Universidad de las Ciencias Informáticas
Facultad 8
Título: Propuesta de instalación de una Honeynet para la Red de Datos
de la UCI
Trabajo de Diploma para optar por el título de Ingeniero en Ciencias Informáticas
Autores: Oliannes Yumar Leyva
Yuneidis Serrano Ramírez
Tutores: Ing. Joe Fernández Vanega
Ing. Pablo Yunier Medina Martínez
Junio de 2008
DECLARACIÓN DE AUTORÍA
Declaramos ser autores de la presente tesis y reconocemos a la Universidad de las Ciencias Informáticas (UCI) los derechos patrimoniales de la misma, con carácter exclusivo.
Para que así conste firmamos la presente a los _30_ días del mes de _Junio_ del año _2008_.
__________________________ __________________________
Firma del Autor Firma del Autor
Yuneidis Serrano Ramírez Oliannes Yumar Leyva
__________________________ __________________________
Firma del Tutor Firma del Tutor
Ing. Joe Fernández Vanega Ing. Pablo Yunier Medina Martínez
“El desarrollo del país depende en gran medida de la Ciencia y la Técnica,
de lo que seamos capaces de hacer”
Dedicatoria
A mis padres Aracelis y Santos,
porque son las personas más importantes en mi vida.
Yuneidis
A las personas más especiales en mi vida, mi mamá, mi papá, mi hermana Orialys y mi sobrina Vivi.
Oliannes
Agradecimientos
A lo largo de nuestras vidas muchas personas ponen sus granitos y sus bloques de arena, a todas esas personas quisiéramos agradecerles, las palabras nunca son suficientes para expresar lo que solo tiene
significado en cada uno de nuestros corazones, de todas formas queremos dejar parte de nuestros sentimientos plasmados en este pequeño pedazo de papel.
Primeramente queremos agradecerle:
A nuestros tutores que confiaron en nosotras desde el principio…
A Pablo Yunier, por el tiempo dedicado, por ser comprensible y exigente a la vez, por todos sus consejos y conocimientos transmitidos, por hacernos reír aún en los momentos más difíciles, por ser más que tutor,
amigo y un ejemplo a seguir.
A Joe David, por todos sus consejos y ayuda brindada.
A los muchachos del departamento de Seguridad, Luis Orlando, Mario y Júnior por toda la ayuda prestada durante la realización de este trabajo.
A nuestros compañeros de aula.
A los profesores que han influido en nuestra formación profesional.
A Fidel Castro y a la revolución cubana por influir en nuestra formación y permitirnos ser parte de esta
obra tan bonita.
Yuneidis
A mis padres por su ayuda y apoyo incondicional, por el amor y la confianza que siempre han depositado en mí, y porque ellos son la principal inspiración de todo lo que hago en la vida.
A mi hermano Yosmani, por estar siempre a mi lado, porque puedo contar con el para todo y por ocupar un gran lugar en mi corazón.
A mi novio Luis, porque poder contar con su amor, compañía, comprensión, y ayuda ha sido muy importante para mí.
A mi compañera de tesis y amiga personal Oliannes, por todos los buenos y malos momentos que hemos pasado juntas y porque sin ella no hubiese podido realizar este trabajo.
A mis vecinos Wilian y Mileidis, porque siempre he podido contar con ellos, sobre todo en los momentos más difíciles.
A toda mi familia, porque de una forma u otra todos han influido en mi formación, en especial a mi primito Adonis y a mis tíos Adolis y Aracelis, por haber sido como mis padres en estos cinco años de universidad.
A Deivis porque su amistad y ayuda ha sido muy importante para mi.
A mis amigos de siempre Marina, Danays, Marcos, Jorge y José Antonio, así como los de la universidad, Mailin, Yordankis, Yudanis, Daris, Yorkeidis, Soñora y Roxana.
A todas las personas que en algún memento me dieron su ayuda, especialmente, Raubel, Norge, Vilma, Gricelia, Teresa, Karina, Marisleidis Omar y al Chino.
Al médico Reinaldo Pérez y a todas las personas que me atendieron y me brindaron su ayuda en el momento que más lo necesite.
Oliannes
A mis padres, por todo el amor y la compresión que solo ellos me puede brindar, por estar siempre a mi lado ya sea física o espiritualmente, por ser los mejores padres del mundo y porque a ellos les debo mi existir.
A mi hermana, por ser más que una hermana y convertirse en mi segunda mamá, por darme la felicidad de tener una sobrina tan linda, a Vivi también le agradezco por darme tantos momentos de felicidad y por llenar ese pedacito que tenía guardado en mi corazón solo para ella.
A mi novio Yorkeidis, por ser lo mejor que me ha pasado en la vida, por ser bueno, comprensible y por estar a mi lado siempre que lo necesité.
A esa pequeña familia que no te toca sino que elijes a lo largo de la vida, los amigos, por acompañarme en los malos y buenos momentos, por hacer suyos mis problemas, por tantas cosas que puedo resumir diciendo que se han ganado un lugar en mi corazón. Yuna, por ser además de mi amiga mi compañera de tesis, por aguantar mis malacrianzas y por enseñarme cuanta grandeza y amor puede caber en un solo corazón. Yami por ser mi paño de lágrimas, por comprenderme y aconsejarme, en fin por ser todo lo que una gran amiga puede ser. Yudanis por ser tan buen amigo. Ilisis, Dnises, Mita y Annie por apoyarme desde lejos. Mis amigos de la universidad Daris, Yordankis, Mailin, Deivis, Yacenia, Yanet, el Chino y Omar.
A toda mi familia, en especial a mi tía Elsys por preocuparse tanto por mí, por cuidarme y aconsejarme como una madre, fundamentalmente desde que estoy en la universidad.
A todos muchas Gracias…
Resumen
Durante los últimos años las intrusiones y los ataques informáticos se han incrementado notablemente.
Este incremento en el número de incidentes ha venido acompañado por una clara evolución de las herramientas y técnicas utilizadas por los atacantes. En la UCI existe un gran número de usuarios que diariamente se encuentran utilizando la red, sin embargo, a pesar de que en la red de datos existen varias herramientas para la detección y prevención de intrusos, no existe una arquitectura que permita obtener información detallada de los atacantes. El fundamento de este trabajo surge precisamente, como una solución a la problemática mencionada anteriormente y se pretende resolver con la instalación de una honeynet para la red de datos de la universidad. El despliegue de esta honeynet permitirá capturar y analizar ataques a sistemas informáticos, con lo que será posible aprender acerca de las amenazas que afrontan los sistemas conectados en la red. Con esta red de honeypots compuestas por sistemas virtuales situados en un entorno controlado, diseñado para vigilar las acciones de los intrusos, se recogerá información de cómo actúan los atacantes en un entorno real dando la posibilidad entonces de comparar el modus operandi de los mismos. Los resultados obtenidos en la instalación se muestran a través de diferentes pruebas realizadas que dan una medida clara de las potencialidades de la honeynet como herramienta de seguridad para la detección, análisis y control de ataques.
Palabras claves: arquitectura, ataques, herramienta, honeypot, honeynet, instalación.
