INSTITUTO POLITECNICO NACIONAL. Escuela Superior de Ingeniería Mecánica y Eléctrica SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN

Transcripción

1 INSTITUTO POLITECNICO NACIONAL Escuela Superior de Ingeniería Mecánica y Eléctrica SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN Computo Forense mediante la Tecnología Honeypot Tesina presentada para obtener el grado de Especialista en Seguridad Informática y Tecnología de la Información que P R E S E N T A Ing. Jonathan Christian Ángeles García Director de Tesina: M en C Marcos Arturo Rosales García Ciudad de México Junio 2010

2

3

4 Agradecimientos: Gracias a mis padres José Luis y María Por su cariño, comprensión y apoyo sin condiciones ni medida. Gracias por guiarme sobre el camino de la educación. Gracias a mi hermana Edda Por tus comentarios, sugerencias y opiniones. Gracias a cada uno de los maestros Que participaron en mi desarrollo profesional durante la especialidad, sin su ayuda y conocimientos no estaría en donde me encuentro ahora. Gracias a mi asesor Marcos Por permitirme ser parte de su equipo de trabajo. Tus consejos, paciencia y opiniones sirvieron para que me sienta satisfecho en mi participación dentro del proyecto de investigación. Gracias a todos mis amigos En especial a Nayeli, Edith y Héctor quienes han estado conmigo en las buenas y malas situaciones en las cuales compartimos tantas aventuras, experiencias, desveladas y triunfos. Gracias a Peek, Falkon y Sombra Por su amistad y cariño incondicional.

5 Tabla de Contenido Capitulo 1: Introducción...8 Investigación... 8 Problemática... 8 Ciber Crimen y el Nacimiento de la Informática forense... 9 Informática Forense...11 Metodología Forense...11 Propuesta de Metodología Forense...12 Propósito de la Investigación...13 Capítulo 2: Un Poco de Historia...15 Antecedentes de la Tecnología Honeypot...15 Antecedentes de la Informática Forense...16 El principio de Locard (intercambio de indicios)...16 Delitos Informáticos...17 The Internet Crime Complaint Center (IC3)...18 Capitulo 3: Tecnología HoneyPot...22 Tecnología Honeypot...23 Definición de HoneyPot:...23 Como funciona una Honeypot...24 Ventajas:...25 Desventajas:...26 Clasificación de Honeypots...26 Tipos de Honeypots...27 El rol de un Honeypot en los Niveles de Seguridad Informática...27 Prevención...28 El Engaño y Disuasión...28 Detección...29 Respuesta al Incidente...30 Que es una HoneyNet?...31 HoneyNet Virtual...31 Introducción a Nephentes...35 Capitulo 4: Convénio Unam CERT HoneyNet Project / IPN Esime Culhuacan (PSTM)...36 Proyecto HoneyNet Unam México...37 El Plan de Sensores de tráfico malicioso y malware...37 Objetivos del Convenio...37 Capitulo 5: Instalación de Sensores IPN Esime Culhuacan...39 Requerimientos de Hardware...39 Requerimientos de Software Instalación de Depentrap...41 Selección del teclado...42 Configuración de red...43 Elección de los repositorios...46 Ingreso al sistema por primera vez...48 Contraseñas...49 Nombre del equipo...50

6 Capitulo 6: Análisis de un Ataque...51 Análisis Forense de un Honeypot...52 Elementos del Escenario:...52 Como se realizo el ataque?...52 Exploit...53 Compilación del Backdoor...58 Comandos ejecutados...58 Técnica anti forense...59 The DDoS Project's "trinoo"...60 Conclusión...64 Citas y referencias Bibliográficas...65 Glosario...67

