En alguna ocasión me ha tocado participar en proyectos donde uno de los objetivos, era implementar una infraestructura de HoneyPots como parte del sistema defensivo. Hace unos años, cuando el concepto 'eclosionó' la gente tenía la impresión de que un HoneyPot era una herramienta de índole universitaria, que se instalaba y su finalidad (mas allá de la enorme cantidad de horas que requería el juguete) era detectar nuevas trazas de ataques, malware y similar.Obviamente eso no sucedía, los HoneyPots si se configuraban con servicios vulnerables, eran atacados con exploits públicos, 'rooteados' con troyanos públicos y encima, si el asunto no se cogía a tiempo, la maquina empleada para atacar otros sistemas.
Con ese panorama el concepto quedó bastante tocado. Desde mi punto de vista la idea simplemente no se había sabido explotar. Un HoneyPot empleado como sistema de alerta temprana, puede ser mucho mas efectivo que un IDS ya que normalmente no está sujeto a falsos positivos. El problema es que un HoneyPot clásico (servicios vulnerables) nunca debe ser instalado en una red DMZ, el lugar correcto es una red interna, ahí si que tiene su utilidad ya que un ataque a un servicio en ese segmento de red si puede servir y mucho para tirar del hilo y detectar un incidente que normalmente suele ser bastante inquietante.
Otro aspecto clave a la hora de que un HoneyPot sea efectivo es la habilidad para automatizar las alertas sin intervención humana, de nada sirve si el sistema está sujeto a que alguien tenga que, periódicamente, auditar el sistema. Este punto que ha sido, tal vez, el mas descuidado es, a mi juicio, lo que hace pasar algo de inútil a útil.
Estrategias para tratar las alertas hay muchas, re-envío silencioso de las trazas del sistema, sistemas IDS en modo stealth frente a las maquinas señuelo y por supuesto, un sistema que permita correlar esa información (si algo genera mas información que un personaje del mundo rosa es un IDS)
Como parece que los HoneyPots es de esos temas de los que apenas se habla en un plano profesional, sirva este post como anticipo de otros donde hablaré de temas mas específicos y concretos que permitan sacar utilidad a los HoneyPots
2 comments :
Hace poco que descubrí tu sitio web y todo lo que diga es poco. Es estupendo. Ya estoy impaciente por leer tus futuras entradas sobre honeypots y espero que también de honeynets. Saludos.
Muchas gracias, esperamos estar a la altura
Publicar un comentario