Índice
Resumen ... VI Índice ... VII Índice de figuras... X
Introducción ... 1
Capítulo 1: Fundamentación Teórica ... 5
1.1. Introducción ... 5
1.2. Nuevos escenarios de ataques ... 5
1.3. Honeypot ... 6
1.3.1. Ventajas... 9
1.3.2. Desventajas ... 10
1.3.3. Clasificación ... 10
1.4. Honeynets ... 13
1.4.1. Características ... 13
1.4.2. Generaciones ... 15
1.4.3. Clasificación ... 20
1.4.4. Ventajas... 22
1.4.5. Desventajas ... 23
1.5. Honeynets virtuales ... 23
1.5.1. Honeynet Virtual Auto-Contenida ... 23
1.5.2. Honeynet Virtual Híbrida ... 24
1.5.3. Herramientas de virtualización ... 25
1.6. Herramientas con tecnología honeynet. ... 27
1.6.1. HoneyMole ... 27
1.6.2. Sebek ... 28
1.6.3. Honeyd ... 29
1.6.4. Honeybee ... 30
1.6.5. Nepenthes ... 31
1.6.6. Honey - DVD ... 32
1.6.7. Honeywall CD-ROM ... 33
1.7. Sistemas Operativos ... 34
1.7.1. Windows ... 34
1.7.2. Linux ... 35
1.7.3. Distribución Ubuntu ... 35
1.7.4. Distribución Debian ... 36
1.7.5. Distribución Red Hat ... 36
1.7.6. Distribución Fedora ... 37
1.8. Conclusiones ... 37
Capítulo 2: Honeynet ... 39
2.1. Introducción ... 39
2.2. Servidor Honeywall ... 39
2.2.1. Requerimientos para el despliegue ... 40
2.2.2. Arquitectura ... 41
2.2.3. Funcionalidades... 42
2.3. Cliente Sebek ... 44
2.3.1. Arquitectura ... 45
2.3.2. Funcionamiento ... 46
2.3.3. Especificación del protocolo... 50
2.4. Instalar y Configurar VMware ... 52
2.5. Instalar y configurar Honeywall CD-ROM ... 53
2.5.1. Configurar fecha y hora ... 59
2.5.2. Configurar teclado ... 60
2.5.3. Archivos que contiene el Honeywall ... 60
2.6. Instalar y configurar cliente Sebek en Red Hat ... 62
2.7. Instalar y configurar cliente Sebek en WindowsXP ... 65
2.8. Validar el funcionamiento de la honeynet ... 67
2.9. Conclusiones ... 68
Conclusiones generales ... 69
Recomendaciones ... 70
Referencias bibliográficas ... 71
Bibliografía ... 73 Glosario de términos y siglas ... 77 Anexos ... 80
Índice de figuras
Fig. 1 Arquitectura típica de una honeynet ... 14
Fig. 2 Arquitectura típica de una honeynet de primera generación (GEN I) ... 16
Fig. 3 Arquitectura típica de una honeynet de segunda generación (GEN II) ... 18
Fig. 4 Arquitectura típica de una honeynet de tercera generación (Genlll) ... 20
Fig. 5: Configuración lógica de la red virtual para la honeynet ... 41
Fig. 6: Representación conceptual de la redirección de la llamada al sistema 'read' ... 47
Fig. 7: Envió de paquetes creados por Sebek ... 49
Fig. 8: Estructura del protocolo Sebek ... 50
Fig. 9: Descripción de los componentes de la estructura del protocolo Sebek ... 51
Fig. 10: Configuración de Sebek en Windows ... 67
Introducción
Internet, denominada también la red o red de redes, se ha convertido en la última década en un fenómeno que ha revolucionado la sociedad. Desde la aparición de la televisión no se había observado ningún otro fenómeno social de tal envergadura y que evolucione tan rápido. En consecuencia, cada día cientos de millones de personas en todo el mundo utilizan Internet como parte de su trabajo y ocio. De igual forma que en cualquier otro servicio utilizado por gran cantidad de personas como por ejemplo el aeropuerto o las carreteras, la seguridad es un factor básico que siempre debe ser tenido en cuenta.
Desde un punto de vista sociológico, en cualquier grupo social un pequeño porcentaje de su población es malévolo, Internet no está exento de esto. Debido a las acciones de esta población malévola surgieron los ataques a las redes de computadoras.
Con el rápido avance tecnológico el escenario de la informática y las comunicaciones ha sufrido grandes cambios y con ello se han modificado los ataques en la red. Nuevos tipos de ataques requieren nuevos modelos que permitan ampliar el espectro de seguridad cubierto anteriormente, muchas son las nuevas tecnologías, aplicaciones y herramientas que han surgido en los últimos tiempos.
El abaratamiento de los costos de conexión y el aumento del ancho de banda disponible modifican los escenarios típicos de ataques. Consecuentemente la comunidad investigadora ha propuesto una nueva herramienta de seguridad: los honeypots.
Los honeypots son sistemas pasivos cuyo funcionamiento se basa en estar diseñados para ser atacados e incluso comprometidos por cualquier atacante. El objetivo de tener un sistema destinado a ser atacado es doble [1].
Por un lado permitir el estudio de los comportamientos y técnicas reales que utilizan los atacantes en un entorno “real”. Este entorno puede ser configurado de forma que incluso pueda ser capaz de proporcionar información falsa a eventuales atacantes.
Por otro lado, la existencia de un sistema con estas características permite desviar la atención sobre los sistemas reales y prepararlos para los ataques registrados en el honeypot.
Un honeypot es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Permiten distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente de un ataque al administrador del sistema, además admiten un análisis en profundidad del atacante, durante y después del ataque al honeypot [2].
En el presente trabajo se abordará el tema de las honeynet que, diseñadas para ser atacadas, y recobrar así mucha más información sobre posibles atacantes que actúan sobre una red. Entre otros recursos para su instalación se usan, equipos reales, con sistemas operativos reales, corriendo aplicaciones reales y se usan principalmente para la investigación de nuevas técnicas de ataque y para comprobar el modus operandi de los intrusos.
En resumen, se puede definir una honeynet como un tipo concreto de honeypot, ya que no es un producto o un software determinado sino una arquitectura formada por varios honeypots, diseñada para la investigación y la obtención de información sobre atacantes [3].
Es decir, su trabajo consiste no en falsear datos o engañar a un posible atacante, sino en recoger información real de cómo actúan los atacantes en un entorno de verdad.
Sin importar qué tipo de red trampa se despliegue, se necesitaran recursos tales como, computadoras, conmutadores, concentradores, entre otros. Afortunadamente, se ha comprobado que las redes trampa consumen pocos recursos. Los únicos que utilizan la red trampa son los atacantes, por lo que no necesita para su implementación sistemas de alto rendimiento.
Las honeynets han demostrado su valor como herramienta de investigación en el área de la seguridad de la información. Muchos investigadores y organizaciones de la comunidad de la seguridad, tanto pública como privada, están utilizando actualmente redes trampa para aprender las tácticas, técnicas y los procedimientos de la comunidad de los atacantes.
La instalación de una red trampa en una red de gran tamaño, puede ofrecer numerosas ventajas a una institución. La primera es la capacidad de utilizar los datos recogidos como herramienta de aprendizaje e investigación para cualquier tipo de curso de seguridad informática o de investigación que se esté realizando. Los profesores y los estudiantes pueden utilizar la red trampa como lugar de pruebas para sus clases o investigaciones. La segunda, y la ventaja más significativa, es que puede servir como herramienta de seguridad de redes para mejorar drásticamente el nivel global de seguridad en la red de la institución.
Situación Problémica
En la red de datos de la Universidad de las Ciencias Informáticas (UCI) existen varias herramientas para la detección y prevención de intrusos entre las que se destaca el Snort como sistema de detección de intrusos (IDS), pero no existe una arquitectura que permita obtener información de los atacantes en dicha red, así como analizar y estudiar el modus operandi de los mismos.
En este trabajo denominado “Propuesta de instalación de una honeynet para la red de datos de la UCI” se pretende resolver el siguiente problema científico: ¿Cómo obtener en la red de datos de la UCI una arquitectura para la investigación y la obtención de información sobre atacantes, así como el modus operandi de los mismos?
El objeto de estudio del presente trabajo se enmarca en las nuevas tecnologías de seguridad informática existentes para la protección de redes. El campo de acción se centra en la red de datos de la UCI.
