jueves, 23 de junio de 2011

Honeypot 3

3.- Rol de los honeypots en nuestro plan de seguridad.

Los honeypots son sistemas que ayudan a reforzar la seguridad de nuestra organización. Atendiendo a la clasificación de las tareas en las que se puede categorizar cualquier proceso de seguridad propuesta por Bruce Shenier en “Secrets and Lies” : Prevención ( que incluiría estimación y protección), Detección y Respuesta veremos como un honeypot puede ayudarnos, o no, en cada una de estas fases.

a.-Prevención

En términos de seguridad quiere decir mantener todo el tráfico malicioso y a los atacantes fuera de nuestra red. Algunos métodos de prevención serían, por tanto, el uso de cortafuegos, claves y dispositivos de acceso, encriptación,.... Desde este punto de vista los honeypots no parecen ofrecer mucha protección ya que más bien hacen lo contrario, atraer atacantes a nuestro sistema.


Algunos autores defienden el uso de honeypots cómo métodos de disuasión o decepción ya que a un atacante que lo detecte no le gustará dejar registros de su actividad o malgastar el tiempo con sistemas de este tipo, constituyendo un factor psicológico que ayude a que deje nuestros sistemas intactos.

Sin embargo, un buen número de ataques provienen de herramientas automatizadas como gusanos (worms) o mass-routers en los que no existirá ese factor psicológico ya que atacarán a cualquier sistema de modo indiscriminado. Para estos ataques, existen algunos honeypots como LaBrea Tarpit que usan técnicas para mantener y ralentizar las conexiones con lo que son capaces de mitigar en el tiempo ecaneos y ataques aunque no los eviten completamente.

b.- Detección.

Es decir, detectar y alertar de cualquier atividad que no esté permitida en nuestro perímetro. En esta fase es dónde los honeypots nos ofrecen la mayor ayuda.

Frente a los NIDS eliminan en gran medida los falsos positivos, cualquier tráfico que llegue al honeypot indica un potencial ataque y el tráfico saliente un compromiso. También ayudan a eliminar los falsos negativos, es decir tráfico que aparentemente es normal pero que representa un ataque real y que podría no ser advertido por nuestro NIDS debido a que no tenemos la base de firmas actualizada o simplemente que por novedoso dicha firma todavía no es conocida; en cualquier caso desde el momento que accede a nuestro honeypot constituiría una indicación de un posible ataque. Por último y debido a su simplicidad eliminan el otro problema de los sistemas de detección de intrusiones: la agregación de datos, es decir, la gran cantidad de información y logs que generan y que depués debe ser tratada por un humano; los honeypots generan tan pocos registros y tan indicativos que simplifican enormemente la tarea. Por ejemplo si ponemos un honeypot con el puerto 80 abierto en nuestro DMZ y alguién accede a él indicará que están intentando escanear las vulnerabilidades de nuestro sistema.

c.- Respuesta.

Cuando un atacante entra en un sistema deja evidencias, el estudio de las mismas es crucial para conocer cómo ha conseguido entrar en el sistema, qué herramientas ha empleado y en definitiva, quién es. Sin toda esta información las organizaciones no pueden responder de manera efectiva a los incidentes.

Incluso si trata de borrar los logs, si está bien planificado el registro de la actividad, siempre quedan rastros que permitirán conocer la actividad del atacante. El problema que se plantea en sistemas en producción es la gran cantidad de tráfico, lo que hace que sea muy difícil seguir los rastros de movimientos.

En este sentido los honeypots filtran el tráfico no relevante ya que sólo registrarán la actividad de cualquier atacante e incluso, en el caso de honeypots de investigación, podríamos ver cuáles son las herramientas que está empleando el atacante.
Para ver el resto de manuales puede acudir al índice de temas de seguridad en el enlace