PDF de programación - Capítulo 4 - Honeypots y Honeynets

http://tau.uab.es/~gaby Gabriel Verdejo Alvarez – “CAPÍTULO 4: SEGURIDAD EN REDES IP: Honeypots y Honeynets”



CAPITULO 4

Honeypots y Honeynets



En los capítulos anteriores hemos examinado las distintas técnicas de ataques de
denegación de servicio DOS/DDOS así como los sistemas de detección de intrusos
(IDS). En este capítulo plantearemos el cambio de escenario que están sufriendo las
comunicaciones por Internet debido al rápido avance tecnológico y cómo estas han ido
modificando los ataques a las redes de ordenadores.

Nuevos tipos de ataques requieren nuevos modelos que permitan ampliar el espectro de
seguridad cubierto anteriormente. Describiremos en profundidad las características,
tipos y ubicaciones de los Honeypots. Estos son un intento de conocer al enemigo
“desde dentro”, conocer sus técnicas y motivaciones proporcionándole un entorno
controlado pero interactivo en el que pueda “jugar” mientras es espiado.


113

http://tau.uab.es/~gaby Gabriel Verdejo Alvarez – “CAPÍTULO 4: SEGURIDAD EN REDES IP: Honeypots y Honeynets”

Comentaremos los distintos tipos, sus arquitecturas así como las posibles ubicaciones
que permiten y las implicaciones legales que entraña su uso.

Posteriormente nos centraremos en las Honeynets, que aparecen como desarrollo del
concepto de Honeypot. Se explicarán sus distintas características y configuraciones
(generaciones) y veremos como permiten la implementación de completos sistemas para
el estudio de atacantes.

Finalmente se describirán las Honeynets virtuales que permiten mediante un uso
mínimo de recursos una implementación total de una o varias Honeynets.



4.1 Nuevos escenarios de ataques

En los capítulos anteriores hemos analizado los escenarios típicos generadores de
amenazas para cualquier sistema conectado a Internet. Con el aumento de los anchos de
banda disponibles y el abaratamiento de los accesos a la red hemos podido observar una
evolución de las técnicas de ataques existentes en la actualidad.

Anteriormente
los ataques se basaban en razonamientos simples, dada una
máquina/dominio/servicio conocido (por ejemplo el de correo personal gratuito de
Hotmail → www.hotmail.com), bastaba con obtener su dirección IP (vía consulta DNS
por ejemplo) y proceder con cualquiera de los ataques anteriormente descritos.

Este procedimiento que consideraremos “standard” circunscribía los destinatarios de
ataques informáticos a grandes empresas, organismos oficiales y universidades. Sin
embargo, la mejora de la conectividad nos permite ahora realizar combinaciones de
ataques que hasta hace unos pocos años eran imposibles.

La realización de un análisis completo (scan o probe) de toda una clase A, B o C (ver
figura 4-1) deja de ser una utopía para convertirse en una simple cuestión de días o
incluso horas.

114

http://tau.uab.es/~gaby Gabriel Verdejo Alvarez – “CAPÍTULO 4: SEGURIDAD EN REDES IP: Honeypots y Honeynets”

CLASE

RANGO



A
B
C

0.0.0.0
128.0.0.0
192.0.0.0

127.255.255.255
191.255.255.255
223.255.255.255



ORDENADORES
128 redes de 2^24 direcciones
2^14 redes de 2^16 direcciones
2^21 redes de 2^8 direcciones

FIG. 4-1: Redes y direcciones IP en Internet.



La proliferación y difusión de herramientas específicas para este
tipo de
comportamientos (podemos encontrar cientos de servidores WWW con unas simple
búsqueda en Google), ha ido pareja al aumento de jóvenes con ganas de emular las
películas de piratas informáticos.

Precisamente esta gran cantidad de público ha llevado a la creación de herramientas con
interfaces (front-ends) muy sencillos y amigables que permiten prácticamente a
cualquier persona sin muchos conocimientos (script-kiddies) rellenar un par de campos
de parámetros (por ejemplo la dirección IP de inicio y final) y lanzar ataques
indiscriminados.

Muchas herramientas simplemente comprueban si el ordenador atacado presenta una
vulnerabilidad o versión antigua de software, cosa que antes o después les llevará a
conseguir acceso a algún sistema conectado a Internet.

La proliferación de este tipo de herramientas junto a pensamientos erróneos del tipo
“nadie me conoce” o “quien va a querer atacarme, no merece la pena” lleva a que el
número de ordenadores comprometidos sea muy difícil de aproximar, y únicamente
cuando es demasiado tarde (el ordenador ya ha sido utilizado para un ataque o han
borrado información) las prisas y necesidades de seguridad en la empresas pasan a
tomarse en serio.

