En anteriores entradas sobre honeynets ya tratamos los diferentes tipos de honeypots y sobre las arquitecturas posibles en una red trampa. En este artículo vamos a identificar otros componentes esenciales para completar una honeynet: las herramientas de control, captura, monitorización y análisis de datos.
Como se indicó en el primer artículo, uno de los objetivos buscados a la hora de implantar una honeynet es el de analizar los vectores de ataque de la que ésta es víctima. Para alcanzar este propósito, hemos de tener en cuenta el resto de las tareas a gestionar de una honeynet y las herramientas o aplicaciones que ayudan a acometerlas.
- Control de Datos: Siempre cabe la posibilidad de que nuestra red trampa sea vulnerada por un atacante o incluso que sea utilizada para realizar desde ella otros ataques a mayor escala. Para mitigar en lo posible este riesgo, es necesario llevar a cabo un correcto control sobre los datos de entrada y salida de la honeynet. Veamos algunos mecanismos:
- Firewall: Una de las herramientas fundamentales para realizar un correcto control de datos es un cortafuegos (p.e. IPtables). En él se deberá definir claramente el tipo y la cantidad de conexiones que se permite en nuestra red, tanto de salida como de entrada, evitando así la posibilidad de, por ejemplo, recibir o realizar ataques de fuerza bruta. También deberá estar correctamente especificado el tráfico que permitimos de una parte a otra dentro de la propia red, evitando la posibilidad de que el atacante pueda acceder a la parte de administración de la misma o incluso, si existe, a zonas de la red en producción. Todas estas restricciones deberán estar enfocadas a que el atacante disponga de un cierto grado de libertad para interactuar con nuestros honeypots, de lo contrario la honeynet no podrá cumplir con su objetivo. Finalmente, es muy recomendable realizar un control de datos por capas (p.e. cantidad de conexiones entrantes o salientes, restricción de protocolos, restricciones de ancho de banda…) en el que no exista un único punto de fallo y se pueda reaccionar a tiempo ante ataques novedosos.
- Honeymole: Se utiliza para las granjas de honeypots. Implementa varios sensores que redirigen el tráfico a una colección centralizada de honeypots. Desarrollada y mantenida por el Chapter de Portugal de Honeynet Project.
- Honeysnap: Herramienta usada para la extracción y análisis de datos de archivos pcap, incluidas las comunicaciones IRC. Desarrollado y mantenido por Arthur Clune del Chapter del Reino Unido.
- Captura de Datos: La captura y almacenamiento de la actividad, tanto de entrada como de salida, es una tarea fundamental en una honeynet. Un análisis de los datos, ya sea con el objetivo de la formación o aprendizaje, como si es el de analizar un posible ataque fuera de los controles habituales de la red, necesita de una buena recolección de información. Es recomendable efectuar una captura de datos a varios niveles. Podemos diferenciar entre 3 niveles diferentes y complementarios:
- El registro del Firewall: “Logear” todo el tráfico controlado por el cortafuegos. Es el punto crítico y donde es posible obtener mayor información sobre las actividades llevadas a cabo por el atacante.
- El tráfico de red: Captura de cada paquete, junto con su contenido (payload), que entra y sale de la red. Para esta tarea, la herramienta más indicada es un IDS (Sistema de Detección de Intrusiones), concretamente se aconseja el uso de Snort, un IDS de software libre usado masivamente por los administradores de sistemas y grupos de seguridad, y que ofrece una configuración y clasificación envidiable. Puede usarse la aplicación BASE (Basic Analysis and Security Engine) para acceder y analizar la información capturada de una forma ágil y sencilla.
- Actividad del sistema: La captura de la actividad ocurrida en el honeypot es otra parte fundamental para la comprensión del ataque. Esta puede resultar más complicada de lo que en un principio pueda parecer ya que actualmente se utilizan conexiones cifradas. Aún así, si el honeypot lleva a cabo correctamente su cometido, la comunicación será descifrada y podrá ser analizada. Como ya comentamos en el post de la serie que trataba los diferentes honeypots, uno de los de alta interacción, Sebek, está orientado a registrar las pulsaciones de teclado del atacante directamente desde el kernel, lo que nos permite seguir de una forma muy efectiva su actividad en el honeypot.
- Monitorización de Sistemas: Para comprobar el correcto funcionamiento de nuestros sistemas en la honeynet, es muy aconsejable mantenerlos en constante monitorización. Una caída de un servidor (físico o virtual) provocada por un atacante, un aumento excesivo en el tráfico de red en una zona específica de la red, una subida de carga de CPU, memoria o una reducción del espacio de disco, son posibles síntomas de estar recibiendo un ataque efectivo sobre nuestros sistemas, por lo que estos deben estar controlados y deben ser detectados lo antes posible.
- Nagios: Herramienta de monitorización de software libre muy popular en los entornos de administración de sistemas. Su modularidad y sencillez, a la vez que las múltiples posibilidades de monitorización que ofrece, la hacen una pieza prácticamente esencial en cualquier red. En el caso de una red trampa, más si cabe.
- Análisis de Datos: Finalmente, llegamos al objetivo por el cual se implantan y despliegan los honeypots en una red: el análisis y la interpretación de los datos y la actividad recolectados. Para ello podemos consultar todo tipo de ficheros de log creados por cada uno de los honeypots y las herramientas que se han especificado anteriormente, o tratar de centralizar los datos para un estudio mucho más cómodo y completo, pudiendo relacionar actividad y datos provenientes de diversas fuentes.
- Prelude: Herramienta que recoge y centraliza información concreta y clasificada de los honeypots que se hayan integrado. Esta herramienta dispone de una interfaz web, Prewika, que facilita el acceso a la información recogida para posteriormente analizarla de forma rápida y sencilla. De esta forma es posible tener un centro de control del comportamiento de la honeynet donde poder analizar de una forma centralizada la información recolectada por nuestros botes de miel.
- Capture BAT: Herramienta de análisis de comportamiento de las aplicaciones para sistemas de la familia Win32. CaptureBAT es capaz de controlar el estado del sistema durante la ejecución de aplicaciones y el procesado de documentos y que proporciona un análisis completo de cómo funciona el software, aún cuando no está disponible el código fuente. CaptureBAT monitoriza los cambios de estado del núcleo a bajo nivel y se puede utilizar con facilidad en diversas versiones y configuraciones de sistemas Win32. CaptureBAT está desarrollado y mantenido por Christian Seifert del Chapter de Nueva Zelanda de Honeynet Project.
Con esto, y a lo largo de cuatro entradas, hemos intentado analizar más o menos en profundidad los aspectos más importantes de las honeynets, serie que esperamos que les haya sido de utilidad. No obstante, si en algún punto quieren que incidamos algo más, o que expliquemos con más detalle alguna cuestión, ya saben que no tienen más que indicarlo en los comentarios.
(Entrada escrita en colaboración con Raúl Rodriguez, co-autor de la serie)
[…] This post was mentioned on Twitter by Security Art Work, Patxi. Patxi said: https://www.securityartwork.es/2010/07/06/honeynets-iv-tareas-y-herramientas/ […]