Comparacin de Honeynets Virtuales con Honeywall vs Firewall IDS

Saltos Byron, Borja Javier

Escuela Politcnica Nacional Quito, Ecuador
bantoniosaltos@gmail.com fborjamoretta@acm.org

Resumen El concepto de Honeynet provee una forma de enfrentar a los atacantes buscando investigar y comprender los medios que utilizan para sus intrusiones. Uno de los problemas ms comunes para su implementacin es el requerimiento de recursos, los mismos que se vieron solucionadas, en parte, por la virtualizacin. Empero los requerimientos del equipo host siguen siendo altas, por lo que el siguiente trabajo presenta una comparacin entre distintos mtodos de implementacin de una Honeynet Virtual, una con un IDS Firewall y la otra mediante una Honeywall, buscando elegir la mejor opcin. Presentando los hallazgos y conclusiones obtenidas. Palabras clave Honeynet, Virtualizacin, Honeywall. I. Introduccin Las formas tpicas de enfrentar la seguridad informtica siempre correspondan a procesos reactivos como parches a los sistemas, o actualizaciones, o esperar que ciertos investigadores hayan encontrado una nueva vulnerabilidad en algn sistema e informen de sus actividades a los desarrolladores y encargados respectivos del software. Ante esto surgi la idea de establecer una forma de conocer los mtodos usados por los atacantes o intrusos a un sistema, primero se establecieron mquinas trampa que enganchaban al atacante para conocer algunos datos relevantes, como origen de la conexin, mtodos usados, adems de detener el ataque, estos mtodos fueron conocidos como tarpit o pozo de brea que atrapaba a los intrusos. Tambin surgieron conceptos como honeypot que en un principio emulaban ciertos servicios de un sistema real esperando e incitando a ser atacados. Todos estos conceptos han ido evolucionando hasta incorporar sistemas reales para conocer informacin relevante del intruso netamente por investigacin. Uno de estos mtodos son las honeynet que presentan un entorno real de red semejante a la de produccin que busca controlar el acceso del atacante y evitar que comprometa otros sistemas que no sean los ya establecidos y que en lo posible, y sin que este se de cuenta que se est recolectando toda la informacin posible de su actividad en la red. Un concepto fundamental que apareci posteriormente fue el de virtualizar estar redes constituyendo las llamadas Honeynet Virtuales que abarataron los costos de implementacin y mantenimiento de las honeynet. Aunque a pesar de ello se necesita de equipos potentes que soporten estas implementaciones. Es aqu donde entra este proyecto, que busca analizar el consumo de recursos de las distintas implementaciones disponibles para una Honeynet en este caso la

implementacin de un Firewall y un IDS para captura y control de datos en un solo equipo o el uso de un Honeywall de capa dos. Buscado elegir la mejor opcin de implementacin. El siguiente prrafo describe el resto del contenido del paper: en la seccin dos se trata todos los conceptos relacionados para conocer, implementar y entender el funcionamiento de una Honeynet Virtual y las herramientas utilizadas, en la seccin tres se describe el procedimiento de puesta en marcha de las honeynet y los resultados y conclusiones obtenidas de la mediciones de rendimiento realizadas sobre las distintas formas de implementacin de la honeynet. La seccin cuatro describe las relaciones con otros trabajos relacionados, y la seccin cinco muestra las conclusiones obtenidas del experimento. II. Marco Terico Referencial. 1. Honeypot. Existen mltiples definiciones de una honeypot o tarro de miel pero por su versatilidad tomaremos la definicin de [1] que dice que una honeypot es un recurso de seguridad cuyo valor reside en que sea explorada, atacada o comprometida. Generalmente emulan el comportamiento de ciertos sistemas como routers, servidores web o de correo. Su utilidad consiste en atraer al intruso a su sistema engandolo aparentando un equipo vulnerable para recoger informacin sobre los mtodos utilizados y los datos que busca comprometer. Existen diferentes tipos de Honeypot desarrolladas de acuerdo los objetivos de seguridad o aplicacin[1] : de produccin cuyo objetivo es defender a la organizacin donde se encuentran en funcionamiento mientras que las de investigacin como su nombre lo menciona buscan aprender del atacante. Las honeypot de produccin de acuerdo a [4] se pueden subclasificar en: de prevencin, de deteccin y de reaccin. Las primeras buscan detener al atacante desviando su atencin de los sistemas en produccin, las de deteccin emiten alertas cuando un ataque es llevado a cabo estn basadas en sistemas de deteccin de intrusos (IDS), y las ltimas constituyen honeypots que acompaan a los sistemas de produccin con un entorno similar a este que busca encontrar la causa y la solucin de las vulnerabilidades del sistema una vez que ha sido comprometido. Tambin de las clasifica segn [2] en: de baja interaccin cuando emulan el comportamiento de un sistema o varios sistemas y de alta interaccin cuando estos constituyen servicios y host reales vulnerables (no emulados). La primera permite al intruso interactuar de manera limitada con el honeypot, por lo que no afecta al sistema por completo (riesgo mnimo), su funcionalidad es

