Qué es y para qué sirve un Honeypot

Qué es y para qué sirve un Honeypot

Oscar Espinosa

La seguridad en las empresas hoy en día es fundamental, muchos responsables de seguridad instalan en los sistemas diferentes Honeypots para ser capaces de detectar cómo los cibercriminales les están atacando, para tomar las medidas necesarias para que el sistema real no se vea afectado por estos ataques. Hoy en RedesZone os vamos a hablar en detalle sobre qué son y cómo funcionan los Honeypot, una herramienta fundamental para mantener segura tu red.

¿Qué es un Honeypot?

Tenemos que tener claro que un Honeypot, más conocido como “sistema trampa” o “señuelo”, está ubicado en una red o sistema informático para que su objetivo sea evitar un posible ataque al sistema informático. La función principal de esta herramienta es detectar y obtener información del ataque informático, y, sobre todo, de dónde procede, para posteriormente tomar las medidas de seguridad necesarias.

Las herramientas Honeypot pueden estar diseñadas y programadas con diferentes y múltiples objetivos, que veremos a continuación:

  • Alertar: puede estar diseñada y programada con el objetivo de detectar, pero sin realizar ninguna acción más.
  • Obtener información: puede estar diseñada y programada con el objetivo de obtener información sobre el ataque que está detectando, pero sin realizar ninguna acción más.
  • Ralentizar: puede estar diseñada y programada con el objetivo de ralentizar el ataque que está detectando, pero sin realizar ninguna acción más.
  • Combinación: puede estar diseñada y programada con el objetivo de alertar, obtener información, y ralentizar el ataque que está detectando.

Como podéis ver, podemos tener configurados diferentes escenarios con un Honeypot para que actúen de diferentes maneras como medida de seguridad. Podremos tener un Honeypot para solo reunir información, y, posteriormente, investigar el ataque, hasta incluso ralentizarlo para que nos dé tiempo a tomar las medidas necesarias sin que afecte a otros equipos o sistemas informáticos.

Gracias a las herramientas Honeypot, se pueden descubrir nuevas formas de ataque desconocidas hasta ahora, pero, además, también se pueden descubrir vulnerabilidades propias de nuestra red y, por lo tanto, poner soluciones y diseñar estrategias de protección más efectivas. Tenemos que tener claro que podemos tener varios Honeypot instalados en nuestra red y, que además, se comuniquen entre ellos. Esta última técnica es conocida como una red Honeynet.

Como es lógico, para que una red Honeynet funcione, nuestro sistema de red tiene que estar configurado para que cualquier ataque externo que entre en nuestra red, lo primero que se encuentre sea el sistema Honeypot que nosotros queramos, y los ataques se centren en ellos. Tenemos que tener claro que los sistemas Honeypot tienen también sus desventajas, fallos y vulnerabilidades, como cualquier sistema informático y que solo puede detectar ataques que se realicen contra los propios Honeypot, es decir, esta herramienta es útil para detectar y registrar los datos de los ataques que reciben, pero nunca lo va a parar.

Tipos de Honeypot

Existen dos tipos diferentes de Honeypot y que se clasifican de la siguiente manera:

  • Production Honeypot (Honeypot de producción): son los sistemas que utilizan las empresas para investigar por qué motivo reciben ciberataques de los ciberdelincuentes. La finalidad es averiguar por qué se han fijado en esa empresa, e intentar desviar o mitigar el riesgo de dichos ataques en su red interna.
  • Research Honeypot (Investigación de Honeypot): estos sistemas son utilizados por organizaciones sin ánimos de lucro e instituciones educativas, donde el único objetivo que persiguen es investigar los motivos y las maneras que usan los ciberdelincuentes para atacar. La diferencia es que, este tipo de sistemas, se utilizan solamente para entender las motivaciones y, en cierta medida, la psicología del atacante.

Cómo implementar Honeypot

Si queremos implementar un Honeypot en la infraestructura de nuestra empresa podemos recurrir a dos soluciones principalmente, un sistema físico o un sistema virtual:

  • Honeypot físico: el Honeypot físico, se trata de incorporar un ordenador exclusivo para esta función, que se integraría dentro de nuestra red, con su propia dirección IP.
  • Honeypot virtual: el Honeypot virtual es un sistema virtualizado dentro de un equipo físico que, a través del software de virtualización, recibe los recursos como si de un equipo físico se tratara.

