HONEYNET PARA DAR A LUZ PERFILES DE ATACANTES Katherine Cancelado Andres Morantes @eepica @poterpig
INTRODUCION <ul><li>La seguridad total no existe y las vulnerabilidades se descubren cuando son explotadas. Esta es la ide...
ATAQUE
VULNERABILIDAD Debilidad de seguridad en un sistema informático .
ATAQUES Y ESTADISTICAS
ATAQUES Y ESTADISTICAS
ATAQUES Y ESTADISTICAS
HONEYPOTS <ul><li>Son recursos de red, como servidores, aplicaciones o servicios comprometidos que sirven como señuelos pa...
HONEYPOTS <ul>CARACTERISTICAS <ul><li>Necesitan poco recurso de red, y recurso de maquina.
Son usados para la recolección de datos de un objetivo específicamente, como un sistema operativo comprometido, una aplica...
Disminuye la cantidad de falsos positivos.
Generan riesgos muy altos para la red, los atacantes pueden usar estos honeypots en contra de la red. </li></ul></ul>
HONEYPOTS <ul>MITOS Y REALIDADES <ul><li>Una Honeypot no es un IDS
Nos ayuda a recolectar información de personas mal intencionadas
No es un recurso que ayuda a proteger la red.
No hará que un atacante se fije en su red, </li></ul></ul>
HONEYNET <ul><li>Red de honeypots que se caracterizan por una alta interaccion simulando una arquitectura de red con servi...
CLASIFICACION <ul><li>Produccion </li><ul><li>Compromiso alto
Compromiso medio
Compromiso bajo </li></ul><li>Investigación </li><ul><li>Emulacion y virtualizacion
Hipervirtualizacion </li></ul></ul>
DE PRODUCCION
HONEYPOTS DE PRODUCCION: COMPROMISO BAJO
HONEYPOTS DE PRODUCCION: COMPROMISO MEDIO
HONEYPOTS DE PRODUCCION: COMPROMISO ALTO
DE INVESTIGACION
HONEYNETS VIRTUALES <ul><li>La idea de la creación de Honeynets virtuales es poder tener múltiples Honeypots dentro de un ...
Generan un gran volumen de información bajo una zona controlada.
Mayor flexibilidad en el uso de honeypots
Disminución de costos en la creación de Honeypots </li></ul></ul></ul>
HONEYNETS VIRTUALES <ul><ul><li>Desventajas: </li><ul><li>Podría ser fácil detectar un escenario virtual para un atacante.
Podría disminuir la interacción entre el atacante y la Honeynet. </li></ul></ul></ul>
HONEYNETS VIRTUALES <ul>CLASIFICACION: <li>Simulación
Virtualización Completa y Nativa
Hypervirtualización o Paravirtualización </li></ul>
HONEYNET  VIRTUALES <ul><li>Simulación: es capaz de simular una maquina completa, con características especiales, por ejem...
Quemu: es un emulador de procesadores basado en la traducción dinámica de binarios (conversión del código binario de la ar...
Upcoming SlideShare
Loading in …5
×

Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010

2,166 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,166
On SlideShare
0
From Embeds
0
Number of Embeds
512
Actions
Shares
0
Downloads
76
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010

  1. 1. HONEYNET PARA DAR A LUZ PERFILES DE ATACANTES Katherine Cancelado Andres Morantes @eepica @poterpig
  2. 2. INTRODUCION <ul><li>La seguridad total no existe y las vulnerabilidades se descubren cuando son explotadas. Esta es la idea general de nuestra charla, en la cual intentaremos mostrar como, a partir del uso de recursos de red como honeypots y honeynets, se pueden descubrir vulnerabilidades, perfilar atacantes y espiar a quienes nos espian. </li></ul>
  3. 3. ATAQUE
  4. 4. VULNERABILIDAD Debilidad de seguridad en un sistema informático .
