Por favor las replicas a microsoft.public.es.seguridad


¿QUE SON LOS HONEYPOTS?
http://www.seguridad0.com


El papel de la tecnología del sistema de detección de intrusos basado
en señuelos, o "honeypots", está evolucionando. Los honeypots, que
alguna vez fueron utilizados principalmente por los investigadores
como una forma de atraer a los hackers a un sistema de redes para
estudiar sus movimientos y comportamiento, están adquiriendo una
importancia cada vez mayor en la seguridad empresarial.

En efecto, al brindar detección temprana de actividad no autorizada en
las redes, los honeypots son ahora más útiles que nunca para los
profesionales de seguridad de TI. Este artículo analiza el
funcionamiento de los honeypots y su tecnología, que se está
convirtiendo en el componente clave del sistema de capas de protección
contra intrusos.

Los honeypots son una emocionante tecnología nueva, con un enorme
potencial para la comunidad informática. Los primeros conceptos fueron
introducidos por primera vez por varios iconos en la seguridad
informática, especialmente por Cliff Stoll en el libro "The Cuckoo's
Egg" y el trabajo de Bill Cheswick "An Evening with Berferd". Desde
entonces, los honeypots han estado en una continua evolución
desarrollándose en una poderosa herramienta de seguridad hoy en día.

Los honeypots (traducido del inglés como potes de miel) “consisten en
activar un servidor y llenarlo de archivos tentadores, hacer que sea
difícil, pero no imposible, penetrarlo y sentarse a esperar que
aparezcan los intrusos. Los honeynets (conjuntos de honeypots) dan a
los crackers un gran espacio para recorrer. Presentan obstáculos que
poseen el nivel de complejidad suficiente para atraerlos, pero sin
irse al extremo para no desalentarlos... Ellos juegan con los archivos
y conversan animadamente entre ellos sobre todo los fascinantes
programas que encuentran, mientras el personal de seguridad observa
con deleite cada movimiento que hacen. Francamente, siento una
combinación de sentimientos con respecto a espiar a la gente, aunque
no sean buenas personas”. La definición anterior es de Dan Adams.

También existe el Honeynet, que es un conjunto de honeypots, abarcando
más información para su estudio. Incluso hace más fascinante el ataque
al intruso, lo cual incrementa el número de ataques. La función
principal, aparte de la de estudiar las herramientas de ataque, es la
de desviar la atención del atacante de la red real del sistema y la de
capturar nuevos virus o gusanos para su posterior estudio. Una de las
múltiples aplicaciones que tiene es la de poder formar perfiles de
atacantes y ataques.

Son sistemas que deliberadamente se decide exponerlos a ser atacados o
comprometidos. Estos, no solucionan ningún problema de seguridad; más
bien son una herramienta que nos sirve para conocer las estrategias
que se emplean a la hora de vulnerar un sistema. También son una
herramienta muy útil a la hora de conocer de forma precisa los ataques
que se realizan contra la plataforma de trabajo que hemos elegido, o
bien, las plataformas configuradas de la misma forma, y que sirven
para guardar todos los procesos que se están ejecutando contra o en
nuestro sistema, con el claro objetivo de acceder a información
sensible para una organización, empresa o corporación. Asimismo nos
permiten conocer nuevas vulnerabilidades y riesgos de los distintos
sistemas operativos y diversos entornos y programas, los cuales aún no
se encuentren debidamente documentados.

En general, existen dos tipos de honeypots:

* Honeypots para la investigación

Gran parte de la atención actual se centra en los honeypots para la
investigación, que se utilizan para recolectar información sobre las
acciones de los intrusos. El proyecto Honeynet, por ejemplo, es una
organización para la investigación sobre seguridad voluntaria, sin
ánimo de lucro que utiliza los honeypots para recolectar información
sobre las amenazas del ciberespacio.

* Honeypots para la producción

Se les ha prestado menor atención a los honeypots para la producción,
que son los que se utilizan para proteger a las organizaciones. Sin
embargo, se les concede cada vez más importancia, debido a las
herramientas de detección que pueden brindar y por la forma en cómo
pueden complementar la protección en la red y en el host.

Ventajas

* Conjunto de datos pequeños pero de gran importancia: Los
honeypots recolectan pequeñas cantidades de información. En lugar de
guardar logs de 1 GB por día, sólo capturan 1 MB de datos, por
ejemplo. En vez de generar 10.000 alertas por día, pueden generar sólo
10 alertas por día. Recuerda que los honeypots sólo capturan actividad
sospechosa ,ya que cualquier interacción con un honeypot es actividad
no autorizada o una actividad maliciosa. Propiamente dicho, los
honeypots reducen el "ruido" recogiendo sólo datos indispensables, de
gran valor, y los producidos únicamente por "chicos malos". Esto
significa que es mucho más fácil (y barato) de analizar los datos que
un honeypot recoge.

* Nuevas herramientas y tácticas: los honeypots son diseñados para
capturar cualquier cosa que interactúa con él, incluyendo herramientas
o tácticas nunca vistas.

* Mínimos recursos: los honeypots requieren mínimos recursos, sólo
capturan actividad irregular. Esto significa que un viejo Pentium con
128 MB de RAM puede manejar fácilmente una entera red clase B en una
red OC-12.

* Encriptación o IPv6. A diferencia de la mayoría de las
tecnologías para la seguridad, como los sistemas IDS, los honeypots
trabajan bien en entornos encriptados como IPv6. No importa lo que los
"chicos malos" lancen hacia el honeypot, el honeypot lo detectará y lo
capturará.

* Información. Los honeypots pueden recoger información "en
profundidad" como pocos, si es que existen tecnologías que se le
parezcan.

* Simplicidad. Finalmente, los honeypots son conceptualmente
simples. No hay por qué desarrollar algoritmos raros, ni complejas
tablas que mantener, o firmas que actualizar. Mientras más simple sea
la tecnología, menos posibilidades de errores o desconfiguraciones
habrá.

Desventajas

* Visión limitada. Los honeypots pueden sólo rastrear y capturar
actividad que interactúen directamente con ellos. Los honeypots no
podrán capturar ataques a otros sistemas vecinos, al menos que el
atacante o la amenaza interactúe con el honeypot al mismo tiempo.

* Riesgo. Todas las tecnologías de seguridad tienen un riesgo. Los
firewalls tienen el riesgo de que sean penetrados, la encriptación
tiene el riesgo de que sean rotos, sensores IDS tienen el riesgo de
que fallen al detectar ataques. Los honeypots no son diferentes,
tienen un riesgo también. Específicamente, los honeypots tienen el
riesgo de que sean apoderados y controlados por los "chicos malos" y
que lo utilicen para dañar otros sistemas. El riesgo es variado para
los diferentes honeypots. Dependiendo del tipo de honeypots puede
haber un riesgo no mayor al fallo de un sensor IDS, mientras que en
otros honeypots puede que haya que enfrentarse a una situación
crítica.

