HONEYNET.

Karen Santos Reyes (1)

Facultad de Sistemas Y Telecomunicaciones,
Universidad Estatal Pennsula de Santa Elena.
La Libertad Ecuador
santos.reyes.k@gmail.com (1)
dquirumbay@upse.edu.ec
Comunicaciones II

Resumen
Es una tctica usada para la seguridad en la red, consta de vulnerabilidades intencionadas con el fin de que un probable
intruso pueda atacar, as las actividades o mtodos que usa un atacante pueden ser registradas y posteriormente ser
analizadas y estudiadas. Honeynet se trata de una red completa y compleja de sistemas informticos que soportan
estos tipos de ataques para conseguir una mayor seguridad en la red.
Palabras Claves: honeynet, red, trampa, ataque, virualizado.

1. Introduccin.
La tecnologa ha tenido una gran
repercusin durante los ltimos aos,
especialmente en el mbito de la
informtica, es por eso que se han ido
incrementando los ataques informticos a
travs del Internet.

Cualquier trfico que tenga por

destino
el
honeypot
ser
sospechoso de ser un sondeo o un
ataque.
Cualquier trfico que tenga por
origen el honeypot significar que
el sistema ha sido comprometido.

2.1.1. Ventajas.
Estos tipos de ataques tienen mayor
impacto puesto que vienen acompaado
de nuevas herramientas informticas que
son
usadas
por
usuarios
mal
intencionado, permitiendo que sus
conocimientos puedan ir mejorando en
cuanto a tcnicas utilizadas para vulnerar
los distintos sistemas informticos.

Como
se
ha
mencionado
anteriormente, un honeypot tiene
como objetivo detectar intrusiones o
prevenir ataques, siendo de gran
utilidad para:

2. Definicin de Honeynet.
Es una herramienta de seguridad (red
compleja de sistemas) diseada para ser
sondeada, atacada y comprometida por
un hipottico intruso. Se trata de una red
completa, compuesta por un conjunto de
sistemas (Honeypots*) dispuestos a
recibir estos ataques y una serie de
mecanismos
encargados
de
la
monitorizacin, el registro y el control de
estas acciones.[1]

2.1. Honeypots

Honeypot es un recurso que aparenta ser

un blanco real, cuyo objetivo es que ste
sea atacado. Sirve para obtener
informacin sobre el ataque y el intruso
(atacante).
[2]Su funcionamiento est basado en tres
conceptos:

Honeypot no es un sistema de
produccin y, por tanto, nadie
debera tratar de comunicarse con
l. No habr falsos positivos.

Desalentar al atacante haciendo

que pierda su tiempo en entrar a
un sistema que no encontrar
informacin que le resulte de
provecho. Durante ese intervalo
de tiempo se puede captar
informacin,
aprender
sus
tcnicas y as poder proteger los
sistemas reales de produccin.
En lo que se refiere a su capacidad
de deteccin de intrusiones, estas
herramientas estn diseadas para
detectar y recopilar informacin
detallada sobre los ataques que
vayan dirigidos contra los
servicios que ofrecen.[2]
Pueden utilizarse para la captura y
el anlisis de intrusiones con la
finalidad de aprender las distintas
tcnicas y herramientas que
utilizan los atacantes para llevar a
cabo sus acciones, y para
descubrir las vulnerabilidades
buscadas por los intrusos y los
motivos que les lleva a tratar de
atacar el sistema.

2.1.2. Desventajas.

Solo reaccionan ante ataques

dirigidos contra este recurso
(honeypot).
Implementar
y
darle
mantenimiento a esta herramienta
demanda mucho tiempo y es
compleja.

Para entender mejor el objetivo de un

honeynet se puede determinar el
siguiente ejemplo:

2.1.3. Riesgos.

Sobre el sistema operativo que

est operando el honeypot puede
verse comprometido en su
seguridad.
El software que implemente el
honeypot
puede
presentar
vulnerabilidades.
Existe un mayor riesgo, cuando su
nivel de interaccin es alta.

