Implementación de un sistema trampa para la red Universitaria Central “Marta Abreu” de Las Villas

Texto completo

(1)FACULTAD DE INGENIERÍA ELÉCTRICA. Departamento de Electrónica y Telecomunicaciones T TR RA AB BA AJ JO OD DE ED DIIP PL LO OM MA A Título: Implementación de un Sistema Trampa para la Red. Universitaria Central “Marta Abreu” de Las Villas. Autor: Lazaro Enrique Dueñas Cruz Tutor: Ing. Antonio Núñez Martínez. Santa Clara Curso 2006-2007. "Año 49 de la Revolución".

(2) U n i v e r s i d a d C e n t ra l “ M a rt a A b r e u ” d e L a s V i l l a s Fa c u l t a d d e I n g e n i e rí a E l é c t ri c a Departamento de Electrónica y Telecomunicaciones T TR RA AB BA AJ JO OD DE ED DIIP PL LO OM MA A. Título: Implementación de un Sistema Trampa para la Red. Universitaria Central “Marta Abreu” de Las Villas. Autor: Lazaro Enrique Dueñas Cruz Tutor: Ing. Antonio Núñez Martínez Santa Clara Curso 2006-2007 “Año 49 de la Revolución”.

(3) Hago constar que el presente trabajo fue realizado en la Universidad Central “Marta Abreu” de Las Villas como parte de la culminación de los estudios de la especialidad de Ingeniería en Telecomunicaciones y Electrónica, autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad.. Firma del Autor. Los abajo firmantes, certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada.. Firma del Tutor. Firma del Jefe de Dpto. Donde se defiende el trabajo. Firma del Responsable de Información Científico-Técnica.

(4) Pensamiento.

(5) Pensamiento. “Si he conseguido ver más lejos, es porque me he aupado en hombros de gigantes”. Isaac Newton.

(6) Agradecimientos.

(7) Agradecimientos. A mi tutor, por haberme ofrecido la posibilidad de trabajar en este proyecto. A mis padres y hermana, por su amor incondicional. Al grupo de profesores que han contribuido a mi formación como futuro profesional. A mis amigos y a todos los que me estiman o me han ayudado en este trabajo. En fin, a todos ustedes, que han sabido enseñarme que la paciencia y el esfuerzo son el camino para lograr verdaderos objetivos y han contribuido a materializar este sueño. A todos, gracias..

(8) Dedicatoria.

(9) Dedicatoria. A mis padres, que con este trabajo ven coronado su gran sueño, por permitirme soñar, y por sobre todas las cosas respetar mis deseos y creer en mí. A mi hermana, por existir y traer tantas alegrías a mi vida. A mi tutor Antonio Núñez Martínez, por la ayuda brindada en la confección en este trabajo. A toda mi familia, mis amigos y a todos los que me estiman y me son fieles tanto en los buenos momentos como en los malos..

(10) Tareas Técnicas.

(11) Tareas Técnicas. TAREAS TÉCNICAS Con la intención de darle cumplimiento a los objetivos trazados a fin de realizar esta tesis, se tuvo en cuenta una serie de tareas técnicas de suma importancia para la confección del informe, ellas fueron: 9 Revisión de la bibliografía del tema (Honeypot) y análisis de estado del arte. Indagar sobre sistemas trampas (Honeypots). Conocer acerca de los diferentes tipos, programas utilizados, ventajas y desventajas, así como soluciones de los mismos. 9 Buscar las herramientas para su uso y analizar sus características. 9 Seleccionar la herramienta adecuada para su implementación en la Red en su estado actual. 9 Implementar un sistema trampa (Honeypot) en la Red Universitaria con la herramienta seleccionada. 9 Confección y presentación del informe final.. Firma del Autor. Firma del Tutor.

(12) Resumen.

(13) Resumen. RESUMEN En el presente trabajo se realizó un estudio y descripción de los sistemas trampas que existen para elevar la seguridad informática de una red de computadoras. Se realizó una búsqueda de las herramientas más utilizadas para la implementación de un sistema trampa (Honeypot), y se justificó por qué la herramienta de software Honeyd es la adecuada para esta tarea en la Red. Universitaria de la Universidad Central. “Marta Abreu” de Las Villas. También se elaboró una caracterización y análisis de la herramienta escogida para su uso. Finalmente, se determinó que este Trabajo de Diploma constituye una referencia importante y una bibliografía indispensable para el estudio de los sistemas trampas, motivando a su implementación por la experiencia adquirida en dicho centro..

(14) Índice.

(15) Índice. ÍNDICE INTRODUCCIÓN. ________________________________________________. Capítulo 1: Generalidades de sistemas trampas (Honeypots). ___________. 4. __________________________________. 4. _____________________________________. 5. 1.1 Antecedentes de los Honeypots 1.2 Honeypot (sistema trampa). 1.2.1 Información de gran valor 1.2.2 Recursos. 1. ________________________________. 7. _____________________________________________. 7. __________________________________________. 7. 1.2.3 Simplicidad. 1.2.4 Encriptación en IPv6. ___________________________________. 1.2.5 Nuevas herramientas y técnicas. 8. ___________________________. 8. 1.2.6 Visión limitada. _________________________________________. 8. 1.2.7 Fingerprinting. __________________________________________. 9. _______________________________________________. 9. 1.2.8 Riesgo. 1.3 Tipos de Honeypots. __________________________________________. 1.3.1 Honeypots de producción. 10. _______________________________. 10. 1.3.1.1 Prevención. _____________________________________. 10. 1.3.1.2 Detección. ______________________________________. 11. 1.3.1.3 Reacción. ______________________________________. 12. 1.3.2 Honeypots de investigación 1.4 Nivel de interacción. ______________________________. 13. ___________________________________________. 14. 1.4.1 Honeypots de baja interacción. ____________________________. 15. __________________________. 16. ____________________________. 17. _______________________________. 19. ________________________________. 19. _______________________________. 20. 1.4.2 Honeypots de media interacción 1.4.3 Honeypots de alta interacción 1.5 Sistemas trampas reales y virtuales 1.5.1 Sistemas trampas reales 1.5.2 Sistemas trampas virtuales. 1.6 Herramientas de implementación de sistemas trampas virtuales. _________. 21. ________________________________. 22. _____________________________________. 22. 1.6.1 Herramientas comerciales 1.6.2 Herramientas libres.

(16) Índice. Capítulo 2: Estudio de herramientas para sistemas trampas virtuales. ____. 25. __________. 25. ________________________________. 25. ________________________________________. 28. 2.1 Análisis de las herramientas para sistemas trampas virtuales 2.2 Specter, Honeypot para Windows 2.2.1 Funcionamiento. 2.2.2 Sistemas operativos y servicios simulados. __________________. 31. _____________________________. 32. __________________________. 33. _______________________________________. 34. 2.2.3 Carácter de comportamiento 2.2.4 Trampas y tipos de contraseñas 2.2.5 Tipos de alertas. 2.2.6 Captura de información. _________________________________. 35. ___________________________________. 36. _______________________________________. 39. 2.3 Honeyd, Honeypot para Linux 2.3.1 Funcionamiento. 2.3.2 Mecanismos de ruteo 2.3.3 Topologías de ruteo. ___________________________________. 41. ____________________________________. 44. 2.3.4 Comportamiento de puertos y simulación de servicios 2.3.5 Captura de información. _________. 46. _________________________________. 47. 2.4 Selección de la herramienta a implementar. ________________________. Capítulo 3: Implementación de Honeyd en la Red Universitaria. _________. 51. _______________________. 51. _________________________. 52. _______________________________. 52. _____________________________________. 52. 3.1 Desarrollo del sistema trampa virtual Honeyd 3.2 Requisitos e instalación de la herramienta 3.2.1 Limitaciones de Hardware 3.2.2 Software necesario. 3.2.3 Obtención e instalación de Honeyd. ________________________. 53. ______________________________. 54. _________________________________________. 54. 3.3 Puesta a punto del sistema trampa 3.3.1 Configuración. 3.3.2 Ejecución de Honeyd 3.4 Test y análisis de resultados. ___________________________________. 58. ____________________________________. 59. 3.4.1 Prueba de accesibilidad y de estado de destino. _______________. 3.4.2 Identificación de sistemas operativos y escaneo de puertos 3.4.3 Test de penetración 3.4.4 Logueos. 48. _____. 60 60. ____________________________________. 63. _____________________________________________. 64.