reducida de manera que se hace fcil su implementacin, configuracin y administracin. El segundo grupo al ser sistemas reales (hardware, sistemas operativos, software aplicativo, etc.) proveen un alto riesgo si son controladas por el atacante de ah que su puesta en marcha sea complejo. 2. Honeynet Las Honeynet constituyen la evolucin de las tecnologas honeypots se definen segn [3] como: un honeypot con mucha interaccin designado principalmente para la investigacin, recogiendo informacin del enemigo. Se diferencias de las mismas debido a que no constituyen un solo sistema sino una red de varios sistemas y aplicaciones que son atacadas por los intrusos, reflejan un entorno de red real y muy semejante al de produccin con la interaccin de distintos sistemas y plataformas (routers, conmutadores, firewalls, servicios de DNS, correo, Web sobre Linux o Windows, entre otros). En el caso de los honeypots al estar ubicados en ambientes de produccin, el anlisis del trfico sospecho se vuelve una tarea tediosa y larga. En cambio en las honeynets al constituir sistemas que no se encuentran en produccin todo trfico entrante es sospechoso y todo trfico saliente constituye un punto de anlisis (ya que la red ha sido comprometida) de los mtodos usados por los intrusos. A pesar de que una honeynet puede ser implementada de distintas formas segn [3] existen dos requisitos crticos, de manera que si existe un fallo en alguno de ellos la honeynet se vera comprometida, estos son: Control de datos y captura de datos. El control de datos es una actividad de contencin. Una vez que la honeynet ha sido comprometida debemos tener la capacidad de evitar que esta sea usada para comprometer o atacar otros equipos y de igual forma permitir el uso de equipo por parte del atacante para conocer sus mtodos sin que este sospeche que est siendo monitoreado permitindole la comunicacin con el exterior. Hay que tomar en cuenta que mientras ms flexibilidad se le de al atacante mayor ser el aprendizaje pero tambin el riesgo. La captura de datos consiste es la recoleccin de todas las actividades del atacante que son usadas para aprender sobre sus herramientas, tcticas y motivos. Dicha requisito debe recoger cada actividad del intruso sin que este se de cuenta, para ello se debe evitar almacenar localmente estos registros ya que podran dar alerta de la honeynet, por lo que hay que considerar su almacenamiento remoto. 2.1 Tipos de Honeynet Como ya se mencion existen diferentes formas de implementar una honeynet, considerando los requisitos ya mencionados en el documento [3] presenta dos formas de realizarlo: 2.1.1 Primera Generacin La Primera Generacin (GenI) de honeynets involucra el desarrollo de una forma simple pero efectiva. La figura 1 muestra un esquema detallado de la implementacin y los componentes de la red. En dicho diagrama se observa un firewall de nivel tres que segmenta la honeynet en tres

redes: la honeynet, Internet y la red Administrativa. Todo el trfico de la red pasa por el router y el firewall los mismos que son usados en el Control de los Datos. El firewall es el principal componente de la red para controlar el trfico de la red, en el caso del trfico saliente se permite cualquier acceso, y para el trfico saliente se debe considerar el nmero de conexiones permitidas en un cierto tiempo dependiendo del tipo de atacantes que se desee controlar. Esto nos permite una proteccin automtica contra el abuso mientras se le brinda la libertad necesaria al intruso.