Tipos de honeypots

Los honeypots vienen con diversidad de colores y gustos, haciendo
difícil su comprensión. Para ayudarnos a entender mejor a los
honeypots y a todos los diferentes tipos, los dividiremos en dos
categorías generales: honeypots de "baja interacción" y de "alta
interacción". Estas categorías nos ayudarán a entender con qué tipo de
honeypots estás trabajando, sus fortalezas y debilidades. La
interacción define el nivel de actividad que un honeypot le permite
tener un atacante.

Los honeypots de baja interacción tienen una interacción limitada;
normalmente trabajan únicamente emulando servicios y sistemas
operativos. La actividad del atacante se encuentra limitada al nivel
de emulación del honeypot. Por ejemplo, un servicio FTP emulado
escuchando en el puerto 21 probablemente estará emulando un login FTP
o probablemente soportará algúnos comandos FTP adicionales. Las
ventajas de un honeypot de baja interacción es su simplicidad; estos
honeypots tienden a ser fáciles de utilizar y mantener con un riesgo
mínimo: Por lo general basta con instalar un software, elegir el
sistema operativo y el servicio a emular y monitorizar, y dejar que el
programa camine por sí solo desde ahí.

Este proceso cercano al "plug and play" hace que la utilización de
estos sea muy fácil para la mayoría de las organizaciones. Incluso,
los servicios emulados mitigan el riesgo, conteniendo la actividad del
atacante: el atacante nunca tiene acceso al sistema operativo real
donde puede atacar o dañar otros sistemas. Las principales desventajas
de los honeypots de baja interacción es que registran únicamente
información limitada y son diseñados para capturar actividad prevista.
Los servicios emulados sólo pueden llegar hasta ahí. También es fácil
para un atacante detectar un honeypot de baja interacción, sin
importar cuán buena sea la emulación. Un perpetrador hábil puede, con
el debido tiempo, detectar su presencia. Ejemplos de honeypots de baja
interacción son: Specter, Honeyd, y KFSensor.

Los honeypots de alta interacción son diferentes. Estos generalmente
son soluciones complejas, ya que implica la utilización de sistemas
operativos y aplicaciones reales. Nada es emulado, le damos a los
hackers lo real. Si se quiere un honeypot Linux corriendo un servidor
FTP, se tendrá que construir un verdadero sistema Linux y montar un
verdadero servidor FTP.

Las ventajas de dicha solución son dos: primero, capturarás grandes
cantidades de información, dándoles a los hackers sistemas reales con
los cuales interactuar; además, podrás aprender la completa extensión
de sus actividades, cualquier cosa desde rootkits nuevos hasta
sesiones internacionales de IRC. La segunda ventaja es que los
honeypots de alta interacción no asumen nada acerca del posible
comportamiento que tendrá el atacante; en lugar de eso proveen un
entorno abierto que captura todas las actividades realizadas. Esto
permite a las soluciones de alta interacción conocer el comportamiento
no esperado. Un excelente ejemplo de esto es cómo un honeypot capturó
comandos "back door" codificados en un protocolo IP no estandar
(específicamente protocolo IP 11, Network Voice Protocol). No
obstante, esto también incrementa el riesgo de los honeypots ya que
los atacantes pueden utilizar estos sistemas operativos reales para
lanzar ataques a sistemas internos que no forman parte de los
honeypots.

En consecuencia, se requiere la implementación de una tecnología
adicional que prevenga al atacante de dañar otros sistemas que no son
honeypots. En general, honeypots de alta interacción pueden hacer todo
lo que uno de baja interacción puede y mucho más; pero pueden ser más
complejos de utilizar y mantener. Ejemplos de honeypots de alta
interacción son Symantec Decoy Server y los Honeynet.

Para la mejor comprensión de ambos tipos de honeypots de baja y alta
interacción, veamos los siguientes ejemplos. Empezaremos con el
honeypot de baja interacción Honeyd.

Honeyd: honeypot de baja interacción

Honeyd es un honeypot de baja interacción. Desarrollado por Niels
Provos, Honeyd es OpenSource y está diseñado para correr
principalmente en sistemas Unix (aunque fue portado a Windows). Honeyd
trabaja en el concepto de la monitorización del espacio IP no
utilizado. En cualquier instante que observa un intento de conexión a
una IP no utilizado, éste intercepta la conexión e interactúa con el
atacante, pretendiendo ser la víctima.

Por defecto, Honeyd detecta y almacena en logs cualquier conexión a
cualquier puerto UDP o TCP. Como si fuera poco, se pueden configurar
los servicios emulados para que monitoricen puertos específicos, como
un servidor FTP emulando el puerto TCP 21. Cuando un atacante conecta
al servicio emulado, el honeypot no sólo detecta y almacena la
actividad, sino que captura también toda la actividad del atacante con
el servicio emulado.

En el caso del servidor FTP emulado podemos potencialmente capturar el
login y password, los comandos ingresados y quizás también descubrir
lo que está buscando o su identidad. Todo depende del nivel de
emulación del honeypot. La mayoría de los servicios emulados trabajan
de la misma manera. Ellos esperan un tipo específico de
comportamiento, y están programados para reaccionar en una forma
predeterminada. Si el ataque A hace esto, entonces reaccionan de este
modo. Si el ataque B hace aquello, entonces responden del otro modo.
La limitación está en que si el atacante hace algo que la emulación no
tiene previsto, entonces no sabe cómo responder. La mayoría de los
honeypots de baja interacción, incluyendo Honeyd, simplemente generan
un mensaje de error.

Otras características

Algunos honeypots, como Honeyd, no sólo emulan servicios sino que
también emulan el sistema operativo. En otras palabras, Honeyd puede
aparentar ser un router Cisco, un servidor web Windows XP o un
servidor DNS Linux. Existen varias ventajas a la hora de emular
diferentes sistemas operativos. Primero, que el honeypot puede encajar
mejor con la red existente si el honeypot tiene la misma apariencia y
comportamiento que los ordenadores productivos. Segundo, que se puede
apuntar a atacantes específicos proveyéndoles de sistemas y servicios
que buscan a menudo o sistemas y servicios de los que quieres aprender
al respecto.

Hay dos elementos en sistemas operativos emulados. El primero es el
servicio emulado. Cuando un atacante se conecta a un servicio emulado,
puedes tener al servicio comportándose y aparentando ser un sistema
operativo determinado. Por ejemplo, si tienes un servicio emulando un
servidor web y quieres que tu honeypot aparente ser un servidor
Windows 2000, entonces deberás emular el comportamiento de un IIS, y
para el caso de un Linux, deberías emular el comportamiento de un
servidor Apache.

La mayoría de los honeypots emulan el SO de esta manera. Algunos
honeypots sofisticados llevan la emulación un paso adelante (como lo
hace el Honeyd). Es decir, no sólo emulan en el nivel de servicio,
sino en el nivel del stack del IP. Si alguien realiza actividades
fingerprinting para determinar el SO de tu honeypot, estos responderán
al nivel del IP Stack del SO real en donde esté instalado el honeypot.
Honeyd falsea la respuesta, emulando no sólo el servicio, sino también
el stack del IP, comportándose como si fuera realmente otro sistema
operativo.

Honeynet: Honeypot de alta interacción

Los Honeynet son un ejemplo ideal de honeypots de alta interacción.
Honeynet no es un producto, no es una solución software en donde se
instala en un ordenador y ya está. En lugar de eso, los Honeynet son
una arquitectura, una entera red de máquinas diseñadas para ser
atacados.

La idea es tener una arquitectura que sea una red altamente
controlada, un lugar donde toda actividad sea capturada. En esta red
nosotros ponemos a nuestras victimas en forma intencionada, orenadores
reales corriendo aplicaciones reales. Los "chicos malos" encuentran,
atacan, rompen estos sistemas en su propia iniciativa. Cuando hacen
esto, ellos no saben que están en un Honeynet. Toda su actividad,
desde sesiones encriptadas SSH hasta correos electrónicos y archivos
subidos son capturados sin que lo noten.

Esto se realiza introduciento módulos en el kernel, en los "sistemas
víctima" que capturan toda las acciones de los atacantes. Al mismo
tiempo, el Honeynet controla la actividad del atacante. Los Honeynet
hacen esto mediante la utilización de un gateway Honeywall . Este
gateway permite el tráfico de entrada a los "sistemas víctima", pero
controla el tráfico de salida usando tecnologías de prevención contra
instrusos.

Diversos honeypots

Sí nunca has trabajado con honeypots antes, y quieres aprender más,
recomendaría que comiences con un simple honeypot de baja interacción,
como el KFSensor (http://www.keyfocus.net/kfsensor/) o Specter
(http://www.specter.com/default50.htm) para usuarios de Windows, o
Honeyd para usuarios de Unix. Incluso hay un "Kit de herramientas
Honeyd para Linux", el Honeyd Linux Toolkit
(http://www.tracking-hackers.com/solutions/honeyd) para el fácil uso
del Honeyd en ordenadores Linux. Otra alternativa es PatriotBox como
servidor honeypot, distribuido por Seguridad0.

Los honeypots de baja interacción tienen la ventaja de ser más fáciles
de usar, con poco riesgos, ya que contienen la actividad del atacante.
Una vez que hayas tenido la oportunidad de trabajar con soluciones de
baja interacción, puedes tomar las habilidades y el conocimiento que
hayas desarrollado y trabajar con soluciones de alta interacción.

Fuentes consultadas:

HoneyNet Español
http://his.sourceforge.net/trad/honeynet/

Zonavirus
http://www.zonavirus.com/Detalle_Ar...p?Articulo8

Symantec
http://www.symantec.com/region/mx/e..._2371.html

Datafull
http://www.datafull.com/datahack/informe.php?id%5

Forzis
http://www.forzis.com

Tracking-Hackers
http://www.tracking-hackers.com

Artículo completo en www.xombra.com
Autor: Xombra


Distribuciones Informáticas Seguridad Cero, S.L.L. Aviso legal y
Política de privacidad.
Datos personales y fiscales. Los materiales publicados en Seguridad0
se encuentran protegidos por una licencia libre de Creative Commons
que permite copiar, redistribuir, modificar y hacer trabajos
derivados, simplemente con mencionar la fuente y la URL.
http://creativecommons.org/licenses...sa/2.0/es/

Constitución Europea.
http://www.constitucioneuropea.es/index.jsp

Para pedir ejemplares *gratuitos* de la Constitución Europea.
http://www.constitucioneuropea.es/i...d"754


Galería de imagenes Ubuntu Linux (Español).
http://www.ubuntu-es.org/image

Por favor las replicas a microsoft.public.es.seguridad


¿QUE SON LOS HONEYPOTS?
http://www.seguridad0.com


El papel de la tecnología del sistema de detección de intrusos basado
en señuelos, o "honeypots", está evolucionando. Los honeypots, que
alguna vez fueron utilizados principalmente por los investigadores
como una forma de atraer a los hackers a un sistema de redes para
estudiar sus movimientos y comportamiento, están adquiriendo una
importancia cada vez mayor en la seguridad empresarial.

En efecto, al brindar detección temprana de actividad no autorizada en
las redes, los honeypots son ahora más útiles que nunca para los
profesionales de seguridad de TI. Este artículo analiza el
funcionamiento de los honeypots y su tecnología, que se está
convirtiendo en el componente clave del sistema de capas de protección
contra intrusos.

Los honeypots son una emocionante tecnología nueva, con un enorme
potencial para la comunidad informática. Los primeros conceptos fueron
introducidos por primera vez por varios iconos en la seguridad
informática, especialmente por Cliff Stoll en el libro "The Cuckoo's
Egg" y el trabajo de Bill Cheswick "An Evening with Berferd". Desde
entonces, los honeypots han estado en una continua evolución
desarrollándose en una poderosa herramienta de seguridad hoy en día.

Los honeypots (traducido del inglés como potes de miel) “consisten en
activar un servidor y llenarlo de archivos tentadores, hacer que sea
difícil, pero no imposible, penetrarlo y sentarse a esperar que
aparezcan los intrusos. Los honeynets (conjuntos de honeypots) dan a
los crackers un gran espacio para recorrer. Presentan obstáculos que
poseen el nivel de complejidad suficiente para atraerlos, pero sin
irse al extremo para no desalentarlos... Ellos juegan con los archivos
y conversan animadamente entre ellos sobre todo los fascinantes
programas que encuentran, mientras el personal de seguridad observa
con deleite cada movimiento que hacen. Francamente, siento una
combinación de sentimientos con respecto a espiar a la gente, aunque
no sean buenas personas”. La definición anterior es de Dan Adams.

