Qu es y como funciona?

Honeyd es un framework que puede interactuar con miles de direcciones de internet mediante la creacin de honeypots virtuales y la emulacin de los servicios correspondientes de la red. Normalmente, configuramos honeyd en direcciones ip no asignadas de la red existente. Por cada direccin ip podemos simular un comportamiento distinto. Por ejemplo, podramos configurar un servidor web virtual que corra sobre linux y escuche por el puerto 80. Podramos configurar en otra direccin ip otro sistema que aparezca como windows con todos los puertos TCP abiertos ejecutando servicios. Esto nos permitira recibir los primeros paquetes TCP de worms(gusanos) o probes(sondas). Honeyd se puede utilizar para crear seuelos en una red existente o para crear topologas de enrutamiento de cientos de miles de redes desde un solo equipo. En los siguientes apartados describiremos con detalle cmo funciona honeyd, como se puede configurar, y como implementarlo.

Resumen

Se trata de un framework de baja interaccin virtual que puede crear miles de honeypots virtuales en una sola red o incluso en todo internet. Honeyd soporta los conjuntos de protocolos IP y responde a las solicitudes de red para sus honeypots virtuales de acuerdo a los servicios que se configuran para cada honeypot virtual. Cuando se enva un paquete de respuesta, el motor, segn la personalidad configurada en Honeyd, acta con el comportamiento del sistema operativo que hemos configurado. Est disponible como un software de cdigo abierto publicado bajo la licencia GNU Public License (GPL) y se ejecuta en la mayora de sistemas operativos. Figura 1. Honeyd recibe el trfico de sus honeypots virtuales a travs de un router o un proxy ARP. Para cada honeypot, Honeyd puede simular el comportamiento de la pila de red de un sistema operativo diferente.

Aparte de aprovechar honeyd para asignar direcciones de red y obtener una visin mas clara sobre la actividad maliciosa en internet, tambin puede utilizarse para disuadir a los atacantes de que ataquen los sistemas reales y de esa forma pierdan tiempo. Un buen ejemplo es el ejercicio de ciberdefensa anual, una competicin entre las academias militares de EE.UU. y la Agencia de Seguridad Nacional (NSA). Cada academia tiene un equipo de estudiantes con la tarea de proteger sus redes y la academia adversaria intenta penetrar en el sistema de la otra o causar todo tipo de estragos. Cuando honeyd fue lanzado por primera vez, algunos estudiantes reforzaron sus redes usndolo, y configurndolo para crear cientos de honeypots virtuales. Estos honeypots solo pretendan disuadir a los adversarios de que atacaran las maquinas reales. La estrategia tuvo un xito sorprendente, y los alumnos disfrutaron viendo a los equipos de la NSA tratando de entrar durante horas en mquinas que realmente no existan.

Caractersticas
Resumiendo, Honeyd tiene muchas caractersticas interesantes entre las que tenemos las siguientes:
o

Simula miles de mquinas virtuales al mismo tiempo: La razn principal para utilizar Honeyd es su capacidad para crear miles de honeypots virtuales al mismo tiempo. Un adversario puede interactuar con todos los host a travs de la red y sufrir un comportamiento distinto con diferentes experiencias en funcin de como se ha configurado cada uno de los honeypots virtuales.

Configuracin de los servicios a travs del archivo de configuracin: Puede proporcionar programas arbitrarios que interactan con un adversario. Siempre que Honeyd reciba una nueva conexion de red, se iniciar el programa que ha especificado para la conexin con el atacante. En lugar de los programas en ejecucin, tambin se puede utilizar Honeyd para conexiones proxy a otras mquinas o usar funciones como la toma pasiva de huellas dactilares(fingerprinting) para identificar hosts remotos. Simula sistemas operativos a nivel de pila TCP/IP: Esta caracterstica permite a Honeyd engaar a Nmap y Xprobe, haciendolos creer que en el honeypot virtual hay realmente un sistema operativo configurado. Para aumentar an mas el realismo, las polticas para el tratamiento del montaje de fragmentos FIN-scanning se pueden ajustar tambin. La simulacin de cualquier tipo de topologa de enrutamiento: Las topologas de enrutamiento pueden ser arbitrariamente complejas. Es posible configurar la latencia, prdida de paquetes, y las caractersticas de ancho de banda. Honeyd soporta enrutamiento asimtrico, la integracin de maquinas fisicas en una topologa virtual, y las operaciones de distribucin a travs de tuneles GRE. Subsistema de virtualizacin: Con subsistemas, Honeyd puede ejecutar aplicaciones reales de Unix en el espacio de nombres virtuales de un honeypot, como por ejemplo, servidores web, servidores ftp, etc. Esta caracterstica tambin permite la unin de puertos dinmicos en el espacio de direcciones virtuales y la iniciacin de fondo de las conexiones de red.