viernes, 12 de agosto de 2011

Honeypot VII

7.- Honeynet.

Generalmente se emplean en sistemas de investigación y no en producción ya que requieren una gran cantidad de tiempo y recursos para su implementación y mantenimiento. Su utilización excede el uso como prevención, detección o reacción a ataques pero son excelentes como honeypots de investigación dando respuesta, entre otras a cuestiones como ¿ Quiénes son los atacantes?¿Qué herramientas usan?¿Qué tácticas emplean?¿Cuáles son sus motivaciones? Ninguna otra solución honeypot nos puede dar tanta información.
a.- Métodos, motivos y herramientas involucradas.
La primera norma de investigación es aprender tanto como sea posible sobre los atacantes. Las honeynets nos permiten capturar sus pulsaciones de teclas, las herramientas que emplean para probar y explotar sistemas o incluso sus sesiones de chat.
b.- Análisis de tendencias.
La información recogida puede servir para predecir ataques actuando como sistemas de alerta temprana. Generalmente es difícil determinar cuando se va a atacar a un sistema o con que herramientas.


Con respecto a las alertas, las basadas en sistemas IDS tienen el problema de los falsos positivos mientras que en cualquier honeypot es mucho menor (todo el tráfico es sospechoso) y son capaces de detectar ataques desconocidos y de los que, por tanto, no existe firma con la que comparar. La información recogida sobre nuevos ataques puede ser empleada para predecir ataques o para incorporarlo posteriormente a nuestros IDS.
c.- Respuesta a incidentes
La información que recogemos no es confidencial con lo que podemos compartirla con otras organizaciones sin dañar la imagen de la empresa y dando a los profesionales de seguridad información que podrán emplear para establecer mecanismos de respuesta y aprender nuevas herramientas y técnicas.
Nos dan información entendible, desde pulsaciones de teclas, herramientas,... con lo que podemos comparar la información de nuestra red para analizar procedimientos y fallos.
d.- Bancos de prueba.
Las honeynets se pueden emplear como bancos de prueba para nuevas aplicaciones, sistemas operativos u otros mecanismos de seguridad en un entorno controlado.
e.- ¿Cómo funcionan las Honeynet?
Son un recurso que tiene poco o ningún tráfico de producción. Cualquier tráfico entrante es sospechoso, cualquier tráfico saliente indica que el sistema ha sido comprometido. Llevan el honeypot un paso más allá, en lugar de un sólo sistema forman una red física de múltiples sistemas.

Los elementos críticos de una arquitectura Honeynet son: control de datos (control de la actividad atacante para que no pase a sistemas en producción), captura de datos (es importante capturar información desde distintos sistemas y empleando varios medios para evitar en lo posible su alteración o destrucción por parte del atacante) y recolección de datos ( en el caso de monitorizar varias honeynets debemos centralizar los logs y la homogeneidad de los mismos de modo que puedan ser monitorizados conjuntamente de manera sencilla.

Un factor fundamental a tener en cuenta es que debemos controlar que el atacante no pueda atacar otros equipos en Internet o del sistema de producción (aunque pueda atacar a otros de la honeynet). Uno de los retos de las honeynets es la automatización de este control.

Por otra parte hemos de permitir cierto tráfico de salida una vez el sistema ha sido comprometido ya que en caso contrario el atacante se daría cuenta de que está en un sistema cerrado, con lo que no podríamos capturar herramientas y resto de información sensible. Existen básicamente dos técnicas para controlar el tráfico saliente la que utilizan las honeynets de primera generación consiste básicamente en controlar el número de paquetes que dejamos salir de nuestro equipo. Esta técnica tiene la desventaja de que aunque reduzcamos a lo mínimo el tráfico saliente podrán emplear el equipo comprometido para atacar a otros equipos.

Para evitarlo se pueden emplear los de segunda generación; un ejemplo de estos sería Honeywall. El equipo en el que instalamos HoneyWall actúa a modo de gateway puente separando los equipos de producción de los de la honeynet. Es decir el equipo tendrá dos tarjetas de red filtrando el tráfico que pasa de producción la honeynet y viceversa, aunque ambas compartirán el rango de ips (en el mismo dominio de colisión). A diferencia de los sistemas de primera generación estos sistemas pueden controlar el número de paquetes salientes pero además son capaces de filtrar el tráfico malicioso saliente empleando algún IDS -honeywall emplea snort-, de forma que cualquier tráfico generado en la honeynet que vaya a ser empleado para atacar a otros sistemas tendrá que pasar obligatoriamente por el sistema con honeywall instalado, con lo que será eliminado y no llegará a destino, de este modo sólo saldrá tráfico no dañino para otros sistemas.

Para el control de los logs generados emplea Swatch, sistemas con el que podremos seguir fácilmente los movimientos de los atacantes, ya sea vía email, con la ejecución de determinadas aplicaciones o incluso vía teléfono cuando encuentra tráfico que se corresponda con algún patrón que hayamos introducido previamente.
f.- Riesgo asociado a las honeynets.
Son las estructuras con mayor riesgo de todas las soluciones honeypot debido a:
  • Los atacantes tienen acceso completo al sistema operativo, una vez han accedido existen límites respecto a lo que pueden hacer al sistema que estará limitado por el control de datos salientes
  • La complejidad asociada a su despliegue ya que deben estar bien configurados cortafuegos, scripts de alerta, sistemas de log, actualizaciones del IDS,...
  • están pensados para controlar cierto tipo de actividad esperada, con lo que tráfico inesperado podría pasar los mecanismos de seguridad y sufrir una nueva herramienta o táctica.
Son estos riesgos los que hacen que sean empleadas básicamente en sistemas de investigación dónde obtendremos las ventajas ya comentadas para estos sistemas.

* la próxima entrega una guía de instalación y uso de Honeyd
Para ver el resto de manuales puede acudir al índice de temas de seguridad en el enlace