Upload
navajanegra
View
1.926
Download
0
Embed Size (px)
Citation preview
HONEYPOTS Y HONEYNETSACADEMIA MADESYP · PEDRO C
HONEYPOTS Y HONEYNETS · PEDRO C
AGENDA:AGENDA:•INTRODUCCION
•HONEYPOT “Tarro de miel”
•HONEYNET “Red de tarros”
•ASPECTOS LEGALES
•MANOS A LA OBRA
•PREGUNTAS
HONEYPOTS Y HONEYNETS · PEDRO C
INTRODUCCIONINTRODUCCION•¿ME ATACAN REALMENTE DESDE INTERNET?
•NO, en Internet no hay mal@s
•Estoy completamente seguro con mi cortafuegos y no necesito nada más en mi red
HONEYPOTS Y HONEYNETS · PEDRO C
INTRODUCCIONINTRODUCCION•¿ME ATACAN REALMENTE DESDE LA RED INTERNA?
•NO, los usuarios nunca hacen nada
•Mis usuarios nunca mienten
•A mis usuarios no les interesa mi información
HONEYPOTS Y HONEYNETS · PEDRO C
INTRODUCCIONINTRODUCCION•CONOCE A TU ENEMIGO como a ti mismo…
•孙子•Sun Tzu
•孫子兵法
•“El arte de la guerra”
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOTSHONEYPOTS
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOTHONEYPOT•Recurso de red destinado a ser atacado o comprometido, de tal forma que un “atacante” puede acceder, examinar y comprometer el “tarro de miel” proporcionando información muy valiosa antes que comprometa un sistema real
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOTHONEYPOT•Es un sistema “trampa” diseñado para imitar el comportamiento de uno real que pudiera ser de interés para un atacante
•Suelen contar con mecanismos de protección para que un atacante no “rompa todo”
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOTHONEYPOT•Su finalidad NO es resolver o arreglar las carencias de seguridad
•Su finalidad es aprender qué nos hacen cuando nos atacan
•Muchas veces logramos desviar la atención sobre un sistema real
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOTHONEYPOT•Debe incitar a los atacantes a entrar en la red
•El nivel de complejidad debe ser adecuado para atraerlos y no exagerado para no desalentarlos
•Debe ofrecer cosas atractivas para los atacantes
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOTHONEYPOT•No es un IDS aunque puede usarlo como herramienta de apoyo
•Se diseña para engañar a los intrusos, estudiar sus actividades y aprender sus métodos
•Se basa en “conoce a tu enemigo” para poder combatirlo
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOTHONEYPOT•Mientras todo ello pasa… nosotros hacemos como siempre…
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOTHONEYPOT•Vosotros nos habeis dicho…
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOTHONEYPOT•Vosotros nos habeis dicho…
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOTHONEYPOT• El personal de seguridad debe de:
1.Monitorizar
2.Registrar
3.Observar las acciones
• Sin ello, no servirá para nada nuestro “tarro de miel”
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOTHONEYPOT• Cualquier tráfico entrante o
saliente se considera sospechoso
• La monitorización es continua
• No hay distinción de usuarios
• En algunos sitios puede ser ilegal por lo que hay que conocer el marco legal regulatorio para poder instalarlo
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOTHONEYPOT• Y por supuesto, el atacante no
debe darse cuenta que todas sus actividades son monitorizadas
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Ventajas)HONEYPOT (Ventajas)• Generan un pequeño volúmen de
datos pero de un altísimo valor
• Necesitan los mínimos recursos de memoria, CPU y ancho de banda para funcionar, sin necesitar complejas arquitecturas
• Son universales: Para usuarios internos y externos
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Ventajas)HONEYPOT (Ventajas)• No usan algoritmos de análisis de
lo que ocurre
• Se instalan y se espera a ver lo que hacen (siempre que no se llame “honeypot.empresa.com” o “trampa.honeynet.org”)
• Los registros se analizan posteriormente
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Ventajas)HONEYPOT (Ventajas)• No requieren mantenimiento
como las herramientas de seguridad
• Siempre hay interesados en un finger, un telnet, un ping de la muerte…
• Admiten IPv6 donde muchos IDS todavía no lo implementan
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Desventajas)HONEYPOT (Desventajas)• Si no reciben ataques carecen de
utilidad y valor
• Son un fuerte potencial de riesgo debido a la atracción de atacantes
• Hay que prestar mucho cuidado para ejecutarlo en un entorno cerrado y controlado (jailed environment)
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Desventajas)HONEYPOT (Desventajas)• Mediante un fingerprint
(identificación local o remota de un sistema o servicio) es posible que se delate si está mal configurado
• Cuando un atacante observa esto, pierde el interés por el objetivo volviéndose inútil
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOTHONEYPOT• Se clasifican por:
• Su grado de funcionalidad
• Su grado de interacción o compromiso
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Funcionalidad)HONEYPOT (Funcionalidad)• Honeypot de producción (PHS).