Para solucionar el problema planteado se tiene como objetivo general: Instalar una honeynet para la red de datos de la UCI, con el que se pretende defender la siguiente idea: Con la instalación de una honeynet en la red de datos de la UCI, se podrán analizar y estudiar patrones de comportamiento de atacantes en la misma, de esta forma se recogerá información de cómo actúan los atacantes en un entorno real y se podrá comparar el modus operandi de los intrusos. Finalmente se persigue obtener como posible resultado: La instalación de una honeynet para la red de datos de la UCI.
Trazándose las siguientes tareas investigativas:
Estudio de la situación actual de la seguridad informática en la UCI.
Estudio bibliográfico de las diferentes herramientas de tecnología honeynet.
Comparación de herramientas para la instalación de honeynet.
Selección de las herramientas que se van a utilizar para la implementación de la honeynet en la red de datos de la UCI.
Instalación de la honeynet para la red de datos de la UCI.
Validación del servicio.
Para dar cumplimiento a estas actividades se emplearon los siguientes métodos investigativos:
Análisis-síntesis: Permitió la división mental del fenómeno en sus múltiples relaciones y componentes para facilitar su estudio y estableció mentalmente la unión entre las partes previamente analizadas, posibilitó descubrir sus características generales y las relaciones esenciales entre ellas.
La inducción y la deducción: Es un procedimiento que permitió a partir del estudio de hechos aislados arribar a proposiciones generales y permitió a partir de conocimientos generales inferir casos particulares por un razonamiento lógico.
Método histórico-lógico: Permitió analizar la trayectoria completa del fenómeno, su condicionamiento a los diferentes periodos de la historia, revela las etapas principales de su
desenvolvimiento y las conexiones históricas fundamentales, y puso de manifiesto la lógica interna de su desarrollo, de su teoría y el conocimiento más profundo de su esencia.
El presente trabajo de diploma está compuesto por 2 capítulos, estructurados como se explica a continuación:
Capítulo 1: Fundamentación teórica. Este capítulo brinda los conceptos necesarios para comprender todo lo relacionado con las honeynet, sus características principales, ventajas, desventajas, diferentes tipos de clasificación y generaciones existentes hasta el momento. Además se estudia a profundidad las honeynet virtuales y algunas herramientas que utilizan tecnología honeynet. Por último se ofrece una breve descripción de diferentes sistemas operativos para elegir cuál o cuáles serán utilizados en el proceso de instalación.
Capítulo 2: Honeynet. En este capítulo se estudia la arquitectura y el funcionamiento de las herramientas seleccionadas para la instalación, Honeywall CD-ROM para el servidor y Sebek para los honeypots clientes. Una vez que se ha comprendido todo el proceso de control y captura de datos tanto en el servidor como en los honeypots, se procede a la instalación y configuración, proceso que se describe paso a paso en este capítulo. Finalmente se muestran algunas pruebas realizadas que demuestran el funcionamiento de la honeynet.
Capítulo 1: Fundamentación Teórica
1.1. Introducción
Honeynet es un ejemplo típico de honeypot de alta-interacción, por lo que se puede deducir que las características de un honeypot son también características de una honeynet y que para entender bien a esta última se necesita conocer todo lo referente a los honeypot. Los honeypot son un intento de conocer al enemigo desde dentro, aprendiendo sus técnicas y motivaciones proporcionándole un entorno controlado pero interactivo en el que pueda “jugar” mientras es espiado.
En este capítulo se describirán en profundidad las características, tipos y ubicaciones de los honeypots.
Posteriormente el análisis estará centrado en las honeynets, que aparecen como desarrollo del concepto de honeypot. Se explicarán sus distintas características y configuraciones, se describirán además las honeynets virtuales que permiten, mediante un uso mínimo de recursos, una implementación total de una o varias honeynets.
Finalmente se realizará un estudio de las diferentes herramientas que existen para la instalación de una honeynet, así como el sistema operativo y los recursos mínimos que se necesitarán para su implementación.
1.2. Nuevos escenarios de ataques
Con el aumento del ancho de banda disponible y el abaratamiento de los accesos a la red, la evolución de las técnicas de ataques existentes en la actualidad ha aumentado considerablemente. Anteriormente los ataques se basaban en razonamientos simples, dada una máquina/dominio/servicio conocido, bastaba con obtener, por la vía de consultar DNS, su dirección IP y proceder con cualquier ataque de los que ya se conocen. Este procedimiento circunscribía los destinatarios de ataques informáticos a grandes empresas, organismos oficiales y universidades. Sin embargo, la mejora de la conectividad permite ahora realizar combinaciones de ataques que hasta hace unos pocos años eran imposibles.
La proliferación y difusión de herramientas específicas para este tipo de comportamiento ha ido pareja al aumento de jóvenes con ganas de emular las películas de piratas informáticos. Precisamente esta gran cantidad de público ha llevado a la creación de herramientas con interfaces muy sencillas y amigables que
permiten a cualquier persona sin muchos conocimientos rellenar un par de campos de parámetros, como la dirección IP de inicio y final y lanzar ataques indiscriminados.
Muchas herramientas simplemente comprueban si la computadora atacada presenta una vulnerabilidad o versión antigua de software, cosa que antes o después les llevará a conseguir acceso a algún sistema conectado a Internet.
La proliferación de este tipo de herramientas junto a pensamientos erróneos del tipo “nadie me conoce” o
“quien va a querer atacarme, no merece la pena” lleva a que el número de computadoras comprometidas sea muy difícil de aproximar, y únicamente cuando es demasiado tarde, las prisas y necesidades de seguridad en las empresas pasan a tomarse en serio.
Con frecuencia se observa que un gran por ciento de los ataques en Internet pertenece a la categoría de actividad sospechosa en la red, indicando una bajada importante de los ataques directos y un gran aumento de comportamientos poco claros o sospechosos en la red.
Estos escaneos ciegos por Internet tienen como objetivo la creación de listas de computadoras conectadas a la red. Luego, estas listas que contienen las direcciones IP son utilizadas por programas más sofisticados que comprueban los servicios existentes en las máquinas, buscando alguna vulnerabilidad que pueda ser aprovechada para obtener el control de la computadora. Una vez conseguido el acceso, se suele instalar programas de puerta trasera para poder acceder de forma invisible a la máquina. Esta queda en estado de “espera” por tiempo indefinido hasta que el atacante desee hacer uso de ella. Muchas veces, el acceso a una computadora es utilizado como trampolín para efectuar nuevos escaneos, de forma que el verdadero origen del barrido no quede comprometido, al igual que en los ataques de denegación de servicios distribuidos, más computadoras comprometidas conectadas a Internet, significa más potencia en búsqueda de posibles nuevas víctimas.
1.3. Honeypot
Una vez definido el nuevo escenario al que Internet se encamina, se puede observar cómo muchas de las premisas clásicas de seguridad, por ejemplo “si nadie conoce mi red nadie puede encontrarla” o “cuando menos documentada esté mi estructura más difícil será para un atacante el poder entrar” dejan de tener sentido. Así mismo, las herramientas típicas de seguridad por excelencia dejan un hueco cada vez más importante sin cubrir.
El concepto de honeypot no fue extraído o inventado de la nada, sino que es fruto de la realización de varios estudios en el campo de la seguridad de redes de computadoras.
Se define honeypot como un recurso de red destinado a ser atacado o comprometido. De esta forma, un honeypot será examinado, atacado y probablemente comprometido por cualquier atacante. Los honeypot no tienen en ningún caso la finalidad de resolver o arreglar fallos de seguridad en la red. Los mismos son los encargados de proporcionar información valiosa sobre los posibles atacantes a la red antes de que comprometan sistemas reales [1].