  5. 5. ATAQUES Y ESTADISTICAS
  6. 6. ATAQUES Y ESTADISTICAS
  7. 7. ATAQUES Y ESTADISTICAS
  8. 8. HONEYPOTS <ul><li>Son recursos de red, como servidores, aplicaciones o servicios comprometidos que sirven como señuelos para ser atacados y poder capturar eventos. </li></ul>
  9. 9. HONEYPOTS <ul>CARACTERISTICAS <ul><li>Necesitan poco recurso de red, y recurso de maquina.
  10. 10. Son usados para la recolección de datos de un objetivo específicamente, como un sistema operativo comprometido, una aplicación comprometida, etc
  11. 11. Disminuye la cantidad de falsos positivos.
  12. 12. Generan riesgos muy altos para la red, los atacantes pueden usar estos honeypots en contra de la red. </li></ul></ul>
  13. 13. HONEYPOTS <ul>MITOS Y REALIDADES <ul><li>Una Honeypot no es un IDS
  14. 14. Nos ayuda a recolectar información de personas mal intencionadas
  15. 15. No es un recurso que ayuda a proteger la red.
  16. 16. No hará que un atacante se fije en su red, </li></ul></ul>
  17. 17. HONEYNET <ul><li>Red de honeypots que se caracterizan por una alta interaccion simulando una arquitectura de red con servicios y aplicaciones. </li></ul>
  18. 18. CLASIFICACION <ul><li>Produccion </li><ul><li>Compromiso alto
  19. 19. Compromiso medio
  20. 20. Compromiso bajo </li></ul><li>Investigación </li><ul><li>Emulacion y virtualizacion
  21. 21. Hipervirtualizacion </li></ul></ul>
  22. 22. DE PRODUCCION
  23. 23. HONEYPOTS DE PRODUCCION: COMPROMISO BAJO
  24. 24. HONEYPOTS DE PRODUCCION: COMPROMISO MEDIO
  25. 25. HONEYPOTS DE PRODUCCION: COMPROMISO ALTO
  26. 26. DE INVESTIGACION
  27. 27. HONEYNETS VIRTUALES <ul><li>La idea de la creación de Honeynets virtuales es poder tener múltiples Honeypots dentro de un mismo anfitrión. </li><ul><li>Ventajas: </li><ul><li>Múltiples Sistemas Operativos corriendo bajo un mismo host
  28. 28. Generan un gran volumen de información bajo una zona controlada.
  29. 29. Mayor flexibilidad en el uso de honeypots
  30. 30. Disminución de costos en la creación de Honeypots </li></ul></ul></ul>
  31. 31. HONEYNETS VIRTUALES <ul><ul><li>Desventajas: </li><ul><li>Podría ser fácil detectar un escenario virtual para un atacante.
  32. 32. Podría disminuir la interacción entre el atacante y la Honeynet. </li></ul></ul></ul>
  33. 33. HONEYNETS VIRTUALES <ul>CLASIFICACION: <li>Simulación
  34. 34. Virtualización Completa y Nativa
  35. 35. Hypervirtualización o Paravirtualización </li></ul>
  36. 36. HONEYNET VIRTUALES <ul><li>Simulación: es capaz de simular una maquina completa, con características especiales, por ejemplo ram, procesador tarjeta de vídeo,etc.
