Honeypots: una herramienta para comprender al enemigo

Updated: 6 days ago


¿Qué es un honeypot? (n.d.). [Photograph]. Kaspersky. https://latam.kaspersky.com/resource-center/threats/what-is-a-honeypot

Un Honeypot es una herramienta que tiene por objetivo la de engañar a posibles atacantes y usuarios no autorizados alejándolos de la red de la empresa. El Honeypot funciona como un sistema, servicio o red real con información falsa o de poca importancia; de esta manera, se engaña al atacante para que pierda el tiempo atacando y accediendo a la red o servicios mientras que se protegen los datos y activos de la empresa, y el echo de que toda actividad en el entorno del Honeypot esta siendo monitoreada y registrada; podemos usar esta información acerca de cómo se llevan a cabo los ataques, para de esta manera ayudarnos a mejorar la seguridad de nuestros sistemas e identificar los puntos débiles en nuestro entorno.


Los honeypots pueden ser clasificados según la capacidad de interacción que un atacante tiene con la red, los comandos o la aplicación cuando se encuentran en el entorno del HP. Estas clasificaciones son las siguientes:

  • Honeypots de baja interacción o por sus siglas en ingles LIHP (Low-Interaction Honeypots)

  • Honeypots de interacción media o por sus siglas en ingles MIHP (Medium-Interaction Honeypots)

  • Honeypots de alta interacción o por sus siglas en ingles HIHP (High-Interaction Honeypots)

LIHP: simula o emula servicios que comúnmente solicitan los atacantes, este tipo de honeypots no usan un sistema operativo y son menos complejos; por lo tanto, son fáciles de implementar y mantener y, en consecuencia, solo recopilan información básica sobre el ataque. LIHP no mantiene al atacante entretenido por mucho tiempo y obtener información detallada sobre sus hábitos o herramientas es difícil.


MIHP: Tampoco utilizan un sistema operativo, pero emulan aspectos de la capa de aplicación, generalmente mantienen al atacante interactuando por períodos de tiempo más largos y son más complejos que los LIHP.


HIHP: este Honeypot ofrece un sistema operativo para que el atacante navegue. Esto hace que el HP sea más complejo y más costoso de mantener ya que deben imitar un entorno de producción completo con muchos servicios casi similar al entorno real. Debido a que LIHP y MIHP usan una implementación menos compleja, tienen un menor riesgo de comprometer el entorno real que los HIHP, donde el riesgo de compromiso es mayor debido a la similitud entre el HP y el entorno. Sin embargo, la información que recopila sobre los hábitos y técnicas de un atacante es detallada y útil, y tiene más valor a la hora de comprender como opera el atacante.



Adicionalmente, los honeypots se pueden clasificar por su función, en esta clasificación podemos encontrar los Honeypots de producción e investigación:

  • Honeypots de investigación: Se utilizan para recopilar información sobre tendencias, tácticas, técnicas y procedimientos de ataques. Específicamente ayudan a estudiar los comportamientos de los atacantes. RH examina tanto su entorno como el Internet. Muchos HIHP son Research HP

  • Honeypots de producción: Son utilizados principalmente por empresas y desplegados junto a los servidores de producción de la empresa los cuales ejecutan servicios normalmente usados en el entorno de la organización. Estos ayudan a engañar al atacante y alertan a los administradores sobre la actividad. Aquí podemos encontrar los LIHP y MIHP

Podemos también clasificar los Honeypots en función de la tecnología que implementan aquí podemos encontrar lo siguiente:

Al implementar un Honeypot, hay algunas consideraciones a tomar en cuenta si se quiere elegir la herramienta adecuada. Podemos empezar preguntándonos que queremos del Honeypot, si nuestro objetivo es conocer los protocolos que los atacantes aprovechan, de donde proceden los ataques y conocer contraseñas y nombres de usuario utilizados por los atacantes; mientras mantenemos bajo el costo y el mantenimiento para operar; entonces, LIHP o MIHP son la opción a considerar y por ser menos complejos la probabilidad de que comprometa el entorno real es muy baja.


Al implementar un HIHP, debemos considerar que estos sistemas generalmente son un reflejo de los sistemas de producción reales ; lo que significa que están configurados para utilizar un gran número de servicios, lo cual los hace muy costosos debido a la cantidad de dispositivos y poder de procesamiento necesarios para su funcionamiento, y también el uso de más computadoras y servicios significa que se requerirá mucha mas mano de obra para configurar, implementar, monitorear y reparar el Honeypot, y debido a que están construidos para ser tan similares como el sistema que está imitando, significa que existe un gran riesgo de que el atacante use el sistema como punto de partida para ataques contra el entorno real. Los HIHP se utilizan principalmente con fines de estudio y recopilación de inteligencia.


LIHP puede implementarse en una máquina virtual o ejecutarse en un contenedor, mientras que HIHP generalmente se implementa en varias máquinas virtuales o dispositivos físicos con una gran cantidad de servicios instalados en ellos.

Entonces, ¿cómo se ve un Honeypot en la vida real? La siguiente es una breve explicación del proceso mental que se puede utilizar para desplegar un Honeypot.


1.- Decidir el esquema de implantación. Aquí, se debe tener en cuenta el diseño de la red y cómo va a interactuar el Honeypot con la red exterior e interior. Buscamos permitir que un atacante utilice el HP sin comprometer la red interna.


2.- Elige qué tipo de Honeypot implementar, por ejemplo, Dionaea es un excelente LIHP capaz de detectar protocolos como SMB, HTTP, FTP, Microsoft SQL Server, VoIP, etc. Recuerda tener en cuenta lo que quieres aprender de él.


3.- Decide cómo implementaras el Honeypot, ¿se instalara en una VM o en un contenedor mediante Dockers o se va a instalar directamente en una máquina física? ¿Se planea instalaría en la red privada o se separada de ella?


4.- Una vez instalado el Honeypot, es hora de esperar a que fluya algo de tráfico. Esto puede llevar semanas o incluso meses. Ya que no podemos controlar la frecuencia con la que atacan nuestros servicios.


5.- Después de un tiempo, recuperamos los registros y los analizamos. El siguiente es el resultado de un estudio realizado por la Universidad de Aalborg en Dinamarca utilizando la herramienta Dionaea.


Los 5 protocolos y países de origen más atacados (Deploying a University Honeypot) (CN = China, IE = Irlanda, NL = Países Bajos, IN = India)

Aquí hay un pequeño ejemplo de qué información podemos esperar de un Honeypot, vale la pena tener en cuenta que este es solo un ejemplo de una herramienta.


Los honeypots son un medio para un fin; brindan una capa adicional de seguridad, pero no reemplazan las herramientas existentes como EDR o SIEM. Trabajan junto a ellos para ofrecer al usuario una mejor comprensión de las inevitables amenazas que aparecen todos los días y conocer al enemigo es una excelente herramienta para lograr un entorno más seguro.


Autor

Jacobo Arzaga

Ingeniero de Seguridad Junior

11 views0 comments

Recent Posts

See All