Download HONEY POT

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
Document related concepts
no text concepts found
Transcript 
POT
NET
Definiciones
• Honey pot: herramientas
defensivas de detección de
intrusos.
• Honey net: herramienta de
investigación, que consiste en
una red diseñada para ser
comprometida por intrusos.
Sirve para estudiar técnicas
utilizados por los intrusos.
análisis forense informático
El objetivo es realizar un proceso de búsqueda
detallada para reconstruir a través de todos los
medios el log (archivo que genera los Sistemas
Operativos y aplicaciones donde registran toda la
actividad) de los acontecimientos que se
sucedieron desde el momento en que el sistema
estuvo en su estado íntegro hasta el momento de
detección de un acceso no autorizado.
Esta tarea debe ser realizada con máxima
cautela, asegurando que se conserve
intacta la información contenida en el
disco de un sistema comprometido, de la
misma manera que los investigadores
policiales tratan de mantener el área del
crimen intacta hasta recoger la mayor
cantidad de información posible.
• Falsos positivos: alarma cuando no
existe ataque.
• Falsos negativos: omisión de alarma
cuando hay verdaderamente un
ataque.
¿Que es un Spam?
El spam es el nombre con que las
personas llaman a los correos electrónicos
no deseados recibidos en la Internet. La
idea es que si los usuarios de Internet
simplemente fueran inundados por el
spam, nadie podría distinguir el spam de
los correos electrónicos normales.
Estos sistemas últimos de seguridad
poseen nuevos procedimientos de
protección distintos a los tradicionales.
¿En qué consisten
estos nuevos procedimientos de seguridad,
distintos a los tradicionales?
Son procedimientos nuevos porque aplican
nuevas técnicas para monitorear, detectar, y
registrar el ingreso de intrusos (=spammer)
mediante un disfraz (=honey pot). Ser
sondeada, atacada y compro metida.
Disfraz que permite astutamente al Sistema, por medio de un
artificio técnico, mostrarse atractivamente como si fuese el Sistema
en sí, siendo uno creado virtualmente para atraer a los jakers, de
ahí su nombre Honey pot.
HONEY POT (=Jarrón de miel)
Un HONEY POT, como el nombre lo indica,
es un Sistema seductor que,
haciendo las veces de Jarrón de miel atractivo
para los jakers, las abejas intrusas,
tiene el objetivo de atraerlos para si como si él
fuese el sistema real.
Téngase en cuenta que los Sistemas funcionan, en su
afán de presentarse seductoramente, por medio de
servidores también cautivadores , que hacen de puente
entre el Sistema y el intruso.
En las redes se ubican servidores puestos adrede para
que los intrusos los saboteen y así son monitorizados
por sistemas que actúan como puentes a los
servidores, registrando de forma transparente los
paquetes que acceden a dichos servidores.
Su funcionamiento está basado en tres simples
conceptos:
• Un honeypot no es un sistema de producción y,
por tanto, nadie debería tratar de comunicarse
con él. No habrá falsos positivos.
• Cualquier tráfico que tenga por destino el
honeypot será sospechoso de ser un sondeo o
un ataque.
• Cualquier tráfico que tenga por origen el
honeypot significará que el sistema ha sido
comprometido.
Fuera del FW
Zona desmilitarizada (DMZ)
Servidores productivos
Detectado un ataque (por modificación de la estructura de
archivos), se recompone la traza del atacante (secuencia
de paquetes registrados en el monitor puente) y se pasa a
un análisis forense.
Este análisis forense concluye, en caso de detectar un
nuevo ataque, en una nueva regla de detección.
Por lo tanto …
Un Honey pots
(sistemas trampa) es
un “recursos de
sistema de
información cuyo
valor reside en el
uso no autorizado o
ilícito de dichos
recursos”.
Ejemplos
• Decoy Server 3.1 Complementa las soluciones de
seguridad como firewalls y otros sistemas de detección
de intrusos con una tecnología de cebo avanzada y
sensores de detección rápida. Detecta intrusiones
procedentes de la red o del host a la vez que elimina las
ineficacias y penalizaciones por tiempo o falsos
positivos. El decoy server es un Honey Pot (Pote de
Miel).
• Seguridad de Red (Perimetral, IDS, etc.). Conocer si una
red esta bajo un ataque, y en caso de estarlo hacer que
nuestra red actúe proactiva y automáticamente.
Creación de HONEY POT, para análisis forenses y
recopilación de pruebas judiciales.
VENTAJAS
• Pocos y valiosos datos: los sistemas trampa
registran poco volumen de datos, pero de
mucho valor.
• Falsas alarmas: la filosofía de los sistemas
trampa elimina la existencia de actividad normal
o de producción en los mismos.
• Recursos: este tipo de herramientas no hace
análisis de las actividades que registran.
• Simplicidad: uno de los puntos más importantes
a favor de los sistemas trampa es su sencillez.
• Encriptación: los problemas de monitorización relacionados con
protocolos de encriptación (SSH, SSl, IPSec, etc.) aparecen cuando
se intercepta una comunicación entre dos entidades, protegida
mediante cifrado.
• Reutilización: la mayoría de los productos de seguridad necesitan
mantener al día sus mecanismos de detección y defensa para
mantener su efectividad. Si no se renuevan, dejan de ser útiles.
• IPv6: uno de los problemas que presentan algunas herramientas de
seguridad es que no soportan el protocolo IPv6, sucesor del actual
IPv4 ampliamente utilizado en Internet.
• Los Honey Pots suelen ser utilizados como herramientas de
aprendizaje para posteriormente reconfigurar y aumentar el nivel de
rendimiento de un sistema IDS, mediante la implantación de nuevas
reglas, a partir del análisis de los logs obtenidos en el Honey Pot.
