – Preg. 2 .................................................. 52 Ilustración 21 Resultados de encuesta – Preg. 4 .................................................. 53

Ilustración 22 Resultados de encuesta – Preg. 5 .................................................. 53 Ilustración 23 Resultados de encuesta – Preg. 6 .................................................. 53

Ilustración 24 Resultados de encuesta – Preg. 7 .................................................. 53 Ilustración 25 Resultados de encuesta – Preg. 8 .................................................. 54

Ilustración 26 Resultados de encuesta – Preg. 9 .................................................. 54 Ilustración 27 Resultados de encuesta – Preg. 10 ................................................ 54 Ilustración 28 Distribución de red actual en Olimpo .............................................. 55

Ilustración 29 Distribución de red con la inserción de Honeypot antes del proxy en Olimpo ................................................................................................................... 56

Ilustración 30 Distribución de red con la inserción de Honeypot después del proxy en Olimpo .............................................................................................................. 57

Ilustración 31 Distribución final con la inserción de los Honeypots en Olimpo ...... 57 Ilustración 32 Características del Servidor DELL R710 - Honeypot Cowrie .......... 58 Ilustración 33 Características del Equipo DELL Optiplex 980 - Honeypy .............. 59 Ilustración 34 Equipos residentes de los honeypots .............................................. 59

Ilustración 35 Vista inicial de HoneyPy .................................................................. 68 Ilustración 36 Inicio del Honeypot HoneyPy .......................................................... 69 Ilustración 37 Perfiles de HoneyPy ........................................................................ 69

Ilustración 38 Archivo de configuración par Twitter - HoneyPy ............................. 70 Ilustración 39 Cowrie Lowviewer - Home .............................................................. 71 Ilustración 40 Estadísticas de ataques por país - Cowrie ...................................... 72 Ilustración 41 Estadísticas de ataques por usuario y contraseña - Cowrie ........... 72 Ilustración 42 Registro de archivos cargados por el atacante - Cowrie ................. 73

Ilustración 43 Contenido del archivo cargado por el atacante - Cowrie ................. 73

Ilustración 44 Estadística semanal registrada en HoneyDB .................................. 74 Ilustración 45 Top 10 de host atacantes - HoneyPy .............................................. 74 Ilustración 46 Top de servicios atacados - HoneyPy ............................................. 75 Ilustración 47 Top de host que atacan el servicio NTP ......................................... 75 Ilustración 48 Información relacionada por un host especifico al servicio NTP ..... 77

Ilustración 49 Registro en línea de alertas por Twitter - HoneyPy ......................... 77 Ilustración 50 Contenedor de IPs para seguimiento - HoneyPy ............................ 78 Ilustración 51 Cantidad de IPs bloqueadas ........................................................... 79 Ilustración 52 Registro de ataque identificado por script guardian ........................ 79

TABLA DE TABLAS

Tabla 1 Análisis Estadístico de Ataques informáticos en Latinoamérica ............... 12 Tabla 2 Detalle factibilidad técnica ........................................................................ 36

Tabla 3 Detalle de Costos Directos ....................................................................... 37 Tabla 4 Detalle de Costos Indirectos ..................................................................... 37 Tabla 5 Estado de usuarios del correo .................................................................. 44 Tabla 6 Análisis de seguridad en relación al correo .............................................. 44 Tabla 7 Relación archivos compartidos de forma externa. .................................... 45

Tabla 8 Relación archivos compartidos de forma interna ...................................... 45 Tabla 9 Estado de usuarios de correos administrativos ........................................ 46 Tabla 10 Seguridad a correos administrativos ...................................................... 46 Tabla 11 Actividad de uso de correos administrativos .......................................... 46

RESUMEN El trabajo desarrollado tiene por finalidad exponer una alternativa complementaria al esquema de seguridad implementado en la red de la Universidad Distrital Francisco José de Caldas, que apoye los procesos de aprendizaje en el área de seguridad informática a los diferentes proyectos curriculares que contemplan este tema dentro del programa de formación. Para ello se presenta un contenido teórico que permita contextualizar al lector en las áreas de seguridad informática, ataques y todo aquello que se refiera a servidores trampa, mejor conocidos como Honeypots. Sobre estos se presenta una definición, ventajas y desventajas de su utilización, referencias sobre su implementación y configuración, entre otros. En el área de análisis se presenta información sobre la caracterización y distribución de la red en la universidad, así como diferentes informes que permiten determinar la cantidad de información que se maneja a través de los diferentes medios, como por ejemplo, el uso del correo institucional desde los diferentes dominios y la seguridad aplicada a este. Se presentan informes sobre los ataques registrados en el antivirus y otras herramientas de análisis utilizadas por el área encargada de la administración de la red. Finalmente, se presenta un análisis de los resultados de una encuesta aplicada a estudiantes y docentes cuyo objeto era identificar la percepción que tienen estos sobre la seguridad de su información en la universidad y la aceptación de implementar herramientas que permitan contribuir con el análisis de ataques informáticos. Al finalizar, se presenta un diseño de infraestructura con la inclusión de dos equipos que permitan implementar los Honeypots para la recolección de información sobre ataques. Se presenta la configuración y pasos para su instalación, así como imágenes que permitan validar su instalación y la información recolectada para posteriormente ejemplificar una de las acciones que se toma frente a estas vulnerabilidades para aumentar la seguridad conforme a los patrones de ataque encontrados.

ABSTRACT The objective of the developed work is to present a complementary alternative to the security scheme implemented in the network of the Francisco José de Caldas District University, which supports the learning processes in the area of computer security to the different curricular projects that contemplate this subject within training topics. For this, a theoretical content is presented that allows the reader to be contextualized in the areas of computer security, attacks and everything related to trap servers, better known as Honeypots. On these, a definition is presented, advantages and disadvantages of its use, references on its implementation and configuration, among others. In the analysis area is presented information about the characterization and distribution of the university network, as well different reports that allow determining the amount of information that is handled through different means, such as the use of institutional mail from the different domains and the security applied to it. Reports on the attacks registered in the antivirus and other analysis tools used by the area in charge of the network administration are presented. Finally, an analysis of the results of a survey applied to students and teachers whose objective was to identify their perception about the security of their information in the university and the acceptance of implement tools that contribute to the analysis of computer attacks. At the end, an infrastructure design is presented with the inclusion of two teams that allow Honeypots to be implemented to gather information about attacks. It presents the configuration and steps for its installation, as well images that allow to validate its installation and the information collected, to later exemplify one of the actions taken against these vulnerabilities to increase security according to the attack patterns found.

INTRODUCCIÓN La forma en que los seres humanos se comunican ha sido susceptible a grandes cambios en el transcurso de los tiempos y han sido estas formas de comunicación el medio por el cual se alcanza el conocimiento que ha dado lugar a impresionantes descubrimientos, inventos y entre otras cosas, permitió que se libraran muchas de las guerras que se narran en los libros de historia. Precisamente, en la búsqueda del conocimiento se han trasgredido los valores que permiten que la comunidad pueda convivir sin conflictos; aun hoy persisten los ataques por los cuales se vulnera la información con diferentes propósitos y haciendo uso de múltiples alternativas que permitan dar alcance a estos.

La información, desde tiempos inmemorables ha representado un bien invaluable, sin embargo, no basta con tener acceso a esta. Aquel que tiene la posibilidad de manipular cualquier dato, es poseedor de un gran poder. La información y los sistemas de información por los cuales está fluye, son el recurso más importante de toda organización, a razón de ella se determinan estrategias competitivas, de administración, de gerencia de proyectos, entre otros.

Por lo anterior, resulta preciso salvaguardar todo tipo de información, de forma tal que pueda lograrse un total aprovechamiento de esta y a su vez, que esta pueda protegerse y mantenerse segura ante posibles eventualidades que impliquen pérdida, tergiversación o uso por entes no deseados. El presente documento contiene información teórica sobre seguridad informática y Honeypots como el tema que atañe a este proyecto, un conjunto de herramientas implementadas dentro de la red de la Universidad Distrital Francisco José de Caldas, cuyo objetivo es apoyar el proceso de aprendizaje sobre los ataques informáticos de manera práctica siendo insumo para la interpretación del ente investigador, permitiendo identificar los modos de operación, los tipos de ataques, entre otros. De forma tal que puedan determinarse los métodos necesarios para combatir cualquier ataque y crear los procesos para dar solvencia a las vulnerabilidades que se presentan en los medios y las formas para la comunicación que se emplean actualmente.

1. FASE DE DEFINICIÓN Y PLANEACIÓN 1.1. TÍTULO Análisis de ataques informáticos mediante Honeypots para el apoyo de actividades académicas en la Universidad Distrital Francisco José de Caldas. 1.2. PLANTEAMIENTO DEL PROBLEMA

1.2.1. Descripción El termino telemática fue usado por primera vez en Francia y es el resultado de la fusión de las telecomunicaciones, que se encargan de transportar la información de un lugar a otro de forma transparente para el usuario final y la informática que se encarga de gestionar la información para que se encuentre disponible para este usuario con el contenido que requiere. 1 De acuerdo con esta definición es importante entender que tanto en el transporte de la información como en la gestión de ésta se presentan ataques que afectan cualquiera de los pilares de la seguridad informática. El CCN-CERT es el organismo de respuesta ante incidentes de seguridad informática del Centro Criptológico Nacional de España. Según el informe de esta organización, el CERT tuvo que responder ante 18.232 ataques informáticos detectados durante todo el 2015, un número casi el doble (concretamente, un 41% más) que el pasado año 2014. Además, 430 ataques informáticos del total fueron considerados como ataques de peligrosidad muy alta o crítica. Este informe muestra también cómo ha aumentado el uso de exploits y kits de exploits para lograr comprometer los sistemas de los usuarios y los organismos públicos, así como el uso de nuevas técnicas de persistencia con las que complicar la desinfección de los sistemas vulnerados.2 A nivel de Latinoamérica, se han encontrado estadísticas como las publicadas por la empresa internacional de ciberseguridad Kaspersky Lab en septiembre de 2016, en las cuales se indica que al menos 12 ataques de programas maliciosos -malware- se presentan cada segundo. El promedio mantiene a la región muy por detrás de Asia y África e incluso algunos países europeos en lo que se refiere a infecciones de software indeseable, pero según Kaspersky en países Brasil casi la mitad de las computadoras analizadas fue objeto de amenaza (49,9%). Mientras que en Perú, Bolivia, Chile, México y Colombia las afectadas fueron aproximadamente 4 de cada 10.

1 C., H. L. (1998). Ingeniería Telemática, nueva carrera del ICESI. Obtenido de Ingeniería Telemática, nueva carrera del ICESI: http://www.eltiempo.com/archivo/documento/MAM-780886 2 Velasco, R. (2016). Resumen de ataques informáticos en 2015 y tendencias para 2016 según el CCN-CERT. Obtenido de Resumen de ataques informáticos en 2015 y tendencias para 2016 según el CCN-CERT: https://www.redeszone.net/2016/05/03/resumen-ataques-informaticos-2015-tendencias-2016-segun-ccn-cert/

País Porcentaje

Brasil 49,9%

Perú 41,9%

Bolivia 41,8%

Chile 40,0%

México 39,9%

Colombia 39,3%

Guatemala 37,5%

Ecuador 36,1%

Venezuela 36,0%

Uruguay 30,0%

Argentina 29,5% Tabla 1 Análisis Estadístico de Ataques informáticos en Latinoamérica3

En total, y utilizando como principal fuente a su servicio basado en la nube Kaspersky Security Network, registró más de 398 millones de ataques de este tipo de programas entre agosto de 2015 y agosto de 2016.4 De acuerdo a la anterior información presentada, es evidente que los ataques informáticos crecen exponencialmente y la diversidad en los medios y procedimientos empleados para su ejecución también crecen. Las afectaciones a las que las organizaciones víctimas de esta forma de violación sobre la información que manejan, tiene serias implicaciones sobre su estado financiero e incluso sobre la continuidad en la existencia de sí mismas. Por su parte, fue posible encontrar que en la Universidad Distrital se cuenta con un SGSI (Sistema de Gestión de Seguridad de la Información), en el cual se establecen las políticas de seguridad de la información, identificación de activos, definiciones de seguridad sobre el recurso humano, el recurso físico y el entorno en general; dentro de la documentación relacionada con el SGSI definido por la universidad se puede observar que hay lineamientos aptos para brindar seguridad a la información de la institución. Sin embargo, es necesario indicar que los ataques informáticos han llegado a crear daños importantes en las empresas que más rigurosidad presentan en su esquema de seguridad, los atacantes mantienen una búsqueda incesante por violar toda estructura organizacional a través de la tecnología con diferentes fines que siempre concluyen en el perjuicio de la víctima.

1.2.2. Formulación Conforme con las problemáticas mencionadas, se plantea: ¿Qué estrategias pueden tomarse para fortalecer los procesos de enseñanza en el área de Seguridad Informática dentro de la Universidad Distrital Francisco José de Caldas?

3 BBC Mundo. (2016). "12 ataques por segundo": cuáles son los países de América Latina más amenazados por "malware". Obtenido de BBC Mundo: http://www.bbc.com/mundo/noticias-37286420 4 BBC Mundo. (2016). "12 ataques por segundo": cuáles son los países de América Latina más amenazados por "malware". Obtenido de BBC Mundo: http://www.bbc.com/mundo/noticias-37286420

1.3. OBJETIVOS

1.3.1. Objetivo General Diseñar una infraestructura que permita la implementación de Honeypots en la Universidad Distrital Francisco José de Caldas.

1.3.2. Objetivos Específicos

Determinar los elementos necesarios para la implementación de Honeypots.

Plantear un sistema adaptativo que permita analizar y estudiar los diferentes ataques informáticos que puedan presentarse en la Universidad Distrital.

Establecer reglas de acceso conforme a los resultados obtenidos por los Honeypots.

Validar las reglas implementadas conforme a la información recolectada por los Honeypots.

Fortalecer el desarrollo práctico de asignaturas asociadas a los proyectos curriculares de Ingeniería en Telemática, Ingeniería de Sistemas y programas futuros como la Maestría en Gerencia y Seguridad Informática.

1.4. JUSTIFICACIÓN Conforme a lo descrito en el planteamiento del problema, es imprescindible contar con diferentes formas que prevean y contrarresten todo tipo de ataque sobre la seguridad de la información para cualquier ente, ya que nadie es ajeno al uso de la tecnología y a la exposición de su información en los diferentes medios. Se busca una alternativa que provea de medios de formación eficientes que permitan identificar los tipos de atacantes y las modalidades por las que estos actúan, para que posteriormente, apoyados en la Informática Forense se de tratamiento a estos ataques. Reto Baumann propone a un Honeypot como “un recurso que pretende ser un objetivo real. Se espera de un Honeypot que sea atacado o comprometido. Su meta principal es la distracción de los atacantes y obtener información sobre los ataques y atacantes.” Los Honeypots buscan ser comprometidos, los datos recolectados son valiosos porque son producto de intrusiones realizadas por entes que buscan afectar la red con fines delincuenciales. Los Honeypots están diseñados para identificar los medios, los motivos, el modus operando de aquel atacante que llegue a esta trampa. Son herramientas flexibles, adaptables y su implementación no demanda mayores costos. En cambio, representa un bien de múltiples beneficios para cualquier organización, permitiendo incluso identificar vulnerabilidades no conocidas y descubrir el riesgo de afectación a sus sistemas.

