Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Sistemas Honeynet
1. FIST Conference Febrero 2004 @
SISTEMAS HONEYNET
Rafael San Miguel Carrasco
Soluciones Seguras
2. FIST Conference Febrero 2004 @
1. Definición de honeynet
2. Software con tecnología honeynet
3. Ejemplo: honeyd
4. Gestión de un sistema honeynet
3. FIST Conference Febrero 2004 @
Definición de honeynet :
• honeynet = red trampa para hackers
• cebo en la red
• distinguir tráfico legítimo de tráfico
malintencionado
• sustituye o complementa a sistemas
HIDS y sondas
4. FIST Conference Febrero 2004 @
Definición de honeynet :
“Cualquier tráfico dirigido a una máquina de la
red que NO está en producción (honeynet)
proviene de un atacante”
SMTP WEB HONEYNET
5. FIST Conference Febrero 2004 @
Clases de sistemas honeynet :
• honeynet para investigación
• honeynet vulnerable como IDS
• honeynet protegida como IDS
6. FIST Conference Febrero 2004 @
honeynet para investigación:
• conocer la metodología de los hackers
• máxima protección de la honeynet
• importancia de los mecanismos de
logging
7. FIST Conference Febrero 2004 @
honeynet vulnerable como IDS:
• vulnerabilidad real y fácilmente detectable
• protección del entorno de la honeynet
(firewall con reglas para tráfico out)
• mecanismos de logging vulnerables
8. FIST Conference Febrero 2004 @
honeynet protegida como IDS:
• simulación de una vulnerabilidad
fácilmente detectable
• el atacante descubre el engaño fácilmente
• mecanismos de logging fiables
9. FIST Conference Febrero 2004 @
honeynet vulnerable como IDS:
• disuade a los atacantes de comprometer el
resto de máquinas de la red
honeynet protegida como IDS:
• identificación de atacantes y acciones de
carácter legal o administrativo
11. FIST Conference Febrero 2004 @
Symantec Decoy Server (Mantrap) :
• cages sobre sistema operativo host
• logging a través de syslog
• CGM (Content Generation Module)
• ataques internos
• interfaz gráfica atractiva
12. FIST Conference Febrero 2004 @
Deception Toolkit :
• simulación de servicios de red
vulnerables
• logging a través de syslog
• gestión vía telnet/rsh
• detección trivial
13. FIST Conference Febrero 2004 @
LaBrea :
• defensa basada en ataque DoS
• ralentiza la expansión de worms
• idea tomada del exploit naphta
• sólo “engaña” a robots de red
14. FIST Conference Febrero 2004 @
Honeyd :
• emulación de:
• servicios de red
• topologías de red
• SSOO a nivel de stack TCP/IP
15. FIST Conference Febrero 2004 @
SSOO emulados :
• Linux
• Windows (95/98/NT/2000/Me/XP)
• Cisco IOS
• Mac OS
• Sega Dreamcast
16. FIST Conference Febrero 2004 @
Honeyd :
• IP takeover
• ratio de pérdida, latencia de
comunicación
• interfaz basada en línea de comandos
y ficheros de configuración
22. FIST Conference Febrero 2004 @
honeyd.conf : máquina Linux
create linux
set linux personality "Linux 2.0.32-34"
set linux default tcp action reset
set linux default udp action reset
add linux tcp port 110 "sh scripts/pop3.sh $ipsrc $ipdst $dport"
add linux tcp port 25 "sh scripts/smtp.sh $ipsrc $ipdst $dport"
add linux tcp port 21 "sh scripts/ftp.sh $ipsrc $ipdst $dport"
set linux uptime 3284460
bind 80.58.63.61 linux
23. FIST Conference Febrero 2004 @
honeyd.conf : máquina Windows
create windows
set windows personality "Windows NT 4.0 Server SP5-SP6"
set windows default tcp action reset
set windows default udp action reset
add windows tcp port 80 "perl /usr/local/share/honeyd/scripts/iis-0.95/iisemul8.pl"
add windows tcp port 139 open
add windows tcp port 137 open
add windows udp port 137 open
add windows udp port 135 open
set windows uptime 3284460
bind 80.58.63.60 windows
24. FIST Conference Febrero 2004 @
honeyd.conf : router Cisco
create router
set router personality "Cisco IOS 11.3 - 12.0(11)"
set router default tcp action reset
set router default udp action reset
add router tcp port 23 "/usr/bin/perl scripts/router-telnet.pl"
set router uid 32767 gid 32767
set router uptime 1327650
bind 80.58.63.62 router
25. FIST Conference Febrero 2004 @
syslog.conf : redirección a servidor
de logs remoto
daemon.info,daemon.err,daemon.warn @servidor
44. FIST Conference Febrero 2004 @
herramienta de gestión: características
• parsear mensajes honeyd
• empaquetado y almacenaje de logs
• cifrado de la comunicación
• estadísticas del sistema
46. FIST Conference Febrero 2004 @
Sandbox: más seguridad
• Sólo llamadas al sistemas “legítimas”
(observación del funcionamiento “típico”)
• Restriccíón de privilegios
47. FIST Conference Febrero 2004 @
• Auditorías de seguridad
• e-commerce • redes de acceso
• web • VPN
• wireless • sistemas operativos
• Diseño de sistemas de información
seguros