Son Sistemas simulados que envían alertas a los reales para toma de decisiones
• Honeypot de investigación (RHS). Suelen ser Sistemas Reales aislados permitiendo la entrada como “root” o “administrador”
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYPOT (Interacción)HONEYPOT (Interacción)• Honeypot de baja interacción
(LIHS). Empleados para detectar escaneos e inicios de sesión no autorizados.
• De media interacción (MIHS) obteniendo algunas respuestas por parte del servicio
• De alta interacción (HIHS)
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETSHONEYNETS
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETSHONEYNETS•El proyecto original y actual nace en 1999 por Lance Spitzner
•http://www.honeynet.org
•Existen muchos actualmente reportando continuamente actividades maliciosas
•Instala una y lo verás!!!
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETSHONEYNETS•Es una red diseñada para ser comprometida por los intrusos
•Es una arquitectura, no un software ni un producto
•Se compone de varios honeypots simulando diferentes servidores, clientes, switches, routers… para hacerla altamente creíble
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETSHONEYNETS• Los requisitos básicos para un
correcto funcionamiento son:
1.Control de Datos
2.Captura de Datos
• Opcionalmente también es deseable Centralización de Datos
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETS (Control Datos)HONEYNETS (Control Datos)• Es la contención controlada de
la información y conexiones
• Hay que asegurar que una vez comprometido no afectará a los sistemas legítimos
• El ataque siempre empieza por lo básico elevando los privilegios. ¡No restringir!
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETS (Captura Datos)HONEYNETS (Captura Datos)• Es la captura, monitorización
y registro de todas las actividades maliciosas
• Hay que aislar el tráfico legal
• Hay que evitar que el atacante sepa que estamos registrando todas sus actividades
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETS (Subsistemas)HONEYNETS (Subsistemas)
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETS (Centralización)HONEYNETS (Centralización)• Es deseable centralizar en un
punto común todos los datos capturados para su análisis
• Dicha información debe ser transmitida de forma segura a dicho almacén
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNETSHONEYNETS• Se pueden implementar en dos
tipos:
1.Autocontenida
2.Híbrida
• Para ello, hoy en día tenemos excelentes herramientas de virtualización
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNET AUTOCONTENIDAHONEYNET AUTOCONTENIDA
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNET HIBRIDAHONEYNET HIBRIDA
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNET (Resultados)HONEYNET (Resultados)
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNET (Resultados)HONEYNET (Resultados)
HONEYPOTS Y HONEYNETS · PEDRO C
HONEYNET (Resultados)HONEYNET (Resultados)
HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALESASPECTOS LEGALES
HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALESASPECTOS LEGALES• ¿Actividad ilegal por nosotros?
• Hay que analizar la legislación del país donde se instalen
• Es España hay un “mar de dudas” al respecto
• No se puede denunciar al atacante
HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALESASPECTOS LEGALES• Se entiende por delito
informático todo ilícito penal llevado a cabo a través de medios informáticos y que está íntimamente ligado a los bienes jurídicos relacionados con las TIC o tiene como fin estos bienes. (Código Penal España)
HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALESASPECTOS LEGALES• Del convenio del Consejo de
Europa reflejados en el código penal se extrae la conducta delictiva en la que los datos o sistemas informáticos son instrumentos de comisión del delito o el objeto del delito
HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALESASPECTOS LEGALES• Delitos contra CID de los datos
y sistemas informáticos:
HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALESASPECTOS LEGALES• Responsabilidad:
• Somos responsables directos si nuestro honeypot o honeynet se usa para atacar o dañar otros sistemas u organizaciones
• Este riesgo es mayor si usamos sistemas reales
HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALESASPECTOS LEGALES• Privacidad: Los honeypots
pueden capturar gran cantidad de información sobre el atacante, lo cual, puede de forma potencial violar su privacidad, información contenida de emails, etc…
HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALESASPECTOS LEGALES• Privacidad: En España
podemos violar la privacidad del atacante y/o la privacidad de la gente que se comunica con él.