Esta nueva aproximación a la seguridad de redes de computadoras rompe muchos tabúes clásicos que se daban como axiomas en la seguridad informática clásica:
Primero, este nuevo elemento no sirve para eliminar o corregir fallos de seguridad existentes en la red. Si la red es vulnerable, añadir un honeypot no solventará este fallo.
Segundo, en lugar de evitar a cualquier precio que un atacante fije su interés en la red, se le invita e incita a que entre y ataque la red.
Este interés en dejar una puerta abierta hacia Internet puede considerarse temeraria o incluso suicida. Si ya existen cientos de miles de ataques a sistemas “seguros”. ¿Por qué incitar a que ataquen el sistema cuando el objetivo es conseguir exactamente lo contrario? Por muy eficiente que sea el trabajo como administrador de red, es imposible mantener todos los sistemas actualizados. Cada día se descubren al menos una docena de nuevos fallos en el software existente [12], consecuentemente de una forma regular salen nuevos parches y actualizaciones para todo tipo de software.
De esta forma, se puede observar cómo en la realidad es totalmente imposible mantener controlada una red con cientos de computadoras y usuarios. Si se examina periódicamente la red como si fuera un intruso, es decir, se examinan todas las computadoras de la red en búsqueda de los servicios disponibles, se puede modificar el ciclo de actualizaciones de software. Así mismo, se pueden corregir los problemas de seguridad en las máquinas de producción, además de mantener aparentemente las vulnerabilidades corregidas, de forma que permitan descubrir a potenciales atacantes. Estas vulnerabilidades son mantenidas expresamente en máquinas controladas por sistemas de seguridad.
Desde el punto de vista en que un atacante tiene ante sí un sistema candidato a ser explotado, este invertirá más tiempo y herramientas menos sofisticadas ya que el sistema es vulnerable por construcción [2][3] por lo que se facilitará su detección por los sistemas.
También, la inclusión de técnicas de engaño como el famoso Deception Toolkit evita que se señale a los atacantes en cuanto a cómo y de qué forma exacta pueden causar daño [9][13].
Si la política es únicamente mantener el sistema parcheado y al día, cuando un atacante detecte una vulnerabilidad en el sistema, entonces se estará perdido.
Si se mantienen distintas vulnerabilidades de forma controlada, se estará ofreciendo información confusa/engañosa al atacante, cosa que dificultará su trabajo. De igual forma, la detección de una vulnerabilidad en el sistema no tiene por qué implicar una caída del mismo, al contrario, permitirá descubrir a un atacante en potencia y tomar las medidas oportunas antes de que entre realmente al sistema.
Este enfoque permitirá obtener más información sobre el atacante la cual podrá ser utilizada en su contra.
Además, este tipo de paradigma es válido tanto para atacantes internos como externos, que al intentar extender sus ataques a más computadoras de la red. Comprobando así que el resto de las computadoras de la red no son vulnerables a los métodos que utiliza, obligándole a un cambio de estrategia que suele ser un abandono en búsqueda de otro sistema más sencillo de atacar y que el sistema informático de la red reacciona a los accesos del atacante limitando su alcance.
Como herramienta de prevención, un honeypot puede utilizarse para desalentar al atacante haciend o que pierda su tiempo tratando de entrar en un sistema en el que no va a encontrar información que le resulte realmente de provecho. Este tiempo puede utilizarse para obtener información del intruso, aprender sus técnicas y proteger los sistemas reales de producción. Además, si el atacante sabe que la compañía utiliza señuelos, será consciente de que corre el riesgo de que sus acciones queden registradas. Este temor a caer en una trampa puede suponer una barrera psicológica que haga que un intruso se lo piense dos veces antes de atacar los sistemas de una organización.
En lo que se refiere a su capacidad de detección de intrusiones, estas herramientas están diseñadas para detectar y recopilar información detallada sobre los ataques que vayan dirigidos contra los servicios que ofrecen.
Por último, este tipo de herramientas pueden utilizarse para la captura y el análisis de intrusiones con la finalidad de aprender las distintas técnicas y herramientas que utilizan los atacantes para llevar a cabo sus acciones, y para descubrir las vulnerabilidades buscadas por los intrusos y los motivos que les lleva a tratar de atacar el sistema.
1.3.1. Ventajas
Una vez expuesto el nuevo ámbito de ataques en Internet y cómo este conduce hacia el concepto de honeypot, se pasa a enumerar las principales características y ventajas que ofrecen los sistemas basados en honeypots [4]:
Modems pequeños de alto valor: El honeypot recoge cantidades de información pequeñas. En vez de registrar 1 GB de datos al día, él puede registrar solamente 1 MB de datos un día. En vez de generar 10.000 alarmas al día, pueden generar solamente 10 alarmas un día. Recordar, que cualquier interacción con un honeypot es muy probable que sea una actividad desautorizada o malévola. Como tal, los honeypots reducen “ruido” pero la información es de alto valor. Esto significa que es mucho más fácil y más barato analizar los datos que un honeypot recoge y de los cuales se deriva valor.
Herramientas y tácticas nuevas: El Honeypots se diseña para capturar cualquier cosa lanzada en ellas, incluyendo las herramientas o las tácticas nunca vistas.
Recursos mínimos: El honeypot requiere recursos mínimos, captura solamente mala actividad.
Esto significa que una vieja computadora Pentium con 128MB del ESPOLÓN puede manejar fácilmente una red entera de la clase B que se sienta de una red OC-12.
Cifrado o IPv6: Semejante de la mayoría de las tecnologías de seguridad los honeypots trabajan muy bien en cifrado. No importa lo que lanzan los malos individuos en un honeypot, el honeypot lo detectará y capturará.
Información: El honeypot puede recoger información en profundidad de los ataques.
Simplicidad: Finalmente, los honeypots son conceptualmente muy simples.
Del análisis de todas las características principales de los honeypots y aplicando el desglose del concepto de seguridad en prevención, se obtiene el siguiente análisis.
Los honeypots tienen un limitado carácter preventivo. No evitarán o disuadirán a ningún posible atacante.
Tienen un alto grado de detección. Si bien son elementos pasivos, los atacantes rara vez se centran en una simple máquina, sino que buscan por toda la red posibles víctimas, lo que hace que antes o después se encuentre con el honeypot.
La reacción es otro de los valores que añade el uso de un honeypots. En los honeypots de producción se puede de forma automática generar los comandos necesarios para evitar el acceso del atacante al resto
del sistema. En los de investigación, además se permite a posteriori la ejecución de técnicas forenses para examinar el comportamiento del atacante y descubrir sus comportamientos.
1.3.2. Desventajas
Como suele ocurrir, todo sistema tiene también contrapartidas o desventajas asociadas. En el caso de los honeypots los principales inconvenientes se citan a continuación:
Son elementos totalmente pasivos. De esta forma, si no reciben ningún ataque no sirven de nada.
Son fuentes potenciales de riesgo para la red, debido a la atracción que ejercen sobre posibles atacantes, si no se calibra perfectamente el alcance del honeypot y se convierte en un entorno controlado y cerrado puede ser utilizado como fuente de ataques a otras redes o incluso a ella misma.
Consumen una dirección IP como mínimo. De todas formas, este inconveniente es mínimo, ya que lo ideal es asignar direcciones IP del rango de direcciones libres.
1.3.3. Clasificación
La taxonomía de los diferentes tipos de honeypots depende de la bibliografía consultada puesto que como todo nuevo concepto, su estandarización es compleja y aún no ha sido universalmente aceptada.
Se cita a continuación las clasificaciones más aceptadas por la comunidad, ya que en el momento de la realización de este trabajo no se ha observado una imposición de una sobre la otra [4].
