Honeypot (informática)

Ir a: navegación, búsqueda de

En la terminología de la informática, un Honeypot es un trampa conjunto para detectar, desviar o, de alguna manera, contrarrestar intentos de uso no autorizado de sistemas de información. En general, consiste en un honeypot un computadora, datos, o un sitio de la red que parecen ser parte de un red, pero en realidad es aislado y controlado, y que al parecer contienen información o un recurso de valor para los atacantes. Esto es similar a la policía cebo un penal y luego realizando encubierto vigilancia.

Honeypot diagrama para ayudar a comprender el tema

Contenido

  • 1 Tipos
    • 1.1 Malware honeypots
    • 1.2 Versiones de spam
    • 1.3 Trampa de correo electrónico
    • 1.4 Base de datos honeypot
  • 2 Detección
  • 3 Honeynets
  • 4 Metáfora
  • 5 Véase también
  • 6 Notas y referencias
  • 7 Lectura adicional
  • 8 Enlaces externos

Tipos

Honeypots pueden clasificarse en su despliegue (uso y acción) y basada en su nivel de participación. Basado en el despliegue, honeypots pueden clasificarse como:

  1. producción honeypots
  2. investigación honeypots

Producción honeypots son fáciles de usar, capturar sólo información limitada y son utilizados principalmente por compañías o corporaciones. Producción honeypots se colocan dentro de la red de producción con otros servidores de producción por una organización para mejorar su estado general de la seguridad. Normalmente, la producción honeypots son honeypots de baja interacción, que son fáciles de implementar. Dan menos información acerca de los ataques o los atacantes que investigación honeypots.

Investigación honeypots se ejecutan para recopilar información sobre los motivos y las tácticas de los Blackhat comunidad dirigidos a diferentes redes. Los honeypots no aportan valor directo a una organización específica; en cambio, se utilizan para investigar las amenazas que enfrentan las organizaciones y saber cómo protegerse mejor contra esas amenazas.[1] Investigación honeypots son complejas para instalar y mantener, captura de información extensa y son utilizados principalmente por organizaciones de investigación, militares o gubernamentales.

Basado en criterios de diseño, honeypots pueden clasificarse como:-

  1. puro honeypots
  2. alta interacción honeypots
  3. honeypots de baja interacción

Puro honeypots son sistemas de producción de pleno derecho. Las actividades del atacante son monitoreadas mediante el uso de un toque casual que se haya instalado en enlace de la honeypot a la red. Ningún otro software debe estar instalado. Aunque un honeypot puro es útil, sigilo de los mecanismos de defensa puede ser asegurado por un mecanismo más controlado.

Alta interacción honeypots imitar las actividades de los sistemas de producción que alojan una variedad de servicios y, por tanto, un atacante puede permitir una gran cantidad de servicios que perder su tiempo. Mediante el empleo de máquinas virtuales, honeypots múltiples puede albergarse en una única máquina física. Por lo tanto, incluso si está comprometido el honeypot, él puede ser restaurado más rápidamente. En general, alta interacción honeypots proporcionan más seguridad por ser difícil de detectar, pero son caros de mantener. Si las máquinas virtuales no están disponibles, un equipo físico debe mantenerse para cada honeypot, que puede ser exorbitantemente caro. Ejemplo: Honeynet.

Honeypots de baja interacción simular solamente los servicios solicitados con frecuencia por los atacantes. Puesto que consumen relativamente pocos recursos, fácilmente puede albergar múltiples máquinas virtuales en un sistema físico, los sistemas virtuales tienen un tiempo de respuesta corto y menos código es necesario, reduciendo la complejidad de la seguridad del sistema virtual. Ejemplo: Honeyd.

Malware honeypots

Malware honeypots se utilizan para detectar malware aprovechando la replicación conocida y atacar los vectores de malware. Vectores de replicación como Unidades flash USB fácilmente puede ser verificado por pruebas de modificaciones, a través de medios manuales o utilizando honeypots especiales que emula unidades. Malware cada vez más se utiliza para buscar y robar cryptocurrencies,[2] que ofrece oportunidades para servicios tales como Bitcoin Vigil para crear y monitorear honeypots mediante el uso de pequeña cantidad de dinero para proporcionar alertas tempranas de advertencia de la infección viral.[3]

Versiones de spam

Spammers abuso de recursos vulnerables tales como Abrir correo relés y Open proxies. Algunos administradores de sistemas han creado programas honeypot que disfrazarían como estos recursos Abusables para descubrir la actividad spammer. Hay varias capacidades que tales honeypots proporcionan a los administradores de estos y la existencia de tales sistemas Abusables falsos hace abuso más difícil o arriesgado. Honeypots pueden ser una poderosa contramedida a abusar de quienes dependen de abuso muy alto volumen (por ejemplo, los spammers).

