Honeynet.

Los Honeynet son un tipo especial de Honeypots de alta interaccin que actan sobre una red entera, diseada para ser atacada y recobrar as mucha ms informacin sobre posibles atacantes. Contenido
[ocultar]

1 Uso de una Honeynet 2 Cmo funciona 3 Requisitos 4 Cuidados, introduccin de datos y riesgos

5 Fuentes

Uso de una Honeynet

Se usan equipos reales con sistemas operativos reales . Muchos honeypota tradicionales han sido para engaar o detectar ataques. Normalmente estn impuestas por un nico sistema que emula otros sistemas, emula servicios conocidos o vulnerabilidades, o crea entornos cerrados. Este tipo de honeypots se usan principalmente para la investigacin de nuevas tcnicas de ataque y para comprobar el modus-operandi de los intrusos. Una Honeynet es diferente de los honeypots tradicionales, es lo que clasificaramos como un honeypot para la investigacin. Esto no lo hace una mejor solucin que los honeypots tradicionales, simplemente tiene un propsito diferente. En vez de darle uso siendo detectado o engaando a los agresores, su uso es recoger informacin de las amenazas. Las dos principales diferencias de diseo respecto a los honeypots tradicionales son:

No es un slo sistema sino una red de varios sistemas y aplicaciones las cuales son investigadas y atacadas por los blackhats. Las Honeynets pueden utilizar varios sistemas al mismo tiempo, como Solaris, Linux, Windows NT, router Cisco, conmutadores Alteon, etc. Esto crea un entorno de red que refleja de forma ms realista una red productiva. Adems, al tener diferentes sistemas con diferentes aplicaciones, como un servidor DNS en Linux, un servidor Web Windows IIS, y un servidor de bases de datos en Solaris, podemos aprender sobre diferentes herramientas y tcticas. Quizs algunos blackhats se centran en sistemas especficos, aplicaciones o vulnerabilidades. Teniendo una variedad de sistemas operativos y aplicaciones, somos capaces de trazar con ms exactitud el perfil de las tendencias y rasgos de los blackhat.

Todos los sistemas situados dentro de una Honeynet son sistemas comerciales estndar. Estos son sistemas y aplicaciones reales, los mismos que puede encontrar en Internet. Nada es emulado ni se hace nada para que los sistemas sean menos seguros. Los riegos y vulnerabilidades encontradas en una Honeynet son las mismas que existen hoy en muchas organizaciones. Uno simplemente puede tomar un sistema de un entorno comercial y situarlo dentro de una Honeynet.

Estas son dos diferencias de diseo que hacen de la Honeynet principalmente una herramienta para la investigacin. Puede ser usada como un honeypot tradicional, detectando actividades no autorizadas, sin embargo una Honeynet requiere bastante ms trabajo, riegos y administracin. Simplemente no merece la pena hacer todo el esfuerzo de construir y mantener una honeypot slo para detectar ataques. Tradicionalmente, la informacin sobre seguridad ha sido puramente defensiva. Cortafuegos, Sistemas de Deteccin de Intrusiones, cifrado; todos estos mecanismos se usan defensivamente para proteger los recursos de alguien. La estrategia es defender la organizacin de alguien tan bien como sea posible, detectar posibles fallos en la defensa y entonces reaccionar a esos fallos. El problema de esta situacin es puramente

defensivo, el enemigo est al ataque. Las Honeynets intentan cambiar esto. El principal propsito de una Honeynet es recoger informacin sobre las amenazas existentes. Nuevas herramientas pueden ser descubiertas, pueden determinarse patrones de ataque, y los motivos del agresor estudiados. Las Honeynets no son ms que una herramienta, y como tal puede ser usada para otros fines. Un ejemplo, las organizaciones pueden utilizar Honeynets para comprobar y desarrollar su capacidad de Respuesta ante Incidentes. Las ventajas que se obtienen analizando estos sistemas comprometidos es que se obtienen la mayora de las respuestas. Puede tratar el sistema comprometido como un 'reto', donde comprobar sus habilidades para determinar qu pas utilizando diversas tcnicas forenses. Entonces puede comparar estos resultados con los datos capturados dentro de la Honeynet. Ejemplos de esto son los numerosos retos avalados por el Honeynet Project. Las Honeynets son simplemente una herramienta, encuentra su utilidad all donde usted decida usarlas. Sin embargo, su principal propsito y diseo est basado en la investigacin de amenazas.