La primera clasificación presentada se basa en la funcionalidad que se desea asignar al honeypot:
Honeypot de producción
Su principal objetivo es el de mitigar el riesgo de un ataque informático a la red de una institución o empresa. De esta forma, un honeypot de producción simula diferentes servicios con el único objetivo de ser atacado. Una vez descubierto el atacante, se avisa al resto del sistema para que tome las medidas oportunas entre las que se encuentran denegar cualquier acceso con un origen determinado, limitar las capacidades de un servicio, paralizar varios servicios momentáneamente, entre otras [5].
Honeypot de investigación
Su principal objetivo es el de recoger información sobre los distintos atacantes, así como de sus comportamientos y técnicas asociadas. También han sido diseñadas para ser comprometidas, al igual que
los de producción, sin embargo no añaden ninguna capacidad extra de seguridad o mitigación de los ataques. Suelen ofrecer servicios reales e incluso pueden llegar a permitir que el atacante tome el control total de la máquina [6].
Otra posible clasificación de los honeypots hace referencia al grado de compromiso o riesgo que este introduzca en la red:
Compromiso bajo
El sistema honeypot simplemente simula la existencia de un servicio común como por ejemplo: WWW, FTP, TELNET; escucha y almacena todas las peticiones recibidas en ficheros logs. De esta forma, se tiene un sistema totalmente pasivo que simplemente registra peticiones de acceso ya que no responde a ninguna de ellas al interactuar con el atacante. El riesgo que introduce esta variante es mínimo puesto que el atacante nunca podrá acceder a la máquina, lo que hace perder la posibilidad de investigar y analizar sus técnicas.
Compromiso medio
En este grupo los sistemas simulan la existencia de uno o varios servicios de forma más sofisticada. Con este tipo de honeypots se pretende captar la atención del atacante y permitir un grado mayor de interacción que permitirá analizar mínimamente el comportamiento del atacante. El grado de riesgo aumenta moderadamente, ya que por un lado el servicio sigue siendo una simulación, lo que permite tener enjaulada la interacción entre el atacante y el servicio. Por otro lado, si existe un fallo en la implementación del servicio simulado, el atacante puede aprovecharlo para atacar al sistema real.
Compromiso alto
En este grupo se encuentran aquellos sistemas que no simulan diferentes servicios, sino que utilizan un entorno real con servicios de verdad. Este tipo de honeypots son muy atractivos para los atacantes y permiten un estudio completo de su comportamiento. Deben estar constantemente monitorizados ya que su peligro consiste en que si un atacante logra acceso a el, puede disponer de todo el sistema como le plazca. Generalmente, estos programas son más seguros que los servicios que simulan. Esto significa que ya no se podrá considerar como un lugar con logs fiables y se puede utilizar para atacar otros sistemas de la red o incluso de otras conectadas a Internet [4].
En Internet se puede encontrar varias herramientas que implementan los distintos tipos de honeypots comentados antes [16]. Estas herramientas son muy flexibles y permiten la total configuración de servicios e incluso las vulnerabilidades a simular. Además, algunos incluso permiten escoger el tipo de sistema operativo y versión que se desea simular.
La interacción define el nivel de actividad que un honeypot permite a un atacante, por lo que también son clasificados en honeypot de baja y alta interacción, esta clasificación ayuda a entender qué tipo de honeypot se está utilizando, sus fuerzas, y debilidades.
Honeypots de baja interacción
Trabajan emulando servicios y sistemas operativos, la actividad del atacante es limitada por el nivel de emulación del honeypot. Por ejemplo, un servicio emulado del ftp que escucha en el puerto 21 sólo puede emular una conexión del ftp, o puede apoyar una variedad de comandos adicionales del ftp.
La ventaja fundamental de un honeypot de baja interacción es su simplicidad. Estos honeypots son fáciles de desplegar y mantener. Implican generalmente instalar el software, seleccionando los sistemas operativos y servicios que se desean emular y monitorear.
La desventaja principal de los honeypots de baja interacción es que registran solamente información sobre ataques conocidos. Además, son fáciles de detectar. Los ejemplos de honeypots de baja interacción incluyen Espectro, Honeyd, y KFSensor.
Honeypots de alta interacción
Son generalmente soluciones complejas pues implican sistemas operativos y servicios verdaderos. Por ejemplo, si se desea un honeypot de Linux con servidor ftp funcionando, se construye un sistema verdadero de Linux con un servidor ftp verdadero instalado.
Las ventajas de esta solución son dobles. Primero, se puede capturar mayor cantidad de información, proporcionándole al atacante sistemas verdaderos para que obren recíprocamente. La segunda ventaja es que proporcionan un ambiente abierto para capturar toda la actividad, permitiendo aprender de comportamientos no esperados.
Sin embargo, esto también aumenta el riesgo del honeypot, el atacante puede utilizar el sistema operativo verdadero para atacar otros sistemas de la red, pero existen muchas herramientas adicionales destinadas a evitar que el atacante dañe otros sistemas.
Los honeypots de alta interacción son más difíciles de instalar, y más complejos de desplegar y mantener.
Como un ejemplo de honeypot de alta interacción se encuentran las honeynets.
1.4. Honeynets
Se puede definir una honeynet como un tipo concreto y más complejo de honeypot. Específicamente es un honeypot altamente interactivo diseñado para la investigación y la obtención de información sobre atacantes.
Una honeynet puede contener cualquier componente de red imaginable, incluyendo routers y switches, lo que le permite replicar la red de cualquier organización. Este hecho, unido a que los equipos que contiene son sistemas reales con servicios y configuraciones habituales, hace que los riesgos y las vulnerabilidades que permite descubrir sean exactamente las mismas que se pueden encontrar en cualquier organización que cuente con sistemas similares a los expuestos.
Este tipo de redes ha ido evolucionando alrededor del Honeynet Project, organización creada oficialmente en junio del año 2000 con el objetivo de “Estudiar las técnicas, tácticas y motivos de la comunidad de atacantes y compartir las lecciones aprendidas”. Este proyecto agrupa a miembros con perfiles muy distintos: expertos en los distintos sistemas operativos, desarrolladores de herramientas de seguridad, psicólogos, etc.
1.4.1. Características
Una honeynet es una arquitectura, no un producto concreto o un software determinado [7].
El objetivo no es falsear datos o engañar a un posible atacante como suelen hacer algunos honeypot, el objetivo principal es recoger información “real” de cómo actúan los atacantes en un entorno de verdad.
Para conseguir este entorno real y altamente interactivo, con sistemas reales, no con simples emulaciones de servicios, se dispone una configuración de red típica con todos sus elementos, (ver Fig. 1).
Fig. 1 Arquitectura típica de una honeynet
Obviamente, esta red ha sido diseñada para ser comprometida, por lo que debe ser segura y estar separada de la de producción. Por otro lado, como el objetivo es hacer creer al atacante que está ante una red real, se debe añadir los elementos que conforman una arquitectura “normal” en cualquier red es decir máquinas y sistemas operativos, entre otros. Una honeynet presenta dos requerimientos básicos para ser realmente útil y que pueda permitir la extracción de información valiosa [10]:
El Control de Datos es una actividad de contención. Cuando se trata con atacantes siempre hay riegos el objetivo es reducir el mismo. Se pretende asegurar que una vez comprometido, un honeypot no puede ser utilizado para dañar a un sistema que no sea la honeynet. Sin embargo, el reto es controlar el flujo de datos sin que el atacante sospeche. Una vez que el sistema está comprometido, el atacante a menudo querrá conectarse a Internet, para descargar herramientas, establecer conexiones IRC o enviar correos electrónicos. Hay que darle flexibilidad para ejecutar estas acciones, y estos pasos son los que se quieren aprender y analizar. Además, los atacantes pueden sospechar si observan que no pueden realizar conexiones al exterior, si no se permiten las conexiones salientes hacia Internet, el atacante sólo necesitará quince minutos para darse cuenta de que algo no anda bien, limpiar el disco duro y abandonar
la red. Así que, el truco es darle al atacante la flexibilidad para ejecutar lo que necesite, pero sin permitir que utilice el sistema comprometido para atacar a otros, con ataques de denegación de servicios, escaneos de sistemas entre otros. En general, cuanto más se le permita al atacante salir hacia el exterior, más aprenderá, pero más grande será el riesgo.
