HONEYNETS PARA DAR LUZ A
  PERFILES DE ATACANTES




Katherine Cancelado     @eepica
Andres Morantes       @poterpig
HONEYPOTS


●   Son recursos de red, como servidores,
    aplicaciones o servicios comprometidos que
    sirven como señue...
HONEYPOTS
CARACTERISTICAS
  –   Necesitan poco recurso de red, y recurso de
       maquina.
  –   Son usados para la recol...
HONEYPOTS
MITOS Y REALIDADES
  –   Una Honeypot no es un IDS
  –   Nos ayuda a recolectar información de
       personas m...
HONEYNET

Red de honeypots que se caracterizan por
una alta interacción simulando una
arquitectura de red con servicios y
...
CLASIFICACION
●   Producción
       –   Compromiso alto
       –   Compromiso medio
       –   Compromiso bajo
●   Investi...
DE PRODUCCION
COMPROMISO BAJO
COMPROMISO MEDIO
COMPROMISO ALTO
DE INVESTIGACION
HONEYNETS VIRTUALES
●   La idea de la creación de Honeynets
    virtuales es poder tener múltiples Honeypots
    dentro de...
HONEYNETS VIRTUALES
–   Desventajas:
        ●   Podría ser fácil detectar un escenario virtual
             para un ataca...
HONEYNETS VIRTUALES

    TIPOS DE HONEYNET VIRTUALES QUE SE
    PUEDEN CREAR.
●   Simulación
●   Virtualización Completa y...
HONEYNET VIRTUALES
●   Simulación: es capaz de simular una maquina completa, con
    características especiales, por ejemp...
HONEYNETS VIRTUALES
●   VIRTUALIZACION
    Simulación de múltiples sistemas operativos
    que se ejecutan desde una sola ...
HONEYNETS VIRTUALES

Virtualización Completa:
     La maquina virtual simula poseer distintos tipos
      de hardware para...
HONEYNETS VIRTUALES
Virtualización Nativa:
     Es aquella virtualización que toma recursos
      de la máquina anfitriona...
HONEYNETS VIRTUALES
Hypervirtualización
   –   Llamado así por su plataforma de
         virtualización Hypervisor (en ing...
HONEYNETS VIRTUALES



Figura 3. Esquema de hypervirtualización Vmware




Figura 4. Esquema de hypervirtualizacion XEN
HONEYNETS
HONEYWALL
   Proyecto que se dedica al estudio de honeynets de
     alta interacción. Este proyecto reúne una gr...
HONEYNETS
HONEYWALL
  –   Ejemplos de configuración:
      GEN II
HONEYNETS
HONEYWALL
   GEN III (Sebek)
UBICACIÓN DE LOS HONEYPOT:
    ANTES DEL FIREWALL
UBICACIÓN DE LOS HONEYPOT:
   DESPUES DEL FIREWALL
UBICACIÓN DE LOS HONEYPOT:
        EN LA DMZ
HONEYD
●   Es un demonio que permite la creación de
    múltiples host que simulando una red, con
    múltiples    vulnera...
MWCOLLECT
●   Es un interesante proyecto que actualmente
    esta   conformado     por   Nephentes    y
    Honeytrap.
   ...
IDS
●   Intrusion Detection System:
       –   Modelo o recurso de seguridad, que
            recolecta y analiza informac...
IPS
●   Intrusion Prevention System:
       –   Dispositivo (Hardware o Software) cuyo
            objetivo es detectar at...
PREGUNTAS ?
GRACIAS!!

        # init 0
REFERENCIAS
●   Experiencias de Virtualización en CICA, Juan Carlos Rubio Pineda,
    http://www.slideshare.net/jcrubio/vi...
Upcoming SlideShare
Loading in …5
×

Honeypots para dar a luz perfiles de atacantes

2,328 views

Published on

CParty 2010

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,328
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Honeypots para dar a luz perfiles de atacantes

