The ranking task

Existen pocas herramientas comerciales que cubran este mercado de honeypots, sin embargo, en el mundo del código libre, se ofrecen muchas utilidades que pueden servir como honeypots, tanto a empresas como a particulares.

Lance Spitzner, consultor y analista informático experto en seguridad, construyó a comienzos del año 2000 una red de seis ordenadores en su propia casa. Esta red la diseñó para estudiar el comportamiento y formas de actuación de los atacantes. Fue de los primeros investigadores en adoptar la idea, y hoy es uno de los mayores expertos en honeypots, precursor del proyecto honeynet (www.honeynet.org), en marcha desde 1999, y autor del libro "Honeypots: Tracking Hackers”. Desde entonces, se ha creado toda una comunidad de desarrolladores aglutinados alrededor de honeynet.org que ofrecen todo tipo de herramientas y consejos para utilizar estas herramientas.

A continuación, se describen algunos de los honeypots desarrollados que son implementados en diferentes sectores, con un resumen de sus principales características.

16_{CYBSEC. (2017). Seguridad Informática - Honeypots. Obtenido de Seguridad Informática - Honeypots:} http://www.cybsec.com/upload/ESPE_Honeypots.pdf

 Deception Toolkit (DTK): Es un honeypot de bajo nivel de interacción, open source, el cual se basa en simular servicios. Básicamente se trata de un conjunto de scripts Perl diseñados para emular una variedad de vulnerabilidades conocidas, las cuales pueden ser configuradas para dar respuestas falsas (archivos, peticiones, etc.). Un objetivo peculiar de DTK es que sus desarrolladores intentan hacer que este sea fácil de detectar. Esto lo hacen porque la idea del sistema se basa en el supuesto de que si un atacante identifica la instalación en la red que desea comprometer, desistirá de su intento y buscará otro blanco (decepción). Está orientado a desahuciar al atacante, intentando vencerlo psicológicamente. Este objetivo no es posible cumplirlo si se trata de un ataque automatizado.

Ilustración 6 Consola de Deception Toolkit.17

 Back Officer Friendly (BOF): Es un honeypot de bajo nivel de interacción, desarrollado en 1998 por Marcus Ranum que corre bajo plataforma Windows. Su desarrollo fue pensado para responder al ataque específico del troyano BackOrifice. Es una herramienta que fue diseñada pensando en el usuario final, por eso su característica principal es la facilidad de uso. Es posible exportar el log a un archivo txt de forma manual.

 Specter: Es un honeypot comercial de bajo nivel de interacción creado por NetSec, una compañía Suiza de seguridad de redes. Puede emular diversos servicios con sus respectivas vulnerabilidades, y también puede escuchar en determinados puertos para detectar cualquier actividad. Ofrece la emulación de varios sistemas operativos, limitado por sistema anfitrión a los sistemas Windows. El stack IP no se emula, con lo cual el honeypot corre el riesgo de ser detectado cuando se emula un sistema diferente a Windows. Es capaz de simular hasta 14 sistemas operativos diferentes. Su principal atractivo es su facilidad de uso.

17_{Instituto Nacional de Tecnologías de la Comunicación. (2017). Honeypots, monitorizando a los atacantes.} Obtenido de Honeypots, monitorizando a los atacantes:

Ilustración 7 Consola de Specter18

 LaBrea Tarpit: es un honeypot open source creado por Tom Liston, diseñado para enlentecer o detener los ataques, a este tipo de honeypots se los denomina “stinky honeypot” (o honeypot pegajoso). Para ello introduce el concepto de Tarpit, un servicio que intenta frenar a los emisores de correo spam3 y worms4 enlenteciendo las conexiones TCP, llegando incluso a paralizarlas, pero sin cortar la conexión. Su funcionamiento se basa en tomar direcciones IP no utilizadas en la red en que se encuentra, instalando y configurando en ellas servidores virtuales que brindan servicios comunes, como, por ejemplo, HTTP, POP3, etc. Cuando un atacante realiza una conexión intenta mantener esta abierta (IDLE) el mayor tiempo posible. Para lograr ese objetivo cuenta con los siguientes mecanismos:

 Regulación (throtlling): este mecanismo consiste en aceptar nuevas conexiones, pero utilizando una ventana pequeña para la recepción de datos. De esa forma indica a la entidad emisora no enviar más datos por paquete de lo soportado, obteniendo con ello lentitud en la conexión.

