lunes, 24 de mayo de 2010

To Protect & Serve - Honeypots


En el mundo de la seguridad de información (pensando en que estamos en el camino de la luz y no de la obscuridad) uno de los asuntos que más preocupan a los especialistas es saber cuáles son las técnicas usadas por los blackhats para atacar nuestros equipos y sistemas.

Adicionalmente a lo anterior muchas veces un simple IDS no es suficiente para saber si hemos tenido un ataque o estamos próximos a ser golpeados fuertemente..

Para satisfacer estas necesidades existe un concepto muy interesante llamado Honeypots que como su nombre lo dice, son sistemas parecidos a un señuelo que muchas veces puede salvarte el pellejo o puede ser un muy útil demo para estudiar las técnicas de los hackers

Sigue leyendo si quieres conocer más

En simples palabras los honeypots son equipos conectados a la red con determinada funcionalidad y que normalmente tienen a propósito vulnerabilidades de seguridad y bajo hardening para verse apetitosos para los hackers

La mayoría de estos servicios emulan servicios reales y hay honeypots muy avanzados que permiten realizar logging detallado, alarmas, etc etc para guardar toda la información necesaria para detectar, estudiar y aprender del ataque realizado

Existen dos generaciones de honeypots que son las más populares, la principal diferencia radica en que los inferiores operan en capa 2 y los posteriores en capa 3

También existe la posibilidad de usar arreglos más complejos de honeypots llamados honeynets en los cuales incluyes un gateway o honeywall que hace las veces de firewall para filtrar salida de información y así controlar más lo que pueda pasar en caso de que alguien ataque exitosamente determinado honeypot.

Algo muy importante al usar honeypots es saber que pueden usarse como puente para hackear otros equipos o incluso empresas por eso se recomienda usar un honeywall.

Existen diferentes proyectos gratuitos y con costo en la red que tienen funcionalidades geniales. Honeyd es un producto muy bueno en el cual puedes emular varios servicios y existen proyectos como honeynet donde puedes crear máquinas y luego correrlas con herramientas de virtualización como vmware y teóricamente puedes correr cuantos honeypots como quieras creando siempre una arquitectura de honeynet.

Les recomiendo usar estos productos en un laboratorio y hacer un diseño detallado de una honeynet. Es importante que tomen en cuenta en su diseño:

- Cómo limitar que de un honeypot tomen control o afecten otros sistemas
- Cómo guardar los logs y relacionarlos con tus IDS
- Cómo asegurar que en caso de un ataque todo lo que deba loggearse se esté haciendo
- En caso de que alguien use el honeypot para atacar a alguien más como evitar estar relacionado a problemas de liability (posibles juicios civiles o penales)

Se que es mucha info. En verdad traté de ser breve, si quieren más información no duden en pedirlo

Happy honeying

0 comentarios :

Publicar un comentario

Gracias por comentar: