Honeynet
| ||||
Honeynet. Los Honeynet son un tipo especial de Honeypots de alta interacción que actúan sobre una red entera, diseñada para ser atacada y recobrar así mucha más información sobre posibles atacantes.
Sumario
Uso de una Honeynet
Se usan equipos reales con sistemas operativos reales . Muchos honeypota tradicionales han sido para engañar o detectar ataques. Normalmente están impuestas por un único sistema que emula otros sistemas, emula servicios conocidos o vulnerabilidades, o crea entornos cerrados. Este tipo de honeypots se usan principalmente para la investigación de nuevas técnicas de ataque y para comprobar el modus-operandi de los intrusos. Una Honeynet es diferente de los honeypots tradicionales, es lo que clasificaríamos como un honeypot para la investigación. Esto no lo hace una mejor solución que los honeypots tradicionales, simplemente tiene un propósito diferente. En vez de darle uso siendo detectado o engañando a los agresores, su uso es recoger información de las amenazas. Las dos principales diferencias de diseño respecto a los honeypots tradicionales son:
- No es un sólo sistema sino una red de varios sistemas y aplicaciones las cuales son investigadas y atacadas por los blackhats. Las Honeynets pueden utilizar varios sistemas al mismo tiempo, como Solaris, Linux, Windows NT, router Cisco, conmutadores Alteon, etc. Esto crea un entorno de red que refleja de forma más realista una red productiva. Además, al tener diferentes sistemas con diferentes aplicaciones, como un servidor DNS en Linux, un servidor Web Windows IIS, y un servidor de bases de datos en Solaris, podemos aprender sobre diferentes herramientas y tácticas. Quizás algunos blackhats se centran en sistemas específicos, aplicaciones o vulnerabilidades. Teniendo una variedad de sistemas operativos y aplicaciones, somos capaces de trazar con más exactitud el perfil de las tendencias y rasgos de los blackhat.
- Todos los sistemas situados dentro de una Honeynet son sistemas comerciales estándar. Estos son sistemas y aplicaciones reales, los mismos que puede encontrar en Internet. Nada es emulado ni se hace nada para que los sistemas sean menos seguros. Los riegos y vulnerabilidades encontradas en una Honeynet son las mismas que existen hoy en muchas organizaciones. Uno simplemente puede tomar un sistema de un entorno comercial y situarlo dentro de una Honeynet.
Estas son dos diferencias de diseño que hacen de la Honeynet principalmente una herramienta para la investigación. Puede ser usada como un honeypot tradicional, detectando actividades no autorizadas, sin embargo una Honeynet requiere bastante más trabajo, riegos y administración. Simplemente no merece la pena hacer todo el esfuerzo de construir y mantener una honeypot sólo para detectar ataques. Tradicionalmente, la información sobre seguridad ha sido puramente defensiva. Cortafuegos, Sistemas de Detección de Intrusiones, cifrado; todos estos mecanismos se usan defensivamente para proteger los recursos de alguien. La estrategia es defender la organización de alguien tan bien como sea posible, detectar posibles fallos en la defensa y entonces reaccionar a esos fallos. El problema de esta situación es puramente defensivo, el enemigo está al ataque. Las Honeynets intentan cambiar esto. El principal propósito de una Honeynet es recoger información sobre las amenazas existentes. Nuevas herramientas pueden ser descubiertas, pueden determinarse patrones de ataque, y los motivos del agresor estudiados. Las Honeynets no son más que una herramienta, y como tal puede ser usada para otros fines. Un ejemplo, las organizaciones pueden utilizar Honeynets para comprobar y desarrollar su capacidad de Respuesta ante Incidentes. Las ventajas que se obtienen analizando estos sistemas comprometidos es que se obtienen la mayoría de las respuestas. Puede tratar el sistema comprometido como un 'reto', donde comprobará sus habilidades para determinar qué pasó utilizando diversas técnicas forenses. Entonces puede comparar estos resultados con los datos capturados dentro de la Honeynet. Ejemplos de esto son los numerosos retos avalados por el Honeynet Project. Las Honeynets son simplemente una herramienta, encuentra su utilidad allá donde usted decida usarlas. Sin embargo, su principal propósito y diseño está basado en la investigación de amenazas.
Cómo funciona
Conceptualmente, las Honeynets son un mecanismo simple. Usted crea una red parecida a una pecera, donde puede ver todo lo que ocurre dentro de ella. Igual que a un pez, puede observar a los hackers interactuar con su entorno virtual. Además igual que en una pecera, puede poner allí casi todo lo que quiera. Esta red controlada se convierte en su Honeynet. Las actividades capturadas le enseñan las herramientas, tácticas y motivos de la comunidad blackhat. Tradicionalmente, el gran problema de los profesionales de la seguridad reside en que la detección y captura de actividad blackhat supone una sobrecarga de información. El reto para muchas organizaciones es determinar de entre una enorme cantidad de información qué es tráfico productivo y qué es actividad maliciosa. Herramientas y técnicas como los Sistemas de Detección de Intrusiones, análisis forenses de las máquinas, o los análisis de los registros del sistema intentan resolver esto mediante una base de datos de marcas conocidas o algoritmos para determinar qué es tráfico de producción y qué es actividad maliciosa. Sin embargo, la sobrecarga de información, la contaminación de los datos, actividades no descubiertas, falsos positivos y falsos negativos puede hacer el análisis y la determinación de las actividades algo extremadamente difícil. Como todos los honeypots, las Honeynets resuelven este problema de la sobrecarga de información a través de la simplicidad. Una Honeynet es una red diseñada para ser comprometida, no para ser usada por tráfico productivo. Así, cualquier tráfico entrando o saliendo de nuestra red es sospechoso por definición. Cualquier conexión iniciada desde fuera de la Honeynet hacia dentro de la red es probablemente algún tipo de sondeo, ataque u otra actividad maliciosa. Cualquier conexión iniciada desde dentro de la Honeynet hacia otra red de fuera indica que un sistema fue comprometido. Un agresor ha iniciado una conexión desde su recién atacada computadora y ahora está saliendo a Internet. Este concepto de ningún tráfico productivo simplifica enormemente la captura de datos y el análisis.
Requisitos
Para construir su Honeynet de forma satisfactoria, hay dos requisitos críticos; Control de Datos y Captura de Datos. Si hay algún fallo en cualquier requisito, entonces hay un fallo en la Honeynet. Las Honeynets pueden construirse y desarrollarse en cantidad de maneras diferentes, de forma que dos Honeynets nunca son iguales. A pesar de esto, todas deben reunir los requisitos sobre Control de Datos y Captura de Datos. El Control de Datos es una actividad de contención. Cuando tratamos con blackhats siempre hay riegos, debemos reducir este riesgo. Queremos asegurarnos de que una vez comprometida, un honeypot no puede ser utilizado para dañar a algún sistema que no sea la Honeynet. Sin embargo, el reto es controlar el flujo de datos sin que el blackhat sospeche. Una vez que el sistema está comprometido, el blackhat a menudo querrá conectarse a Internet, para descargar herramientas, establecer conexiones IRC o enviar correos electrónicos. Tenemos que darle flexibilidad para ejecutar estas acciones, y estos pasos son los que queremos aprender y analizar. Además, los blackhats pueden sospechar si observan que no pueden realizar conexiones al exterior. Cometimos este mismo error con nuestra primera Honeynet. No permitimos conexiones salientes hacia Internet. El blackhat sólo necesitó quince minutos para darse cuenta de que algo no iba bien, limpiar el disco duro y abandonar la red. Así que, el truco es darle al blackhat la flexibilidad para ejecutar lo que necesite, pero sin permitir que utilice el sistema comprometido para atacar a otros, con ataques de Denegación de Servicio, escaneos de sistemas y exploits. En general, cuanto más permita al blackhat salir hacia el exterior, más aprenderá, pero más grande será el riesgo. La Captura de Datos es la captura de todas las actividades del blackhat. son las actividades que se analizan para aprender las herramientas, tácticas y motivos de la comunidad blackhat. El reto es capturar tantos datos como sea posible, sin que el blackhat sospeche que cada acción está siendo capturada. Esto se hace con las menores modificaciones posibles, si las hay, a los honeypots. Además, los datos capturados no pueden guardarse localmente en el honeypot. La información guardada localmente puede ser potencialmente detectada por el blackhat, alertándole de que el sistema es una Honeynet. Los datos guardados pueden ser también perdidos o destruidos. No sólo tenemos que capturar cada movimiento del blackhat sin su conocimiento, sino que tendremos que guardar la información de forma remota. La clave está en capturar los datos por capas. No puede depender sólo de la información de una capa. Debe recoger datos de varios recursos. Así, de forma combinada, estas capas le permitirán pintar el gran cuadro. Hay un tercer requisito, la Recolección de Datos, pero es sólo para organizaciones que tienen varias Honeynets en entornos distribuidos. Muchas organizaciones tendrán una sola Honeynet, así que todo lo que necesitan es Controlar y Capturar Datos. Sin embargo, las organizaciones que poseen varias Honeynets lógica o físicamente distribuidas alrededor del mundo, como la Honeynet Research Alliance tienen que recolectar todos los datos capturados y guardarlos de forma centralizada. Esta forma de captura de datos puede ser combinada, de forma exponencial incrementando su alcance.