Por las razones mencionados es que este proyecto está encaminado a ayudar a la Universidad Distrital, proporcionándole herramientas que fortalezcan la formación en el área de Seguridad Informática, tanto en los programas curriculares ya existentes, los programas propuestos a futuro, programas de extensión, y que a su vez contribuyan en el análisis y detección de ataques a la seguridad de la red y demás elementos de tipo informático en la Universidad Distrital. 1.5. ALCANCES

La infraestructura diseñada debe ser considerada como un recurso educativo para la investigación y estudio en la identificación de patrones de ataque y cualquier amenaza que se intercepte en el Honeypot.

La infraestructura y la configuración de los Honeypots capturará toda la información útil para la detección de ataques informáticos, sin que estos representen falsos positivos.

Para la Universidad, las herramientas Honeypots configuradas, deberán proveer servicio de manera adyacente a la red primaria y con disponibilidad para dar atención a la demanda de los programas académicos de interés.

Se debe viabilizar la expansión e inclusión de Honeypots adaptables conforme lo requiera el avance investigativo de la Universidad.

1.6. DELIMITACIONES

Los honeypots son herramientas pasivas, es decir, si estas no reciben un ataque no tendrán utilidad alguna para el objeto de este trabajo.

Dentro de un ambiente industrial y/o comercial que demande extrema seguridad, es necesario que el análisis que se obtenga de un ataque en tiempo real pueda contrarrestarse en el menor tiempo posible, previendo que el atacante no perciba que se encuentra en una trampa y proceda a la ejecución de alternativas lesivas a la red primaria de la organización.

Los Honeypots no son herramientas de tipo correctivo ante un ataque, sus funciones proactivas, no reactivas, su finalidad está orientada únicamente al análisis de los ataques informáticos, como base para la posterior toma de decisiones.

1.7. SOLUCIÓN TECNOLÓGICA El diseño de infraestructura con Honeypots, propuesto para su implementación en la Universidad Distrital Francisco José de Caldas, permitirá encontrar fallas de seguridad que se presentan en los servidores de la universidad por ataques

informáticos. Se diseñará una distribución en la red con honeypots que permitan registrar los diferentes ataques informáticos a los que sea expuesta la universidad, con el fin de recoger información sobre estos y posterior a su análisis, se permita el establecimiento de patrones de comportamiento de los atacantes, los medios que estos emplean, entre otros; que permitan la implementación de soluciones efectivas propuestas desde la investigación e innovación propias de la práctica académica desarrolladas en la universidad. La infraestructura propuesta requiere de la utilización de al menos dos honeypots; el primero será un honeypot que funcione como gateway firewall, IDS e IPS este será el encargado de recepcionar toda las peticiones filtrando y actuando como sniffer o sistema detector de intrusos generando estadísticas y patrones que permitan identificar fallas de seguridad; así mismo se implementará otro equipo honeypot con sistema operativo linux en el cual se realizará el análisis de los resultados obtenidos; este último demanda hardware básico limitado por su bajo espacio en disco duro y capacidad de procesamiento, lo cual favorecerá los costos de su adquisición o la probabilidad de utilización de equipos antiguos, obsoletos dentro del uso de la institución.

1.8. MARCO REFERENCIAL

1.8.1. Marco Teórico

1.8.1.1. Seguridad informática Seguridad informática se puede definir como un conjunto de medidas que impidan la ejecución de operaciones no autorizadas sobre un sistema o red informática, estas medidas pueden ser un conjunto de reglas, planes, actividades y herramientas. Los efectos que puede tener una operación no autorizada en un sistema informático, pueden conllevar daños sobre la información, comprometer su confidencialidad, autenticidad, integridad, también pueden disminuir el rendimiento de los equipos, desactivar los servicios o bloquear el acceso a los usuarios autorizados del sistema. Así mismo es necesario considerar otro tipo de aspectos cuando se habla de Seguridad Informática:

Cumplimiento de las regulaciones legales aplicables a cada sector o tipo de organización, dependiendo del marco legal de cada país.

Control en el acceso a los servicios ofrecidos a la información guardada por un sistema informático

Control en el acceso y utilización de los ficheros con contenido digital protegido por la ley de derechos de autor.

Identificación de los autores de la información o de los mensajes. Registro del uso de los servicios de un sistema informático.

También se debe tener en cuenta que la seguridad de un sistema informático dependerá de diversos factores, entre los que se destacan los siguientes:

La sensibilización de los directivos y responsables de la organización, que

deben ser conscientes de la necesidad de destinar recursos a esta función. Los conocimientos, capacidades e implicación de los responsables del

sistema informático. La mentalización, formación y asunción de responsabilidades de todos los

usuarios del sistema. La correcta instalación, configuración y mantenimiento de los equipos. La limitación en la asignación de los permisos y privilegios de usuarios. El soporte de los fabricantes de software y de hardware, con la publicación

de parches y actualizaciones de sus productos que permitan corregir los fallos y problemas relacionados con la seguridad.

La adaptación de los objetivos de seguridad y de las actividades a realizar a las necesidades reales de la organización.5

1.8.1.1.1. Objetivos y misión de la Seguridad Informática Entre los principales objetivos de la seguridad informática se destacan los siguientes:

Proteger los recursos de los sistemas informáticos, siendo prioritario la protección a la información, pero abarcando también los equipos, la infraestructura, el uso de las aplicaciones, entre otros.

Garantizar la adecuada utilización de los recursos y aplicaciones del sistema. Limitar las pérdidas y conseguir la adecuada recuperación del sistema en

caso de un incidente de seguridad. Cumplir con el marco legal y con los requisitos impuestos en los contratos.

La misión de la seguridad informática se puede plantear como una serie de actividades específicas para una organización que le permitan alcanzar los objetivos de seguridad. Entre las más importantes se tienen las siguientes:

Desarrollo e implantación de políticas de seguridad que estén relacionadas directamente con las actividades reales de una organización.

Mejora constante de los sistemas de seguridad por medio de su monitoreo y análisis, así como la adquisición y actualización de tecnologías.

Minimizar, gestionar los riesgos y detectar los posibles problemas y amenazas a la seguridad.

Capacitar al personal encargado de la seguridad del sistema para que tengan conocimientos actualizados que les permitan desempeñar su labor de manera más eficiente.

Concienciar a los usuarios del sistema informático sobre la importancia de las políticas de seguridad impuestas.

5 Universidad Nacional Autonóma de México. (2017). Tutorial de Seguridad Informática. Obtenido de Tutorial de Seguridad Informática: http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap1.html

A continuación, se presentan brevemente los elementos considerados significativos por MAGERIT para el estudio de la Seguridad en Sistemas de Información.

Activos: recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección.

Amenazas: eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo.

Impacto en un activo: consecuencia sobre éste de la materialización de una amenaza.

Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organización

Servicio de salvaguarda: acción que reduce el riesgo. Mecanismo de salvaguarda: procedimiento, dispositivo, físico o lógico, que

reduce el riesgo.

Ilustración 1 Mecanismos de Salvaguarda. 6

6 Universidad Nacional Autonóma de México. (2017). Tutorial de Seguridad Informática. Obtenido de Tutorial

de Seguridad Informática: http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap1.html#02

1.8.1.1.2. Amenazas a las redes y sistemas computacionales Una amenaza es la probabilidad de que ocurra un incidente que provoque la pérdida o daños a los recursos informáticos de una organización. Por su origen pueden clasificarse en:

Amenazas de origen humano: Son todas las amenazas causadas por la intervención directa de los humanos, abarca actos malintencionados, incumplimiento de las medidas de seguridad, actos negligentes, entre otros. Estos pueden ser el sabotaje, infiltración de usuarios no autorizados, descuido del personal, etc.

Amenazas de fuerza mayor: En esta clasificación se encuentran los desastres naturales como inundaciones, terremotos, incendios, etc. Estos desastres no solo afectan a la información contenida en los sistemas, sino también representan una amenaza a la integridad del sistema completo (infraestructura, instalación, componentes, equipos, etc.) pudiendo dejar al sistema incluso en un estado de inoperabilidad permanente.

Errores de Hardware: Se da la amenaza por fallas físicas que presente cualquiera de los dispositivos de hardware que conforman a la computadora. Estos sucesos se pueden presentar por fallas en el suministro de energía (ruido electromagnético, caídas de voltaje, variación de frecuencia, etc.) los cuales dañan a los equipos, desperfectos de fábrica, falta de mantenimiento o maltrato, diseño inapropiado de los componentes, entre otros.

Errores de la red: Son todos los errores que provoquen la no disponibilidad de servicios de una red de cómputo. Esta situación puede ser provocada por el efecto directo de un acto humano o por fallas físicas y lógicas del mismo sistema. Por ejemplo, la saturación del ancho de banda, instalación y configuración incorrecta de los dispositivos de la red, destrucción física de las líneas de transmisión de datos, etc.

Problemas de tipo lógico: Es una falla que se da a nivel software, puede ser causado por un error interno del sistema, pero también abarca el daño causado por códigos maliciosos o un ataque de un intruso humano. Un gusano informático ilustra está categoría, pues desvía los recursos del sistema para reproducirse, reenviarse y posteriormente causa daños al sistema infectado7

1.8.1.1.3. Servicios de Seguridad Para hacer frente a las amenazas a la seguridad del sistema, se define una serie de servicios de seguridad, los cuales están encargados de proteger los sistemas de información, sus procesos, el tráfico de datos y el contenido de la información que se maneja dentro de una organización. Estos servicios hacen uso de uno o varios mecanismos de seguridad.

7 Universidad Nacional Autonóma de México. (2017). Tutorial de Seguridad Informática. Obtenido de Tutorial de Seguridad Informática: http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap1.html

Los servicios de seguridad se clasifican en:

Confidencialidad Autenticación Integridad No repudio Control de Acceso Disponibilidad

Confidencialidad Es cuando se requiere que la información solamente sea accesible a las entidades autorizadas, esto es porque la información es un recurso valioso de una organización y debe mantenerse en secreto para toda entidad no autorizada que en potencia le puede dar mal uso. La confidencialidad de datos se aplica a todos los datos intercambiados por las entidades autorizadas. El servicio de confidencialidad se divide en dos aspectos que son:

Confidencialidad de contenido: se encarga de que la información no pueda ser descubierta, leída o modificada sin autorización.

Confidencialidad de flujo de mensaje: encargado de que la información no sea interceptada durante la comunicación de entidades.

Autenticación Se encarga de la identificación correcta del origen del mensaje, asegurando que la entidad no es falsa. Se distinguen dos tipos autenticación:

Autenticación de entidad: se asegura que la identidad de las entidades participantes en la comunicación sea correcta.

Autenticación de origen de información: se asegura que las unidades de información provengan de la entidad que dicen ser.

Integridad La integridad de datos asegura que los datos recibidos no han sido modificados por entidades no autorizadas y que la secuencia de datos se mantenga durante la transmisión. La modificación incluye escritura, cambio, borrado, creación, inserción y supresión de los mensajes transmitidos. La integridad de secuencia de datos asegura que la secuencia de los bloques o unidades de datos recibidas no ha sido alterada y que no hay unidades repetidas o pérdidas.

No repudio El no repudio ofrece protección para que las entidades de un proceso de comunicación no puedan negar su participación. De esta manera la entidad emisora prueba que envió cierta información, y la entidad receptora puede probar que recibió cierta información. Los servicios de no repudio presentan pruebas a una tercera entidad de que se realizó una comunicación entre entidades, este servicio se efectúa por medio de una colección de evidencias irrefutables que permitirán la resolución de cualquier disputa. Los siguientes servicios son los que pueden ser proporcionados:

No repudio de origen: provee pruebas del origen de los datos, protegiendo al receptor de que el emisor niegue haber enviado el paquete de datos.

No repudio de envió: provee pruebas del envió de los datos, previene al receptor de cualquier denegación falsa al recibir los datos.

No repudio de presentación: provee pruebas de presentación de los datos, con ello protege contra cualquier intento falso de negar que los datos fueron presentados para el envío.

No repudio de transporte: provee pruebas del transporte de los datos, protege contra cualquier intento de negar que los datos fueron transportados.

No repudio de recepción: provee pruebas de la recepción de los datos, protege al emisor de que el receptor niegue haber recibido el mensaje.

Control de Acceso Este servicio se presenta cuando se tiene la necesidad de restringir y limitar el acceso a recursos y sistemas internos a usuarios no autorizados. Los componentes básicos de un mecanismo de control de acceso son las entidades de red, los recursos de la red y los derechos de acceso. Los usuarios, los recursos y la información pueden ser clasificados al asignarse diferentes niveles de seguridad, por lo que los usuarios autorizados para cierto nivel pueden acceder a todos los recursos disponibles de ese nivel, pero no a otros niveles a los que no esté autorizado. Disponibilidad El servicio de disponibilidad se encarga de que los recursos del sistema informático estén disponibles a las entidades autorizadas cuando lo soliciten y las veces que sea necesario. La disponibilidad se refiere al tiempo para obtener la información sin asegurar que la información transmitida es correcta o no. La falta de disponibilidad se manifiesta principalmente de dos formas:

La denegación, o repudio, del servicio debido a la falta de garantías de la prestación del mismo, tanto por parte del prestador del servicio como del solicitante o tomador (controles de identificación fehaciente, falta de prestaciones de los equipos, congestión de líneas, etc.).

La pérdida de servicios de los recursos de información por causa de catástrofes naturales o por fallos de equipos, averías, acción de virus, etc.8

1.8.1.2. HONEYPOT Un Honeypot es un sistema diseñado para analizar cómo los hackers emplean sus armas para intentar entrar en un sistema (analizan las vulnerabilidades) y alterar, copiar o destruir sus datos o la totalidad de éstos. Por medio del aprendizaje de sus herramientas y métodos se puede, entonces, proteger mejor los sistemas. Pueden constar de diferentes aplicaciones, una de ellas sirve para capturar al intruso o aprender cómo actúan sin que ellos sepan que están siendo vigilados. Los Honeypots en su forma más básica son servidores de información falsos, posicionados estratégicamente en una red de prueba, los cuales son alimentados con información falsa que es disfrazada como archivos de naturaleza confidencial. A su vez, estos servidores son configurados inicialmente de manera que sea difícil mas no imposible el hecho de ser penetrados por un atacante informático, exponiéndolos de manera deliberada y haciéndolos altamente atractivos para un “hacker” en busca de un blanco. Por último, el servidor es habilitado con herramientas de monitoreo y rastreo de información, de manera que cada paso y rastro de actividad de un “hacker” pueda ser registrado en una bitácora que indique esos movimientos de manera detallada. Las funciones principales de un Honeypot son:

Desviar la atención del atacante de la red real del sistema, de manera que no se comprometan los recursos principales de información.

Capturar nuevos virus o gusanos para su estudio posterior. Formar perfiles de atacantes y sus métodos de ataque preferidos, de manera

similar a la usada por una corporación policiaca para construir el archivo de un criminal basado en su modus operandi.

Conocer nuevas vulnerabilidades y riesgos de los distintos sistemas operativos, entornos y programas las cuales aún no se encuentren debidamente documentadas.