7 Capítulo 1: Introducción

8 Capitulo 1: Introducción Investigación La presente tesina es un documento de investigación sobre una de las tecnologías informáticas de Seguridad en redes e investigación más Innovadoras actualmente, hoy día los HoneyPots permiten obtener y analizar diferentes tipos de amenazas informáticas tales como troyanos y virus por mencionar algunos ejemplos. Con el uso de la tecnología las necesidades de comunicación continúan exigiendo nuevos objetivos, las técnicas de comunicación y procesamiento de datos están en constante evolución, esto origina nuevos retos también a la seguridad informática. Las nuevas amenazas representan un riesgo a la línea de negocios de las organizaciones desde que la información dejo de estar en papel para ser alojada en dispositivos de almacenamiento como usb, palm, dvd, celulares, computadoras etc. La Información corre un riesgo por el simple hecho de estar en un medio compartido como la red de Internet, nadie es dueño de los protocolos de Internet y cualquiera puede hacer mal uso de estos mismos ahora bien el computo forense también debe evolucionar constantemente y estar al día en cuanto a nuevas amenazas y avances tecnológicos. Esto implica un retó para el computo forense se requiere un medio, el cual permita mantener un proceso innovación que permita enfrentar y dar solución a estos nuevos retos, cabe desatacar que no siempre los casos a los cuales se enfrenta el investigador forense son los mismos y realizar una Investigación se complica cuando no se tiene el suficiente conocimiento para poder manejar y concluir el caso. Problemática Hoy día existe una dependencia importante hacia los sistemas informáticos y la tecnología donde la información toma un valor muy importante en la unidad de Negocio de las Organizaciones, las amenazas informáticas como los: Virus, Worms, DoS, Phishing, Spam, Spim, Spit, DNS Cache poisoning, Botnets, etc. Muestran las deficiencias que los sistemas Informáticos poseen, en base a esto existe una constante defensa en contra de ataques informáticos. La capacidad de aprender de este tipo de sucesos es reducida y a veces inexistente, existe también la Implementación de Arquitecturas de Seguridad como IDS, Firewalls, VPNs, Proxies, Filtros Anti-Spam, Cifrado, etc. Todo esto en defensa de la información por lo que siempre se busca tener cinco características principales en la información las cuales son: Autenticidad Confidencialidad Integridad Disponibilidad No repudio.

9 La búsqueda de evidencias se hacen aun más complicadas en un delito informático las técnicas anti-forenses que la comunidad Black Hat utiliza en los ataques son mas Ingeniosas cada día, esto hace que la necesidad de obtener el conocimiento sobre estos temas sea importante. Al existir pocas investigaciones sobre técnicas que permitan mejorar e innovar métodos, técnicas y herramientas forenses, sobre estas nuevas amenazas que enfrenta la información. La tecnología Honeypot se integra como el medio que permita solucionar estas interrogantes. Ciber Crimen y el Nacimiento de la Informática forense En los últimos 30 años han habido un crecimiento exponencial en las telecomunicaciones hoy en día existen redes de datos que nos permiten transferir y procesar información de una localidad virtual a otra en casi todo el planeta tierra incluso fuera del mismo en tiempo real. Que es lo que la evolución tecnológica ha traído consigo a la sociedad? Un abanico de oportunidades para la actividad criminal. Quienes son estas personas? Un grupo organizado de criminales Cual es su objetivo primordial? Actividades Financieras Pornografía Infantil, traficó de drogas, fraudes etc. Han encontrado otra manera realizar un trabajo sucio con los recursos financieros ajenos entre otras cosas. Personas involucradas en actividades de espionaje empresarial también hacen uso de los sistemas de telecomunicación ellos constantemente irrumpen en redes de datos gubernamentales, comerciales y militares robando modificando y traficando con información como datos secretos, nuevos diseños, nuevas formulas, estados financieros etc. Incluso la información que se guardan en las computadoras personales no está a salvo de este riesgo. No podemos tener los sistemas de comunicación completamente seguros, lo que sucede es que los bancos, casas y negocios siempre han tenido fallas de seguridad, aun existen robos a casas, negocios y bancos no podemos tener la certeza de que la información este a salvo casi nada en el mundo físico esta realmente seguro. Por lo tanto no podemos esperar que en el mundo digital sea diferente, como en el mundo físico estamos en constante alertas de ataques en contra de bancos casas y negocios. Ya que hoy día una persona puede entrar a una casa, negocio, bases militares y organizaciones gubernamentales sin ni siquiera pisar el área recepción del edificio es decir sin estar físicamente en el lugar, ellos pueden entrar sin autorización como un claro ejemplo el incidente registrado el día 6 de junio del 2010 al sitio del Aeropuerto de la Ciudad de México el cual fue bloqueado, modificado y donde se inserto el fondo de la música de Mario Bros a ritmo tropical.

