Charla honeypots

HONEYPOTS Y HONEYNETSACADEMIA MADESYP · PEDRO C

HONEYPOTS Y HONEYNETS · PEDRO C

AGENDA:AGENDA:•INTRODUCCION

•HONEYPOT “Tarro de miel”

•HONEYNET “Red de tarros”

•ASPECTOS LEGALES

•MANOS A LA OBRA

•PREGUNTAS


INTRODUCCIONINTRODUCCION•¿ME ATACAN REALMENTE DESDE INTERNET?

•NO, en Internet no hay mal@s

•Estoy completamente seguro con mi cortafuegos y no necesito nada más en mi red


INTRODUCCIONINTRODUCCION•¿ME ATACAN REALMENTE DESDE LA RED INTERNA?

•NO, los usuarios nunca hacen nada

•Mis usuarios nunca mienten

•A mis usuarios no les interesa mi información


INTRODUCCIONINTRODUCCION•CONOCE A TU ENEMIGO como a ti mismo…

•孙子•Sun Tzu

•孫子兵法

•“El arte de la guerra”


HONEYPOTSHONEYPOTS


HONEYPOTHONEYPOT•Recurso de red destinado a ser atacado o comprometido, de tal forma que un “atacante” puede acceder, examinar y comprometer el “tarro de miel” proporcionando información muy valiosa antes que comprometa un sistema real


HONEYPOTHONEYPOT•Es un sistema “trampa” diseñado para imitar el comportamiento de uno real que pudiera ser de interés para un atacante

•Suelen contar con mecanismos de protección para que un atacante no “rompa todo”


HONEYPOTHONEYPOT•Su finalidad NO es resolver o arreglar las carencias de seguridad

•Su finalidad es aprender qué nos hacen cuando nos atacan

•Muchas veces logramos desviar la atención sobre un sistema real


HONEYPOTHONEYPOT•Debe incitar a los atacantes a entrar en la red

•El nivel de complejidad debe ser adecuado para atraerlos y no exagerado para no desalentarlos

•Debe ofrecer cosas atractivas para los atacantes


HONEYPOTHONEYPOT•No es un IDS aunque puede usarlo como herramienta de apoyo

•Se diseña para engañar a los intrusos, estudiar sus actividades y aprender sus métodos

•Se basa en “conoce a tu enemigo” para poder combatirlo


HONEYPOTHONEYPOT•Mientras todo ello pasa… nosotros hacemos como siempre…


HONEYPOTHONEYPOT•Vosotros nos habeis dicho…


HONEYPOTHONEYPOT•Vosotros nos habeis dicho…


HONEYPOTHONEYPOT• El personal de seguridad debe de:

1.Monitorizar

2.Registrar

3.Observar las acciones

• Sin ello, no servirá para nada nuestro “tarro de miel”


HONEYPOTHONEYPOT• Cualquier tráfico entrante o

saliente se considera sospechoso

• La monitorización es continua

• No hay distinción de usuarios

• En algunos sitios puede ser ilegal por lo que hay que conocer el marco legal regulatorio para poder instalarlo


HONEYPOTHONEYPOT• Y por supuesto, el atacante no

debe darse cuenta que todas sus actividades son monitorizadas


HONEYPOT (Ventajas)HONEYPOT (Ventajas)• Generan un pequeño volúmen de

datos pero de un altísimo valor

• Necesitan los mínimos recursos de memoria, CPU y ancho de banda para funcionar, sin necesitar complejas arquitecturas

• Son universales: Para usuarios internos y externos


HONEYPOT (Ventajas)HONEYPOT (Ventajas)• No usan algoritmos de análisis de

lo que ocurre

• Se instalan y se espera a ver lo que hacen (siempre que no se llame “honeypot.empresa.com” o “trampa.honeynet.org”)

• Los registros se analizan posteriormente


HONEYPOT (Ventajas)HONEYPOT (Ventajas)• No requieren mantenimiento

como las herramientas de seguridad

• Siempre hay interesados en un finger, un telnet, un ping de la muerte…

• Admiten IPv6 donde muchos IDS todavía no lo implementan


HONEYPOT (Desventajas)HONEYPOT (Desventajas)• Si no reciben ataques carecen de

utilidad y valor

• Son un fuerte potencial de riesgo debido a la atracción de atacantes

• Hay que prestar mucho cuidado para ejecutarlo en un entorno cerrado y controlado (jailed environment)


