PDF de programación - Honeynets como herramienta de prevención e investigación de ciberataques

Honeynets como herramienta de prevención e investigación de

ciberataques



Casanovas, Eduardo Esteban
Instituto Universitario Aeronáutico

Tapia, Carlos Ignacio

Instituto Universitario Aeronáutico



Abstract
Uno de los mayores retos de la Seguridad
Informática como disciplina es la captura y
análisis de logs de auditoría útiles para detectar
ciberataques, y a la vez, poder interpretarlos y
elaborar estrategias de mitigación. Con
los
ambientes de IT cada vez más complejos y con
una enorme cantidad de eventos de auditoría
siendo generados por los distintos dispositivos, es
necesario encontrar una herramienta que
permita discriminar rápida y fácilmente aquellos
recursos bajo ataque y garantizar el aislamiento
para observar en tiempo real los ataques o
posibilitar el análisis forense posterior. Las
herramientas a las que el presente paper hace
foco son las que conforman las honeynets, más
específicamente, honeynets virtuales diseñadas
para atraer, engañar y capturar los ataques ya
sea de las cada vez más crecientes botnets como
así también ataques dirigidos por parte de
intrusos que busquen acceder a información
confidencial de una entidad. Este proyecto
pretende demostrar las funcionalidades básicas
de una honeynet y sus bondades, proponiendo un
ciclo de vida para la misma y una arquitectura
inicial para efectuar pruebas, la que servirá de
base para que la honeynet crezca en cantidad de
nodos y complejidad, registrando cada vez
información más valiosa
los
ciberataques que se ejecuten contra dicha red
ficticia especialmente preparada para tal fin.

Palabras Clave
Honeynet. Honeypot. IDS. Detección de intrusos.
Computación forense. Mitigación de botnets.

Introducción

La Seguridad es ahora no un simple tema
más a tratar dentro de las áreas de IT de las
organizaciones si no que ha pasado a ser un
requisito obligatorio para el cumplimiento
de los objetivos. Con una conectividad cada
vez más accesible, de mayor calidad y
rapidez, la proliferación de amenazas tiende
a crecer y a ser cada vez más compleja,
como así también el nivel técnico de los

respecto a

utilizada

Informática

atacantes se incrementa. Es vital poder
seguir el ritmo a dichas amenazas y poder
analizar el comportamiento de los atacantes
para contar con información de primera
mano respecto de las acciones que realizan
o qué herramientas están utilizando y las
estrategias de ataque puestas en juego.
Una herramienta, o más bien, una serie de
herramientas que las organizaciones tienen
a su disposición para contrarrestar y a la vez
estudiar a los ataques son las honeynets.

Al hablar de honeynets, debemos definir
antes honeypot: un honeypot es un software
cuya
intención es atraer a atacantes,
simulando ser un sistema vulnerable o débil
a los ataques. Es una herramienta de
Seguridad
para
recoger información sobre los atacantes y
sus técnicas. La esencia de los honeypots es
la contrainteligencia, teniendo en cuenta
que se busca engañar a
intrusos
invitándolos a sistemas supuestamente
vulnerables,
del
administrador del honeypot.

Los honeypots pueden distraer a
los
atacantes de las máquinas “reales” más
importantes de
advertir
rápidamente al administrador del sistema de
un ataque, además de permitir un examen
en profundidad del atacante, durante y
después del ataque al honeypot. Este
concepto está muy
ligado al análisis
teniendo en cuenta que el
forense,
honeypot, luego de un ataque, contará con
información valiosa respecto del atacante,
sus estrategias e
intenciones, pudiendo
transformarse esta información en evidencia
ante un potencial litigio. Aún si no se
tuviera como objetivo la utilización de la

beneficio

la

red, y

para

los

permitiendo mejorar

información contenida en el honeypot como
evidencia legal, desde luego tiene un alto
valor académico y de investigación para
comprender las técnicas utilizadas por los
intrusos,
las
herramientas detectivas y preventivas de la
red.