También existe el Honeynet, que es un conjunto de honeypots, abarcando
más información para su estudio. Incluso hace más fascinante el ataque
al intruso, lo cual incrementa el número de ataques. La función
principal, aparte de la de estudiar las herramientas de ataque, es la
de desviar la atención del atacante de la red real del sistema y la de
capturar nuevos virus o gusanos para su posterior estudio. Una de las
múltiples aplicaciones que tiene es la de poder formar perfiles de
atacantes y ataques.

Son sistemas que deliberadamente se decide exponerlos a ser atacados o
comprometidos. Estos, no solucionan ningún problema de seguridad; más
bien son una herramienta que nos sirve para conocer las estrategias
que se emplean a la hora de vulnerar un sistema. También son una
herramienta muy útil a la hora de conocer de forma precisa los ataques
que se realizan contra la plataforma de trabajo que hemos elegido, o
bien, las plataformas configuradas de la misma forma, y que sirven
para guardar todos los procesos que se están ejecutando contra o en
nuestro sistema, con el claro objetivo de acceder a información
sensible para una organización, empresa o corporación. Asimismo nos
permiten conocer nuevas vulnerabilidades y riesgos de los distintos
sistemas operativos y diversos entornos y programas, los cuales aún no
se encuentren debidamente documentados.

En general, existen dos tipos de honeypots:

* Honeypots para la investigación

Gran parte de la atención actual se centra en los honeypots para la
investigación, que se utilizan para recolectar información sobre las
acciones de los intrusos. El proyecto Honeynet, por ejemplo, es una
organización para la investigación sobre seguridad voluntaria, sin
ánimo de lucro que utiliza los honeypots para recolectar información
sobre las amenazas del ciberespacio.

* Honeypots para la producción

Se les ha prestado menor atención a los honeypots para la producción,
que son los que se utilizan para proteger a las organizaciones. Sin
embargo, se les concede cada vez más importancia, debido a las
herramientas de detección que pueden brindar y por la forma en cómo
pueden complementar la protección en la red y en el host.

Ventajas

* Conjunto de datos pequeños pero de gran importancia: Los
honeypots recolectan pequeñas cantidades de información. En lugar de
guardar logs de 1 GB por día, sólo capturan 1 MB de datos, por
ejemplo. En vez de generar 10.000 alertas por día, pueden generar sólo
10 alertas por día. Recuerda que los honeypots sólo capturan actividad
sospechosa ,ya que cualquier interacción con un honeypot es actividad
no autorizada o una actividad maliciosa. Propiamente dicho, los
honeypots reducen el "ruido" recogiendo sólo datos indispensables, de
gran valor, y los producidos únicamente por "chicos malos". Esto
significa que es mucho más fácil (y barato) de analizar los datos que
un honeypot recoge.

* Nuevas herramientas y tácticas: los honeypots son diseñados para
capturar cualquier cosa que interactúa con él, incluyendo herramientas
o tácticas nunca vistas.

* Mínimos recursos: los honeypots requieren mínimos recursos, sólo
capturan actividad irregular. Esto significa que un viejo Pentium con
128 MB de RAM puede manejar fácilmente una entera red clase B en una
red OC-12.

* Encriptación o IPv6. A diferencia de la mayoría de las
tecnologías para la seguridad, como los sistemas IDS, los honeypots
trabajan bien en entornos encriptados como IPv6. No importa lo que los
"chicos malos" lancen hacia el honeypot, el honeypot lo detectará y lo
capturará.

* Información. Los honeypots pueden recoger información "en
profundidad" como pocos, si es que existen tecnologías que se le
parezcan.

* Simplicidad. Finalmente, los honeypots son conceptualmente
simples. No hay por qué desarrollar algoritmos raros, ni complejas
tablas que mantener, o firmas que actualizar. Mientras más simple sea
la tecnología, menos posibilidades de errores o desconfiguraciones
habrá.

Desventajas

* Visión limitada. Los honeypots pueden sólo rastrear y capturar
actividad que interactúen directamente con ellos. Los honeypots no
podrán capturar ataques a otros sistemas vecinos, al menos que el
atacante o la amenaza interactúe con el honeypot al mismo tiempo.

* Riesgo. Todas las tecnologías de seguridad tienen un riesgo. Los
firewalls tienen el riesgo de que sean penetrados, la encriptación
tiene el riesgo de que sean rotos, sensores IDS tienen el riesgo de
que fallen al detectar ataques. Los honeypots no son diferentes,
tienen un riesgo también. Específicamente, los honeypots tienen el
riesgo de que sean apoderados y controlados por los "chicos malos" y
que lo utilicen para dañar otros sistemas. El riesgo es variado para
los diferentes honeypots. Dependiendo del tipo de honeypots puede
haber un riesgo no mayor al fallo de un sensor IDS, mientras que en
otros honeypots puede que haya que enfrentarse a una situación
crítica.

Tipos de honeypots

Los honeypots vienen con diversidad de colores y gustos, haciendo
difícil su comprensión. Para ayudarnos a entender mejor a los
honeypots y a todos los diferentes tipos, los dividiremos en dos
categorías generales: honeypots de "baja interacción" y de "alta
interacción". Estas categorías nos ayudarán a entender con qué tipo de
honeypots estás trabajando, sus fortalezas y debilidades. La
interacción define el nivel de actividad que un honeypot le permite
tener un atacante.

Los honeypots de baja interacción tienen una interacción limitada;
normalmente trabajan únicamente emulando servicios y sistemas
operativos. La actividad del atacante se encuentra limitada al nivel
de emulación del honeypot. Por ejemplo, un servicio FTP emulado
escuchando en el puerto 21 probablemente estará emulando un login FTP
o probablemente soportará algúnos comandos FTP adicionales. Las
ventajas de un honeypot de baja interacción es su simplicidad; estos
honeypots tienden a ser fáciles de utilizar y mantener con un riesgo
mínimo: Por lo general basta con instalar un software, elegir el
sistema operativo y el servicio a emular y monitorizar, y dejar que el
programa camine por sí solo desde ahí.

Este proceso cercano al "plug and play" hace que la utilización de
estos sea muy fácil para la mayoría de las organizaciones. Incluso,
los servicios emulados mitigan el riesgo, conteniendo la actividad del
atacante: el atacante nunca tiene acceso al sistema operativo real
donde puede atacar o dañar otros sistemas. Las principales desventajas
de los honeypots de baja interacción es que registran únicamente
información limitada y son diseñados para capturar actividad prevista.
Los servicios emulados sólo pueden llegar hasta ahí. También es fácil
para un atacante detectar un honeypot de baja interacción, sin
importar cuán buena sea la emulación. Un perpetrador hábil puede, con
el debido tiempo, detectar su presencia. Ejemplos de honeypots de baja
interacción son: Specter, Honeyd, y KFSensor.

