¿Qué es un tarro de miel?
Debemos tener claro que un Honeypot, más conocido como “sistema de trampas” o “señuelo”, se encuentra ubicado en una red o sistema informático por lo que su finalidad es prevenir un posible ataque a la misma. el sistema informático. La función principal de esta herramienta es detectar y recuperar información sobre el ataque informático y, sobre todo, de dónde se ha producido, para tomar las medidas de seguridad necesarias posteriormente. Hoy en día, los honeypots son realmente potentes y nos permiten «simular» el comportamiento real de un sistema, haciendo creer a los ciberatacantes que han entrado en un sistema real, y que es fácil hacerlo. tomar el control de ella. Sin embargo, estarán en un sistema remoto donde podremos ver exactamente qué están haciendo y qué vulnerabilidades están tratando de explotar.
Las herramientas Honeypot se pueden diseñar y programar con múltiples y múltiples finalidades, que veremos a continuación:
- Alerta : puede diseñarse y programarse con fines de detección, pero sin ninguna actividad adicional.
- consiguiendo información : puede diseñarse y programarse para recibir información sobre el ataque que detecta, pero sin más acción.
- Tómalo con calma : se puede diseñar y programar para ralentizar el ataque que detecta, pero sin más acción.
- traje de salto : se puede diseñar y programar para alertar, recibir información y ralentizar el ataque que detecta.
Como ves, podemos disponer diferentes escenarios con Honeypot para que actúen de diferentes formas como medida de seguridad. Podemos tener un Honeypot para recopilar información e investigar el ataque más tarde o incluso ralentizarlo para que tengamos tiempo de tomar las medidas necesarias sin interferir con otros equipos o sistemas informáticos.
Gracias a las herramientas de Honeypot, se pueden encontrar nuevas formas de ataque hasta ahora desconocidas, pero, además, también se pueden descubrir las vulnerabilidades típicas de nuestra red y, por tanto, aportar soluciones y diseñar estrategias de protección más. eficaz. Tenemos que tener claro que podemos añadir algunos Honeycombs a nuestra red y, además, comunicarnos entre nosotros. Esta última técnica se denomina red Honeynet.
Como tiene sentido para que la red Honeynet funcione, nuestro sistema de red debe estar configurado para que cualquier ataque externo que entre en nuestra red, lo primero que se descubra sea el sistema Honeypot que necesitamos, y se concentren los ataques. en ellos. . Tenemos que tener claro que los sistemas Honeypot, como cualquier sistema informático, tienen sus desventajas, fallos y vulnerabilidades, y solo pueden detectar ataques contra los propios Honeypots, es decir, decir que esta herramienta es útil para detectar y registrar los detalles de los ataques. sufrimiento, pero eso no se detendrá para siempre.
Tipos de tarros de miel
Hay dos tipos diferentes de Honeypot y se clasifican de la siguiente manera:
- Produciendo un tarro de miel : Estos son los sistemas que utilizan las empresas para investigar por qué reciben ciberataques de ciberdelincuencia. El objetivo es averiguar por qué notaron esta empresa y tratar de mitigar o mitigar el riesgo de tales ataques en su red interna.
- Investigación Honeypot : Estos sistemas son utilizados por instituciones educativas y sin fines de lucro, donde su único propósito es investigar las causas y los métodos utilizados por los ciberdelincuentes para atacar. La diferencia es que estos sistemas se utilizan solo para motivar y comprender hasta cierto punto la psicología del atacante.
Cómo aplicar Honeypot
Si queremos implementar un Honeypot en la infraestructura de nuestra empresa, podemos recurrir a dos soluciones principales, física o virtual:
- Tarro de miel físico: El honeypot físico es un ordenador dedicado a esta función, integrado en nuestra red, con su propia dirección IP.
- Señuelo virtual: El honeypot virtual es un sistema de virtualización dentro de un ordenador físico que, a través de un software de virtualización, recibe recursos como si fuera un ordenador físico.
Una vez que tengamos una idea clara de qué es un Honeypot, cómo se aplican y qué tipos son, profundizaremos en cómo se clasifica un Honeypot:
Clasificación del tarro de miel.
Recordemos que el principal objetivo de Honeycomb es hacer creer al intruso que es un ordenador muy valioso para infectar y por tanto su principal función es pasar desapercibido mientras trabaja. De hecho, cuanto más lo logre el intruso, más sabremos sobre sus orígenes, cuáles son sus objetivos y, sobre todo, cómo actúa.