10 El hacker denominado como etizx con un mensaje reclama a las autoridades de su incompetencia laboral y detalló que en todo salimos perjudicados y ustedes? sólo se lavan las manos. Etizx criticó también al programa de Registro Nacional de Usuarios de Telefonía Móvil (RENAUT). Figura 0.0 Portada del sitio del Aeropuerto de la Ciudad de México al ser comprometida (Defacement).

11 Informática Forense La informática forense ó Computo forense surge en los años ochentas básicamente en el año de 1984 con un laboratorio del FBI y otras agencias especializadas en crímenes, comienzan a realizar programas de investigación sobre la evidencia digital grupos de investigación como el Computer Analysis and Response Team (CART), the Scientific Working Group on Digital Evidence (SWGDE), the Technical Working Group on Digital Evidence (TWGDE), y el National Institute of Justice (NIJ) de los Estados Unidos de Norteamérica comienza a unir fuerzas en la investigación sobre el computo forense como una nueva disciplina y ciencia incluyendo la necesidad de estandarizar métodos y técnicas en una investigación. Metodología Forense Como una nueva ciencia y disciplina se deriva una metodología que permita seguir una serie de pasos y procesos para obtención de resultados hoy día existen varias metodologías señaladas por varios organismos Internacionales como el EC-COUNCIL, NIST y el SANS INSTITUTE por nombrar algunos ejemplos, algunas de estas metodologías varían en su contenido y pasos que estos indican, pero siempre existe un inicio y un fin común entre todas ellas. Algunos elementos que integran una metodología de cómputo forense son la preservación, recolección, validación, identificación, análisis, interpretación y presentación de la evidencia [5]. Por ejemplo La Metodología de Computo forense que implementa el Departamento de Justicia de los Estados Unidos de Norteamérica en una escena de crimen informático tiene las siguientes fases: 1. Colección: esta fase envuelve la búsqueda de evidencia, Identificación de evidencia, recolección de evidencia y Documentación de evidencia. 2. Examinación: esta fase esta diseñada para hacer visible la evidencia, mientras se explica el origen y el significado de esta misma. Esto envuelve revelar información escondida, delicada y Obscura. 3. Análisis: Esta fase es el producto de las dos fases anteriores destacando la fase de examinación dando un valor significativo a la evidencia con respecto al caso que se esta investigando. 4. Reporte: Esta fase se detalla de forma minuciosa todos los procedimientos realizados y los resultados obtenidos en un reporte.

12 Siendo honestos y analistas podemos agrupar varios pasos en una fase teniendo en cuenta que debe de existir un inicio y un fin común de las fases que integran la metodología como son la identificación y el reporte de los resultados. Propuesta de Metodología Forense La siguiente es una propuesta de metodología que consta de tres principales categorías que son: la respuesta a incidentes, Investigación y por ultimo el Reporte en donde de cada una se derivan subcategorías. Respuesta al Incidente: 1. Identificación 2. Verificación 3. Adquisición y recolección de evidencia Investigación: 4. Análisis de medios 5. Análisis de línea de tiempo 6. Búsquedas por Byte o String 7. Evidenciar y Recuperar datos Reporte final 8. Reportar Resultados Descripción de fases. Identificación: Fase en donde se descubre y reconoce la evidencia. Verificación: Fase en la que se comprueba y verifica la integridad la evidencia. Adquisición y recolección: Fase en la que se obtiene y acumula la evidencia. Análisis de medios: Fase en donde se sacan fotos de la evidencia se aplican cuestionarios para obtener información del entorno físico o lógico que conforma la evidencia y sobre el tipo de caso al que se enfrenta el analista forense.

13 Análisis de línea de tiempo: Fase en donde se busca establecer una línea de sucesos sobre la evidencia y permita obtener un Cronograma del Caso. Búsquedas por Byte y string: Fase de exploración por string (palabras clave) y bytes (BIT a BIT) en los dispositivos. Evidenciar y Recuperar datos: Fase en la que se busca destacar la evidencia y recuperar. Datos borrados u ocultos en los medios o dispositivos, mientras se identifica cuando fueron borrados los datos. Reporte de resultados: Fase en la que se realizan dos tipos de reportes el ejecutivo y el técnico basados en el análisis, describiendo de forma detallada toda la investigación del caso y al mismo tiempo reportando hallazgos y dando conclusiones Propósito de la Investigación El propósito de la investigación tiene como fundamental objetivo el dar otro enfoque al uso de la tecnología Honeypot desde el punto de vista Forense, obteniendo así el conocimiento que nos permita innovar la Informática forense.