Los honeypots de alta interacción son diferentes. Estos generalmente
son soluciones complejas, ya que implica la utilización de sistemas
operativos y aplicaciones reales. Nada es emulado, le damos a los
hackers lo real. Si se quiere un honeypot Linux corriendo un servidor
FTP, se tendrá que construir un verdadero sistema Linux y montar un
verdadero servidor FTP.

Las ventajas de dicha solución son dos: primero, capturarás grandes
cantidades de información, dándoles a los hackers sistemas reales con
los cuales interactuar; además, podrás aprender la completa extensión
de sus actividades, cualquier cosa desde rootkits nuevos hasta
sesiones internacionales de IRC. La segunda ventaja es que los
honeypots de alta interacción no asumen nada acerca del posible
comportamiento que tendrá el atacante; en lugar de eso proveen un
entorno abierto que captura todas las actividades realizadas. Esto
permite a las soluciones de alta interacción conocer el comportamiento
no esperado. Un excelente ejemplo de esto es cómo un honeypot capturó
comandos "back door" codificados en un protocolo IP no estandar
(específicamente protocolo IP 11, Network Voice Protocol). No
obstante, esto también incrementa el riesgo de los honeypots ya que
los atacantes pueden utilizar estos sistemas operativos reales para
lanzar ataques a sistemas internos que no forman parte de los
honeypots.

En consecuencia, se requiere la implementación de una tecnología
adicional que prevenga al atacante de dañar otros sistemas que no son
honeypots. En general, honeypots de alta interacción pueden hacer todo
lo que uno de baja interacción puede y mucho más; pero pueden ser más
complejos de utilizar y mantener. Ejemplos de honeypots de alta
interacción son Symantec Decoy Server y los Honeynet.

Para la mejor comprensión de ambos tipos de honeypots de baja y alta
interacción, veamos los siguientes ejemplos. Empezaremos con el
honeypot de baja interacción Honeyd.

Honeyd: honeypot de baja interacción

Honeyd es un honeypot de baja interacción. Desarrollado por Niels
Provos, Honeyd es OpenSource y está diseñado para correr
principalmente en sistemas Unix (aunque fue portado a Windows). Honeyd
trabaja en el concepto de la monitorización del espacio IP no
utilizado. En cualquier instante que observa un intento de conexión a
una IP no utilizado, éste intercepta la conexión e interactúa con el
atacante, pretendiendo ser la víctima.

Por defecto, Honeyd detecta y almacena en logs cualquier conexión a
cualquier puerto UDP o TCP. Como si fuera poco, se pueden configurar
los servicios emulados para que monitoricen puertos específicos, como
un servidor FTP emulando el puerto TCP 21. Cuando un atacante conecta
al servicio emulado, el honeypot no sólo detecta y almacena la
actividad, sino que captura también toda la actividad del atacante con
el servicio emulado.

En el caso del servidor FTP emulado podemos potencialmente capturar el
login y password, los comandos ingresados y quizás también descubrir
lo que está buscando o su identidad. Todo depende del nivel de
emulación del honeypot. La mayoría de los servicios emulados trabajan
de la misma manera. Ellos esperan un tipo específico de
comportamiento, y están programados para reaccionar en una forma
predeterminada. Si el ataque A hace esto, entonces reaccionan de este
modo. Si el ataque B hace aquello, entonces responden del otro modo.
La limitación está en que si el atacante hace algo que la emulación no
tiene previsto, entonces no sabe cómo responder. La mayoría de los
honeypots de baja interacción, incluyendo Honeyd, simplemente generan
un mensaje de error.

Otras características

Algunos honeypots, como Honeyd, no sólo emulan servicios sino que
también emulan el sistema operativo. En otras palabras, Honeyd puede
aparentar ser un router Cisco, un servidor web Windows XP o un
servidor DNS Linux. Existen varias ventajas a la hora de emular
diferentes sistemas operativos. Primero, que el honeypot puede encajar
mejor con la red existente si el honeypot tiene la misma apariencia y
comportamiento que los ordenadores productivos. Segundo, que se puede
apuntar a atacantes específicos proveyéndoles de sistemas y servicios
que buscan a menudo o sistemas y servicios de los que quieres aprender
al respecto.

Hay dos elementos en sistemas operativos emulados. El primero es el
servicio emulado. Cuando un atacante se conecta a un servicio emulado,
puedes tener al servicio comportándose y aparentando ser un sistema
operativo determinado. Por ejemplo, si tienes un servicio emulando un
servidor web y quieres que tu honeypot aparente ser un servidor
Windows 2000, entonces deberás emular el comportamiento de un IIS, y
para el caso de un Linux, deberías emular el comportamiento de un
servidor Apache.

La mayoría de los honeypots emulan el SO de esta manera. Algunos
honeypots sofisticados llevan la emulación un paso adelante (como lo
hace el Honeyd). Es decir, no sólo emulan en el nivel de servicio,
sino en el nivel del stack del IP. Si alguien realiza actividades
fingerprinting para determinar el SO de tu honeypot, estos responderán
al nivel del IP Stack del SO real en donde esté instalado el honeypot.
Honeyd falsea la respuesta, emulando no sólo el servicio, sino también
el stack del IP, comportándose como si fuera realmente otro sistema
operativo.

Honeynet: Honeypot de alta interacción

Los Honeynet son un ejemplo ideal de honeypots de alta interacción.
Honeynet no es un producto, no es una solución software en donde se
instala en un ordenador y ya está. En lugar de eso, los Honeynet son
una arquitectura, una entera red de máquinas diseñadas para ser
atacados.

La idea es tener una arquitectura que sea una red altamente
controlada, un lugar donde toda actividad sea capturada. En esta red
nosotros ponemos a nuestras victimas en forma intencionada, orenadores
reales corriendo aplicaciones reales. Los "chicos malos" encuentran,
atacan, rompen estos sistemas en su propia iniciativa. Cuando hacen
esto, ellos no saben que están en un Honeynet. Toda su actividad,
desde sesiones encriptadas SSH hasta correos electrónicos y archivos
subidos son capturados sin que lo noten.

Esto se realiza introduciento módulos en el kernel, en los "sistemas
víctima" que capturan toda las acciones de los atacantes. Al mismo
tiempo, el Honeynet controla la actividad del atacante. Los Honeynet
hacen esto mediante la utilización de un gateway Honeywall . Este
gateway permite el tráfico de entrada a los "sistemas víctima", pero
controla el tráfico de salida usando tecnologías de prevención contra
instrusos.

