Cómo hacer que los honeypots mejoren la seguridad de tu red

Hasta hace poco, los sistemas de seguridad de red implicaban tácticas defensivas como cortafuegos, detección de intrusos y codificación. Sin embargo, estas tácticas ya no son suficientes. Se necesita ser proactivo para detectar, desviar y contraatacar los intentos de utilización no autorizada de los sistemas de información.

El honeypot es un sistema proactivo y que produce muy buenos resultados. Los colaboradores del Knowledge Center de eWEEK, Niels Provos y Thorsten Holz, nos explican lo que son los honeypots, y cómo pueden ayudarnos a mejorar la seguridad de nuestra red.

Tradicionalmente, los sistemas de seguridad informática que se han venido utilizando han sido puramente defensivos. Entre los ejemplos más clásicos de defensa utilizados para proteger las redes de comunicación están los cortafuegos, la codificación y los sistemas de detección de intrusos. La estrategia sigue un paradigma de seguridad clásico de “Proteger, Detectar y Contraatacar”. En otras palabras, tratar de proteger la red lo mejor posible, detener cualquier fallo en el sistema defensivo y después reaccionar ante estos fallos.

El problema con estos sistemas es que el atacante tiene la iniciativa y siempre está un paso por delante de nosotros. Por ejemplo, los antivirus tradicionales dedican casi todas sus fuerzas a detectar todo el flujo de códigos maliciosos nuevos que surgen a diario (hay que tener en cuenta que los atacantes pueden probar modelos nuevos de malware antes de expandirlos). En los últimos años, se ha hecho cada vez más evidente que estas técnicas tradicionales de defensa basadas en red tienen importantes limitaciones.

Por tanto, necesitamos nuevas técnicas para mejorar nuestros sistemas defensivos. Un intento bastante esperanzador es el uso de los honeypots, un recurso que nos permite rastrear la red muy de cerca y que actúa como cebo para que sea rastreado, atacado y comprometido. Es decir, el valor de este sistema está en que, a diferencia de los sistemas de defensa clásico, este “monitoriza el uso ilegal de un recurso”.

El valor del honeypot

El valor de un honeypot se mide por la información que puede obtenerse con él. Rastrear la información que entra y sale de un honeypot nos permite reunir información que no está disponible para un IDS (sistema de detección de intrusos). Por ejemplo, podemos registrar las pulsaciones de una sesión interactiva incluso aunque la codificación que esté utilizando proteja el tráfico en la red. Para detectar comportamientos ilícitos, el IDS requiere las firmas de ataques conocidos y no siempre acierta a la hora de detectar intrusos que no se conocían en el momento de producirse el ataque.

Por otro lado, los honeypots pueden detectar vulnerabilidades que aún no se comprenden, los llamados “ataques del día cero”. Por ejemplo, podemos detectar riesgos observando el tráfico que sale del honeypot, incluso aunque el exploit sea desconocido.

Los honeypots funcionan con cualquier sistema operativo y con un gran número de servicios. Los servicios configurados determinan los vectores que le corresponden a un adversario por comprometer o amenazar el sistema. La llamada “honeypot de alta interacción” ofrece un sistema real con el que el atacante puede interactuar. Por el contrario, un “honeypot de baja interacción” simula sólo algunas partes; por ejemplo, el honeypot de baja interacción Honeyd simula la parte de la red de los sistemas arbitrarios.