Tarros de miel y redes trampa Resumen

Anuncio
Tarros de miel y redes trampa
Resumen
Miguel Ángel Manso Callejo
Curso: Seminario de Investigación
Charla de Javier Fernández Sanguino
Tarros de miel y Redes trampa
Introducción:
En este documento se presenta una introducción a los tarros de miel y las redes
trampa. Se definirán estos elementos de diagnóstico y detección precoz de ataques a las
vulnerabilidades de los actuales sistemas desplegados en Internet.
Internet, Intranet y la seguridad:
En Internet y las intranets se están produciendo constantemente, y con tendencia
alcista, ataques a los sistemas o intentos de violación de los mecanismos de seguridad.
Las estrategias más comúnmente adoptadas por las organizaciones es disponer de un
equipo humano encargado de la seguridad que estará pendiente de las publicaciones
procedentes del CERT e instalará los parches de seguridad de forma casi inmediata a su
publicación. Además las organizaciones intentan blindar la seguridad de la Intranet
utilizando cortafuegos que filtren direcciones y puertos sospechosos. Este tipo de
mecanismos de defensa son mecanismos preventivos. Últimamente se están utilizando
técnicas preventivas de detección precoz de posibles ataques.
La razón por la que se producen los ataques es muy variable. En algunos casos simple
curiosidad de neófitos que hacen uso de herramientas de sondeo y ataque
automatizadas. En otros casos son verdaderos expertos en la materia y pretenden
obtener algún tipo de satisfacción. En algunas ocasiones sirven a la causa detectando
problemas de seguridad en la organización, de modo que se pueda poner solución antes
de que estas vulnerabilidades sean aprovechadas por otros. Además de las herramientas
de sondeo automáticas están los gusanos, etc.. El uso de estas herramientas
automatizadas de exploración de puertos, sniffers, etc. requieren cada vez de un menor
grado de conocimiento y obteniendo un mayor grado de rendimiento en los resultados.
Por esta razón parece necesario utilizar otros tipos de estrategias que permitan detectar
los intentos de violación.
Los “tarros de miel” y las redes trampa pueden ayudar a detectar cuando una red está
siendo sondeada, atacada o puede ser comprometida.
Tarros de Miel:
La idea fundamental es instalar dentro de la red ya sea Internet o Intranet
equipos que no estén dados de alta en el DNS y que presten de forma figurada ciertos
servicios similares a los que dentro de la organización se pueden esperar. Si estos
sistemas son desconocidos para el resto del mundo, cualquier acceso a dicho sistema es
un indicio de de que se está produciendo un sondeo, ataque o uso no autorizado del
recurso.
Hay que destacar que los tarros de miel no son una solución a ningún problema sino que
son herramientas muy flexibles que pueden ser utilizados con distintos propósitos
pueden tener muchas formas y tamaños.
Las principales ventajas que aportan los tarros de miel son:
•
•
•
•
Inicialmente no exige una gran inversión porque puede utilizarse hardware en
desuso y software libre para instalarlo.
Se trata de un concepto simple puesto que toda actividad sobre el tarro de miel
es un acceso no autorizado.
Proporciona información valiosa al no tener que rastrear los ficheros de registro
(logs) de los servidores de producción, sino que la actividad en estos servidores
son las acciones a analizar.
Existe un número reducido de falsos accesos positivos o falsos accesos
negativos y esto facilita las labores de análisis o agregación para su posterior
análisis.
Las principales desventajas de los tarros de miel son:
•
•
•
El hecho de que un tarro de miel no esté siendo atacado no significa que no
existan ataques en la organización. Por esta razón proporciona una información
limitada de la que no se puede hacer ninguna inferencia.
Si un tarro de miel es comprometido la seguridad de la red puede estar
comprometida.
No se trata de un mecanismo de protección sino de detección precoz.
Se pueden diferenciar dos tipos de tarros de miel en función de los objetivos y la
localización de los mismos: Los tarros de miel de “producción” se utilizan para
aumentar la seguridad en la red ya que se previenen los ataques intentando detectarlos y
actuar ante este hecho. Por otro lado están los tarros de miel de “investigación”
utilizados para recoger información sobre la se puede realizar análisis con el objeto de
alertar tempranamente de posibles ataques actuando en forma de predicción.
Los tarros de miel se basan en simular servicios inexistentes. Cuando se está simulando
un servicio se debe definir el nivel de interacción que se quiere dar al servicio, de forma
que el atacante pueda interactuar con este servicio como si lo estuviera haciendo con
uno real. Los objetivos de estos tarros pueden ser muy distintos en unos casos que en
otros y la funcionalidad depende de estos objetivos. Si el servicio permite un mayor
grado de interacción, se puede deducir más información del atacante que si este posee
poca interacción. Esto entra en compromiso con el riesgo que se acepta si se
implementa un mayor grado de interacción. Es habitual que en los honeypots de
producción sea poca la interacción y en los de investigación sea mayor.
Las redes trampa:
Las redes trampa son arquitecturas, no productos o software concreto. Utilizan
los tarros de miel y comparten la información capturada por los mismos para que la
gente pueda investigar con objeto de detectar nuevas técnicas de sondeo o ataque. Estas
redes están pobladas de sistemas vivos.
En la primera generación de redes trampa, los tarros de miel estaban separados de la red
segura por medio del cortafuegos, de modo que se aplicaban políticas de seguridad más
estrictas a la zona segura que a la zona de “investigación”. Sobre esta segunda se
aplicaban políticas de filtrado de modo que no pueda salir tráfico desde los tarros de
miel. El objetivo de estas políticas se justifica desde el punto de vista de responsabilidad
ante terceros en caso de que se comprometan los sistemas que actúan como tarros de
miel.
En la segunda generación de redes trampa se introduce control sobre los datos, de forma
que se manipulan estos para que algunos ataques no afecten a los tarros de miel.
Además se ha extendido el concepto de redes trampa virtuales, en la que se emulan
varios sistemas operativos o una red completa en un único sistema con aplicaciones
específicas (p. ej. VMWARE).
Existen distintas configuraciones de redes trampa para ser despleguadas. Por ejemplo,
existen dan tarros de miel con conexión inalámbrica para aquellos accesos no
permitidos a este tipo de redes.
El proyecto Honeynet es una organización en la que voluntarios investigan riesgos
cibernéticos, despliegan redes por todo el planeta para que sean atacadas, comparten los
resultados y dan lugar a descubrimientos relacionados con el comportamiento y
herramientas utilizadas en los ataques. De esta forma se han descubierto nuevas tácticas
de puertas traseras, el uso de “mass-rooter” que aprovechan múltiples vulnerabilidades,
o los motivos de ataque al sistema, generalmente económicos.
Permite predecir el tiempo que pasa desde que sondean un sistema hasta que lo atacan
de verdad.
Conclusiones
Se puede decir que los tarros de miel y redes trampa son técnicas que ayudan a la
investigación, pero que no protegen sistemas inseguros. Permite obtener experiencias y
extraer conocimiento de los problemas de seguridad así como detectar prematuramente
ataques. El proyecto Honeynet facilita la difusión de los resultados.
Descargar