lunes, 27 de junio de 2011

Honeypot 4

4.- Clasificación de los honeypots.

En realidad se pueden realizar clasificaciones de los honeypots atendiendo a dos características: por un lado dependiendo del nivel de interacción que ofrezcan al atacante y por otro dependiendo de la función para la que esté pensado.
a.- Clasificación en función del nivel de interacción.
Según esta clasificación dividiremos los honeypots en baja, media y alta interacción dependiendo de las posibilidades que ofrezcan al posible atacante.
  • Baja interacción: tanto la información que ofrecen como la actividad que puede desarrollar el atacante es muy reducida, en ocasiones se limitan a registrar la ip del sistema que nos está rastreando.
  • Alto nivel de interacción: son sistemas actuales con sistemas operativos y aplicaciones completas. Esto implica que conllevan un mayor riesgo ya que el atacante tiene a su disposición un sistema operativo en el que entrar y desde el que podría atacar a otros equipos. Por otra parte permiten que podamos incluso recoger las herramientas empleadas por los atacantes. Por todo ello y por la mayor necesidad de recursos humanos y materiales suelen emplearse con propósitos de investigación.
b.- Clasificación atendiendo al rol al que se destine.
Dependiendo del nivel de interacción que nos ofrezca un honeypot el atacante podrá desarrollar una mayor o menor actividad, desde realizar simples escáneres de red a hacerse con el “control” del sistema. Es probable que a una empresa no le interese un sistema con el que poder seguir paso a paso las actividades de un intruso ni recolectar todas las herramientas empleadas por un hacker en su intento de hacerse con el control de su red ya que para ello tendría que desplegar un sistema completo, configurarlo,.... los honeypots de este tipo serían los honeypots de investigación -que explicaré en mayor profundidad cuando hable de las honeynets.
Por otra parte existen los honeypots de producción que están destinados a detectar cualquier actividad maliciosa advirtiéndonos de ella, constituyen un sistema de alerta frente a algunos tipos de intrusión y suelen desplegarse en combinación con otros sistemas en redes en las que lo importante es simplemente advertir de cierta actividad sospechosa.

Para ver el resto de manuales puede acudir al índice de temas de seguridad en el enlace