Honeypot (del inglés - "olla de miel") es un recurso que es un cebo para los intrusos.
La tarea del Honeypot es ser atacado o realizar una investigación no autorizada, lo que posteriormente le permitirá estudiar la estrategia del atacante y determinar la lista de medios por los cuales los objetos de seguridad de la vida real pueden ser atacados. Una implementación de honeypot puede ser un servidor dedicado dedicado o un único servicio de red cuya tarea es atraer la atención de los piratas informáticos .
Un honeypot es un recurso que no hace nada sin ningún impacto sobre él. Honeypot recopila una pequeña cantidad de información, después de analizar qué estadísticas se basan en los métodos utilizados por los crackers, así como la presencia de nuevas soluciones que se utilizarán posteriormente en la lucha contra ellos.
Por ejemplo, un servidor web que no tiene nombre y es prácticamente desconocido para todos, por lo tanto, no debe tener invitados que accedan a él, por lo que todas las personas que intentan ingresar son piratas informáticos potenciales. Honeypot recopila información sobre el comportamiento de estos crackers y cómo afectan al servidor . Después de eso, los especialistas en seguridad de la información desarrollan estrategias para repeler los ataques de los intrusos.
Honeypot apareció con los primeros intrusos informáticos. Los honeypots tienen al menos 20 años[ aclarar ] los desarrollos para su creación e implementación se llevaron a cabo en paralelo con la investigación del IDS .
La primera referencia documentada fue el libro de Clifford Stoll "El huevo del cuco", escrito en 1990. Diez años después, en 2000, los honeypots se convirtieron en omnipresentes sistemas de señuelo.
Posteriormente, IDS y honeypot serán un solo complejo para garantizar la seguridad de la información de la empresa. .
Más allá del honeypot, actualmente[ ¿cuándo? ] se utilizan los siguientes medios de protección de las redes informáticas: honeynet, honeytoken, padded cell , IDS, IPS. Los dos últimos no se ajustan a la definición de un honeypot: no son honeypots, sino sistemas de detección y prevención de intrusiones . Al mismo tiempo, IDS, un sistema de detección de intrusos que registra todas las conexiones no autorizadas al sistema de destino, se convierte en lo más parecido a un concepto de trampa.
Padded Cell es una especie de cebo de caja de arena. Entrando en él, el atacante no puede causar ningún daño al sistema, porque. él está constantemente en un ambiente aislado.
Honeynet es una red trampa, consulte a continuación.
En cualquier caso, sea cual sea el sistema de protección instalado, debe tener como cebo información falsa, no la original.
Hay honeypots creados en servidores dedicados y honeypots emulados por software .
La diferencia entre ellos es la escala de la red. Si, por ejemplo, se trata de una red de oficina pequeña, entonces no tiene mucho sentido instalar un servidor dedicado para registrar eventos sospechosos en la red. Aquí bastará con limitarnos a un sistema virtual o incluso a un servicio virtual. En organizaciones grandes, se utilizan servidores dedicados con servicios de red completamente reproducidos. Por lo general, dichos servicios se configuran incorrectamente a propósito para que un atacante pueda piratear el sistema con éxito. Esta es la idea principal de un honeypot: atraer a un intruso.
Las tecnologías Honeypot brindan a los analistas varios beneficios:
Las instalaciones de Honeypot tienen varias desventajas. Los honeypots no reemplazan ningún mecanismo de seguridad; solo funcionan y amplían la arquitectura de seguridad general.
Los principales problemas con los fondos Honeypot son:
Una variedad de ubicaciones de trampas ayudará a dar una imagen completa de las tácticas de un atacante. Colocar un honeypot dentro de una red local dará una idea de los ataques desde dentro de la red, y colocarlo en servidores públicos de esta red o en una DMZ dará una idea de los ataques a servicios de red inseguros, como los servicios de correo. , SMB , servidores ftp , etc.
honeypot se puede instalar dentro de la red local (después del firewall ), es decir, en las computadoras y servidores de la red local. Si no se realiza la administración remota de la red, todo el tráfico ssh entrante debe redirigirse al señuelo. Al recibir tráfico de red , el sistema señuelo debe registrar todos los eventos y a un nivel bajo. Honeypot no es un programa simple que escribe registros del servidor. Si un atacante pudo obtener acceso al servidor, no le será difícil borrar todos los registros. Idealmente, todos los eventos en el sistema deben registrarse a nivel de kernel.
La DMZ, o DMZ , alberga servidores públicos. Por ejemplo, podría ser un servidor web o un servidor de correo . Dado que la presencia de dichos servidores a menudo atrae la atención de los spammers y los piratas informáticos, es necesario garantizar la protección de su información. Instalar un honeypot en servidores DMZ es una solución a este problema.
Si no tiene un servidor web dedicado, puede emular los servicios web utilizando honeypots de software. Le permiten reproducir con precisión un servidor web inexistente en la realidad y atraer a un intruso. La emulación de correo y otros servicios de red está limitada únicamente por la elección de una solución de software específica.
Una red con dos, tres o más honeypots se denomina por definición una red trampa. Se puede limitar desde la red de trabajo. El tráfico de control que ingresa a la red trampa debe ser capturado por trampas de red trampa.
Todos los honeypots conocidos se pueden dividir en 2 clases: abiertos y comerciales
| abierto | comercial |
|---|---|
| Proxypot de chicle | Caja Patriota |
| Bote | KFSensor |
| VolverOficial amigable | cebo |
| Bait-n-Switch (enlace no disponible) | Cepo |
| ojo grande | Espectro |
| red de miel | Gerente de Honeypot |
| Caja de herramientas de engaño | |
| Lona LaBrea | |
| miel | |
| Trampa de SPAM de Sendmail | |
| Pequeño Honeypot |
La siguiente es una breve explicación de algunas implementaciones.
| Comentario | |
|---|---|
| Caja de herramientas de engaño | el primer honeypot de código abierto, con fecha de 1997 |
| red de miel | emula varios tipos de servicios web |
| VolverOficial amigable | honeypot para el sistema operativo Windows , se puede aplicar como HIPS |
| miel | Honeypot de bajo nivel para Linux , capaz de emular cientos de sistemas operativos |
| Proxypot de chicle | honeypot de código abierto, utilizado para combatir a los spammers |
| Espectro | Honeypot comercial de bajo nivel para el sistema operativo Windows. Emula 13 sistemas operativos diferentes. |
| Gerente de Honeypot | tarro de miel comercial. Emula un servidor con Oracle DBMS instalado. |
| Software malicioso | |
|---|---|
| Malware infeccioso | |
| Ocultar métodos | |
| Malware con fines de lucro |
|
| Por sistemas operativos |
|
| Proteccion |
|
| contramedidas |
|