14 octubre 2008

HoneyPots Corporativos

Todos en algún momento dado hemos escuchado la tan manida frase "la mayoría de los ataques vienen desde dentro" y, estadísticas en la mano, razón no falta para afirmar dicha frase.

Mientras que hacia el exterior las medidas de seguridad suelen rozar lo paranoico, internamente las medidas adoptadas son muy laxas y permisivas. Si el tamaño de la organización es lo suficientemente grande, es normal que cada día llegue una nueva persona, pinche su portátil y acceda a la red.

En este tipo de entornos resulta muy interesante implementar sistemas que permitan detectar en tiempo real actividades que puedan resultar dañinas.

Hoy voy a presentar un boceto de como se puede implementar un sistema HoneyPot que permita detectar actividades sospechosas que deban poner en DEFCON 3 al equipo de seguridad.

La arquitectura propuesta es la siguiente (click para ver en tamaño real):


Como se puede observar, existe un servidor destinado a simular un servidor de ficheros en el que se encuentran una serie de HoneyTokens que conduzcan al usuario a dos falsos servidores con pinta de ser importantes, uno en versión Windows simulando un controlador de dominio y otro en versión Unix en el que, para mas realismo, se podría ejecutar un servidor Oracle. Adicionalmente, existe una maquina con servicios vulnerables al mas puro estilo HoneyPot clásico, servicios implementados con Honeyd. Todos estos sistemas, por comodidad / flexibilidad pueden ir en maquinas virtuales. Para tener monitorizados los HoneyPots todos ellos están tras HoneyWall que permite tener controlado lo que está sucediendo en nuestra honeynet.

Una vez implementada la infraestructura viene el verdadero reto: tratar la información generada. Existen muchas herramientas, algunas del proyecto Honeynet muy interesantes pero a mi, por su versatilidad y potencia me entusiasma SEC.
SEC es una poderosa herramienta de correlación de eventos que permite gestionar mucha información en base a patrones, lo que permite diseñar alarmas a medida en función de las alertas que se vayan generando. En la arquitectura anteriormente descrita, SEC actuaria como modulo SIM de análisis de la información que le ha de llegar vía HoneyWall como fuente primaria, y en menor medida vía herramientas de monitorización en los falsos sistemas como SEBEK

Realmente para hablar de SEC haría falta no ya un post, mas bien un libro entero ya que la herramienta permite configuraciones realmente complicadas. Recomiendo imprimir y leer el manual de SEC y hacer pruebas hasta afinar bien las alertas. Ademas, SEC puede ser empleado como motor de correlación para otros menesteres ya que es una herramienta de propósito general.

2 comments :

carlopmart dijo...

Hola Yago,

Interesántisimo artículo sobre honeypots. Precisamnte estoy inmerso en el despliegue de una honeynet usando a honeywall y me preguntaba sobre la herramienta SEC que comentas, ¿como la integras con Sebek de honeywall?

Supongo que es en el paso de cuando en la instalación de honeywall pregunta si se quiere redireccionar los paquetes hacia otra IP, aquí es donde se debería poner la IP del servidor que tiene instalado SEC, ¿es así? ¿podrías dar algún ejemplo de configuración de SEC con integración hacia Honeywall?

Muchas gracias.

Yago Jesus dijo...

Hola, SEC trabaja con ficheros de texto, da igual que sean archivos generados vía syslog o con cualquier otra aplicación. La idea es que, cuanta mas información puedas llevar al punto de almacenado-y-procesado, mejor. Sebek trabaja en modo cliente-servidor, podrías, por ejemplo, poner el servidor donde se recogen los logs en la maquina que los procesa y luego, decirle a SEC que use ese fichero como 'alimento'. Respecto a SEC + Honeywall las reglas que se suelen configurar son bastante especificas y casi seguro la mejor información que puedas obtener será en la guia de uso. Yo, por ejemplo, tenia configurado SEC para que una vez detectado un patrón N veces, enviara un trap SNMP pero casi seguro que tu tienes otras necesidades. Aunque de inicio SEC pueda resultar muy crudo de entender / usar, una vez que le coges el truco te costara poco configurarlo a tu gusto