Una vez que tenemos claro qué es un Honeypot, cómo se implementan y qué tipos existen vamos a entrar más en profundidad sobre cómo se clasifican los Honeypot:

Clasificación de los Honeypot

Recordemos que el objetivo principal de un Honeypot es hacer creer al intruso que es un equipo muy valioso de infectar, y, por lo tant,o su principal función es pasar desapercibido mientras está en funcionamiento. Esto es debido a que cuanto más tiempo consiga engañar al intruso, tendremos más información sobre su procedencia, cuáles son sus objetivos y sobre todo, como actúa.

A la hora de clasificar los Honeypot, uno de los datos más importantes como hemos visto arriba es el grado de interacción con el intruso como hemos visto anteriormente. Esto se aplica tanto del lado del servidor como del cliente, es decir, podemos diferenciarlos como Honeypot de baja o alta interacción.

Honeypots de baja interacción

Los Honeypot de baja interacción tienen una interacción casi nula, y su funcionalidad se limita a imitar a aplicaciones u otros sistema o equipos de la red. Tenemos que tener claro que las funciones o servicios que simule el Honeypot, solo serán simuladas para hacer que el atacante infiltrado ataque, y así, obtener toda la información posible.

Honeypots de alta interacción

Los Honeypot de alta interacción normalmente son equipos con sistemas reales que tienen los mismos servicios que tendrían los servidores reales. Es decir, son equipos con sistemas reales que trabajan en una red real, como puede ser cualquier servidor físico. Por este motivo un Honeypot de alta interacción tiene que estar perfectamente protegido ya que si no, puede el atacante llegar a infiltrarse en nuestra red local, y llegar a atacar a otros servidores o equipos de nuestra red.

Honeypots de baja interacción del lado del servidor

Los Honeypot de baja interacción del lado del servidor son, por norma general, una aplicación que imita los servidos de red. La limitación que ofrece esta opción es que las posibilidades de interacción son muy limitadas, es decir, que la información que se obtendrá sobre el ataque o atacantes será escasa. Además, cabe destacar que normalmente los cibercriminales suelen descubrir este tipo de Honeypot de manera muy rápida, lo que hace que su implantación no merezca la pena. Normalmente solo se utiliza este tipo de Honeypot para detectar ataques automatizados de malware.

Si os interesa probar este tipo de Honeypot, podéis probar Honeyd que es una solución conocida de código abierto que nos permite crear Honeypot de baja interacción del lado del servidor. Honeyd es un software gratuito con licencia GPL, nos permitirá crear diferentes hosts virtuales en nuestra red local. Estos se pueden configurar para que simulen un equipo informático completo usando el protocolo TCP / IP. Tenéis que tener claro que, al ser un Honeypot de baja interacción, no es capaz de simular todas las funciones de un equipo físico autentico. Si os interesa probarlo podéis hacerlo desde el siguiente enlace.

Honeypots de baja interacción del lado del cliente

Los Honeypot de baja interacción del lado del cliente, también conocidos como “Honeyclients” son programas que nos permiten emular diferentes navegadores. Son navegadores totalmente funcionales, pero que registran los ataques maliciosos cuando los reciben. Al ser navegadores web simulados, no ofrecen ningún problema para el usuario.

Los Honeypot de baja interacción del lado del cliente de código abierto más conocidos son:

  • HoneyC: con HoneyC los usuarios podrán identificar servidores peligrosos en Internet. HoneyC es un cliente emulado que lo que hace es analizar las respuestas del servidor del sitio web donde estamos buscando, a ver si hay contenido que pueda ser dañino. EL software de HoneyC está formado por dos componentes, que son:
    • Visor Engine: es el responsable de la interacción con el servidor web, y lo que hace es emular diferentes tipos de navegadores web para ver cómo reaccionan con el sitio web.
    • Analisis Engine: su función es analizar la interacción del servidor web con el navegador y ver si algo peligroso ha sucedido.
  • Monkey-Spider: con Monkey-Spider conseguiremos rastrear sitios web en busca de cualquier código malicioso que pueda ser perjudicial para nuestro equipo o navegador web.
  • PhoneyC: con PhoneyC conseguiremos imitar diferentes navegadores web para ver cómo reaccionan, y así analizar su interacción con diferentes sitios web. La principal ventaja de este Honeyclient, es que tiene la capacidad de procesar lenguajes de programación como Javascript y VBScript y soporta funciones de convertir programas complejos en programas sencillos, para encontrar más fácilmente código dañino.

Honeypots de alta interacción del lado del servidor

Los Honeypot de alta interacción del lado del servidor son, por norma general, servidores con muchas funcionalidades que se crean para desviar la atención de otros sistemas críticos.