 Captura persistente (persistent capture): establece que la ventana de recepción TCP tiene tamaño 0, por lo que indica a los emisores a realizar esperas antes del envío de más información. Para que la conexión no sea cancelada, periódicamente vuelve a dar un tamaño

18 _{Instituto Nacional de Tecnologías de la Comunicación. (2017). Honeypots, monitorizando a los atacantes.} Obtenido de Honeypots, monitorizando a los atacantes:

mayor para que el emisor vuelva a transmitir obteniendo así una alta degradación de la velocidad de la conexión.19

El uso de las anteriores herramientas permitirá dar soporte a la configuración de los Honeypots que serán empleados para el objeto de este trabajo. Se pretende hacer uso de estas herramientas open source para la ejecución de pruebas funcionales por la cual se obtendrán los primeros datos que permitan identificar los diferentes ataques informáticos.

A continuación, se relacionan diferentes proyectos relacionados con Honeypots que han sido desarrollados por diferentes instituciones del sector académico.

 Implementación de una Red Honeypots para la Detección y Clasificación de Intrusos mediante máquinas virtuales en el Ministerio de Defensa Nacional de Ecuador: De acuerdo con el resumen presente en la documentación de este, se indica que se pretende la implementación de una herramienta de seguridad informática denominada Honeypots, utilizando plataformas de virtualización. Para la ejecución del proyecto, se instaló la honeynet virtual auto contenida de tercera generación, se implementaron tres honeypots con diferentes sistemas operativos y servicios, los mismos que presentaban vulnerabilidades para atraer a los intrusos. La máquina fuente se conectó directamente al router de la empresa, con el fin de evitar daños en la red de producción. Además, se realizaron pruebas de escaneo, fuerza bruta y denegación de servicio. El Honeynet registró las intrusiones a la red y el comportamiento de los atacantes, lo que ayudó a establecer mecanismos de mejora en la seguridad requerida.

El desarrollo de este trabajo tiene como fin la implementación de Honeypots dentro de máquinas virtuales, su aplicación reduce los costos de ejecución y permite identificar alternativas en la configuración de estos haciendo uso de la virtualización para dar sostenimiento al proyecto.

 Honeypots y el monitoreo de seguridad de la redUNAM: el proyecto fue realizado por el equipo de respuesta a incidentes del Departamento de Seguridad en Cómputo UNAM-CERT. Se hace énfasis en la captura pasiva de la actividad maliciosa en la red y cómo esta información es utilizada en la tarea diaria de la atención de incidentes de seguridad, además de la tecnología y las herramientas utilizadas, así como los retos que se presentan en el monitoreo de la actividad maliciosa de red de una de las infraestructuras de red más robustas en la académica de México.20

19_{Instituto Nacional de Tecnologías de la Comunicación. (2017). Honeypots, monitorizando a los atacantes.} Obtenido de Honeypots, monitorizando a los atacantes:

http://www.egov.ufsc.br/portal/sites/default/files/honeypots_monitorizando_a_los_atacantes.pdf

20 _{Domínguez, D. J. (2008). Revista Digital Universitaria UNAM. Obtenido de Honeypots y el monitoreo de} Seguridad de red UNAM: http://www.revista.unam.mx/vol.9/num4/art21/art21.pdf

Este trabajo incorpora diferentes elementos para construir una Honeynet, incluyen darknets y varios honeypots, todos direccionados a un servidor de recolección, con lo cual se puede pensar en la adaptabilidad de este proyecto y su extensión dentro de la Universidad.

 Configuración de honeypots adaptativos para análisis de malware: Este trabajo es diseñado en la Universidad de Málaga España. Propone una arquitectura de despliegue de honeypots adaptativos, configurados dinámicamente a partir de los requisitos del malware que intenta infectar los servicios trampa. A diferencia de otros trabajos sobre honeypots adaptativos, los mecanismos de adaptabilidad diseñados toman como base información de inteligencia sobre amenazas actuales, indicadores de compromiso (IOCs) conocidos, así como información de actividades sospechosas actualmente en estudio por los analistas. El conocimiento obtenido de este es empleado para configurar honeypots de manera dinámica, permitiendo satisfacer los requisitos necesarios para que el malware pueda desplegar toda su operativa.21

Los honeypots descritos en este proyecto son especializados en determinados protocolos y servicios orientados solo a interacción con malware, mediante el cual se detectan patrones de búsqueda, ejecución explicita del código del malware, reacciones sobre el sistema y los vectores de infección de estos. Por otra parte, también brinda una estructura sobre la configuración de servicios trampa que sirven de referente para la puesta en marcha del objeto de este trabajo.