Las organizaciones pueden utilizar

Honeynets para comprobar y
desarrollar su capacidad de Respuesta
ante Incidentes. Las ventajas que se
obtienen analizando estos sistemas
comprometidos es que se obtienen la
mayora de las respuestas. Puede
tratar el sistema comprometido como
un 'reto', donde comprobar sus
habilidades para determinar qu pas
utilizando diversas tcnicas forenses.
Entonces puede comparar estos
resultados con los datos capturados
dentro de la Honeynet.[3]

3. Caractersticas de un Honeynet.

Una de sus caractersticas, es

mejorar la seguridad de Internet
mediante el intercambio de
lecciones aprendidas acerca de las
amenazas ms comunes.[1]
Capturar nuevas herramientas de
hacking, gusanos, malware,
etc.[5]

Un honeynet es un tipo de
honeypot, pero dedicado a la
investigacin y sobre todo para
recoger informacin de las
amenazas. Es una red formada por
varios sistemas y aplicaciones,
pudiendo usar varios sistemas al
mismo tiempo tales como Solaris,
Linux, Windows NT, router
CISCO, etc.[3]
Teniendo la ventaja de usar
diferentes sistemas operativos, se
pueden
aprender
diferentes
tcticas y sobre todo poder
conocer
las
posibles
vulnerabilidades a las que se est
expuesto. De esta manera tambin
es posible poder detectar el perfil
del atacante y deducir sus
tendencias e intereses.[4]

4. Requisitos
Honeynet.

para

construir

Para construir su Honeynet de forma

satisfactoria, hay dos requisitos
crticos; Control de Datos y Captura
de Datos. Si hay algn fallo en
cualquier requisito, entonces hay un
fallo en la Honeynet. Las Honeynets
pueden construirse y desarrollarse en
cantidad de maneras diferentes, de
forma que dos Honeynets nunca son
iguales. A pesar de esto, todas deben
reunir los requisitos sobre Control de
Datos y Captura de Datos.[3]
El control de datos, se refiere a una
actividad de contencin, se espera
que una vez vulnerado el honeypot,
2

ste no pueda daar cualquier otro

sistema que no se la Honeynet.

Cuando no se ha desarrollado un
Honeynet, es importante conocer
estas herramientas de la primera
generacin, ayudan a entender su
funcionalidad aunque se puede estar
expuestos a fallas o riesgos.

En cuanto a la captura de datos,

consiste principalmente en poder
registrar todo lo que realiza el
atacante, estrategias o herramientas.

La tarea del control del intruso se

realiza de forma conjunta entre el
cortafuegos y el router.[2]

El Honeynet Project ha creado un

documento que define estos tres
requisitos extensa y detalladamente.
El propsito del documento es dar a
las organizaciones la flexibilidad para
construir una honeynets adaptada a su
entorno y objetivos. Sin embargo, el
documento asegura que las honeynets
son desarrolladas con eficiencia y
seguridad, permitiendo la interaccin
de diferentes honeynets.[3]

El cortafuegos es un filtro de paquetes

a nivel de red que constituye el nexo
de unin entre el interior de la
honeynet e Internet y divide la propia
honeynet en dos segmentos de red:
uno
de
honeypots
y
otro
administrativo que contiene el
servidor remoto de logs y el sistema
detector de intrusiones. Est
configurado para permitir cualquier
conexin desde el exterior de la
honeynet a la red de honeypots,
proteger los equipos de la subred
administrativa y controlar las
conexiones que se traten de establecer
desde los honeypots hacia el
exterior.[2]

5. Arquitectura.
El mencionado Honeynet Project, que
es una organizacin dedicada a la
investigacin de estos atracos, ha
determinado distintos requisitos,
puesto
que
no
existe
una
estandarizacin clara para su
implementacin. Por eso, en esta
ponencia se lo dividir en dos
secciones que son: Honeynet de
primera generacin y Honeynet de
segunda generacin.[2]