(17) Índice. CONCLUSIONES. _______________________________________________. RECOMENDACIONES. ___________________________________________. REFERENCIAS BIBLIOGRÁFICAS ANEXOS. 67 68. _________________________________. 69. ______________________________________________________. 74.

(18) Introducción.

(19) Introducción. INTRODUCCIÓN Durante los últimos años los ataques informáticos a través de Internet se han incrementado notablemente. Este número de incidentes ha venido acompañado por una clara evolución de las herramientas y técnicas utilizadas por los atacantes. Parte de los responsables de estas acciones son usuarios avanzados que desarrollan sus propias aplicaciones, y son capaces de crear y utilizar sofisticadas puertas traseras para introducirse en otros sistemas. Estos individuos son los más cercanos a la figura del Hacker y son capaces de entrar en el ordenador más protegido de cualquier compañía importante, aunque para ello tengan que violar las medidas de seguridad más complejas. Esta idea generalizada, y en muchos casos mitificada sobre el perfil de estos intrusos, hace pensar que sólo serán objeto de ataque aquellos equipos que contengan información trascendente. Sin embargo, esto es un grave error. Estos ataques selectivos dirigidos por expertos suponen un porcentaje muy pequeño de los que a diario se originan a través de la Red. Los incidentes que acontecen en Internet y en la Red no van dirigidos contra equipos ni compañías específicas, sino que tienen como objetivo una víctima fácil. El blanco seleccionado puede ser cualquier equipo conectado a la Red que posea una debilidad específica que el atacante busca y es capaz de aprovechar para conseguir el acceso a la máquina o sistema.. Por otro lado, hoy ya no se necesita poseer conocimientos desbordantes sobre el funcionamiento de un sistema para poder atacarlo. De hecho, la mayoría de los intrusos se limita a utilizar herramientas creadas por otros, que pueden encontrarse fácilmente en Internet. Herramientas que son cada vez más sencillas de manejar y no exigen que el atacante conozca su modo interno de funcionamiento. Sólo basta con que ellos ejecuten un simple comando o introduzcan una serie de instrucciones que en muchas ocasiones se detallan al inicio del propio código de los programas, o se incluyen en ficheros de texto que acompañan a las aplicaciones.. 1.

(20) Introducción. En los últimos años, la frecuencia de aparición de estos ataques indiscriminados se ha disparado, y este hecho, unido al creciente número de vulnerabilidades descubiertas en todo tipo de sistema operativo y aplicaciones, convierte a cualquier sistema conectado a Internet en una victima potencial. Este panorama plantea la necesidad de disponer de instrumentos o herramientas que permitan descubrir y analizar tanto los agujeros de seguridad que pueda presentar un sistema, así como las técnicas y herramientas utilizadas por la comunidad de atacantes que pueblan la Red, lo cual da lugar a la tecnología de Sistemas de Detección de Intrusos (IDS) basados en sistemas trampas (Honeypots), razón por la cual se desarrolla este trabajo de investigación.. Los Honeypots, que alguna vez fueron utilizados principalmente por investigadores como una forma de atraer los Hackers a un sistema de redes para estudiar sus movimientos y comportamientos, están adquiriendo una importancia cada vez mayor en la seguridad empresarial. En efecto, al brindar detección temprana de actividad no autorizada en las redes, los Honeypots son ahora más útiles que nunca para los profesionales de la seguridad informática, y su tecnología se está convirtiendo en el componente clave del sistema de capas de protección contra intrusos. Los Honeypots constituyen una emocionante tecnología nueva con un enorme potencial para la comunidad de seguridad informática, desde que los primeros conceptos fueron introducidos inicialmente por varios iconos de la seguridad informática; desde entonces los Honeypots han estado en una continua evolución, desarrollándose como una poderosa herramienta de seguridad hoy en día.. En los objetivos del presente trabajo está indagar sobre sistemas trampas (Honeypots). Conocer acerca de los diferentes tipos, ventajas y desventajas, así como soluciones de los mismos. Buscar las herramientas para su uso y abordar sus características. Utilizar la más adecuada para su implementación en la Red Universitaria y justificarla. Implementar un sistema trampa (Honeypot) en la Red Universitaria con la herramienta seleccionada.. 2.

(21) Introducción. Con el fin de dar un cumplimiento correcto a los objetivos propuestos para este trabajo se han planteado un conjunto de tareas técnicas y de investigación. Realizar una revisión de la bibliografía del tema (Honeypot) y análisis de estado del arte. Indagar sobre sistemas trampas (Honeypots). Conocer acerca de los diferentes tipos, programas utilizados, ventajas y desventajas, así como soluciones de los mismos. Buscar las herramientas para su uso y analizar sus características. Seleccionar la herramienta adecuada para su implementación en la Red en su estado actual. Implementar un sistema trampa (Honeypot) en la Red Universitaria con la herramienta seleccionada. Confección y presentación del informe final.. El presente trabajo se ha estructurado en tres capítulos donde se abordan las temáticas siguientes: 9 El Capitulo 1 estudia los diferentes tipos de Honeypot, programas utilizados, ventajas y desventajas, así como soluciones de los mismos. 9 El Capitulo 2 refleja las herramientas para el uso de los sistemas trampas y sus características, además de la justificación de cuál es la más adecuada para ser implementada en la Red. 9 El Capitulo 3 describe la implementación de un sistema trampa (Honeypot) en la Red de la Universidad Central “Marta Abreu” de Las Villas con la herramienta seleccionada anteriormente. 9 Conclusiones. 9 Recomendaciones. 9 Referencias Bibliográficas. 9 Anexos.. 3.

(22) Capítulo 1.

(23) Implementación de un sistema trampa. Capítulo 1. Capítulo 1: Generalidades de sistemas trampas (Honeypots) 1.1 Antecedentes de los Honeypots. Los conceptos de sistema trampa (Honeypot) fueron introducidos por primera vez en un libro escrito por Clifford Stoll titulado “The Cukoo's Egg: Tracking a Spy Through the Maze of Computer Espionage” en el año 1990 [10], en el cual se discute una serie de eventos reales ocurridos en un período de diez meses entre los años 1986 y 1987.. Un error en los sistemas de computación del laboratorio “Lawrence Berkeley” lo guía a descubrir que un atacante de nombre codificado “Hunter” se había infiltrado en su sistema. En vez de inutilizar a éste decidió permitirle permanecer en el sistema para observarlo y aprender acerca del mismo [10].. Durante algunos meses Stoll intentó descubrir la identidad del atacante, mientras al mismo tiempo protegía que las computadoras gubernamentales y militares estuvieran lejos de su alcance. Realmente esas computadoras no fueron Honeypots, sino sistemas de producción usados por la academia y la comunidad; sin embargo, los sistemas comprometidos se usaron de manera similar a los conceptos relacionados con las tecnologías de los Honeypots para atraer al atacante y descubrir que sus objetivos estaban enfocados en materiales de seguridad nacional [10].. El segundo escrito relacionado con los conceptos de sistema trampa se elabora en 1990 por Bill Cheswick titulado “An Evening with Berferd In Which a Cracker is Lured, Endured and Studied”. En este se relata cómo se construye un sistema con el objetivo de comprometer al mismo, lo cual significaba la primera documentación de un Honeypot. Además se discute no solo la forma de construir un Honeypot, sus ventajas, desventajas y cómo usarlo, sino que también se estudia un ataque de un Hacker Holandés, el cual compromete diferentes sistemas construidos con diferentes vulnerabilidades con el propósito de determinar las diferentes amenazas existentes y cómo ellas operaban [7]. 4.