Fig. 1 Esquema detallado de una Honeynet de GenI. Tomado de [3]. El router mostrado en la figura 1 cumple la funcin de esconder el firewall adems de simular un entorno real y de ofrecer un complemento de filtrado al mismo al evitar que otros objetivos fuera de la honeynet sean atacados con los honeypot comprometidos. Una de las formas ms efectivas para la Captura de Datos es el uso de capas o niveles en este caso tres: la primera la conforma el mismo firewall utilizado anteriormente y que sirve de registro para las conexiones salientes y entrantes enviando alertas al administrador ante un evento sospechoso en la red, la segunda capa la constituye el IDS que registra toda la actividad de la red y cuyos registros son utilizados para analizar las actividades del intruso, de manera similar al firewall puede ser configurado para enviar alertas sobre la actividad realizada en la red. La tercera capa la constituyen los propios equipos o sistemas de la honeynet que pueden almacenar sus registros y actividades local y remotamente. 2.1.2 Segunda Generacin La Segunda Generacin (GenII) de honeynet busca mejorar la flexibilidad, gestin y seguridad de los despliegues de la honeynet en el control y la captura de datos, basndonos en el documento [5] se realizar una breve descripcin de la arquitectura y el funcionamiento de esta generacin de honeynets. El elemento clave de cualquier honeynet es el gateway (puerta de enlace), que separa los honeynet del resto del mundo. De hecho este funciona, como ya se demostr en la GenI, como una pared que controla los accesos dentro y fuera de la red (Honeywall). Siguiendo el ejemplo de la figura 2, como en el caso anterior este dispositivo controla

todo el trfico saliente y entrante a la red. Este gateway constituye un bridge (puente) de nivel dos, que segmenta la red como en las Honeynet de GenI, consta de tres interfaces, una conectada a la red de produccin, otra a la honeynet (ambas estn en la misma red IP en modo puente por lo que no tienen IP) y una tercera interfaz para objetivos de administracin remota del equipo. Esta configuracin presenta tres ventajas: nos permite conocer tanto de la red interna como externa, el gateway se hace ms difcil de detectar, adems de simplificar el desarrollo de la red al incorporar en un solo dispositivo el Control de y la Captura de datos.

mismos o con un keylogger que registre las pulsaciones del teclado y enve dicha informacin a un repositorio de almacenamiento central. Adicionalmente el IDS puede sen configurado para emitir alertas de trfico sospechoso en la red. 2.1.3 Honeynets Virtuales Uno de los principales conflicto para la implementacin de una honeynet es la alta necesidad de recursos fsicos y mecanismos de seguridad para implantarlas. Para solucionar este problema se ha desarrollado el concepto de Honeynets virtuales [6] cuya ventaja reside en ejecutar todos los sistemas necesarios en uno solo, con lo que se abarata sus costos, implementacin y mantenimiento. El concepto consiste en implementar una Honeynet mediante el concepto de Virtualizacin que es la forma de particionamiento lgico de un equipo fsico en mltiples mquinas virtuales, para compartir recursos de hardware, como CPU, memoria y dispositivos de entrada y salida [7]. Segn [6] se dividen a las honynets en dos categoras, Auto-contenidas e Hbridas. Las Auto-contenidas consisten en una red entera Honeynet condensada en un solo computador (ver figura 3), es decir que cada elemento ha sido virtualizado por completo. Presenta ventajas como portabilidad, plug and Catch (Conecte y use), barato en dinero y espacio. Aunque tambin ciertas desventajas como: existe un solo punto de falla (el equipo en que corre la honeynet), se necesita de un servidor de alta capacidad de procesamiento, almacenamiento y memoria, depende del software de virtualizacin utilizado para emular determinados componentes de red.

Fig. 2. Esquema detallado de una Honeynet de GenII. Tomado de [5]. Como ya se mencion anteriormente el objetivo del control de datos es evitar que el atacante use la honeynet para atacar o daar otros equipos externos a la misma. Pero como controlar la cantidad de actividad saliente de la red sin poner en riesgo a otros sistemas, de forma que podamos aprender todo lo posible del intruso. Pues se utiliza dos tcnicas, como en las Honeynet de GenI se aplica en conteo de conexiones usando un firewall y la tecnologa NIPS (Network Intrusion Prevention System por sus siglas en ingls o Sistema de Prevencin de Intrusiones de Red) que permite bloquear o deshabilitar ataques conocidos y que investiga cada paquete que viaja por el gateway comparndolos con las reglas del IDS, pudiendo emitir una alerta como en el modo tradicional o incluso eliminando o modificando el paquete. Este nos permite por ejemplo permitir que un ataque sea llevado a cabo, pero sin daar al objetivo, por lo que nos dar tiempo para analizar las actividades del intruso. De manera similar a las honeynet de GenI se utilizan tres capas para la captura de datos: registros del firewall, trfico de la red y actividad del sistema comprometido. El primer punto es vital para la captura de datos ya que por dicho dispositivo pasa todo el trfico saliente y entrante de la red, la captura del trfico de la red es decir sus paquetes y contenidos se los realiza con algn IDS configurado especficamente para esta tarea, y se puede analizar los honeypot comprometidos mediante los registros de los