Diversos honeypots

Sí nunca has trabajado con honeypots antes, y quieres aprender más,
recomendaría que comiences con un simple honeypot de baja interacción,
como el KFSensor (http://www.keyfocus.net/kfsensor/) o Specter
(http://www.specter.com/default50.htm) para usuarios de Windows, o
Honeyd para usuarios de Unix. Incluso hay un "Kit de herramientas
Honeyd para Linux", el Honeyd Linux Toolkit
(http://www.tracking-hackers.com/solutions/honeyd) para el fácil uso
del Honeyd en ordenadores Linux. Otra alternativa es PatriotBox como
servidor honeypot, distribuido por Seguridad0.

Los honeypots de baja interacción tienen la ventaja de ser más fáciles
de usar, con poco riesgos, ya que contienen la actividad del atacante.
Una vez que hayas tenido la oportunidad de trabajar con soluciones de
baja interacción, puedes tomar las habilidades y el conocimiento que
hayas desarrollado y trabajar con soluciones de alta interacción.

Fuentes consultadas:

HoneyNet Español
http://his.sourceforge.net/trad/honeynet/

Zonavirus
http://www.zonavirus.com/Detalle_Ar...p?Articulo8

Symantec
http://www.symantec.com/region/mx/e..._2371.html

Datafull
http://www.datafull.com/datahack/informe.php?id%5

Forzis
http://www.forzis.com

Tracking-Hackers
http://www.tracking-hackers.com

Artículo completo en www.xombra.com
Autor: Xombra


Distribuciones Informáticas Seguridad Cero, S.L.L. Aviso legal y
Política de privacidad.
Datos personales y fiscales. Los materiales publicados en Seguridad0
se encuentran protegidos por una licencia libre de Creative Commons
que permite copiar, redistribuir, modificar y hacer trabajos
derivados, simplemente con mencionar la fuente y la URL.
http://creativecommons.org/licenses...sa/2.0/es/

Constitución Europea.
http://www.constitucioneuropea.es/index.jsp

Para pedir ejemplares *gratuitos* de la Constitución Europea.
http://www.constitucioneuropea.es/i...d"754


Galería de imagenes Ubuntu Linux (Español).
http://www.ubuntu-es.org/image

Por favor las replicas a microsoft.public.es.seguridad


¿QUE SON LOS HONEYPOTS?
http://www.seguridad0.com


El papel de la tecnología del sistema de detección de intrusos basado
en señuelos, o "honeypots", está evolucionando. Los honeypots, que
alguna vez fueron utilizados principalmente por los investigadores
como una forma de atraer a los hackers a un sistema de redes para
estudiar sus movimientos y comportamiento, están adquiriendo una
importancia cada vez mayor en la seguridad empresarial.

En efecto, al brindar detección temprana de actividad no autorizada en
las redes, los honeypots son ahora más útiles que nunca para los
profesionales de seguridad de TI. Este artículo analiza el
funcionamiento de los honeypots y su tecnología, que se está
convirtiendo en el componente clave del sistema de capas de protección
contra intrusos.

Los honeypots son una emocionante tecnología nueva, con un enorme
potencial para la comunidad informática. Los primeros conceptos fueron
introducidos por primera vez por varios iconos en la seguridad
informática, especialmente por Cliff Stoll en el libro "The Cuckoo's
Egg" y el trabajo de Bill Cheswick "An Evening with Berferd". Desde
entonces, los honeypots han estado en una continua evolución
desarrollándose en una poderosa herramienta de seguridad hoy en día.

Los honeypots (traducido del inglés como potes de miel) “consisten en
activar un servidor y llenarlo de archivos tentadores, hacer que sea
difícil, pero no imposible, penetrarlo y sentarse a esperar que
aparezcan los intrusos. Los honeynets (conjuntos de honeypots) dan a
los crackers un gran espacio para recorrer. Presentan obstáculos que
poseen el nivel de complejidad suficiente para atraerlos, pero sin
irse al extremo para no desalentarlos... Ellos juegan con los archivos
y conversan animadamente entre ellos sobre todo los fascinantes
programas que encuentran, mientras el personal de seguridad observa
con deleite cada movimiento que hacen. Francamente, siento una
combinación de sentimientos con respecto a espiar a la gente, aunque
no sean buenas personas”. La definición anterior es de Dan Adams.

También existe el Honeynet, que es un conjunto de honeypots, abarcando
más información para su estudio. Incluso hace más fascinante el ataque
al intruso, lo cual incrementa el número de ataques. La función
principal, aparte de la de estudiar las herramientas de ataque, es la
de desviar la atención del atacante de la red real del sistema y la de
capturar nuevos virus o gusanos para su posterior estudio. Una de las
múltiples aplicaciones que tiene es la de poder formar perfiles de
atacantes y ataques.

Son sistemas que deliberadamente se decide exponerlos a ser atacados o
comprometidos. Estos, no solucionan ningún problema de seguridad; más
bien son una herramienta que nos sirve para conocer las estrategias
que se emplean a la hora de vulnerar un sistema. También son una
herramienta muy útil a la hora de conocer de forma precisa los ataques
que se realizan contra la plataforma de trabajo que hemos elegido, o
bien, las plataformas configuradas de la misma forma, y que sirven
para guardar todos los procesos que se están ejecutando contra o en
nuestro sistema, con el claro objetivo de acceder a información
sensible para una organización, empresa o corporación. Asimismo nos
permiten conocer nuevas vulnerabilidades y riesgos de los distintos
sistemas operativos y diversos entornos y programas, los cuales aún no
se encuentren debidamente documentados.

En general, existen dos tipos de honeypots:

* Honeypots para la investigación

Gran parte de la atención actual se centra en los honeypots para la
investigación, que se utilizan para recolectar información sobre las
acciones de los intrusos. El proyecto Honeynet, por ejemplo, es una
organización para la investigación sobre seguridad voluntaria, sin
ánimo de lucro que utiliza los honeypots para recolectar información
sobre las amenazas del ciberespacio.

* Honeypots para la producción

Se les ha prestado menor atención a los honeypots para la producción,
que son los que se utilizan para proteger a las organizaciones. Sin
embargo, se les concede cada vez más importancia, debido a las
herramientas de detección que pueden brindar y por la forma en cómo
pueden complementar la protección en la red y en el host.