14 Capítulo 2: Un Poco de Historia

15 Capítulo 2: Un Poco de Historia Antecedentes de la Tecnología Honeypot El concepto tiene ya más de 10 años de historia, aunque la tecnología aplicada de manera formal tiene menos y poca documentación de sus orígenes. 1990/ La primera publicación referente al concepto CLIFFORD STOLLS THE CUCKOOS EGG AND BILL CHESWICKS Versión 0.1 de FRED COHEN OF DECEPTION TOOLKIT fue lanzada como una de las primeras soluciónes Honeypot en la comunidad de seguridad El desarrollo comenzó con CYBERCOP STING uno de las primeros Honeypots Comerciales que fueron vendidos al Publico CyberCop Sting introduce el concepto de múltiples sistemas virtuales concentrados en un solo Honeypot. Marty Roesch y GTE InternetWorking Comenzó el desarrollo de una solución Honeypot que eventualmente se convirtió en NETFACADE este trabajo también fue el que originó el concepto de SNORT Se formo el proyecto HONEYNET PROJECT y de una serie de Importantes Publicaciones KNOW YOUR ENEMY este proyecto y publicaciones fueron las que hicieron crecer el valor de la tecnología Honeypot. Este proyecto se inició informalmente en la lista de correo Wargames en abril de 1999 gracias a los correos cruzados entre varios expertos en seguridad de redes que culminaron con el desarrollo formal del proyecto antes de finalizar el año En junio de 2000 y por espacio de tres semanas, el Honeypot del proyecto fue atacado y comprometido por un famoso grupo de hackers, lo que permitió el estudio del comportamiento de este grupo, así como demostrar la viabilidad y utilidad de esta nueva herramienta de seguridad. Este conocido incidente elevo inmediatamente el concepto de Honeypot como la última tendencia en seguridad de redes convirtiendo su libro en un best-seller de lectura obligatoria para todos los profesionales de la seguridad. A inicios de 2001 se convirtió en una organización sin ánimo de lucro dedicada al estudio de los hackers (blackhats) que actualmente está compuesta por más de 30 miembros permanentes. 2000/ El uso de Honeypots para la captura de información con el objetivo de estudiar la actividad de gusanos Informáticos. Muchas Organizaciones adoptaron los Honeypots como el medio de investigación y detección de ataques informáticos Honeypots son usados para detectar y capturar información en sobre ataques desconocidos, Específicamente en Solaris el exploit dtspcd.

16 Antecedentes de la Informática Forense La Historia del Computo Forense [4] Francis Galton realizo el primer estudio sobre huellas digitales para atrapar criminales potenciales Leone Lattes fue la primera persona en usar la sangre para vincular a un criminal a un delito Calvin Goddar se convirtió en la primera persona en usar armas de fuego y balas para poder completar casos truncos de crimines sin resolver por la corte Albert Osborn se convirtió en la primera persona en desarrollar las características principales de la documentación de evidencia dentro de un procesos de examinación Hans Gross fue la primera persona en realizar y dirigir una investigación científica sobre un crimen El departamento de Investigación Federal establece un laboratorio forense para proveer de servicios forenses a agentes y otras autoridades del gobierno. El principio de Locard (intercambio de indicios) El principio de intercambio de Indicios o principio de Locard fue creado Edmond Locard plantea que los indicios o evidencias físicas proceden principalmente de las siguientes fuentes: Del sitio o lugar de los hechos. Del presunto responsable o autor. De la víctima u ofendido. Cuando se produce la comisión de un hecho delictivo en un porcentaje muy alto, se produce un intercambio de indicios o evidencias entre la víctima y el autor del hecho. Debe recordarse que no hay delincuente que a su paso por el lugar de los hechos no deje tras de sí alguna huella aprovechable, y cuando no se recogen evidencias útiles en la investigación, la verdad es que no se ha sabido buscarlas en virtud de casi siempre se manifiesta un intercambio de indicios entre el autor, la víctima y el lugar de los hechos. Para efectos de ilustrar éste principio a continuación se expone un ejemplo de un caso real sucedido en una colonia de la periferia del Distrito Federal México: Se localizó el cadáver de

