NETCONF Capability Exchange

The NETCONF Protocol 6.1 NETCONF at a Glance

9_Ip_Spoofing.-_{Consiste en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección a la cual se desea}

10_{Snort_inline.-}_{Es un NIPS, es una versión modificada de Snort, utiliza nuevos tipos de reglas para decirle a}

11_Snort_{es un sistema de detección de intrusos basados en red,}_{capaz de}_{realizar análisis de tráfico en tiempo real y}

12_{SCP Secure Copy}_{es un comando de Linux que permite copiar ficheros entre dos máquinas, ofrece la misma}

The NETCONF Protocol 6.1 NETCONF at a Glance

6.2 NETCONF Protocol Overview

6.2.6 NETCONF Capability Exchange

Para la elegir la Arquitectura de la red trampa de la UTPL, se realiza el siguiente análisis.

Como se había mencionado en la documentación de las arquitecturas de las Honeynets

(punto 1.2.5), existen de Generación I, Generación II y Virtuales, para la presente se ha

decidido implementar en la red de la Universidad una Honeynet de II Generación por ser la

que más se apega a los requerimientos y objetivos esperados (referidos el punto 1.2.4) y

por ser la generación más segura, estable y se encuentra en vigencia como herramienta

de análisis forense.

Las generaciones I y II tienen características comunes teniendo la II técnicas y

herramientas mejoradas para el control y captura de datos. Para este el análisis se ha

tomado como una sola Generación que tienen como característica común que se

implementan en equipos reales, entonces tenemos dos tipos para elegir:

1. Implementar una Honeynet con los mismos requerimientos de hadware que una

red en producción, en la cual todos sus equipos y servicios son físicos y reales

respectivamente, nada es virtualizado.

2. Implementar una Honeynet Virtual, virtualizando sistemas operativos y servicios en

uno o varios equipos.

Para montar este proyecto se analiza los requerimientos para la implementación de una

Honeynet (estudiados en el punto 1.2.4), además se cuenta con los equipos y la

infraestructura necesara para implantar la Honeynet.

Para la elección de la arquitectura se ha tomado en cuenta las ventajas y desventajas de

usar soluciones ya sean en ambientes virtualizados como en reales (estudiandos en el

ítem de arquitecturas de una Honeynet 1.2.5) y tomando en cuenta que las ventajas de

utilizar Honeynet con equipos y servicios reales frente a las Honeynets Virtuales dan

mayor calidad a la solución esperada, se ha decidido usar Honeynets de Generacion II.

Para la elaboración del diseño de la Honeynet, la red ha sido analizada en su estructura y

servicios. En base al análisis realizado, hemos decidido agregar nuestra Honeynet fuera

del espacio de direcciones de producción debido a que contiene servicios sensibles y muy

susceptibles a ataques. Entre estos servicios se encuentran los diferentes servidores Web,

de base de datos, de correo electrónico, proxy, DNS, etc. y los diferentes computadores

ubicados dentro del área Administrativa, que son la base de los servicios digitales

prestados por la UTPL.

Como se puede apreciar en la Figura 6, la red en producción, donde se encuentran los

servidores reales se aísla de la Honeynet eliminando la posibilidad de tráfico entre ellas y

los riesgos de seguridad asociados con el comprometimiento de la Honeynet.

Luego del análisis realizado se llegó a determinar que la mejor ubicación donde será

implementada la Honeynet es fuera de la red de producción de la UTPL, es la más

indicada, la que menos riesgo causa a la integridad de la red de la universidad y el

esquema seria el planteado en la Figura 7.

CAPÍTULO II:

ESTUDIO DEL SOFTWARE PARA LA

HONEYNET ACTUAL.

2.1

INTRODUCCIÓN.

En este capítulo se describen las todas herramientas necesarias y que se utilizan para

el control, captura y análisis de tráfico en la Honeynet. El estudio de estas

herramientas es fundamental para la obtención de datos principalmente, ya que

gracias a estos resultados se puede realizar el análisis para determinar qué es lo que

hacen los intrusos al acceder a la red.

2.2

HERRAMIENTAS HONEYWALL.

El Honeywall CDROM, es un CD de arranque que contiene todas las herramientas

para crear y utilizar una Honeynet. Está basado en una versión reducida de Linux y

está diseñado para ser utilizado como aplicación.

Contiene herramientas para gestionar el Honeywall, monitorizar la red y registrar las

actividades del atacante, las cuales incluyen:

2.2.1 FIREWALL IPtables. [20]

Iptables es un firewall, que proporciona la funcionalidad de filtrado de paquetes,

traducciones de direcciones de red (NAT). Iptables se configuró para permitir transmitir

paquetes entre las dos interfaces de red del Honeywall. La primera interfaz que

conecta a la red exterior, y la segunda interfaz que sirve de Gateway para los

Honeypots. Las reglas son configuradas para evitar IP Spoofing

desde la red interna.

Estas reglas garantizan que solo los paquetes que tienen origen las direcciones de red

interna se pueden ir fuera. Se restringe el tráfico proveniente de internet hacia el

Gateway.

Otra cosa importante que se logra con las normas del Iptables es:

Reducir la posibilidad de ataques de denegación de servicios (DoS),

la regulación de los Honeypots,

y la cantidad de tráfico que puede salir desde la Honeynet.

El firewall, es configurado para establecer límites sobre la cantidad de datos que

pueden ser enviados desde cada sistema trampa por unidad de tiempo. Los límites

utilizan las conexiones salientes en el caso de TCP y el número de paquetes para

UDP, ICMP, y otros (una categoría que detecta si los atacantes utilizan un protocolo

diferente, como IPv6 dentro de IPv4, para enviar datos desde la red trampa). El tiempo

para cada límite puede indicarse en unidades de segundos, minutos, horas, y días.

Los paquetes de salida autorizados para pasar a través del firewall son luego enviados

_{desde la red interna.}

_{. Es capaz de tomar acciones contra el tráfico saliente que tenga}

_{. Este olfatea cualquier}