DESVENTAJAS
• Punto de vista limitado: los sistemas trampa
carecen de valor si no reciben ataques. Si un
atacante logra identificar uno de estos sistemas,
puede anular toda su efectividad evitándolos.
• Riesgo: si un sistema trampa es atacado con
éxito puede ser utilizado por el intruso para
acceder el resto de sistemas de la red en que
está instalado.
• “Finger print” (huella dactilar): consiste
básicamente en la identificación, local o remota,
de un sistema o servicio. Esto hace a través de
diversos métodos.
• El inconveniente que presentan los Honey Pots como
herramientas de detección, captura y análisis de
intrusiones es que adolecen de cierta miopía: sólo son
capaces de reaccionar ante los ataques dirigidos contra
el propio Honey Pot o, en casos puntuales, contra los
equipos con los que comparta el segmento de red.
• Algunos de los problemas con los IDS comerciales son
la inhabilidad para detectar ataques de bajo nivel, con
herramientas nuevas o desconocidas previamente y el
uso de técnicas que pueden parecer como actividad
legítima del usuario.
• Los Honey Pot son sólo capaces de proveer
información sobre alguna persona realizando acciones
indebidas.
Root kit
Un Root kit es un conjunto de herramientas
usado por un intruso después de crackeado
un sistema de la computadora. Estas
herramientas pueden ayudar al asaltador a
mantener su acceso al sistema y lo usa
para los propósitos malévolos. Los Root kits
existen para una variedad de sistemas
operativos como Linux, Solaris, y versiones
de Microsoft Windows.
Un Root kit esconde logins, procesos, y logs
típicamente y a menudo incluye el software para
interceptar los datos de los términos,
conexiones de la red, y el teclado. En muchas
fuentes arraigue se cuentan los equipos como
los caballos del trojan.
Un rootkit también puede incluir las utilidades,
conocidas como el backdoors para ayudar más
fácilmente al asaltador el acceso el sistema.
HONEY NET
La idea de “honeypot” es desarrollada con el
término “honeynet” (Red Trampa).
Una honeynet es el honeypot más complejo, el
que ofrece un nivel más alto de interacción con
el intruso y el que permite recopilar mayor
cantidad de información relativa a un ataque.
Sin embargo, lejos de ser una herramienta
empaquetada y lista para ser instalada, una
honeynet es una red completa que contiene un
conjunto de sistemas dispuestos para ser
atacados.
Las Honeynets son herramientas de
seguridad con un punto de vista diferente
al tradicional defensivo, presente en
cortafuegos, encriptación o sistemas de
detección
de
intrusiones.
Son
herramientas diseñadas básicamente para
aprender y adquirir experiencia en el área
de seguridad.
VENTAJAS
• Ayudan a descubrir nuevos ataques, en ocasiones no
publicados por las autoridades de seguridad. Esto permite
mejorar los motores de detección de los sistemas de
detección de intrusiones, así la creación de nuevos
patrones de ataque.
• Los atacantes no dañan sistemas reales.
• Utilizar sistemas trampa similares a los de producción
permite identificar fallos de seguridad existentes en el
entorno real.
• Ayudan a perfeccionar los mecanismos de respuesta ante
incidentes.
• Aportan mucha experiencia en el campo de la seguridad.
DESVENTAJAS
• Este tipo de sistemas siempre han presentado
dudas en cuanto a su verdadera efectividad a la
hora de mejorar la seguridad. No obstante, cada
vez están recibiendo más aceptación entre los
miembros de la comunidad de seguridad.
• Es necesario un alto nivel de conocimientos y
experiencia en materia de redes y seguridad
para poder instalar eficazmente un sistema de
estas características.
• Las implicaciones legales que conlleva la
instalación de uno de estos sistemas no está
bien definida.
¿Cuál es la diferencia entre un
"Honey Pot" y una "Honey Net"?
La "honey pot" es la herramienta global;
la "honey net" un subconjunto de
tecnología que establece una amplia
interacción con el hacker y está asociada
a entornos en los cuales se pretende
investigar la naturaleza del ataque más
que el entorno en el cual se persigue o
emprender acciones legales.
Honey pots,
hacia una
Internet más
limpia.
Related documents
honeypots monitorizando a los atacantes
honeypots monitorizando a los atacantes
implementación de un sistema de protección y
implementación de un sistema de protección y
DT-ESPEL-0889
DT-ESPEL-0889
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
Seguridad Perimetral
Seguridad Perimetral
Las “16 prioridades” para proteger UNIX SAFE Consulting Group
Las “16 prioridades” para proteger UNIX SAFE Consulting Group
prueba de intrusión al sistema operativo windows server 2003 de
prueba de intrusión al sistema operativo windows server 2003 de
Cómputo forense: Protección contra hackers.
Cómputo forense: Protección contra hackers.
Defenderse de todo - Diplomado en Tecnologías de la Información
Defenderse de todo - Diplomado en Tecnologías de la Información
Diapositiva 1
Diapositiva 1
UNIVERSIDAD TECNOLOGICA ISRAEL
UNIVERSIDAD TECNOLOGICA ISRAEL
ISP_Capitulo3
ISP_Capitulo3
La necesidad de la Informática Forense SAFE Consulting Group
La necesidad de la Informática Forense SAFE Consulting Group
Virus de la parálisis crónica y virus de la Parálisis aguda
Virus de la parálisis crónica y virus de la Parálisis aguda
Trabajo de Campo - tisgpal1-3
Trabajo de Campo - tisgpal1-3