(24) Implementación de un sistema trampa. Capítulo 1. En 1999 la idea de los Honeypots se retoma hasta la actualidad por El Proyecto Honeynet, organización de investigación formada por profesionales de la seguridad informática dedicada a la búsqueda de información sobre los atacantes, guiada y fundada por Lance Spitzner [44].. El hecho de que los Honeypots posean una única historia, que sus conceptos se hayan introducido hace más de una década, y además que sólo hasta los días más recientes se han comercializado productos desarrollados basados en la literatura que aborda sus conceptos, los convierte en una de las tecnologías más novedosas en el mundo de la seguridad informática actual.. 1.2 Honeypot (sistema trampa). Un Honeypot o sistema trampa es un recurso de seguridad informática cuyo valor reside en ser explorado, atacado o puesto en compromiso [37].. Las expectativas perseguidas al implementar un sistema trampa son que el mismo sea atacado y explorado por los intrusos sin importar si el recurso es un router, servicios simulados o sistemas de producción real como los servidores y Hosts, entre otros [37].. Su valor recae en que sea atacado y comprometido, con el objetivo de capturar toda la actividad de naturaleza maliciosa que fluye a través de una red. Si nunca es atacado y comprometido se convierte en un sistema de producción real, diseñado con el propósito de no estar expuesto a los ataques de intrusos [37].. Los. Honeypots. constituyen. una. herramienta. altamente. flexible. que. puede. implementarse de muchas formas para contribuir a la seguridad de una red dada. Son usados para detectar métodos de ataques, capturar las últimas técnicas y herramientas de ataques usadas por intrusos de redes. Cualquier actividad enviada o capturada por ellos posee naturaleza sospechosa y revela la probabilidad de que el sistema esté siendo atacado con la intención de comprometer a la máquina o el servicio ofrecido [37]. 5.

(25) Implementación de un sistema trampa. Capítulo 1. En la figura 1.1 se muestra un ejemplo de forma general del funcionamiento de un Honeypot. Se aprecia que son, en su forma más básica, recursos de información falsos, posicionados estratégicamente en una red de prueba, los cuales se alimentan con información falsa que es disfrazada como archivos de naturaleza confidencial. A su vez, son configurados inicialmente de manera que sea difícil, mas no imposible, el hecho de ser penetrados por un atacante informático, exponiéndolos de manera deliberada y haciéndolos altamente atractivos para un intruso en busca de un blanco. También son habilitados con herramientas de monitoreo y rastreo de información, de manera que cada paso y rastro de actividad de un intruso quede en una bitácora que indique esos movimientos de manera detallada.. Figura 1.1 Ejemplo de un Honeypot. Los Honeypots son en la actualidad la mejor herramienta de seguridad informática usada en muchos sistemas por diferentes razones que se detallan a continuación.. 6.

(26) Implementación de un sistema trampa. Capítulo 1. 1.2.1 Información de gran valor. Los Honeypots recolectan muy pocos datos, pero todos son de gran valor e importancia. El hecho de no esperar ninguna actividad de producción reduce dramáticamente el nivel de ruido, recogiendo solo los datos indispensables. En lugar de loguear Gigabytes de datos todos los días, los Honeypots recolectan varios Megabytes de datos por día. En vez de generar 10.000 alertas por día, pueden generar sólo 10. Los datos recolectados por los mismos son probablemente escaneos, pruebas o informaciones de ataques de gran valor [37] [45].. Ellos dan información precisa y necesaria en un formato rápido y fácil de entender. Esto hace que el análisis de sus datos sea más fácil y la reacción en cuanto a tiempo sea más rápida.. 1.2.2 Recursos. A diferencia de muchos sistemas de seguridad, los Honeypots son diseñados con mínimos recursos de costos muy bajos. Esto significa que los recursos pueden ser mínimos y aún así se puede implementar una plataforma de seguridad lo suficientemente grande para operar a gran escala [37].. Ejemplo: Una computadora con un procesador Pentium con 128 Megabytes de memoria RAM puede manejar fácilmente una red entera clase B [45].. 1.2.3 Simplicidad. No existe razón alguna por la cual se deba desarrollar o mantener nuevos algoritmos, ni complejas tablas que mantener, o firmas que actualizar. Solamente es necesario implementar el Honeypot y colocarlo en cualquier lugar en la organización y esperar a que el mismo sea atacado por los intrusos. Mientras algunos Honeypots, especialmente los de investigación, pueden ser complejos, operan bajo una simple premisa: si alguien 7.

(27) Implementación de un sistema trampa. Capítulo 1. se conecta con él lo advierte y captura toda la información de la conexión. La simplicidad es lo que los hace una potente arma de seguridad confiable [37].. 1.2.4 Encriptación en IPv6. A diferencia de la mayoría de las tecnologías para la seguridad, como los sistemas IDS que poseen problemas al detectar ataques encriptados, los Honeypots trabajan bien en entornos encriptados como los entornos IPv6. No importa que la información lanzada hacia el Honeypot esté encriptada, el Honeypot detectará y capturará el ataque encriptado sobre el protocolo IPv6 de la misma forma que lo realiza sobre el protocolo IPv4 [45].. Esto es importante dado que en la actualidad las tendencias de encriptación de la información son muy utilizadas por los atacantes de redes, y sin el uso de un Honeypot estos intrusos podrían estar atacando cualquier sistema de producción sin ser percibidos por los sistemas de seguridad en la red.. 1.2.5 Nuevas herramientas y técnicas. Los sistemas trampas se diseñan para capturar cualquier información que interactué con ellos, por esta razón ayudan a capturar herramientas y nuevas técnicas nunca vistas por la comunidad de seguridad informática, las cuales son utilizadas por los intrusos avanzados. El estudio de estas herramientas capturadas por los Honeypots justifica las inversiones en el firewall para aumentar la seguridad en cualquier red, así como también contribuye a desarrollar nuevas técnicas de prevención, detección y reacción contra los nuevos ataques desarrollados por estos intrusos [45].. 1.2.6 Visión limitada. Los Honeypots solo ven la actividad que interactúa directamente con ellos. Si un atacante entra en una red y ataca una variedad de sistemas, un sistema trampa en esa red estaría ajeno a la actividad realizada por el atacante [37]. 8.

(28) Implementación de un sistema trampa. Capítulo 1. También si el atacante logra identificar la existencia de un Honeypot en el sistema que él planea atacar, podría evitar la interacción con el Honeypot y así infiltrarse en el sistema de la organización sin que el Honeypot nunca advirtiese su presencia [37].. 1.2.7 Fingerprinting. El Fingerprinting ocurre cuando un intruso puede identificar la verdadera identidad de un Honeypot debido a sus características o comportamiento. Los intrusos pueden identificar a un Honeypot debido a que en su diseño se origine un error que revele su identidad, por esta razón la implementación de un Honeypot debe ser realizada cuidadosamente para que no ocurra ningún fallo en su funcionamiento [37].. El fingerprinting representa uno de los mayores riesgos para los Honeypots de investigación, por el hecho de que la evidencia que los mismos contienen puede ser falseada si son descubiertos por los atacantes, los cuales pueden llenar en este caso al Honeypot de investigación con información falsa para evitar ser detectados. Esta información podría guiar al personal de seguridad a tener conceptos y conclusiones erróneas acerca de los atacantes [37].. 1.2.8 Riesgo. Los Honeypots pueden introducir riesgos en cualquier red o sistema. Al ser atacados pueden ser usados para atacar, infiltrar o dañar a otros sistemas u organizaciones [37]. Los Honeypots de investigación poseen mayores riesgos que los Honeypots de producción, debido a que pueden ser usados por los intrusos como plataformas enteras para lanzar nuevos ataques devastadores contra otras organizaciones [38].. Todo lo mencionado anteriormente se debe al hecho de que los mismos no pueden reemplazar los mecanismos o tecnologías de seguridad ya existentes como lo son las firewalls, los IDS [36], antivirus y otros, sino que añaden su propio valor para trabajar conjuntamente con estos mecanismos de seguridad. 9.

(29) Implementación de un sistema trampa. Capítulo 1. 1.3 Tipos de Honeypots. Los Honeypots se clasifican en dos categorías generales, atendiendo a los propósitos con que ellos se utilizan [37] [38]: 9 Honeypots de producción. 9 Honeypots de investigación.. 1.3.1 Honeypots de producción.. Los Honeypots de producción se implementan y diseñan mayormente por las organizaciones comerciales para mejorar la seguridad de su ambiente de producción. Añaden valor a sus redes en cuanto a seguridad se refiere y ayudan a mitigar los riesgos de las mismas protegiéndolas. Son usualmente más fáciles de implementar, desarrollar y mantener que los Honeypots de investigación debido a que requieren menos funcionalidad y recursos [37] [38].. Los mismos no pueden ser usados para atacar otros sistemas de producción a diferencia de los de investigación. Sin embargo, generalmente recolectan menos cantidad de información acerca de ataques que los Honeypots de investigación. Cuando se utilizan con propósitos productivos, protegen a las organizaciones en las tres formas al mismo tiempo: prevención, detección y reacción [37] [45]. 1.3.1.1 Prevención. Mantener la amenaza fuera de los sistemas de producción se realiza de muchas maneras, usando firewalls (cortafuegos), autentificación, encriptación, entre otras soluciones [37]. Sin embargo, los. Honeypots. pueden. ayudar. a. prevenir ataques de diferentes. formas, como por ejemplo contra ataques automatizados que utilizan gusanos (worms) o auto-rooters. Estos se basan en el uso de herramientas que aleatoriamente escanean (sondean) redes enteras buscando sistemas vulnerables. Si un sistema vulnerable es 10.