 Diseño del prototipo de una Honeypot Virtual que permitirá mejorar el esquema de Seguridad en las Redes de la Carrera de Ingeniería en Sistemas Computacionales y Networking de la Universidad de Guayaquil: Este trabajo se centra en la seguridad de una red al momento de establecer una conexión con la red de redes, INTERNET, para esto y mediante la investigación realizada en este, se dará a conocer el uso, las características y ventajas de una tecnología innovadora llamada Honeypot; la cual en base al análisis posterior, permitiría estar más al tanto de las tendencias actuales del modo en que operan los intrusos y así aportar como ayuda a mejorar los esquemas de seguridad de la Carrera de Ingeniería en Sistemas Computacionales y Networking de la Universidad de Guayaquil. Esta tecnología también es considerada como una herramienta de investigación y su filosofía se explica con una frase “conoce a tu enemigo”,

ya que al identificarlo y aprender de él y las técnicas que usa, será posible actuar tomando medidas que permitan mitigar en cierto modo las vulnerabilidades existentes en cualquier entorno de red. Por otra parte, la tecnología Honeypot posee una característica en particular, que rompe con todo paradigma establecido en el medio de la Seguridad de Redes, y es que,

21 _{Nieto, G. F. (2017). Network, Information and Computer Security (NICS) Lab. Obtenido de Configuracion de} honeypots adaptativos para análisis de malware: https://www.nics.uma.es/pub/papers/1650.pdf

al contrario de otros métodos de seguridad cuyo objetivo es prevenir los ataques la Honeypot plantea la idea de atraer al atacante con un único fin, aprender de él.22

Este trabajo brinda un importante análisis sobre IDS en host y red, y detalla la interacción con los componentes y la aplicación de la informática forense sobre estos. También presente la infraestructura, componentes y configuración de los diversos elementos que hacen parte de esta propuesta.

 Sistema adaptativo de prevención de intrusos mediante Honeypots: este proyecto es desarrollado en la Universidad Autónoma de Madrid, Este proyecto se centra en analizar y estudiar los ataques de los Honeypots instalados para la creación automática y dinámica de reglas que permitan mejorar la seguridad en el sistema informático. Previamente, se realiza un estudio de los Honeypots del que se extraen tres objetivos bien diferenciados. El primero es el estudio de las herramientas de Honeypot utilizadas en la actualidad en una distribución de máquina virtual. En segundo lugar, se pretende recolectar información de una serie de Honeypots instalados en la UAM para este propósito. En tercer lugar, se realizará una transformación de la información recogida por los Honeypots ubicados en la red anteriormente mencionada, en las reglas de bloqueo que se añadirán al sistema con el fin de mejorar su seguridad. Para llevar a cabo este proyecto y poder alcanzar los objetivos marcados se creó una infraestructura que recoge información de los ataques sufridos por los Honeypots para su posterior procesamiento. Este programa, ‘HoneyPRules.py’, utiliza los Honeypots para la creación de reglas de bloqueo de una forma automática y dinámica utilizando Iptables. Este programa permite la interacción entre la infraestructura y un usuario final de una forma sencilla e intuitiva, posibilitando que el usuario pueda crear una configuración personalizada de las reglas de su sistema. De esta investigación se desprende que las reglas creadas e incorporadas al sistema por la infraestructura son efectivas. Por ello, hacen que la seguridad de éste aumente debido a que los Honeypots de la infraestructura, al estar continuamente expuestos a ataques, detecten direcciones altamente peligrosas de una forma más rápida, pudiendo así proteger al sistema antes de ser atacado.23

El enfoque de este proyecto tiene una variable adicional, es adaptable, es decir, hace uso de todos los datos que obtiene del Honeypot para definir reglas por medio de las cuales se consigue, por ejemplo, el bloqueo de IPs, el número de veces que el atacante ingresa al sistema, entre otras.

22 _{QUIJIJE, G. D. (2011). Universidad de Guayaquil. Obtenido de Diseño del prototipo de una Honeypot Virtual} que permitirá mejorar el esquema de seguridad en las redes de la Universidad de Guayaquil:

http://repositorio.ug.edu.ec/bitstream/redug/6776/1/TesisCompleta%20-%20328%20-%202011.pdf

23 _{Trujillano, D. M. (2016). Sistema adaptativo de prevención de intrusos. Obtenido de Universidad Autónoma} de Madrid:

1.9. FACTIBILIDAD