DISEÑO E IMPLANTACIÓN DE UN HONEYPOT

Fernando Cócaro Mauricio García María Jose Rouiller DISEÑO E IMPLANTACIÓN DE UN HONEYPOT InCo Facultad de Ingeniería - Universidad de la República Julio 2007

Agenda Estudio del arte de Honeypots María José Rouiller Propuesta Fernando Cócaro Organización / Avance del proyecto Mauricio García 2/X

Introducción Conoce a tu enemigo... SUN TZU 3/X

Introducción Si conoces a tu enemigo y te conoces a ti, no necesitas temer el resultado de tus batallas 4/X

Introducción Tradicionalmente los enfoques de seguridad se han basado en acciones defensivas. 5/X

Introducción Utilizar técnica milenaria para nuevo enfoque de seguridad: aprender de nuestros atacantes 6/X

Introducción Como? Atraerlos para conocerlos 7/X

Introducción baitcar.com 8/X

Introducción "Lo maravilloso de Internet es que usted está conectado a todos los demás. 9/X

Introducción Lo terrible de Internet es que usted está conectado a todos los demás. Vint Cerf, "El Padre de Internet" 10 / X

Introducción Quién me va a atacar a mi? Sino tengo nada importante. 11 / X

Introducción Evitar los ataques 12 / X

Introducción Cambiemos el enfoque: Aprendamos de los ataques 13 / X

El Proyecto Objetivo El objetivo del proyecto de grado es estudiar el estado del arte de la tecnología de honeypots y diseñar e implementar un honeypot de bajo nivel de interacción. 14 / X

Diseño e implementación de un Honeypot Que es un honeypot? Según su traducción: Tarro de miel 15 / X

Diseño e implementación de un Honeypot Que es un honeypot? Es un recurso de red 16 / X

Diseño e implementación de un Honeypot Que es un honeypot? Adquiere valor solo si es comprometido 17 / X

Diseño e implementación de un Honeypot Que es un honeypot? Obtener información valiosa 18 / X

Diseño e implementación de un Honeypot Objetivos de un Honeypot Desviar la atención. Capturar nuevos tipos de ataques. Conocer nuevas vulnerabilidades. Descubrir riesgos de sistemas 19 / X

Diseño e implementación de un Honeypot Que no hace un Honeypot No resuelven fallos de seguridad. No detienen a un atacante. 20 / X

Diseño e implementación de un Honeypot Ventajas Reducción Falsos Positivos 0 Falsos Negativos : Captura de Nuevos Ataques Distracción Atacantes 21 / X

Diseño e implementación de un Honeypot Desventajas Vista limitada Identificación Aumento del Riesgo en el ambiente instalado 22 / X

Diseño e implementación de un Honeypot Mitigar Desventajas 23 / X

Clasificación I Por funcionalidad De Producción De Investigación 24 / X

Clasificación II Nivel de interacción Bajo Falso Demonio Medio Sistema Operativo Disco Alto Otros Recursos Locales 25 / X

Clasificación III Por nivel de implementación Física Virtual 26 / X

Ubicación 27 / X

Ubicación I Por delante del Firewall 28 / X

Ubicación II Detrás del Firewall 29 / X

Ubicación III En Zona Desmilitarizada 30 / X

Honeynets Redes de honeypots 31 / X

Honeynets Contemplar Control de Datos Permitir tráfico entrante. Limite trafico saliente, conexiones, ancho de banda Captura de Datos Capturar trafico de entrada/salida Actividades en cada Honeypot Captura descentralizada 32 / X

Honeynets 33 / X

Honeynets Generaciones Generación I : 1999-2001 Probando los conceptos. Generación II : 2002-2003 Mejorar las tecnologías de Honeypots. Generación III : 2003 2004 Honeywall Generación IV: 2004 2005 Centralización de datos para Honeynets distribuidas. 34 / X

Agenda Estudio del arte de Honeypots María José Rouiller Propuesta Fernando Cócaro Organización / Avance del proyecto Mauricio García 35 / X

Propuesta La idea 36 / X

Propuesta Honeypots de bajo nivel de interacción Back Officer Friendly honeyd HoneyTrap GoogleHack Labrea Tarpit 37 / X

Propuesta Honeypots de bajo nivel de interacción honeyd Repositorio HoneyTrap Repositorio 38 / X