Estos honeypots puede revelar la aparente Dirección IP del abuso y proporcionar captura de spam a granel (que permite a los operadores determinar los spammers Direcciones URL y mecanismos de respuesta). Para honeypots relé abierto, es posible determinar el uso de los spammers e-mail direcciones ("dropboxes") como objetivos para sus mensajes de prueba, que son la herramienta que usan para detectar retransmisores abiertos. Entonces es fácil engañar a los remitentes de spam: transmitir cualquier correo electrónico relé ilícito recibido dirigida a esa dirección de correo electrónico de dropbox. Eso dice al spammer el honeypot es un relé abierto abusable genuino, y a menudo responden enviando grandes cantidades de relé spam a ese honeypot, que lo apaga.[4] La fuente aparente puede ser otro sistema abusado — spammers y otros abusadores pueden utilizar una cadena de sistemas maltratados para dificultar la detección del punto de partida original del tráfico del abuso.

Esto en sí mismo es indicativo del poder de honeypots como anti-spam herramientas. En los primeros días de honeypots anti-spam, los spammers, con poca preocupación por esconder su ubicación, sentían seguro pruebas de vulnerabilidades y enviando spam directamente desde sus propios sistemas. Honeypots hizo el abuso más riesgosas y más difícil.

Spam todavía fluye a través de transmisiones abiertas, pero el volumen es mucho menor que en 2001 a 2002. Mientras más spam se origina en los Estados Unidos,[5] salto los spammers retransmisores abiertos a través de las fronteras políticas para ocultar su origen. Honeypot operadores pueden usar interceptada relé pruebas para reconocer y frustrar intentos de relé spam mediante los honeypots. "Frustrar" puede significar "aceptar el spam relé pero negarse a entregarlo". Honeypot operadores pueden descubrir otros detalles sobre el spam y el spammer examinando los mensajes de spam capturados.

Relé abierto honeypots incluyen Jackpot, escrito en Java por Jack Cleaver; smtpot.py, escrito en Python por Karl A. Krueger;[6] y |spamhole spamhole (honeypot), escrito en C.[7] El Proxypot goma de mascar es una fuente abierta honeypot (o "proxypot").[8][9]

Trampa de correo electrónico

Artículo principal: Spamtraps

Una dirección de correo electrónico que no se utiliza para ningún otro propósito que recibir spam también puede considerarse un honeypot de spam. En comparación con el término"spamtraps", el término"honeypot"podría ser más conveniente para los sistemas y técnicas que se utilizan para detectar o contraataques y sondas. Con un spamtraps, spam llega a su destino "legítimamente" — exactamente como correo electrónico spam no llegaría.

Es una amalgama de estas técnicas Proyecto miel, un proyecto de código abierto distribuido que utiliza páginas honeypot instalados en sitios web de todo el mundo. Estas páginas honeypot difusión únicamente etiquetado spamtraps direcciones de correo electrónico y spammers Entonces pueden ser rastreados, posteriormente se envía el mail spam correspondiente a estas direcciones de correo electrónico spamtraps.

Base de datos honeypot

Bases de datos a menudo ataques de intrusos utilizando Inyección SQL. Como tales actividades no son reconocidas por cortafuegos básicos, empresas a menudo utilizan firewalls de base de datos para la protección. Algunos de los disponibles Base de datos SQL cortafuegos proporcionan/soporte honeypot arquitecturas para que el intruso se ejecuta contra una base de datos de trampa mientras que la aplicación web sigue siendo funcional.[10]

Detección

Así como honeypots son armas contra los spammers, sistemas de detección de honeypot son armas Counter spammer-empleado. Como sistemas de detección probablemente utilizaría las características únicas de honeypots específicos para identificarlos, una gran cantidad de honeypots en uso hace que el conjunto de características únicas más grande y más difícil para aquellos que buscan detectar y así identificarlos. Esta es una circunstancia inusual en el software: una situación en la cual "versionitis"(un gran número de versiones del mismo software, todos diferente ligeramente del otro) puede ser beneficioso. También hay una ventaja en tener algunos honeypots fácil de detectar desplegado. Fred Cohen, el inventor de la Kit de herramientas de engaño, incluso sostiene que cada sistema que ejecuta su honeypot debe tener un puerto de engaño que adversarios pueden utilizar para detectar el honeypot.[11] Cohen cree que esto podría disuadir a adversarios.