17 una mujer e 20 años de edad, completamente masacrado con una piedra grande sobre la cara y el cráneo, tirado sobre un arroyo de lodo y tierra; de sus manos se recogieron cabellos, que tenía adheridos con sangre seca y se le apreciaron tres uñas rotas en la mano derecha; cercano al cadáver y sobre el piso de lodo se apreciaron un llavero y una huella de pie calzado muy tenue. Después de laboriosas investigaciones, se capturó al responsable del hecho; se le apreciaron rasguños recientes en las regiones dorsales de las manos y en los antebrazos. Además, en el cuarto que habitaba, cercano al lugar de los hechos, se localizó bajo la cama un par de calzado de color negro, de hombre, con vestigios de lodo entre el tacón y la suela y se comprobó que el llavero visto y recogido cercano al cadáver pertenecía al detenido sujeto a investigación. [6] Las investigaciones concluyeron con éxito. Ahora se analizará la evidencia como se pudo constatar en el "intercambio de indicios": 1) El autor del hecho dejó sus cabellos en las manos de la víctima, su llavero sobre el piso de lodo y una huella de pies calzado sobre el piso de lodo en el lugar de los hechos. 2) La víctima imprimió sus huellas con las uñas sobre las regiones dorsales de las manos y antebrazos del víctimario (rasguños). 3) Del lugar de los hechos, el víctimario se llevó lodo entre el tacón y la suela de su calzado. Por tanto se pudo establecer ciertamente el principio de intercambio de indicios entre víctima, víctimario y el lugar de los hechos. Esto representado en el mundo digital se puede expresar como: Conexiones ssh,claves publicas entre un cliente y servidor, logs, cookies guardadas en el explorador, exploits compilados etc. Delitos Informáticos Según las naciones unidas los delitos informáticos son los siguientes: Fraudes cometidos mediante manipulación de ordenadores. Manipulación de programas. Manipulación de datos de salida. Fraude efectuado por manipulación informática o por medio de dispositivos informáticos. Falsificaciones informáticas. Sabotaje informático.

18 Virus, gusanos y bombas lógicas. Acceso no autorizado a Sistemas o Servicios de Información. Reproducción no autorizada de programas informáticos de protección legal. Producción / Distribución de pornografía infantil usando medios telemáticos. Amenazas mediante correo electrónico. Juego fraudulento on-line. Ahora bien existen organizaciones que se dieron a la tarea de crear un centro de respuesta a quejas de crimines en Internet y que también dan una clasificación a los mismo. The Internet Crime Complaint Center (IC3) La IC3 entro en funcionamiento el 8 de mayo del 2000 como un centro que Quejas y fraudes en conjunto con el National White Collar Crime Center (NW3C) y el Federal Bureau of Investigation (FBI) el IC3 sirve como el medio para recibir quejas sobre el ciber crimen y otorga un medio fácil en el cual las víctimas pueden dar información sobre los delitos que suceden en Internet, desde que entro en funcionamiento esta organización a recibido distintos tipos de quejas que hoy día clasifica mediante un cuestionario dentro del proceso de recepción de quejas. Han sido variados los temas que recibe esta institución que van desde derechos de Propiedad de Autor (IPR), Intrusión a Sistemas de Computadoras (hacking), espionaje Electrónico pornografía infantil, lavado de dinero Internacional, robo de identidad, y una lista enorme de clasificación de delitos que van creciendo año con año. IC Internet Crime Report 2009 es la novena compilación de información sobre las quejas que recibe IC3 y que fueron hechas desde la esta información proviene de Estados Unidos de Norte América ya que en México no existe una organización que tenga este tipo de actividades, también hay que mencionar que esta información esta basada en la información recabada mediante el cuestionario que la IC3 creo para la recopilación de quejas sobre los crímenes en Internet [12]. Los resultados proveen y examinan las características claves las cuales son: Quejas. Perpetradores. Víctimas. Interacción entre los criminales y las víctimas. Virus y gusanos Populares.

19 Figura A Comparación Anual de quejas recibidas en Internet desde el portal de IC3 hasta el Figura B Perdidas Anual en millones de Dólares hasta el 2009.