Podemos observar como en el último trimestre de 2002 [Gre03] mas del 73% de los
ataques observados en Internet pertenecen a la categoría de “actividad sospechosa en
la red”, indicando una bajada importante de los ataques directos y un gran aumento de
comportamientos poco claros o sospechosos en la red.


115

http://tau.uab.es/~gaby Gabriel Verdejo Alvarez – “CAPÍTULO 4: SEGURIDAD EN REDES IP: Honeypots y Honeynets”

Estos barridos “ciegos” por Internet tienen por objetivo la creación de listas de
ordenadores conectados a la red (shopping lists). Posteriormente, estas listas que
contienen las direcciones IP son utilizas por programas mas sofisticados que
comprueban los servicios existentes en las máquinas buscando alguna vulnerabilidad
que pueda ser aprovechada para obtener el control del ordenador.

Una vez conseguido el acceso se suelen instalar programas de puerta trasera (back
door) para poder acceder de forma invisible a la máquina. Esta queda en estado de
“espera” por tiempo indefinido hasta que el atacante (hacker) desee hacer uso de ella.

Cabe señalar también que muchas veces el acceso a un ordenador es utilizado como
trampolín para efectuar nuevos barridos de forma que el verdadero origen del barrido no
queda comprometido. Además, al igual que en los ataques DDOS, mas ordenadores
comprometidos conectados a Internet significa mas potencia de búsqueda de posibles
nuevas víctimas.



4.2 Historia de los Honeypots

Una vez definido el nuevo escenario hacia el que Internet se encamina, podemos
observar como muchas de las premisas clásicas de seguridad (“si nadie conoce mi red
nadie puede encontrarla” o “cuando menos documentada esté mi estructura más difícil
será para un atacante el poder entrar”) dejan de tener sentido.

Así mismo, las herramientas típicas de seguridad por excelencia (firewalls, IDS) dejan
un hueco cada vez más importante sin cubrir.

Históricamente las primeras referencias a un sistema de monitorización de intrusos
aparecen ya en la bibliografía sobre los años 90 de la mano de Clifford Stoll [Sto90],
sin embargo los líderes en la investigación y desarrollo del concepto de Honeypot se
agrupan en el HoneyNet Project [WWW119][WWW149].


116

http://tau.uab.es/~gaby Gabriel Verdejo Alvarez – “CAPÍTULO 4: SEGURIDAD EN REDES IP: Honeypots y Honeynets”

Este proyecto se inició informalmente en la lista de correo “Wargames” en abril de 1999
[Kue01] gracias a los correos cruzados entre varios expertos en seguridad de redes que
culminaron con el desarrollo formal del proyecto antes de finalizar el año.

En junio de 2000 y por espacio de tres semanas, el Honeypot del proyecto fue atacado y
comprometido por un famoso grupo de hackers, lo que permitió el estudio del
comportamiento de este grupo en “real” así como demostrar la viabilidad y utilidad de
esta nueva herramienta de seguridad.

Este conocido incidente catapultó mediáticamente el concepto de Honeypot como la
última tendencia en seguridad de redes convirtiendo su libro en un best-seller de lectura
obligatoria para todos los profesionales de la seguridad [Hon01].

A inicios de 2001 se convirtió en una organización si ánimo de lucro [WWW123]
dedicada al estudio de los hackers (blackhats) que actualmente está compuesta por más
de 30 miembros permanentes.



4.3 Honeypots

El concepto de Honeypot no fue extraído o inventado de la nada, sino que es fruto de la
realización de varios estudios en el campo de la seguridad de redes de ordenadores
[Sch99][Hon01][Mcm01][Kue02][Ran02][VP02][Lev03].

Definiremos Honeypot (tarro de miel textualmente) como “un recurso de red destinado
a ser atacado o comprometido. De esta forma, un Honeypot será examinado, atacado y
probablemente comprometido por cualquier atacante. Los Honeypot no tienen en
ningún caso la finalidad de resolver o arreglar fallos de seguridad en nuestra red. Son
los encargados de proporcionarnos información valiosa sobre los posibles atacantes en
potencia a nuestra red antes de que comprometan sistemas reales.” [Spit02].


117

http://tau.uab.es/~gaby Gabriel Verdejo Alvarez – “CAPÍTULO 4: SEGURIDAD EN REDES IP: Honeypots y Honeynets”

Esta nueva aproximación a la seguridad de redes de ordenadores rompe muchos tabúes
clásicos que se daban como axiomas en la seguridad informática “clásica”:


• Por un lado, este nuevo elemento no sirve para eliminar o corregir fallos de
seguridad existentes en nuestra red. Si nuestra red es vulnerable, añadir un
Honeypot no solventará este fallo.


• Por otro lado, en lugar de evitar a cualquier precio que un atacante fije su

interés en nuestra red, le invitamos o incitamos (para ser exactos deberíamos
decir le permitimos) a que entre y ataque nuestra red.


Este interés en dejar una puerta ab