Los Honeypots pueden ayudar a prevenir ataques en varias formas: Defensa contra ataques automatizados: Estos ataques son basados en herramientas que aleatoriamente rastrean redes enteras buscando sistemas

8 Universidad Nacional Autonóma de México. (2017). Tutorial de Seguridad Informática. Obtenido de Tutorial

de Seguridad Informática: http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap1.html

vulnerables. Si un sistema vulnerable es encontrado, estas herramientas automatizadas atacaran y tomaran el sistema (con gusanos que se replican en la víctima). Uno de los métodos para proteger de tales ataques es bajando la velocidad de su rastreo para después detenerlos. Llamados “Sticky Honeypots”, estas soluciones monitorean el espacio IP no utilizado. Cuando los sistemas son analizados, estos Honeypots interactúan con él y disminuyen la velocidad del ataque. Esto se logra utilizando una variedad de trucos TCP, como poniendo el “Window Size” a cero o poniendo al atacante en un estado de espera continúa. Esto es excelente para disminuir la velocidad o para prevenir la diseminación de gusanos que han penetrado en la red interna. Protección contra intrusos humanos: Este concepto se conoce como engaño o disuasión. La idea de esta contramedida es confundir al atacante y hacerle perder tiempo y recursos mientras interactúa con el Honeypot. Mientras ese proceso se lleva a cabo, se puede detectar la actividad del atacante y se tiene tiempo para reaccionar y detener el ataque. Métodos de Detección Precisa: Tradicionalmente, la detección ha sido una tarea extremadamente difícil de llevar a cabo. Las tecnologías como los Sistemas de Detección de Intrusos y sistemas de logueo han sido deficientes por diversas razones: Generan información en cantidades excesivas, grandes porcentajes de falsos positivos (o falsas alarmas), no cuentan con la habilidad de detectar nuevos ataques y/o de trabajar en forma encriptada o en entornos IPv6. Los Honeypots son excelentes en el ramo de la detección, solventando muchos de los problemas de la detección clásica: Reducen los falsos positivos, capturan pequeñas cantidades de datos de gran importancia como ataques desconocidos y nuevos métodos de explotación de vulnerabilidades (zero-days) y trabajan en forma encriptada o en entornos Ipv6. Labor Ciber-Forense: Una vez que un administrador de red se da cuenta que uno(s) de sus servidores fueron comprometidos ilegalmente, es necesario proceder inmediatamente a realizar un análisis forense en el sistema comprometido para realizar un control de daños causados por el atacante. Sin embargo, hay dos problemas que afectan a la respuesta al incidente: Frecuentemente, los sistemas comprometidos no pueden ser desconectados de la red para ser analizados y la cantidad de información que se genera es considerablemente extensa, de manera que es muy difícil determinar lo que hizo el atacante dentro del sistema. Los Honeypots ayudan a solventar ambos problemas, ya que son excelentes herramientas de análisis de incidencias que pueden rápida y fácilmente ser sacados de la red para un análisis forense completo, sin causar impacto en las operaciones empresariales diarias. La única actividad que guardan los Honeypots son las relacionadas con el atacante, ya que no son utilizadas por ningún otro usuario, excepto los atacantes. La importancia de los Honeypots, es la rápida entrega de la

información, analizada en profundidad previamente, para responder rápida y eficientemente a un incidente.9

1.8.1.2.1. Clasificación de los Honeypots Los Honeypots se pueden clasificar de acuerdo a dos criterios: Según su Ambiente de Implementación y según su Nivel de Interacción. Estos criterios de clasificación hacen fácil entender su operación y utilización al momento de planear la implementación de uno de ellos dentro de una red de datos o infraestructura de TI.

Honeypots según su Ambiente de Implementación: Bajo esta categoría es posible definir dos tipos de Honeypots: Para la Producción y para la Investigación.

Honeypots para la Producción: Son aquellos que se utilizan para proteger a las organizaciones en ambientes reales de operación. Se implementan de manera colateral a las redes de datos o infraestructuras de TI y están sujetas a ataques constantes las 24 horas del día, 7 días a la semana (24/7). Se les concede cada vez más importancia debido a las herramientas de detección que pueden brindar y por la forma cómo pueden complementar la protección en la red y en los hosts.

Honeypots para la Investigación: Estos Honeypots no son implementados con la finalidad de proteger redes, sino que constituyen recursos educativos de naturaleza demostrativa y de investigación cuyo objetivo se centra en estudiar patrones de ataque y amenazas de todo tipo. Gran parte de la atención actual se centra en los Honeypots para la investigación, que se utilizan para recolectar información sobre las acciones de los intrusos.

Honeypots según su Nivel de Interacción: Dentro de este criterio de clasificación, el término “Nivel de Interacción” define el rango de posibilidades de ataque que un Honeypot le permite tener un potencial atacante. Estas categorías ayudan a entender no solo el tipo de Honeypot con el que se está trabajando, sino también ayudan a definir la gama de opciones en cuanto a las vulnerabilidades que se desea que un atacante explote. Estas son las características de mayor importancia al momento de empezar a construir el perfil de un atacante.

Honeypots de Baja Interacción: Normalmente, estos Honeypots trabajan únicamente emulando servicios y sistemas operativos. La actividad del atacante se encuentra limitada al nivel de emulación del Honeypot. La ventaja de un Honeypot de Baja Interacción radica

9 CYBSEC. (2017). Seguridad Informática - Honeypots. Obtenido de Seguridad Informática - Honeypots: http://www.cybsec.com/upload/ESPE_Honeypots.pdf

principalmente en su simplicidad, ya que estos tienden a ser fáciles de utilizar y mantener con un riesgo mínimo. Por ejemplo, un servicio FTP emulado, escuchando en el puerto 21, probablemente estará emulando un login FTP o probablemente soportará algunos comandos FTP adicionales, pero no representa un blanco de importancia crítica ya que probablemente no está ligado a un servidor FTP que contenga información sensible. Por lo general, el proceso de implementación de un Honeypot de Baja Interacción consiste en instalar un software de emulación de sistema operativo, elegir el sistema operativo y el servicio a emular, establecer una estrategia de monitoreo y dejar que el programa opere por sí solo de manera normal. Este proceso, de naturaleza similar al “plug and play”, hace que la utilización de este tipo de Honeypot sea extremadamente sencilla. Los servicios emulados mitigan el riesgo de penetración, conteniendo la actividad del intruso que nunca tiene acceso al sistema operativo real donde puede atacar o dañar otros sistemas. La principal desventaja de los Honeypots de Baja Interacción radica en que registran únicamente información limitada, ya que están diseñados para capturar actividad predeterminada. Debido a que los servicios emulados solo pueden llegar hasta un cierto límite operacional, ésa característica limita la gama de opciones que se pueden anunciar hacia el potencial intruso. De igual manera, es relativamente sencillo para un atacante el detectar un Honeypot de Baja Interacción, ya que un intruso hábil puede detectar qué tan buena es la emulación con el debido tiempo. Ejemplos de Honeypots de Baja Interacción son: Specter, Honeyd, y KFSensor.

Honeypots de Alta Interacción: Este tipo de Honeypots constituyen una solución compleja, ya que implica la utilización de sistemas operativos y aplicaciones reales montados en hardware real sin la utilización de software de emulación e involucrando aplicaciones reales que se ejecutan de manera normal, muchas veces en directa relación a servicios como bases de datos y directorios de archivos compartidos. Por ejemplo: Si se desea implementar un Honeypot sobre un servidor Linux que ejecute un servidor FTP, se tendrá que construir un verdadero sistema Linux y montar un verdadero servidor FTP. Las ventajas de dicha solución son dos: Por un lado, se tiene la posibilidad de capturar grandes cantidades de información referentes al modus operandi de los atacantes debido a que los intrusos se encuentran interactuando frente a un sistema real. De esta manera, se está en posibilidad de estudiar la extensión completa de sus actividades: cualquier cosa desde nuevos rootkits, zero-days, hasta sesiones internacionales de IRC.

Por otro lado, los Honeypots de Alta Interacción no asumen nada acerca del posible comportamiento que tendrá el atacante, proveyendo un entorno abierto que captura todas las actividades realizadas y que ofrece una amplia gama de servicios, aplicaciones y depósitos de información que pueden servir como blanco potencial para aquellos servicios que específicamente se desea comprometer. Esto permite a las soluciones de alta interacción conocer comportamientos no esperados. Sin embargo, esta última capacidad también incrementa el riesgo de que los atacantes puedan utilizar estos sistemas operativos reales para lanzar ataques a sistemas internos que no forman parte de los Honeypots, convirtiendo una carnada en un arma. En consecuencia, se requiere la implementación de una tecnología adicional que prevenga al atacante el dañar otros sistemas que no son Honeypots o que prive al sistema comprometido de sus capacidades de convertirse en una plataforma de lanzamiento de ataques. Hoy por hoy, el mejor ejemplo de un Honeypot de alta interacción está representado en las Honeynets.10

1.8.1.2.2. Ubicación La ubicación de los Honeypots es esencial para maximizar su efectividad, ya que debido a su carácter intrínsecamente pasivo; una ubicación de difícil acceso eliminará gran parte de su atractivo para potenciales atacantes. Por otro lado, si su ubicación es demasiado artificial u obvia cualquier experimentado atacante la descubrirá y evitará todo contacto. Se debe tener en cuenta que los Honeypots se debe integrar con el resto del sistema que se tiene implementado, por ejemplo: servidores WWW, servidores de ficheros, DNS. Asegurar de manera que no interfiera con las otras medidas de seguridad que puedan ya existir en la red como Firewalls, IDS. Los Honeypots pueden servir tanto para la detección de atacantes internos como externos, se debe tener siempre en cuenta la posibilidad de establecer Honeypots internos para la detección de atacantes o sistemas comprometidos en la red, por ejemplo, sistemas infectados con gusanos o virus. Los Honeypots pueden ubicarse:

Antes del firewall (Front of firewall): Esta localización permitirá evitar el incremento del riesgo inherente a la instalación del Honeypot. Como este se encuentra fuera de la zona protegida por el firewall, puede ser atacado sin

10 Hernández y López, M. J. (2007). Aplicaciones Prácticas de los Honeypots en la Protección y Monitoreo de Redes de Información. Obtenido de CienciaUAT: http://www.redalyc.org/pdf/4419/441942908009.pdf

ningún tipo de peligro para el resto de la red como se puede observar en la figura:

Ilustración 2 Ubicación de un Honeypot antes del Firewall11

Esta configuración evitará las alarmas de otros sistemas de seguridad de la red (IDS) al recibir ataques en el Honeypot. Sin embargo, existe el peligro de generar mucho tráfico debido precisamente a la facilidad que ofrece el Honeypot para ser atacado. Cualquier atacante externo será lo primero que encuentra y esto generará un gran consumo de ancho de banda y espacio en los ficheros de log. Por otro lado, esta ubicación evita la detección de atacantes internos.

Detrás del firewall (Behind the firewall): En esta posición, el Honeypot

queda afectado por las reglas de filtrado del firewall. Por un lado, se tiene que modificar las reglas para permitir algún tipo de acceso al Honeypot por posibles atacantes externos, y por el otro lado, al introducir un elemento potencialmente peligroso dentro de la red se puede permitir a un atacante que gane acceso al Honeypot y a la red.

Ilustración 3 Ubicación de un Honeypot después del Firewall.12

La ubicación tras el firewall permite la detección de atacantes internos, así como firewalls mal configurados, máquinas infectadas por gusanos o virus e

11 CYBSEC. (2017). Seguridad Informática - Honeypots. Obtenido de Seguridad Informática - Honeypots: http://www.cybsec.com/upload/ESPE_Honeypots.pdf 12 CYBSEC. (2017). Seguridad Informática - Honeypots. Obtenido de Seguridad Informática - Honeypots: http://www.cybsec.com/upload/ESPE_Honeypots.pdf

incluso atacantes externos. Sin embargo, las contrapartidas más destacables son la gran cantidad de alertas de seguridad que generarán otros sistemas de seguridad de la red (Firewalls, IDS). Al recibir ataques el Honeypot se ve en la necesidad de asegurar el resto de la red contra el Honeypot mediante el uso de firewalls extras o sistemas de bloqueo de acceso, ya que si un atacante logra comprometer el sistema tendrá vía libre en su ataque a toda la red. Hay varias circunstancias que obligan a este tipo de arquitectura, como por ejemplo la detección de atacantes internos o la imposibilidad de utilizar una dirección IP externa para el Honeypot.

En la zona desmilitarizada: La ubicación en la zona desmilitarizada permite

por un lado juntar en el mismo segmento a los servidores de producción con el Honeypot y por el otro controlar el peligro que añade su uso, ya que tiene un firewall que lo aísla del resto de la red local.

Ilustración 4 Ubicación de un Honeypot en la zona desmiliarizada.13

Esta arquitectura permite tener la posibilidad de detectar ataques externos e internos con una simple reconfiguración del sistema de firewall puesto que se encuentra en la zona de acceso público. Además, se elimina las alarmas de los sistemas internos de seguridad y el peligro que supone para la red al no estar en contacto directo con esta. La detección de atacantes internos se ve algo debilitada, puesto que al no compartir el mismo segmento de red que la LAN, un atacante local no accederá al Honeypot. Sin embargo, desde la red local si es posible acceder al Honeypot, con lo que un atacante interno que intente atacar a los servidores públicos u otros sistemas externos por ejemplo un gusano, muy probablemente acabe siendo detectado. 14

1.8.1.2.3. Ventajas y Desventajas de Honeypots Las principales características y ventajas que ofrecen los sistemas basados en Honeypots son:

Generan un volumen pequeño de datos, que al contrario de los sistemas clásicos de seguridad (Firewalls, IDS…), generan cientos de megas de

13 CYBSEC. (2017). Seguridad Informática - Honeypots. Obtenido de Seguridad Informática - Honeypots: http://www.cybsec.com/upload/ESPE_Honeypots.pdf 14 CYBSEC. (2017). Seguridad Informática - Honeypots. Obtenido de Seguridad Informática - Honeypots: http://www.cybsec.com/upload/ESPE_Honeypots.pdf

ficheros de logs con todo tipo de información no necesaria, que para el caso de los Honeypots estos generan muy pocos datos y de altísimo valor.

Los Honeypots son ordenadores al que ningún usuario o sistema normal debe acceder a ellos. Permitiendo de esta forma, relevar cualquier acceso, atacante o una configuración errónea de un sistema, sin existir falsos positivos.

Se necesita recursos mínimos, ya que, a diferencia de otros sistemas de seguridad, las necesidades de un Honeypot son mínimas. No consume ni ancho de banda ni memoria o CPU extra. No necesita complejas arquitecturas o varios ordenadores centralizados, cualquier ordenador conectado a la red puede realizar este trabajo.

Este tipo de sistemas sirven tanto para posibles atacantes internos como externos. De esta forma, se evita poner a las máquinas nombres como “honeypot” o “attack-me”; muchas veces ni tan siquiera están dadas de altas en los DNS. Su objetivo es pasar desapercibidas en una red como una máquina más.

Como todo sistema tiene también unas contrapartidas o desventajas asociadas. En el caso de los Honeypots los principales inconvenientes son:

Son elementos totalmente pasivos. De esta forma, si no reciben ningún ataque no sirven de nada.

Son fuentes potenciales de riesgo para nuestra red. Debido a la atracción que ejercen sobre posibles atacantes, si no se calibra perfectamente el alcance del Honeypot y se convierte en un entorno controlado y cerrado, puede ser utilizado como fuente de ataques a otras redes o incluso a la nuestra propia.

Consumen una dirección IP como mínimo. De todas formas, este inconveniente es mínimo, ya que lo ideal es asignar direcciones IP del rango de direcciones libres.

Del análisis de todas las características principales de los Honeypots y aplicando el desglose del concepto de seguridad en prevención, detección y reacción, se obtiene el siguiente análisis:

1. Los Honeypots tienen un limitado carácter preventivo. No evitarán o disuadirán a ningún posible atacante.

2. Tienen un alto grado de detección. Si bien son elementos pasivos, los atacantes rara vez se centran en una simple máquina, sino que buscan por toda la red posibles víctimas, lo que hace que antes o después se encuentre con el Honeypot.