• Podemos infringir varias leyes (LOPD, Ley secreto comunicaciones, etc.) y ser los denunciados
HONEYPOTS Y HONEYNETS · PEDRO C
ASPECTOS LEGALESASPECTOS LEGALES• ¿Inducción? “Entrapment”
• Se refiere al hecho de inducir a una persona a cometer un delito no contemplado por el mismo
• Es una defensa legal que se usa para evitar una condena. No se puede acusar a nadie de inducción
HONEYPOTS Y HONEYNETS · PEDRO C
MANOS A LA OBRAMANOS A LA OBRA
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• Mi sistema operativo es…
Windows, GNU/Linux, Mac OS, BSD…
• Quiero una herramienta…
Comercial
Software Libre
Propia
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• Netcat para Windows
• Basado en ProFTPD 1.3.3c
HONEYPOTS Y HONEYNETS · PEDRO C
DEMO IDEMO I
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• Microsoft© Windows
• Specter
• Comercial
• Licencias de 199 USD a 899 USD
• Emula 14 SS.OO. y 14 servicios estándard
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• Microsoft© Windows
• PatriotBOX
• Comercial
• Licencia de 39.95 USD
• Emula varios SS.OO. y varios servicios estándard
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• Microsoft© Windows
• KFSensor
• Comercial
• Licencia desde 995 USD
• Emula varios servicios estándar
• Modular y admite plugins
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• Microsoft© Windows
• WinHoneyd
• Fifty - Fifty
• Basado en honeyd (Open Source)
• Interface de configuración COMERCIAL
• Licencia por 99.00 USD
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• Microsoft© Windows
• GFI LandGuard
• ManTrap
• NetBait
• Etc…
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• Microsoft© Windows
• HoneyBOT
• Interacción media
• Gratuito != Software Libre
• http://www.atomicsoftwaresolutions.com
HONEYPOTS Y HONEYNETS · PEDRO C
DEMO IIDEMO II
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• Microsoft© Windows
• Valhala Honeypot
• Interacción media
• Software Libre
• http://sourceforge.net/projects/valhalahoneypot
HONEYPOTS Y HONEYNETS · PEDRO C
DEMO IIIDEMO III
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• GNU/LINUX
• Bubblegum Proxypot
• Jackpot
• BackOfficer Friendly
• BigEye
• HoneyWeb
• Deception Toolkit
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• GNU/LINUX
• Labrea Tarpit
• Honeyd
• Sendmail SPAM Trap
• Tiny Honeypot
• Kojoney, Kippo,
• Etc…
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• PROPIAS
• Desarrollo a medida de una honeynet
• Desarrollo a medida de un honeypot
• Desarrollo a medida de servicios
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• PHPOT
• http://sbdtools.googlecode.com/files/phpot.php
• Licencia GNU/GPLv3
• Desarrollado por Alberto Ortega ([email protected])
• PHP y MySQL
HONEYPOTS Y HONEYNETS · PEDRO C
DEMO IVDEMO IV
HONEYPOTS Y HONEYNETS · PEDRO C
¡¡¡MANOS A LA OBRA!!!¡¡¡MANOS A LA OBRA!!!• SPAM-IP y su honeypot
• http://spam-ip.com
• Formulario para spammers
HONEYPOTS Y HONEYNETS · PEDRO C
¿PREGUNTAS?¿PREGUNTAS?
Academia MADESYPAcademia MADESYPwww.madesyp.comwww.madesyp.com
Pedro Candel · [email protected] Candel · [email protected]