Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Look up keyword
Like this
9Activity
0 of .
Results for:
No results containing your search query
P. 1
Honeypots Gabriel Garcia Linux Plus Magazine 2007 11

Honeypots Gabriel Garcia Linux Plus Magazine 2007 11

Ratings: (0)|Views: 259|Likes:
Published by hexram

More info:

Published by: hexram on May 07, 2009
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

05/29/2012

pdf

text

original

 
seguridad
Tecnologías de Seguridad
18
Linux+ 11/2007
     l     i    n    u    x     @    s    o     f     t    w    a    r    e .    c    o    m .    p     l
L
a seguridad siempre ha sido un punto alto de lossistemas
*nix
, eso no quiere decir que equiposcon UNIX, Linux o sus variantes no sufran ata-ques, no solamente los sufren, sino que algunasveces tienen éxito debido a vulnerabilidades existentes, ma-las conguraciones o ataques internos.
Tarros de miel
La idea atrás de los honeypots es simple: mostrar a los ata-cantes un sistema
virtual 
que parezca el sistema real, de esamanera los ataques se efectuarán sobre ese sistema sin cau-sar ningún daño al sistema real. Es el software o hardware(computadoras) cuya intención es atraer (como la miel) a losatacantes simulando ser sistemas débiles o con fallas de segu-ridad no del todo evidentes, pero si lo suciente para atraerlosy ser un reto para sus habilidades de intrusión.
Tipos de honeypots
Podemos dividir los honeypots en dos tipos:Para investigación: se usan para recolectar informaciónsobre los movimientos de los intrusos, o sea se registracada movimiento del atacante para usar esta informa-ción y crear perles de los mismos.Para producción: se usan para proteger a los verdaderosservidores y desviar la atención de los atacantes. De estamanera se disminuye la supercie de ataque de los in-trusos.Otra división que suelen tener los honeypots es en base algrado de interacción con el usuario, aquí nuevamente tene-mos dos tipos:Alta interacción: se usan sistemas complejos que recreanun sistema completo con sistema operativo y aplicacio-nes reales, en este caso no hay emulación, quien entreencontrará un gran sistema para interactuar, de esta ma-nera se pueden estudiar mejor las actividades de quienesingresan al mismo. Estos sistemas requieren más trabajode implementación y solamente son usados por grandesorganizaciones que disponen de los recursos necesarios para hacerlo.Baja interacción: en este tipo la interacción con el usua-rio es mucho menor y se limita por lo general a emular 
Honeypots
Gabriel García
Hoy haremos algunos apuntes sobre seguridady detección de intrusos en general y más enparticular sobre los honeypots o tarros de miel,que es una de las tecnologías de seguridad conmás auge en este momento. Primero haremos unaintroducción teórica para aprender los conceptosbásicos necesarios y luego veremos cómo podemosaplicar éstos a una instalación Linux y ver losresultados para experimentar con ellos.¿Cómo podemos defendernos contra un enemigo,que no vemos y ni siquiera sabemos quién es?
 
seguridad
Tecnologías de Seguridad
19
www.lpmagazine.org
servicios. Son rápidos y fáciles de imple-mentar por lo que, en general, son los másutilizados.
Ventajas
Los honeypots no requieren gran hard-ware, ya que solamente registran datoscuando son accedidos y se pueden con-gurar para sólo registrar ciertos tiposde eventos, de esta manera los respon-sables de la seguridad no se ven sobre- pasados con registros de miles de líneasque muchas veces son difíciles de ana-lizar.Se pueden reducir las falsas alertas, esdecir, muchas veces ciertos eventos quesuceden a menudo suelen ignorarse dela misma manera que cuando suenan lasalarmas de los autos en un estacionamien-to, la mayoría de la gente cansada de lasalarmas empieza a ignorarlas creandouna falsa alarma o
 falso positivo
. Todoacceso a un honeypot por denición esno autorizado, por lo tanto no hay queobviarlo.Detección de falsos negativos, es decir, se pueden detectar nuevos y desconocidosataques, ya que todo acceso, como dijimosantes, es una anomalía y debe ser ana-lizada.Trabajan con nuevas tecnologías comoSSH, IPSec, SSL e Ipv6.Nivel de exibilidad, se pueden adaptar casi a cualquier situación y recrear cual-quier ambiente y de esta manera
ofrecer 
  base de datos o situaciones para atraer atacantes.
Desventajas
Solamente podemos ver lo que pasa conlos honeypots, ya que las actividades a lasque estamos registrando son sobre estesistema y nada podemos hacer sobre sis-temas vecinos.Como toda nueva tecnología usada, seagregan riesgos inherentes a ellas y pue-den llegar a ser usados para nuevos y di-ferentes ataques.
Usos de los honeypots
Los honeypots son muy exibles por lo que elcampo de acción es bastante grande, depen-diendo de la conguración podemos llegar a tener tres tipos de usos:
 Detectar ataques
: la detección suele ser una tarea difícil, se colecta demasiadainformación que después es difícil deanalizar y se vuelve tediosa, a la vez esdifícil de distinguir cual es la actividadnormal del día a día del trabajo y la quese puede atribuir a algún atacante. Conlos honeypots se pueden reducir lasfalsas alarmas al capturar poca cantidadde información de las actividades de losatacantes, en general se usan honeypotsde baja interacción para las tareas dedetección.
Prevenir ataques
: los honeypots puedenayudar a prevenir ataques de muchasmaneras, un ataque común es el auto-matizado, que son gusanos que revisanredes en busca de vulnerabilidades y siencuentran un sistema vulnerable, éstees atacado y tomado, en general esto su-cede replicándose en la red haciendo co- pias de sí mismo tanto como pueda. Unhoneypot puede reducir la velocidad deeste proceso e incluso llegarlo a detener,este tipo de honeypot es llamado
 stickyhoneypot 
(tarro de miel pegajoso) y es elencargado de interactuar con el atacantehaciéndolo más lento, para ello se usanuna variedad de trucos sobre el protoco-lo TCP, como un tamaño de ventana delongitud cero u otros.
 Responder ataques
: en grandes sistemas,una vez detectado un ataque, éste puedeser respondido, pero no siempre es lamejor medida a tomar, no sabemos quie-nes atacan a nuestros equipos y que pro- pósitos tienen, por lo que a veces, es me- jor esperar a obtener mayor información
Figura 1.
Instalando honeyd en Ubuntu Linux
Figura 2.
Honeyd corriendo en nuestro sistema
 
20
seguridad
Tecnologías de Seguridad
Linux+ 11/2007
o como sucede a menudo, los sistemasno pueden detenerse para analizar dañosy realizar un examen exhaustivo de queha sucedido, esto pasa con servidoresweb o de correo electrónico, en dondetoda la organización depende de esosservicios y el tiempo fuera de servicio delos mismos es crítico. Otro problema esque si el sistema es puesto fuera de ser-vicio, tendremos muchísima informacióna analizar (ingreso de usuarios, correosenviados y leídos, archivos escritos, ac-cesos a base de datos) que son el resul-tado de la operación normal de cualquier sistema pero donde se nos hace muydifícil separar esa actividad de las de unatacante. Los honeypots pueden ayudar-nos a resolver estos problemas en formafácil y rápida ya que es sencillo poner elsistema fuera de línea para un análisisdetallado sin necesidad de tocar nadaen los sistemas de producción. Esto es posible porque en los honeypots la únicainformación que se almacena es la sos- pechosa, de ahí surge que la cantidad deinformación a analizar es mucho menor y casi de seguro que de un atacante. Conesta información de las herramientasy procedimientos usados por los atacan-tes se aumentan las posibilidades de queun contraataque tenga éxito. Para estetipo de uso los honeypots de alta interac-ción son los usados.
Investigación
Los honeypots, como hemos dicho anterior-mente, pueden ser usados para propósitos deinvestigación, que en sí es muy valiosa, al ser éstas una carencia de toda organización hoy endía: ¿quienes nos atacan y qué quieren? De estamanera se aprende más sobre los atacantes, susmotivaciones y otras cosas que los rodean, co-mo qué valor le dan a cada tipo de informaciónque encuentran.
Experimentando un poco...
Ahora vamos a ver en acción un poco de todolo que hablamos acerca de los honeypots, paraello instalaremos uno de los tantos programasque hay disponibles, como siempre hay alterna-tivas abiertas y propietarias, gratuitas y pagas.Yo usaré honeyd, que está disponible paraLinux, Unix y Windows, y es gratuito (
http:// www.honeyd.org 
).En este caso estoy usando Ubuntu y parainstalarlo es bastante sencillo ya que se encuen-tra en los repositorios, para ello, iremos al menú[
Sistema
]–>[
 Administración
]–>[
Synaptic
], co-mo vemos en la Figura 1, buscaremos
honeyd 
 
Listado 1.
Archivo de conguración honeyd.conf 
route entry 10.0.0.1 route 10.0.0.1 link 10.0.0.0/24 route 10.0.0.1 add net 10.1.0.0/16 10.1.0.1 latency55ms loss 0.1 route 10.0.0.1 add net 10.2.0.0/16 10.2.0.1 latency20ms loss 0.1 route 10.0.0.1 add net 10.3.0.0/16 10.2.0.1 latency20ms loss 0.1 route 10.1.0.1 link 10.1.0.0/24 route 10.2.0.1 link 10.2.0.0/24 route 10.2.0.1 add net 10.3.0.0/16 10.3.0.1 latency10ms loss 0.1 route 10.3.0.1 link 10.3.0.0/16 create routeroneset routerone personality "Cisco 7206 running IOS 11.1(24)" set routerone 
default
 tcp action reset add routerone tcp port 23 "scripts/router-telnet.pl" create routertwoset routertwo personality "Cisco 762 Non-IOS Software release 4.1(2) or 766 ISDN router"set routertwo 
default
 tcp action reset add routertwo tcp port 23 "scripts/router-telnet.pl" # Example of a simple host template and its bindingcreate 
default
set 
default
 personality "FreeBSD 2.2.1-STABLE" set 
default
 
default
 tcp action reset add 
default
 tcp port 80 "sh scripts/web.sh" add 
default
 tcp port 22 "sh scripts/test.sh" add 
default
 tcp port 113 reset add 
default
 tcp port 1 reset create allopenset allopen personality "NetBSD 1.5.2 running on a Commodore Amiga (68040 processor)"set allopen 
default
 tcp action open add allopen tcp port 80 "sh scripts/web.sh" add allopen tcp port 113 reset add allopen tcp port 1 reset create 
template
set 
template
 personality "Check Point FireWall-1 4.0 SP-5 (IPSO build)"add 
template
 tcp port 80 "sh scripts/web.sh" add 
template
 tcp port 23 block add 
template
 tcp port 22 "sh scripts/test.sh" set 
template
 
default
 tcp action reset set 
template
 uid 32767 bind 10.0.0.1 routerone bind 10.1.0.1 routertwo bind 10.2.0.1 routertwo bind 10.3.0.1 routerone bind 10.1.0.2 
template
bind 10.0.0.10 allopen bind 10.2.0.5 allopen

Activity (9)

You've already reviewed this. Edit your review.
1 hundred reads
1 thousand reads
darkonyx liked this
r.galan liked this
jsabina liked this
jsabina liked this
jsabina liked this
tecnoloxiaxa liked this

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->