martes, 21 de junio de 2011

Honeypot 2

2.- Ventajas e inconvenientes de los honeypots

En primer lugar deberíamos decir que los honeypots no son más que otra herramienta de seguridad que podría y debería ser usada en cualquier entorno de red junto con otros como NIDS, cortafuegos,...y que como cualquier otra aplicación tiene una serie de ventajas e inconvenientes.
a.- Ventajas
La primera ventaja que ofrecen es el valor de los datos, frente a otros sistemas como los IDS con un gran número de falsos positivos que tendremos que discriminar “a mano”, estos sistemas tienen pocos logs -son sistemas que no deberían tener ningún tráfico- y por lo tanto son muy valiosos y muy fáciles de analizar.
En segundo lugar requieren para su despliegue muy pocos recursos y como además capturan muy poco tráfico no resultarán sobrecargados con lo que podemos emplear equipos desfasados o incluso podrían emplearse en entornos virtuales.
En tercer lugar son sistemas muy simples (aunque algunos como las honeynets no lo son tanto) en los que no es necesario mantener e instalar complicadas Bases de datos, firmas que actualizar...
Por último y muy significativo en entornos empresariales ofrecen un buen retorno de la inversión. Habitualmente las aplicaciones destinadas a la seguridad como pueda ser un buen cortafuegos es difícil de demostrar su retorno económico ya que si todo funciona bien “no ocurre nada malo” en la organización. En su lugar con los honeypots, precisamente cuando funcionan bien, es muy sencillo demostrar que estamos expuestos constantemente a ataques y que es necesario dedicar recursos a la seguridad.
b.- Desventajas.
En primer lugar tan sólo ven la actividad dirigida en su contra. Permanecen ajenos a lo que ocurre en el resto de la red, por lo que un ataque en el que no se vieran involucrados pasaría totalmente desapercibido. En realidad tienen un efecto microscópico de lo que sucede en la red.
En segundo lugar son sensibles a ataques “fingerprinting”; una mala implementación de los mismos podría hacer que fueran detectados por un atacante como lo que realmente son. En este caso el atacante podría lanzar ataques contra el sistema simulando ser sistemas de nuestra propia red y haciéndonos creer que equipos de nuestra red han sido comprometidos.
Por último y como desventaja principal es el riesgo inherente a este tipo de sistemas. El riesgo se deriva de dos factores, en primer lugar lo que estamos haciendo es atraer hacia él las miradas de cualquier atacante y en segundo lugar, especialmente en los sistemas que ofrecen al atacante un alto grado de interacción, en el caso de resultar comprometidos podrían ser usados por el atacante para comprometer nuestros propios equipos en producción o incluso sistemas ajenos accesibles mediante la red.
Para ver el resto de manuales puede acudir al índice de temas de seguridad en el enlace