  37. 37. Quemu: es un emulador de procesadores basado en la traducción dinámica de binarios (conversión del código binario de la arquitectura fuente en código entendible por la arquitectura huésped). </li><ul><li>VENTAJAS </li><ul><li>Opensource
  38. 38. Multiarquitectura: x86, x86-64, PowerPC, MIPS, SPARC, etc. </li></ul><li>DESVENTAJAS </li><ul><li>Es un poco mas lento que los simuladores tradicionales </li></ul></ul></ul>
  39. 39. HONEYNETS VIRTUALES <ul><li>VIRTUALIZACION
  40. 40. Simulación de múltiples sistemas operativos que se ejecutan desde una sola maquina anfitriona. </li><ul><ul><ul><li>Virtualizacion Completa
  41. 41. Virtualizacion Nativa </li></ul></ul></ul></ul>
  42. 42. HONEYNETS VIRTUALES <ul>Virtualización Completa: <ul>La maquina virtual simula poseer distintos tipos de hardware para ser detectados dentro de un Sistema Operativo aislado virtualizado. Ejemplos: <ul><li>Vmware
  43. 43. Virtualbox
  44. 44. Openvz </li></ul></ul></ul>
  45. 45. HONEYNETS VIRTUALES <ul>Virtualización Nativa: <ul>Es aquella virtualización que toma recursos de la máquina anfitriona combinandolo con la virtualización, esto gracias a los nuevos procesadores AMD-V, Intel-VT. <ul><li>Ejemplos: </li><ul><li>Virtualbox
  46. 46. Vmware Workstation
  47. 47. Vmware Server
  48. 48. KVM-Quemu </li></ul></ul></ul></ul>
  49. 49. HONEYNETS VIRTUALES <ul>Hypervirtualización <ul><li>Llamado así por su plataforma de virtualización Hypervisor (en ingles) el cual permite usar múltiples sistemas operativos en un mismo host anfitrión </li></ul></ul>
  50. 50. HONEYNETS VIRTUALES Esquema de hypervirtualización Vmware Esquema de hypervirtualizacion XEN
  51. 51. HONEYNETS <ul>HONEYWALL <ul>Proyecto que se dedica al estudio de honeynets de alta interacción. Este proyecto reune una gran información, codigos fuentes y documentación para el estudio del mismo. Posee además de esto una recolección de herramientas para la creación y estudio de honeynets recopiladas en un CDROM llamado Honeywall. </ul></ul>
  52. 52. HONEYNETS <ul>HONEYWALL <ul><li>Ejemplos de configuración:
  53. 53. GEN II </li></ul></ul>
  54. 54. HONEYNETS <ul>HONEYWALL <ul>GEN III (Sebek) </ul></ul>
  55. 55. Ubicación de los honeypot: Antes del Firewall
  56. 56. Ubicación de los honeypot: Despues del Firewall
  57. 57. Ubicación de los Honeypot: En la DMZ
  58. 58. HoneyD <ul><li>Es un demonio que permite la creacion de multiples hosts que simulando una red, con multiples vulnerabilidades, entre sus caracteristicas se destacan sus mecanismos para Detección y analisis de amenazas. </li></ul>
  59. 59. MWCOLLECT <ul><li>Es un interesante proyecto que actualmente esta conformado por Nephentes y Honeytrap. </li><ul><li>Nephentes: Herramienta de captura de malware por medio de simulacion de vulnerabilidades, actua pasivamente.
  60. 60. Honeytrap: Honeypot de baja interaccion, especializado en la observacion de servicios TCP. </li></ul></ul>
  61. 61. IDS <ul><li>Intrusion Detection System: </li><ul><li>Modelo o recurso de seguridad, que recolecta y analiza informacion recolectada de espacios de red o hosts especificos de la misma, con el fin de identificar posibles fallos de seguridad.
  62. 62. Tipos de IDS </li><ul><li>HIDS: Host IDS
  63. 63. NIDS: Network IDS </li><ul><li>Signature based NIDS
  64. 64. Anomaly based NIDS
  65. 65. Protocol modeling NIDS </li></ul></ul></ul></ul>
  66. 66. IPS <ul><li>Intrusion Prevention System: </li><ul><li>Dispositivo (Hardware o Software) cuyo objetivo es detectar ataques conocidos o no conocidos y reaccionar ante ellos, impidiendo el éxito de los mismos, la cual es su caracteristica principal.
  67. 67. Podrian considerarse la evolucion de sistemas como Firewall y los anteriormente nombrados IDS. </li></ul></ul>
  68. 68. Referencias <ul><li>Experiencias de Virtualización en CICA, Juan Carlos Rubio Pineda, http://www.slideshare.net/jcrubio/virtualizacion-1607987
  69. 69. Honeypots, herramientas forenses para trazar perfiles del enemigo, Armando Carvajal, http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIJNSI_ACarvajal.pdf
  70. 70. Linux virtualization and PCI passthrough, http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/
  71. 71. Virtualizacion All plataforms, http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/
  72. 72. Proyecto Honeynet,http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/ </li></ul>

×