3. La reacción es otro de los valores que añade el uso de Honeypots. En los de Honeypots de producción se puede de forma automática generar los comandos necesarios para evitar el acceso del atacante al resto del sistema. En los de investigación, además permiten a posteriori la ejecución de

técnicas forenses (computer forense) para examinar el comportamiento del atacante y descubrir sus comportamientos.15

1.8.1.2.4. Diseño de la trampa El Honeypots está formado por un conjunto de equipos vulnerables; las máquinas trampa propiamente dichas y un equipo de control que monitoriza al resto de los equipos. Este sistema permitirá el tráfico entre la red de equipos trampa y el exterior, bloqueando los equipos cuando se detecta un ataque, de forma que no se puedan emplear estos, a su vez, para realizar nuevos ataques. En los equipos trampa se pueden instalar los diversos sistemas operativos usados en la institución con la configuración de servicios que se desee monitorizar (servidor WWW, FTP, etc.). Dado que estos equipos trampa no necesitan tener un rendimiento alto, se pueden emplear sistemas antiguos que hayan sido retirados del servicio, aunque es conveniente que pueden ejecutar versiones actuales de los sistemas operativos. Para proceder al análisis de los datos dejados por el atacante en el equipo, no conviene que los sistemas tengan una capacidad de almacenamiento muy elevada. Estos equipos trampa tendrán direccionamiento propio de la red de la organización y estarán conectados entre sí a un hub que permita al atacante, en un momento dado, capturar el tráfico falso entre equipos externos y las maquinas trampa de manera que el atacante pueda ser dirigido a otros equipos trampa. El equipo de control funciona en modo puente Ethernet, actuando de forma transparente a nivel IP, pudiendo, de esta manera, conectar las máquinas trampa a la red, manteniéndolas aisladas del resto de los equipos de la organización y sin tener que implementar una subred donde incluirlas. Este equipo de control deberá tener, a su vez, una dirección IP para poder gestionarlo. Para poder monitorizar los ataques, el equipo de control capturará todo el tráfico con origen y/o destino a la red de máquinas trampa, de forma que se pueda tener un registro de las conexiones que realiza el atacante a ellas. Este registro de tráfico sirve, entre otras cosas, para poder detectar nuevos ataques y vulnerabilidades ya que se puede comparar el tráfico generado por el uso del ataque o exploit con los realizados por otros ataques similares; y detectar así cuando aparecen nuevos ataques o variaciones de otros ya existentes.

15 García, G. (2007). Seguridad - Tecnologías de Seguridad. Obtenido de Honeypots: https://radiosyculturalibre.com.ar/biblioteca/REVISTAS/Linux+%20Magazine/Honeypots.pdf

Ilustración 5 Ejemplo de un red trampa.16

1.8.2. Estado del Arte

Existen pocas herramientas comerciales que cubran este mercado de honeypots, sin embargo, en el mundo del código libre, se ofrecen muchas utilidades que pueden servir como honeypots, tanto a empresas como a particulares.

Lance Spitzner, consultor y analista informático experto en seguridad, construyó a comienzos del año 2000 una red de seis ordenadores en su propia casa. Esta red la diseñó para estudiar el comportamiento y formas de actuación de los atacantes. Fue de los primeros investigadores en adoptar la idea, y hoy es uno de los mayores expertos en honeypots, precursor del proyecto honeynet (www.honeynet.org), en marcha desde 1999, y autor del libro "Honeypots: Tracking Hackers”. Desde entonces, se ha creado toda una comunidad de desarrolladores aglutinados alrededor de honeynet.org que ofrecen todo tipo de herramientas y consejos para utilizar estas herramientas.

A continuación, se describen algunos de los honeypots desarrollados que son implementados en diferentes sectores, con un resumen de sus principales características.

16 CYBSEC. (2017). Seguridad Informática - Honeypots. Obtenido de Seguridad Informática - Honeypots: http://www.cybsec.com/upload/ESPE_Honeypots.pdf

Deception Toolkit (DTK): Es un honeypot de bajo nivel de interacción, open source, el cual se basa en simular servicios. Básicamente se trata de un conjunto de scripts Perl diseñados para emular una variedad de vulnerabilidades conocidas, las cuales pueden ser configuradas para dar respuestas falsas (archivos, peticiones, etc.). Un objetivo peculiar de DTK es que sus desarrolladores intentan hacer que este sea fácil de detectar. Esto lo hacen porque la idea del sistema se basa en el supuesto de que si un atacante identifica la instalación en la red que desea comprometer, desistirá de su intento y buscará otro blanco (decepción). Está orientado a desahuciar al atacante, intentando vencerlo psicológicamente. Este objetivo no es posible cumplirlo si se trata de un ataque automatizado.

Ilustración 6 Consola de Deception Toolkit.17

Back Officer Friendly (BOF): Es un honeypot de bajo nivel de interacción, desarrollado en 1998 por Marcus Ranum que corre bajo plataforma Windows. Su desarrollo fue pensado para responder al ataque específico del troyano BackOrifice. Es una herramienta que fue diseñada pensando en el usuario final, por eso su característica principal es la facilidad de uso. Es posible exportar el log a un archivo txt de forma manual.

Specter: Es un honeypot comercial de bajo nivel de interacción creado por NetSec, una compañía Suiza de seguridad de redes. Puede emular diversos servicios con sus respectivas vulnerabilidades, y también puede escuchar en determinados puertos para detectar cualquier actividad. Ofrece la emulación de varios sistemas operativos, limitado por sistema anfitrión a los sistemas Windows. El stack IP no se emula, con lo cual el honeypot corre el riesgo de ser detectado cuando se emula un sistema diferente a Windows. Es capaz de simular hasta 14 sistemas operativos diferentes. Su principal atractivo es su facilidad de uso.

17 Instituto Nacional de Tecnologías de la Comunicación. (2017). Honeypots, monitorizando a los atacantes.

Obtenido de Honeypots, monitorizando a los atacantes: http://www.egov.ufsc.br/portal/sites/default/files/honeypots_monitorizando_a_los_atacantes.pdf

Ilustración 7 Consola de Specter18

LaBrea Tarpit: es un honeypot open source creado por Tom Liston, diseñado para enlentecer o detener los ataques, a este tipo de honeypots se los denomina “stinky honeypot” (o honeypot pegajoso). Para ello introduce el concepto de Tarpit, un servicio que intenta frenar a los emisores de correo spam3 y worms4 enlenteciendo las conexiones TCP, llegando incluso a paralizarlas, pero sin cortar la conexión. Su funcionamiento se basa en tomar direcciones IP no utilizadas en la red en que se encuentra, instalando y configurando en ellas servidores virtuales que brindan servicios comunes, como, por ejemplo, HTTP, POP3, etc. Cuando un atacante realiza una conexión intenta mantener esta abierta (IDLE) el mayor tiempo posible. Para lograr ese objetivo cuenta con los siguientes mecanismos:

Regulación (throtlling): este mecanismo consiste en aceptar nuevas conexiones, pero utilizando una ventana pequeña para la recepción de datos. De esa forma indica a la entidad emisora no enviar más datos por paquete de lo soportado, obteniendo con ello lentitud en la conexión.

Captura persistente (persistent capture): establece que la ventana de recepción TCP tiene tamaño 0, por lo que indica a los emisores a realizar esperas antes del envío de más información. Para que la conexión no sea cancelada, periódicamente vuelve a dar un tamaño

18 Instituto Nacional de Tecnologías de la Comunicación. (2017). Honeypots, monitorizando a los atacantes. Obtenido de Honeypots, monitorizando a los atacantes: http://www.egov.ufsc.br/portal/sites/default/files/honeypots_monitorizando_a_los_atacantes.pdf

mayor para que el emisor vuelva a transmitir obteniendo así una alta degradación de la velocidad de la conexión.19

El uso de las anteriores herramientas permitirá dar soporte a la configuración de los Honeypots que serán empleados para el objeto de este trabajo. Se pretende hacer uso de estas herramientas open source para la ejecución de pruebas funcionales por la cual se obtendrán los primeros datos que permitan identificar los diferentes ataques informáticos.

A continuación, se relacionan diferentes proyectos relacionados con Honeypots que han sido desarrollados por diferentes instituciones del sector académico.

Implementación de una Red Honeypots para la Detección y Clasificación de Intrusos mediante máquinas virtuales en el Ministerio de Defensa Nacional de Ecuador: De acuerdo con el resumen presente en la documentación de este, se indica que se pretende la implementación de una herramienta de seguridad informática denominada Honeypots, utilizando plataformas de virtualización. Para la ejecución del proyecto, se instaló la honeynet virtual auto contenida de tercera generación, se implementaron tres honeypots con diferentes sistemas operativos y servicios, los mismos que presentaban vulnerabilidades para atraer a los intrusos. La máquina fuente se conectó directamente al router de la empresa, con el fin de evitar daños en la red de producción. Además, se realizaron pruebas de escaneo, fuerza bruta y denegación de servicio. El Honeynet registró las intrusiones a la red y el comportamiento de los atacantes, lo que ayudó a establecer mecanismos de mejora en la seguridad requerida.

El desarrollo de este trabajo tiene como fin la implementación de Honeypots dentro de máquinas virtuales, su aplicación reduce los costos de ejecución y permite identificar alternativas en la configuración de estos haciendo uso de la virtualización para dar sostenimiento al proyecto.

Honeypots y el monitoreo de seguridad de la redUNAM: el proyecto fue realizado por el equipo de respuesta a incidentes del Departamento de Seguridad en Cómputo UNAM-CERT. Se hace énfasis en la captura pasiva de la actividad maliciosa en la red y cómo esta información es utilizada en la tarea diaria de la atención de incidentes de seguridad, además de la tecnología y las herramientas utilizadas, así como los retos que se presentan en el monitoreo de la actividad maliciosa de red de una de las infraestructuras de red más robustas en la académica de México.20

19 Instituto Nacional de Tecnologías de la Comunicación. (2017). Honeypots, monitorizando a los atacantes. Obtenido de Honeypots, monitorizando a los atacantes: http://www.egov.ufsc.br/portal/sites/default/files/honeypots_monitorizando_a_los_atacantes.pdf 20 Domínguez, D. J. (2008). Revista Digital Universitaria UNAM. Obtenido de Honeypots y el monitoreo de Seguridad de red UNAM: http://www.revista.unam.mx/vol.9/num4/art21/art21.pdf

Este trabajo incorpora diferentes elementos para construir una Honeynet, incluyen darknets y varios honeypots, todos direccionados a un servidor de recolección, con lo cual se puede pensar en la adaptabilidad de este proyecto y su extensión dentro de la Universidad.

Configuración de honeypots adaptativos para análisis de malware: Este trabajo es diseñado en la Universidad de Málaga España. Propone una arquitectura de despliegue de honeypots adaptativos, configurados dinámicamente a partir de los requisitos del malware que intenta infectar los servicios trampa. A diferencia de otros trabajos sobre honeypots adaptativos, los mecanismos de adaptabilidad diseñados toman como base información de inteligencia sobre amenazas actuales, indicadores de compromiso (IOCs) conocidos, así como información de actividades sospechosas actualmente en estudio por los analistas. El conocimiento obtenido de este es empleado para configurar honeypots de manera dinámica, permitiendo satisfacer los requisitos necesarios para que el malware pueda desplegar toda su operativa.21

Los honeypots descritos en este proyecto son especializados en determinados protocolos y servicios orientados solo a interacción con malware, mediante el cual se detectan patrones de búsqueda, ejecución explicita del código del malware, reacciones sobre el sistema y los vectores de infección de estos. Por otra parte, también brinda una estructura sobre la configuración de servicios trampa que sirven de referente para la puesta en marcha del objeto de este trabajo.

Diseño del prototipo de una Honeypot Virtual que permitirá mejorar el esquema de Seguridad en las Redes de la Carrera de Ingeniería en Sistemas Computacionales y Networking de la Universidad de Guayaquil: Este trabajo se centra en la seguridad de una red al momento de establecer una conexión con la red de redes, INTERNET, para esto y mediante la investigación realizada en este, se dará a conocer el uso, las características y ventajas de una tecnología innovadora llamada Honeypot; la cual en base al análisis posterior, permitiría estar más al tanto de las tendencias actuales del modo en que operan los intrusos y así aportar como ayuda a mejorar los esquemas de seguridad de la Carrera de Ingeniería en Sistemas Computacionales y Networking de la Universidad de Guayaquil. Esta tecnología también es considerada como una herramienta de investigación y su filosofía se explica con una frase “conoce a tu enemigo”, ya que al identificarlo y aprender de él y las técnicas que usa, será posible actuar tomando medidas que permitan mitigar en cierto modo las vulnerabilidades existentes en cualquier entorno de red. Por otra parte, la tecnología Honeypot posee una característica en particular, que rompe con todo paradigma establecido en el medio de la Seguridad de Redes, y es que,

21 Nieto, G. F. (2017). Network, Information and Computer Security (NICS) Lab. Obtenido de Configuracion de honeypots adaptativos para análisis de malware: https://www.nics.uma.es/pub/papers/1650.pdf

al contrario de otros métodos de seguridad cuyo objetivo es prevenir los ataques la Honeypot plantea la idea de atraer al atacante con un único fin, aprender de él.22 Este trabajo brinda un importante análisis sobre IDS en host y red, y detalla la interacción con los componentes y la aplicación de la informática forense sobre estos. También presente la infraestructura, componentes y configuración de los diversos elementos que hacen parte de esta propuesta.

Sistema adaptativo de prevención de intrusos mediante Honeypots: este proyecto es desarrollado en la Universidad Autónoma de Madrid, Este proyecto se centra en analizar y estudiar los ataques de los Honeypots instalados para la creación automática y dinámica de reglas que permitan mejorar la seguridad en el sistema informático. Previamente, se realiza un estudio de los Honeypots del que se extraen tres objetivos bien diferenciados. El primero es el estudio de las herramientas de Honeypot utilizadas en la actualidad en una distribución de máquina virtual. En segundo lugar, se pretende recolectar información de una serie de Honeypots instalados en la UAM para este propósito. En tercer lugar, se realizará una transformación de la información recogida por los Honeypots ubicados en la red anteriormente mencionada, en las reglas de bloqueo que se añadirán al sistema con el fin de mejorar su seguridad. Para llevar a cabo este proyecto y poder alcanzar los objetivos marcados se creó una infraestructura que recoge información de los ataques sufridos por los Honeypots para su posterior procesamiento. Este programa, ‘HoneyPRules.py’, utiliza los Honeypots para la creación de reglas de bloqueo de una forma automática y dinámica utilizando Iptables. Este programa permite la interacción entre la infraestructura y un usuario final de una forma sencilla e intuitiva, posibilitando que el usuario pueda crear una configuración personalizada de las reglas de su sistema. De esta investigación se desprende que las reglas creadas e incorporadas al sistema por la infraestructura son efectivas. Por ello, hacen que la seguridad de éste aumente debido a que los Honeypots de la infraestructura, al estar continuamente expuestos a ataques, detecten direcciones altamente peligrosas de una forma más rápida, pudiendo así proteger al sistema antes de ser atacado.23 El enfoque de este proyecto tiene una variable adicional, es adaptable, es decir, hace uso de todos los datos que obtiene del Honeypot para definir reglas por medio de las cuales se consigue, por ejemplo, el bloqueo de IPs, el número de veces que el atacante ingresa al sistema, entre otras.