La diferencia entre los Honeypot de baja interacción y los Honeypot de alta interacción son que los de baja interacción están diseñados para identificar y analizar los ataques que recibe de forma automática. Los Honeypot de alta interacción están para recibir ataques que le llegan de forma manual.

Tenemos que tener claro que, los Honeypot del lado del servidor son perfectos para ataques de gran nivel de interacción. Esto es debido a que, para crear y supervisar el funcionamiento de un Honeypot de estas características, es necesario un elevado esfuerzo humano debido a que se usan servidores reales y, por lo tanto, el riesgo que un atacante logre infiltrarse es muy elevado.

5 predicciones de ciberseguridad para 2020

Software de supervisión

Para ayudar a los informáticos que se encargan de supervisar las interacciones de los Honeypot de alta interacción, se pueden utilizar los siguientes programas:

  • Sebek: es una herramienta que su función es la recogida de datos y se utiliza en Honeypot de alta interacción para así controlar y recopilar los datos sobre los ataques que detecte. Su estructura básica, está formada por el cliente que se ejecuta en el Honeypot y este registra las acciones de los ataques recibidos.
  • Argus: esta herramienta está diseñada para Honeypot de alta interacción, y su funcionamiento consiste en un emulador de hardware QEMU modificado. Es decir, el software soporta diferentes sistemas operativos que se ejecutan en una máquina virtual. Para detectar los ataques, no es necesario ningún otro software de motorización adicional. El tráfico de red que entra a través de la tarjeta de red, está siendo supervisado y se le conoce por el nombre de “tainted”. La principal limitación de Argus es que requiere de un hardware muy potente, debido a que necesita emular un sistema operativo completo para realizar el análisis de datos, por este motivo, este programa es mucho más lento que otros programas ejecutados en el mismo hardware al requerir mayores requisitos.

Honeypots de alta interacción del lado del cliente

Los Honeypot de alta interacción del lado del cliente son programas que se ejecutan en sistemas operativos reales y que utilizan navegadores web no virtualizados, es decir, los del propio equipo para detectar y registrar los ataques que reciben.

Los Honeypot de alta interacción del lado del cliente más conocidos son:

  • Capture-HPC: esta aplicación Honeypot de alta interacción funciona empleando una arquitectura cliente-servidor. Consiste en que un servidor envía al cliente los sitios web que tiene que visitar, y estos envían los resultados de estos sitios web de nuevo al servidor para ser analizados. Tenéis más información en el siguiente enlace.
  • mapWOC: esta aplicación de software libre consiste en ejecutar en una máquina virtual diferentes navegadores web que después analiza el trafico web recibido para registrar y analizar diferentes ataques recibidos. MapWoc funciona con un sistema host Debian Squeeze, un KVM para la virtualización y el antivirus ClamAV para comprobar si hay malware. Tenéis más información en el siguiente enlace.

Conclusiones

Como hemos podido ver, los Honeypot se utilizan como otros sistemas de detección de intrusos junto a los firewalls y antivirus. Lo que nos aportan los Honeypot es una función de control adicional respecto a la seguridad, para saber cómo actuar en caso de recibir un ataque, ya que sabremos cómo actúan gracias al estudio previo del equipo de seguridad que se encargue de controlar los Honeypot.

La principal ventaja de estos sistemas Honeypot para los equipos de ciberseguridad son que pueden obtener datos muy relevantes de los ataques recibidos, y saber cçomo solucionarlo o mitigarlos gracias al estudio previo. Tenemos que tener claro que los Honeypot no tienen por qué entregar información útil. Esto es debido a que, si el atacante detecta que es un Honeypot, como es lógico, no mostrará sus «armas» para así no ser neutralizado. Cada vez más en empresas se utilizan este tipo de soluciones, y no solo en grandes multinacionales, sino en cualquier empresa de tamaño mediano que valore la seguridad de su información.

Desde Redes Zone os recomendamos que probéis los diferentes tipos de clientes Honeypot de los que os hemos hablado mas arriba, como mapWoc, Capture-HPC, Argus, Sebek, PhoneyC, Monkey-Spider, y Honey, ya que la mayoría son programas de software libre gratuitos. Gracias a los Honeypot, las redes corporativas y de pequeñas y medianas empresas están más seguras al estar preparadas ante diferentes ataques, poniendo cebos y analizando sus equipos de seguridad como se ha procedido al ataque por el atacante.