(30) Implementación de un sistema trampa. Capítulo 1. encontrado, estas herramientas automatizadas atacarán y tomarán el sistema (con gusanos que se auto-copian en la víctima). Uno de los métodos para protegerse de tales ataques es bajar la velocidad de su escaneo y potencialmente detenerlos [15] [45].. Los llamados Sticky Honeypots (sistemas trampas pegajosos), estas soluciones monitorean el espacio IP no utilizado en las redes en que están operando y cuando los sistemas son escaneados, estos Honeypots interactúan con el atacante y reducen la velocidad del ataque. Hacen esto utilizando una variedad de trucos TCP, como disminuyendo el tamaño de la ventana TCP a cero y poniendo al atacante en un estado de espera continua. De esta manera se logra que, aunque un gusano haya logrado penetrar en la red, no se propague tan rápidamente. Un ejemplo de un Sticky Honeypot es el LaBrea Tarpit [34]. Los Honeypots pegajosos son más comunes encontrarlos en soluciones de baja interacción [15] [45].. Con el uso de Honeypots se protege también la organización de perpetradores humanos, concepto que se conoce como engaño o disuasión. La idea es confundir al atacante, hacerle perder el tiempo y recursos interactuando con Honeypots. Mientras tanto, la organización habrá detectado la actividad de este y tendría tiempo para reaccionar y detener el ataque. También se puede dar un paso más allá: si un atacante sabe que la organización está utilizando Honeypots, pero no sabe cuáles son los sistemas trampas y cuáles los sistemas legítimos, quizás tenga miedo de ser capturado por los Honeypots y decida no atacarlo. Por tanto, disuaden al atacante [45].. 1.3.1.2 Detección. La detección es crítica para la mayoría de las organizaciones, su propósito es la identificación de una falla o ruptura para la prevención de actividad no autorizada. Detectando a los atacantes, se reacciona rápidamente ante ellos, deteniéndolos o mitigando el daño que hicieron. Tradicionalmente, la detección es extremadamente difícil de hacer. Tecnologías tales como sensores IDS y sistemas de logueo han sido inefectivas por diversas razones: generan muchos datos, grandes porcentajes de falsos 11.

(31) Implementación de un sistema trampa. Capítulo 1. positivos, falsos negativos y la inhabilidad de trabajar en forma encriptada o en entornos IPv6 [37] [45].. Los falsos positivos ocurren cuando los sistemas de detección alertan falsamente de la existencia de actividad maliciosa en la red, y por el contrario los falsos negativos son los que ocurren cuando los sistemas de detección no son capaces de detectar la actividad maliciosa en la red.. Debido a su simplicidad, los Honeypots son excelentes en detección, solventando muchos de los problemas de la detección clásica. Estos reducen falsos positivos y negativos, capturando pequeñas cantidades de datos (del orden de algunos Megabytes por día) de gran importancia, debido a que no manejan ningún tráfico de producción y toda su información es sospechosa [37] [45].. Capturan ataques desconocidos como nuevos exploits o shellcodes polimórficos y trabajan en forma encriptada o en entornos IPv6. También ayudan a construir perfiles de ataques más comunes, los cuales sirven para la actualización de las bases de datos usadas por los Sistemas de Detección de Intrusos (IDS) y así pueden ser una herramienta poderosa de complemento de las capacidades de detección de los mismos.. 1.3.1.3 Reacción. Por lo general hay poca información acerca de quién es el atacante, cómo ingresó al sistema o cuánto daño hizo. En estas situaciones, la información detallada acerca de las actividades del atacante es crucial [45].. Hay dos problemas que afectan la respuesta al incidente por parte de las organizaciones y los cuales no permiten el análisis completo del sistema atacado [45].. 12.

(32) Implementación de un sistema trampa. Capítulo 1. El primero es que a menudo los sistemas comprometidos no pueden ser desconectados de la red para ser analizados. Los sistemas de producción, como un servidor de correo de una organización, son tan críticos que aunque estén Hackeados los expertos en seguridad no pueden desconectarlos y hacer un análisis forense como corresponde. Están limitados a analizar el sistema encendido mientras sigue proveyendo sus servicios productivos. Esto afecta la habilidad para analizar qué sucedió, cuánto daño hizo el atacante, e incluso si el atacante accedió a otros sistemas de la red [45].. El segundo es que incluso en el caso de que esté desconectado, hay tanta polución de datos que es muy difícil determinar qué es lo que hizo el intruso. La polución de datos significa que hay tanta actividad (logging in de usuarios, lecturas de cuentas de mail, archivos escritos a bases de datos, etc...) que puede ser difícil determinar cuál es la actividad normal día a día y qué es lo que hizo el atacante [45].. Los Honeypots ayudan a solventar ambos problemas. Constituyen una excelente herramienta de respuesta a incidentes, ya que pueden ser desconectados de la red en cualquier momento para realizar un análisis forense completo. Además, la única actividad que registran los sistemas trampas es no autorizada o por lo menos sospechosa [45].. Los sistemas trampas que han sido comprometidos son mucho más fáciles de analizar que los sistemas reales, porque prácticamente todos los datos que se extraen de ellos reflejarán la actividad del atacante. En este sentido, permiten reacciones más rápidas y efectivas ante incidentes, gracias a la información en profundidad que suministran.. 1.3.2 Honeypots de investigación. Los Honeypots de investigación se diseñan para ganar información acerca de los intrusos. No añaden un valor directo a las organizaciones en específico. Su misión primaria es investigar acerca de los intrusos, cómo están organizados, qué tipo de herramientas utilizan para atacar a otros sistemas y de dónde obtienen estas herramientas. La información obtenida por los Honeypots de investigación facilita el mejor 13.

(33) Implementación de un sistema trampa. Capítulo 1. entendimiento de cómo los intrusos operan y ayudan a mejorar las técnicas de seguridad en las redes [37] [38].. Los Honeypots de investigación se usan y se desarrollan comúnmente por organizaciones tales como universidades, agencias militares o gubernamentales y compañías de investigación de seguridad. El Proyecto Honeynets es un ejemplo del uso de los Honeypots de investigación [44].. Estos son más complejos que los Honeypots de producción debido a que necesitan ser implementados con sistemas operativos reales y aplicaciones reales con las cuales deben interactuar los atacantes, por lo que recopilan una mayor cantidad de información. Sin embargo esto aumenta su funcionalidad y los riesgos de que sean usados para lanzar ataques contra otras organizaciones. Además requieren de más tiempo y esfuerzo para administrarlos [37].. En general no reducen el riesgo para una organización, contribuyen poco a la seguridad directa de la misma, pero la información que ofrecen ayuda a mejorar la prevención, detección o reacción contra intrusos en las organizaciones [37].. 1.4 Nivel de interacción. Los Honeypots también se clasifican de acuerdo a su nivel de interacción. El término nivel de interacción define el rango de posibilidades de ataque que un Honeypot le permite tener a un atacante y da una escala con la cual se puede medir y comparar lo que el intruso puede o no hacer al atacar a un Honeypot y la información que este puede obtener del mismo [37].. Existen tres tipos de Honeypots atendiendo a su nivel de interacción [13] [37]: 9 De baja interacción. 9 De media interacción. 9 De alta interacción. 14.

