Desde Kernelpanic.org.mx les muestro esta Magnifica entrada de Samy hablando sobre el Proyecto de Honeynet.

¿Quién no tiene un firewall?¿Un antivirus?¿Un ids?

En concreto, ¿quién no se preocupa por su seguridad?

Por lo general estamos a la defensiva, y tenemos algunos de los elementos arriba mencionados.

Pues bien, las honeynets intentan cambiar esto, recolectando información sobre las amenzas existentes, es decir, conociendo al enemigo, y aprendiendo de él.
El proyecto Honeynet es una organización para la investigación sobre seguridad voluntaria, sin fines de lucro y utiliza los Honeypots para recolectar información sobre las amenazas en el ciberespacio.

¿Qué es un Honeypot?
Son servidores de información falsa que es disfrazada con datos de naturaleza “confidencial”, posicionados estratégicamente en redes de prueba, pero con datos “importantes/interesantes”, siendo atractivos para la comunidad blackhat (crackers).
Éstos servidores son configurados de alguna manera que “batallen” en entrar a ellos, digo, tienen que batallar para obtener lo que quieren =), no se les va a poner todo en charola de plata :P.

Además, el servidor es habilitado con herramientas de monitoreo y rastreo de información, de manera de que todo lo que hagan y deshagan se vaya guardando en una bitácora para su posterior análisis.
Las funciones principales de un Honeypot son:
-Desviar la atención del atacante de la red real del sistema.
-Capturar nuevos virus o gusanos para su posterior análisis.
-Formar perfiles de atacantes y sus formas de ataque preferidas.
-Conocer nuevas vulnerabilidades y riesgos en los sistemas operativos.

En un contexto más avanzado, un conjunto de honeypots forma una honeynet, proporcionando así una herramienta que abarca un conjunto extendido de posibles amenazas y proporciona al administrador de sistemas mayor información para su estudio.

Clasificación de los Honeypots

Según su ambiente de implementación
-Honeypots para la producción: Se utilizan para proteger organizaciones, están ubicados en las redes de las mismas, y colectando información las 24 horas los 7 días de la semana.
-Honeypots para la investigación: No son implementados con la finalidad de proteger redes, sino contituyen una forma de ivestigación educativa para conocer el movimiento de los intrusos.

Según su nivel de interacción
-Honeypots de baja interacción: Emulan servicios y sistemas operativos. (por ejemplo en vmware emular una distro de linux, con un cliente ftp escuchando por el puerto 21, aunque no represente un blanco muy significativo), pero en fin, no se tendrá acceso al sistema operativo donde pueda atacar.
-Honeypots de alta interacción: Implica utilizar sistemas operativos reales, en hardware real, corriendo aplicaciones que se ejecutan de manera normal.

Ventajas y desventajas:
Ventajas:
-Nuevas herramientas y tácticas de seguridad
-Determinarse patrones de ataque y motivos del agresor
-Uso de mínimos recursos (podemos poner a alguna vieja computadora a capturar malware, virus, gusanos, y demás cosas feas :P)
Desventajas:
-Riesgo de que se controlen completamente el honeypot y sea utilizado como plataforma para otros ataques.

Concluyendo:
Ésta es una herramienta sencilla, pero poderosa, pues muchas veces nos protegemos, eliminamos virus, identificamos a los intrusos, les bloqueamos la entrada a nuestros equipos, que no digo que esté mal, pero hay otras alternativas de seguridad, como conocer a quien nos ataca y cómo lo hace, tender trampas, y analizar al especimen, jejeje..

“How can we defend against an enemy, when we don’t even know who the enemy is?”

“¿Cómo podemos defendernos del enemigo, cuando ni siquiera sabemos quién es el enemigo?”

Fuentes: Proyeto Honeynet México
Proyecto Honeynet Unam
Honeynet.org
Documento:
Honeypots

Por Samy

..continuará

Twitter

Matrix ejecutandose en Windows - Español:Este video ya lo habia posteado, pero ahora. lo pongo con subtitu.. http://tinyurl.com/5uop3k