Cuidados, introducción de datos y riesgos
Las Honeynets no son soluciones para "enchufar y olvidar". son un complejo tipo de honeypot que requiere mantenimiento constante, administración y vigilancia. Para la máxima efectividad, necesita detectar y reaccionar a los incidentes tan pronto como sea posible. Observando las actividades de los blackhat en tiempo real, puede maximizar las capacidades de captura de datos y análisis. Además, para detectar los desconocidos, se requiere una revisión constante de las actividades sospechosas. Esto requiere mucho tiempo y capacidad de análisis. Por ejemplo, en sólo 30 minutos un blackhat puede hacer el suficiente daño a un honeypot comprometido que requiera 30-40 horas para entender completamente qué ha ocurrido. El mantenimiento constante es requerido para mantener la operabilidad de la Honeynet. Si algo va mal (y siempre hay algo) esto puede causar un fallo dentro de la honeynet. Sus procesos de alerta terminarán, los discos pueden llenarse, las firmas IDS pueden caducar, los ficheros de configuración corromperse, los registros del sistema necesitarán ser revisados, los cortafuegos necesitarán ser actualizados y parcheados. Esto representa algunos de los cuidados constantes e introducción de datos que se requiere para un correcto funcionamiento de la Honeynet. Su trabajo no hace más que empezar cuando construye una Honeynet. Además, hay riesgos implícitos en la construcción e implementación de una Honeynet. Tenemos blackhats atacando y comprometiendo nuestros sistemas. Estableciendo una red para ser comprometida, nos exponemos nosotros mismos, y a otros a un cierto riesgo. Usted asume la responsabilidad de asegurarse de que la Honeynet, una vez comprometida, no puede ser usada para atacar o dañar otros sistemas. No obstante, con un entorno como este, siempre hay un riesgo potencial de que algo vaya mal. Hemos implementado diversas medidas para reducir este riesgo. Sin embargo, es posible que un blackhat desarrolle un método o herramienta que le permita saltarse nuestros métodos de control de acceso. Además, se necesita actualizar y comprobar constantemente el entorno para asegurarnos de que las medidas de control funcionan correctamente. Nunca subestime el poder creativo de la comunidad blackhat. El uso de un cortafuegos, routers y otras técnicas ayudan a reducir el riesgo del uso de la Honeynet para dañar otros sistemas. Aún así, todavía hay riesgos. Por último, las honeynets no solucionarán sus problemas de seguridad. Recomendamos encarecidamente que las organizaciones se centren primero en mejores prácticas como la autenticación fuerte, uso de protocolos cifrados, revisión de registros del sistema, y versiones seguras del sistema. Mediante la prioridad en políticas y procedimientos adecuados, las organizaciones pueden reducir considerablemente los riesgos. Las Honeynets no reducen los riesgos, es más probable que los aumenten. Si su organización está interesada en las capacidades de detección o engaño de los honeypots, le recomendamos la lectura de honeypot whitepapery de los productos tratados al principio de este artículo. Las Honeynets son un honeypot diseñado principalmente para la investigación, para recoger información del enemigo. No solucionarán los problemas de su servidor poco seguro, no solucionará malos procesos o procedimientos.
Las Honeynets requieren una gran sobrecarga administrativa. El administrador de la honeynet tiene la responsabilidad de que ningún otro sistema vaya a ser atacado desde la Honeynet comprometida. Sin una administración apropiada, los riesgos pueden ser mayores que la recompensa. Esta herramienta no es la panacea de la seguridad, y no debe ser una solución para ninguna organización. El Honeynet Project recomienda encarecidamente que las organizaciones se centren primero en asegurar su organización, parcheando los sistemas o deshabilitando servicios. Una vez aseguradas, las organizaciones pueden entonces ser capaces de usar Honeynets como una poderosa herramienta para tomar la iniciativa y aprender más sobre el enemigo y ellos mismos. A pesar de ello, se recomienda a las organizaciones que consulten a sus asesores jurídicos sobre las cuestiones legales que pueden existir, antes de construir una Honeynet. A individuos u organizaciones interesados en aprender más sobre las tecnologías Honeynet, se les recomienda la lectura del libro Conoce a tu Enemigo, escrito por el Honeynet Project.