Fig. 3 Esquema simple de una Honeynet Virtual Autocontenida. Tomado de [6]. Las Honeynet virtuales Hbridas constituyen una combinacin de la Honeynet Clsica y el Software de virtualizacin. Elementos vitales para la honeynet como el firewall y el IDS usados en el Control y Captura de Datos se encuentran es un sistema aislado, mientras que los honeypots son virtualizados (ver figura 4). Sus ventajas consisten en provee un menor riesgo de seguridad y es flexible en el software para su configuracin. Aunque se dificulta su portabilidad e incrementa sus costos en energa y espacio.

de las honeypot, la medicin del rendimiento de las implementaciones. 3.1 Plataformas experimentales. La figura 5 representa la implementacin de la plataforma de experimentacin, la cual es una honeypot con un servidor como firewall e IDS; la cual fue comparada con la segunda implementacin, se us una honeywall, representada en la figura 6. Las caractersticas de software y hardware estn descritas en la tabla 1.

Fig. 4 Esquema simple de una Honeynet Virtual Hbrida. Tomado de [6]. 4. Herramientas utilizadas. Para la construccin de este proyecto se ha utilizado en gran medida software libre basado en GNU/Linux, la gran mayora recomendados por el proyecto Honeynet.org. A continuacin se describe brevemente el sofware utilizado. VirtualBox [8], consiste en una plataforma de virtualizacin completa que funciona sobre diferentes arquitecturas (x86 y AMD64/INTEL64) y que permite correr diferentes plataformas de Sistemas Operativos (Linux, Windows, Solaris, etc.). Se distribuye bajo Licencia GPL version 2. Snort [9], es un sistema abierto de Deteccin (IDS) y de Prevencin de intrusos (IPS) que fue liberado por la funcadin Sourcefire y el CTO Martin Roesch en 1998. Se encuentra disponible para sistemas basados en UNIX y Windows. Es el estndar de facto de los IPS. Honeyd [10], consite en un demonio que nos permite crear hosts virtuales en una red, los mismos que pueden correr servicios arbitrarios aparentando un Sistema Operativos real (Honeypot de Baja interaccin). Se encuentra liberado bajo licencia GPL y est disponible para sistemas BSD, GNU/Linux y Solaris. IPTables [11], desarrollado y mantenido por Netfilter.org, este programa de lnea de comandos permite configurar reglas de acceso y filtros sobre una red como un Firewall. Es usado y configurado sobre IPV4 en kernels de Linux de series 2.4.x y 2.6.x. Honeywall CDROM [12], consiste en un sistema operativo basado en CentOS desarrollado por el Proyecto Honeynet.org cuyo objetivo es automatizar la instalacin y mantenimiento de una Honeynet. Existen dos versiones Eeyore basadas en tecnologas de GenII y la nueva versin Roo basadas en tercera generacin. Incluyen herramientas como Snort, IPtables, Sebek [13] (mdulo del kernel disponible para sistemas Windows o Linux usado en la captura de datos, por ejemplo como un keylogger incluso en ambientes encriptados), etc. III. Configuracin del Experimento Esta seccin ha sido dividida en las siguientes tres partes: Las plataformas experimentales, la configuracin

Fig. 5 Topologa de honeypot con firewall e IDS.

Fig. 6 Topologa de honeypot con honeywall. Como se observa en la topologa de la figura 5, un computador fsico alberga a la VNE de esta primera implementacin. Una mquina virtual como firewall e IDS, una segunda mquina virtual como honeypot, esta ltima emula a tres componentes de red: un router y dos computadores. La segunda topologa, figura 6, reemplaza al firewall e IDS por una mquina virtual como honeywall, esta tambin contiene los servicios de la primera implementacin. El resto de la configuracin de la VNE se mantuvo intacta.

Tabla 1: Elementos de la plataforma de experimentacin.

Mquina virtual Firewall & IDS Adaptador Intel PRO/1000 MT Desktop (NAT) Configuracin: IP:10.0.2.15 Mscara: 255.255.255.2 48 Especificaciones Tcnicas Hardware Virtual RAM:768Mb Procesador: 1 Interfaces de red: 2

Red Adaptador Externa 1

Adaptador Configuracin: Software Intel IP:192.168.56. SO: Fedora 13 PRO/1000 64 bits Red Adaptador 103 MT Snort 2.9.2.1 Interna 2 Mscara: Desktop 255.255.255.2 (VirtualBox 48 Host-Only) Mquina Virtual Honeypot Especificaciones Tcnicas

funcionamiento del mismo, se instal el entorno grfico y dems aplicaciones incluidas con la distribucin. La configuracin del Iptable fue realizada, en base al asistente grfico provedo por el sistema. Estableciendo las condiciones de conexin a un servidor web, para mantener la concordancia con los servicios emulados por el honeypot. El servidor con honeywall fue instalado considerando la configuracin de la honeypot explicada anteriormente. 3.3 Medicin del rendimiento. Para la realizacin del las mediciones del rendimiento de las configuraciones de las honeypots, se utiliz la herramienta del sistema operativo Windows 7, perfomance monitor, la cual permite obtener resultados en tiempo real o programados, valores de los contadores por cada indicador seleccionado. En la tabla 2 se observan los objetos medidos del computador fsico que alberga a al VNE. Tabla 2: Objetos medidos del computador fsico.
Objeto % procesador Procesador % usuario % interrupciones % idle Memoria % bytes confirmados Pginas/segundo % de uso % de uso de disco Contadores

Hardware Virtual Adaptador RAM 512 Mb Configuracin: Intel Procesador 1 IP:192.168.56. PRO/1000 Interfaces de red Red Adaptador 104 MT 1 Interna 1 Mscara: Desktop Software 255.255.255.2 (VirtualBox SO: Ubuntu 48 Host-Only) 11.04 64 bits Honeyd 1.5c Mquina Virtual Honeywall Adaptador Intel PRO/1000 MT Desktop (NAT) Configuracin: IP:10.0.2.15 Mscara: 255.255.255.2 48 Especificaciones Tcnicas Hardware Virtual RAM:512Mb Procesador: 1 Interfaces de red: 3

Red Adaptador Externa 1

Disco Fsico

Adaptador Configuracin: Software Intel IP:192.168.56. SO: Honeywall PRO/1000 Roo 1.4 Red Adaptador 103 MT Interna 2 Mscara: Desktop 255.255.255.2 (VirtualBox 48 Host-Only) Entornor Virtual Especificacin de la Mquina Fsica Hardware RAM: 4096 Mb Procesador: Intel Core 2 Duo P8700 Interfaces de Red: 1 Gigabit Ethernet Software SO: Windows 7 Profesional 64 bits Software Virtualizacin: Virtual Box

Las mediciones realizadas fueron hechas durante un periodo de dos horas, tomando un total de cien medidas, con un intervalo de ochenta segundos entre cada una. IV. Evaluacin de Resultados y Discusin Los datos obtenidos de la medicin de desempeo del computador fsico para los dos entornos virtualizados de honeypot fueron procesados en deciles y en base a ellos se realizaron las grficas. Obteniendo los siguientes resultados. 4.1 Mediciones en el entorno de Honeywall. Las figuras 7, 8, 9 y 10 son el procesamiento de los indicadores recogidos.
% interrupciones 0%

% de uso de CPU
% usuario 16%

3.2 Configuracin de las honeypot. La configuracin realizada en cada uno de los componentes de las redes fue la obtenida por defecto al momento de instalarlos. Para la honeypot se us el archivo de configuracin propio del sistema, honeyd.conf, ubicado en la direccin /etc/honeypot/. Para el servidor Fedora con firewall e IDS, se debi configurar el sistema detector de intrusos, snort. Esta fue realizada con la creacin de las carpetas y las reglas que deber alertar el sistema. Se utilizaron patrones de deteccin genricos para el monitoreo de toda la red, se opt por capturar todos los paquetes de entrada o salida de los protocolos: TCP, IP, ICMP, UDP. Este servidor fue instalado con los componentes bsicos para el

% de uso 8% % inactivo 76%

Fig. 7 Uso de procesador. La figura 7 indica que el uso del procesador no se ve comprometido, ni presentar un problema en el uso de esta topologa de red para la honeypot, al mostrar un 76% del tiempo en que el CPU no tiene carga.