HONEYPOT (Desventajas)HONEYPOT (Desventajas)• Mediante un fingerprint

(identificación local o remota de un sistema o servicio) es posible que se delate si está mal configurado

• Cuando un atacante observa esto, pierde el interés por el objetivo volviéndose inútil


HONEYPOTHONEYPOT• Se clasifican por:

• Su grado de funcionalidad

• Su grado de interacción o compromiso


HONEYPOT (Funcionalidad)HONEYPOT (Funcionalidad)• Honeypot de producción (PHS).

Son Sistemas simulados que envían alertas a los reales para toma de decisiones

• Honeypot de investigación (RHS). Suelen ser Sistemas Reales aislados permitiendo la entrada como “root” o “administrador”


HONEYPOT (Interacción)HONEYPOT (Interacción)• Honeypot de baja interacción

(LIHS). Empleados para detectar escaneos e inicios de sesión no autorizados.

• De media interacción (MIHS) obteniendo algunas respuestas por parte del servicio

• De alta interacción (HIHS)


HONEYNETSHONEYNETS


HONEYNETSHONEYNETS•El proyecto original y actual nace en 1999 por Lance Spitzner

•http://www.honeynet.org

•Existen muchos actualmente reportando continuamente actividades maliciosas

•Instala una y lo verás!!!

http://www.honeynet.org/


HONEYNETSHONEYNETS•Es una red diseñada para ser comprometida por los intrusos

•Es una arquitectura, no un software ni un producto

•Se compone de varios honeypots simulando diferentes servidores, clientes, switches, routers… para hacerla altamente creíble


HONEYNETSHONEYNETS• Los requisitos básicos para un

correcto funcionamiento son:

1.Control de Datos

2.Captura de Datos

• Opcionalmente también es deseable Centralización de Datos


HONEYNETS (Control Datos)HONEYNETS (Control Datos)• Es la contención controlada de

la información y conexiones

• Hay que asegurar que una vez comprometido no afectará a los sistemas legítimos

• El ataque siempre empieza por lo básico elevando los privilegios. ¡No restringir!


HONEYNETS (Captura Datos)HONEYNETS (Captura Datos)• Es la captura, monitorización

y registro de todas las actividades maliciosas

• Hay que aislar el tráfico legal

• Hay que evitar que el atacante sepa que estamos registrando todas sus actividades


HONEYNETS (Subsistemas)HONEYNETS (Subsistemas)


HONEYNETS (Centralización)HONEYNETS (Centralización)• Es deseable centralizar en un

punto común todos los datos capturados para su análisis

• Dicha información debe ser transmitida de forma segura a dicho almacén


HONEYNETSHONEYNETS• Se pueden implementar en dos

tipos:

1.Autocontenida

2.Híbrida

• Para ello, hoy en día tenemos excelentes herramientas de virtualización


HONEYNET AUTOCONTENIDAHONEYNET AUTOCONTENIDA


HONEYNET HIBRIDAHONEYNET HIBRIDA


HONEYNET (Resultados)HONEYNET (Resultados)






ASPECTOS LEGALESASPECTOS LEGALES


ASPECTOS LEGALESASPECTOS LEGALES• ¿Actividad ilegal por nosotros?

• Hay que analizar la legislación del país donde se instalen

• Es España hay un “mar de dudas” al respecto

• No se puede denunciar al atacante


ASPECTOS LEGALESASPECTOS LEGALES• Se entiende por delito

informático todo ilícito penal llevado a cabo a través de medios informáticos y que está íntimamente ligado a los bienes jurídicos relacionados con las TIC o tiene como fin estos bienes. (Código Penal España)


ASPECTOS LEGALESASPECTOS LEGALES• Del convenio del Consejo de

Europa reflejados en el código penal se extrae la conducta delictiva en la que los datos o sistemas informáticos son instrumentos de comisión del delito o el objeto del delito


