sábado, 19 de noviembre de 2011

HoneyNet’s: El arte de conocer al enemigo

Posted on 22:08 by XSaint with No comments
Hacker vs Cracker
Hacker Experto ó que es especialmente hábil en el manejo de un sistema, que sabe como aprovechar al máximo sus capacidades, todo por el bien de la comunidad.
Cracker Se adentra en el terreno de lo ilegal, se aprovecha del conocimiento de los hackers; denominado tambien Hacker Dark Side

Existe la seguridad?
Para que lo sepan, la seguridad en la Internet no existe
Scott McNealy
Diversidad
  • 1,463,632,361 usuarios actualmente (Internet World Statistics)
  • Muchas formas de pensar
  • Diferentes culturas
  • Un sólo punto en común: La Red
  • 1% maliciosa
Problema
Cómo podemos defender contra un enemigo, cuando ni siquiera sabemos quién es el enemigo?
Objetivo
Mejorar la seguridad de la Internet a un costo bajo para el usuario final
  • Sensibilización Aumentar la conciencia de las amenazas que existen
  • Información Enseñar sobre las amenazas
  • Investigación Conocer el modus-operandis reciente de los intrusos
Amenaza
  • Cientos de escaneos al día
  • Ataques para controlar miles de sistemas (botnets)
  • Se enfocas a sistemas Windows y usuarios
Motivos
  • Diversidad de motivos (principalmente penales)
  • "Piratear"
  • El fraude, la extorsión y el robo de identidad ha existido por siglos, la red sólo un facilitador más.
Meta a alcanzar
  • Afectar a la mayor cantidad de usuarios
  • Usuarios no conscientes de la seguridad
  • Economía de escalas (meta mundial)
Tendencias de interes
  • Ataques provenientes de países económicamente deprimidos
  • Pasar de la computadora al usuario
  • Sofisticación de los ataques
    • Mejores herramientas (automatización)
    • botnets y phishing
Evolución de los ataques
HoneyNet
  • Definición
  • Conjunto de sistemas de cómputo
  • Permite el uso no-autorizado y/o ilícito de sus recursos
  • Sensor que captura los ataques y sondeos
  • Valor por la información que arroja
  • Reducir falsos positivos
  • Detectar nuevos ataques (falsos negativos)
  • Permite una alta interacción
    • Servicios reales (aplicaciones, SO)
    • Amplia captura de información (riesgoso y tiempo)
    • todo trafico entrante o saliente (si se permite) es sospechoso
Diagramas de conectividad
Arquitectura
Componentes
  • Control de datos
  • Captura de datos
  • Analisis de datos

Control de datos
  • Mitigar el riesgo de dañar la infraestructura externa al Honeynet
  • Restricciones de conexiones salientes (si se permiten)
  • Límite de ancho de banda
  • Detector de intrusiones en línea
Captura de datos
  • Captura de actividad en diferentes niveles
    • Actividad en red
    • Actividad en aplicación
    • Actividad en sistema
Análisis de datos
  • Parte crítica del honeynet
  • Información de aprendizaje
  • Diversidad de elementos de la información
  • Caracterización de la actividad en los diferentes niveles
Que se hace en la ULSA
  • Desarrollando un Honeynet en la frontera
  • Ser el primer nodo de un proyecto mayor
  • Implementación de un detector de malware (interno y externo)
Trabajo a futuro
  • National Honeynet Proyect
  • Distribuir por el territorio nacional varios honeynets
  • Comunicación hacia un colector centralizado
  • Tener un esquema de seguridad más enfocado a las necesidades del país
  • Ambos ambientes de red (Internet y RedCUDI (Internet-2 México))

Esquema del Honeynet nacional

Conclusiones
  • Romper el esquema de "reactivo"
  • Desde una visión militar, guerra perdida
  • Pasar a un esquema "ofensivo" (proactivo)
  • Conocer al día el modus-operandis de los intrusos
  • Es una herramienta que consume tiempo (Analisis, los controles, etc
  • Desconocimiento puede provocar afectaciones a los sistema reales
  • Uso de software libre
  • Se requiere de amplios recursos para mantenerlo adecuadamente
  • Existencia de técnicas anti-honeynets
  • Varias herramientas del honeynet puede ser trasladadas a IDS, NDS, etc.

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)