% de uso de RAM
Uso de RAM RAM libre

porcentaje del 82% de inactividad del CPU, por lo que no representa un problema esta configuracin.
% de uso de RAM

37%

63%

Memoria usada 39% No usado 61%

Fig. 8 Uso de la memoria RAM. La RAM cont con el 63% de memoria disponible para ser utilizada en otras tareas.
Memoria RAM - Pginas/segundo
4,5 4 3,5 3 2,5 2 1,5 1 0,5 0

Fig. 12 Uso de la memoria RAM. Se observa que existe un 61% de RAM no utilizada, por lo que no hay problema de memoria en el esquema de firewall IDS.
Memoria RAM - pginas/segundo
2,5

s a n i g P

Promedio General Mediciones

2 1,5

s a n i g P

0,5 0

Promedi Pginas/s

Fig. 9 Memoria RAM pginas/segundo. La paginacin realizada no representa un problema, adems se tiene un promedio de 1,15 pginas/segundo.
% tiempo de uso de disco
100 90 80 70 60 50 40 30 20 10 0

Fig. 13 Memoria pginas/segundo. La paginacin no representa un problema en la topologa, cuyo valor promedio es menor a 1.

% de tiempo de uso del disco

Promedio General Uso de disco 100 90 80 70 60 50 40 30 20 10 0

c i e d o s u

Promedio General Uso del disco

Fig. 10 Uso de disco. Los valores obtenidos muestran un uso del disco fsico cercano a cero, por lo que no representa un problema. Su valor promedio es 0,7%. 4.2 Medicin en el entorno de firewall IDS. Al igual que en el punto anterior, las figuras 11, 12, 13 y 14 son los resultados del procesamiento de los datos.
% de interrupciones 0%

Fig. 14 Uso de disco. El uso del disco fsico es cercano a cero, por lo que no representa un problema. Aunque su valor promedio es de 5,48%. 4.3 Discusin. La comparacin del rendimiento de las dos topologas implementadas muestra que no existe una clara diferencia entre qu tecnologa usar. Sin embargo se puede observar a lo largo del experimento que, pese a usar un sistema operativo como firewall e IDS, no hay una clara mejora en el desempeo del VNE al implementar una honeywall. Se puede considerar que la honeywall usada en este experimento, aun cuando solo requiere de 650 Mb de instalacin, no representa una alternativa a considerar si se desea virtualizar una honeypot; porque por definicin la honeywall implementa los mismos servicios utilizados en la topologa con el servidor Fedora. Adems se observ que s hubo una ligera diferencia de consumo de recursos

