PDF de programación - Honeypots

seguridad
Tecnologías de Seguridad

Honeypots

Gabriel García

Hoy haremos algunos apuntes sobre seguridad
y detección de intrusos en general y más en
particular sobre los honeypots o tarros de miel,
que es una de las tecnologías de seguridad con
más auge en este momento. Primero haremos una
introducción teórica para aprender los conceptos
básicos necesarios y luego veremos cómo podemos
aplicar éstos a una instalación Linux y ver los
resultados para experimentar con ellos.
¿Cómo podemos defendernos contra un enemigo,
que no vemos y ni siquiera sabemos quién es?

.

p
m
o
c
.
e
r
a
w

t
f

lL a seguridad siempre ha sido un punto alto de los

sistemas *nix, eso no quiere decir que equipos
con UNIX, Linux o sus variantes no sufran ata-
ques, no solamente los sufren, sino que algunas
veces tienen éxito debido a vulnerabilidades existentes, ma-
las configuraciones o ataques internos.

o
s
@
x
u
n

i
l

Tarros de miel
La idea atrás de los honeypots es simple: mostrar a los ata-
cantes un sistema virtual que parezca el sistema real, de esa
manera los ataques se efectuarán sobre ese sistema sin cau-
sar ningún daño al sistema real. Es el software o hardware
(computadoras) cuya intención es atraer (como la miel) a los
atacantes simulando ser sistemas débiles o con fallas de segu-
ridad no del todo evidentes, pero si lo suficiente para atraerlos
y ser un reto para sus habilidades de intrusión.

Tipos de honeypots
Podemos dividir los honeypots en dos tipos:

cada movimiento del atacante para usar esta informa-
ción y crear perfiles de los mismos.

• Para producción: se usan para proteger a los verdaderos
servidores y desviar la atención de los atacantes. De esta
manera se disminuye la superficie de ataque de los in-
trusos.

Otra división que suelen tener los honeypots es en base al
grado de interacción con el usuario, aquí nuevamente tene-
mos dos tipos:

• Alta interacción: se usan sistemas complejos que recrean
un sistema completo con sistema operativo y aplicacio-
nes reales, en este caso no hay emulación, quien entre
encontrará un gran sistema para interactuar, de esta ma-
nera se pueden estudiar mejor las actividades de quienes
ingresan al mismo. Estos sistemas requieren más trabajo
de implementación y solamente son usados por grandes
organizaciones que disponen de los recursos necesarios
para hacerlo.

• Para investigación: se usan para recolectar información
sobre los movimientos de los intrusos, o sea se registra

• Baja interacción: en este tipo la interacción con el usua-
rio es mucho menor y se limita por lo general a emular

18

Linux+ 11/2007

seguridad
Tecnologías de Seguridad

base de datos o situaciones para atraer
atacantes.

Desventajas

• Solamente podemos ver lo que pasa con
los honeypots, ya que las actividades a las
que estamos registrando son sobre este
sistema y nada podemos hacer sobre sis-
temas vecinos.

• Como toda nueva tecnología usada, se
agregan riesgos inherentes a ellas y pue-
den llegar a ser usados para nuevos y di-
ferentes ataques.

Usos de los honeypots
Los honeypots son muy flexibles por lo que el
campo de acción es bastante grande, depen-
diendo de la configuración podemos llegar
a tener tres tipos de usos:

• Detectar ataques: la detección suele ser
una tarea difícil, se colecta demasiada
información que después es difícil de
analizar y se vuelve tediosa, a la vez es
difícil de distinguir cual es la actividad
normal del día a día del trabajo y la que
se puede atribuir a algún atacante. Con
los honeypots se pueden reducir las
falsas alarmas al capturar poca cantidad
de información de las actividades de los
atacantes, en general se usan honeypots
de baja interacción para las tareas de
detección.

• Prevenir ataques: los honeypots pueden
ayudar a prevenir ataques de muchas
maneras, un ataque común es el auto-
matizado, que son gusanos que revisan
redes en busca de vulnerabilidades y si
encuentran un sistema vulnerable, éste
es atacado y tomado, en general esto su-
cede replicándose en la red haciendo co-
pias de sí mismo tanto como pueda. Un
honeypot puede reducir la velocidad de
este proceso e incluso llegarlo a detener,
este tipo de honeypot es llamado sticky
honeypot (tarro de miel pegajoso) y es el
encargado de interactuar con el atacante
haciéndolo más lento, para ello se usan
una variedad de trucos sobre el protoco-
lo TCP, como un tamaño de ventana de
longitud cero u otros.

• Responder ataques: en grandes sistemas,
una vez detectado un ataque, éste puede
ser respondido, pero no siempre es la
mejor medida a tomar, no sabemos quie-
nes atacan a nuestros equipos y que pro-
pósitos tienen, por lo que a veces, es me-
jor esperar a obtener mayor información

Figura 1. Instalando honeyd en Ubuntu Linux

servicios. Son rápidos y fáciles de imple-
mentar por lo que, en general, son los más
utilizados.