Propuesta Estructura base? 39 / X

Propuesta Asegurando el honeypot 40 / X

Propuesta Fase 1 41 / X

Propuesta Fase 2 42 / X

Propuesta Fase 3 43 / X

Propuesta Fase 4 InCo Antel iie 44 / X

Propuesta Fase 4 Uruguay Brasil 45 / X

Agenda Estudio del arte de Honeypots María José Rouiller Propuesta Fernando Cócaro Organización / Avance del proyecto Mauricio García 46 / X

Cronograma Planificación ABRIL MAYO Fase 0 JUNIO JULIO AGOSTO Fase 1 47 / X

Cronograma Planificación II SEPTIEMBRE OCTUBRE Fase 1 2 3 Fase 4 NOVIEMBRE DICIEMBRE Fase 5 48 / X

Cronograma Abril Organización + Investigación 49 / X

po ts Mayo Ho ne y Cronograma Honeypots, honeypots y más honeypots 50 / X

Cronograma Junio Back Officer Friendly honeyd HoneyTrap GoogleHack Labrea Tarpit 51 / X

Cronograma Junio II Honeyd -baja/media interacción -simula varios Sist. Oper. -permite virtualizar -uno de los más usado -no detecta un ataque a si mismo 52 / X

Cronograma Junio III Honeytrap -baja/media interacción -simula servicios de varios Sist. Oper. -no permite virtualización -uno de los más usado -detecta cualquier ataque al servicio simulado 53 / X

Cronograma Junio IV Ambientes de trabajo 54 / X

Cronograma Junio V Ambiente de trabajo Trabajando sobre maquinas virtuales 55 / X

Cronograma Julio 56 / X

Cronograma Julio II - Que datos obtenemos de un honeypot? Honeytrap 57 / X

Cronograma Julio III - Que datos obtenemos de un honeypot? Honeyd 58 / X

Cronograma Julio IV - Que datos buscamos? Estandarización de logs RFC4765 IDMEF Intrusion Detection Message Exchange Format 59 / X

Cronograma Julio V Logs: - SEC - Prelude - Sebek - SysLog - SysLog NG 60 / X

Cronograma Julio VI Simple Event Correlation -Herramienta de análisis de logs a partir de una entrada -Permite obtener información valiosa de los logs -Escrito en perl -El análisis se realiza mediante expresiones regulares -La salida puede redirigirse hacia otras aplicaciones 61 / X

Cronograma Julio VII Prelude -Es un framework IDS hibrido -Brinda seguridad para que sensores reporten eventos de forma centralizada -Permite encontrar rastros de actividad de un atacante de diferentes sesores (honeyd, snort, etc) 62 / X

Cronograma Julio VIII Sebek - Es una herramienta para captura de datos - Diseñada para capturar actividad de ataques a honeypot 63 / X

Cronograma Julio IX Comienzo Fase I Implantación de una arquitectura básica. 64 / X

Cronograma Agosto - Fase I Puntos a resolver: - selección de honeypot a utilizar - selección de servicio de logs - selección y configuración del firewall - comunicaciòn honeypot servidor de logs - estandarización de logs - seguridad del honeypot - seguridad de los logs - seguridad del firewall - traducción logs obtenidos - mecanismos de alarmas - monitoreo de actividad 65 / X

Actualmente Agosto II - Fase I Honeypot Sensor SEC SYSLOG Traductor Logs Servidor SYSLOG de Logs SEC Repositorio 66 / X

Siguiente Paso Agosto II - Fase I Honeypot Sensor SEC PRELUDE Traductor Logs Servidor de Logs PRELUDE SEC Repositorio 67 / X

Cronograma Pasos a seguir SEPTIEMBRE OCTUBRE Fase 1 2 3 Fase 4 NOVIEMBRE DICIEMBRE Fase 5 68 / X

Referencias The honeynet Project http://www.honeynet.org The Honeynet.BR Project http://www.honeynet.org.br/ Honeyd http://www.honeyd.org Honeytrap http://honeytrap.mwcollect.org Simple Event Correlator http://www.estpak.ee/~risto/sec/ Prelude ids framework http://www.prelude-ids.org/ Sebek http://www.honeynet.org/tools/sebek/ 69 / X

Fin Preguntas? 70 / X