MASTER EN COMPUTADORES Y REDES

Honeypots
CURSO: SERVIDORES SEGUROS por: Javier Condori Flores

Qu es un honeypot
Un honeypot es un sistema de seguridad informatica ,diseado como una trampa que se utiliza para identificar, evitar y, en cierta medida, neutralizar los intentos de infiltrarse en sistemas y redes de informacin. Generalmente un honeypot puede ser una computadora o un sitio de red que parecen ser parte de una red pero que en realidad estn aislados, protegidos y monitorizados, y que parecen contener informacin o recursos que seran valiosos para los posibles atacantes.

Funciones de un honeypot
Desviar la atencin del atacante de la red real del sistema, de manera que no se comprometan los recursos principales de informacin Capturar nuevos virus o gusanos para su estudio posterior Formar perfiles de atacantes y sus mtodos de ataque preferidos, de manera similar a la usada por una corporacin policiaca para construir el archivo de un criminal basado en su modus operandi. Conocer nuevas vulnerabilidades y riesgos de los distintos sistemas operativos, entornos y programas las cuales an no se encuentren debidamente documentadas

Clasificacin de los honeypots

Los Honeypots se pueden clasificar de acuerdo a dos criterios: Segn su ambiente de implementacin y segn su nivel de interaccin.

Honeypots segn su Ambiente de Implementacin

Bajo esta categora podemos definir dos tipos de Honeypots: Para la produccin y para la investigacin. Honeypots para la Produccin: Son aquellos que se utilizan para protegera las organizaciones en ambientes reales de operacin. Honeypots para la Investigacin: Estos Honeypots no son implementados con la finalidad de proteger redes, sino que constituyen recursos educativos de naturaleza demostrativa y de investigacin cuyo objetivo se centra en estudiar patrones de ataque y amenzas de todo tipo. Gran parte de la atenci n actual se centra en los Honeypots para la investigaci n, que se utilizan para recolectar informacin sobre las acciones de los intrusos.

Honeypots segn su Nivel de Interaccin

Honeypots de Baja Interaccin: Normalmente, stos Honeypots trabajan nicamente emulando servicios y sistemas operativos. La ventaja de un Honeypot de Baja Interaccin radica principalmente en su simplicidad, ya que estos tienden a ser fciles de utilizar y mantener con un riesgo mnimo. Honeypots de Alta Interaccin: Este tipo de Honeypots constituyen una solucin compleja, ya que implica la utilizacin de sistemas operativos y aplicaciones reales montados en hardware real sin la utilizacin de software de emulacin e involucrando aplicaciones reales que se ejecutan de manera normal, muchas veces en directa relacin a servicios como bases de datos y directorios de archivos compartidos.

Honeyd
Honeypot de codigo abierto que permite crear o simular multiples honeypots virtuales incluso puede simular hasta una red. Permite configurar host virtuales como diferentes tipos de servidores con sus respectivos sistemas operativos Su interfaz es basada en linea de comandos y archivos de configuraciones Sitio oficial www.honeyd.org

Sistemas operativos emulados por honeyd

Linux Windows (95/98/NT/2000/Me/XP/Server) Cisco IOS Mac OS

Instalacion : ubuntu linux

Sudo apt-get install honeyd

Creando honeypots con honeyd

Creando un maquina virtual /etc/honeypot/honeyd.conf

create template set template personality "Microsoft Windows XP Professional SP1" set template uptime 1728650 set template maxfds 35 # For a complex IIS server add template tcp port 80 "sh /usr/share/honeyd/scripts/win32/web.sh" add template tcp port 22 "/usr/share/honeyd/scripts/test.sh $ipsrc $dport" add template tcp port 23 proxy $ipsrc:23 add template udp port 53 proxy 141.211.92.141:53 set template default tcp action reset

Creando honeypots con honeyd

Creando un router virtual /etc/honeypot/honeyd.conf

create router set router personality "Cisco 1601R router running IOS 12.1(5)" set router default tcp action reset add router tcp port 22 "/usr/share/honeyd/scripts/test.sh" add router tcp port 23 "/usr/share/honeyd/scripts/router-telnet.pl"

Poniendo en marcha el honeyd

sudo route -n add -net 10.0.0.0/8 lo

sudo honeyd -d -p /etc/honeypot/nmap.prints -f /etc/honeypot/honeyd.conf -i lo 10.0.0.0/8

#comandos nmap #para ver todos los host conectados a la red 10.3.1.0/24

nmap -sP 10.3.1.0/24 #para ver puertos abiertos del host 10.3.1.11 sudo nmap -sS 10.3.1.11

#para ver el SO del host 10.3.1.11 sudo nmap -O 10.3.1.11

Bibliografia

http://www.honeyd.org/ http://es.wikipedia.org/wiki/Honeypot http://www.tracking-hackers.com/ http://www.honeynet.org/ http://foro.elhacker.net/hacking_avanzado/hone ypots_servidores_trampa_por_elektr0_electron _security_team_magnifico-t55380.0.html;wap2=