carpi/Seguridad-Informatica
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
Seguridad-Informatica/Explicaciones Generales/HoneyPot.md
Lil_Carpi d717c49f58 poco texto
2025-11-28 15:55:46 +01:00

7.3 KiB
Executable File
Raw Permalink Blame History 

		A un panal de rica miel
		dos mil moscas acudieron
		por que por golosas murieron
		presas de patas en él.
										Félix María Samaniego, Fábula XI

Un honeypot, o sistema trampa o señuelo, es una herramienta de la seguridad informatica dispuesto en una red o sistema informatico para ser el objetivo de un posible ataque informatico, y asi poder detectarlo y obtener informacion del mismo y del atacante.

El termino honeypot significa en ingles, literalmente, "Tarro de miel". Sin embargo, los angloparlantes han usado el termino para referirse a otras cosas, relacionando siempre de manera eufemistica o sarcastica sobre esas otras cosas con un tarro de miel. Asi, han usado el termino honeypot para referirse a algo tentador que resulta ser una trampa, como en castellano lo es en la fabula de Félix María Samaniego, las moscas, indicado al principio de este recopilatorio.

La caracteristica principal de este tipo de programas es que estan diseñados no solo para protegerse de un posible ataque, sino para servir de señuelo invisible al atacante, con objeto de detectar el ataque antes de que afecte a otros sistemas criticos. El honeypot, sin embargo, puede estar diseñado con multiples objetivos, desde simplemente alertar de la existencia del ataque u obtener informacion sin interferir en el mismo, hasta tratar de ralentizar el ataque -sticky honeypots- y proteger asi el resto del sistema. De esta forma se tienen honeypots de baja interaccion, usados fundamentalmente como medida de seguridad, y honeypots de alta interaccion, capaces de reunir mucha mas informacion con fines como la investigacion.

Si el sistema dispuesto para ser atacado forma toda una red de herramientas y computadoras dedicadas en exclusiva a esta tarea se le denomina HoneyNet.

Honeypot es la terminologia con la que se describe el recurso informatico monitorizado usado para probar, que sea atacado o que se vea comprometido por ataques informaticos.

El uso principal que se le otorga a este señuelo de network es el de distraer a posibles atacantes de informacion y maquinas mas inportantes de la network real, aprender sobre las formas de ataques que pueden sufrir y examinar dichos ataques durante y despues de la explotacion de un honeypot.

Dado el incremento de ataques, es relevante tener una forma para poder prevenir y ver Vulnerabilidad de un sistema concreto de network. Es decir, se usa un señuelo para poder proteger una network de presentes o futuros ataques.

==Tipos de Honeypots==

Encontramos dos tipos principales de honeypot, estos son los fisicos y los virtuales:

  • Fisico: se trata de una maquina real con su propia direccion IP, esta maquina simula comportamientos modelados por el sistema. Muchas veces no se utiliza tanto esta modalidad de honeypot debido al precio elevado de adquirir nuevas maquinas, su mantenimiento y a la complicacion añadida de configurar los hardwares especializados.
  • Virtual: el uso de este tipo de honeypot permite instalar y simular huespedes en la network procedentes de distintos sistemas operativos, para hacer esto se debe simular el TCP/Ip del sistema operativo objetivo. Esta modalidad es la mas frecuente.

Ademas, tambien se pueden distinguir los honeypot basandote en si su finalidad es la de investigacion o la de produccion:

  • La tecnica de investigacion se dirige en juntar toda la informacion posible de los Black Hat (Sombrero Negro) a partir de darles el acceso a sus sistemas de seguridad para que infiltren.
  • La tecnica de produccion, en cambio, va dirigida a proteger las compañias que preparen las honeypot, mejorando sus sistemas de seguridad.

Segun los criterios de diseño, los honeypots se pueden clasificar en:

  1. Honeypots puros: sistemas de produccion completos. las actividades del atacante se controlan mediante el uso de un bug tap que se ha instalado en el enlace del honeypot a la red. No es necesario instalar ningun otro software. Aunque un honeypot puro es util, el sigilo de los mecanismos de defensa puede garantizarse mediante un mecanismo mas controlado.
  2. Honeypots de alta interacion: imitan las actividades de los sistemas de produccion que alojan una variedad de servicios y, por lo tanto, un atacante puede tener muchos servicios para perder el tiempo. Al emplear maquinas virtuales, se pueden alojar multiples honeypots en una sola maquina fisica. Por lo tanto, si un honeypot se ve comprometido, se puede restaurar mas rapidamente. En general, los honeypots de alta interaccion brindan mas seguridad al ser mas dificiles de detectar, pero su mantenimiento es costoso. Si las maquinas virtuales no estan disponibles, se debe mantener una computadora fisica por cada honeypot, lo que puede ser exorbitantemente costoso. Ejemplo: HoneyNet.
  3. Honeypots de baja interaccion: simulan solo los servicios solicitados con frecuencia por los atacantes. Dado que consumen relativamente pocos recursos, varias maquinas virtuales se pueden alojar facilmente en un sistema fisico, los sistemas virtuales tienen un tiempo de respuesta corto y requiere menos codigo, lo que reduce la complejidad de la seguridad del sistema virtual.

La sugarcane (caña de azucar) es un tipo de honeypot que se hace pasar por un Proxy abierto. A menudo puede adoptar la forma de un servidor diseñado para parecerse a un proxy HTTP mal configurado. Probablemente el proxy abierto mas famoso fue la configuracion predeterminada de sendmail (antes de la version 8.9.0 en 1998) que reenviaba correos electronicos hacia y desde cualquier destino.

==Spam Honeypots==

Los spammers abusan de recursos como los servidores de correo abiertos y los proxies abiertos. Algunos administradores de sistemas han creado honeypots que imitan este tipo de recursos para identificar a los presuntos spammers.

Algunos honeypots de este estilo incluyen Jackpot, escrito en Java por Jack Cleaver; smtpot.py, escrito en Python por Karl Krueger y spamhole escrito en C.

==Honeypots de seguridad==

Programas como Deception Toolkit de Fred Cohen se disfrazan de servicios de red Vulnerabilidad. Cuando un atacante se conecta al servicio y trata de penetrar en el, el programa simula el agujero de seguridad pero realmente no permite ganar el control del sistema. Registrando la actividad del atacante, este sistema recoge informacion sobre el tipo de ataque utilizado, asi como la direccion IP del atacante, entre otras cosas.

  • Honeynet Project es un proyecto de investigacion que despliega redes de sistemas honeypot (HoneyNet) para recoger informacion sobre las herramientas, tacticas y motivos de los criminales informaticos.
  • PenTBox Security Suite es un proyecto que desarrolla una Suite de Seguridad Informatica. Dentro de los programs que engloban esta disponible un Honeypot configurable de baja interaccion. El proyecto es multiplataforma, programado en Ruby y esta licenciado bajo GNU/GPL.

==Malware Honeypots==

Los honeypots de malware se utilizan para detectar el Malware mediante la explotacion de los vectores de replicacion y ataque conocidos de malware. Los vectores de replicacion, como unidades flash USB, se puededn verificar facilmente en busca de evidencia de modificaciones, ya sea a traves de medios manuales o utilizando honeypots especiales que emulan las unidades.

==HoneyNet==

Reference in New Issue View Git Blame Copy Permalink