HONEYNET PARA DAR A LUZ PERFILES DE ATACANTES

Katherine CanceladoAndres Morantes

@eepica@poterpig

INTRODUCION

La seguridad total no existe y las vulnerabilidades se descubren cuando son explotadas. Esta es la idea general de nuestra charla, en la cual intentaremos mostrar como, a partir del uso de recursos de red como honeypots y honeynets, se pueden descubrir vulnerabilidades, perfilar atacantes y espiar a quienes nos espian.

ATAQUE

VULNERABILIDAD

Debilidad de seguridad en un sistema informático.

ATAQUES Y ESTADISTICAS

ATAQUES Y ESTADISTICAS

ATAQUES Y ESTADISTICAS

HONEYPOTS

Son recursos de red, como servidores, aplicaciones o servicios comprometidos que sirven como señuelos para ser atacados y poder capturar eventos.

HONEYPOTS

CARACTERISTICAS

Necesitan poco recurso de red, y recurso de maquina.

Son usados para la recolección de datos de un objetivo específicamente, como un sistema operativo comprometido, una aplicación comprometida, etc

Disminuye la cantidad de falsos positivos.

Generan riesgos muy altos para la red, los atacantes pueden usar estos honeypots en contra de la red.

HONEYPOTS

MITOS Y REALIDADES

Una Honeypot no es un IDS

Nos ayuda a recolectar información de personas mal intencionadas

No es un recurso que ayuda a proteger la red.

No hará que un atacante se fije en su red,

HONEYNET

Red de honeypots que se caracterizan por una alta interaccion simulando una arquitectura de red con servicios y aplicaciones.

CLASIFICACION

Produccion

Compromiso alto

Compromiso medio

Compromiso bajo

Investigación

Emulacion y virtualizacion

Hipervirtualizacion

DE PRODUCCION

HONEYPOTS DE PRODUCCION: COMPROMISO BAJO

HONEYPOTS DE PRODUCCION:COMPROMISO MEDIO

HONEYPOTS DE PRODUCCION:COMPROMISO ALTO

DE INVESTIGACION

HONEYNETS VIRTUALES

La idea de la creación de Honeynets virtuales es poder tener múltiples Honeypots dentro de un mismo anfitrión.

Ventajas:

Múltiples Sistemas Operativos corriendo bajo un mismo host

Generan un gran volumen de información bajo una zona controlada.

Mayor flexibilidad en el uso de honeypots

Disminución de costos en la creación de Honeypots

HONEYNETS VIRTUALES

Desventajas:

Podría ser fácil detectar un escenario virtual para un atacante.

Podría disminuir la interacción entre el atacante y la Honeynet.

HONEYNETS VIRTUALES

CLASIFICACION:

Simulación

Virtualización Completa y Nativa

Hypervirtualización o Paravirtualización

HONEYNET VIRTUALES

Simulación: es capaz de simular una maquina completa, con características especiales, por ejemplo ram, procesador tarjeta de vídeo,etc.

Quemu: es un emulador de procesadores basado en la traducción dinámica de binarios (conversión del código binario de la arquitectura fuente en código entendible por la arquitectura huésped).

VENTAJAS

Opensource

Multiarquitectura: x86, x86-64, PowerPC, MIPS, SPARC, etc.

DESVENTAJAS

Es un poco mas lento que los simuladores tradicionales

HONEYNETS VIRTUALES

VIRTUALIZACION

Simulación de múltiples sistemas operativos que se ejecutan desde una sola maquina anfitriona.

Virtualizacion Completa

Virtualizacion Nativa

HONEYNETS VIRTUALES

Virtualización Completa:

La maquina virtual simula poseer distintos tipos de hardware para ser detectados dentro de un Sistema Operativo aislado virtualizado.

Ejemplos:

Vmware

Virtualbox

Openvz

HONEYNETS VIRTUALES

Virtualización Nativa:

Es aquella virtualización que toma recursos de la máquina anfitriona combinandolo con la virtualización, esto gracias a los nuevos procesadores AMD-V, Intel-VT.

Ejemplos:Virtualbox

Vmware WorkstationVmware Server

KVM-Quemu

HONEYNETS VIRTUALES

Hypervirtualización

Llamado así por su plataforma de virtualización Hypervisor (en ingles) el cual permite usar múltiples sistemas operativos en un mismo host anfitrión

HONEYNETS VIRTUALES

Esquema de hypervirtualización Vmware

Esquema de hypervirtualizacion XEN

HONEYNETS

HONEYWALLProyecto que se dedica al estudio de honeynets de alta interacción. Este proyecto reune una gran información, codigos fuentes y documentación para el estudio del mismo. Posee además de esto una recolección de herramientas para la creación y estudio de honeynets recopiladas en un CDROM llamado Honeywall.

HONEYNETS

HONEYWALL

Ejemplos de configuración:

GEN II

HONEYNETS

HONEYWALL

GEN III (Sebek)

Ubicación de los honeypot:Antes del Firewall

Ubicación de los honeypot:Despues del Firewall

Ubicación de los Honeypot:En la DMZ

HoneyD

Es un demonio que permite la creacion de multiples hosts que simulando una red, con multiples vulnerabilidades, entre sus caracteristicas se destacan sus mecanismos para Detección y analisis de amenazas.

MWCOLLECT

Es un interesante proyecto que actualmente esta conformado por Nephentes y Honeytrap.

Nephentes: Herramienta de captura de malware por medio de simulacion de vulnerabilidades, actua pasivamente.

Honeytrap: Honeypot de baja interaccion, especializado en la observacion de servicios TCP.

IDS

Intrusion Detection System:

Modelo o recurso de seguridad, que recolecta y analiza informacion recolectada de espacios de red o hosts especificos de la misma, con el fin de identificar posibles fallos de seguridad.

Tipos de IDS

HIDS: Host IDS

NIDS: Network IDSSignature based NIDS Anomaly based NIDS

Protocol modeling NIDS

IPS

Intrusion Prevention System:

Dispositivo (Hardware o Software) cuyo objetivo es detectar ataques conocidos o no conocidos y reaccionar ante ellos, impidiendo el éxito de los mismos, la cual es su caracteristica principal.

Podrian considerarse la evolucion de sistemas como Firewall y los anteriormente nombrados IDS.

Referencias

Experiencias de Virtualización en CICA, Juan Carlos Rubio Pineda, http://www.slideshare.net/jcrubio/virtualizacion-1607987

Honeypots, herramientas forenses para trazar perfiles del enemigo, Armando Carvajal, http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIJNSI_ACarvajal.pdf

Linux virtualization and PCI passthrough, http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/

Virtualizacion All plataforms, http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/

Proyecto Honeynet,http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/