Fernando Cócaro Mauricio García María Jose Rouiller DISEÑO E IMPLANTACIÓN DE UN HONEYPOT InCo Facultad de Ingeniería - Universidad de la República Julio 2007
Agenda Estudio del arte de Honeypots María José Rouiller Propuesta Fernando Cócaro Organización / Avance del proyecto Mauricio García 2/X
Introducción Conoce a tu enemigo... SUN TZU 3/X
Introducción Si conoces a tu enemigo y te conoces a ti, no necesitas temer el resultado de tus batallas 4/X
Introducción Tradicionalmente los enfoques de seguridad se han basado en acciones defensivas. 5/X
Introducción Utilizar técnica milenaria para nuevo enfoque de seguridad: aprender de nuestros atacantes 6/X
Introducción Como? Atraerlos para conocerlos 7/X
Introducción baitcar.com 8/X
Introducción "Lo maravilloso de Internet es que usted está conectado a todos los demás. 9/X
Introducción Lo terrible de Internet es que usted está conectado a todos los demás. Vint Cerf, "El Padre de Internet" 10 / X
Introducción Quién me va a atacar a mi? Sino tengo nada importante. 11 / X
Introducción Evitar los ataques 12 / X
Introducción Cambiemos el enfoque: Aprendamos de los ataques 13 / X
El Proyecto Objetivo El objetivo del proyecto de grado es estudiar el estado del arte de la tecnología de honeypots y diseñar e implementar un honeypot de bajo nivel de interacción. 14 / X
Diseño e implementación de un Honeypot Que es un honeypot? Según su traducción: Tarro de miel 15 / X
Diseño e implementación de un Honeypot Que es un honeypot? Es un recurso de red 16 / X
Diseño e implementación de un Honeypot Que es un honeypot? Adquiere valor solo si es comprometido 17 / X
Diseño e implementación de un Honeypot Que es un honeypot? Obtener información valiosa 18 / X
Diseño e implementación de un Honeypot Objetivos de un Honeypot Desviar la atención. Capturar nuevos tipos de ataques. Conocer nuevas vulnerabilidades. Descubrir riesgos de sistemas 19 / X
Diseño e implementación de un Honeypot Que no hace un Honeypot No resuelven fallos de seguridad. No detienen a un atacante. 20 / X
Diseño e implementación de un Honeypot Ventajas Reducción Falsos Positivos 0 Falsos Negativos : Captura de Nuevos Ataques Distracción Atacantes 21 / X
Diseño e implementación de un Honeypot Desventajas Vista limitada Identificación Aumento del Riesgo en el ambiente instalado 22 / X
Diseño e implementación de un Honeypot Mitigar Desventajas 23 / X
Clasificación I Por funcionalidad De Producción De Investigación 24 / X
Clasificación II Nivel de interacción Bajo Falso Demonio Medio Sistema Operativo Disco Alto Otros Recursos Locales 25 / X
Clasificación III Por nivel de implementación Física Virtual 26 / X
Ubicación 27 / X
Ubicación I Por delante del Firewall 28 / X
Ubicación II Detrás del Firewall 29 / X
Ubicación III En Zona Desmilitarizada 30 / X
Honeynets Redes de honeypots 31 / X
Honeynets Contemplar Control de Datos Permitir tráfico entrante. Limite trafico saliente, conexiones, ancho de banda Captura de Datos Capturar trafico de entrada/salida Actividades en cada Honeypot Captura descentralizada 32 / X
Honeynets 33 / X
Honeynets Generaciones Generación I : 1999-2001 Probando los conceptos. Generación II : 2002-2003 Mejorar las tecnologías de Honeypots. Generación III : 2003 2004 Honeywall Generación IV: 2004 2005 Centralización de datos para Honeynets distribuidas. 34 / X
Agenda Estudio del arte de Honeypots María José Rouiller Propuesta Fernando Cócaro Organización / Avance del proyecto Mauricio García 35 / X
Propuesta La idea 36 / X
Propuesta Honeypots de bajo nivel de interacción Back Officer Friendly honeyd HoneyTrap GoogleHack Labrea Tarpit 37 / X