20 Figura C Números Anuales Referidos. Figura D El Top 10 de las Quejas mas Comunes por Categoría recibidas en el 2009.

21 Figura E Porcentaje en Perdidas Monetarias. Figura E Los 10 Países con mas quejas reportadas al IC3 en donde México se encuentra en la octava posición.

22 Capítulo 3: Tecnología HoneyPot

23 Capitulo 3: Tecnología HoneyPot Tecnología Honeypot Algunas de los mal entendidos por los cuales los Honeypots no son aun adoptados por la comunidad de seguridad es simplemente su definición. Ya que algunos la definen como otra herramienta más de detección de intrusiones, otros sin embargo como una cárcel donde se aísla al atacante, como un ambiente de producción controlado, como sistema que emula vulnerabilidades, estos son algunos de las definiciones que le han dado a esta tecnología [1]. Definición de HoneyPot: Honeypot es un recurso flexible de Seguridad Informática cuyo valor se basa en que este sea comprometido, atacado y probado con el fin de aportar información al investigador forense. Tomando en cuenta esta definición un Honeypot no es una tecnología que mitigue el riesgo de un ataque. Ahora bien lo que se designe como Honeypot no tiene mucha importancia siempre y cuando cumpla con el criterio antes descrito, no importando que recurso sea (Router, Switch, un script, un Servidor productivo etc.) si esta carece de este criterio no servirá. Así que en base a esto la tecnología Honeypot es diferente a otras herramientas de seguridad las cuales toman otro tipo de manifestaciones, Muchas soluciones de seguridad son diseñadas específicamente para resolver un problema en específico. Por ejemplo los firewalls son utilizados para controlar el tráfico que fluye dentro de una zona de red a otra como un dispositivo de control de acceso. Un Sistema de detección de intrusos es usado para detectar ataques monitoreando los sistemas operativos y la actividad de red, detectando acceso no autorizados. Los Honeypots son diferentes en cuanto a que no están restringidos a resolver un problema en especifico, son una herramienta flexible que puede ser usada en varios escenarios y de diferentes maneras por eso es que algunas veces es vaga su definición y los administradores llegan a confundir esta tecnología por ejemplo un Honeypot puede ser usada para controlar el flujo de traficó de una red, meta que comparte con un firewall perimetral o detectar un ataque como un IDS. Los Honeypots son capaces de capturar y analizar ataques automatizados como los de un gusano informático también tienen la capacidad de ser una herramienta de investigación sobre las comunidades Black-Hat obteniendo un registro de sus actividades y comunicaciones mientras sucede el ataque. Como se use una Honeypot y a donde se pretende llegar con el depende del administrador sin embargo todas las manifestaciones comparten una característica en común Su valor se basa en que este sea comprometido, atacado y probado con el fin de aportar información al investigador forense. Es aquí donde la Informática Forense hace uso de ella para obtener información valiosa que pueda ser usada ya sea como evidencia ante un delito informático y

24 aún mas innovando las técnicas forenses, desarrollo de herramientas forenses, procedimientos y metodologías. Como funciona una Honeypot Para entender mejor como funciona un Honeypot se dará un ejemplo ya que este cuenta con distintos tipos de funcionamientos. Como ejemplo se designa un Servidor Windows 2003 con Microsoft Exchange brindando el servicio de Correo electrónico desde hace ya tiempo, el gerente de Infraestructura de la organización decide que es tiempo de actualizar la infraestructura y servicios. Así que después de la migración El administrador de la red decide poner el Servidor Windows 2003 dentro de la DMZ (Red Desmilitarizada) capturando, vigilando y analizando el traficó que fluye en esa zona de red para determinar si existen o no accesos no autorizados dentro de la DMZ, la intención del administrador es utilizar el viejo servidor como un Honeypot. Si este servidor de correo el cual, se espera que no tenga de nuevo tráfico y procesos de producción volviera a tener tráfico de este tipo querrá decir que este fue atacado o de alguna manera comprometida y por definición entra como un Honeypot. Figura 1.0 Implementación de una Honeypot en la red Desmilitarizada (Dmz) para detectar ataque.

