¿Qué es y como funciona?

Honeyd es un framework que puede interactuar con miles de direcciones de internet mediante la creación de honeypots virtuales y la emulación de los servicios correspondientes de la red. Normalmente, configuramos honeyd en direcciones ip no asignadas de la red existente. Por cada dirección ip podemos simular un comportamiento distinto. Por ejemplo, podríamos configurar un servidor web virtual que corra sobre linux y escuche por el puerto 80. Podríamos configurar en otra dirección ip otro sistema que aparezca como windows con todos los puertos TCP abiertos ejecutando servicios. Esto nos permitiría recibir los primeros paquetes TCP de worms(gusanos) o probes(sondas). Honeyd se puede utilizar para crear señuelos en una red existente o para crear topologías de enrutamiento de cientos de miles de redes desde un solo equipo. En los siguientes apartados describiremos con detalle cómo funciona honeyd, como se puede configurar, y como implementarlo.

  • Resumen

Se trata de un framework de baja interacción virtual que puede crear miles de honeypots virtuales en una sola red o incluso en todo internet. Honeyd soporta los conjuntos de protocolos IP y responde a las solicitudes de red para sus honeypots virtuales de acuerdo a los servicios que se configuran para cada honeypot virtual. Cuando se envía un paquete de respuesta, el motor, según la personalidad configurada en Honeyd, actúa con el comportamiento del sistema operativo que hemos configurado. Está disponible como un software de código abierto publicado bajo la licencia GNU Public License (GPL) y se ejecuta en la mayoría de sistemas operativos.

Figura 1. Honeyd recibe el tráfico de sus honeypots virtuales a través de un router o un proxy ARP. Para cada honeypot, Honeyd puede simular el comportamiento de la pila de red de un sistema operativo diferente.

esquema honeyd

Aparte de aprovechar honeyd para asignar direcciones de red y obtener una visión mas clara sobre la actividad maliciosa en internet, también puede utilizarse para disuadir a los atacantes de que ataquen los sistemas reales y de esa forma pierdan tiempo. Un buen ejemplo es el ejercicio de ciberdefensa anual, una competición entre las academias militares de EE.UU. y la Agencia de Seguridad Nacional (NSA). Cada academia tiene un equipo de estudiantes con la tarea de proteger sus redes y la academia adversaria intenta penetrar en el sistema de la otra o causar todo tipo de estragos. Cuando honeyd fue lanzado por primera vez, algunos estudiantes reforzaron sus redes usándolo, y configurándolo para crear cientos de honeypots virtuales. Estos honeypots solo pretendían disuadir a los adversarios de que atacaran las maquinas reales. La estrategia tuvo un éxito sorprendente, y los alumnos disfrutaron viendo a los equipos de la NSA tratando de entrar durante horas en máquinas que realmente no existían.

  • Características

    Resumiendo, Honeyd tiene muchas características interesantes entre las que tenemos las siguientes:

    • Simula miles de máquinas virtuales al mismo tiempo: La razón principal para utilizar Honeyd es su capacidad para crear miles de honeypots virtuales al mismo tiempo. Un adversario puede interactuar con todos los host a través de la red y sufrir un comportamiento distinto con diferentes experiencias en función de como se ha configurado cada uno de los honeypots virtuales.
    • Configuración de los servicios a través del archivo de configuración: Puede proporcionar programas arbitrarios que interactúan con un adversario. Siempre que Honeyd reciba una nueva conexion de red, se iniciará el programa que ha especificado para la conexión con el atacante. En lugar de los programas en ejecución, también se puede utilizar Honeyd para conexiones proxy a otras máquinas o usar funciones como la toma pasiva de huellas dactilares(fingerprinting) para identificar hosts remotos.
    • Simula sistemas operativos a nivel de pila TCP/IP: Esta característica permite a Honeyd engañar a Nmap y Xprobe, haciendolos creer que en el honeypot virtual hay realmente un sistema operativo configurado. Para aumentar aún mas el realismo, las políticas para el tratamiento del montaje de fragmentos FIN-scanning se pueden ajustar también.
    • La simulación de cualquier tipo de topología de enrutamiento: Las topologías de enrutamiento pueden ser arbitrariamente complejas. Es posible configurar la latencia, pérdida de paquetes, y las características de ancho de banda. Honeyd soporta enrutamiento asimétrico, la integración de maquinas fisicas en una topología virtual, y las operaciones de distribución a través de tuneles GRE.
    • Subsistema de virtualización: Con subsistemas, Honeyd puede ejecutar aplicaciones reales de Unix en el espacio de nombres virtuales de un honeypot, como por ejemplo, servidores web, servidores ftp, etc. Esta característica también permite la unión de puertos dinámicos en el espacio de direcciones virtuales y la iniciación de fondo de las conexiones de red.


Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

%d personas les gusta esto: