Honeypot y Honeynet

Presentado por: Katherine Cancelado

katherine.cancelado@eepica.com

El arte de la paz“No claves la vista en los ojos de tu oponente: el te

hipnotizará.

No claves tu mirada en su espada: el te podrá intimidar.

No te enfoques completamente en tu oponente: él podrá absorber tu energía.

La esencia del entrenamiento es traer a tu oponente completamente hacia tu esfera.

Entonces podrás pararte justo donde quieras.” Morihei Ueshiba.

Las cuentas claras y el chocolates espeso! (I)

Cuáles son los peligros que corremos nosotros y nuestros sistemas al estar conectados a Internet?

VulnerabilidadesAtaques informáticos Robo de información“Hackers” ~_~Redes socialesEspíasTú!

¿En qué íbamos?

Ohh sí!Honeypots y

honeynets

Continuemos…

Honeypot (I)Recurso de red, cuyo objetivo es ser

comprometido. Su principal objetivo es ser un señuelo

para posibles atacantes, o curiosos en busca de sistemas vulnerables.

“Facilita” el acceso o intrusión al sistema, cobrando un moderada cuota… La captura de movimientos del atacante, con el fin de alimentar una base de datos con ésta información.

Honeypot (II)

Honeynet (I)

Conjunto de honeypots que interactúan entre si, a través de una red de datos.

Pueden convertirse en un “premio mayor” para el atacante.

Honeynet (II)

IDS (Sistemas de detección de intrusos)

Herramienta para monitorizar el tráfico de red, con el fin de identificar tráfico inusual o eventos ya registrados.

Pros y contrasPosible detección de

ataques “Día cero”Captura, control y

análisis de datosAsignación de

recursos según necesidades y gustos

InvestigaciónCreación de

proyectos en seguridad informática

Requiere constante administración

Requiere MUCHO control en el caso de ser un recurso de una red con sistemas en producción

Todo lo que esté en la honeynet es considerado ataque

Todo lo que esté fuera de la honeynet no podrá ser detectado

Valor

El valor de un honeypot esta en la información que puede capturar, OJO: ésta información no tiene sentido sino se analiza.En la mayoría de los casos la información capturada sirve para identificar múltiples formas de ejecutar un ataque, facilitar la detección de ataques por parte de sistemas cuya finalidad es ésta.Permiten un cambio de mentalidad (en la medida de lo posible) con respecto a la forma como vemos Internet e intentamos asegurar nuestros ambientes.

Clasificación de honeypots y honeynets

Producción◦Compromiso alto◦Compromiso medio◦Compromiso bajo

Investigación◦Emulación y virtualización◦Paravirtulización

Cliente / Servidor

Honeypot de producción

Su objetivo principal es la generación de datos que permitan asegurar redes de datos y la identificación de nuevos ataques.

Se clasifican en:◦Compromiso alto / bajo / medio

Honeypot de investigación

Su objetivo principal es capturar todo tipo de dato que pueda dar significado a una investigación

Se clasifican en:◦Virtualización / Emulación◦Paravirtualización

Cliente / Servidor

Servidor: Se usa como carnada para atacantes

Cliente: Inicia la comunicación un servidor seleccionado e interactúa con él como cliente.

Herramientas para la implementación de un honeypot

HoneyDHoneyCHoneytrapNephentesMWCollect

HoneymoleHoneytokensHoneyfarmsKFSensor

Grandes proyectos que usan honeynetsHoneynet AllianceHoneynet UNAMHoneynet EcuadorHoneynet Universidad particular

de LojaEscuela superior politécnica del

litoral

Cómo justificar la implementación de una honeynet? Creación / Mejoramiento de políticas de

seguridadImplementación de medidas preventivas y

correctivas a sistemas informáticosAnálisis de intrusionesAnálisis de ataquesAnálisis de protocolos de redSemilleros de investigación en redes de

datos / seguridad informática / computación forense

Tu tesis de grado ;-)Otros…

¿Pregunta

s?

¡Gracias!Ma. Katherine Canceladokatherine.cancelado@eepica.com

Identi.ca: @eepicaWebsite: www.eepica.com