La Captura de Datos es la captura de todas las actividades del atacante, son las actividades que se analizan para aprender las herramientas, tácticas y motivos de la comunidad atacante. El reto es capturar tantos datos como sea posible, sin que el atacante sospeche que cada acción está siendo capturada. Esto se hace con las menores modificaciones posibles, si las hay, a los honeypots. Además, los datos capturados no pueden guardarse localmente en el honeypot. La información guardada localmente puede ser potencialmente detectada por el atacante, alertándole de que el sistema es una honeynet. Los datos guardados pueden ser también perdidos o destruidos. No sólo se tiene que capturar cada movimiento del atacante sin su conocimiento, sino que la información se debe guardar de forma remota. La clave está en capturar los datos por capas. No puede depender sólo de una capa. Debe recoger datos de varios recursos. Así, de forma combinada, estas capas le permitirán pintar el gran cuadro.
Existe un tercer requisito, la Recolección de Datos, pero es sólo para organizaciones que tienen varias honeynets en entornos distribuidos. En este caso se pretende la implementación de una honeynet, así que todo lo que se va a necesitar es Controlar y Capturar Datos.
1.4.2. Generaciones
Los requisitos descritos anteriormente han sido separados en tres secciones hasta el momento, llamadas generación 1(GenI), generación 2(GenII) y generación 3(Genlll) respectivamente. La GenI explica como se implementaron por primera vez estos requisitos, desde 1999 al 2001. En el 2002 con el desarrollo de nuevas herramientas y técnicas, surge la GenII. Y años más tardes surgen las honeynets de Genlll que permiten la recolección de información hasta el nivel más profundo, y están consideradas un desarrollo de altísima calidad.
GEN l
Las honeynets de primera generación se caracterizan por implementar únicamente los mecanismos básicos de control de flujo y captura de datos. La arquitectura utilizada presenta una subdivisión en tres subredes, la honeynet, la red de producción e Internet separadas perfectamente por un cortafuego, (ver Fig. 2)
Fig. 2 Arquitectura típica de una honeynet de primera generación (GEN I)
En esta arquitectura, el control de todas las redes se realiza mediante un cortafuego, ya que cualquier paquete de entrada o salida debe pasar obligatoriamente por él. El router también se utiliza como medio de control y filtrado, pero únicamente como soporte al cortafuego. El cortafuego está configurado para llevar la cuenta del número de conexiones que se establecen tanto hacia dentro como hacia fuera. De esta forma, cuando el número de conexiones desde la honeynet hacia el exterior supera un límite preestablecido, estas quedan anuladas. El límite de conexiones depende de lo atractiva que se desee hacer la red a un eventual atacante, por lo que se recomiendan valores entorno a las diez conexiones por hora [7].
En esta configuración, el cortafuego se coloca por delante del router. Los motivos de esta configuración son por un lado esconder o disimular el cortafuego a los atacantes y por otro tomar de medidas extras de seguridad en la honeynet para que no sea utilizada para ataques a terceros, ya que el router también realizará parte del filtrado de las comunicaciones de entrada y salida. Este control de flujo de datos no debe depender únicamente de un solo punto de control.
Cuando un atacante tome el control de la honeynet, encontrará que puede salir a Internet directamente, ya que pasa por un router real de producción, de esta forma se refuerza su opinión de que se encuentra en una red desvalida.
La captura de datos se inicia en el propio cortafuego, ya que es un dispositivo lo suficientemente potente y colocado estratégicamente para recibir todos los paquetes de entrada y salida. Como se sabe que cualquier tipo de actividad hacia o desde la honeynet es potencialmente peligroso, se debe capturar to do ese tráfico en el cortafuego. Esto permite aplicar técnicas de filtrados contra posibles ataques. La captura de puertas traseras es otra de las posibilidades que brinda este tipo de arquitectura, ya que una correlación de peticiones a puertos no estándares revelará rápidamente su existencia.
La captura de todo el tráfico existente en la honeynet es realizada por el sistema de detección de intrusos.
En la arquitectura de GEN I se puede observar como el IDS está conectado a la honeynet de forma que por un lado registra la actividad existente en la red y por otro actúa como un detector de firmas.
Finalmente, toda esta información se va copiando diariamente en una computadora, para poder analizarla o consultarla como un historial. Esto asegura que en caso de que el atacante encuentre la información de sus movimientos y decida destruirla no afecte excesivamente al sistema.
Obviamente, la existencia de una computadora-almacén puede ser fácilmente descubierta por un atacante. Sin embargo esta arquitectura no trata de esconderlo, ya que lo más que puede hacer el atacante es desactivar el registro de logsde la máquina atacada, comportamiento ya muy habitual en muchos atacantes.
En caso de que el atacante decidiera atacar directamente al sistema de almacenamiento, debería enfrentarse a un sistema mucho más seguro. Incluso en el caso de que lograra entrar y eliminar todos los logs del sistema no sería catastrófico, puesto que el sistema IDS registra toda la actividad de la red y podría ver al sistema IDS como un segundo log del sistema.
GEN ll
La finalidad de las honeynets GenII es crear una solución que sea más fácil de desarrollar y aún más difícil de detectar. El Control de Datos en GenII ofrece al agresor mayores posibilidades para interactuar con los sistemas comprometidos, teniendo mayor control sobre sus actividades y haciendo más difícil que este control sea detectado. Se espera que al darle al agresor más flexibilidad en sus acciones, especialmente en conexiones salientes, se pueda recoger mayor información de ellas. Esto se consigue creando una respuesta más inteligente y flexible a las acciones del atacante.
Las honeynets GenII poseen todos los requisitos combinados en un único dispositivo. Esto significa que todo el control de datos, captura y recolección se llevará a cabo desde un mismo recurso. Esto hará mucho más fácil el desarrollo y mantenimiento de la honeynet. Este único dispositivo será una pasarela de capa 2, que actuará como puente. Esto ofrece diversas ventajas. El hecho de que el dispositivo sea de capa 2 lo hará mucho más difícil de detectar, ya que no posee pila IP. No hay enrutamiento de tráfico ni decrementos en el TTL. El dispositivo está más oculto, así que el atacante nunca deberá saber que su tráfico está siendo analizado y controlado. La segunda ventaja es que, como pasarela, todo tráfico entrante o saliente debe pasar a través del dispositivo. De esta forma se puede capturar y controlar el tráfico entrante y el saliente desde un único dispositivo, (ver Fig. 3).
Fig. 3 Arquitectura típica de una honeynet de segunda generación (GEN II)
Tanto para GEN I como para GEN II, se le denomina al dispositivo que controla todo el acceso de entrada y salida a la honeynet Honeywall. Esta nomenclatura viene dada porque conceptualmente este dispositivo es el muro que separa la honeynet del resto de las redes.
Esta unión de capacidades en una única entidad compacta, facilita la instalación y administración de la honeynet. Debido a su actuación como dispositivo transparente, la detección por parte de un atacante se
dificulta enormemente. Aunque en el esquema parezca que hay dos redes, la de producción y la honeynet, realmente sólo hay una. El dispositivo es de capa 2, y por lo tanto no tiene dirección IP en las interfaces A y B, lo que “virtualmente” significa que a nivel de IP no existe. El dispositivo C si tiene asignada una dirección IP y servirá como canal seguro para el control, administración del honeywall y para el movimiento de los ficheros hacia un repositorio seguro.
