DISEÑO E IMPLANTACIÓN DE UN HONEYPOT

Tamaño: px

Comenzar la demostración a partir de la página:

Download "DISEÑO E IMPLANTACIÓN DE UN HONEYPOT"

Hugo Martin Agüero
hace 8 años
Vistas:

1 Fernando Cócaro Mauricio García María Jose Rouiller DISEÑO E IMPLANTACIÓN DE UN HONEYPOT InCo Facultad de Ingeniería - Universidad de la República Julio 2007

2 Agenda Estudio del arte de Honeypots María José Rouiller Propuesta Fernando Cócaro Organización / Avance del proyecto Mauricio García 2/X

3 Introducción Conoce a tu enemigo... SUN TZU 3/X

4 Introducción Si conoces a tu enemigo y te conoces a ti, no necesitas temer el resultado de tus batallas 4/X

5 Introducción Tradicionalmente los enfoques de seguridad se han basado en acciones defensivas. 5/X

6 Introducción Utilizar técnica milenaria para nuevo enfoque de seguridad: aprender de nuestros atacantes 6/X

7 Introducción Como? Atraerlos para conocerlos 7/X

8 Introducción baitcar.com 8/X

9 Introducción "Lo maravilloso de Internet es que usted está conectado a todos los demás. 9/X

10 Introducción Lo terrible de Internet es que usted está conectado a todos los demás. Vint Cerf, "El Padre de Internet" 10 / X

11 Introducción Quién me va a atacar a mi? Sino tengo nada importante. 11 / X

12 Introducción Evitar los ataques 12 / X

13 Introducción Cambiemos el enfoque: Aprendamos de los ataques 13 / X

14 El Proyecto Objetivo El objetivo del proyecto de grado es estudiar el estado del arte de la tecnología de honeypots y diseñar e implementar un honeypot de bajo nivel de interacción. 14 / X

15 Diseño e implementación de un Honeypot Que es un honeypot? Según su traducción: Tarro de miel 15 / X

16 Diseño e implementación de un Honeypot Que es un honeypot? Es un recurso de red 16 / X

17 Diseño e implementación de un Honeypot Que es un honeypot? Adquiere valor solo si es comprometido 17 / X

18 Diseño e implementación de un Honeypot Que es un honeypot? Obtener información valiosa 18 / X

19 Diseño e implementación de un Honeypot Objetivos de un Honeypot Desviar la atención. Capturar nuevos tipos de ataques. Conocer nuevas vulnerabilidades. Descubrir riesgos de sistemas 19 / X

20 Diseño e implementación de un Honeypot Que no hace un Honeypot No resuelven fallos de seguridad. No detienen a un atacante. 20 / X

21 Diseño e implementación de un Honeypot Ventajas Reducción Falsos Positivos 0 Falsos Negativos : Captura de Nuevos Ataques Distracción Atacantes 21 / X

22 Diseño e implementación de un Honeypot Desventajas Vista limitada Identificación Aumento del Riesgo en el ambiente instalado 22 / X

23 Diseño e implementación de un Honeypot Mitigar Desventajas 23 / X

24 Clasificación I Por funcionalidad De Producción De Investigación 24 / X

25 Clasificación II Nivel de interacción Bajo Falso Demonio Medio Sistema Operativo Disco Alto Otros Recursos Locales 25 / X

26 Clasificación III Por nivel de implementación Física Virtual 26 / X

27 Ubicación 27 / X

28 Ubicación I Por delante del Firewall 28 / X

29 Ubicación II Detrás del Firewall 29 / X

30 Ubicación III En Zona Desmilitarizada 30 / X

31 Honeynets Redes de honeypots 31 / X

32 Honeynets Contemplar Control de Datos Permitir tráfico entrante. Limite trafico saliente, conexiones, ancho de banda Captura de Datos Capturar trafico de entrada/salida Actividades en cada Honeypot Captura descentralizada 32 / X

33 Honeynets 33 / X

34 Honeynets Generaciones Generación I : Probando los conceptos. Generación II : Mejorar las tecnologías de Honeypots. Generación III : Honeywall Generación IV: Centralización de datos para Honeynets distribuidas. 34 / X

35 Agenda Estudio del arte de Honeypots María José Rouiller Propuesta Fernando Cócaro Organización / Avance del proyecto Mauricio García 35 / X

36 Propuesta La idea 36 / X

37 Propuesta Honeypots de bajo nivel de interacción Back Officer Friendly honeyd HoneyTrap GoogleHack Labrea Tarpit 37 / X