Cmo funciona
Conceptualmente, las Honeynets son un mecanismo simple. Usted crea una red parecida a una pecera, donde puede ver todo lo que ocurre dentro de ella. Igual que a un pez, puede observar a los hackers interactuar con su entorno virtual. Adems igual que en una pecera, puede poner all casi todo lo que quiera. Esta red controlada se convierte en su Honeynet. Las actividades capturadas le ensean las herramientas, tcticas y motivos de la comunidad blackhat. Tradicionalmente, el gran problema de los profesionales de la seguridad reside en que la deteccin y captura de actividad blackhat supone una sobrecarga de informacin. El reto para muchas organizaciones es determinar de entre una enorme cantidad de informacin qu es trfico productivo y qu es actividad maliciosa. Herramientas y tcnicas como los Sistemas de Deteccin de Intrusiones, anlisis forenses de las mquinas, o los anlisis de los registros del sistema intentan resolver esto mediante una base de datos de marcas conocidas o algoritmos para determinar qu es trfico de produccin y qu es actividad maliciosa. Sin embargo, la sobrecarga de informacin, la contaminacin de los datos, actividades no descubiertas, falsos positivos y falsos negativos puede hacer el anlisis y la determinacin de las actividades algo extremadamente difcil. Como todos los honeypots, las Honeynets resuelven este problema de la sobrecarga de informacin a travs de la simplicidad. Una Honeynet es una red diseada para ser comprometida, no para ser usada por trfico productivo. As, cualquier trfico entrando o saliendo de nuestra red es sospechoso por definicin. Cualquier conexin iniciada desde fuera de la Honeynet hacia dentro de la red es probablemente algn tipo de sondeo, ataque u otra actividad maliciosa. Cualquier conexin iniciada desde dentro de la Honeynet hacia otra red de fuera indica que un sistema fue comprometido. Un agresor ha iniciado una conexin desde su recin atacada computadora y ahora est saliendo a Internet. Este concepto de ningn trfico productivo simplifica enormemente la captura de datos y el anlisis.

Requisitos
Para construir su Honeynet de forma satisfactoria, hay dos requisitos crticos; Control de Datos y Captura de Datos. Si hay algn fallo en cualquier requisito, entonces hay un fallo en la Honeynet. Las Honeynets pueden construirse y desarrollarse en cantidad de maneras diferentes, de forma que dos Honeynets nunca son iguales. A pesar de esto, todas deben reunir los requisitos sobre Control de Datos y Captura de Datos. El Control de Datos es una actividad de contencin. Cuando tratamos con blackhats siempre hay riegos, debemos reducir este riesgo. Queremos asegurarnos de que una vez comprometida, un honeypot no puede ser utilizado para daar a algn sistema que no sea la Honeynet. Sin embargo, el reto es controlar el flujo de datos sin que el blackhat sospeche. Una vez que el sistema est comprometido, el blackhat a menudo querr conectarse a Internet, para descargar herramientas, establecer conexiones IRC o enviar correos electrnicos. Tenemos que darle flexibilidad para ejecutar estas acciones, y estos pasos son los que queremos aprender y analizar. Adems, los blackhats pueden sospechar si observan que no pueden realizar conexiones al exterior. Cometimos este mismo error con nuestra primera Honeynet. No permitimos conexiones salientes hacia Internet. El blackhat slo necesit quince minutos para darse cuenta de que algo no iba bien, limpiar el disco duro y abandonar la red. As que, el truco es darle al blackhat la flexibilidad para ejecutar lo que necesite, pero sin permitir que utilice el sistema comprometido para atacar a otros, con ataques de Denegacin de Servicio, escaneos de sistemas y exploits. En general, cuanto ms permita al blackhat salir hacia el exterior, ms aprender, pero ms grande ser el riesgo. La Captura de Datos es la captura de todas las actividades del blackhat. son las actividades que se analizan para aprender las herramientas, tcticas y motivos de la comunidad blackhat. El reto es capturar tantos datos como sea posible, sin que el blackhat sospeche que cada accin est

siendo capturada. Esto se hace con las menores modificaciones posibles, si las hay, a los honeypots. Adems, los datos capturados no pueden guardarse localmente en el honeypot. La informacin guardada localmente puede ser potencialmente detectada por el blackhat, alertndole de que el sistema es una Honeynet. Los datos guardados pueden ser tambin perdidos o destruidos. No slo tenemos que capturar cada movimiento del blackhat sin su conocimiento, sino que tendremos que guardar la informacin de forma remota. La clave est en capturar los datos por capas. No puede depender slo de la informacin de una capa. Debe recoger datos de varios recursos. As, de forma combinada, estas capas le permitirn pintar el gran cuadro. Hay un tercer requisito, la Recoleccin de Datos, pero es slo para organizaciones que tienen varias Honeynets en entornos distribuidos. Muchas organizaciones tendrn una sola Honeynet, as que todo lo que necesitan es Controlar y Capturar Datos. Sin embargo, las organizaciones que poseen varias Honeynets lgica o fsicamente distribuidas alrededor del mundo, como la Honeynet Research Alliance tienen que recolectar todos los datos capturados y guardarlos de forma centralizada. Esta forma de captura de datos puede ser combinada, de forma exponencial incrementando su alcance.