Al clasificar los Honeypots, uno de los detalles más importantes, como hemos visto anteriormente, es la cantidad de interacción con el intruso, como hemos visto antes. Esto se aplica tanto al servidor como al cliente, es decir, podemos distinguirlos como honeypot de baja o alta interacción.
Tarros de miel de baja interacción.
Los Honeypots de baja interacción tienen poca interacción y su funcionalidad se limita a emular aplicaciones u otros sistemas o equipos en la red. Tenemos que tener claro que las funciones o servicios que son sinónimos del Honeypot solo serán simulados para realizar el ataque de infiltración y así obtener toda la información posible.
Tarros de miel de alta interacción
Los honeypots de alta interactividad suelen ser computadoras con sistemas reales que tienen los mismos servicios que los servidores reales. Es decir, son ordenadores con sistemas reales funcionando en una red real, como cualquier servidor físico. Por este motivo, un honeypot altamente interactivo debe estar perfectamente protegido, o el atacante podría infiltrarse en nuestra red local y atacar a otros servidores u ordenadores de nuestra red.
Honeypots del lado del servidor de baja interacción
Los honeypots interactivos del lado del servidor bajos suelen ser una aplicación que imita a los servidores de red. La limitación que ofrece esta opción es que las posibilidades de interacción son muy limitadas, es decir, la información que se obtenga sobre el ataque o los atacantes será escasa. Además, cabe señalar que este tipo de Honeypot es rápidamente detectado por los ciberdelincuentes, por lo que no merece la pena aplicarlo. Por lo general, solo este tipo de Honeypot se usa para detectar ataques de malware automatizados.
Si te interesa probar este tipo de Honeypot, puedes probarlo miel, una conocida solución de código abierto que nos permite crear un servidor trampa de baja interactividad. Honeyd es un software libre con licencia GPL, nos permitirá crear múltiples hosts virtuales en nuestra red local. Estos se pueden configurar para simular un equipo informático completo mediante el protocolo TCP/IP. Debes tener claro que, al ser un honeypot de baja interacción, no es capaz de simular todas las funciones de un auténtico dispositivo físico. Si estás interesado en probarlo, puedes hacerlo desde lian siguiente>. theginblog.es
Te puede interesar: Consejos para proteger tu cámara IP de intrusiones externasTarros de miel con baja interacción con el cliente
Los Low Client Side Interactive Honeypots, también conocidos como “Honey Client”, son programas que nos permiten emular hecho en diferentes navegadores. Son navegadores completamente funcionales, pero registran ataques maliciosos al detectarlos. Al ser navegadores web simulados, no presentan ningún problema para el usuario.
Los honeypots de baja interacción del lado del cliente de código abierto más famosos son:
- Mil C : Con HoneyC, los usuarios podrán identificar servidores peligrosos en Internet. HoneyC es un cliente recurrente que analiza las respuestas del servidor del sitio web que estamos viendo, para ver si hay algún contenido potencialmente dañino. El software HoneyC tiene dos componentes, a saber:
- Descubridor Motor : es responsable de la interacción con el servidor web, y lo hace imitando diferentes tipos de navegadores web para ver cómo reaccionan al sitio web.
- Motor análisis : su función es analizar la interacción del servidor web con el navegador y ver si ha ocurrido algo peligroso.
- Mono-Araña: con Monkey-Spider podremos rastrear sitios web en busca de cualquier código malicioso que pueda dañar nuestra computadora o navegador web.
- FónyC : con PhoneyC podemos emular diferentes navegadores web para ver cómo reaccionan, analizando así su interacción con diferentes sitios web. La principal ventaja de este Honeyclient es que tiene la capacidad de procesar lenguajes de programación como JavaScript y VBScript y admite funciones para convertir programas complejos en programas simples, para encontrar más código malicioso. fácilmente.
Honeypots de alta interacción del lado del servidor
Los honeypots de servidor altamente interactivos suelen ser servidores con todas las funciones creados para resaltar otros sistemas críticos.
La diferencia entre los honeypots de baja interacción y los de alta interacción es que los honeypots de baja interacción están diseñados para identificar y analizar automáticamente los ataques que reciben. Los honeypots altamente interactivos necesitan recibir ataques que lleguen a usted de forma manual.
Debemos tener claro que los honeypots del lado del servidor son excelentes para ataques con un alto nivel de interacción. Esto se debe a que el uso de servidores reales para crear y supervisar la aplicación de estos atributos requiere un esfuerzo humano importante y, por lo tanto, el riesgo de que un atacante esté involucrado. El infiltrado es muy alto.
software de monitoreo
Los siguientes programas se pueden utilizar para ayudar a los profesionales de TI responsables de monitorear interacciones altamente interactivas de señuelos:
- Sebeic : es una herramienta cuya función es recopilar datos y que se utiliza en un honeypot altamente interactivo para controlar y recopilar datos sobre los ataques que detecta. La estructura básica es el cliente que se ejecuta en Honeycomb y registra las acciones de los ataques recibidos.
