POTG

RU

PO #

15

GR

UPO

# 1

5

NET

Definiciones

• Honey pot: herramientas defensivas de detección de intrusos.

• Honey net: herramienta de investigación, que consiste en una red diseñada para ser comprometida por intrusos.

Sirve para estudiar técnicas utilizados por los intrusos.

El objetivo es realizar un proceso de búsqueda detallada para reconstruir a través de todos los medios el log (archivo que genera los Sistemas Operativos y aplicaciones donde registran toda la actividad) de los acontecimientos que se sucedieron desde el momento en que el sistema estuvo en su estado íntegro hasta el momento de detección de un acceso no autorizado.

análisis forense informático

Esta tarea debe ser realizada con máxima cautela, asegurando que se conserve intacta la información contenida en el disco de un sistema comprometido, de la misma manera que los investigadores policiales tratan de mantener el área del crimen intacta hasta recoger la mayor cantidad de información posible.

• Falsos positivos: alarma cuando no existe ataque.

• Falsos negativos: omisión de alarma cuando hay verdaderamente un ataque.

¿Que es un Spam?

El spam es el nombre con que las personas llaman a los correos electrónicos no deseados recibidos en la Internet. La idea es que si los usuarios de Internet simplemente fueran inundados por el spam, nadie podría distinguir el spam de los correos electrónicos normales.

Estos sistemas últimos de seguridad poseen nuevos procedimientos de protección distintos a los tradicionales.

¿En qué consisten estos nuevos procedimientos de seguridad, distintos a los tradicionales?

Disfraz que permite astutamente al Sistema, por medio de un artificio técnico, mostrarse atractivamente como si fuese el Sistema en sí, siendo uno creado virtualmente para atraer a los jakers, de ahí su nombre Honey pot.

Son procedimientos nuevos porque aplican nuevas técnicas para monitorear, detectar, y registrar el ingreso de intrusos (=spammer) mediante un disfraz (=honey pot). Ser sondeada, atacada y compro metida.

HONEY POT

HONEY POT

HONEY POT (=Jarrón de miel)

Un HONEY POT, como el nombre lo indica, es un Sistema seductor que, haciendo las veces de Jarrón de miel atractivo para los jakers, las abejas intrusas, tiene el objetivo de atraerlos para si como si él

fuese el sistema real.

Téngase en cuenta que los Sistemas funcionan, en su afán de presentarse seductoramente, por medio de

servidores también cautivadores , que hacen de puente entre el Sistema y el intruso.

En las redes se ubican servidores puestos adrede para que los intrusos los saboteen y así son monitorizados por sistemas que actúan como puentes a los servidores, registrando de forma transparente los paquetes que acceden a dichos servidores.

• Un honeypot no es un sistema de producción y, por tanto, nadie debería tratar de comunicarse con él. No habrá falsos positivos.

• Cualquier tráfico que tenga por destino el honeypot será sospechoso de ser un sondeo o un ataque.

• Cualquier tráfico que tenga por origen el honeypot significará que el sistema ha sido comprometido.

Su funcionamiento está basado en tres simples conceptos:

Fuera del FW

Zona desmilitarizada (DMZ)

Servidores productivos

Detectado un ataque (por modificación de la estructura de archivos), se recompone la traza del atacante (secuencia de paquetes registrados en el monitor puente) y se pasa a un análisis forense.

Este análisis forense concluye, en caso de detectar un nuevo ataque, en una nueva regla de detección.

Por lo tanto …

Un Honey pots Un Honey pots (sistemas trampa) es (sistemas trampa) es un “recursos de un “recursos de sistema de sistema de información cuyo información cuyo valor reside en el valor reside en el uso no autorizado o uso no autorizado o ilícito de dichos ilícito de dichos recursos”.recursos”.

Ejemplos

• Decoy Server 3.1 Complementa las soluciones de seguridad como firewalls y otros sistemas de detección de intrusos con una tecnología de cebo avanzada y sensores de detección rápida. Detecta intrusiones procedentes de la red o del host a la vez que elimina las ineficacias y penalizaciones por tiempo o falsos positivos. El decoy server es un Honey Pot (Pote de Miel).

• Seguridad de Red (Perimetral, IDS, etc.). Conocer si una red esta bajo un ataque, y en caso de estarlo hacer que nuestra red actúe proactiva y automáticamente. Creación de HONEY POT, para análisis forenses y recopilación de pruebas judiciales.

VENTAJAS

• Pocos y valiosos datos: los sistemas trampa registran poco volumen de datos, pero de mucho valor.

• Falsas alarmas: la filosofía de los sistemas trampa elimina la existencia de actividad normal o de producción en los mismos.

• Recursos: este tipo de herramientas no hace análisis de las actividades que registran.

• Simplicidad: uno de los puntos más importantes a favor de los sistemas trampa es su sencillez.

