Este documento describe el uso de honeynets como plataforma de investigación de seguridad en entidades educativas. Las honeynets permiten recopilar información sobre ataques y atacantes al permitir la interacción controlada con ellos. Esto ayuda a identificar amenazas emergentes y mejorar las medidas de seguridad de la red. Las honeynets también pueden usarse para la creación de políticas de seguridad, análisis de intrusiones, seminarios de investigación y más. Se requiere dedicar recursos como equipos y personal para implementar
2.
Introducción
Las redes de datos fueron creadas con el
ideal de permitir acceso a la información,
contenida diferentes equipos de computo,
desde cualquier parte “del mundo”.
No sólo se trata de acceso, también de
compartir y difundir información importante
para nosotros y quienes nos rodean.
5.
Ataques
Todas aquellas acciones
que violan la seguridad de
nuestro sistema afectando
la confidencialidad,
integridad o disponibilidad
de nuestros datos o
servicios
6.
Tipos de Ataques
●Interrupción
●Modificación
●Fabricación
---------------------------------
●Autentificación
●Escaneo de puertos
●Explotación de errores
●Denegación de servicio (DoS)
---------------------------------
●La historia continuará [...]
7.
Ahora si, manos a la obra!
Ingresemos al mundo de: “Haste el amigo
de tu enemigo, conocelo y aprende a
defenderte!”
8.
El arte de la paz - Morihei Ueshiba.
No claves la vista en los ojos de tu oponente:
Él te hipnotizará.
No claves tu mirada en su espada:
Él te podrá intimidar.
No te enfoques completamente en tu oponente:
Él podrá absorber tu energía.
La esencia del entrenamiento es traer a tu oponente
completamente hacia tu esfera.
… Entonces podrás pararte justo donde quieras.
9.
Recursos de red
●Todo aquello que forme parte de una red de
datos y tenga un fin dentro de la misma.
● Impresoras
● Documentos
● Routers
● Switches
● Snifers
● Otros...
10.
Honeypots
Recurso de red, cuyo objetivo es ser
comprometido.
Uno de sus principales objetivos es ser
señuelos para atacantes en busca de
sistemas vulnerables, permitiendo obtener
información acerca de métodos de intrusión,
objetivos, motivos y movimientos del atacante;
entre otros.
11.
Honeynets
Conjunto de honeypots, que intractúan a
través de una arquitectura de red. Se
caracterizan por tener múltiples servidores,
con múltiples servicios y aplicaciones
vulnerables.
El permitir una mayor interacción, llamará más
la atención de atacantes.
12.
Pros y contras
● Pueden dar paso a
servicios y
aplicaciones reales
sino tiene el control
suficiente
● Lo que no esté en la
honeynet, no podrá
ser detectado
● Permite la detección
de nuevos tipos de
ataques (Día cero)
● Permiten y facilitan
la captura, control y
análisis de datos
● Los recursos a usar
los determinamos
nosotros!
13.
A tener en cuenta:
● Se requiere de MÍNIMO una dirección IP
● No es un IDS
● No hará más segura tu red
● Hará más insegura tu red si no tienes los
controles necesarios
● Requiere de administración
17.
Tipos de honeypots
● Producción
– Compromiso
Alto
– Compromiso
medio
– Compromiso
bajo
● Investigación
– Emulación y
virtualización
– Paravirtualización
18.
Honeypots de producción
●Su objetivo es la seguridad de las redes y la
defensa ante ataques.
●No se han diseñado para recoger información
sobre las actividades de hacking.
22.
Honeypots de investigación
●Su objetivo principal es recopilar información acerca de los atacantes y
los programas maliciosos.
●Por lo general son gestionados por las instituciones educativas u
organizaciones sin fines de lucro de investigación
●Se utilizan para obtener una visión más clara en Internet "sombrero
negro" operaciones, estrategias y motivaciones.
●El objetivo último es identificar las amenazas y encontrar la manera de
hacerles frente con mayor eficacia.
●Son difíciles de administrar e implementar, pero son capaces de reunir
una gran cantidad de información.
●Esta es la razón por la que se utilizan principalmente por las
organizaciones gubernamentales, militares y organismos de investigación
que tienen los recursos para administrar e implementar ellos.
23.
Opciones honeypots para
honeynets
●Honeyd
●Honeytrap
●Nephentes
●Mwcollect
●[Continuará...]
24.
Honeynets y proyectos educativos
●Honeynet Alliance
●Instituto de Tecnología de Georgia (Georgia
Tech)
●Honeynet UNAM
●Universidad Tecnica Particular de Loja
●Escuela Superior Politécnica del Litoral
●Proyecto Honeynet Ecuador. Universidad
Federico Santa María
●Universidad Pontifica Bolivarana
●Muchas más!
26.
¿Cómo justificar la implementación de una
honeynet en una entidad educativa?
●Creación de políticas de seguridad para la
universidad
●Mejora en la implementación de medidas
correctivas y preventivas de intrusiones y ataques
●Análisis de intrusiones
●Análisis de ataques
●Análisis de protocolos de red
●Semilleros de investigación en seguridad y redes
de datos
● Etc, etc, etc, etc...
27.
¿Qué se necesita para
implementar una honeynet?
●Un grupo que esté dispuesto a dedicar un
poco de su tiempo a la investigación
●Mínimo una máquina para ser comprometida
●Un objetivo
●Ganas!
30.
Referencias:
●Presentación: Honeynet para dar a luz perfiles de atacantes, Campus Party Colombia 2010 –
Andrés Morantes y Katherine Cancelado.
http://www.slideshare.net/eepica/honeynet-para-dar-a-luz-perfiles-de-atacantes-cparty-colombia-2010
●Proyecto Honeynet UNAM http://www.honeynet.unam.mx/
●Instituto de Tecnología de Georgia (Georgia Tech)
http://users.ece.gatech.edu/owen/Research/HoneyNet/HoneyNet_home.htm
●Universidad Tecnica Particular de Loja http://www.utpl.edu.ec/honeynet/
●Escuela Superior Politécnica del Litoral
http://www.dspace.espol.edu.ec/bitstream/123456789/4203/1/6722.pdf
●Proyecto Honeynet Ecuador. Universidad Federico Santa María
http://www.ecuadory.com/ecuador-ecuador/proyecto-honeynet-ecuador.html?pagina=50
● The Honeynet Project www.honeynet.org/
●Honeypot – TopBits http://www.tech-faq.com/es/honeypot.html
●Conoce a tu enemigo:
●Redes trampa en universidades http://his.sourceforge.net/honeynet/papers/edu/
Editor's Notes
· Interrupción: cuando un recurso del sistema es destruido o se vuelve no disponible.
· Intercepción: una entidad no autorizada consigue acceso a un recurso.
· Modificación alguien no autorizado consigue acceso a una información y es capaz de
manipularla.
· Fabricación: cuando se insertan objetos falsificados en el sistema. También se
pueden ordenar por modalidades de ataque según la forma de actuar:
· Escaneo de puertos: esta técnica consiste en buscar puertos abiertos, y fijarse en los
que puedan ser receptivos o de utilidad.
· Ataques de autentificación: cuando un atacante suplanta a una persona con autorización.
· Explotación de errores: suceden en el momento que se encuentran agujeros de seguridad en los sistemas
operativos, protocolos de red o aplicaciones.
· Ataques de denegación de servicio (DoS): consiste en saturar un servidor con pedidos falsos hasta dejarlo
fuera de servicio.