Seguridad

Honeypots y Honeynets

Honeypots y Honeynets
Parte del trabajo de los especialistas en seguridad informática es conocer los tipos de ataques o técnicas que utilizan los piratas informáticos recopilando, además, información para su posterior análisis con el fin de evaluar las características de los intentos de ataque. A veces, esta recopilación de información se realiza a través de un cebo, o señuelos diseñados para registrar la actividad sospechosa de posibles atacantes que actúan sin saber que su actividad está siendo monitoreada. En seguridad informática, estos cebos o señuelos se denominan Honeypots.

Un honeypot puede ser una aplicación que simula un objetivo que en realidad es un registrador de la actividad de los atacantes. Múltiples Honeypots que simulan múltiples servicios, dispositivos y aplicaciones relacionados se denominan Honeynets.

Los Honeypots y Honeynets no almacenan información confidencial, sino que almacenan información falsa y atractiva para los atacantes para que se interesen en los Honeypots, Honeynets, en otras palabras, estamos hablando de trampas de hackers diseñadas para aprender sus técnicas de ataque.

Los Honeypots nos reportan dos tipos de beneficios: primero nos ayudan a aprender ataques para luego asegurar nuestro dispositivo de producción o red correctamente. En segundo lugar, al mantener los honeypots simulando vulnerabilidades junto a los dispositivos de producción o la red, mantenemos la atención de los piratas informáticos fuera de los dispositivos seguros, ya que encontrarán más atractivos los honeypots que simulan agujeros de seguridad que pueden explotar.

Existen diferentes tipos de Honeypots:

Honeypots de producción:

Este tipo de honeypots se instala en una red de producción para recopilar información sobre técnicas utilizadas para atacar sistemas dentro de la infraestructura.  Este tipo de Honeypots ofrece una amplia variedad de posibilidades, desde la ubicación del honeypot dentro de un segmento de red específico para detectar intentos internos de usuarios legítimos de la red para acceder a recursos no permitidos o prohibidos a un clon de un sitio web o servicio, idéntico al original como cebo. El mayor problema de este tipo de honeypots es permitir el tráfico malicioso entre uno legítimo.

Honeypots de desarrollo:

Este tipo de honeypots está diseñado para recopilar la mayor cantidad de información posible sobre las tendencias de piratería, los objetivos deseados por los atacantes y los orígenes de los ataques. Esta información es posteriormente analizada para el proceso de toma de decisiones sobre implementación de medidas de seguridad.

La principal ventaja de este tipo de honeypots es que, a diferencia de los honeypots de producción, los honeypots de desarrollo están ubicados dentro de una red independiente, dedicada a la investigación, este sistema vulnerable está separado del entorno de producción evitando un ataque del propio honeypot. Su principal desventaja es la cantidad de recursos necesarios para implementarlo.

Hay una 3 subcategoría o clasificación diferente de honeypots definida por la interacción que tiene con los atacantes.

Honeypots de baja interacción:

Un Honeypot emula un servicio, aplicación o sistema vulnerable.  Esto es muy fácil de configurar pero limitado a la hora de recopilar información, algunos ejemplos de este tipo de honeypots son:

Trampa de miel: está diseñado para observar ataques contra servicios de red, a diferencia de otros honeypots que se enfocan en capturar malwares, este tipo de honeypots está diseñado para capturar exploits.

Nephentes: emula vulnerabilidades conocidas con el fin de recopilar información sobre posibles ataques, está diseñado para emular vulnerabilidades que los gusanos explotan para propagar, luego Nephentes captura su código para su posterior análisis.

HoneyC: Identifica servidores web maliciosos dentro de la red al emular diferentes clientes y recopilar respuestas del servidor al responder a las solicitudes.

HoneyD: es un demonio que crea hosts virtuales dentro de una red que se puede configurar para ejecutar servicios arbitrarios que simulan la ejecución en diferentes sistemas operativos.

Glastopf: emula miles de vulnerabilidades diseñadas para recopilar información de ataques contra aplicaciones web. Es fácil de configurar y, una vez indexado por los motores de búsqueda, se convierte en un objetivo atractivo para los piratas informáticos.

Honeypots de interacción media:

Estos tipos de honeypots son menos interactivos que los anteriores sin permitir el nivel de interacción que permiten los honeypots altos. Algunos Honeypots de este tipo son:

Kippo: es un honeypot ssh que se utiliza para registrar ataques de fuerza bruta contra sistemas Unix y registrar la actividad del pirata informático si se obtuvo el acceso. Fue descontinuado y reemplazado por Cowrie.

Cauri: otro honeypot ssh y telnet que registra los ataques de fuerza bruta y la interacción del shell de los piratas informáticos. Emula un sistema operativo Unix y funciona como proxy para registrar la actividad del atacante.

Sticky_elephant: es un honeypot de PostgreSQL.

Avispón: Una versión mejorada de honeypot-wasp con solicitud de credenciales falsas diseñada para sitios web con página de inicio de sesión de acceso público para administradores como / wp-admin para sitios de wordpress.

Honeypots de alta interacción:

En este escenario los Honeypots no están diseñados para recopilar solo información, es una aplicación diseñada para interactuar con atacantes mientras registra de manera exhaustiva la actividad de interacción, simula un objetivo capaz de ofrecer todas las respuestas que el atacante puede esperar, algunos honeypots de este tipo son:

Sebek: funciona como un HIDS (sistema de detección de intrusiones basado en host) que permite capturar información sobre la actividad del sistema. Esta es una herramienta servidor-cliente capaz de implementar honeypots en Linux, Unix y Windows que capturan y envían la información recopilada al servidor.

HoneyBow: se puede integrar con honeypots de baja interacción para aumentar la recopilación de información.

HI-HAT (Kit de herramientas de análisis de alta interacción Honeypot): convierte archivos php en honeypots de alta interacción con una interfaz web disponible para monitorear la información.

Captura-HPC: similar a HoneyC, identifica servidores maliciosos interactuando con ellos como clientes usando una máquina virtual dedicada y registrando cambios no autorizados.

Si estás interesado en Honeypots, probablemente los IDS (Intrusion Detection Systems) puedan ser interesantes para ti, en LinuxHint tenemos un par de interesantes tutoriales sobre ellos:

Espero que haya encontrado útil este artículo sobre Honeypots y Honeynets. Siga siguiendo LinuxHint para obtener más consejos y actualizaciones sobre Linux y seguridad.

Juegos Cómo instalar League Of Legends en Ubuntu 14.04
Cómo instalar League Of Legends en Ubuntu 14.04
Si eres fanático de League of Legends, esta es una oportunidad para que pruebes League of Legends. Tenga en cuenta que LOL es compatible con PlayOnLin...
Juegos Instale el último juego de estrategia de OpenRA en Ubuntu Linux
Instale el último juego de estrategia de OpenRA en Ubuntu Linux
OpenRA es un motor de juego de estrategia en tiempo real libre / gratuito que recrea los primeros juegos de Westwood como el clásico Command & Conquer...
Juegos Instale el último emulador de Dolphin para Gamecube y Wii en Linux
Instale el último emulador de Dolphin para Gamecube y Wii en Linux
Dolphin Emulator te permite jugar los juegos de Gamecube y Wii que elijas en computadoras personales con Linux (PC). Al ser un emulador de juegos de ...