(34) Implementación de un sistema trampa. Capítulo 1. El uso de un Honeypot de alta, media o baja interacción depende del resultado que se desee obtener. La tabla 1.1 muestra las características de los Honeypots según su nivel de interacción.. Tabla 1.1 Características de los Honeypots según su nivel de interacción Trabajo de. Trabajo de. Nivel de. instalación y. desarrollo y. Información. Nivel de. interacción. configuración. mantenimiento. capturada. riesgo. Bajo. Fácil. Fácil. Limitada. Bajo. Medio. No muy difícil. No muy difícil. Variable. Medio. Alto. Difícil. Difícil. Alta. Alto. Mientras mayor es el nivel de interacción que un Honeypot soporta, más trabajo se requiere para instalarlo, configurarlo y mantenerlo. Sin embargo, más funcionalidad y servicios se ofrecen al atacante para que interactúe con él.. El nivel de interacción impacta directamente con el riesgo introducido por el Honeypot. Un mayor nivel de interacción implica un mayor riesgo de que el Honeypot sea usado como una plataforma para lanzar ataques contra otros sistemas y organizaciones. Por el contrario, los Honeypots de media y baja interacción son más simples y ofrecen poca interacción con los atacantes, siendo soluciones de bajo riesgo y no pueden ser usados para lanzar ataques contra otros sistemas.. 1.4.1 Honeypots de baja interacción. Los Honeypots de baja interacción típicamente son fáciles de instalar, configurar, desarrollar y mantener con un mínimo de riesgo, debido a que son fáciles de diseñar y su funcionamiento es simple. Son usados como Honeypots de producción. Normalmente trabajan simulando una variedad de servicios y sistemas operativos con los cuales el atacante está limitado a interactuar [37].. 15.

(35) Implementación de un sistema trampa. Capítulo 1. Por lo general, el proceso de implementación de un Honeypot de baja interacción consiste en instalar una herramienta de software elegida en la máquina que se va a dedicar a esta función, seleccionar los sistemas operativos y los servicios que se van a simular, establecer una estrategia de monitoreo hacia el Honeypot y dejar que el programa opere por sí solo de manera normal [15].. Una de las ventajas principales de este tipo de Honeypot es la detección de escaneos no autorizados o intentos de conexión. Además sus servicios simulados mitigan el riesgo de penetración, conteniendo la actividad del intruso que nunca tiene acceso a un sistema operativo real, desde donde puede atacar o dañar a otros sistemas [37].. Debido a que son fáciles de implementar no requieren recursos costosos, simplemente se implementan en cualquier computadora que posea recursos mínimos de Hardware, esto los hace atractivos para implementarse en la mayoría de las organizaciones. Sin embargo, registran una cantidad de información limitada acerca del intruso, tales como el tiempo y la fecha del ataque, dirección IP y puerto de la fuente desde donde se realiza, dirección IP y puerto hacia donde se lanza y las intenciones con las cuales se ejecuta. Además, se diseñan para capturar solamente actividad conocida, no pueden simular respuestas ante ataques nuevos, no conocidos [37].. También es fácil para un atacante detectar un Honeypot de baja interacción, sin importar cuán buena sea la simulación. Un perpetrador hábil puede, con el debido tiempo, detectar su presencia.. 1.4.2 Honeypots de media interacción. Los Honeypots de media interacción ofrecen más habilidades para interactuar que los de baja interacción. Prevén determinadas actividades y se diseñan para dar ciertas respuestas más allá que los de baja interacción. Al igual que estos últimos son implementados por herramientas de software que simulan una variedad de servicios y sistemas operativos con los cuales el atacante está limitado a interactuar [37]. 16.

(36) Implementación de un sistema trampa. Capítulo 1. Son usados como Honeypots de producción igual que los Honeypots de baja interacción, pero son capaces de simular servicios completos y vulnerabilidades específicas. Recolectan gran cantidad de información como gusanos enteros y las actividades que los atacantes realizan. También aprenden lo que sucede después que el atacante gana acceso a un sistema y cómo elevan sus privilegios en el mismo, capturando las herramientas usadas en el ataque [37].. Los Honeypots de media interacción consumen tiempo para ser instalados y configurados en comparación con los de baja interacción. Sus soluciones no suelen ser productos de software comerciales porque envuelven un alto nivel de desarrollo, y se personalizan para ser usados por ciertas empresas que persiguen propósitos particulares [37].. También el desarrollo y mantenimiento es un proceso más complicado que el trabajo con las soluciones de los Honeypots de baja interacción. Tienen que ser mantenidos frecuentemente por el hecho del constante surgimiento de nuevas vulnerabilidades y la ocurrencia de nuevos ataques. Además, al poseer un mayor nivel de interacción con los atacantes, por la razón de darle acceso a sistemas operativos reales, los Honeypots de media interacción aumentan los riesgos de que sean usados para lanzar ataques contra otros sistemas, por eso es necesario desarrollar mecanismos para asegurarse que no puedan dañar a otros sistemas [37].. 1.4.3 Honeypots de alta interacción. Los Honeypots de alta interacción constituyen una solución compleja. Recolectan grandes cantidades de información acerca de los atacantes, pero también consumen mucho tiempo para ser construidos y mantenidos, y a la vez incrementan el nivel de riesgo en cualquier sistema que se utilicen [37].. 17.

(37) Implementación de un sistema trampa. Capítulo 1. La meta perseguida para la implementación de este tipo Honeypot es darle al atacante acceso. a sistemas operativos reales montados en Hardware real, donde nada se. simula o restringe e involucran aplicaciones reales que se ejecutan de manera normal. Para crear tal ambiente solo se necesita construir sistemas estándares no muy diferentes a los sistemas de producción reales hallados en muchas organizaciones. La única diferencia que existe entre un Honeypot de alta interacción y un sistema de producción es que el primero no posee ningún valor de producción en el sistema donde es colocado [15] [18].. Además de la información que recolectan se puede aprender cómo los atacantes se comunican unos con otros y tener la posibilidad de estudiar la extensión completa de sus actividades, lo que permite a las organizaciones conocer un comportamiento que de otra manera no tendrían acceso. También con su uso se identifican nuevas vulnerabilidades en los sistemas operativos o aplicaciones que aún no se encuentran registradas [37].. No obstante el hecho de poseer mayor nivel de interacción con los atacantes viene acompañado de un inmenso nivel de riesgo. Una vez que los atacantes tienen acceso a estos Honeypots, poseen un sistema operativo real para interactuar, lo cual les da la habilidad de hacer cualquier actividad que deseen, tal como atacar a otros sistemas de producción o capturar la actividad de los sistemas de producción [37].. En consecuencia, se requiere la implementación de una tecnología adicional que prevenga al atacante de dañar otros sistemas que no son Honeypots, por lo que una gran cantidad de trabajo tiene que ser realizada con el objetivo de mitigar estos riesgos. Por esta razón deben colocarse en ambientes controlados, tales como detrás de un firewall, como se muestra en la figura 1.2.. 18.

(38) Implementación de un sistema trampa. Capítulo 1. Figura 1.2 Mecanismo usado para mitigar los riesgos de los Honeypot de alta interacción. El firewall permite al atacante comprometer al Honeypot, pero no que el atacante use el Honeypot para lanzar ataques que perjudiquen a otros sistemas.. Los Honeypots de alta interacción son extremadamente difíciles de instalar y configurar. Son más complejos de implementar y mantener que los de baja interacción. Además requieren recursos costosos en cuanto al Hardware se refiere [37].. Todas las características mencionadas anteriormente hacen que los mismos se conviertan en soluciones tales como Honeypots de investigación, y además que sean utilizados primariamente con propósitos de investigación por organizaciones dedicadas a este fin.. 1.5 Sistemas trampas reales y virtuales. Los Honeypots se clasifican además, de acuerdo a la forma en que ellos se implementan en [15]: 9 Sistemas trampas reales. 9 Sistemas trampas virtuales.. 1.5.1 Sistemas trampas reales. Los sistemas trampas reales no son más que los Honeypots de alta interacción. Los mismos son computadoras reales con un sistema operativo real, su propia dirección IP, aplicaciones y servicios reales [15]. 19.