Propuesta Honeypots de bajo nivel de interacción honeyd Repositorio HoneyTrap Repositorio 38 / X
Propuesta Estructura base? 39 / X
Propuesta Asegurando el honeypot 40 / X
Propuesta Fase 1 41 / X
Propuesta Fase 2 42 / X
Propuesta Fase 3 43 / X
Propuesta Fase 4 InCo Antel iie 44 / X
Propuesta Fase 4 Uruguay Brasil 45 / X
Agenda Estudio del arte de Honeypots María José Rouiller Propuesta Fernando Cócaro Organización / Avance del proyecto Mauricio García 46 / X
Cronograma Planificación ABRIL MAYO Fase 0 JUNIO JULIO AGOSTO Fase 1 47 / X
Cronograma Planificación II SEPTIEMBRE OCTUBRE Fase 1 2 3 Fase 4 NOVIEMBRE DICIEMBRE Fase 5 48 / X
Cronograma Abril Organización + Investigación 49 / X
po ts Mayo Ho ne y Cronograma Honeypots, honeypots y más honeypots 50 / X
Cronograma Junio Back Officer Friendly honeyd HoneyTrap GoogleHack Labrea Tarpit 51 / X
Cronograma Junio II Honeyd -baja/media interacción -simula varios Sist. Oper. -permite virtualizar -uno de los más usado -no detecta un ataque a si mismo 52 / X
Cronograma Junio III Honeytrap -baja/media interacción -simula servicios de varios Sist. Oper. -no permite virtualización -uno de los más usado -detecta cualquier ataque al servicio simulado 53 / X
Cronograma Junio IV Ambientes de trabajo 54 / X
Cronograma Junio V Ambiente de trabajo Trabajando sobre maquinas virtuales 55 / X
Cronograma Julio 56 / X
Cronograma Julio II - Que datos obtenemos de un honeypot? Honeytrap 57 / X
Cronograma Julio III - Que datos obtenemos de un honeypot? Honeyd 58 / X
Cronograma Julio IV - Que datos buscamos? Estandarización de logs RFC4765 IDMEF Intrusion Detection Message Exchange Format 59 / X
Cronograma Julio V Logs: - SEC - Prelude - Sebek - SysLog - SysLog NG 60 / X
Cronograma Julio VI Simple Event Correlation -Herramienta de análisis de logs a partir de una entrada -Permite obtener información valiosa de los logs -Escrito en perl -El análisis se realiza mediante expresiones regulares -La salida puede redirigirse hacia otras aplicaciones 61 / X
Cronograma Julio VII Prelude -Es un framework IDS hibrido -Brinda seguridad para que sensores reporten eventos de forma centralizada -Permite encontrar rastros de actividad de un atacante de diferentes sesores (honeyd, snort, etc) 62 / X
Cronograma Julio VIII Sebek - Es una herramienta para captura de datos - Diseñada para capturar actividad de ataques a honeypot 63 / X
Cronograma Julio IX Comienzo Fase I Implantación de una arquitectura básica. 64 / X
Cronograma Agosto - Fase I Puntos a resolver: - selección de honeypot a utilizar - selección de servicio de logs - selección y configuración del firewall - comunicaciòn honeypot servidor de logs - estandarización de logs - seguridad del honeypot - seguridad de los logs - seguridad del firewall - traducción logs obtenidos - mecanismos de alarmas - monitoreo de actividad 65 / X
Actualmente Agosto II - Fase I Honeypot Sensor SEC SYSLOG Traductor Logs Servidor SYSLOG de Logs SEC Repositorio 66 / X
Siguiente Paso Agosto II - Fase I Honeypot Sensor SEC PRELUDE Traductor Logs Servidor de Logs PRELUDE SEC Repositorio 67 / X
Cronograma Pasos a seguir SEPTIEMBRE OCTUBRE Fase 1 2 3 Fase 4 NOVIEMBRE DICIEMBRE Fase 5 68 / X
Referencias The honeynet Project http://www.honeynet.org The Honeynet.BR Project http://www.honeynet.org.br/ Honeyd http://www.honeyd.org Honeytrap http://honeytrap.mwcollect.org Simple Event Correlator http://www.estpak.ee/~risto/sec/ Prelude ids framework http://www.prelude-ids.org/ Sebek http://www.honeynet.org/tools/sebek/ 69 / X
Fin Preguntas? 70 / X