25 Otro ejemplo sería el siguiente la organización determina que los gusanos, virus y otro tipo de amenazas informáticas son catalogados como de extremo riesgo para la continuidad de negocio especialmente si logran romper la seguridad perimetral como los firewall é infiltrarse en la red interna, se decide diseñar y desarrollar un sistema que funcione como Honeypot, una solución que no solo notifique de los accesos no autorizados si no que disminuya de alguna manera riesgo ó en su defecto que pare la intrusión. Ventajas: Valor de los datos: día a día se genera información relativa a la actividad de la red, ya sea desde el IDS, Firewall y/o las bitácoras del sistema, que son grandes cantidades de datos que hay que analizar para detectar alguna anomalía en la red. Esto no sucede en los Honeypots, debido a que no son sistemas en producción, toda actividad dirigida hacia los Honeypots es sospechosa por naturaleza. Sin embargo aunque esta cantidad de datos es pequeña representa un gran valor debido a que toda la actividad capturada puede ser un escaneo, una prueba o un ataque. Esto reduce los tiempos de detección y de análisis de la actividad maliciosa en la red. Simplicidad: La simplicidad de la implementación es decir es tan sencilla como conectarlo a la red y listo, aún cuando los Honeypots de investigación son más complejos en su implementación el funcionamiento es relativamente el mismo. Uso de Recursos: La tecnología ya en funcionamiento no necesita grandes cantidades de recursos de procesamiento y memoria, no es cara su implementación en cuanto a la adquisición de recursos se puede utilizar Hardware reciclado. Flexibilidad de Uso: El Objetivo que se le otorgue a la implementación de un Honeypot es flexible ya que no esta atada a resolver un problema en especifico. Regreso de la Inversión: Mientras los firewalls mantienen afuera a los Intrusos dentro de una organización, estos se convierten en víctimas de su propio éxito ya que posterior a algunos años el departamento de Finanzas se pregunta por el regreso de la Inversión es decir realizan algunas preguntas como: Invertimos dinero en la Implementación de un Firewall tres años atrás y nunca hemos sido atacados? Para que necesitamos un Firewall si no hemos sido atacados? La razón es porque el Firewall ayuda a mantener segura la red de Forma Perimetral ayudando reducir el riesgo, ahora bien este mismo problema lo enfrentan otras tecnologías de Seguridad como IDS, Sistemas de identidad IDM, Sistemas de Autenticación y cifrado. La implementación de Arquitecturas o Sistemas de seguridad generan un gasto en cuanto a tiempo, dinero y recursos para las organizaciones. En contraste los Honeypots rápidamente descubren su valor por que cuando sucede un ataque se sabe que las amenazas están afuera, capturando la actividad no autorizada, los honeypots son usados para justificar no solo su valor si no el de otro tipo de tecnologías de seguridad.

26 Desventajas: A pesar de las grandes ventajas de esta tecnología también se tienen desventajas en su Implementación. Huella Digital (FingerPrint): Este concepto se refiere a que una Honeypot ò HoneyNet pueden ser detectadas por el intruso incluso justo antes de entrar en ella, por lo cual no serviría de nada, su valor se perdería e incluso la información que se obtuviera podría ser manipulada por el intruso obteniendo datos erróneos. Riesgo: Este riesgo consiste en que un intruso puede hacer mal uso de los recursos de un Honeypot usándolo como arma en contra de otros equipos y lograr infiltrarse dentro de la red. Alcance Limitado: Un Honeypot solo nos puede brindar información sobre lo que esta a su alcance es decir no podemos extraer información de otro equipo o segmento de red. Clasificación de Honeypots Su clasificación se basa en el nivel de libertad que tiene el intruso al estar en contacto con el Honeypot, consiste en la interacción que exista entre estos dos, mientras mas tiempo de interacción exista mayor cantidad de información podemos analizar del Ataque. Baja Interacción: El nivel de libertad que existe es muy poca este HoneyPot es usualmente usada para detectar pruebas de escaneo y analizar traficó malicioso. Son servicios emulados como por ejemplo un servicio de Ftp. Media interacción: El nivel de interacción aumenta en este Honeypot el intruso logra observar mayores funcionalidades en cuanto a el servicio que trata de vulnerar usando una consola de línea de comandos u otro tipo de características. Alta interacción: El nivel de interacción que existe es total es decir el Honeypot cuenta con Servicios reales, Sistemas Operativos Reales en los cuales el intruso puede interactuar el riesgo en este tipo de soluciones aumenta ya que el intruso puede hacer uso del Honeypot como un arma en contra de otros dispositivos.