(39) Implementación de un sistema trampa. Capítulo 1. Los sistemas trampas reales son complejos de implementar debido a que no requieren de herramientas para su implementación, sino que usan sistemas operativos reales montados en Hardware real donde nada es simulado. Para su implementación sólo es necesario instalar el sistema operativo que se desea probar y las aplicaciones reales a ejecutar en el mismo, todo de la misma forma que se hace con un sistema de producción real. Tienen una utilización menos óptima de los recursos disponibles, ya que. solamente. se. puede. ejecutar. un. sistema. operativo. en. una. máquina. simultáneamente. Además, la reinstalación de un sistema comprometido puede ser problemática o, al menos, puede consumir mucho tiempo [15] [18].. También el uso de máquinas reales como sistemas trampas permite una alta interacción e introduce un riesgo que debe ser controlado por otros mecanismos complejos, ya que los atacantes pueden comprometer el sistema y utilizarlo como plataforma para dañar a otros sistemas [18].. Todas estas características mencionadas contribuyen a que la implementación de un Honeypot de alta interacción sea adecuada para organizaciones investigativas, siendo no adecuada la implementación de los mismos en una organización para usarse con propósitos productivos.. 1.5.2 Sistemas trampas virtuales. Los sistemas trampas virtuales no son más que los Honeypots de baja y media interacción; los mismos son simulados por una máquina que soporta una herramienta de software capaz de simular distintos sistemas operativos, aplicaciones y servicios. Esta máquina responde al tráfico enviado al sistema virtual [15].. Este tipo de sistema trampa es muy atractivo como solución a la hora de implementar un Honeypot porque reduce los recursos necesarios para implementarlo, debido a que pueden simularse varios Honeypots sobre una misma máquina ahorrando recursos de Hardware. Además, por lo general las herramientas de implementación de los mismos 20.

(40) Implementación de un sistema trampa. Capítulo 1. son soluciones de software libre y fáciles de adquirir. También poseen un riesgo limitado por su bajo nivel de interacción con el atacante, son fáciles de mantener y configurar después de implementarse [15].. Comparados con los sistemas trampas reales, los sistemas trampas virtuales se implementan fácilmente para cubrir un espacio de direcciones IP de gran tamaño, lo cual es impráctico o imposible de realizar con un sistema trampa real, debido a que sería necesario usar un Honeypot real para cada dirección IP que fuese utilizada [31] [32].. Todas estas características mencionadas acerca de los Honeypots de baja y media interacción o sistemas trampas virtuales los hacen ideales para su uso en un sistema de producción de cualquier organización o red, dando motivos así para realizar el estudio de algunas de sus herramientas de implementación para su puesta a práctica en la Red de la Universidad Central “Marta Abreu” de Las Villas.. 1.6 Herramientas de implementación de sistemas trampas virtuales. Las diferentes soluciones de Honeypots tienen una dependencia directa del nivel de interacción del mismo. Como se mencionó anteriormente, los Honeypots de alta interacción no necesitan herramientas de software para implementarse. Por el contrario, para la implementación de un Honeypot de baja y media interacción es necesaria la utilización de herramientas de software que simulen el comportamiento de sistemas operativos o servicios que se desean comprometer. En la actualidad existe una amplia gama de estas herramientas para implementar un sistema trampa virtual, en dependencia del sistema operativo que ellas utilizan como plataforma. A continuación se mencionan algunas de estas herramientas conjuntamente con algunas de sus características principales [17] [22].. 21.

(41) Implementación de un sistema trampa. Capítulo 1. 1.6.1 Herramientas comerciales 9 Specter: solución para implementar un Honeypot de baja interacción en un ambiente Windows. Simula servicios tales como: SMTP, TELNET, HTTP, POP3, FTP y también diferentes sistemas operativos y vulnerabilidades de los mismos [29] [37]. 9 KFSensor: Honeypot para plataformas Windows. Simula servicios al nivel de aplicación, además responde a las conexiones en una variedad de formas, desde escuchar puertos y servicios. Para el protocolo HTTP KFSensor simula un servidor Web Microsoft IIS para responder a solicitudes válidas y no válidas [25] [26]. 9 Symantec Decoy Server (ManTrap): Honeypot de media interacción que provee detección temprana de ataques internos, externos o de origen desconocido. Crea cuatro sistemas operativos simulados sobre una plataforma de sistema operativo Solaris, dándole al administrador del sistema un gran control y capacidad de capturar gran cantidad de información sobre los sistemas operativos virtuales, posibilitando que los atacantes tengan sistemas operativos simulados completos y una gran variedad de aplicaciones para interactuar [5] [38].. 1.6.2 Herramientas libres 9 Honeyd: Honeypot que crea sistemas virtuales en una red, que pueden ser configurados para correr servicios arbitrarios y así aparentar ser sistemas operativos [31] [37]. 9 honeybee: herramienta para la creación de manera semiautomatizada de simuladores de servidores de aplicaciones de red [1]. 9 GHH: The "Google Hack" Honeypot es un motor de búsqueda Hacker. Está diseñado para proveer reconocimiento contra Hackers que usan herramientas de Hacking contra los recursos de la organización [17] [43].. 22.

(42) Implementación de un sistema trampa. Capítulo 1. 9 HoneyBOT: Honeypot de media interacción para plataformas Windows. Trabaja escuchando 1000 puertos UDP y TCP, los cuales están diseñados para imitar servicios vulnerables [2] [3]. 9 HoneyMole: el principal objetivo de esta herramienta es actuar como un Bridge Ethernet sobre TCP/IP completamente transparente, tunelizando de forma fácil y segura el tráfico de red a un sitio remoto sin la necesidad de utilizar parches del kernel o módulos, e incluso sin la necesidad de ocultar el enrutamiento en los. Honeypot.. HoneyMole. permite. desarrollar. Honeypots. distribuidos,. transportando todo el tráfico hacia una arquitectura central donde la recolección de información y el análisis de la misma son realizados [20]. 9 HoneyPerl: Honeypot basado en perl con multitud de plugins como fakehttp, fakesmtp, fakesquid, faketelnet, etc [21]. 9 Kojoney: Honeypot de baja interacción que simula un servidor SSH [12]. 9 HoneyWeb: Honeypot que simula diferentes tipos de servidores Web y que provee dinámicamente peticiones basadas en spoofing de cabeceras HTTP y servicio de páginas, de acuerdo al tipo de solicitud hecha por los atacantes [23]. 9 LaBrea Tarpit: es un Sticky Honeypot diseñado para disminuir o parar ataques. Toma las direcciones IP de la red donde es implementado y crea Hosts virtuales que responden al intento de conexión, disminuyendo el ancho de banda de la misma, usando un mecanismo de disminución del tamaño de la ventana TCP a cero. El mismo es portado por una plataforma Windows o Unix [27] [34]. 9 ProxyPot: Honeypot que pretende ser un servidor Proxy abierto, aceptando peticiones maliciosas y respondiendo con una respuesta simulada [22]. 9 Single-Honeypot: singular y pequeño Honeypot desarrollado en Perl para probar sus redes ante visitantes hostiles, simulando diferentes servicios con plataformas de sistema operativo Unix y Applet Mac OS X [35]. 9 Spamhole: Honeypot que simula un falso protocolo SMTP de retransmisión de correos electrónicos, que intenta parar (algunos) spams de spammers convincentes, descartándolos de una manera silenciosa [17].. 23.

(43) Implementación de un sistema trampa. Capítulo 1. 9 BackOfficer Friendly (BOF): Honeypot que trabaja sobre plataformas Linux y Windows, creado originalmente para detectar cuándo alguien intenta un escaneo Back Orifice contra una computadora por el puerto UDP 31337, pero escucha los puertos por donde corren los servicios TELNET, FTP, HTTP, POP3, SMTP y IMAP2, fingiendo que sobre estos puertos corren servicios reales [28] [37]. 9 SwiSH: Honeypot SMTP multiprocesos diseñado para correr en sistemas Windows. Simula ser un retransmisor de correos electrónicos y de esta forma absorbe todo el flujo de correo electrónico masivo enviado hacia él [17]. 9 The Deception Toolkit: Honeypot de baja interacción que se instala trabaja sobre una plataforma de sistema operativo Linux. El mismo esta escrito en perl y C y simula una gran variedad de servicios con vulnerabilidades bien conocidas de sistemas operativos para detectar y engañar a los atacantes [11]. 9 Tiny Honeypot (thp): Honeypot de baja interacción que escucha en todos los puertos, proporcionando falsas respuestas ante los comandos de los atacantes. Posee plugins para simular servicios FTP y HTTP [4].. Cada una de estas herramientas funciona de forma diferente; además, poseen sus características únicas, ventajas y desventajas a la hora de implementar un Honeypot de producción.. Todas se desarrollan en una amplia variedad de formas, pero todas son Honeypots y trabajan sobre los mismos conceptos mencionados con anterioridad; su valor principal reside en ser recursos de seguridad informática explorados, atacados o puestos en compromiso.. La selección de cualquiera de ellas para su implementación está condicionada con la plataforma que la misma emplea, así como las facilidades que la misma brinda para la Red, de forma tal que se cumplan las todas expectativas y las metas trazadas.. 24.

