Honeypots: una herramienta para comprender al enemigo

Jacobo Arzaga
June 21, 2022
4
min
Honeypots: una herramienta para comprender al enemigo
¿Qué es un honeypot? (n.d.). [Fotografía]. Kaspersky. https://latam.kaspersky.com/resource-center/threats/what-is-a-honeypot


Un honeypot es un entorno “falso”, que tiene el objetivo de engañar a los atacantes y usuarios no autorizados y alejarlos de la red de la compañía. El Honeypot funciona como un sistema, servicio, o red real con información no valiosa y no legítima; de esta manera, el atacante se deja engañar para perder el tiempo atacando y accediendo a la red; y los datos y activos de la compañía están protegidos, y debido a que toda la actividad en el entorno Honeypot ha sido monitoreada y registrada; podemos usar esta información sobre cómo se llevan los ataques para ayudarnos a mejorar la seguridad de nuestros sistemas e identificar los puntos débiles del entorno.

Clasificación de los Honeypots

Los Honeypots se pueden clasificar según la capacidad de un atacante de interactuar con la red, el comando y la aplicación cuando está atrapado en ellos. Estas clasificaciones son las siguientes:

  • Honeypots de baja interacción (LIHP)
  • Honeypots de Interacción Media (MIHP)
  • Honeypots de alta interacción (HIHP)

LIP: simula o emula servicios que comúnmente son solicitados por los atacantes, este tipo de honeypots no utilizan un sistema operativo y son menos complejos; por lo tanto, son fáciles de implementar y mantener y en consecuencia recopilan solo información básica sobre el ataque. LIHP no mantiene al atacante implicado por mucho tiempo y es más difícil obtener información detallada sobre los hábitos de un atacante.

MIHP: Todavía no usa un sistema operativo pero emula aspectos de la capa de aplicación, por lo general mantienen al atacante por períodos de tiempo más largos y son más complejos que LIHP.

HIP: Este Honeypot ofrece un sistema operativo para que el atacante lo pregunte. Esto hace que HP sea más complejo y más costoso de mantener, ya que por lo general imitan un entorno de producción completo con muchos servicios. Debido a que LIHP y MIHP utilizan una implementación menos compleja, tienen un menor riesgo de comprometer el entorno real que HIHP, donde el riesgo de compromiso es mayor debido a lo similares que son HP y el entorno. Como compensación, la información que recopila sobre los hábitos y técnicas de un atacante es detallada y útil.

Imagen de una implementación de Honeypot en una red

Además, los honeypots se pueden clasificar adicionalmente por su función, los dos ejemplos son Honeypots de Producción e Investigación:

Honeypots de investigación: Se utiliza para recopilar información sobre tendencias, tácticas, técnicas y procedimientos de ataques. Específicamente para estudiar los comportamientos de los atacantes. RH mira tanto a su entorno como a Internet. Muchos HHIHP son Research HP

Honeypots de producción: Utilizado principalmente por las empresas e implementado en los servidores de producción de la compañía ejecutando sistemas que normalmente se ejecutan en el entorno de la organización. Ayudan a engañar al atacante y alertan a los administradores sobre la actividad. Aquí podemos encontrar LIHP o MIHP

Podemos clasificar además Honeypots en función de la tecnología adicional que implementen, en esta categoría podemos encontrar lo siguiente:

Elegir el arma adecuada para atacar

Al implementar un Honeypot hay algunas consideraciones que debe tener en cuenta para elegir la herramienta adecuada para el trabajo. El mejor punto de partida sería considerar; lo que queremos obtener del Honeypot, si nuestro objetivo es conocer sobre los protocolos de los atacantes, la fuente del ataque, y algunas contraseñas y nombres de usuario utilizados por ellos; mientras que, manteniendo bajo el costo y el mantenimiento para operar; entonces, LIHP o MIHP son la opción a considerar y debido a que son menos complejos la probabilidad de que comprometa el entorno real es muy baja. Al implementar un HIHP tenemos que considerar que estos sistemas suelen reflejar los sistemas de producción; por lo que están configurados para utilizar servicios extensos, esto los hace muy costosos debido a los dispositivos que se requieren para funcionar, y además el uso de más computadoras y servicios significa que se va a requerir mucha mano de obra para configurar, implementar, monitorear y arreglar el Honeypot, y debido a que están construidos para ser tan similares como el sistema que está imitando, significa que un existe un gran riesgo de que el atacante utilice el sistema como punto de partida para los ataques contra el entorno real. Los HIHP se utilizan de manera mezquinosa con fines de recopilación de inteligencia y estudio.

LIP se puede implementar en una máquina virtual o ejecutarse en un contenedor, mientras que HIHP generalmente se implementa en varias máquinas virtuales o dispositivos físicos con muchos servicios instalados en ellos.

Entonces, ¿cómo se ve un Honeypot en la vida real? La siguiente es una breve explicación del proceso mental utilizado para desplegar un Honeypot.

  1. Decidir el diseño para la implementación. Aquí, se debe tener en cuenta el diseño de la red y cómo el Honeypot interactúa con la red externa e interna. Queremos permitir que un atacante lo use, pero no queremos que tenga acceso a la Red Interna
  2. Elige qué tipo de Honeypot implementar, por ejemplo, Dionaea es un excelente LIHP capaz de detectar protocolos como SMB, HTTP, FTP, Microsoft SQL Server, VoIP, etc. Recuerda tomar en consideración lo que quieres aprender de él.
  3. Decida cómo implementar Honeypot, estaría alojado en una VM o en un contenedor usando Dockers o instalado directamente en una máquina física ¿Se instalaría en la red del Entorno o se separaría de ella?
  4. Una vez que el Honeypot ha sido puesto en su lugar, es hora de esperar a que fluya algo de tráfico. Esto puede llevar semanas o incluso meses. No podemos controlar la frecuencia con la que nuestros servicios son atacados.
  5. Después de un tiempo, recuperamos los registros y los analizamos. El siguiente es el resultado de un estudio realizado por la Universidad de Aalborg sobre Dinamarca utilizando la herramienta Dionaea.
Los 5 protocolos y países de origen más atacados (Implementación de un Honeypot Universitario) (CN = China, IE = Irlanda, NL = Países Bajos, IN = India)

Aquí hay un pequeño ejemplo de qué información podemos recuperar con un Honeypot, vale la pena tomar en consideración que este es solo un ejemplo de una herramienta.

Conclusión

Los Honeypots son un medio para un fin; proporcionan una capa adicional de seguridad pero no reemplazan las herramientas existentes como EDR o SIEM. Trabajan a su lado para ofrecer al usuario una mejor comprensión de las inevitables amenazas que aparecen cada día y conocer al enemigo es una excelente herramienta para lograr un entorno más seguro.

Share this post

More blog posts

Scripting entre sitios 101: almacenado frente a reflejado, Fortnite y desinfección general
Elisa Sosa
October 20, 2022

Scripting entre sitios 101: almacenado frente a reflejado, Fortnite y desinfección general

Los ataques de scripting entre sitios (XSS) consisten en inyectar código malicioso en sitios considerados seguros pero vulnerables.
ISO/IEC 42001
Erick Llanos
March 12, 2024

ISO/IEC 42001

La IA es la teoría y desarrollo de sistemas informáticos capaces de realizar tareas que históricamente requerían inteligencia humana, como reconocer el habla, tomar decisiones e identificar patrones.
Hablemos de Ejercicios de Red Team
Adiel Lizama
March 15, 2023

Hablemos de Ejercicios de Red Team

Un Red Team tiene la responsabilidad de desafiar las defensas y políticas establecidas, buscando vulnerabilidades que puedan explotarse potencialmente.
Back to blog