RESUMEN: Una honeynet es una herramienta no van dirigidos contra equipos ni compaas
de seguridad diseada para ser sondeada, atacada especficas, sino que tienen como objetivo la
y comprometida por un hipottico intruso. Se vctima fcil. El blanco seleccionado puede ser
trata de una red completa, compuesta por un cualquier equipo conectado a La Red que posea
conjunto de sistemas dispuestos a recibir estos una debilidad especfica que el atacante busca y
ataques y una serie de mecanismos encargados es capaz de aprovechar para conseguir el acceso
de la monitorizacin, el registro y el control de a la mquina.
estas acciones. Es una especie de pecera, en cuyo Por otro lado, hoy ya no se necesita poseer
interior se puede observar al atacante en su hbi- unos conocimientos desbordantes sobre el fun-
tat natural. cionamiento de un sistema para poder atacarlo.
Mediante el estudio del comportamiento de De hecho, la mayora de los intrusos se limita a
los intrusos durante el sondeo, el ataque y el utilizar herramientas creadas por otros, herra-
compromiso de los sistemas de la honeynet y el mientas que se pueden encontrar fcilmente en
anlisis de su posterior actividad en el interior de Internet, que son cada vez ms sencillas de ma-
los sistemas comprometidos, es posible aprender nejar y que no exigen que el atacante conozca su
sobre las tcticas y los motivos de la comunidad modo interno de funcionamiento. Basta con que
de atacantes que puebla Internet. Esta ponencia ejecute un simple comando o introduzca una
presenta a las honeynets como el honeypot ms serie de instrucciones que en muchas ocasiones
potente, analiza las distintas propuestas existen- se detallan al inicio del propio cdigo de los
tes y hace nfasis en la virtualizacin de este tipo programas o se incluyen en ficheros de texto que
de herramienta. acompaan a las aplicaciones.
En los ltimos aos, la frecuencia de apari-
1. Introduccin cin de estos ataques indiscriminados se ha dis-
Durante los ltimos aos las intrusiones y los parado, y este hecho, unido al creciente nmero
ataques informticos a travs de Internet se han de vulnerabilidades descubiertas en todo tipo de
incrementado notablemente. Este incremento en sistemas operativos y aplicaciones, convierte a
el nmero de incidentes ha venido acompaado cualquier sistema conectado a Internet en una
por una clara evolucin de las herramientas y vctima potencial. Este panorama plantea la ne-
tcnicas utilizadas por los atacantes. cesidad de disponer de instrumentos que permi-
Parte de los responsables de estas acciones tan descubrir y analizar tanto los agujeros de
son usuarios avanzados que desarrollan sus pro- seguridad que pueda presentar un sistema como
pias aplicaciones y son capaces de crear y utilizar las tcnicas y herramientas utilizadas por la co-
sofisticadas puertas traseras para introducirse en munidad de atacantes que puebla La Red.
otros sistemas. Estos individuos son los ms Esta ponencia presenta un tipo de herramien-
cercanos a la figura del hacker que tiene la opi- ta pensada para la deteccin y anlisis de ata-
nin pblica: expertos en informtica, seguridad ques: introduce el concepto de honeypot y expo-
y redes de ordenadores, capaces de entrar en el ne en qu consiste una honeynet, analizando las
ordenador ms protegido de la compaa ms arquitecturas existentes y las posibilidades que,
importante, aunque para ello tengan que saltarse para su desarrollo, ofrece la virtualizacin.
las medidas de seguridad ms complejas.
Esta idea generalizada y en muchos casos mi- 2. Honeypots
tificada sobre el perfil de estos intrusos hace Un honeypot [1], o sistema seuelo, es una
pensar que slo sern objeto de ataque aquellos herramienta de seguridad diseada para ser son-
equipos que contengan informacin trascendente. deada, atacada y comprometida, que tiene la
Sin embargo, esto es un grave error. Estos ata- capacidad de detectar y registrar estas acciones.
ques selectivos dirigidos por expertos suponen Su funcionamiento est basado en tres simples
un porcentaje muy pequeo de los que a diario se conceptos:
producen a travs de La Red. La prctica totali- Un honeypot no es un sistema de produccin
dad de los incidentes que acontecen en Internet y, por tanto, nadie debera tratar de comuni-
carse con l. No habr falsos positivos. lar es muy limitada. BackOfficer Friendly1,
Cualquier trfico que tenga por destino el Specter2 o incluso Honeyd3 son ejemplos de este
honeypot ser sospechoso de ser un sondeo o tipo de herramientas.
un ataque. Si por el contrario lo que se quiere es poder
Cualquier trfico que tenga por origen el ver en accin a un intruso, hay que utilizar un
honeypot significar que el sistema ha sido honeypot ms complejo que ponga a disposicin
comprometido. del atacante sistemas operativos completos, sin
Este tipo de herramienta puede servir de ayu- servicios simulados. Esto incrementa la dificul-
da en la prevencin de ataques, la deteccin de tad de instalacin, configuracin y mantenimien-
intrusiones y la respuesta a este tipo de inciden- to, as como el riesgo asociado a la utilizacin
tes, siendo estas dos ltimas las dos tareas para del honeypot comprometido para lanzar nuevos
las que un honeypot ofrece las mayores ventajas: ataques. A cambio se consigue una herramienta
Como herramienta de prevencin, un honey- que puede ofrecer informacin sobre el intruso
pot puede utilizarse para desalentar al atacan- ms all de su mera procedencia, como puede ser
te haciendo que pierda su tiempo tratando de sus conocimientos, su experiencia o su psicolo-
entrar en un sistema en el que no va a encon- ga. Un ejemplo de este tipo de aplicacin es
trar informacin que le resulte realmente de Symantec Decoy Server4.
provecho. Este tiempo puede utilizarse para
obtener informacin del intruso, aprender sus 3. Honeynets
tcnicas y proteger los sistemas reales de Una honeynet es el honeypot ms complejo,
produccin. Adems, si el atacante sabe que el que ofrece un nivel ms alto de interaccin
la compaa utiliza seuelos, ser consciente con el intruso y el que permite recopilar mayor
de que corre el riesgo de que sus acciones cantidad de informacin relativa a un ataque. Sin
queden registradas. Este temor a caer en una embargo, lejos de ser una herramienta empaque-
trampa puede suponer una barrera psicolgica tada y lista para ser instalada, una honeynet es
que haga que un intruso se lo piense dos ve- una red completa que contiene un conjunto de
ces antes de atacar los sistemas de una orga- sistemas dispuestos para ser atacados [2].
nizacin. Una honeynet puede contener cualquier com-
En lo que se refiere a su capacidad de detec- ponente de red imaginable, incluyendo routers y
cin de intrusiones, estas herramientas estn switches, lo que le permite replicar la red de
diseadas para detectar y recopilar informa- cualquier organizacin. Este hecho, unido a que
cin detallada sobre los ataques que vayan di- los equipos que contiene son sistemas reales con
rigidos contra los servicios que ofrecen. servicios y configuraciones habituales, hace que
Por ltimo, este tipo de herramientas pueden los riesgos y las vulnerabilidades que permite
utilizarse para la captura y el anlisis de in- descubrir sean exactamente las mismas que se
trusiones con la finalidad de aprender las dis- pueden encontrar en cualquier organizacin que
tintas tcnicas y herramientas que utilizan los cuente con sistemas similares a los expuestos.
atacantes para llevar a cabo sus acciones, y Este tipo de redes ha ido evolucionando alre-
para descubrir las vulnerabilidades buscadas dedor del Honeynet Project5, organizacin creada
por los intrusos y los motivos que les lleva a oficialmente en junio del ao 2000 con el objeti-
tratar de atacar el sistema. vo de Estudiar las tcnicas, tcticas y motivos
El inconveniente que presentan los honeypots de la comunidad de atacantes y compartir las
como herramientas de deteccin, captura y anli- lecciones aprendidas. Este proyecto agrupa a
sis de intrusiones es que adolecen de cierta mio- miembros con perfiles muy distintos: expertos en
pa: slo son capaces de reaccionar ante los ata- los distintos sistemas operativos, desarrolladores
ques dirigidos contra el propio honeypot o, en de herramientas de seguridad, psiclogos, etc.
