Español | English
rss facebook linkedin Twitter

Rica miel

Hasta ahora no hemos hablado de los honeypots. La idea es muy sencilla. Poner una trampa, un cebo fácil. Cuando se recibe un ataque, se obtiene información e incluso muestras de malware. También sirve para conocer el origen de los ataques, que pueden provenir de otros ordenadores que ya han sido víctima de un ataque.

El ejemplo más sencillo de honeypot es un ordenador que se deja conectado a Internet o a una red. Más temprano que tarde será objetivo de ataques y en caso de ser vulnerable resultará infectado. Si realizamos un análisis forense podemos conocer detalles del ataque y el malware que se haya podido ejecutar. Esta solución no es muy recomendable. El mantenimiento y los análisis forenses son bastante costosos. Además, al infectarse puede convertirse en un origen de ataques, por lo que debería aislarse adecuadamente para no afectar a las máquinas del resto de la red.

Seguro que a muchos se os ha venido a la cabeza la virtualización. En este caso puede sernos muy útil el poder recuperar el estado de una máquina virtual. La única pega es que cada vez más especímenes comprueban si están siendo ejecutados en un entorno virtual y en caso de ser así, se detienen. Es decir, puede que obtengamos una información parcial, a cambio de un mantenimiento más sencillo. De todas formas el riesgo de que troyanicen nuestra máquina (virtual) y la necesidad de realizar análisis forenses siguen existiendo.

Eso no es todo. Los honeypots anteriores son los llamados "de alta interacción". En realidad hay muchos otros que tienen un nivel de interacción menor. La información que se consigue es más limitada, pero a cambio son mucho más sencillos de implementar y mantener. El funcionamiento básico es muy simple. Simulan servicios vulnerables y responden a las peticiones siguiendo diferentes estrategias, como intentando que se parezca lo más posible a la respuesta que daría el servicio simulado, enviando respuestas aleatorias o incluso devolviendo como respuesta la misma petición que se ha recibido.

Hay honeypots de este tipo que no solo simulan los servicios, sino que simulan toda una red de ordenadores con diferentes servicios cada uno, también con una interacción limitada.

En un nivel aún más bajo de interacción, se puede anunciar en el DNS una serie de direcciones IP que en realidad no están en uso. Examinando el tráfico dirigido a estas direcciones, podemos detectar oleadas de ataques automáticos o medir el 'backscatter' de los ataques de DoS distribuidos.

En los repositorios de muchas distribuciones de GNU/Linux hay paquetes con honeypots de baja interacción, por lo que cualquiera puede instalar uno fácilmente para probar que tipos de ataques y malware se ve por internet. Si lo pruebas, recuerda configurar bien tu firewall o tu router y comenta que encuentras. ;)

Patxi Astiz
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login