Tarros de miel y redes trampa Resumen Miguel Ángel Manso Callejo Curso: Seminario de Investigación Charla de Javier Fernández Sanguino Tarros de miel y Redes trampa Introducción: En este documento se presenta una introducción a los tarros de miel y las redes trampa. Se definirán estos elementos de diagnóstico y detección precoz de ataques a las vulnerabilidades de los actuales sistemas desplegados en Internet. Internet, Intranet y la seguridad: En Internet y las intranets se están produciendo constantemente, y con tendencia alcista, ataques a los sistemas o intentos de violación de los mecanismos de seguridad. Las estrategias más comúnmente adoptadas por las organizaciones es disponer de un equipo humano encargado de la seguridad que estará pendiente de las publicaciones procedentes del CERT e instalará los parches de seguridad de forma casi inmediata a su publicación. Además las organizaciones intentan blindar la seguridad de la Intranet utilizando cortafuegos que filtren direcciones y puertos sospechosos. Este tipo de mecanismos de defensa son mecanismos preventivos. Últimamente se están utilizando técnicas preventivas de detección precoz de posibles ataques. La razón por la que se producen los ataques es muy variable. En algunos casos simple curiosidad de neófitos que hacen uso de herramientas de sondeo y ataque automatizadas. En otros casos son verdaderos expertos en la materia y pretenden obtener algún tipo de satisfacción. En algunas ocasiones sirven a la causa detectando problemas de seguridad en la organización, de modo que se pueda poner solución antes de que estas vulnerabilidades sean aprovechadas por otros. Además de las herramientas de sondeo automáticas están los gusanos, etc.. El uso de estas herramientas automatizadas de exploración de puertos, sniffers, etc. requieren cada vez de un menor grado de conocimiento y obteniendo un mayor grado de rendimiento en los resultados. Por esta razón parece necesario utilizar otros tipos de estrategias que permitan detectar los intentos de violación. Los “tarros de miel” y las redes trampa pueden ayudar a detectar cuando una red está siendo sondeada, atacada o puede ser comprometida. Tarros de Miel: La idea fundamental es instalar dentro de la red ya sea Internet o Intranet equipos que no estén dados de alta en el DNS y que presten de forma figurada ciertos servicios similares a los que dentro de la organización se pueden esperar. Si estos sistemas son desconocidos para el resto del mundo, cualquier acceso a dicho sistema es un indicio de de que se está produciendo un sondeo, ataque o uso no autorizado del recurso. Hay que destacar que los tarros de miel no son una solución a ningún problema sino que son herramientas muy flexibles que pueden ser utilizados con distintos propósitos pueden tener muchas formas y tamaños. Las principales ventajas que aportan los tarros de miel son: • • • • Inicialmente no exige una gran inversión porque puede utilizarse hardware en desuso y software libre para instalarlo. Se trata de un concepto simple puesto que toda actividad sobre el tarro de miel es un acceso no autorizado. Proporciona información valiosa al no tener que rastrear los ficheros de registro (logs) de los servidores de producción, sino que la actividad en estos servidores son las acciones a analizar. Existe un número reducido de falsos accesos positivos o falsos accesos negativos y esto facilita las labores de análisis o agregación para su posterior análisis. Las principales desventajas de los tarros de miel son: • • • El hecho de que un tarro de miel no esté siendo atacado no significa que no existan ataques en la organización. Por esta razón proporciona una información limitada de la que no se puede hacer ninguna inferencia. Si un tarro de miel es comprometido la seguridad de la red puede estar comprometida. No se trata de un mecanismo de protección sino de detección precoz. Se pueden diferenciar dos tipos de tarros de miel en función de los objetivos y la localización de los mismos: Los tarros de miel de “producción” se utilizan para aumentar la seguridad en la red ya que se previenen los ataques intentando detectarlos y actuar ante este hecho. Por otro lado están los tarros de miel de “investigación” utilizados para recoger información sobre la se puede realizar análisis con el objeto de alertar tempranamente de posibles ataques actuando en forma de predicción. Los tarros de miel se basan en simular servicios inexistentes. Cuando se está simulando un servicio se debe definir el nivel de interacción que se quiere dar al servicio, de forma que el atacante pueda interactuar con este servicio como si lo estuviera haciendo con uno real. Los objetivos de estos tarros pueden ser muy distintos en unos casos que en otros y la funcionalidad depende de estos objetivos. Si el servicio permite un mayor grado de interacción, se puede deducir más información del atacante que si este posee poca interacción. Esto entra en compromiso con el riesgo que se acepta si se implementa un mayor grado de interacción. Es habitual que en los honeypots de producción sea poca la interacción y en los de investigación sea mayor. Las redes trampa: Las redes trampa son arquitecturas, no productos o software concreto. Utilizan los tarros de miel y comparten la información capturada por los mismos para que la gente pueda investigar con objeto de detectar nuevas técnicas de sondeo o ataque. Estas redes están pobladas de sistemas vivos. En la primera generación de redes trampa, los tarros de miel estaban separados de la red segura por medio del cortafuegos, de modo que se aplicaban políticas de seguridad más estrictas a la zona segura que a la zona de “investigación”. Sobre esta segunda se aplicaban políticas de filtrado de modo que no pueda salir tráfico desde los tarros de miel. El objetivo de estas políticas se justifica desde el punto de vista de responsabilidad ante terceros en caso de que se comprometan los sistemas que actúan como tarros de miel. En la segunda generación de redes trampa se introduce control sobre los datos, de forma que se manipulan estos para que algunos ataques no afecten a los tarros de miel. Además se ha extendido el concepto de redes trampa virtuales, en la que se emulan varios sistemas operativos o una red completa en un único sistema con aplicaciones específicas (p. ej. VMWARE). Existen distintas configuraciones de redes trampa para ser despleguadas. Por ejemplo, existen dan tarros de miel con conexión inalámbrica para aquellos accesos no permitidos a este tipo de redes. El proyecto Honeynet es una organización en la que voluntarios investigan riesgos cibernéticos, despliegan redes por todo el planeta para que sean atacadas, comparten los resultados y dan lugar a descubrimientos relacionados con el comportamiento y herramientas utilizadas en los ataques. De esta forma se han descubierto nuevas tácticas de puertas traseras, el uso de “mass-rooter” que aprovechan múltiples vulnerabilidades, o los motivos de ataque al sistema, generalmente económicos. Permite predecir el tiempo que pasa desde que sondean un sistema hasta que lo atacan de verdad. Conclusiones Se puede decir que los tarros de miel y redes trampa son técnicas que ayudan a la investigación, pero que no protegen sistemas inseguros. Permite obtener experiencias y extraer conocimiento de los problemas de seguridad así como detectar prematuramente ataques. El proyecto Honeynet facilita la difusión de los resultados.