Your SlideShare is downloading. ×
Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010

1,901
views

Published on

Published in: Technology

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,901
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
64
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. HONEYNET PARA DAR A LUZ PERFILES DE ATACANTES Katherine Cancelado Andres Morantes @eepica @poterpig
  • 2. INTRODUCION
    • La seguridad total no existe y las vulnerabilidades se descubren cuando son explotadas. Esta es la idea general de nuestra charla, en la cual intentaremos mostrar como, a partir del uso de recursos de red como honeypots y honeynets, se pueden descubrir vulnerabilidades, perfilar atacantes y espiar a quienes nos espian.
  • 3. ATAQUE
  • 4. VULNERABILIDAD Debilidad de seguridad en un sistema informático .
  • 5. ATAQUES Y ESTADISTICAS
  • 6. ATAQUES Y ESTADISTICAS
  • 7. ATAQUES Y ESTADISTICAS
  • 8. HONEYPOTS
    • Son recursos de red, como servidores, aplicaciones o servicios comprometidos que sirven como señuelos para ser atacados y poder capturar eventos.
  • 9. HONEYPOTS
      CARACTERISTICAS
      • Necesitan poco recurso de red, y recurso de maquina.
      • 10. Son usados para la recolección de datos de un objetivo específicamente, como un sistema operativo comprometido, una aplicación comprometida, etc
      • 11. Disminuye la cantidad de falsos positivos.
      • 12. Generan riesgos muy altos para la red, los atacantes pueden usar estos honeypots en contra de la red.
  • 13. HONEYPOTS
      MITOS Y REALIDADES
      • Una Honeypot no es un IDS
      • 14. Nos ayuda a recolectar información de personas mal intencionadas
      • 15. No es un recurso que ayuda a proteger la red.
      • 16. No hará que un atacante se fije en su red,
  • 17. HONEYNET
    • Red de honeypots que se caracterizan por una alta interaccion simulando una arquitectura de red con servicios y aplicaciones.
  • 18. CLASIFICACION
    • Produccion
      • Compromiso alto
      • 19. Compromiso medio
      • 20. Compromiso bajo
    • Investigación
      • Emulacion y virtualizacion
      • 21. Hipervirtualizacion
  • 22. DE PRODUCCION
  • 23. HONEYPOTS DE PRODUCCION: COMPROMISO BAJO
  • 24. HONEYPOTS DE PRODUCCION: COMPROMISO MEDIO
  • 25. HONEYPOTS DE PRODUCCION: COMPROMISO ALTO
  • 26. DE INVESTIGACION
  • 27. HONEYNETS VIRTUALES
    • La idea de la creación de Honeynets virtuales es poder tener múltiples Honeypots dentro de un mismo anfitrión.
      • Ventajas:
        • Múltiples Sistemas Operativos corriendo bajo un mismo host
        • 28. Generan un gran volumen de información bajo una zona controlada.
        • 29. Mayor flexibilidad en el uso de honeypots
        • 30. Disminución de costos en la creación de Honeypots
  • 31. HONEYNETS VIRTUALES
      • Desventajas:
        • Podría ser fácil detectar un escenario virtual para un atacante.
        • 32. Podría disminuir la interacción entre el atacante y la Honeynet.
  • 33. HONEYNETS VIRTUALES
      CLASIFICACION:
    • Simulación
    • 34. Virtualización Completa y Nativa
    • 35. Hypervirtualización o Paravirtualización
  • 36. HONEYNET VIRTUALES
    • Simulación: es capaz de simular una maquina completa, con características especiales, por ejemplo ram, procesador tarjeta de vídeo,etc.
    • 37. Quemu: es un emulador de procesadores basado en la traducción dinámica de binarios (conversión del código binario de la arquitectura fuente en código entendible por la arquitectura huésped).
      • VENTAJAS
        • Opensource
        • 38. Multiarquitectura: x86, x86-64, PowerPC, MIPS, SPARC, etc.
      • DESVENTAJAS