casos puntuales, contra los equipos con los que Aparte de los sistemas destinados a recibir los
comparta el segmento de red. ataques, una honeynet cuenta con un conjunto de
Existe una gran variedad de honeypots. As, dispositivos adicionales que le permiten detectar,
s lo nico que se pretende es detectar un sondeo filtrar y registrar tanto el trfico que entra y sale
de puertos o un intento de acceso a una vulnera- de la red como las acciones de un intruso en el
bilidad conocida, hay soluciones que simulan interior de un sistema de la red de seuelos tras
algunos servicios y, adems, son muy sencillas
1
de instalar y configurar, apenas precisan un pe- http://www.nfr.net/products/bof
queo esfuerzo de mantenimiento y suponen un 2
http://www.specter.com
3
riesgo bajo para la organizacin. Como inconve- http://niels.xtdnet.nl/honeyd
4
niente, la informacin que son capaces de recopi- http://www.symantec.com
5
http://www.honeynet.org
su compromiso. Todo esto se realiza de forma mas seuelo dispuestos a ser atacados o honey-
pasiva, para que el intruso no note ningn com- pots, un cortafuegos, un router, un detector de
portamiento extrao que le induzca a pensar que intrusiones basado en red o NIDS y un servidor
est siendo vigilado. Las funciones de estos centralizado de logs y alarmas.
elementos son, de manera ampliada: La tarea de control del intruso se realiza de
Control del intruso. Cuando un honeypot del forma conjunta entre el cortafuegos y el router:
interior de la honeynet sea comprometido por El cortafuegos es un filtro de paquetes a nivel
un intruso, ser necesario tener la garanta de de red que constituye el nexo de unin entre el
que no pueda ser utilizado para atacar otros interior de la honeynet e Internet y divide la
sistemas que no pertenezcan a la honeynet. propia honeynet en dos segmentos de red: uno de
Con este fin, es preciso controlar todas y cada honeypots y otro administrativo que contiene el
una de las conexiones que el atacante trate de servidor remoto de logs y el sistema detector de
realizar desde el sistema comprometido, fil- intrusiones. Est configurado para permitir cual-
trando aquellas que puedan ser nocivas. quier conexin desde el exterior de la honeynet a
Captura de datos. La clave del xito de una la red de honeypots, proteger los equipos de la
honeynet radica en su capacidad para capturar subred administrativa y controlar las conexiones
la mayor cantidad de informacin que sea po- que se traten de establecer desde los honeypots
sible, pues sern estos datos los que van a hacia el exterior.
permitir estudiar las utilidades, tcticas y mo- Para el control del intruso se van a contar los
tivos de la comunidad de atacantes. Es fun- intentos de conexin desde cada honeypot hacia
damental capturar todo el trfico que entre o cualquier equipo del exterior de la honeynet de
salga de la honeynet, as como cualquier acti- modo que, a partir del instante en que se supere
vidad del intruso en el interior de un sistema cierto umbral, se bloquear cualquier nuevo
comprometido. intento. Para la seleccin de este umbral hay que
Centralizacin de informacin. Para conse- tener en cuenta el tipo de ataque y atacante que
guir un mejor rendimiento en escenarios con se pretende estudiar: si el objetivo es capturar
distintas honeynets dispersas por Internet es ataques automatizados, como los conducidos por
recomendable que la informacin capturada gusanos o auto-rooters, no es necesario permitir
se enve de forma segura a un servidor cen- ninguna conexin. Si lo que se desea es analizar
tralizado para su almacenamiento y anlisis. intrusiones ms avanzadas o se quiere obtener
De este modo se puede tener un mayor con- ms informacin sobre el comportamiento del
trol sobre los datos recogidos, se pueden re-
aprovechar experiencias y se puede obtener
una imagen ms clara de la evolucin de los
diferentes ataques presentes en La Red.
3.1. Arquitecturas
Hasta ahora, no existe un modelo cerrado de
arquitectura de honeynet. Para su desarrollo hay
una absoluta libertad a la hora de seleccionar
tanto su topologa como las herramientas a utili-
zar para realizar las tareas de control, registro y
anlisis de las acciones del intruso en su interior.
A pesar de esto, si bien es cierto que no hay una
estandarizacin clara, las distintas propuestas del
Honeynet Project han venido marcando el mode-
lo a seguir desde la aparicin de esta herramienta
de seguridad. Esta organizacin distingue dos
arquitecturas distintas, que denomina Honeynets
de Primera y Segunda Generacin.