El primer avance en el control de datos será la capacidad para detectar actividad no autorizada. En vez de simplemente rastrear la actividad hacia el exterior del agresor contando el número de conexiones salientes, se añade más inteligencia averiguando qué tipo de actividad es. Se identifica la actividad no autorizada a través de sus acciones e intenciones. Si se intenta realizar treinta conexiones FTP salientes, no habrá ningún problema. Sin embargo, si se intenta llevar a cabo un sólo exploit FTP hacia el exterior contra un sistema que no sea una honeynet, entonces esta actividad debe ser controlada.
El segundo avance está en el modo de responder a la actividad no autorizada. En vez de simplemente bloquear las conexiones, se modifica o regula la actividad del agresor. El ataque sale de la honeynet, pero sin ser efectivo. La regulación se hace modificando los paquetes cuando pasan a través de la pasarela de capa 2. Por ejemplo, una vez que un agresor ha tomado control de un sistema dentro de la honeynet, e intenta lanzar un exploit FTP contra un sistema que no sea una honeynet, con la tecnología GenI, el control de datos es limitado, después del quinto intento saliente, toda futura actividad, incluyendo cualquier exploit, será bloqueada. Sin embargo, con la tecnología GenII, la tentativa de exploit será identificada y modificada para hacer el ataque ineficaz. La pasarela de capa 2 modificará diversos bytes pertenecientes al código del exploit, deshabilitando su funcionalidad, entonces permitirá continuar al ataque inválido. El agresor deberá ver que el ataque se lanzó y que obtuvo tráfico de vuelta, pero no entenderá por qué su exploit nunca funcionó. Con esto se tiene mayor control sobre las acciones del agresor sin su conocimiento. Además se tiene la capacidad de falsear respuestas, como bloquear conexiones enteras, devolviéndole paquetes RST al agresor, forzando la caída de la conexión.
Al igual que el control de datos, las tecnologías GenII mejoran considerablemente las capacidades de la captura de datos, con las tecnologías GenI, la mayoría de los datos eran obtenidos a nivel de red, no obstante, el extendido uso del cifrado, como SSH, invalida esta capacidad, algunos intentos se realizaron para obtener los datos desde los propios honeypots, pero estas soluciones tenían una capacidad limitada.
Con GenII se mejoran estas capacidades capturando los datos desde el núcleo del SO, esto asegura que a pesar del medio de comunicación utilizado, esta información es igualmente capturada.
GEN lll
Las honeynets de tercera generación (Genlll) permiten la recolección de información hasta el nivel más profundo.
Sin duda, la honeynet Genlll por su impresionante rendimiento y resultado es la más popular, utiliza como principal herramienta para la captura de datos a Sebek, que totalmente multiplataforma, con clientes para Solaris, Windows de 32 bits, Linux, *BSD y con una capacidad muy elevada, es espectacular capturando tráfico malicioso (ver Fig. 4 Arquitectura típica de una honeynet de tercera generación (Genlll)).
Fig. 4 Arquitectura típica de una honeynet de tercera generación (Genlll)
1.4.3. Clasificación
Existen dos aspectos de los sistemas de detección de intrusiones convencionales que como resultado de su simplicidad no intervienen en una honeynet y que se citan a continuación:
A diferencia de las IDS, la eficiencia de una honeynet no está relacionada, con la complejidad de los algoritmos que permiten detectar variantes de vectores de ataques conocidos.
A diferencia de los HIDS, una honeynet no introduce carga adicional en las máquinas en producción.
Llegados a este punto, las características particulares de una honeynet dependen del objetivo final que se pretende con su instalación. La clasificación más habitual contempla la existencia de tres categorías bien diferenciadas, honeynet para investigación, vulnerable o aparentemente vulnerable:
Honeynet para investigación
El objetivo de una honeynet perteneciente a esta categoría consiste en analizar las técnicas utilizadas por un atacante para comprometer un sistema. Por lo tanto, uno de los requisitos principales exige que el grado de protección de la honeynet sea máximo: tan elevado como sea posible, teniendo en cuenta el conocimiento actual de los administradores de la red en materia de seguridad. Se deben instalar mecanismos de logging independientes de la propia honeynet, que arrojen pistas acerca de cómo se ha llevado a cabo un ataque exitoso. También se pueden utilizar para investigar, cuáles son las técnicas de ataque más habituales, o cuáles son los pasos seguidos por un atacante para recopilar información acerca de los sistemas de la red objetivo. Estos datos permiten mejorar las políticas de seguridad de los sistemas que están realmente en producción.
Honeynet vulnerable
El planteamiento consiste en introducir en la honeynet una vulnerabilidad real y fácilmente identificable por el atacante, con el objetivo de desviar su atención de las máquinas en producción. En este caso, se parte de la premisa de que el atacante va a utilizar el procedimiento más sencillo para comprometer la red. La ventaja principal de este planteamiento, es que el comportamiento de la máquina comprometida, responde a todas las expectativas del atacante: el atacante una vez ahí está convencido de haber conseguido su propósito, en otras palabras, la credibilidad del engaño no está supeditada a la calidad del software de virtualización utilizado para construir la honeynet, no obstante, existen dos requisitos adicionales que deben contemplarse, el primero de ellos coincide con el de la categoría anterior: los mecanismos de logging que registren la actividad del atacante deben ser completamente independientes de la máquina que actúa como honeynet; si este requisito no se cumple, el atacante puede hacer uso de los privilegios que ha obtenido en la honeynet para anular dichos mecanismos, por ejemplo, tiene la posibilidad de detener el servicio syslog que envía mensajes desde la honeynet al servidor syslog, que recoge la actividad de todos los sistemas de seguridad de la red, el segundo requisito exige que el entorno de la honeynet esté protegido, para que el ataque no se propague a otras zonas de la red, un procedimiento
sencillo para cumplir este requisito consiste en colocar delante de la honeynet un cortafuego, que sólo permita el tráfico entre la honeynet y el exterior.
Honeynet aparentemente vulnerable
En esta categoría se utiliza software de virtualización, que permite simular una vulnerabilidad fácilmente identificable, el curso de los acontecimientos coincide con el que se describía en la categoría anterior, salvo por el hecho de que en este caso el atacante no consigue realmente su propósito, en su lugar, se le presenta un entorno virtual que simula el comportamiento de una máquina comprometida.
Obviamente, la credibilidad del engaño está ahora supeditada a la calidad de la simulación ofrecida por el software de virtualización. La ventaja evidente de este planteamiento es, que el atacante no dispone de privilegios para anular los mecanismos de logging, ni de los recursos suficientes para propagar el ataque hacia otras zonas de la red.
1.4.4. Ventajas
Tradicionalmente, la mayoría de los sistemas de seguridad han sido siempre de carácter defensivo. Los IDS, Cortafuegos y demás soluciones se basan en la defensa de sistemas, y cuando un ataque o vulnerabilidad es detectado, entonces se trata de arreglar el problema tan rápido como sea posible.
Estas aproximaciones van siempre un paso por detrás de los atacantes, ya que la reacción depende directamente de los ataques sufridos y detectados. Si no se recibe ningún ataque o no se descubre alguna vulnerabilidad, los sistemas de defensa permanecerán iguales. No hay mejora intrínseca o pro-actividad propia de los sistemas.
Las honeynets cambian esta actitud mediante el estudio de los ataques y atacantes. Obtener nuevos patrones de comportamiento y nuevos métodos de ataque para prevenirlos en los sistemas reales es su objetivo [3].
Sin honeynets, cada vez que se produzca un ataque nuevo y exitoso a un sistema real existente, este dejará de dar servicio y se verá comprometido. Con las honeynets, un ataque exitoso o nuevo no tiene por qué afectar a ningún sistema real, además se perderá el factor sorpresa, ya que se han obtenido datos precisos de su ataque en el estudio de los logs, que permitirá contrarrestarlo de una manera más eficiente, al igual que en los honeypots, la cantidad y calidad de información producida es muy importante, ya que cualquier actividad existente es sospechosa.