Un modelo conceptual que representa a un
honeypot se compone de los siguientes
elementos [1]:


A) Sistema señuelo: si bien lo parece, no
es un sistema productivo de
la
organización. Es un target atractivo
para los intrusos, los cuales deben
pensar que allí se almacenarán datos
confidenciales, contraseñas, detalles de
otra
transacciones,
información
ser
interesante. Mientras más atractivo,
realista
este
componente, más posibilidades de
éxito tendrá el honeypot.

cualquier
pudiera

complejo

o
que

sea

y


B) Firewall: en el modelo, el firewall
provee logs de auditoría acerca de los
intentos del intruso por acceder al
honeypot. El firewall se configura para
registrar todos los paquetes yendo al
sistema
en
consideración que ningún tráfico válido
se dirigiría a ese host. Se hace hincapié
en este concepto: el sistema señuelo se
creó exclusivamente para ser atacado,
con lo que, por definición, todo tráfico
destinado a dicho sistema debe ser
considerado hostil y sujeto a mayor
análisis.

teniendo

señuelo,


C) Unidad

de

de monitoreo:

es
evaluación

un
componente
de
amenazas que supervisa las actividades
maliciosas o violaciones de políticas
sobre la red y/o sistemas, produciendo
reportes
ser
consultados por el administrador de la
honeynet. Con medidas como
la

podrán

luego

que

de

y

las

secuencias,

teclas, accesos a

revisión
las
timestamps y los tipos de paquetes
utilizados por el intruso para acceder al
honeypot, y también como la presión
de
los sistemas,
archivos cambiados, etc., se busca
y
identificar
metodologías
los
atacantes
intenciones.
Normalmente, en el marco de un
honeypot, esta tarea es delegada a un
IDS (Intrusion Detection System).

herramientas
por

utilizadas

sus

las


D) Unidad de alertas:

los honeypots
deben ser capaces de generar y enviar
avisos a través de diferentes medios a
la
su administrador para permitir
revisión de
las actividades de
los
intrusos mientras están ocurriendo.


E) Unidad de registro: este componente
provee eficiencia en el almacenamiento
tanto para los logs del firewall como
del honeypot en sí, y todo el tráfico que
circula entre el firewall y el honeypot.


Teniendo en cuenta los 5 componentes
esenciales que conforman un honeypot
funcional, en forma ideal su disposición en
una
la que se grafica a
continuación:

red sería



Figura 01: Componentes genéricos de un honeypot

Habiendo analizado el concepto anterior,
una honeynet puede ser definida como un
conjunto o red de honeypots que simula una

de

la

tales que

la

finalidad

organización

la red real de

red productiva, creada para atraer atacantes,
posibilitando disminuir ataques a
los
recursos informáticos reales y el estudio de
dichos ataques para generar contramedidas.

Con una honeynet, no sólo se disponen
honeypots aislados, si no que se genera una
infraestructura de red que
interconecta
dichos honeypots, capturando en
todo
momento la actividad de los intrusos y
garantizando la separación lógica de la red
productiva de la organización. Esto último
es clave, porque si no se pudiera garantizar
dicha separación, los recursos informáticos
productivos
se
encontrarían en peligro. Es vital que el
software que genera la honeynet tenga
configuraciones
impidan el
lanzamiento de ataques desde los honeypots
a
la organización. Es
perfectamente esperable que los honeypots
sean comprometidos, pero desde luego, se
busca que el accionar de los intrusos quede
circunscripto sólo a la red ficticia creada
con
e
investigación.

Si bien, habitualmente están dirigidas a
ambientes de investigación y generalmente
son implementadas en universidades o en
empresas dedicadas a la investigación de
ataques informáticos, la aplicación práctica
en cualquier
tipo de organización es
posible. Desde luego, es esencial que la
implementación de esta tecnología sea lo
más sencilla posible, como así también su
operación y el análisis de los resultados,
para evitar que se invierta tiempo, esfuerzo
y dinero en una iniciativa que al poco
tiempo pierda empuje porque no fue
correctamente utilizada o mantenida.

No es poco común observar que muchos
proyectos iniciados sobre honeynets fueron
simples iniciativas académicas producto de
alguna asignatura o tesis universitaria, que
al cabo de un tiempo, deja de generar
estadísticas y cesa su utilización, quedando
obsoleta.


de monitoreo

de

obtenida

Cabe destacar en cuanto a proyectos
relacionados con el tema al Honeynet
Project, el cual tiene actualmente más de 40
capítulos en distintos países [2], siendo la
información
ataques
compartida entre dichos nodos pudiendo
determinar tendencias de ataques y efectuar
pronósticos para preparar, en la medida en
que así
sea posible, estrategias de
mitigación conjuntas.

El objetivo del presente
trabajo es
demostrar que esta tecnología puede ser
implementada con herramientas simples,
open
source, con una operación y
mantenimientos relativamente sencillos.

Elementos del Trabajo y metodología



software válido y que

Para la implementación de la honeynet
contemplada en el presente trabajo se
generarán honeypots de alta interacción [1],
es decir