22 QUIJIJE, G. D. (2011). Universidad de Guayaquil. Obtenido de Diseño del prototipo de una Honeypot Virtual que permitirá mejorar el esquema de seguridad en las redes de la Universidad de Guayaquil: http://repositorio.ug.edu.ec/bitstream/redug/6776/1/TesisCompleta%20-%20328%20-%202011.pdf 23 Trujillano, D. M. (2016). Sistema adaptativo de prevención de intrusos. Obtenido de Universidad Autónoma de Madrid: https://repositorio.uam.es/bitstream/handle/10486/676764/Mayordomo_Trujillano_Daniel_tfg.pdf?sequence=1

1.9. FACTIBILIDAD

1.9.1. Técnica Un honeypot se puede implementar en un equipo con las siguientes características:

Elemento Características Uso

HARDWARE

PC de Escritorio

Monitor LED 19” Procesador Core i3 o superior Memoria RAM de 4 Gb o más Disco Duro de 500 Gbs o más Teclado y Mouse

Honeypot

SOFTWARE

Sistema Operativo Windows o Linux Sistema base del honeypot

OTROS

Conexión a internet Consultas Tabla 2 Detalle factibilidad técnica

1.9.2. Operativa Al evaluar aspectos de puesta en funcionamiento y operación de la solución, se concluye que la implementación de honeypots no hace uso de un alto nivel en tecnología, por lo tanto, se diseñará de tal manera que la configuración y/o instalación se pueda realizar en un equipo (computador) con las características básicas. Existen dispositivos que pueden obtener información sobre ataques informáticos que se presenten en la red, actualmente la seguridad de estos se enfoca a nivel de aplicaciones limitando el acceso. Los honeypots a diferencia de estos dispositivos permiten identificar las vulnerabilidades que se presentan permitiendo al administrador implementar protocolos y/o reglas que permitan tener un servicio más seguro sin arriesgar los servidores de la organización.

1.9.3. Legal Para desarrollar este proyecto se emplearán herramientas de software de licencia de uso libre con el fin de fomentar su uso permitiendo ahorrar costos en cuanto a licenciamiento. La función de los honeypots es atraer y analizar los ataques realizados por bots o hackers con el fin de obtener patrones en el trafico saliente y entrante a internet permitiendo identificar las vulnerabilidades que se tienen en el sistema, a pesar de representar una trampa los honeypots son considerados una

de las herramientas más utilizadas en el hacking ético, por lo tanto, la implementación de este proyecto no conllevara inconvenientes legales.

1.9.4. Económica Los costos de inversión son mínimos ya que el desarrollo de este proyecto no implica la utilización de equipos robustos o la adquisición de nueva tecnología, por el contrario, se hace uso de equipos de poca utilidad para la institución. En las tablas que se presentan a continuación se describe la factibilidad económica, identificando los costos de desarrollo necesarios para la realización del proyecto que se propone.

Costos Directos

RECURSO ESTUDIANTE UNIVERSIDAD

Equipo de cómputo $ 1.500.000 $ 0

S.O. CentOS y Fedora - Linux $ 0 $ 0

Herramientas de Software HoneyPots (*2)

$ 0 $ 0

Subtotal $ 1.500.000 $ 0

Imprevistos (10%) $ 150.000 $ 0

Total $ 1.650.000 $ 0

Total Costos Directos $ 1.650.000

Tabla 3 Detalle de Costos Directos

Costos Indirectos

RECURSO ESTUDIANTE UNIVERSIDAD

Servicio de Conexión a Internet $ 0 $ 730.000.000

Transporte $ 300.000 $ 0

Trabajo Estudiante $/h $4.000 * 576 $ 2.304.000 $ 0

Trabajo Director $/h $25.000 * 72 $ 0 $ 1.800.000

Papelería $ 200.000 $ 0

Subtotal $ 2.804.000 $ 1.800.000

Imprevistos (10%) $ 280.400 $ 180.000

Total $ 3.084.400 $ 1.980.000

Total Costos Indirectos $ 3.084.400

Tabla 4 Detalle de Costos Indirectos

El total de los recursos económicos necesarios para el desarrollo del proyecto es de: $ 4.734.400. El proyecto es económicamente factible ya que se desarrolla con los recursos con los que cuentan los ejecutores. Es necesario aclarar que para la Universidad este proyecto no representa gastos adicionales, dado que los recursos utilizados están incluidos en la ejecución

presupuestal anual que corresponde a su normal operación; lo que permite realizar un mejor uso de los mismos en pro de la implementación de nuevas alternativas para mejorar los procesos de formación en el área de seguridad informática dentro de la institución y brindar oportunidades de información al área administrativa de esta, lo cual puede traducirse en un mayor aprovechamiento de algunos recursos, una mejora en los procesos de enseñanza, aplicación de herramientas para la investigación, aporte de conocimiento para el sector empresarial y mayor calidad en los profesionales egresados de la universidad, que resultan ser factores importantes en la medición de la acreditación institucional de toda institución. Por su parte y teniendo en cuenta que el desarrollo de este proyecto pretende brindar a la universidad una herramienta para la investigación es necesario indicar que la universidad cuenta con al menos seis programas curriculares (Ingeniería de Sistemas, Ingeniería Telemática, Especialización en Teleinformática, Especialización en Proyectos Informáticos, Especialización en Ingeniería de Software y Maestría en Ciencias de la Información y las Comunicaciones) que integran el área de seguridad informática dentro de su contenido programático. En promedio estos proyectos registran 1314 estudiantes como activos, los cuales representan 5,6 % del total de los estudiantes. Luego, sobre la acreditación institucional que recientemente fue otorgada a la universidad y sobre lo que refiere a los gastos de esta, según la oficina asesora de sistema se prevén costos de $ 10.014.703.333 para dar soporte a las necesidades de acreditación para el año 2018 24 , estos costos pueden disminuirse con la implementación de estrategias económicas que fortalezcan los factores de acreditación, estrategias cómo la utilización de herramientas como las que se proponen en este proyecto.

1.10. DESARROLLO METODOLÓGICO El ciclo PHVA es un ciclo dinámico que puede ser empleado dentro de los procesos de la Organización. Es una herramienta de simple aplicación y, cuando se utiliza adecuadamente, puede ayudar mucho en la realización de las actividades de una manera más organizada y eficaz. Por tanto, adoptar la filosofía del ciclo PHVA proporciona una guía básica para la gestión de las actividades y los procesos, la estructura básica de un sistema, y es aplicable a cualquier organización. A través del ciclo PHVA la organización planea, estableciendo objetivos, definiendo los métodos para alcanzar los objetivos y definiendo los indicadores para verificar que, en efecto, éstos fueron logrados. Luego, la organización implementa y realiza todas sus actividades según los procedimientos y conforme a los requisitos de los clientes y a las normas técnicas establecidas, comprobando, monitoreando y controlando la calidad de los productos y el desempeño de todos los procesos clave. Se mantiene esta estrategia de acuerdo a los resultados obtenidos, haciendo girar

24 Control, O. A. (2017). Desafíos del presupuesto la Universidad Distrital 2018. Bogotá.

de nuevo el ciclo PHVA mediante la realización de una nueva planificación que permita adecuar la Política y los objetivos de la Calidad, así como ajustar los procesos a las nuevas circunstancias del mercado. 25 De manera resumida, el ciclo PHVA se puede describir así:

Planificar: Establecer los objetivos y procesos necesarios para obtener los resultados, de conformidad con los requisitos del cliente y las políticas de la organización. Dentro de esta etapa se realiza un levantamiento de información sobre los temas asociados a seguridad informática, ataques, vulnerabilidades, IDS y el tema central que es Honeypots, dentro del cual se analizan: concepto, estructura, diseño, implementación, configuración, parámetros de instalación. De esta manera se establecen los procesos relacionados con el objeto de este trabajo.

Hacer: Implementar procesos para alcanzar los objetivos. En esta etapa debe entrar en funcionamiento el prototipo del Honeypot. Se hace una integración del Honeypot a la infraestructura de red ya existente en la universidad, posterior a ello se configuran los elementos necesarios, se implementan log’s y a partir de ello se presenta toda la información para el análisis de los datos capturados.

Verificar: Realizar seguimiento y medir los procesos y los productos en relación con las políticas, los objetivos y los requisitos, reportando los resultados alcanzados. En esta etapa se realizan pruebas funcionales y se verifica que todos los procesos estén cumpliendo con su objeto.

Actuar: Realizar acciones para promover la mejora del desempeño del (los) proceso(s). El ciclo PHVA significa actuar sobre el proceso, resolviendo continuamente las desviaciones a los resultados esperados. El mantenimiento y la mejora continua de la capacidad del proceso pueden lograrse aplicando el concepto de PHVA en cualquier nivel de la Organización, y en cualquier tipo de proceso, ya que está íntimamente asociado con la planificación, implementación, control y mejora del desempeño de los procesos. Es aplicable tanto en los procesos estratégicos de Alta Dirección como en actividades operacionales simples. Finalmente, en esta etapa se opta por dar solución a las inconformidades halladas en la verificación, se ejecuta toda acción correctiva que diera lugar y a partir de ello se establecen planes de mejoramiento.

25 Master2000. (2017). Ciclo PHVA. Obtenido de Master 2000: http://master2000.net/recursos/menu/277/1355/mper_arch_20059_CicloPHVA.pdf

Ilustración 8 Ciclo PHVA26

La adopción del ciclo PHVA promueve que la práctica de la gestión vaya en pro de las oportunidades para que la Organización mejore el desempeño de sus procesos y para que mantenga los clientes actuales y consiga nuevos clientes. Una vez identificada un área de oportunidad, se puede planificar el cambio y llevarse a cabo. Luego se verifican los resultados de la implementación de tal cambio y, según estos resultados, se actúa para ajustar el cambio o para comenzar el ciclo nuevamente mediante la planificación de nuevos cambios.

26 Blog - Top.com. (2007). El ciclo PHVA - Planear, Hacer, Verificar, Actuar. Obtenido de Blog - Top.com: http://www.blog-top.com/el-ciclo-phva-planear-hacer-verificar-actuar/

1.11. CRONOGRAMA

Ilustración 9 Cronograma de Actividades

2. ANÁLISIS

2.1. CARACTERÍSTICAS DE LA RED Actualmente el Campus de la Universidad Distrital está conformado por 24 sedes distribuidas en la ciudad de Bogotá, algunas en propiedad, otras en comodato y arrendamiento. Su distribución se extiende a lo largo de diferentes localidades. El soporte y tendido de la red está implementada bajo una topología en estrella. La administración de esta red se gestiona a través de la dependencia denominada “Red de Datos UDNET”, su propósito es garantizar la continua disponibilidad de los recursos y servicios de las tecnologías de la información y las comunicaciones existentes, en beneficio de la comunidad académica y administrativa de la universidad. A continuación, se presentan los esquemas de enlace de datos y la topología de red dispuesta para la comunicación entre las diferentes sedes de la universidad.

Ilustración 10 Enlace de datos en sedes lejanas de la Universidad Distrital27

De acuerdo a la ilustración anterior se evidencia que la universidad hace uso de enlaces mediante conexión de banda ancha ADSL al edificio en cual se concentra la unidad de PIGA (Plan Institucional de Gestión Ambiental) y un enlace de radio al edificio UGI e igualmente, como se presenta en la ilustración 11, hay un enlace de radio que brinda conectividad con el edificio de la Calle 64.

27 UDNET. (2017). Documentación Área de Comunicaciones. Obtenido de Red de Datos UDNET: http://udnet.udistrital.edu.co:8080/documents/11177/457497/topologia+red+2017

Ilustración 11 Enlace de datos en sedes cercanas de la Universidad Distrital28

La Universidad Distrital tiene un nodo central ubicado en su sede principal que se conoce como la sede de Ingeniería o “la 40”, esta se encuentra en la Carrera 7 N° 40 B - 53. De ella se distribuye conectividad a las diferentes sedes, la conectividad de estas se da a través de MPLS y la salida a Internet también se encuentra centralizada en su sede principal, mediante un canal dedicado a 2 Gbps. La conexión entre los cuartos de comunicaciones es a través de conexión por fibra óptica en su mayoría a 10G de acuerdo a lo suministrado por el proveedor del servicio que es ETB. Se tienen cinco (5) Data Center, uno en la Aduanilla de Paiba, en Macarena A, en la facultad tecnológica, en Bosa el Porvenir y el principal que es el Centro de Gestión Olimpo. La siguiente ilustración permite identificar los canales de datos, sus características y la topología establecida.

Ilustración 12 Topología de red de la Universidad Distrital29

28 UDNET. (2017). Documentación Área de Comunicaciones. Obtenido de Red de Datos UDNET: http://udnet.udistrital.edu.co:8080/documents/11177/457497/topologia+red+2017 29 UDNET. (2017). Documentación Área de Comunicaciones. Obtenido de Red de Datos UDNET: http://udnet.udistrital.edu.co:8080/documents/11177/457497/topologia+red+2017

2.2. ANÁLISIS SOBRE SEGURIDAD DE LA INFORMACIÓN La universidad en este momento cuenta con una política de seguridad de la información versión 0.0.0.11 la cual se referencia como un documento interno de trabajo realizado por parte del comité de Informática y telecomunicaciones. Este se encuentra bajo evaluación para aprobación de las modificaciones necesarias, lo que representa un avance significativo en el sistema de gestión de la seguridad de la información que se estructura desde el comité mencionado. Lo anterior, no indica que no se desarrolle un proceso sistemático y documentado en relación a la seguridad de la información que busca ser implementado y conocido por toda la institución. Parte de la documentación por la cual se dan estos procesos permiten evidenciar la información que se presenta en esta sección. Dentro de los diferentes servicios de los cuales hace uso la universidad se presenta un recurso importante que vincula de manera directa a la totalidad de los usuarios vinculados en la institución, el cual corresponde al correo electrónico, y que a nivel de seguridad informática representa uno de los principales medios para la ejecución de ataques, este tipo de ataque se denomina Phishing30. De acuerdo con lo anterior, se presenta información relacionada con la utilización del servicio de correo, asociado al dominio @correo.udistrital.edu.co, al cual se vinculan 91.591 usuarios31 y en relación a estos se tiene para el mes de Septiembre del presente:

Estado de usuarios en el dominio

CANTIDAD DE USUARIOS ESTADO

91.586 Activo

3 Bloqueado

2 Suspendido Tabla 5 Estado de usuarios del correo32

Seguridad implementada

CANTIDAD DE USUARIOS OBSERVACIÓN

2.538 Instalaron aplicaciones externas

91.548 No tienen activada la verificación en dos pasos

443 Permiten el acceso a aplicaciones menos seguras Tabla 6 Análisis de seguridad en relación al correo33

30 Danhieux, P. (2013). Phishing por correo electrónico. Obtenido de The SANS Institute: https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201302_sp.pdf 31 UDNET. (2017). Informe de Correos - Septiembre. Bogotá. 32 UDNET. (2017). Informe de Correos - Septiembre. Bogotá. 33 UDNET. (2017). Informe de Correos - Septiembre. Bogotá.

Actividad de uso de las aplicaciones del servicio de correo

Ilustración 13 Actividad de las aplicaciones del servicio del correo34

En el mes de Septiembre se tienen nueve mil correos electrónicos tanto envidados como recibidos con un incremento del 11% (884.541), así como también se realizan 240 video llamadas con un incremento de 95% (117) estas últimas estadísticas respecto a los anteriores meses.