Ventajas

* Conjunto de datos pequeños pero de gran importancia: Los
honeypots recolectan pequeñas cantidades de información. En lugar de
guardar logs de 1 GB por día, sólo capturan 1 MB de datos, por
ejemplo. En vez de generar 10.000 alertas por día, pueden generar sólo
10 alertas por día. Recuerda que los honeypots sólo capturan actividad
sospechosa ,ya que cualquier interacción con un honeypot es actividad
no autorizada o una actividad maliciosa. Propiamente dicho, los
honeypots reducen el "ruido" recogiendo sólo datos indispensables, de
gran valor, y los producidos únicamente por "chicos malos". Esto
significa que es mucho más fácil (y barato) de analizar los datos que
un honeypot recoge.

* Nuevas herramientas y tácticas: los honeypots son diseñados para
capturar cualquier cosa que interactúa con él, incluyendo herramientas
o tácticas nunca vistas.

* Mínimos recursos: los honeypots requieren mínimos recursos, sólo
capturan actividad irregular. Esto significa que un viejo Pentium con
128 MB de RAM puede manejar fácilmente una entera red clase B en una
red OC-12.

* Encriptación o IPv6. A diferencia de la mayoría de las
tecnologías para la seguridad, como los sistemas IDS, los honeypots
trabajan bien en entornos encriptados como IPv6. No importa lo que los
"chicos malos" lancen hacia el honeypot, el honeypot lo detectará y lo
capturará.

* Información. Los honeypots pueden recoger información "en
profundidad" como pocos, si es que existen tecnologías que se le
parezcan.

* Simplicidad. Finalmente, los honeypots son conceptualmente
simples. No hay por qué desarrollar algoritmos raros, ni complejas
tablas que mantener, o firmas que actualizar. Mientras más simple sea
la tecnología, menos posibilidades de errores o desconfiguraciones
habrá.

Desventajas

* Visión limitada. Los honeypots pueden sólo rastrear y capturar
actividad que interactúen directamente con ellos. Los honeypots no
podrán capturar ataques a otros sistemas vecinos, al menos que el
atacante o la amenaza interactúe con el honeypot al mismo tiempo.

* Riesgo. Todas las tecnologías de seguridad tienen un riesgo. Los
firewalls tienen el riesgo de que sean penetrados, la encriptación
tiene el riesgo de que sean rotos, sensores IDS tienen el riesgo de
que fallen al detectar ataques. Los honeypots no son diferentes,
tienen un riesgo también. Específicamente, los honeypots tienen el
riesgo de que sean apoderados y controlados por los "chicos malos" y
que lo utilicen para dañar otros sistemas. El riesgo es variado para
los diferentes honeypots. Dependiendo del tipo de honeypots puede
haber un riesgo no mayor al fallo de un sensor IDS, mientras que en
otros honeypots puede que haya que enfrentarse a una situación
crítica.

Tipos de honeypots

Los honeypots vienen con diversidad de colores y gustos, haciendo
difícil su comprensión. Para ayudarnos a entender mejor a los
honeypots y a todos los diferentes tipos, los dividiremos en dos
categorías generales: honeypots de "baja interacción" y de "alta
interacción". Estas categorías nos ayudarán a entender con qué tipo de
honeypots estás trabajando, sus fortalezas y debilidades. La
interacción define el nivel de actividad que un honeypot le permite
tener un atacante.

Los honeypots de baja interacción tienen una interacción limitada;
normalmente trabajan únicamente emulando servicios y sistemas
operativos. La actividad del atacante se encuentra limitada al nivel
de emulación del honeypot. Por ejemplo, un servicio FTP emulado
escuchando en el puerto 21 probablemente estará emulando un login FTP
o probablemente soportará algúnos comandos FTP adicionales. Las
ventajas de un honeypot de baja interacción es su simplicidad; estos
honeypots tienden a ser fáciles de utilizar y mantener con un riesgo
mínimo: Por lo general basta con instalar un software, elegir el
sistema operativo y el servicio a emular y monitorizar, y dejar que el
programa camine por sí solo desde ahí.

Este proceso cercano al "plug and play" hace que la utilización de
estos sea muy fácil para la mayoría de las organizaciones. Incluso,
los servicios emulados mitigan el riesgo, conteniendo la actividad del
atacante: el atacante nunca tiene acceso al sistema operativo real
donde puede atacar o dañar otros sistemas. Las principales desventajas
de los honeypots de baja interacción es que registran únicamente
información limitada y son diseñados para capturar actividad prevista.
Los servicios emulados sólo pueden llegar hasta ahí. También es fácil
para un atacante detectar un honeypot de baja interacción, sin
importar cuán buena sea la emulación. Un perpetrador hábil puede, con
el debido tiempo, detectar su presencia. Ejemplos de honeypots de baja
interacción son: Specter, Honeyd, y KFSensor.

Los honeypots de alta interacción son diferentes. Estos generalmente
son soluciones complejas, ya que implica la utilización de sistemas
operativos y aplicaciones reales. Nada es emulado, le damos a los
hackers lo real. Si se quiere un honeypot Linux corriendo un servidor
FTP, se tendrá que construir un verdadero sistema Linux y montar un
verdadero servidor FTP.

Las ventajas de dicha solución son dos: primero, capturarás grandes
cantidades de información, dándoles a los hackers sistemas reales con
los cuales interactuar; además, podrás aprender la completa extensión
de sus actividades, cualquier cosa desde rootkits nuevos hasta
sesiones internacionales de IRC. La segunda ventaja es que los
honeypots de alta interacción no asumen nada acerca del posible
comportamiento que tendrá el atacante; en lugar de eso proveen un
entorno abierto que captura todas las actividades realizadas. Esto
permite a las soluciones de alta interacción conocer el comportamiento
no esperado. Un excelente ejemplo de esto es cómo un honeypot capturó
comandos "back door" codificados en un protocolo IP no estandar
(específicamente protocolo IP 11, Network Voice Protocol). No
obstante, esto también incrementa el riesgo de los honeypots ya que
los atacantes pueden utilizar estos sistemas operativos reales para
lanzar ataques a sistemas internos que no forman parte de los
honeypots.

En consecuencia, se requiere la implementación de una tecnología
adicional que prevenga al atacante de dañar otros sistemas que no son
honeypots. En general, honeypots de alta interacción pueden hacer todo
lo que uno de baja interacción puede y mucho más; pero pueden ser más
complejos de utilizar y mantener. Ejemplos de honeypots de alta
interacción son Symantec Decoy Server y los Honeynet.

Para la mejor comprensión de ambos tipos de honeypots de baja y alta
interacción, veamos los siguientes ejemplos. Empezaremos con el
honeypot de baja interacción Honeyd.