(44) Capítulo 2.

(45) Implementación de un sistema trampa. Capítulo 2. Capítulo 2: Estudio de herramientas para sistemas trampas virtuales 2.1 Análisis de las herramientas para sistemas trampas virtuales. Como se dio a conocer en el capitulo anterior, existe una gran variedad de herramientas para implementar un sistema trampa virtual. Esto se debe a la existencia de diferentes plataformas de sistemas operativos donde pueden ser instaladas, así como las posibilidades que las mismas brindan como Honeypots de baja interacción.. Para seleccionar la herramienta adecuada para la implementación de un sistema trampa virtual en la Red de la Universidad Central “Marta Abreu” de Las Villas, se hace necesario hacer un análisis de las características principales de las mismas; para ello se escoge una herramienta de las plataformas Windows y Linux, debido a que actualmente son los sistemas operativos usados en la Red Universitaria.. 2.2 Specter, Honeypot para Windows. La herramienta que se analiza para implementar un Honeypot de baja interacción en sistemas operativos Windows es Specter v8.0.. La selección de la misma se basa en el hecho de que la mayoría de las soluciones de sistemas trampas para la plataforma Windows poseen pocas capacidades para escuchar puertos, limitadas capacidades de simulación de servicios y limitados mecanismos de generación de alertas. Ejemplo de ello son: HoneyBOT, que solo trabaja con 1000 puertos UDP y TCP predefinidos [3], el BackOfficer Friendly, que solo simula y escucha siete servicios que posee con una capacidad de respuesta extremadamente limitada [36], así como el KFSensor, que simula un servidor Web Microsoft IIS y responde a las conexiones en una variedad de formas, escuchando algunos puertos y servicios básicos de Internet como FTP y HTTP [24] [26].. 25.

(46) Implementación de un sistema trampa. Capítulo 2. Por otro lado Specter es una solución comercial para implementar un Honeypot de baja interacción, creado por la compañía de seguridad de redes de Suiza llamada NetSec, que simula una gran variedad de servicios (figura 2.1). Se instala solo en sistemas que posean una plataforma de sistema operativo Windows, aunque las versiones 6.0, 7.0 y 8.0 solamente trabajan en los sistemas operativos Windows NT SP6A, Windows 2000 SP1 y Windows XP. Los recursos de Hardware que demanda son al menos un procesador Pentium II a 450 MHz y 128 MBytes de memoria RAM para las versiones 6.0 ,7.0 y 8.0 [29] [37].. Figura 2.1 Panel de control del Honeypot Specter v8.0. En comparación con otras herramientas tales como el BackOfficer Friendly [37], el cual monitorea y simula los siete servicios FTP, TELNET, SMTP, HTTP, POP3, IMAP2 y Back Orifice, posee la característica de tener una gran funcionalidad, mayores capacidades de monitoreo y simulación de servicios. Simula siete servicios, monitorea seis trampas y una trampa configurable, que monitorea diferentes puertos. Esta flexibilidad le da la posibilidad de detectar ataques en trece puertos TCP predefinidos y un puerto TCP configurable que permite escuchar cualquier puerto TCP, detectando un gran número de ataques diferentes [37].. 26.

(47) Implementación de un sistema trampa. Capítulo 2. Además de simular diferentes servicios y monitorear puertos como el BackOfficer Friendly [37] y HoneyBOT [3], simula catorce sistemas operativos diferentes al nivel de aplicación, uno a la vez. Esta capacidad da flexibilidad para identificar amenazas en diferentes sistemas operativos [29].. Otra característica importante es la habilidad para simular aplicaciones, donde los servicios imitan la interacción con estas aplicaciones. Los servicios simulados por él poseen gran realismo e interacción fortalecida que parecen ser auténticos para cualquier atacante. Un ejemplo de esto es que simula un servidor Web con páginas Web con las que el atacante puede interactuar, las cuales pueden ser modificadas añadiéndole cualquier contenido y gráficos haciendo más real al Honeypot. Pero las capacidades de simulación de Specter no se limitan a simular un servidor Web Microsoft IIS como el KFSensor, sino también un servidor Web Apache o iPlanet cuando simula un sistema operativo Solaris (ver Anexo 1) [37].. También permite asignar al Honeypot direcciones de nombres de dominio (DNS), nombre propio y cinco personalidades diferentes para variar su comportamiento. Provee archivos de contraseñas falsas en tres formatos diferentes y siete tipos diferentes usadas para engañar a intrusos que interactúen con él [29].. Es una potente solución de detección debido a su forma de generar las alertas comparado con otras soluciones. Al detectar los ataques posibilita alertar la actividad de varias formas diferentes. Los diferentes métodos de alerta se basan en alertas detalladas por correo electrónico correo electrónico diseñadas para localizar personas y mensajes de logueo remotos. Estas capacidades de alerta dan al personal de seguridad la posibilidad de obtener la información necesaria en un formato fácil de usar y rápido, además de ser alertado en tiempo real [37].. Por último, es una herramienta fácil de instalar, configurar y mantener bajo una interfase grafica de usuario. Además se configura y administra desde cualquier máquina remota en red que trabaje sobre las plataformas Windows 98/ME/NT/2000/XP [29]. 27.

(48) Implementación de un sistema trampa. Capítulo 2. 2.2.1 Funcionamiento. El funcionamiento se basa en escuchar los puertos TCP de algunos servicios o trampas seleccionadas, y cuando un atacante interactúa con uno de estos servicios, captura toda su actividad, logueando su comportamiento y generando alertas. Para verificar los puertos que se escuchan con Specter se puede ejecutar el comando del sistema netstat -a. En el Anexo 2 se muestra un ejemplo del uso de este comando, mostrando como se escuchan los puertos 21, 25, 80 y 110, los cuales son los puertos de los servicios FTP, SMTP, HTTP y POP3 respectivamente.. Al igual que el BackOfficer Friendly [37] y HoneyBOT [3] posee la misma limitación de no poder escuchar o monitorear puertos usados por otras aplicaciones. Por ejemplo, si una aplicación en la máquina usa el puerto FTP (puerto 21) en el Honeypot, entonces Specter no puede monitorear este puerto [37].. Specter también funciona simulando uno de los catorce diferentes sistemas operativos que posee, cambiando el comportamiento del servicio para imitar al sistema operativo seleccionado. Todas las simulaciones de sistemas operativos se realizan por los siete servicios básicos FTP, TELNET, SMTP, FINGER, HTTP, POP3, NETBUS de Internet que posee, los cuales se simulan con la misma inteligencia. Por ejemplo, si se selecciona al Honeypot para que funcione como un servidor Windows XP, entonces los servicios simulados se comportarán como un sistema Windows XP. Cuando el atacante realice una conexión por el puerto 80 (servicio HTTP) al servidor Web, encontrará la página de bienvenida del servidor Web IIS (Microsoft Internet Information Server) exactamente como si fuera un servidor. Windows XP real (ver figura 2.2).. Además, simula el servidor Web con páginas Web interactivas, haciendo al Honeypot más real.. 28.

(49) Implementación de un sistema trampa. Capítulo 2. Figura 2.2 Simulación de un servidor Web Windows XP por el Honeypot Specter. Por otro lado sus trampas no alteran el comportamiento basado en el sistema operativo seleccionado, ni simulan ningún servicio en específico. Solo monitorean la actividad de los puertos [37].. Otra funcionalidad es que posee un set de contraseñas falsas que están disponibles para ser capturadas por los atacantes. Los tres formatos de los archivos de contraseñas soportados son [29]:. 9 Contraseñas en formato Unix. 9 Contraseñas en formato NT / W2K / XP sin compresión binaria. 9 Contraseñas en formato NT / W2K / XP con compresión binaria.. El sistema operativo seleccionado dicta el formato y el tipo de contraseña que el atacante capturará. Si el Honeypot es un sistema basado en Windows, tal como Microsoft XP, entonces la base de datos de contraseñas que el atacante capturará estará en el formato usado por Windows XP. Si es configurado para simular un sistema operativo basado en Unix, tal como Solaris o Linux, entonces la base de datos de contraseñas tendrá el formato utilizado por Unix. De esta forma responde y funciona de diferentes formas de acuerdo al sistema operativo simulado. 29.