Estado de los archivos compartidos de forma externa a través de enlace respecto a 298.282 archivos que se encuentran en el dominio. CANTIDAD DE USUARIOS OBSERVACIÓN

45.381 Visibles públicamente

252.901 Visibles para los usuarios con enlace Tabla 7 Relación archivos compartidos de forma externa.35

Estado de los archivos compartidos de forma interna a través de enlace respecto a 7,8 mill. archivos que se encuentran en el dominio

CANTIDAD DE DOCUMENTOS OBSERVACIÓN

202 Usuarios del dominio

249.460 Usuarios del dominio con el enlace

7,5 mill. Privado Tabla 8 Relación archivos compartidos de forma interna36

En cuanto al dominio @udistrital.edu.co, por el cual se vinculan todos los entes administrativos asociados a la universidad, se evidencia lo siguiente para los 4.011 usuarios existentes:

34 UDNET. (2017). Informe de Correos - Septiembre. Bogotá. 35 UDNET. (2017). Informe de Correos - Septiembre. Bogotá. 36 UDNET. (2017). Informe de Correos - Septiembre. Bogotá.

Estado de usuarios en el dominio

CANTIDAD DE USUARIOS ESTADO

3.856 Activo

12 Bloqueado

143 Suspendido Tabla 9 Estado de usuarios de correos administrativos37

Seguridad implementada

CANTIDAD DE USUARIOS OBSERVACIÓN

45 Contraseña con al menos un carácter especial

121 Contraseña con al menos un signo de puntuación

94 Contraseñas débiles

3.751 Contraseñas con complejidad media Tabla 10 Seguridad a correos administrativos38

Actividad de uso del correo

CANTIDAD DE USUARIOS OBSERVACIÓN

2.332 Ingresaron al correo en los últimos seis meses

1.679 No ingresaron al correo en los últimos seis meses

Tabla 11 Actividad de uso de correos administrativos39

La información presentada es producto de la colaboración de la Red de Datos UDNET, la cual genera informes mensuales que permiten identificar, entre otras cosas, los ataques que sufre la red y para ello se apoya en Check Point Software Technologies y Kaspersky Lab. Check Point Software Technologies Ltd. es una compañía cuyo enfoque es la seguridad informática, proporciona una arquitectura de seguridad unificada para una gran gama de soluciones de seguridad que protegen las comunicaciones corporativas y los recursos de redes y aplicaciones de empresas, empleados remotos, sucursales y extranets de socios.40 La universidad en este momento está trabajando con Check Point en demostración de los diferentes productos, mientras se estudia la posibilidad de adquirir esta solución. En el anexo A se presenta el informe completo. A continuación, se presenta uno de los informes proporcionados por la Red de Datos UDNET apoyados en Check Point.

37 UDNET. (2017). Informe de Correos - Septiembre. Bogotá. 38 UDNET. (2017). Informe de Correos - Septiembre. Bogotá. 39 UDNET. (2017). Informe de Correos - Septiembre. Bogotá. 40 Check Point. (2015). Compañía. Obtenido de Check Point Software Technologies Ltd: https://www.checkpoint.com/

Ilustración 14 Informe de Ataques según Check Point - Parte 141

41 UDNET. (2017). Informe de Seguridad Check Point - Septiembre. Bogotá.

Ilustración 15 Informe de Ataques según Check Point - Parte 242

42 UDNET. (2017). Informe de Seguridad Check Point - Septiembre. Bogotá.

Ilustración 16 Informe de Ataques según Check Point - Parte 343

43 UDNET. (2017). Informe de Seguridad Check Point - Septiembre. Bogotá.

De acuerdo con este informe se pueden identificar eventos relacionados con los ataques que sufrió la red durante el mes de Septiembre del presente año, en la cual se visualizan bajo una clasificación de riesgo critico eventos como SIPVicious Security Scanner que es un producto que busca vulnerabilidades dentro de los servidores con 25.968 réplicas, otros como PHP Web Shell Generic Backdoor en el cual un atacante podría ejecutar un código arbitrario, o usar el servidor como un bot (robot) para nuevos ataques, de este se tienen 3443 réplicas. A esto se suman los ataques SQL, de los cuales se conoce por los daños que puede causar al permitir la lectura y modificación de información sensible desde la base de datos, ejecutar operaciones de administración sobre la base de datos y en algunos casos emitir comandos al sistema operativo.44 En relación a lo aportado por Kaspersky que es una compañía de ciberseguridad que trabaja en soluciones de seguridad y servicios para proteger negocios, infraestructura crítica, gobiernos y consumidores en todo el mundo.45 Se presenta información sobre la actividad de los virus y el tipo de estos que se encontraron en el mes de estudio. Para mayor detalle se presenta el anexo B con los informes completos de los tres meses anteriores.

Ilustración 17 Informe de Ataques según Kaspersky - Parte 146

44 Open Web Application Security Project (OWASP). (2012). Inyección SQL. Obtenido de OWASP: https://www.owasp.org/index.php/Inyecci%C3%B3n_SQL 45 Kaspersky Lab. (2017). Acerca de Nosotros. Obtenido de Kaspersky Lab: https://www.kaspersky.com/about 46 UDNET. (2017). Informe de Antivirus - Septiembre. Bogotá.

Ilustración 18 Informe de Ataques según Kaspersky - Parte 247

De estas cifras se destacan un total de 134 dispositivos infectados con 3876 archivos diferentes que en su mayoría contienen malware del tipo de troyanos y gusanos, de los cuales se conocen ataques de gran impacto como el reconocido WannaCry que es considerado como uno de los más agresivos con una afectación de al menos 100 países durante este año.48 Estos archivos son en su mayoría eliminados o bloqueados, sin embargo se cuenta con una tasa importante de archivos no reparados que representan un alto riesgo para la universidad.

47 UDNET. (2017). Informe de Antivirus - Septiembre. Bogotá. 48 Redacción tecnología. (2017). El virus WannaCry ya afecta a unos 100 países. Obtenido de El Espectador: https://www.elespectador.com/tecnologia/el-virus-wannacry-ya-afecta-unos-100-paises-articulo-693699

2.3. ANÁLISIS DE PERCEPCIÓN SOBRE SEGURIDAD INFORMÁTICA Y ACEPTACIÓN DE LA PROPUESTA

El desarrollo de cualquier proyecto debe encontrar su utilidad y aceptación en el público objeto de este, en razón a ello y en busca de un mejor entendimiento de la concepción de seguridad informática que tienen estudiantes y docentes de la universidad, se aplicó una encuesta con una muestra de 80 usuarios. La información recolectada a través de la aplicación de esta encuesta de 10 preguntas, se presenta a continuación:

Ilustración 19 Resultados de encuesta – Preg. 1

Ilustración 20 Resultados de encuesta – Preg. 2

Pregunta No. 3: Si la respuesta anterior es afirmativa, indique la razón de su apreciación. En caso de ser negativa, indique "No Aplica". Sobre esta pregunta, las respuestas más representativas son:

Dado que no se conocen los esquemas de almacenamiento y procesamiento de la información de la Universidad. Además, ya existen algunos antecedentes al respecto.

Virus en los correos y mensajes falsos de bancos para actualización de datos.

Se identifica que la Universidad tiene de forma públicos, datos personales, los cuales no deberían de estar. Se evidencia como se ha compartido mi información personal y se ha utilizado con otros fines distintos a los que se me fue solicitada.

Uno es frecuentemente contacto para ofrecerle servicios y bienes que uno nunca solicitó. Ellos utilizan la información que uno confía a los sistemas informáticos.

La información de contratación se encuentra en Google, junto con los datos como número de documento de identidad y demás información que no

81%

19%

¿Conoce sobre los riesgos de seguridad en la información?

SI NO

49%51%

¿Considera que su información ha estado en riesgo?

SI NO

debería estar publicada en la red y más aun no se debería tener tan fácil acceso a ella.

La plataforma moodle no cuenta con los certificados de seguridad para la protección de datos, lo que la hace vulnerable a ataques.

Se ha violado varias veces el sistema de gestión académica (antiguo Cóndor) y se han cambiado las notas de algunas asignaturas.

Cuando me conecto a la red wifi pública de la facultad podrían robar información al no ser una red segura.

En la clase de criptografía, el docente utilizó unas bases de datos externas a las aprobadas por la U y se diligenciaron los datos personales (CC y Nombres), por mi conocimiento, no considero esta práctica y estimo que dicha información sigue activa, se les debe obligar a los docentes a usar una única plataforma para los fines académicos.

Ilustración 21 Resultados de encuesta – Preg. 4

Ilustración 22 Resultados de encuesta – Preg. 5

Ilustración 23 Resultados de encuesta – Preg. 6

Ilustración 24 Resultados de encuesta – Preg. 7

49%51%

¿Cree usted que los sistemas informáticos gestionados en la

universidad son seguros?

SI NO

42%

58%

¿Sabe qué debe hacer en caso de ser víctima de un ataque

informático?

SI NO

16%

84%

¿Tiene conocimiento de la existencia de un sistema de monitoreo y control

de seguridad en los sistemas informáticos de la universidad?

SI NO

20%

80%

¿Está informado sobre la política de seguridad de la información en

la universidad?

SI NO

Ilustración 25 Resultados de encuesta – Preg. 8

Ilustración 26 Resultados de encuesta – Preg. 9

Ilustración 27 Resultados de encuesta – Preg. 10

Teniendo en cuenta los resultados presentados, es posible identificar que la percepción que tienen los estudiantes y docentes es equilibrada entre aquellos que consideran haber estado en riesgo debido a la seguridad que se provee en la universidad en relación a su información. De estos resultados también es posible identificar que se desconoce en un gran porcentaje los procesos que definen los esquemas de seguridad y aquellos que les permitirá mantener su información a salvo. Por su parte, hay una aceptación favorable por la implementación de una herramienta que permita apoyar el proceso de aprendizaje en relación a los ataques informáticos y la importancia de socializar la información que se provea de estos y que permita comunicar a la comunidad sobre las actividades que deba realizar para el uso eficiente de la información. La encuesta aplicada y los resultados de estos se presentan en el anexo C.

22%

78%

Si la respuesta anterior es afirmativa, indique si usted aplica

las directrices establecidas en esta política

SI NO

95%

5%

¿Considera pertinente que se realicen actividades de

concientización sobre los problemas de seguridad informática y la

importancia de ceñirse a las políticas establecidas?

SI NO

97%

3%

¿Le gustaría que se implementarán mecanismos que permitan fortalecer el procesos de

enseñanza en el área de seguridad informática?

SI NO

3. DISEÑO

3.1. DISEÑO DE INFRAESTRUCTURA De acuerdo a la clasificación de los Honeypots, expuesta en el marco teórico, se definió la utilización de Honeypots diferenciados según su ambiente de implementación para la investigación, dado que su objeto es servir como recurso educativo para el estudio de las diferentes amenazas y los patrones de ataque. En cuanto a su definición por el nivel de interacción, se determinó la utilización de Honeypots de baja interacción con el fin de que su uso resultará simple dentro de los ejercicios prácticos de seguridad informático en los que se emulan servicios comunes y que de acuerdo con el análisis presentado en la sección anterior presentan mayor vulnerabilidad, como es el caso de los servicios SSH y Telnet. En lo que refiere a la disposición de los elementos dentro de la infraestructura de red para la implementación de los Honeypots, es necesario resaltar que estas herramientas necesitan recursos mínimos, no requieren arquitecturas complejas, ni demandan la utilización de múltiples equipos, de igual forma, no es necesario que se intervenga la infraestructura física para dar uso a estos. A continuación, se presenta la distribución de la red en el centro de gestión Olimpo antes de la implementación de los honeypots.

Ilustración 28 Distribución de red actual en Olimpo

Teóricamente, se enmarca la ubicación de los honeypots antes del Firewall, después del Firewall y en la DMZ (zona desmilitarizada), dependiendo de su ubicación se definen las configuraciones previas para su implementación. Ahora, de acuerdo con la distribución de la red que tiene la universidad, no se define un firewall

común, este trabaja de la mano con el proxy, habilitando las funciones comunes que se refieran a autorización, bloqueo y redirección de conexiones y/o puertos. El primer Honeypot dispuesto antes del proxy, pretende obtener información sobre los intentos de conexiones que se dan mediante la utilización de IPs no utilizadas. Para este, se hace uso de Cowrie para definir la información relevante a los intentos de acceso a la red por conexiones SSH y Telnet, esta herramienta presenta gran cantidad de información en la web que permite tener una mayor orientación para su uso y configuración, además de que brinda actualizaciones dado que se encuentra en constante desarrollo.

Ilustración 29 Distribución de red con la inserción de Honeypot antes del proxy en Olimpo

El Honeypot ubicado después del proxy, por su parte, permite registrar los ataques que se realizan por parte de IPs propias de la red interna. En este caso, se implementa HoneyPy con la utilización de HoneyDB, habilitado dentro de los demás equipos conectados a la red como insumo para identificar los ataques que se presentan a nivel global. Sobre este se desataca su amplia utilización a nivel mundial, lo que permite alimentar los registros de HoneyDB.

Ilustración 30 Distribución de red con la inserción de Honeypot después del proxy en Olimpo

Es necesario, aclarar que no se hicieron modificaciones físicas, pero si lógicas dentro de la red. Para su uso se asignó una IP pública para Cowrie, y una privada que sale a Internet por medio de la IP publica asignada al proxy para HoneyPy. Finalmente, se presenta el esquema completo con la implementación de los Honeypots antes y después del proxy, procurando dar alcance a un análisis completo que determine los ataques dentro y fuera de la red de la universidad.

Ilustración 31 Distribución final con la inserción de los Honeypots en Olimpo

3.2. ARQUITECTURA DE HARDWARE De acuerdo al diseño planteado y teniendo en cuenta la versatilidad y simplicidad que ofrecen los honeypots para su instalación, configuración y posterior uso, se presentan las características referentes a la arquitectura de los equipos utilizados para el montaje de estos. El equipo que se utilizó para la instalación del primer honeypot que se ubica antes del proxy, corresponde a un servidor R710 marca DELL, el uso actual de este servidor tiene por prioridad dar utilidad en la contingencia del servidor de correo del dominio @udistrital.edu.co. Además de que sirve para la ejecución de distintas aplicaciones orientadas a pruebas sobre los diferentes proyectos que se estructuran en la red. Las características de éste se presentan a continuación:

Ilustración 32 Características del Servidor DELL R710 - Honeypot Cowrie

Por su parte, el equipo empleado para la instalación del segundo honeypot ubicado después del proxy, corresponde a un equipo de cómputo de mesa marca DELL de referencia Optiplex 980, el cual se encontraba en Almacén, disponible para dar de baja. Las características de éste se presentan a continuación:

Ilustración 33 Características del Equipo DELL Optiplex 980 - Honeypy

La siguiente es la evidencia de la instalación física de los equipos utilizados:

Ilustración 34 Equipos residentes de los honeypots

3.3. CONFIGURACIÓN DE SOFTWARE - HONEYPOTS

3.3.1. Cowrie

Cowrie es un honeypot SSH y Telnet de interacción media diseñado para registrar ataques de fuerza bruta y la interacción de shell realizada por el atacante. Cowrie es desarrollado por Michel Oosterhof. Características

Sistema de archivos falso con la capacidad de agregar / eliminar archivos. Se

incluye un sistema de archivos falso completo parecido a una instalación de

Debian 5.0

Posibilidad de agregar contenidos de archivos falsos para que el atacante

pueda tener archivos como /etc/passwd. Solo se incluyen los contenidos

mínimos de los archivos.

Registros de sesión almacenados en un formato compatible con UML para

una reproducción fácil con tiempos originales

Cowrie guarda los archivos descargados con wget / curl o cargados con

SFTP y scp para su posterior inspección

Funciones adicionales:

SFTP y SCP son compatibles con la carga de archivos.