Ventajas

• Los honeypots no requieren gran hard-
ware, ya que solamente registran datos
cuando son accedidos y se pueden con-
figurar para sólo registrar ciertos tipos
de eventos, de esta manera los respon-
sables de la seguridad no se ven sobre-
pasados con registros de miles de líneas
que muchas veces son difíciles de ana-
lizar.

• Se pueden reducir las falsas alertas, es
decir, muchas veces ciertos eventos que
suceden a menudo suelen ignorarse de

la misma manera que cuando suenan las
alarmas de los autos en un estacionamien-
to, la mayoría de la gente cansada de las
alarmas empieza a ignorarlas creando
una falsa alarma o falso positivo. Todo
acceso a un honeypot por definición es
no autorizado, por lo tanto no hay que
obviarlo.

• Detección de falsos negativos, es decir, se
pueden detectar nuevos y desconocidos
ataques, ya que todo acceso, como dijimos
antes, es una anomalía y debe ser ana-
lizada.

• Trabajan con nuevas tecnologías como

SSH, IPSec, SSL e Ipv6.

• Nivel de flexibilidad, se pueden adaptar
casi a cualquier situación y recrear cual-
quier ambiente y de esta manera ofrecer

Figura 2. Honeyd corriendo en nuestro sistema

www.lpmagazine.org

19

seguridad
Tecnologías de Seguridad

Listado 1. Archivo de configuración honeyd.conf

route entry 10.0.0.1
route 10.0.0.1 link 10.0.0.0/24
route 10.0.0.1 add net 10.1.0.0/16 10.1.0.1 latency 55ms loss 0.1
route 10.0.0.1 add net 10.2.0.0/16 10.2.0.1 latency 20ms loss 0.1
route 10.0.0.1 add net 10.3.0.0/16 10.2.0.1 latency 20ms loss 0.1
route 10.1.0.1 link 10.1.0.0/24
route 10.2.0.1 link 10.2.0.0/24
route 10.2.0.1 add net 10.3.0.0/16 10.3.0.1 latency 10ms loss 0.1
route 10.3.0.1 link 10.3.0.0/16

create routerone
set routerone personality "Cisco 7206 running IOS 11.1(24)"
set routerone default tcp action reset
add routerone tcp port 23 "scripts/router-telnet.pl"

create routertwo
set routertwo personality "Cisco 762 Non-IOS Software
release 4.1(2) or 766 ISDN router"
set routertwo default tcp action reset
add routertwo tcp port 23 "scripts/router-telnet.pl"

# Example of a simple host template and its binding
create default
set default personality "FreeBSD 2.2.1-STABLE"
set default default tcp action reset
add default tcp port 80 "sh scripts/web.sh"
add default tcp port 22 "sh scripts/test.sh"
add default tcp port 113 reset
add default tcp port 1 reset

create allopen
set allopen personality "NetBSD 1.5.2 running on
a Commodore Amiga (68040 processor)"
set allopen default tcp action open
add allopen tcp port 80 "sh scripts/web.sh"
add allopen tcp port 113 reset
add allopen tcp port 1 reset

create template
set template personality "Check Point FireWall-1 4.0 SP-5
(IPSO build)"
add template tcp port 80 "sh scripts/web.sh"
add template tcp port 23 block
add template tcp port 22 "sh scripts/test.sh"
set template default tcp action reset
set template uid 32767

bind 10.0.0.1 routerone
bind 10.1.0.1 routertwo
bind 10.2.0.1 routertwo
bind 10.3.0.1 routerone
bind 10.1.0.2 template
bind 10.0.0.10 allopen
bind 10.2.0.5 allopen

20

Linux+ 11/2007

o como sucede a menudo, los sistemas
no pueden detenerse para analizar daños
y realizar un examen exhaustivo de que
ha sucedido, esto pasa con servidores
web o de correo electrónico, en donde
toda la organización depende de esos
servicios y el tiempo fuera de servicio de
los mismos es crítico. Otro problema es
que si el sistema es puesto fuera de ser-
vicio, tendremos muchísima información
a analizar (ingreso de usuarios, correos
enviados y leídos, archivos escritos, ac-
cesos a base de datos) que son el resul-
tado de la operación normal de cualquier
sistema pero donde se nos hace muy
difícil separar esa actividad de las de un
atacante. Los honeypots pueden ayudar-
nos a resolver estos problemas en forma
fácil y rápida ya que es sencillo poner el
sistema fuera de línea para un análisis
detallado sin necesidad de tocar nada
en los sistemas de producción. Esto es
posible porque en los honeypots la única
información que se almacena es la sos-
pechosa, de ahí surge que la cantidad de
información a analizar es mucho menor
y casi de seguro que de un atacante. Con
esta información de las herramientas
y procedimientos usados por los atacan-
tes se aumentan las posibilidades de que
un contraataque tenga éxito. Para este
tipo de uso los honeypots de alta interac-
ción son los usados.

Investigación
Los honeypots, como hemos dicho anterior-
mente, pueden ser usados para propósitos de
investigación, que en sí es muy valiosa, al ser
éstas una carencia de toda organización hoy en
día: ¿quienes nos atacan y qué quieren? De esta
manera se aprende más sobre los atacantes, sus
motivaciones y otras cosas que los rodean, co-
mo qué valor le dan a cada tipo de información
q