(50) Implementación de un sistema trampa. Capítulo 2. Al igual que el KFSensor [26] y otras herramientas para plataforma Windows [22], solo funciona simulando los sistemas operativos al nivel de aplicación. No simula el nivel de red IP. Aun cuando simula los servicios como un servidor Linux o MacOS y otros, la capa de red sigue siendo la pila de protocolo de red IP de Microsoft. Esto significa que todas las comunicaciones basadas en IP hacia y desde el Honeypot usan protocolo IP basado en el sistema operativo Windows [37].. Esta forma de trabajar representa su mayor limitación, ya que cada sistema operativo posee sus propias características en cuanto a nivel de red IP se refiere. Esto hace que el sistema trampa pueda ser descubierto por cualquier intruso hábil que use herramientas de identificación que verifiquen el nivel de red usado por el Honeypot, encontrando discrepancia entre el nivel de red y de aplicación [37].. La combinación en la simulación del nivel de red y de aplicación es un requisito fundamental en una herramienta para implementar un Honeypot de baja interacción. La única forma que puede no ser detectado por un atacante que verifique el nivel de red del Honeypot, es cuando Specter simula el mismo sistema operativo Windows sobre el cual se instala el Honeypot. Por ejemplo, si se intenta implementar un Honeypot Windows XP, el sistema operativo que debe ser instalado en la computadora que implementa el Honeypot debe ser Windows XP. Esta operación hace parecer a Specter un sistema de producción real, siendo prácticamente un Honeypot indetectable, pero a la vez crea una dependencia directa de los sistemas operativos a utilizar como plataforma del Honeypot [37].. A diferencia de otros Honeypots como Honeyd [31], no tiene capacidad para monitorear el espacio de direcciones IP sin uso, sino que él solo esta limitado a monitorear los puertos TCP predefinidos y la dirección IP que posee la computadora donde es instalado.. 30.

(51) Implementación de un sistema trampa. Capítulo 2. 2.2.2 Sistemas operativos y servicios simulados. Como se mencionó, la versión 8.0 de Specter tiene la capacidad de simular catorce sistemas operativos diferentes, los cuales se seleccionan en el panel de control mostrado en la figura 2.1. Los sistemas operativos simulados son los siguientes [29]:. 9 Windows 98. 9 NeTXStep. 9 Windows NT. 9 Irix. 9 Windows 2003. 9 Unisys Unix. 9 Windows XP. 9 AIX. 9 Linux. 9 MacOS. 9 Solaris. 9 MacOS X. 9 Tru64. 9 FreeBSD. También tiene la capacidad de simular siete servicios mencionados a continuación [37]: 9 FTP (File Transfer Protocol): este servicio se escucha por el puerto TCP 21 y es usado para la transferencia de archivos. Es extremadamente atacado por los intrusos de redes. 9 TELNET: este servicio se escucha por el puerto TCP 23 y es usado para la administración remota de sistemas. Es otro de los blancos más comunes de los intrusos de redes. 9 SMTP (Simple Mail Transfer Protocol): este servicio se escucha por el puerto TCP 25 y es usado para el envío y recibo de correo electrónico. Es un servicio que poseen casi todos los usuarios de muchas organizaciones y es uno de los blancos más atacados en cualquier red. 9 FINGER: este servicio se usa para ganar información acerca de usuarios remotos en el sistema. Se escucha en el puerto TCP 79.. 31.

(52) Implementación de un sistema trampa. Capítulo 2. 9 HTTP (Hyper Text Transfer Protocol): este servicio se escucha por el puerto TCP 80. De los servicios ofrecidos por Specter, este es el más atacado en la actualidad. 9 POP3 (Post Office Protocol): este servicio se usa por clientes que reciben correo electrónico y se escucha por el puerto TCP 110. 9 NETBUS: es un troyano de Windows y se escucha por el puerto TCP 12345.. Estos servicios simulados poseen características avanzadas; realmente interactúan con el atacante simulando ser una aplicación real. El nivel de simulación depende de cada uno de los servicios, y su comportamiento depende del sistema operativo seleccionado [37] [39].. Un ejemplo de ello es la simulación del servicio HTTP, el cual posibilita simular un simple servidor Web con páginas Webs estáticas. Otro ejemplo es el servicio FTP que permite a un atacante loguearse en el sistema y ejecutar algunos comandos básicos del servicio FTP. La mayoría de los intrusos utilizan la táctica de obtener los archivos que contienen contraseñas del sistema mediante el servicio FTP, con el objetivo de descifrar la información de las cuentas y contraseñas de los usuarios del sistema. Mediante la simulación del servicio FTP, Specter transfiere archivos de cuentas y contraseñas falsas, haciendo creer a los intrusos que los archivos son legítimos y que pertenecen a sistemas reales [39].. 2.2.3 Carácter de comportamiento. Specter se comporta de cinco formas diferentes, las cuales se seleccionan en su panel de control. Sólo se escoge una de las cinco personalidades a la vez, las cuales son: Accesible (Open), Fallido (Failing), Extraño (Strange), Agresivo (Aggressive) y Seguro (Secure). Cada una de estas personalidades afecta directamente cómo se simula el comportamiento de los servicios [29].. 32.

(53) Implementación de un sistema trampa. Capítulo 2. Por ejemplo: Accesible crea un sistema que tiene una variedad de servicios fácilmente accesibles, similar a las instalaciones hechas por defecto. Fallido actúa como si los servicios estuvieran mal configurados con errores de Software y Hardware. Extraño se porta de manera confusa, haciendo creer que el sistema lleva mucho tiempo funcionando y está desatendido. Agresivo se comporta revelando su verdadera identidad como un dispositivo de detección de intrusos y alerta al atacante de que su conexión ha sido detectada y logueada. Por último Seguro crea un sistema que se comporta denegando el acceso a cualquier servicio, haciendo creer que los servicios están bien configurados [29].. 2.2.4 Trampas y tipos de contraseñas. Las trampas no son servicios simulados, sino puertos predeterminados que escuchan, detectan y loguean cualquier conexión silenciosamente. Specter tiene seis trampas predefinidas y una trampa configurable para escuchar en cualquier puerto TCP que se desee, permitiendo adaptar al Honeypot a nuevas amenazas y escaneos [37].. Las trampas se seleccionan desde el panel de control al igual que los servicios, lo que permite seleccionar el puerto que se desea monitorear. Los seis puertos predefinidos como trampas son los siguientes [37]:. 9 DNS (Domain Name Service): usado para la resolución de nombres de dominios. Puerto TCP 53. 9 IMAP4 (Internet Message Access Protocol): protocolo usado por clientes que reciben correo electrónico. Puerto TCP 143. 9 SUN-RPC (Port mapper or Remote Procedure Call): puerto TCP 111. 9 SSH (Secure Shell Encrypted Protocol): protocolo encriptado usado para la administración remota de sistemas o transferencia de archivos. Puerto TCP 22. 9 SUB-7 (Windows Trojan): virus de Windows. Puerto TCP 27374. 9 BO2K (Windows Trojan): virus de Windows. Puerto TCP 54320. 33.

(54) Implementación de un sistema trampa. Capítulo 2. Specter posee también siete tipos de contraseñas que se seleccionan desde el panel de control como se muestra en la figura 2.1, de forma tal que sean fáciles o difíciles de adivinar por los atacantes que intenten crakear las mismas. Los tipos de contraseñas son [29]: 9 Easy: contraseñas fáciles de adivinar. 9 Normal: contraseñas no muy fáciles de adivinar. 9 Hard: contraseñas difíciles de adivinar. 9 Mean: contraseñas muy difíciles de adivinar. 9 Fun: contraseñas apropiadas. 9 Cheswick: contraseñas del libro “Firewills and Internet security” de William R. Cheswick. 9 Warning. 2.2.5 Tipos de alertas. Una de las características más fuertes de Specter no implementada en otros sistemas trampas, es la gran cantidad de opciones de alerta que posee. Tiene seis opciones de alerta, las cuales son [37]: 9 Alerta de correo electrónico 9 Alerta de correo electrónico pequeño 9 Incidencia a base de datos 9 Correo de estado 9 Registro de eventos 9 Mensajes de logueo remotos. Todas estas opciones de alerta se seleccionan desde el panel de control, pudiéndose seleccionar una de ellas, varias o todas a la vez.. 34.