- Argos : Esta herramienta está diseñada para un honeypot de alta interactividad, y su funcionamiento incluye un emulador de hardware QEMU modificado. Es decir, el software admite varios sistemas operativos que se ejecutan en una máquina virtual. Para detectar ataques, no necesita ningún software de controlador adicional. El tráfico de red que ingresa a través de la tarjeta de red es monitoreado y dado » sucio ». La principal limitación de Argus es que requiere un hardware muy potente, ya que tiene que emular un sistema operativo completo para realizar el análisis de datos, por esta razón, este programa es mucho más lento que otros programas que se ejecutan en el mismo tema porque requiere requisitos más altos. .
Tarros de miel de interacción avanzada del lado del cliente
Los honeypots interactivos fuertes del lado del cliente son programas que se ejecutan en sistemas operativos reales y utilizan navegadores web no virtuales, es decir, aquellos en la computadora misma para detectar y registrar los ataques que reciben.
Los honeypots de alta interactividad más populares en el lado del cliente son:
- Captura-HPC : Esta aplicación Honeypot altamente interactiva funciona con una arquitectura cliente-servidor. Consiste en un servidor que envía al cliente los sitios web que necesita visitar, y estos envían los resultados de esos sitios web al servidor para su análisis. Tienes más información en el lian siguiente .
- mapaWOC : Esta aplicación de software gratuito es para ejecutar varios navegadores web en una máquina virtual que luego escanea el tráfico web recibido para registrar y analizar los diversos ataques recibidos. MapWoc funciona con el sistema host Debian Squeeze, KVM para virtualización y el antivirus ClamAV para buscar malware. Tienes más información en el lian siguiente .
Conclusión
Como hemos visto, los Honeypots se utilizan con otros sistemas como IDS (Sistemas de Detección de Ataques) e IPS (Sistemas de Prevención de Intrusiones), así como firewalls y antivirus. Lo que nos dan los Honeypots es la capacidad de saber cómo nos están atacando y tratar de averiguar quién es el atacante. Es decir, los honeypots son una función adicional de control de seguridad, para saber qué hacer en caso de ataque, porque sabremos cómo actúan gracias a estudios previos del equipo. la seguridad se encarga del control de los honeypots. Hoy en día, hay empresas que diseñan honeypots específicos para simular ser computadoras reales y así los atacantes se ven tentados a creer que han violado la computadora real.
La principal ventaja de estos sistemas Honeypot para los equipos de ciberseguridad es que pueden obtener datos muy esclarecedores sobre los ataques encontrados y saber cómo resolverlos o mitigarlos del estudio anterior. Tenemos que tener claro que los honeypots no tienen que proporcionar información útil, de hecho, pueden proporcionar lo que queramos proporcionar porque hay honeypots que son altamente configurables. ¿Cuál es la razón por la que se divulga la información? De hecho, si el atacante se siente Honeypot, lo cual es lógico, no desplegará sus “armas” para no ser neutralizado. Cada vez son más las empresas que utilizan este tipo de soluciones, no solo en las grandes multinacionales, sino en cualquier mediana empresa que valore la seguridad de su información.
Desde Redes Zone recomendamos probar los diferentes tipos de clientes Honeypot de los que hablamos anteriormente como mapWoc, Capture-HPC, Argus, Sebek, PhoneyC, Monkey-Spider y Honey ya que la mayoría son software. barato. Gracias a los Honeypots, las redes corporativas y las pymes más seguras se están preparando para diversos ataques, cebando y analizando sus equipos de seguridad a medida que la empresa ha llevado a cabo el ataque. ‘ataque.
¿Qué es un Honeypot y para qué se utiliza?
Debemos tener claro que un Honeypot, más conocido como “sistema de trampas” o “señuelo”, se encuentra ubicado en una red o sistema informático por l
apple
es
https://cdnimages.juegosboom.com/applesana.es/1220/dbmicrodb1-apple-que-es-un-honeypot-y-para-que-se-utilizaja-5161-0.jpg
2022-09-26
Si crees que alguno de los contenidos (texto, imagenes o multimedia) en esta página infringe tus derechos relativos a propiedad intelectual, marcas registradas o cualquier otro de tus derechos, por favor ponte en contacto con nosotros en el mail bitelchux@yahoo.es y retiraremos este contenido inmediatamente