Honeynets

Honeypots dos o más en forma de red un Honeynet. Normalmente, una honeynet se utiliza para supervisar una red más grande y más diversa en la cual un honeypot puede no ser suficiente. Honeynets y honeypots se implementan normalmente como piezas de mayor tamaño sistemas de detección de intrusiones de red. A honeyfarm es una colección de herramientas de análisis y honeypots centralizada.[12][13]

El concepto de la honeynet comenzó en 1999 cuando Lance Spitzner, fundador del proyecto Honeynet, publicó el periódico "A construir un Honeypot":[14]

"Una honeynet es una red de alta interacción honeypots que simula una red de producción y configurados tal que toda actividad es monitoreada, grabada y en un grado, discretamente regulada".

Metáfora

La metáfora de un oso ser atraída y robando miel es común en muchas tradiciones, incluyendo germánica y Eslava. Osos en algún momento fueron llamados "comedores de miel" en vez de por su verdadero nombre por temor a atraer a los animales amenazantes. La tradición de los osos robando miel se ha transmitido a través de historias y folclore, incluyendo la conocida Winnie the Pooh.[15]

Véase también

  • Trampa de Canarias
  • Cliente honeypot
  • Honeytoken
  • HoneyMonkey
  • Telescopio de red
  • Pseudoserver
  • Tarpit
  • Confiar en operación

Notas y referencias

  1. ^ Lance Spitzner (2002). Hackers de rastreo de honeypots. Addison-Wesley. PP. 68 – 70. ISBN0-321-10895-7.
  2. ^ "Paisaje de Malware roba Cryptocurrency". SecureWorks Dell. 26 de febrero de 2014. 13 de mayo 2014.
  3. ^ "Vigilia de Bitcoin: detección de Malware a través de Bitcoin". cryptocoins noticias. 05 de mayo de 2014.
  4. ^ Edwards, M. "Antispam Honeypots dar dolores de cabeza los Spammers". Windows IT Pro. 11 de marzo 2015.
  5. ^ "Sophos revela spam última retransmisión países". Seguridad de red de ayuda. Ayuda red seguridad. 24 de julio de 2006. 14 de junio 2013.
  6. ^ "Software Honeypot, Honeypot productos, Software de engaño". Detección de intrusión, Honeypots e incidente de manejo de recursos. 2013 honeypots.net.. 14 de junio 2013.
  7. ^ dustintrammell (27 de febrero de 2013). "spamhole – el falso SMTP Relay Beta abierta". SourceForge. Dados Holdings, Inc. 14 de junio 2013.
  8. ^ EC-Council (05 de julio de 2009). Certified Ethical Hacker: Asegurar la infraestructura de red en Certified Ethical Hacking. Cengage Learning. PP. 3 –. ISBN978-1-4354-8365-1. 14 de junio 2013.
  9. ^ Kaushik, Gaurav; Tyagi, Rashmi (2012). "Honeypot: Decoy Server o configuración del sistema información junto sobre un atacante". VSRD revista internacional de Ciencias de la computación y tecnología de la información 2:: 155 – 166.
  10. ^ "Asegurar su base de datos usando la arquitectura de Honeypot". www.dbcoretech.com. 13 de agosto de 2010. Archivado de el original el 08 de marzo de 2012.
  11. ^ "Deception Toolkit". ALL.net. 2013 ALL.net.. 14 de junio 2013.
  12. ^ Nicholas Weaver, Vern Paxson, Stuart Stanford (2003). "Agujeros de gusano y un Honeyfarm: detectar automáticamente nuevos gusanos" (PowerPoint). Los agujeros de gusano y un Honeyfarm: detectar automáticamente nuevos gusanos. El grupo de seguridad y redes ICSI. 14 de junio 2013.
  13. ^ Una definición de Honeynet Honeynets (PDF) por Ryan Talabis de PhilippineHoneynet.org[link muerto][link muerto]
  14. ^ "Conoce a tu enemigo: GenII Honeynets fáciles de desplegar, más difícil de detectar, más seguro mantener.". Proyecto Honeynet. Proyecto Honeynet. 12 de mayo de 2005. 14 de junio 2013.
  15. ^ "La palabra para"oso"". www.Pitt.edu. 12 Sep 2014.

Lectura adicional

  • Lance Spitzner (2002). Hackers de rastreo de honeypots. Addison-Wesley. ISBN0-321-10895-7.

Enlaces externos

  • Distribuyen Proxy abierto Honeypots proyecto: WASC
  • SANS Institute: ¿Qué es un tarro de miel?
  • SANS Institute: Honeypotting Fundamental
  • Simwood SGAS SIP proyecto Honeypot
  • PodCast – episodio #2: "HoneyMonkeys" De Seguridad ahora!
  • Proyecto Honeypot
  • El proyecto Honeynet

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=Honeypot _ (informática) & oldid = 654751621"