honeynet para dar a luz perfiles de atacantes, cparty colombia 2010
TRANSCRIPT
HONEYNET PARA DAR A LUZ PERFILES DE ATACANTES
Katherine CanceladoAndres Morantes
@eepica@poterpig
INTRODUCION
La seguridad total no existe y las vulnerabilidades se descubren cuando son explotadas. Esta es la idea general de nuestra charla, en la cual intentaremos mostrar como, a partir del uso de recursos de red como honeypots y honeynets, se pueden descubrir vulnerabilidades, perfilar atacantes y espiar a quienes nos espian.
ATAQUE
VULNERABILIDAD
Debilidad de seguridad en un sistema informático.
ATAQUES Y ESTADISTICAS
ATAQUES Y ESTADISTICAS
ATAQUES Y ESTADISTICAS
HONEYPOTS
Son recursos de red, como servidores, aplicaciones o servicios comprometidos que sirven como señuelos para ser atacados y poder capturar eventos.
HONEYPOTS
CARACTERISTICAS
Necesitan poco recurso de red, y recurso de maquina.
Son usados para la recolección de datos de un objetivo específicamente, como un sistema operativo comprometido, una aplicación comprometida, etc
Disminuye la cantidad de falsos positivos.
Generan riesgos muy altos para la red, los atacantes pueden usar estos honeypots en contra de la red.
HONEYPOTS
MITOS Y REALIDADES
Una Honeypot no es un IDS
Nos ayuda a recolectar información de personas mal intencionadas
No es un recurso que ayuda a proteger la red.
No hará que un atacante se fije en su red,
HONEYNET
Red de honeypots que se caracterizan por una alta interaccion simulando una arquitectura de red con servicios y aplicaciones.
CLASIFICACION
Produccion
Compromiso alto
Compromiso medio
Compromiso bajo
Investigación
Emulacion y virtualizacion
Hipervirtualizacion
DE PRODUCCION
HONEYPOTS DE PRODUCCION: COMPROMISO BAJO
HONEYPOTS DE PRODUCCION:COMPROMISO MEDIO
HONEYPOTS DE PRODUCCION:COMPROMISO ALTO
DE INVESTIGACION
HONEYNETS VIRTUALES
La idea de la creación de Honeynets virtuales es poder tener múltiples Honeypots dentro de un mismo anfitrión.
Ventajas:
Múltiples Sistemas Operativos corriendo bajo un mismo host
Generan un gran volumen de información bajo una zona controlada.
Mayor flexibilidad en el uso de honeypots
Disminución de costos en la creación de Honeypots
HONEYNETS VIRTUALES
Desventajas:
Podría ser fácil detectar un escenario virtual para un atacante.
Podría disminuir la interacción entre el atacante y la Honeynet.
HONEYNETS VIRTUALES
CLASIFICACION:
Simulación
Virtualización Completa y Nativa
Hypervirtualización o Paravirtualización
HONEYNET VIRTUALES
Simulación: es capaz de simular una maquina completa, con características especiales, por ejemplo ram, procesador tarjeta de vídeo,etc.
Quemu: es un emulador de procesadores basado en la traducción dinámica de binarios (conversión del código binario de la arquitectura fuente en código entendible por la arquitectura huésped).
VENTAJAS
Opensource
Multiarquitectura: x86, x86-64, PowerPC, MIPS, SPARC, etc.
DESVENTAJAS
Es un poco mas lento que los simuladores tradicionales
HONEYNETS VIRTUALES
VIRTUALIZACION
Simulación de múltiples sistemas operativos que se ejecutan desde una sola maquina anfitriona.
Virtualizacion Completa
Virtualizacion Nativa
HONEYNETS VIRTUALES
Virtualización Completa:
La maquina virtual simula poseer distintos tipos de hardware para ser detectados dentro de un Sistema Operativo aislado virtualizado.
Ejemplos:
Vmware
Virtualbox
Openvz
HONEYNETS VIRTUALES
Virtualización Nativa:
Es aquella virtualización que toma recursos de la máquina anfitriona combinandolo con la virtualización, esto gracias a los nuevos procesadores AMD-V, Intel-VT.
Ejemplos:Virtualbox
Vmware WorkstationVmware Server
KVM-Quemu
HONEYNETS VIRTUALES
Hypervirtualización
Llamado así por su plataforma de virtualización Hypervisor (en ingles) el cual permite usar múltiples sistemas operativos en un mismo host anfitrión
HONEYNETS VIRTUALES
Esquema de hypervirtualización Vmware
Esquema de hypervirtualizacion XEN
HONEYNETS
HONEYWALLProyecto que se dedica al estudio de honeynets de alta interacción. Este proyecto reune una gran información, codigos fuentes y documentación para el estudio del mismo. Posee además de esto una recolección de herramientas para la creación y estudio de honeynets recopiladas en un CDROM llamado Honeywall.
HONEYNETS
HONEYWALL
Ejemplos de configuración:
GEN II
HONEYNETS
HONEYWALL
GEN III (Sebek)
Ubicación de los honeypot:Antes del Firewall
Ubicación de los honeypot:Despues del Firewall
Ubicación de los Honeypot:En la DMZ
HoneyD
Es un demonio que permite la creacion de multiples hosts que simulando una red, con multiples vulnerabilidades, entre sus caracteristicas se destacan sus mecanismos para Detección y analisis de amenazas.
MWCOLLECT
Es un interesante proyecto que actualmente esta conformado por Nephentes y Honeytrap.
Nephentes: Herramienta de captura de malware por medio de simulacion de vulnerabilidades, actua pasivamente.
Honeytrap: Honeypot de baja interaccion, especializado en la observacion de servicios TCP.
IDS
Intrusion Detection System:
Modelo o recurso de seguridad, que recolecta y analiza informacion recolectada de espacios de red o hosts especificos de la misma, con el fin de identificar posibles fallos de seguridad.
Tipos de IDS
HIDS: Host IDS
NIDS: Network IDSSignature based NIDS Anomaly based NIDS
Protocol modeling NIDS
IPS
Intrusion Prevention System:
Dispositivo (Hardware o Software) cuyo objetivo es detectar ataques conocidos o no conocidos y reaccionar ante ellos, impidiendo el éxito de los mismos, la cual es su caracteristica principal.
Podrian considerarse la evolucion de sistemas como Firewall y los anteriormente nombrados IDS.
Referencias
Experiencias de Virtualización en CICA, Juan Carlos Rubio Pineda, http://www.slideshare.net/jcrubio/virtualizacion-1607987
Honeypots, herramientas forenses para trazar perfiles del enemigo, Armando Carvajal, http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIJNSI_ACarvajal.pdf
Linux virtualization and PCI passthrough, http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/
Virtualizacion All plataforms, http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/
Proyecto Honeynet,http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/