        • Es un poco mas lento que los simuladores tradicionales
  • 39. HONEYNETS VIRTUALES
    • VIRTUALIZACION
    • 40. Simulación de múltiples sistemas operativos que se ejecutan desde una sola maquina anfitriona.
          • Virtualizacion Completa
          • 41. Virtualizacion Nativa
  • 42. HONEYNETS VIRTUALES
      Virtualización Completa:
        La maquina virtual simula poseer distintos tipos de hardware para ser detectados dentro de un Sistema Operativo aislado virtualizado. Ejemplos:
  • 45. HONEYNETS VIRTUALES
      Virtualización Nativa:
        Es aquella virtualización que toma recursos de la máquina anfitriona combinandolo con la virtualización, esto gracias a los nuevos procesadores AMD-V, Intel-VT.
        • Ejemplos:
  • 49. HONEYNETS VIRTUALES
      Hypervirtualización
      • Llamado así por su plataforma de virtualización Hypervisor (en ingles) el cual permite usar múltiples sistemas operativos en un mismo host anfitrión
  • 50. HONEYNETS VIRTUALES Esquema de hypervirtualización Vmware Esquema de hypervirtualizacion XEN
  • 51. HONEYNETS
      HONEYWALL
        Proyecto que se dedica al estudio de honeynets de alta interacción. Este proyecto reune una gran información, codigos fuentes y documentación para el estudio del mismo. Posee además de esto una recolección de herramientas para la creación y estudio de honeynets recopiladas en un CDROM llamado Honeywall.
  • 52. HONEYNETS
      HONEYWALL
      • Ejemplos de configuración:
      • 53. GEN II
  • 54. HONEYNETS
      HONEYWALL
        GEN III (Sebek)
  • 55. Ubicación de los honeypot: Antes del Firewall
  • 56. Ubicación de los honeypot: Despues del Firewall
  • 57. Ubicación de los Honeypot: En la DMZ
  • 58. HoneyD
    • Es un demonio que permite la creacion de multiples hosts que simulando una red, con multiples vulnerabilidades, entre sus caracteristicas se destacan sus mecanismos para Detección y analisis de amenazas.
  • 59. MWCOLLECT
    • Es un interesante proyecto que actualmente esta conformado por Nephentes y Honeytrap.
      • Nephentes: Herramienta de captura de malware por medio de simulacion de vulnerabilidades, actua pasivamente.
      • 60. Honeytrap: Honeypot de baja interaccion, especializado en la observacion de servicios TCP.
  • 61. IDS
    • Intrusion Detection System:
      • Modelo o recurso de seguridad, que recolecta y analiza informacion recolectada de espacios de red o hosts especificos de la misma, con el fin de identificar posibles fallos de seguridad.
      • 62. Tipos de IDS
        • HIDS: Host IDS
        • 63. NIDS: Network IDS
          • Signature based NIDS
          • 64. Anomaly based NIDS
          • 65. Protocol modeling NIDS
  • 66. IPS
    • Intrusion Prevention System:
      • Dispositivo (Hardware o Software) cuyo objetivo es detectar ataques conocidos o no conocidos y reaccionar ante ellos, impidiendo el éxito de los mismos, la cual es su caracteristica principal.
      • 67. Podrian considerarse la evolucion de sistemas como Firewall y los anteriormente nombrados IDS.
  • 68. Referencias
    • Experiencias de Virtualización en CICA, Juan Carlos Rubio Pineda, http://www.slideshare.net/jcrubio/virtualizacion-1607987
    • 69. Honeypots, herramientas forenses para trazar perfiles del enemigo, Armando Carvajal, http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIJNSI_ACarvajal.pdf
    • 70. Linux virtualization and PCI passthrough, http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/
    • 71. Virtualizacion All plataforms, http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/
    • 72. Proyecto Honeynet,http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/

×