Honeyd: honeypot de baja interacción

Honeyd es un honeypot de baja interacción. Desarrollado por Niels
Provos, Honeyd es OpenSource y está diseñado para correr
principalmente en sistemas Unix (aunque fue portado a Windows). Honeyd
trabaja en el concepto de la monitorización del espacio IP no
utilizado. En cualquier instante que observa un intento de conexión a
una IP no utilizado, éste intercepta la conexión e interactúa con el
atacante, pretendiendo ser la víctima.

Por defecto, Honeyd detecta y almacena en logs cualquier conexión a
cualquier puerto UDP o TCP. Como si fuera poco, se pueden configurar
los servicios emulados para que monitoricen puertos específicos, como
un servidor FTP emulando el puerto TCP 21. Cuando un atacante conecta
al servicio emulado, el honeypot no sólo detecta y almacena la
actividad, sino que captura también toda la actividad del atacante con
el servicio emulado.

En el caso del servidor FTP emulado podemos potencialmente capturar el
login y password, los comandos ingresados y quizás también descubrir
lo que está buscando o su identidad. Todo depende del nivel de
emulación del honeypot. La mayoría de los servicios emulados trabajan
de la misma manera. Ellos esperan un tipo específico de
comportamiento, y están programados para reaccionar en una forma
predeterminada. Si el ataque A hace esto, entonces reaccionan de este
modo. Si el ataque B hace aquello, entonces responden del otro modo.
La limitación está en que si el atacante hace algo que la emulación no
tiene previsto, entonces no sabe cómo responder. La mayoría de los
honeypots de baja interacción, incluyendo Honeyd, simplemente generan
un mensaje de error.

Otras características

Algunos honeypots, como Honeyd, no sólo emulan servicios sino que
también emulan el sistema operativo. En otras palabras, Honeyd puede
aparentar ser un router Cisco, un servidor web Windows XP o un
servidor DNS Linux. Existen varias ventajas a la hora de emular
diferentes sistemas operativos. Primero, que el honeypot puede encajar
mejor con la red existente si el honeypot tiene la misma apariencia y
comportamiento que los ordenadores productivos. Segundo, que se puede
apuntar a atacantes específicos proveyéndoles de sistemas y servicios
que buscan a menudo o sistemas y servicios de los que quieres aprender
al respecto.

Hay dos elementos en sistemas operativos emulados. El primero es el
servicio emulado. Cuando un atacante se conecta a un servicio emulado,
puedes tener al servicio comportándose y aparentando ser un sistema
operativo determinado. Por ejemplo, si tienes un servicio emulando un
servidor web y quieres que tu honeypot aparente ser un servidor
Windows 2000, entonces deberás emular el comportamiento de un IIS, y
para el caso de un Linux, deberías emular el comportamiento de un
servidor Apache.

La mayoría de los honeypots emulan el SO de esta manera. Algunos
honeypots sofisticados llevan la emulación un paso adelante (como lo
hace el Honeyd). Es decir, no sólo emulan en el nivel de servicio,
sino en el nivel del stack del IP. Si alguien realiza actividades
fingerprinting para determinar el SO de tu honeypot, estos responderán
al nivel del IP Stack del SO real en donde esté instalado el honeypot.
Honeyd falsea la respuesta, emulando no sólo el servicio, sino también
el stack del IP, comportándose como si fuera realmente otro sistema
operativo.

Honeynet: Honeypot de alta interacción

Los Honeynet son un ejemplo ideal de honeypots de alta interacción.
Honeynet no es un producto, no es una solución software en donde se
instala en un ordenador y ya está. En lugar de eso, los Honeynet son
una arquitectura, una entera red de máquinas diseñadas para ser
atacados.

La idea es tener una arquitectura que sea una red altamente
controlada, un lugar donde toda actividad sea capturada. En esta red
nosotros ponemos a nuestras victimas en forma intencionada, orenadores
reales corriendo aplicaciones reales. Los "chicos malos" encuentran,
atacan, rompen estos sistemas en su propia iniciativa. Cuando hacen
esto, ellos no saben que están en un Honeynet. Toda su actividad,
desde sesiones encriptadas SSH hasta correos electrónicos y archivos
subidos son capturados sin que lo noten.

Esto se realiza introduciento módulos en el kernel, en los "sistemas
víctima" que capturan toda las acciones de los atacantes. Al mismo
tiempo, el Honeynet controla la actividad del atacante. Los Honeynet
hacen esto mediante la utilización de un gateway Honeywall . Este
gateway permite el tráfico de entrada a los "sistemas víctima", pero
controla el tráfico de salida usando tecnologías de prevención contra
instrusos.

Diversos honeypots

Sí nunca has trabajado con honeypots antes, y quieres aprender más,
recomendaría que comiences con un simple honeypot de baja interacción,
como el KFSensor (http://www.keyfocus.net/kfsensor/) o Specter
(http://www.specter.com/default50.htm) para usuarios de Windows, o
Honeyd para usuarios de Unix. Incluso hay un "Kit de herramientas
Honeyd para Linux", el Honeyd Linux Toolkit
(http://www.tracking-hackers.com/solutions/honeyd) para el fácil uso
del Honeyd en ordenadores Linux. Otra alternativa es PatriotBox como
servidor honeypot, distribuido por Seguridad0.

Los honeypots de baja interacción tienen la ventaja de ser más fáciles
de usar, con poco riesgos, ya que contienen la actividad del atacante.
Una vez que hayas tenido la oportunidad de trabajar con soluciones de
baja interacción, puedes tomar las habilidades y el conocimiento que
hayas desarrollado y trabajar con soluciones de alta interacción.

Fuentes consultadas:

HoneyNet Español
http://his.sourceforge.net/trad/honeynet/

Zonavirus
http://www.zonavirus.com/Detalle_Ar...p?Articulo8

Symantec
http://www.symantec.com/region/mx/e..._2371.html

Datafull
http://www.datafull.com/datahack/informe.php?id%5

Forzis
http://www.forzis.com

Tracking-Hackers
http://www.tracking-hackers.com

Artículo completo en www.xombra.com
Autor: Xombra


Distribuciones Informáticas Seguridad Cero, S.L.L. Aviso legal y
Política de privacidad.
Datos personales y fiscales. Los materiales publicados en Seguridad0
se encuentran protegidos por una licencia libre de Creative Commons
que permite copiar, redistribuir, modificar y hacer trabajos
derivados, simplemente con mencionar la fuente y la URL.
http://creativecommons.org/licenses...sa/2.0/es/

Constitución Europea.
http://www.constitucioneuropea.es/index.jsp

Para pedir ejemplares *gratuitos* de la Constitución Europea.
http://www.constitucioneuropea.es/i...d"754


Galería de imagenes Ubuntu Linux (Español).
http://www.ubuntu-es.org/image