Atacando al atacante - Conociendo un poco de Honeypots [Honeypots I]

1 comment
Seguimos Cazando,esta vez con los HoneyPots, en la entrada veremos algo de teoría referente a los Honeypots que son cuantos tipos existen, características, debilidades, fortalezas y recomendaciones. ya que las proximas entradas de Atacando al Atacante iremos explotando este lado. 
Que es un Honeypot

Es un recurso  (servidor, aplicación, servicios) que esta creado e implementado para que un atacante pierda su tiempo, tratando de buscar algún fallo o bien entreteniéndose en el equipo, sin tomar en cuenta el equipo real imitando características de uno real.


¿Un honeypot puede ser usado en mi contra?

Si, puede ser usado en tu contra, en realidad si el atacante lograría acceder al equipo y este esta en la misma red, podría realizar un pivoting y escalar a otros equipos, aclarando que todo depende de la correcta configuración previa que se realize al honeypot, en un (Jailed enviroment).

Que se dice cuando hay varios Honeypots ¿MultiHoneyPot?

Cuando tenemos mas de un Honeypot adquiere el nombre de Honeynet, dichas honeynet puede contar con múltiples sistemas operativos es decir Solaris, Unix, Windows, Cisco, TPLINKS etc... todo lo que se nos venga a la mente.

Que hace al final un Honeypot

Pero aqui no acaba ya que, como se indico en el principio no solo es para los atacante si no tambien para otros yuyos como ser malware,  la identificación de nuevo malware para el estudio posterior, perfilamiento de los atacantes conocer que es lo que hacen mayormente a donde atacan por un simple muestreo que se puede realizar.  O bien como simple y loca idea de aprender y practicar!!

Los honeypots tienen dos clasificaciones principales que son por:

  • Ambiente de implementación
  • Nivel de Interacción
Entonces en este punto podemos determinar lo siguiente, segun el ambiente de implementación se llegaría a dividir en producción (entorno real) o investigación. En el nivel de interacción en dos estados bajo y alto nivel de interacción.


Recomendaciones y algunas cosas a tomar en cuenta.


Es recomendable que el honeypot cuente con mecanismos de protección para evitar que sea explotado en su totalidad.

Un honeypot no es un IDS/IPS no es, ni sera la solución perfecta a los problemas de la red.

La función de un Honeypot es para comprender y aprender lo que hace un atacante y que mitigar en un entorno real.

Debe forzar o incitar a un atacante que entre a la red, el nivel de dificultad debe de ser entre bajo a medio no tan complicado para no dejar que se vaya y además ofrecer premios ;).

No dejar el Honeypot a su libre albeldrio, siempre tiene que existir una persona responsable que monitoreo y analice no dejarlo ahí recopilando data y ya.

En esta primera entrega conocimos un poco de lo que es un Honeypot que hace, que tiene y por donde va, en la próxima vendra un breve listado de Honeypots como montarlos y detalles de por medio ;). Espero les agrade y disfruten del mismo.

Regards,
Snifer

1 comentario

  1. Las honeypots pueden dar mucha información, pero no se tienen que usar a la ligera. "Un gran poder conlleva una gran responsabilidad".

    ResponderEliminar