jueves, 17 de diciembre de 2015

¡Hablemos de Honeypots!

4:27 p.m. Posted by LanreB OgeiD No comments

Concepto

Un honeypot es un recurso que simula ser un objetivo real, el cual se espera que sea atacado o comprometido en otras palabras es un "equipo trampa". Los principales objetivos son el atraer y distraer a los atacantes y obtener información sobre el ataque y el atacante.
Es una herramienta de seguridad informática cuyo valor se basa en ser escaneado, atacado y comprometido.

http://www.hackersenigma.com/wp-content/uploads/images/Honeypot-Detection-.jpg

Ventajas

  • No hay tráfico "normal",toda la actividad es sospechosa y petencialmente maliciosos
        - No hay falsas alarmas.
        - Menos datos a analizar comparado con los IDS (Sistema de detección de intrusos, por sus siglas en inglés, que después veremos en una nueva entrada).
  • Puede brindar información valiosa sobre los atacantes.
       - Nuevos tipos de malware
       - Herramientas de hacking utilizadas
       - Métodos usados por los atacantes
  • Detener o entretener al atacante con sistemas en los que no puede causar daño.

Desventajas

  • Hay riesgos potenciales sobre la red de datos y los sitemas de producción de la organización (dependiendo del tipo de honeypot usado).
  • El mantenimiento puede consumir mucho tiempo.
  • "narrow view" (Estrecha visión).
  • No es un mecanismo de defensa...

Usos

Investigación:

  • Detectar nuevo tipos de ataques y herramientas de hacking.
  • Obtener mayor conocimiento de los ataques (objetivos, actividades, etc.) y tendencias.
  • Desarrollar nuevas signatures de IDS's.

Producción:

  • Distraer al atacante del objetico real (ganar tiempo para proteger el ambiente de producción).
  • Recolectar suficiente evidencia contra un ataque.

Tipos

Nivel bajo de interacción:

  • Típicamente sólo proveen servicios falsos o emulados.
  • No hay un sistema operativo sobre el cual el atacante pueda interactuar.
  • Fáciles de instalar y mantener.
  • La información obtenida es muy limitada.
  • Minimizan el riesgo considerablemente.

Nivel medio de interacción:

  • Brinda mayor interacción pero sin llegar a proveer un sistema operativo sobre el cual interactuar.
  • Los demonios que emular los servicios son mas sofisticados y brinda mayores posibilidades de interactuar y escanear el sistema.
  • El desarrollo/implementación es más complejo y consume más tiempo.

Nivel alto de interacción:

  • Cuentan con un sistema operativo real.
  • Presentan un mayor nivel de riesgo y complejidad.
  • Son objetivos más "atractivos" a ser atacados.
  • Se obtiene mayor y mejor información de los atacantes.
  • Requiere de mucho tiempo para instalar y mantener.
https://baulderasec.files.wordpress.com/2013/11/sholcroft-4-2002-1.gif

Riesgos

  • Compromisos de seguridad del Sistema Operativo sobre el cual se ejecuta el honeypot.
  • Vulnerabilidades del software que implementa el honeypot.
  • Atrae intrusos/atacantes a la red de servicios o de producción asociada al honeypot (si es detectado).
  • A mayor nivel de interacción mayor riesgo.
  • Errores en los mecanismo de contención o en la configuración pueden:
        – La honeynet ser usada para atacar otras redes.
        – Abrir un puerto a la red de la organización.
  • Un incidente de seguridad asociada a la organización puede afectar la imagen de la misma.
  • Que la honeynet sea identificada. 





Fuente: http://www.fing.edu.uy/

0 comentarios:

Publicar un comentario