Soporte para comandos exec de SSH

Registro de intentos de conexión directa-tcp (ssh proxying)

Reenvíe las conexiones SMTP a SMTP Honeypot (por ejemplo, mailoney )

Inicio de sesión en formato JSON para un procesamiento sencillo en

soluciones de gestión de registros

Comandos adicionales

Requisitos Software requerido:

Python 2.7+, (Python 3 aún no es compatible debido a las dependencias

Twisted)

python-virtualenv

Archivos de interés:

cowrie.cfg- Archivo de configuración de Cowrie. Los valores predeterminados

se pueden encontrar encowrie.cfg.dist

data/fs.pickle - sistema de archivos falso

data/userdb.txt - credenciales permitidas o no permitidas para acceder al

honeypot

dl/ - Los archivos transferidos desde el atacante al honeypot se almacenan

aquí.

honeyfs/ - Contenidos del archivo para el sistema de archivos falso: no dude

en copiar un sistema real aquí o use bin/fsctl

log/cowrie.json - salida de transacción en formato JSON

log/cowrie.log - log / debug output

log/tty/*.log - registros de sesión

txtcmds/ - Contenido del archivo para los comandos falsos.

bin/createfs - solía crear el sistema de archivos falso

bin/playlog - utilidad para reproducir registros de sesión

Instalación de requisitos 1. Instalar GCC

En primer lugar, asegúrese de tener instalado el paquete gcc en su sistema. Use el siguiente comando para instalar gcc si no lo tiene instalado.

# yum install gcc

2. Descargar Python 2.7 o anterior

Descarga Python usando el siguiente comando desde el sitio oficial de Python. También puede descargar la última versión en lugar de la especificada a continuación.

# cd / usr / src

# wget https://www.python.org/ftp/python/2.7.13/Python-2.7.13.tgz

3. Extraer archivo y compilar

Utilice el siguiente conjunto de comandos para extraer el código fuente de Python y compilarlo en su sistema usando altinstall.

# tar xzf Python-2.7.13.tgz

# cd Python-2.7.13

# ./configure

# make altinstall

Usar altinstall se utiliza para evitar reemplazar el archivo binario python predeterminado /usr/bin/python. 4. Comprobar versión de Python

Verifique la última versión instalada de python usando el comando a continuación.

# python2.7 -V Python 2.7.13

5. Instalar PIP

Instalar el PIP para la versión instalada de Python.

# curl "https://bootstrap.pypa.io/get-pip.py" -o "get-pip.py" # python2.7 get-pip.py

6. Reconfiguración de puerto del servicio SSH

# vi /etc/ssh/sshd_config

Eliminar el comentario de la línea # Port 22 y cambiar por Port 222 o el puerto de

su preferencia

# systemctl restart sshd

Instalación de Cowrie 1. Instalar dependencias

Primero se instala soporte para entornos virtuales de Python y otras dependencias. En sistemas basados en Red Hat:

# yum install git python-virtualenv libssl-dev libffi-dev build-essential libpython-dev

python2.7-minimal authbind

2. Crear una cuenta de usuario

Se recomienda se instale bajo un ID de usuario no root dedicado:

# useradd cowrie # passwd cowrie # su - cowrie

3. Descargar el código del repositorio

# git clone http://github.com/micheloosterhof/cowrie Cloning into 'cowrie'... remote: Counting objects: 2965, done. remote: Compressing objects: 100% (1025/1025), done. remote: Total 2965 (delta 1908), reused 2962 (delta 1905), pack-reused 0 Receiving objects: 100% (2965/2965), 3.41 MiB | 2.57 MiB/s, done. Resolving deltas: 100% (1908/1908), done. Checking connectivity... done. # cd cowrie

4. Configurar el entorno virtual

A continuación, debe crear su entorno virtual:

# pwd /home/cowrie/cowrie # virtualenv cowrie-env New python executable in ./cowrie/cowrie-env/bin/python Installing setuptools, pip, wheel...done.

Activar el entorno virtual e instalar paquetes.

# source cowrie-env/bin/activate (cowrie-env) # pip install -r requirements.txt

5. Instalar el archivo de configuración

La configuración de Cowrie se almacena en cowrie.cfg.dist y cowrie.cfg. Ambos archivos se pueden abrir, donde las entradas de cowrie.cfg tienen prioridad. El archivo .dist se puede sobrescribir en las actualizaciones, cowrie.cfg no se cambiará. Para ejecutar con una configuración estándar, no hay necesidad de cambiar nada. Para habilitar telnet, por ejemplo, cree cowrie.cfg e ingrese solo lo siguiente:

[telnet] enabled = true

6. Generar una clave DSA

Este paso no debería ser necesario, sin embargo, algunas versiones de entorno no son compatibles. Para evitar problemas, ejecute:

# cd data # ssh-keygen -t dsa -b 1024 -f ssh_host_dsa_key # cd ..

7. Activar el cowrie

Cowrie se implementa como un módulo para Twisted, pero para importar correctamente todo lo que necesita el directorio fuente en python's os.path se realiza de la siguiente manera:

# or another path to the top-level cowrie folder # export PYTHONPATH=/home/cowrie/cowrie

Comienza Cowrie con el comando Cowrie. Puede agregar el directorio cowrie / bin a su ruta si lo desea. Si el entorno virtual se denomina "cowrie-env", se activará automáticamente. De lo contrario, deberá activarlo manualmente

# bin/cowrie start Activating virtualenv "cowrie-env" Starting cowrie with extra arguments [] ...

8. Redirección de puertos (opcional)

Cowrie se ejecuta de manera predeterminada en el puerto 2222. Esto se puede modificar en el archivo de configuración. La siguiente regla de firewall reenviará el tráfico entrante en el puerto 22 al puerto 2222.

# sudo iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port

2222

Tenga en cuenta que debe probar esta regla solo desde otro host; no se aplica a las conexiones de bucle invertido. Alternativamente, puede ejecutar authbind para escuchar como no root en el puerto 22 directamente:

# yum install authbind # touch /etc/authbind/byport/22 # chown cowrie:cowrie /etc/authbind/byport/22 # chmod 770 /etc/authbind/byport/22

O para telnet:

# yum install authbind # touch /etc/authbind/byport/23 # chown cowrie:cowrie /etc/authbind/byport/23 # chmod 770 /etc/authbind/byport/23

Edite bin/cowrie y modifique la configuración AUTHBIND_ENABLED

Cambiar listen_port a 22 en cowrie.cfg

Solución de problemas

Si ve que twistd: Unknown command: cowrie hay dos posibilidades. Si hay

un rastreo de pila de python, probablemente significa que hay una

dependencia faltante o rota. Si no hay rastro de pila, verifique que su

PYTHONPATH esté configurado en el directorio de código fuente.

Permisos de archivo predeterminados

Para hacer que los archivos de registro Cowrie sean legibles para el público, cambie la --umask 0077 opción en start.sh into --umask 0022 3.3.1.1. Cowrie-Logviewer

Cowrie-Logviewer es un visor de registro simple para el honeypot cowrie. Dado que los registros de JSON se dividen por día, puede seleccionar el registro para ver en la esquina superior derecha de la página. Los archivos cargados se pueden ver y descargar a través de la página "Archivos cargados". Las direcciones IP atacantes se ejecutan en una base de datos MaxMind GeoIP local para averiguar a qué país pertenecen. Los resultados se almacenan en caché en una base de datos sqlite. Características

Algunos eventos de registro pueden ser bastante molestos, ya que

proporcionan muy poca información sobre lo que realmente está sucediendo,

pero absorben grandes cantidades de líneas de registro. De forma

predeterminada, cowrie-logviewer filtra los eventos relacionados con el

reenvío tcp / ip. Filtrar estos eventos elimina esa molestia. Por supuesto, los

archivos de registro reales aún contienen estos eventos, por lo que no se

pierde nada.

Como las IP locales de la red no están en la base de datos MaxMind por

razones obvias, no hay un ícono de bandera adjunto a estas conexiones.

Instalación 1. Asumiendo que ha instalado cowrie en su directorio de inicio:

# su cowrie # cd ~/../cowrie # git clone https://github.com/mindphluxnet/cowrie-logviewer # cd cowrie-logviewer

2. Hacer que el script sea ejecutable:

chmod +x cowrie-logviewer.py

3. Es necesario instalar los requisitos de la siguiente manera

pip install -r requirements.txt

Dicho archivo contiene los siguientes paquetes

flask ipapi pycountry path.py flask-compress python-dateutil geoip2

4. Instalar archivos necesarios para la base de datos GeoIP

# mkdir maxmind # cd maxmind # wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-Country.mmdb.gz # gunzip GeoLite2-Country.mmdb.gz # rm GeoLite2-Country.mmdb.gz

Configuración Edite cowrie-logviewer.py para configurar el script. Hay varias variables en la parte superior del archivo que puede cambiar:

"log_path" - la ruta al directorio de registro (log) de la cowrie

"dl_path" - la ruta al directorio cowrie dl (descargas)

"maxmind_path" - la ruta a la base de datos de MaxMind GeoLite 2. El valor

predeterminado es "maxmind/GeoLite2-Country.mmdb"

"bind_host" - la dirección IP a la que debe unirse el servidor web, por defecto

0.0.0.0

"bind_port" - el puerto que el servidor web debe escuchar, por defecto 5000

"min_upload_size" - El tamaño minimo del archivo en bytes debe aparecer

en la página "Archivos cargados". El valor predeterminado es 1024

"debug" - si quiere depurar mensajes, establezca esto en

True. Predeterminado "False"

"use_gzip" - si no desea la compresión de gzip, configúrelo en

False. Predeterminado "verdadero"

"filter_events" - Lista de eventos de registro para filtrar

(log’s). Predeterminado "['cowrie.direct-tcpip.request', 'cowrie.direct-

tcpip.data']"

Activar cowrie-logviewer

# python cowrie-logviewer.py

o (si hizo que el script sea ejecutable)

# ./cowrie-logviewer.py

Una vez que se está ejecutando, ingrese a: http://ip o hostname:puerto En el navegador web de su elección. El puerto predeterminado es 5000.

3.3.2. HoneyPy HoneyPy es un honeypot de interacción de bajo a medio, escrito en Python, el cual se puede encontrar como proyecto en Github. HoneyPy fue creado para ser adaptable, por lo que puede agregar fácilmente nuevas emulaciones de servicios (complementos) para protocolos basados en TCP o UDP. Sin embargo, viene con un conjunto de complementos básicos, los cuales se pueden modificar según las necesidades para las cuales se disponga el honeypot, todos estos complementos se pueden editar en el archivo llamado services.cfg.49 Requisitos Software requerido:

Python 2.7 o superior

49 GitHub. (2017). HoneyPy. Obtenido de GitHub: https://github.com/foospidy/HoneyPy

Instalación de Honeypy 1. Instalar dependencias

Para descargar la última versión es necesario acceder al siguiente link https://github.com/foospidy/HoneyPy/releases/latest # wget https://github.com/foospidy/HoneyPy/archive/0.6.3.tar.gz

- Cambia según la versión descargada

2. Descomprimir archivo

Para esta labor se hace uso del siguiente comando: # tar -xzf 0.6.3.tar.gz

- Cambia según la versión descargada

Esto creará la carpeta HoneyPy-0.6.3. El directorio puede cambiarse de nombre y moverse a donde desee. 3. Instalar dependencias python

# yum install -y python-requests python-twisted python-pip # pip install twitter dnslib

4. Ejecutar honeypy

Es necesario ubicarse en carpeta donde se descomprimió el archivo y ejecutar el siguiente comando: # python Honey.py

Si todo se encuentra bien, se debe visualizar la siguiente pantalla:

Ilustración 35 Vista inicial de HoneyPy

Luego de esto se debe ingresar el siguiente comando # start

Obteniendo lo siguiente:

Ilustración 36 Inicio del Honeypot HoneyPy

La cantidad de servicios cambia según el perfil usado, este honeypot dispone de diferentes perfiles predeterminados los cuales se pueden visualizar de la siguiente manera: HoneyPy> list profiles

Este comando permite visualizar los perfiles disponibles, en este caso los perfiles son los siguientes:

Ilustración 37 Perfiles de HoneyPy

Para establecer un perfil se realiza de la siguiente manera HoneyPy> set profile linux

- Este último cambia según las necesidades que se requieran

Configuración del visor de registros (log’s) Para analizar los datos obtenidos por el Honeypy se configura el visor editando el archivo etc/honeypy.cfg según el visor elegido, a continuación se presenta la configuración para los dos visores que se utilizan en este caso: Twitter – Este visor es uno de los más prácticos para honeypots, permitiendo usar Twitter como un sistema de anuncio de servicio público, puede compartir información de amenazas públicamente.

A continuación, se muestra un ejemplo de la configuración para habilitar este visor: [twitter] enabled = Yes consumerkey = <clave del consumer> consumersecret = <consumer secret> oauthtoken = <oauth token> oauthsecret = <oauth secret>

Lo cual se debe visualizar en el archivo de configuración (etc/honeypy.cfg) de la siguiente manera:

Ilustración 38 Archivo de configuración par Twitter – HoneyPy

3.3.2.1. HoneyDB HoneyDB es el visor más adecuado para honeypots de investigación como lo es en este caso ya que recopila datos de los sensores HoneyPy y la pública en un formato más cómodo de analizar en el sitio.50 A continuación, se muestra un ejemplo de la configuración para habilitar este visor: [honeydb] enabled = Yes url = https://riskdiscovery.com/honeydb/api/logger api_id = <id de API> api_key = <clave de api>

HoneyDB es un sitio web en donde se encuentran los datos recopilados de diferentes honeyPy en donde permite:

Ver gráficos en los principales hosts atacantes y en los principales servicios

afectados.

Ver detalles del host y datos de la sesión.

Adicional a esto gracias a la API de HoneyDB permite descargar información

sobre amenazas y aporte datos de honeypot desde su propio HoneyPy.

50 Duong, J. (2017). Introduction to HoneyPy & HoneyDB. Obtenido de Signal Sciences: https://labs.signalsciences.com/introduction-to-honeypy-honeydb

Ver la última actividad en la lista de información de amenazas de Twitter.

Guarde hosts específicos para su propio "ThreatBin".

En cuanto a los gráficos HoneyDB, permite ver la actividad del conjunto de honeypots conectados basándose en el número de eventos como lo son conexiones, datos recibidos, datos transferidos, entre otros.

3.4. REPRESENTACIÓN DE RESULTADOS

3.4.1. Cowrie logviewer

Los resultados obtenidos por este visualizador se presentan por días. Se cuenta con tres pestañas que permiten saber más sobre los ataques que se presentan en este servidor (200.69.103.33) este servidor es el que se encuentra antes del proxy.

Ilustración 39 Cowrie Lowviewer - Home

Dentro de la primera pestaña denominada Home, se tiene información de los eventos que se capturaron relacionando IP desde donde se realizó la conexión el puerto y un resumen de las actividades realizadas en la conexión. Cowrie logviwer permite ver estadísticas de dos maneras:

Ataques por país

Usuarios y contraseñas

Al elegir ataques por país cuenta la cantidad de diferentes IP’s que se intentan conectar, graficándolas por orden permitiendo saber desde que país se registran más ataques, como se muestra a continuación:

Ilustración 40 Estadísticas de ataques por país - Cowrie

Con estos resultados se obtiene que para el día 23/10/2017 en el momento de analizar los datos se registraba que se tenían ataques de 8 diferentes IP’s provenientes de china. Adicional a esto se presenta una estadística de los usuarios y contraseñas utilizadas por los atacantes, permitiendo identificar los patrones que se utilizan al momento en el que intentan acceder a este servidor

Ilustración 41 Estadísticas de ataques por usuario y contraseña - Cowrie

Al observar detalladamente estos datos se tiene que el atacante intenta acceder al servidor con posibles contraseñas utilizadas frecuentemente por los administradores de servicios que no poseen una contraseña lo suficientemente segura para proteger el servidor.