  1. 1. HONEYNETS PARA DAR LUZ A PERFILES DE ATACANTES Katherine Cancelado @eepica Andres Morantes @poterpig
  2. 2. HONEYPOTS ● Son recursos de red, como servidores, aplicaciones o servicios comprometidos que sirven como señuelos para ser atacados y poder capturar eventos.
  3. 3. HONEYPOTS CARACTERISTICAS – Necesitan poco recurso de red, y recurso de maquina. – Son usados para la recolección de datos de un objetivo específicamente, como un sistema operativo comprometido, una aplicación comprometida, etc – Disminuye la cantidad de falsos positivos. – Generan riesgos muy altos para la red, los atacantes pueden usar estos honeypots en contra de la red.
  4. 4. HONEYPOTS MITOS Y REALIDADES – Una Honeypot no es un IDS – Nos ayuda a recolectar información de personas mal intencionadas – No es un recurso que ayuda a proteger la red. – No hará que un atacante se fije en su red.
  5. 5. HONEYNET Red de honeypots que se caracterizan por una alta interacción simulando una arquitectura de red con servicios y aplicaciones .
  6. 6. CLASIFICACION ● Producción – Compromiso alto – Compromiso medio – Compromiso bajo ● Investigación – Emulación y virtualizacion – Hipervirtualizacion
  7. 7. DE PRODUCCION
  8. 8. COMPROMISO BAJO
  9. 9. COMPROMISO MEDIO
  10. 10. COMPROMISO ALTO
  11. 11. DE INVESTIGACION
  12. 12. HONEYNETS VIRTUALES ● La idea de la creación de Honeynets virtuales es poder tener múltiples Honeypots dentro de un mismo anfitrión. – Ventajas: ● Múltiples Sistemas Operativos corriendo bajo un mismo host ● Generan un gran volumen de información bajo una zona controlada. ● Mayor flexibilidad en el uso de honeypots ● Disminución de costos en la creación de Honeypots
  13. 13. HONEYNETS VIRTUALES – Desventajas: ● Podría ser fácil detectar un escenario virtual para un atacante. ● Podría disminuir la interacción entre el atacante y la Honeynet.
  14. 14. HONEYNETS VIRTUALES TIPOS DE HONEYNET VIRTUALES QUE SE PUEDEN CREAR. ● Simulación ● Virtualización Completa y Nativa ● Hypervirtualización o Paravirtualización
  15. 15. HONEYNET VIRTUALES ● Simulación: es capaz de simular una maquina completa, con características especiales, por ejemplo ram, procesador tarjeta de vídeo,etc. Quemu: es un emulador de procesadores basado en la traducción dinámica de binarios (conversión del código binario de la arquitectura fuente en código entendible por la arquitectura huésped). VENTAJAS ● Opensource ● Multiarquitectura: x86, x86-64, PowerPC, MIPS, SPARC, etc. DESVENTAJAS ● Es un poco mas lento que los simuladores tradicionales
  16. 16. HONEYNETS VIRTUALES ● VIRTUALIZACION Simulación de múltiples sistemas operativos que se ejecutan desde una sola maquina anfitriona. ● Virtualizacion Completa ● Virtualizacion Nativa
  17. 17. HONEYNETS VIRTUALES Virtualización Completa: La maquina virtual simula poseer distintos tipos de hardware para ser detectados dentro de un Sistema Operativo aislado virtualizado. Ejemplos: ● Vmware ● Virtualbox ● Openvz ●
  18. 18. HONEYNETS VIRTUALES Virtualización Nativa: Es aquella virtualización que toma recursos de la máquina anfitriona combinándolo con la virtualización, esto gracias a los nuevos procesadores AMD-V, Intel-VT. ● Ejemplos: – Virtualbox – Vmware Workstation – Vmware Server – KVM-Quemu
  19. 19. HONEYNETS VIRTUALES Hypervirtualización – Llamado así por su plataforma de virtualización Hypervisor (en ingles) el cual permite usar múltiples sistemas operativos en un mismo host anfitrión
  20. 20. HONEYNETS VIRTUALES Figura 3. Esquema de hypervirtualización Vmware Figura 4. Esquema de hypervirtualizacion XEN
  21. 21. HONEYNETS HONEYWALL Proyecto que se dedica al estudio de honeynets de alta interacción. Este proyecto reúne una gran información, códigos fuentes y documentación para el estudio del mismo. Posee además de esto una recolección de herramientas para la creación y estudio de honeynets recopiladas en un CDROM llamado Honestar.
  22. 22. HONEYNETS HONEYWALL – Ejemplos de configuración: GEN II
  23. 23. HONEYNETS HONEYWALL GEN III (Sebek)
  24. 24. UBICACIÓN DE LOS HONEYPOT: ANTES DEL FIREWALL
  25. 25. UBICACIÓN DE LOS HONEYPOT: DESPUES DEL FIREWALL
  26. 26. UBICACIÓN DE LOS HONEYPOT: EN LA DMZ
  27. 27. HONEYD ● Es un demonio que permite la creación de múltiples host que simulando una red, con múltiples vulnerabilidades, entre sus características se destacan sus mecanismos para detección y análisis de amenazas.
  28. 28. MWCOLLECT ● Es un interesante proyecto que actualmente esta conformado por Nephentes y Honeytrap. – Nephentes: Herramienta para captura de malware por medio de la simulación de vulnerabilidades, actúa pasivamente. – Honeytrap: Honeypot de baja interacción, especializado en la observación de servicios TCP
  29. 29. IDS ● Intrusion Detection System: – Modelo o recurso de seguridad, que recolecta y analiza información recolectada de espacios de red o hosts específicos de la misma, con el fin de identificar posibles fallos de seguridad. – Tipos de IDS ● HIDS: Host IDS ● NIDS: Network IDS – Signature based NIDS – Anomaly based NIDS – Protocol modeling NIDS
  30. 30. IPS ● Intrusion Prevention System: – Dispositivo (Hardware o Software) cuyo objetivo es detectar ataques conocidos o no conocidos y reaccionar ante ellos, impidiendo el éxito de los mismos, la cual es su característica principal. – Podrían considerarse la evolución de sistemas como Firewall y los anteriormente nombrados IDS.
  31. 31. PREGUNTAS ?
  32. 32. GRACIAS!! # init 0
  33. 33. REFERENCIAS ● Experiencias de Virtualización en CICA, Juan Carlos Rubio Pineda, http://www.slideshare.net/jcrubio/virtualizacion-1607987 ● Honeypots, herramientas forenses para trazar perfiles del enemigo, Armando Carvajal, http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSegu ● Linux virtualization and PCI passthrough, http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/ ● Virtualizacion All plataforms, http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/ ● Proyecto Honeynet,http://www.ibm.com/developerworks/linux/library/l-pci- passthrough/ ● Libro Seguridad en Redes IP, Gabriel Verdejo Alvarez

×