% de uso de CPU

% de procesador 12% % de usuario 6%

% tiempo inactivo 82%

Fig. 11 Uso procesador. Se observa en la figura 11, que el procesador tiene un

en favor del servidor firewall IDS, aun cuando este est instalado con componentes propios de un servidor para dar mayores funcionalidades al mismo, como por ejemplo el entorno grfico. A diferencia del sistema honeywall, en el cual su interaccin es principalmente por lnea de comandos; aunque existe un entorno grfico para la administracin y configuracin que aparenta no consumir demasiados recursos, no hay una clara ventaja en su uso, ms all que su desarrollo est pensado para monitorear la red y ser invisible. Se puede considerar que la topologa con el servidor Fedora presenta una ventaja al permitir instalar una mayor cantidad de herramientas que permitan capturar y analizar una mayor cantidad de datos recolectados, adems se debe considerar que los servidores basados en Linux estn constantemente desarrollados, al igual que las aplicaciones para las distribuciones, es implica que se pueden desarrollar mejores herramientas para las honeynets. V. Trabajo Relacionado Aunque no existen muchos trabajos relacionados con el presente proyecto se presentan los trabajos a fines al mismo. En [16] se analiza como una mejor propuesta la implementacin y las prestaciones que ofrecen las honeynets virtuales respecto a las implentaciones clsicas, aunque no compara entre distintas implementaciones de Honeynet virtuales. En [4] solo se brindan cierto conceptos fundamentales sobre honeypots y honeynet y sus principales, pero no muestra ningn tipo de experimento relacionado con la comparacin de honeynets virtuales. En [17] se investigan las posibles limitaciones y detecciones de la implementacin de las honeynets virtuales frente a diferentes ataques propuestos, en este documento se propone diferentes honeynets virtuales y su comportamiento con los atacantes mas no se realiza una comparacin de rendimiento de las mismas. VI. Conclusiones y Trabajo Futuro El experimento mostr que no hay clara diferencia en implementar un servidor con firewall e IDS frente a un sistema honeywall. La tecnologa para honeynets desarrollada presenta una fcil instalacin, mas requiere de una complicada configuracin y hay una falta de manuales de configuracin bsicos. En el trabajo futuro se deber medir el desempeo de las topologas con un ataque real, para verificar si los hallazgos encontrados son vlidos en condiciones de monitoreo de ataques o cdigo malicioso. Agradecimientos Se desea agradecer a las personas que colaboran annimante, en muchos casos, en el Internet al facilitar sus experiencias y conocimiento para la implementacin de diferentes configuraciones de sistemas informticos. Adems de los compaeros de aulas, quienes muestran diariamente con hechos que solo con solidaridad y empata se pueden solucionar los problemas y progresar, sin intereses ms grandes que ayudarnos entre nosotros. A

todos ustedes gracias. Referencias [1] Lance Spitzner. "Honeypot: Traking Hackers", Addison Wesley, (2002). ISBN : 0-321-10895-7 http://www.spitzner.net [2] JIMNEZ David, Honeypots y el monitoreo de seguridad de RedUNAM. Revista Digital Universitaria [en lnea]. 10 de abril 2008, Vol. 9, No. 4. [Consultada: Diciembre 2011]. Disponible en Internet: <http://www.revista.unam.mx/vol.9/num4/art21/int21 .htm> ISSN: 1607-6079. [3] Honeynet Proyect, Know your Enemy: Honeynets [en lnea] Diciembre de 2011 http://old.honeynet.org/papers/honeynet/ [4] Feng Zhang, Honeypot: a Supplemented Active Defense System for Network Security [en lnea] Diciembre de 2011 http://folk.uio.no/ingardm/sysarp/honeypota_supplemented_active_defense_for_network_securi ty.pdf [5] Honeynet Proyect, Know your Enemy: GenII [en lnea] Diciembre de 2011 http://old.honeynet.org/papers/gen2/index.html [6] Honeynet Proyect, Know your Enemy: Definig Virtual Honeynets [en lnea] Diciembre de 2011 http://old.honeynet.org/papers/virtual/ [7] Humphreys, J. and Grieser T. Mainstreaming Server Virtualization. The Intel White Paper. Oct/2006 [8] VirtualBox [en linea] Diciembre de 2011 https://www.virtualbox.org/ [9] Snort [en linea] Diciembre de 2011 http://www.snort.org/ [10] Honeyd [en linea] Diciembre de 2011 http://www.honeyd.org/ [11] Netfilter, IPtables [en linea] Diciembre de 2011 http://www.netfilter.org/projects/iptables/ [12] Honeynet Proyect, Honeywall [en lnea] Diciembre de 2011 https://projects.honeynet.org/honeywall/ [13] Honeynet Proyect, Sebek [en lnea] Diciembre de 2011 https://projects.honeynet.org/sebek/ [14] Anderson, R.E. Social impacts of computing: Codes of professional ethics. Social Science Computing Review. Vol. 10, No. 2, (winter 1992), pp.453-469. [15] Harmon, J.E. The Structure of Scientific and Engineering Paper: A Historical Perspective. IEEE Tans. On Professional Communication. Vol 21, No. 2, (September, 1989), pp. 132-138. [16] Eduardo Gallego y Jorge E. Vergara, Honeynets: Aprendiendo del Atacante [en lnea] Diciembre de 2011 http://jungla.dit.upm.es/~jlopez/publicaciones/mundo internet04.pdf [17] Hugo Fernndez et al, Deteccin y limitaciones de ataques clsicos con Honeynets virtuales [en lnea] Diciembre 2011 http://www.criptored.upm.es/cibsi/cibsi2009/docs/Pa pers/CIBSI-Dia2-Sesion4(5).pdf