• Encriptación: los problemas de monitorización relacionados con protocolos de encriptación (SSH, SSl, IPSec, etc.) aparecen cuando se intercepta una comunicación entre dos entidades, protegida mediante cifrado.

• Reutilización: la mayoría de los productos de seguridad necesitan mantener al día sus mecanismos de detección y defensa para mantener su efectividad. Si no se renuevan, dejan de ser útiles.

• IPv6: uno de los problemas que presentan algunas herramientas de seguridad es que no soportan el protocolo IPv6, sucesor del actual IPv4 ampliamente utilizado en Internet.

• Los Honey Pots suelen ser utilizados como herramientas de aprendizaje para posteriormente reconfigurar y aumentar el nivel de rendimiento de un sistema IDS, mediante la implantación de nuevas reglas, a partir del análisis de los logs obtenidos en el Honey Pot.

DESVENTAJAS

• Punto de vista limitado: los sistemas trampa carecen de valor si no reciben ataques. Si un atacante logra identificar uno de estos sistemas, puede anular toda su efectividad evitándolos.

• Riesgo: si un sistema trampa es atacado con éxito puede ser utilizado por el intruso para acceder el resto de sistemas de la red en que está instalado.

• “Finger print” (huella dactilar): consiste básicamente en la identificación, local o remota, de un sistema o servicio. Esto hace a través de diversos métodos.

• El inconveniente que presentan los Honey Pots como herramientas de detección, captura y análisis de intrusiones es que adolecen de cierta miopía: sólo son capaces de reaccionar ante los ataques dirigidos contra el propio Honey Pot o, en casos puntuales, contra los equipos con los que comparta el segmento de red.

• Algunos de los problemas con los IDS comerciales son la inhabilidad para detectar ataques de bajo nivel, con herramientas nuevas o desconocidas previamente y el uso de técnicas que pueden parecer como actividad legítima del usuario.

• Los Honey Pot son sólo capaces de proveer información sobre alguna persona realizando acciones indebidas.

HONEY NET

HONEY NET

Root kit

Un Root kit es un conjunto de herramientas usado por un intruso después de crackeado un sistema de la computadora. Estas herramientas pueden ayudar al asaltador a mantener su acceso al sistema y lo usa para los propósitos malévolos. Los Root kits existen para una variedad de sistemas operativos como Linux, Solaris, y versiones de Microsoft Windows.

Un Root kit esconde logins, procesos, y logs típicamente y a menudo incluye el software para interceptar los datos de los términos, conexiones de la red, y el teclado. En muchas fuentes arraigue se cuentan los equipos como los caballos del trojan.

Un rootkit también puede incluir las utilidades, conocidas como el backdoors para ayudar más fácilmente al asaltador el acceso el sistema.

HONEY NET

La idea de “honeypot” es desarrollada con el término “honeynet” (Red Trampa).

Una honeynet es el honeypot más complejo, el que ofrece un nivel más alto de interacción con el intruso y el que permite recopilar mayor cantidad de información relativa a un ataque. Sin embargo, lejos de ser una herramienta empaquetada y lista para ser instalada, una honeynet es una red completa que contiene un conjunto de sistemas dispuestos para ser atacados.

Las Honeynets son herramientas de seguridad con un punto de vista diferente al tradicional defensivo, presente en cortafuegos, encriptación o sistemas de detección de intrusiones. Son herramientas diseñadas básicamente para aprender y adquirir experiencia en el área de seguridad.

VENTAJAS• Ayudan a descubrir nuevos ataques, en ocasiones no

publicados por las autoridades de seguridad. Esto permite mejorar los motores de detección de los sistemas de detección de intrusiones, así la creación de nuevos patrones de ataque.

• Los atacantes no dañan sistemas reales.• Utilizar sistemas trampa similares a los de producción

permite identificar fallos de seguridad existentes en el entorno real.

• Ayudan a perfeccionar los mecanismos de respuesta ante incidentes.

• Aportan mucha experiencia en el campo de la seguridad.

DESVENTAJAS

• Este tipo de sistemas siempre han presentado dudas en cuanto a su verdadera efectividad a la hora de mejorar la seguridad. No obstante, cada vez están recibiendo más aceptación entre los miembros de la comunidad de seguridad.

• Es necesario un alto nivel de conocimientos y experiencia en materia de redes y seguridad para poder instalar eficazmente un sistema de estas características.

• Las implicaciones legales que conlleva la instalación de uno de estos sistemas no está bien definida.

¿Cuál es la diferencia entre un "Honey Pot" y una "Honey Net"?

La "honey pot" es la herramienta global; la "honey net" un subconjunto de tecnología que establece una amplia interacción con el hacker y está asociada a entornos en los cuales se pretende investigar la naturaleza del ataque más que el entorno en el cual se persigue o emprender acciones legales.

Honey pots, hacia una

Internet más limpia.