Honeypot y Honeynet

Presentado por: Katherine Cancelado

katherine.cancelado@eepica.com

El arte de la paz“No claves la vista en los ojos de tu oponente: el te hipnotizará.

No claves tu mirada en su espada: el te podrá intimidar.

No te enfoques completamente en tu oponente: él podrá absorber tu energía.

La esencia del entrenamiento es traer a tu oponente completamente hacia tu esfera.

Entonces podrás pararte justo donde quieras.” Morihei Ueshiba.

Las cuentas claras y el chocolates espeso! (I)

Cuáles son los peligros que corremos nosotros y nuestros sistemas al estar conectados a Internet?

VulnerabilidadesAtaquesRobo de información“Hackers”Redes socialesEspíasTú!

¿En qué ibamos?

Ohh sí!Honeypots y honeynets

Continuemos…

Honeypot (I)Recurso de red, cuyo objetivo es ser comprometido. Su principal objetivo es ser un señuelo para posibles atacantes, o curiosos en busca de sistemas vulnerables.“Facilita” el acceso o intrusión al sistema, cobrando un moderada cuota… La captura de movimientos del atacante, con el fin de alimentar una base de datos con ésta información.

Honeypot (II)

Haga clic para modificar el estilo de texto del patrónSegundo nivel

● Tercer nivel● Cuarto nivel

● Quinto nivel

Honeynet (I)

Conjunto de honeypots que interactúan entre si, a través de una red de datos. Pueden convertirse en un “premio mayor” para el atacante.

Honeynet (II)

Haga clic para modificar el estilo de texto del patrónSegundo nivel

● Tercer nivel● Cuarto nivel

● Quinto nivel

IDS (Sistemas de detección de intrusos)

Herramienta para monitorizar el tráfico de red, con el fin de identificar tráfico inusual o eventos ya registrados.

Pros y contras

Posible detección de ataques “Día cero”Captura, control y análisis de datosAsignación de recursos según necesidades y gustosInvestigaciónCreación de proyectos en seguridad informática

Requiere constante administraciónRequiere MUCHO control en el caso de ser un recurso de una red con sistemas en producciónTodo lo que esté en la honeynet es considerado ataqueTodo lo que esté fuera de la honeynet no podrá ser detectado

Valor

El valor de un honeypot esta en la información que puede capturar, OJO: ésta información no tiene sentido sino se analiza.En la mayoría de los casos la información capturada sirve para identificar múltiples formas de ejecutar un ataque, facilitar la detección de ataques por parte de sistemas cuya finalidad es ésta.Permiten un cambio de mentalidad (en la medida de lo posible) con respecto a la forma como vemos Internet e intentamos asegurar nuestros ambientes.

Clasificación de honeypots y honeynets

ProducciónCompromiso alto

Compromiso medio

Compromiso bajo

InvestigaciónEmulación y virtualización

Paravirtulización

Cliente / Servidor

Honeypot de producción

Su objetivo principal es la generación de datos que permitan asegurar redes de datos y la identificación de nuevos ataques. Se clasifican en:

Compromiso alto / bajo / medio

Honeypot de investigación

Su objetivo principal es capturar todo tipo de dato que pueda dar significado a una investigaciónSe clasifican en:

Virtualización / Emulación

Paravirtualización

Cliente / Servidor

Servidor: Se usa como carnada para atacantesCliente: Inicia la comunicación un servidor seleccionado e interactúa con él como cliente.

Herramientas para la implementación de un honeypot

HoneyDHoneyCHoneytrapNephentesMWCollect

HoneymoleHoneytokensHoneyfarmsKFSensor

Grandes proyectos que usan honeynetsHoneynet AllianceHoneynet UNAMHoneynet EcuadorHoneynet Universidad particular de LojaEscuela superior politécnica del litoral

Cómo justificar la implementación de una honeynet?

Creación / Mejoramiento de políticas de seguridadImplementación de medidas preventivas y correctivas a sistemas informáticosAnálisis de intrusionesAnálisis de ataquesAnálisis de protocolos de redSemilleros de investigación en redes de datos / seguridad informática / computación forenseTu tesis de grado ;-)Otros…

¿Preguntas?

¡Gracias!

Ma. Katherine Cancelado

katherine.cancelado@eepica.comIdenti.ca: @eepica

Website: www.eepica.com