Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Honeypots

Conceptos Generales
by

Gabriel Fals

on 12 October 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Honeypots

Honeypot Se pueden Clasificar por ¿Cuáles son los tipos de Honeypot? Honeypots de baja interacción Honeypots de Alta Interacción ¿Cual es el Propósito? Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Como solución suelen establecerse puntos de control, determinados archivos colados como fichas que son “inventados” para que en el momento en el que los veas en otra página puedas demostrar que es algo tuyo. (páginas amarillas hace esto), otros se dedican a capar IP sin pensar que es bastante fácil asaltar otro proxy, otro ordenador Zombie o resetear el roter en algunos casos. Su Función -Production Honeypot
-Research Honeypot Grado de Interacción
- Low Interaction
- High Interaction Son aquellos honeypots que se instalan en las empresas para desviar la atención de máquinas mucho más importantes. Están dentro de la propia red de la empresa. Se instalan servicios vulnerables (o aparentemente vulnerable), suelen tener muchísimos puertos abiertos, datos falsos, etc. Así los hacen más atractivos y más deseables para un posible intruso. Estos son aquellos que se usan por pura investigación. No contiene datos importantes y están pensados para ser comprometidos para su posterior análisis forense. Por otro lado, también pueden ir enviando datos de los intentos de intrusión y de las intrusiones cometidas, tales como ips, comandos, aplicaciones instaladas, capturas de teclado Estos honeypots se caracterizan por ser emulaciones de servicios. El atacante cree que se encuentra vulnerando un servidor pop cuando realmente es una aplicación escrita para hacerse pasar por tal. Recopilan poca información en comparación con los high interaction honeypots. Son sencillos de instalar y el riesgo de intrusión real es menor, por la emulación de los servicios. Un ejemplo lo podéis encontrar aquí. Se corresponde con los honeypots que permiten interactuar con el de forma total. No emulan servicios, son servicios reales, vulnerables. Se suelen montar en máquinas aparte o en virtuales y capturan el tráfico, las pulsaciones, los comandos,... El grado de información que recogen es mucho mayor que las de baja interacción. Son complejos de instalar. Al no hacer ningún tipo de emulación, el riesgo de hacerse con la máquina entera es mayor que con los de baja interacción. En este caso el ejemplo lo tenéis aquí. Specter El Specter es un honeypot inteligente basado en sistemas de deteccion de intrusos, vulnerables y atractivos a los atacantes, este sistema proporciona servicios como PHP, SMTP,FTP, POP3, HTTP, y TELNET que atraen facilmente a los atacantes, pero en realidad son trampas que pretenden recolectar informacion. Honeyd El Honeyd es un honeypot que crea host virtuales en la Red. los anfitriones pueden ser configurados para ejecutar servicios arbitrarios y su personalidad puede ser adaptado de modo que parescan estar ejecutando ciertos sistemas operativos. Honeyd mejora la seguridad Cibernetica proporcionando mecanismos para la deteccion y evaluacion. KFsensor El KFSensor es un honeypot de windows basada en sistema de deteccion de intrusos (IDS), actua para atraer y detectar piratas informaticos y gusanos, vulnerables mediante la situacion de los servicios del sistema y troyanos. PatriotBox Usa como señuelo el sistema de detección de intrusos (IDS), en entornos de red empresarial de forma efectiva la deteccion temprana de las amenazas de intrusos. tambien utiliza ayuda para reducir el spam en internet ya que simula un servidor de correo de retrasmisión abierta. Honeynet El HoneyNet es un tipo de Honeypot de alta interacción y esta diseñado para recopilar un alto grado de información sobre las amenazas a las que se ve sometida la organización, el Honeynet proporciona un medio real de los sistemas, aplicaciones y servicios para interactuar con los atacantes, en otras palabras un HoneyNet es un conjunto de Honeypots. Mantrap Puede crear “sotfware jaula” y similar una red virtual de una maquina. para ello emula una variedad de diferentes maquinas (FTP,HTTP,SMTP,ODBC) en una sola ManTrap de acogida. Este Honeypot es configurable para alertar a una gran variedad de alertas y puede enviar correo a cualquier direccion e-mail o un dispositivo con capacidad SNMP para alertar a los administradores del sistema que alguien ha entrado a la “jaula”. ¿Donde poner Honeypots? 1. Delante el Firewall

Al colocarlo delante del Firewall, hace que la seguridad de nuestra red interna no se vea comprometida en ningún momento ya que nuestro Firewall evitara que el ataque vaya a nuestra red interna.

Las dificultades al usar este método son:

El ancho de banda que se consumiría, ya que al estar en el exterior del Firewall no abra dificultad en acceder a él.
A él estar fuera de nuestro Firewall, no podremos controlar los ataques internos. Esta opción nos permite el control de los ataques internos y externos de cualquier tipo, el principal problema que presenta este método es que requiere una configuración específica para dejar el acceso al Honeypot pero no a nuestra red. Lo cual provoca posibles fallos de seguridad en la filtración de tráfico. Al posicionarlo aquí se hace posible la separación del Honeypot de la red interna y la unión con los servidores, esta posibilidad nos permite detectar tanto ataques internos como externos con una pequeña modificación del Firewall Ventajas y Desventajas ¿Qué no hace un Honeypot? No sirve para eliminar o corregir fallos de seguridad existentes.

Si la red es vulnerable, añadir un Honeypot no resolverá esas fallas.

Evitar que un atacante fije su interés en nuestra red. Características de los honeypots
Genera un volumen pequeño de datos.
No existen los falsos positivos.
Necesitan recursos informáticos mínimos.
Son elementos pasivos.
Son fuentes potenciales de riesgo para la red.
Usan una dirección IP como mínimo.
Los Honeypots tienen un limitado carácter preventivo.
Tienen un alto grado de detección por los intrusos de ahí que son conocidos como tarros de miel.
Son programables en cuanto a la reacción contra el atacante.
Full transcript