ASPECTOS LEGALESASPECTOS LEGALES• Delitos contra CID de los datos

y sistemas informáticos:


ASPECTOS LEGALESASPECTOS LEGALES• Responsabilidad:

• Somos responsables directos si nuestro honeypot o honeynet se usa para atacar o dañar otros sistemas u organizaciones

• Este riesgo es mayor si usamos sistemas reales


ASPECTOS LEGALESASPECTOS LEGALES• Privacidad: Los honeypots

pueden capturar gran cantidad de información sobre el atacante, lo cual, puede de forma potencial violar su privacidad, información contenida de emails, etc…


ASPECTOS LEGALESASPECTOS LEGALES• Privacidad: En España

podemos violar la privacidad del atacante y/o la privacidad de la gente que se comunica con él.

• Podemos infringir varias leyes (LOPD, Ley secreto comunicaciones, etc.) y ser los denunciados


ASPECTOS LEGALESASPECTOS LEGALES• ¿Inducción? “Entrapment”

• Se refiere al hecho de inducir a una persona a cometer un delito no contemplado por el mismo

• Es una defensa legal que se usa para evitar una condena. No se puede acusar a nadie de inducción


MANOS A LA OBRAMANOS A LA OBRA


¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• Mi sistema operativo es…

Windows, GNU/Linux, Mac OS, BSD…

• Quiero una herramienta…

Comercial

Software Libre

Propia


¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• Netcat para Windows

• Basado en ProFTPD 1.3.3c

http://www.aldeid.com/wiki/File:Proftpd-notice.png


DEMO IDEMO I


¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• Microsoft© Windows

• Specter

• Comercial

• Licencias de 199 USD a 899 USD

• Emula 14 SS.OO. y 14 servicios estándard



• PatriotBOX

• Comercial

• Licencia de 39.95 USD

• Emula varios SS.OO. y varios servicios estándard



• KFSensor

• Comercial

• Licencia desde 995 USD

• Emula varios servicios estándar

• Modular y admite plugins



• WinHoneyd

• Fifty - Fifty

• Basado en honeyd (Open Source)

• Interface de configuración COMERCIAL

• Licencia por 99.00 USD



• GFI LandGuard

• ManTrap

• NetBait

• Etc…



• HoneyBOT

• Interacción media

• Gratuito != Software Libre

• http://www.atomicsoftwaresolutions.com

http://www.atomicsoftwaresolutions.com/

http://www.atomicsoftwaresolutions.com/


DEMO IIDEMO II



• Valhala Honeypot

• Interacción media

• Software Libre

• http://sourceforge.net/projects/valhalahoneypot

http://sourceforge.net/projects/valhalahoneypot







DEMO IIIDEMO III


¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• GNU/LINUX

• Bubblegum Proxypot

• Jackpot

• BackOfficer Friendly

• BigEye

• HoneyWeb

• Deception Toolkit


¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• GNU/LINUX

• Labrea Tarpit

• Honeyd

• Sendmail SPAM Trap

• Tiny Honeypot

• Kojoney, Kippo,

• Etc…


¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• PROPIAS

• Desarrollo a medida de una honeynet

• Desarrollo a medida de un honeypot

• Desarrollo a medida de servicios


¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• PHPOT

• http://sbdtools.googlecode.com/files/phpot.php

• Licencia GNU/GPLv3

• Desarrollado por Alberto Ortega ([email protected])

• PHP y MySQL

http://sbdtools.googlecode.com/files/phpot.php




mailto:[email protected]


DEMO IVDEMO IV


¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• SPAM-IP y su honeypot

• http://spam-ip.com

• Formulario para spammers

http://spam-ip.com/

http://spam-ip.com/

http://3.bp.blogspot.com/-xLe9PtoOX9E/TkAevxfRLdI/AAAAAAAABAQ/kLXVCmR0ICA/s1600/spam_submit.jpg


¿PREGUNTAS?¿PREGUNTAS?

Academia MADESYPAcademia MADESYPwww.madesyp.comwww.madesyp.com

Pedro Candel · [email protected] Candel · [email protected]

Documents

Charla honeypots