38 Propuesta Honeypots de bajo nivel de interacción honeyd Repositorio HoneyTrap Repositorio 38 / X

39 Propuesta Estructura base? 39 / X

40 Propuesta Asegurando el honeypot 40 / X

41 Propuesta Fase 1 41 / X

42 Propuesta Fase 2 42 / X

43 Propuesta Fase 3 43 / X

44 Propuesta Fase 4 InCo Antel iie 44 / X

45 Propuesta Fase 4 Uruguay Brasil 45 / X

46 Agenda Estudio del arte de Honeypots María José Rouiller Propuesta Fernando Cócaro Organización / Avance del proyecto Mauricio García 46 / X

47 Cronograma Planificación ABRIL MAYO Fase 0 JUNIO JULIO AGOSTO Fase 1 47 / X

48 Cronograma Planificación II SEPTIEMBRE OCTUBRE Fase Fase 4 NOVIEMBRE DICIEMBRE Fase 5 48 / X

49 Cronograma Abril Organización + Investigación 49 / X

50 po ts Mayo Ho ne y Cronograma Honeypots, honeypots y más honeypots 50 / X

51 Cronograma Junio Back Officer Friendly honeyd HoneyTrap GoogleHack Labrea Tarpit 51 / X

52 Cronograma Junio II Honeyd -baja/media interacción -simula varios Sist. Oper. -permite virtualizar -uno de los más usado -no detecta un ataque a si mismo 52 / X

53 Cronograma Junio III Honeytrap -baja/media interacción -simula servicios de varios Sist. Oper. -no permite virtualización -uno de los más usado -detecta cualquier ataque al servicio simulado 53 / X

54 Cronograma Junio IV Ambientes de trabajo 54 / X

55 Cronograma Junio V Ambiente de trabajo Trabajando sobre maquinas virtuales 55 / X

56 Cronograma Julio 56 / X

57 Cronograma Julio II - Que datos obtenemos de un honeypot? Honeytrap 57 / X

58 Cronograma Julio III - Que datos obtenemos de un honeypot? Honeyd 58 / X

59 Cronograma Julio IV - Que datos buscamos? Estandarización de logs RFC4765 IDMEF Intrusion Detection Message Exchange Format 59 / X

60 Cronograma Julio V Logs: - SEC - Prelude - Sebek - SysLog - SysLog NG 60 / X

61 Cronograma Julio VI Simple Event Correlation -Herramienta de análisis de logs a partir de una entrada -Permite obtener información valiosa de los logs -Escrito en perl -El análisis se realiza mediante expresiones regulares -La salida puede redirigirse hacia otras aplicaciones 61 / X

62 Cronograma Julio VII Prelude -Es un framework IDS hibrido -Brinda seguridad para que sensores reporten eventos de forma centralizada -Permite encontrar rastros de actividad de un atacante de diferentes sesores (honeyd, snort, etc) 62 / X

63 Cronograma Julio VIII Sebek - Es una herramienta para captura de datos - Diseñada para capturar actividad de ataques a honeypot 63 / X

64 Cronograma Julio IX Comienzo Fase I Implantación de una arquitectura básica. 64 / X

65 Cronograma Agosto - Fase I Puntos a resolver: - selección de honeypot a utilizar - selección de servicio de logs - selección y configuración del firewall - comunicaciòn honeypot servidor de logs - estandarización de logs - seguridad del honeypot - seguridad de los logs - seguridad del firewall - traducción logs obtenidos - mecanismos de alarmas - monitoreo de actividad 65 / X

66 Actualmente Agosto II - Fase I Honeypot Sensor SEC SYSLOG Traductor Logs Servidor SYSLOG de Logs SEC Repositorio 66 / X

67 Siguiente Paso Agosto II - Fase I Honeypot Sensor SEC PRELUDE Traductor Logs Servidor de Logs PRELUDE SEC Repositorio 67 / X

68 Cronograma Pasos a seguir SEPTIEMBRE OCTUBRE Fase Fase 4 NOVIEMBRE DICIEMBRE Fase 5 68 / X

69 Referencias The honeynet Project The Honeynet.BR Project Honeyd Honeytrap Simple Event Correlator Prelude ids framework Sebek 69 / X

70 Fin Preguntas? 70 / X

Documentos relacionados

Honeypots. Modelos y procesos de análisis de datos colectados por sensores. Alejandro Blanco

Honeypots. Modelos y procesos de análisis de datos colectados por sensores. Alejandro Blanco Introducción Modelos y procesos de análisis de datos colectados por sensores Grupo de Seguridad Instituto de Computación Facultad de Ingeniería - UdelaR http://www.fing.edu.uy/~ablanco Jueves 24 de Junio,