Cuidados, introduccin de datos y riesgos

Las Honeynets no son soluciones para "enchufar y olvidar". son un complejo tipo de honeypot que requiere mantenimiento constante, administracin y vigilancia. Para la mxima efectividad, necesita detectar y reaccionar a los incidentes tan pronto como sea posible. Observando las actividades de los blackhat en tiempo real, puede maximizar las capacidades de captura de datos y anlisis. Adems, para detectar los desconocidos, se requiere una revisin constante de las actividades sospechosas. Esto requiere mucho tiempo y capacidad de anlisis. Por ejemplo, en slo 30 minutos un blackhat puede hacer el suficiente dao a un honeypot comprometido que requiera 30-40 horas para entender completamente qu ha ocurrido. El mantenimiento constante es requerido para mantener la operabilidad de la Honeynet. Si algo va mal (y siempre hay algo) esto puede causar un fallo dentro de la honeynet. Sus procesos de alerta terminarn, los discos pueden llenarse, las firmas IDS pueden caducar, los ficheros de configuracin corromperse, los registros del sistema necesitarn ser revisados, los cortafuegos necesitarn ser actualizados y parcheados. Esto representa algunos de los cuidados constantes e introduccin de datos que se requiere para un correcto funcionamiento de la Honeynet. Su trabajo no hace ms que empezar cuando construye una Honeynet. Adems, hay riesgos implcitos en la construccin e implementacin de una Honeynet. Tenemos blackhatsatacando y comprometiendo nuestros sistemas. Estableciendo una red para ser comprometida, nos exponemos nosotros mismos, y a otros a un cierto riesgo. Usted asume la responsabilidad de asegurarse de que la Honeynet, una vez comprometida, no puede ser usada para atacar o daar otros sistemas. No obstante, con un entorno como este, siempre hay un riesgo potencial de que algo vaya mal. Hemos implementado diversas medidas para reducir este riesgo. Sin embargo, es posible que un blackhat desarrolle un mtodo o herramienta que le permita saltarse nuestros mtodos de control de acceso. Adems, se necesita actualizar y comprobar constantemente el entorno para asegurarnos de que las medidas de control funcionan correctamente. Nunca subestime el poder creativo de la comunidad blackhat. El uso de un cortafuegos, routers y otras tcnicas ayudan a reducir el riesgo del uso de la Honeynet para daar otros sistemas. An as, todava hay riesgos. Por ltimo, las honeynets no solucionarn sus problemas de seguridad. Recomendamos encarecidamente que las organizaciones se centren primero en mejores prcticas como la autenticacin fuerte, uso de protocolos cifrados, revisin de registros del sistema, y versiones seguras del sistema. Mediante la prioridad en polticas y procedimientos adecuados, las organizaciones pueden reducir considerablemente los riesgos. Las Honeynets no reducen los riesgos, es ms probable que los aumenten. Si su organizacin est interesada en las capacidades de deteccin o engao de los honeypots, le recomendamos la lectura de honeypot whitepapery de los productos tratados al principio de este artculo. Las Honeynets son un honeypot diseado principalmente para la investigacin, para recoger informacin del enemigo. No solucionarn los problemas de su servidor poco seguro, no solucionar malos procesos o procedimientos. Las Honeynets requieren una gran sobrecarga administrativa. El administrador de la honeynet tiene la responsabilidad de que ningn otro sistema vaya a ser atacado desde la Honeynet comprometida. Sin una administracin apropiada, los riesgos pueden ser mayores que la recompensa. Esta herramienta no es la panacea de la seguridad, y no debe ser una solucin para ninguna organizacin. El Honeynet Project recomienda encarecidamente que las organizaciones se centren primero en asegurar su organizacin, parcheando los sistemas o deshabilitando servicios. Una vez aseguradas, las organizaciones pueden entonces ser capaces de usar Honeynets como una poderosa herramienta para tomar la iniciativa y aprender ms sobre el enemigo y ellos mismos. A pesar de ello, se recomienda a las organizaciones que consulten a sus

asesores jurdicos sobre las cuestiones legales que pueden existir, antes de construir una Honeynet. A individuos u organizaciones interesados en aprender ms sobre las tecnologas Honeynet, se les recomienda la lectura del libro Conoce a tu Enemigo, escrito por el Honeynet Project.