Por ultimo cowrie logviwer posee un módulo denominado Uploaded files, en el cual se encuentran los archivos que se intentaron subir al servidor:

Ilustración 42 Registro de archivos cargados por el atacante - Cowrie

En este caso se cuenta con un archivo en donde al descargarlo se determina que contiene la instalación de paquetes java con el fin de ejecutar código malicioso que permitiría infectar el sistema con un malware. El archivo consta de alrededor 170.000 líneas donde se encuentra el código, a continuación, se muestra una pequeña parte del código donde se intenta instalar y configurar java.

Ilustración 43 Contenido del archivo cargado por el atacante - Cowrie

3.4.2. HoneyDB

De acuerdo a la información presentada anteriormente, es necesario realizar la configuración del sensor HoneyPy para recopilar datos que se alojen en HoneyDB con el fin de ver la actividad del conjunto de honeypots conectados basándose en el número de eventos como lo son conexiones, datos recibidos, datos transferidos, entre otros. HoneyDB actúa como computación en grid o malla dado que permite utilizar la información recolectada en los otros sensores HoneyPy configurados a nivel global, brindando información de los ataques de manera detallada. A continuación, se muestra un registro global de la cantidad de eventos de los últimos 7 días

Ilustración 44 Estadística semanal registrada en HoneyDB

HoneyDB permite tener la información de los principales host de ataque durante las últimas 24 horas, dando información detallada de la actividad realizada por la IP seleccionada. Obteniendo las 10 IP’s que tienen más eventos en los últimos días:

Ilustración 45 Top 10 de host atacantes - HoneyPy

La siguiente ilustración presenta los servicios mas atacados:

Ilustración 46 Top de servicios atacados - HoneyPy

Al interactuar con la gráfica se puede obtener más información, en este caso se eligió el servicio NTP (Network Time Protocol) protocolo usado para sincronizar los relojes a través de enrutamiento de paquetes

Ilustración 47 Top de host que atacan el servicio NTP

La imagen anterior muestra las principales 10 direcciones IP que hacen conexiones NTP.

Al ingresar a los detalles del host para la IP seleccionada, se aprecian dos gráficos que separan la actividad por protocolo y servicios. Adicional a esto permite consultar más información de diferentes sitios web en donde se puede encontrar datos relacionados a la dirección IP seleccionada. Estos sitios son los siguientes:

Cymon – Es el rastreador abierto más grande de malware, phishing, botnets, spam, entre otros.

DSheild – Proporciona información de whois (¿Quién es?) e indica si la IP aparece en cualquiera de las listas de amenazas de Internet Storm Center.

OTX - Plataforma de datos de amenazas sobre amenazas Twitter – Tweets que mencionen la dirección IP en algún momento. Google – Resultados de búsqueda al buscar la dirección IP. Virus Total – Informa si algún malware o dominios maliciosos están

asociados con la dirección IP. Spamhaus – Informa si la dirección IP está en la lista de bloqueo de

Spamhaus. SpamCop – Informa si la dirección IP se encuentra en la lista de bloqueo de

correo no deseado. Senderbase – Proporciona reputaciones de correo electrónico y web para la

dirección IP. Luego de esta información se encuentran las herramientas de búsqueda las cuales son tres pestañas:

Session – Se ve la actividad y los datos de eventos capturados por honeypots, Dentro de la información del evento se encuentran todos los detalles de lo que el host atacante estaba intentando hacer

Shodan - Muestra información de banner (metadatos que el servidor envía de vuelta al cliente) que ha sido recopilada por dicha pagina

Project Honeypot – Si la dirección IP se encuentra en su base de datos. Threat crowd – Motor de búsqueda de amenazas.

Ilustración 48 Información relacionada por un host especifico al servicio NTP

HoneyDB permite conectarse con proyectos HoneyPy gracias a la API. La página de Twitter en HoneyDB es muy simple. Ya que muestra los últimos tweets de los numerosos honeypots en la lista de Twitter de información de amenazas.

Ilustración 49 Registro en línea de alertas por Twitter - HoneyPy

HoneyDB posee una característica llamada threatbin la cual funciona como contenedor de host los cuales se quieren guardar por un interés particular y acceder a este de manera más rápida permitiendo hacer un seguimiento constante agregando una descripción básica del host para identificarlo.

Ilustración 50 Contenedor de IPs para seguimiento - HoneyPy

3.5. CONFIGURACIÓN DE REGLAS

Luego de realizar el análisis correspondiente frente a los ataques presentados y registrados por los honeypots Cowrie y HonetPy, el siguiente paso es establecer reglas que permitan mitigar las vulnerabilidades que se poseen, que bloquean el acceso de las direcciones IP mediante la utilización de iptables. Dependiendo los datos obtenidos se establecen tres tipos de prioridades definidos a continuación:

Prioridad 1. Se clasifica en esta prioridad cuando:

Intenta crear un usuario

Intenta asignar privilegios a un usuario

Ingresa con un usuario que no se encuentra en la lista

Asigna un privilegio a un usuario que no existe

Intenta ingresar como usuario administrador desde una IP no conocida

Prioridad 2. Se clasifica en esta prioridad cuando:

Tráfico potencialmente malo y desconocido

Intento para obtener información

Intento de fuga de información

Fuga de información

Movimiento de información a gran escala

Intento de ataque DOS

Intento de denegación de servicio

Ataque DOS

Denegación de servicio Prioridad 3. Se clasifica en esta prioridad cuando:

Trafico no sospechoso conocido

Trafico no conocido

Dentro de lo planteado se tiene que todas las IPs de prioridad 1 y 2 serán bloqueadas, en cuanto a la prioridad 3, esta solo se tiene como registro dado que no se considera necesario bloquear dichas IPs debido a que no presentan riesgo para el servidor. Gracias a los datos obtenidos por los honeypots implementados se encuentra que en los registros se almacena un ID de sesión, el evento (Conectado, desconectado, inicio de sesión satisfactorio, inicio por medio de TTY, entre otros) IP del atacante y puerto por el que realiza la conexión y por último el registro de los comandos que ingresó. Con esto se permite establecer un patrón de ataque para implementar las reglas según sea el caso. En este momento el servidor IDS cuenta con 675.300 IPs bloqueadas a través de Iptables, esto se realiza conforme a las reglas establecidas en el script. La siguiente imagen muestra evidencia de esto:

Ilustración 51 Cantidad de IPs bloqueadas

A través de los logs obtenidos se registran diferentes ataques, un ejemplo de ello es lo presentado en la siguiente ilustración:

Ilustración 52 Registro de ataque identificado por script guardian

CONCLUSIONES La información como fuente primaria de conocimiento y principal activo de la sociedad, las organizaciones y cualquier ente en general, representa un tesoro de gran valor por el cual deben implementarse cualquier tipo de estrategias que permitan, además de aprovechar y explotar al máximo su contenido dentro de los límites establecidos, evadir y prevenir daños sobre la información.

La cantidad de amenazas y vulnerabilidades que están presentes en el medio y a las cuales es altamente susceptible la información, deben mitigarse y limitarse, de manera tal que se procure la erradicación y eliminación de cualquier fuga o mala manipulación de esta. Por lo anterior es necesario identificar todas las falencias que se presentan en los sistemas de información y posterior a ello ahondar en los esfuerzos por proteger la información contra cualquier ente indeseado con posibles fines criminales, como aquellos que en la historia han dejado evidencia de su mal aprovechamiento. Se concretaron los elementos a utilizar con la inclusión de un equipo de cómputo en la red de la universidad y aprovechando la disponibilidad de un servidor empleado para la realización de pruebas. Se instalan y configuran dos herramientas Honeypots, denominadas Cowrie y HoneyPy, dispuestas antes y después del proxy respectivamente, para determinar la utilidad y apropiada configuración del proxy, y garantizar que todos los ataques lleguen a estos equipos y se provea de información importante para lograr un análisis desde los diferentes proyectos curriculares que incluyen desde su programa educativo el tema de seguridad informática. Actualmente, la Universidad cuenta con programas de pregrado en Ingeniería y trabaja en la proyección de dos programas de maestría uno denominado Teleinformática y el otro denominado Seguridad informática y Gestión de proyectos; en los dos se incluye el área de la seguridad informática dentro del contenido programático, uno con mayor rigurosidad que otro, pero que podrán ser fortalecidos de igual manera con el uso de los honeypots implementados. En lo que refiere a la adaptabilidad del sistema, se resaltan las ventajas de los Honeypots dados los requisitos mínimos para su implementación, con lo cual se asegura que podrán sumarse más herramientas de este tipo, ya sea mediante equipos físicos o con el uso de máquinas virtuales, en los cuales puedan diferenciarse las configuraciones de cada Honeypot. De otra forma, al instalar HoneyPy se posibilita al sistema para que sea adaptativo, debido a que este permite configurarse de acuerdo al servicio que se requiera, adicional a esto con la configuración realizada con HoneyDB permitiendo convertir el HoneyPy en un nodo de una red de sensores que alimentan la base de datos a nivel global se visualizan no solo los ataques que se realizan a dicho servidor si no los que se

realizan en todos los sensores conectados y configurados para obtener información y permitir un análisis de mayor complejidad para el usuario final. Posterior a la implementación de Cowrie y HoneyPy, además de las herramientas aplicadas a ellos para su visualización, fue posible identificar diferentes modalidades de ataque y patrones que orientaron la configuración de un script en el servidor IDS, que mediante los logs almacenados permitiera la creación de reglas para dar atención a través de Iptables, dado que se identificó que son las IPs el dato de mayor connotación que se asocia a los diferentes ataques a nivel global. Finalmente, se considera que este proyecto puede tener una aplicación en el área productiva relacionada con la administración de la red a través de la Red de Datos UDNET y que además, puede brindar un enfoque representativo para algún grupo de investigación que aporte a proyectos reconocidos como lo es HoneyProject, aportando registros sobre los tipos de ataques que lleguen a la red de la universidad e incluso en el desarrollo de más honeypots que permitan identificar mayor diversidad en los patrones y en la aplicación de soluciones para contrarrestar estos ataques.

REFERENCIAS BIBLIOGRÁFICAS BBC Mundo. (2016). "12 ataques por segundo": cuáles son los países de América

Latina más amenazados por "malware". Obtenido de "12 ataques por segundo": cuáles son los países de América Latina más amenazados por "malware": http://www.bbc.com/mundo/noticias-37286420

Blog - Top.com. (2007). El ciclo PHVA - Planear, Hacer, Verificar, Actuar. Obtenido de Blog - Top.com: http://www.blog-top.com/el-ciclo-phva-planear-hacer-verificar-actuar/

C., H. L. (1998). Ingeniería Telemática, nueva carrera del ICESI. Obtenido de Ingeniería Telemática, nueva carrera del ICESI: http://www.eltiempo.com/archivo/documento/MAM-780886

Check Point. (2015). Compañía. Obtenido de Check Point Software Technologies Ltd: https://www.checkpoint.com/

CYBSEC. (2017). Seguridad Informática - Honeypots. Obtenido de Seguridad Informática - Honeypots: http://www.cybsec.com/upload/ESPE_Honeypots.pdf

Danhieux, P. (2013). Phishing por correo electrónico. Obtenido de The SANS Institute: https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201302_sp.pdf

Domínguez, D. J. (2008). Revista Digital Universitaria UNAM. Obtenido de Honeypots y el monitoreo de Seguridad de red UNAM: http://www.revista.unam.mx/vol.9/num4/art21/art21.pdf

Duong, J. (2017). Introduction to HoneyPy & HoneyDB. Obtenido de Signal Sciences: https://labs.signalsciences.com/introduction-to-honeypy-honeydb

Fernando Cócaro, M. G. (2008). Proyecto Honeypots. Obtenido de Universidad de la República de Uruguay: https://www.colibri.udelar.edu.uy/bitstream/123456789/3114/1/tg-cocaro.pdf

Galdámez, P. (2017). Actualidad TIC. Obtenido de Seguridad Informática: http://web.iti.upv.es/actualidadtic/2003/07/2003-07-seguridad.pdf

García, G. (2007). Seguridad - Tecnologías de Seguridad. Obtenido de Honeypots: https://radiosyculturalibre.com.ar/biblioteca/REVISTAS/Linux+%20Magazine/Honeypots.pdf

GitHub. (2017). HoneyPy. Obtenido de GitHub: https://github.com/foospidy/HoneyPy

Hernández y López, M. J. (2007). Aplicaciones Prácticas de los Honeypots en la Protección y Monitoreo de Redes de Información. Obtenido de CienciaUAT: http://www.redalyc.org/pdf/4419/441942908009.pdf

Instituto Nacional de Tecnologías de la Comunicación. (2017). Honeypots, monitorizando a los atacantes. Obtenido de Honeypots, monitorizando a los atacantes:

http://www.egov.ufsc.br/portal/sites/default/files/honeypots_monitorizando_a_los_atacantes.pdf

Kaspersky Lab. (2017). Acerca de Nosotros. Obtenido de Kaspersky Lab: https://www.kaspersky.com/about

Master2000. (2017). Ciclo PHVA. Obtenido de Master 2000: http://master2000.net/recursos/menu/277/1355/mper_arch_20059_CicloPHVA.pdf

Nieto, G. F. (2017). Network, Information and Computer Security (NICS) Lab. Obtenido de Configuracion de honeypots adaptativos para análisis de malware: https://www.nics.uma.es/pub/papers/1650.pdf

Open Web Application Security Project (OWASP). (2012). Inyección SQL. Obtenido de OWASP: https://www.owasp.org/index.php/Inyecci%C3%B3n_SQL

QUIJIJE, G. D. (2011). Universidad de Guayaquil. Obtenido de Diseño del prototipo de una Honeypot Virtual que permitirá mejorar el esquema de seguridad en las redes de la Universidad de Guayaquil: http://repositorio.ug.edu.ec/bitstream/redug/6776/1/TesisCompleta%20-%20328%20-%202011.pdf

Redacción tecnología. (2017). El virus WannaCry ya afecta a unos 100 países. Obtenido de El Espectador: https://www.elespectador.com/tecnologia/el-virus-wannacry-ya-afecta-unos-100-paises-articulo-693699

Trujillano, D. M. (2016). Sistema adaptativo de prevención de intrusos. Obtenido de Universidad Autonoma de Madrid: https://repositorio.uam.es/bitstream/handle/10486/676764/Mayordomo_Trujillano_Daniel_tfg.pdf?sequence=1

UDNET. (2017). Documentación Área de Comunicaciones. Obtenido de Red de Datos UDNET: http://udnet.udistrital.edu.co:8080/documents/11177/457497/topologia+red+2017

UDNET. (2017). Informe de Antivirus - Septiembre. Bogotá. UDNET. (2017). Informe de Correos - Septiembre. Bogotá. UDNET. (2017). Informe de Seguridad Check Point - Septiembre. Bogotá. Universidad Nacional Autonóma de México. (2017). Tutorial de Seguridad

Informática. Obtenido de Tutorial de Seguridad Informática: http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap1.html#02

Velasco, R. (2016). Resumen de ataques informáticos en 2015 y tendencias para 2016 según el CCN-CERT. Obtenido de Resumen de ataques informáticos en 2015 y tendencias para 2016 según el CCN-CERT: https://www.redeszone.net/2016/05/03/resumen-ataques-informaticos-2015-tendencias-2016-segun-ccn-cert/

ANEXOS