martes, 6 de septiembre de 2011

Honeyd IX. Final

4.- Conclusiones
Tras haber leído bastante documentación sobre honeypots – a los que sólo conocía de oídas- y pasarme bastante tiempo viendo logs y averiguando el funcionamiento de los mismos, creo que es un software interesante por varios motivos: en primer lugar porque recoge bastantes de las cuestiones relativas a seguridad (IDS, iptables, programas de detección de vulnerabilidades,...) y en segundo lugar porque creo que constituyen la demostración práctica ideal de que en cuanto conectamos un ordenador a la red quedaremos expuestos a múltiples riesgos.

Me llamó la atención -por mucho que lo hayamos leído a lo largo de este año- que cada vez que enchufamos nuestros equipos y abrimos puertos, comenzamos a recibir intentos de conexión desde múltiples redes en Internet: Francia, Suiza, Corea,.... y otras desde la red de nuestra propia operadora.

Mejor demostración de la existencia de gusanos, auto-rooters, mass-rooters es difícil encontrarla.
imageimage
También creo que los honeypots constituyen la mejor demostración de la necesidad de instalar mecanismos de seguridad en nuestras redes locales, en ocasiones se puede ver las mismas ips -o rangos sospechosamente cercanos- como a lo largo del tiempo realizan escáneres en busca de puertos abiertos sin que snort lance ninguna advertencia (¿quién podría sospechar de escaneos tan lentos que son lanzados a lo largo de días?).

Por otro lado me gustaría comentar que un problema con el que me pasé horas batallando, consistía en que los banners de los sistemas no salían correctamente ( cuando en los scripts aparecía echo -e “...”, aparecía la “e” cuando se accedía al servicio desde el exterior aunque no en local) por lo que los escáneres de puertos no reconocían ni permitían una correcta interacción con el honeypot. Como el link entre sh y bash estaba creado, lo que hice fue llamar a los scripts directamente desde el fichero de configuración sin emplear sh y cambiar todos los scripts para que los interpretara como #!/bin/bash, incluyendo el “scripts/misc/base.sh” que es llamado desde otros.

Finalmente añado un par de imágenes en las que se puede ver parte del escaneo con zenmap a mi red (uned.dnsalias.com) y la página web que sería visible desde el exterior:
image
image



 << Anterior                                                                                                                Siguiente >>


Para ver el resto de manuales de seguridad y enlaces a las siguientes entregas, puede acudir al índice de temas de seguridad en el enlace