1.4.5. Desventajas
Complejidad de despliegue y de los recursos necesarios para mantener.
Su funcionalidad de alta interacción introduce el riesgo de que los atacantes utilizando los sistemas de ataque puedan dañar o infiltrarse en otros sistemas.
Nuevas tecnologías inmaduras tienen un mayor riesgo de rotura y de errores.
1.5. Honeynets virtuales
Uno de los problemas más graves a los que se enfrenta cualquier administrador de redes y por tanto el grupo de seguridad, es el de la disponibilidad de recursos. Los esquemas presentados (GEN I, ll y IlI) cada vez demandan más máquinas y recursos, lo que puede llevar a la paradoja de tener dos servidores de producción y cuatro computadoras en una honeynet. Obviamente, este punto es algo exagerado, sin embargo si puede pasar que mucha gente en pequeñas empresas descarte las honeynet simplemente porque no tiene los recursos necesarios o porque estos son iguales o superiores a las máquinas de producción.
El concepto de honeynet virtual se puede definir, como la solución que permite implantar el esquema de honeynet utilizando una sola computadora, el adjetivo virtual viene dado porque todos los sistemas operativos que existen en la honeynet aparentemente tienen su propia máquina, aunque realmente se ejecutan en el mismo hardware”. [8]
Las honeynets virtuales pueden clasificarse en dos categorías: auto contenida e híbrida.
1.5.1. Honeynet Virtual Auto-Contenida
Una honeynet virtual auto-contenida es una red entera honeynet condensada en una sola computadora, la red entera está virtualmente contenida en un único y físico sistema, una red honeynet típicamente consiste de un cortafuego para control de datos y captura de datos, y los honeypots dentro de la honeynet.
Ventajas
Movible, las honeynets virtuales pueden ser situadas en un portátil y llevadas a donde quiera.
Conecta y captura, se puede usar una máquina y simplemente conectarla en cualquier red y estará preparada para coger a los atacantes. Esto hace que la implantación sea más fácil, ya que físicamente estás implantando y conectando un sólo sistema.
Barata en dinero y en espacio, sólo se necesita una computadora, así que reduce los gastos de hardware. Ocupa poco espacio y solo necesita una regleta y un puerto. Para aquellos con espacio y electricidad limitada, esta es la opción.
Desventajas
Único punto de fallo, si algo va mal con el hardware, la honeynet entera se quedaría sin funcionar.
Computadora de alta calidad, aunque las honeynets Auto-Contenidas sólo requieren una computadora, pero tendrá que ser un sistema potente. Dependiendo de su configuración, se va a necesitar bastante memoria y procesador.
Seguridad, ya que como todo está compartiendo el mismo hardware, hay peligro de que un atacante acceda a otras partes del sistema. Mucho depende del software virtual, que será discutido luego.
Software Limitado, como todo tiene que ejecutarse en una máquina, se está limitado al software que se pueda usar.
1.5.2. Honeynet Virtual Híbrida
Una honeynet híbrida es una combinación de la clásica honeynet y del software virtual, donde la captura de datos, el control de datos, y el almacenamiento de logs, están en un sistema separado y aislado. Este aislamiento reduce el riesgo de compromiso. Sin embargo, todas las honeynets son virtualmente ejecutadas en una única máquina.
Ventajas
Segura: En las honeynets auto-contenidas, existe un peligro de que el atacante acceda a otras partes de la honeynet. Con las honeynets híbridas, el único peligro sería que el atacante accediera a otros honeypots.
Flexible: Se puede usar una gran cantidad de software y hardware para el control de datos y la captura de datos de la red híbrida. Se puede incluso ejecutar cualquier clase de honeypot que se quiera porque simplemente se puede añadir otra computadora en la red además de la máquina con la honeypot virtual.
Desventajas
No movible, ya que la red honeynet consistirá en más de una máquina, es más difícil moverla.
Cara en tiempo y en espacio, necesita más electricidad, espacio y posiblemente dinero puesto que hay más de una computadora en la red.
Las honeynets virtuales híbridas permiten alcanzar la flexibilidad de las honeynets clásicas e incrementar la cantidad de honeypots usando el software virtual.
Se puede ver que ambos esquemas tienen ventajas e inconvenientes, sin embargo las contrapartidas comunes al uso de esta implantación de las honeynets virtuales son principalmente:
El hardware disponible limita la cantidad de sistemas operativos a simular. Y la potencia de la máquina empleada marca la cantidad de honeynets que se puede realizar. Si lo que se tiene es una PC 486 con 8MB de RAM no tiene sentido intentar emular varias honeynets con decenas de computadoras distintas.
Si el atacante toma el control de la máquina, podría obtener el control de todos los sistemas virtuales.
Las técnicas utilizadas para la obtención del tipo y versión del sistema operativo mediante el envío de paquetes IP específicamente construidos, podrían revelar la naturaleza real del sistema operativo base.
Si el atacante toma el control de una de las honeynets probablemente pudiera averiguar que se encuentra en un sistema simulado, lo que falsearía su comportamiento.
1.5.3. Herramientas de virtualización
Algunas de las herramientas de virtualización que se pueden utilizar para el desarrollo de honeynets virtuales son: User Mode Linux6, VMware7 Workstation y GSX Server, o Microsoft Virtual PC8. Las características de la honeynet estarán íntimamente relacionadas con la solución software utilizada para su implementación [11].
User Mode Linux
Es un módulo del kernel que permite la ejecución simultánea de varios sistemas Linux como procesos de otra máquina Linux. Su utilización tiene una serie de ventajas:
Se trata de una herramienta de código abierto, por lo que se podrá revisar, corregir y adaptar su código a las necesidades de la honeynet.
Como software de libre distribución, se puede utilizar sin necesidad de pagar licencias.
Permite capturar las sesiones del intruso de forma pasiva a través del kernel del sistema anfitrión.
Sin embargo, también presenta varios inconvenientes:
Sólo alberga máquinas virtuales Linux.
No ofrece interfaz gráfica y su utilización no resulta demasiado intuitiva. Tampoco existe una documentación clara y detallada sobre su modo de empleo, por lo que, en principio, no es una herramienta sencilla de manejar.
La instalación de máquinas virtuales es más complicada que en el resto de herramientas.
Como herramienta de código abierto, carece de soporte técnico.
VMware Workstation
Es una herramienta de virtualización comercial diseñada para ejecutarse sobre equipos de sobremesa.
Existen versiones tanto para Windows como para Linux, presenta las siguientes ventajas:
Puede hospedar máquinas virtuales con sistemas operativos Windows, Linux, NetWare y FreeBSD, aunque potencialmente es capaz de albergar cualquier sistema que se ejecute sobre la plataforma X86 de Intel.
Se maneja desde una intuitiva interfaz gráfica de usuario y ofrece una documentación detallada, lo que simplifica su utilización.
El proceso de instalación de un sistema operativo en una máquina virtual es el mismo que se utiliza en los equipos físicos.
Como inconvenientes se puede mencionar la exigencia del pago de la licencia y que se trata de software propietario, por lo que ni se tiene acceso al código fuente ni se tiene derecho a realizar modificaciones en la aplicación.
VMware GSX Server
Es una herramienta de virtualización diseñada para su utilización en sistemas Windows o Linux. Aparte de esto, todo lo que se ha expuesto de la versión Workstation es válido también para la versión GSX, a lo que se añaden las siguientes ventajas:
Puede albergar máquinas virtuales más potentes y redes más complejas.
Permite la administración remota de la herramienta a través de una interfaz Web y una consola remota que permite el acceso a las máquinas virtuales instaladas.