Para el control de intruso se van a

contar los intentos de conexin desde
cada honeypot hacia cualquier equipo
del exterior de la honeynet, de tal
forma que, si se supera cierto umbral,
se bloquear cualquier siguiente
intento.[2]

5.1. Honeynet De Primera Generacin.

Las tecnologas usadas en la primera
generacin fueron utilizadas desde
1991 al 2001 y fueron relevantes en la
redaccin de los documentos en
Know your enemy.
Su propsito trat de implementar el
Control de Datos y la Captura de
Datos con medidas simples pero
eficaces.
3

inteligente y flexible a las acciones

del blackhat.[3]
En la segunda generacin el firewall
trabaja en capa dos; en modo
BRIDGE y controla todo el trfico de
entrada y salida de la Honeynet
haciendo su deteccin ms difcil.[2]
Otra caracterstica de esta generacin
es la utilizacin de un IPS (Intrusion
Prevention System) en el gateway.
Un IPS trabaja de manera similar a un
IDS, slo que ste tiene la capacidad
de bloquear el trfico e incluso de
modificarlo. Si el intruso intenta
lanzar un ataque en contra de un
equipo fuera de la Honeynet, el IPS
podra detectar y eliminar la amenaza.
Sin embargo el IPS trabaja con firmas
de ataques conocidos, tal y como lo
hace un IDS, de manera que los
ataques
desconocidos
sern
ignorados por este medio; es por ello
que se conjunta con el control de
conexiones al exterior desde los
Honeypots, en el firewall.[6]

Tabla 1. Honeynet de
Primera Generacin.

5.2. Honeynet de Segunda Generacin.

La
segunda
generacin
fue
desarrollada en el ao 2002, despus
de determinar los errores producidos
por la primera generacin. Ms all
de los errores, se detectaron varios
problemas que impedan que dichos
ataques sean controlados de manera
adecuada.
Entonces, con la llegada de la
segunda generacin, se pudo mejorar
y as crear soluciones que sean ms
fcil de desarrollar pero ms difcil de
detectar. Para el control de datos se
ofrece al agresor altas posibilidades
para interactuar con los sistemas,
teniendo mayor control sobre sus
propias actividades. [3]

Tabla 2. Honeynet de
Segunda Generacin.

Se espera que al darle al agresor ms

flexibilidad en sus acciones,
especialmente
en
conexiones
salientes, podamos recoger mayor
informacin de ellas. Esto se
consigue creando una respuesta ms

6. Honeynets Virtuales.
Este tipo de redes virtuales no
representan una nueva generacin,
incluso estas redes virtuales trabajan
bajo los mismos principios de las
4

redes de primera y segunda

generacin. Sin embargo existe una
serie de cualidades que las diferencia,
entre ellas:

7. Conclusiones.
En este documento se ha redactado
las principales funciones de una
honeynet, que quiere decir una red de
trampa pues se tiene como objetivo
poder capturar el mayor nmero de
ataques o tcticas y estudiarlas.

Utiliza una sola maquina fsica,

pues
ella funciona
como
anfitriona de toda la red virtual.
En este aspecto se disminuye el
coste del hardware y el espacio
requerido por la honeynet.[2]
El hecho de que todo se ejecute en
un nico equipo convierte una
honeynet en una solucin plugand-play.[2]
La utilizacin de software de
virtualizacin limita la variedad
de sistemas operativos que
puedan constituir una honeynet a
los soportados por la herramienta.
As mismo, para la generacin de
la red virtual solo se podrn
utilizar aquellos componentes de
red que la herramienta de
virtualizacin sea capaz de
simular, que generalmente sern
switches.[2]

Para lograr este objetivo, es necesario

hacer uso de diferentes herramientas
y procesos que ayuden a que nuestra
red sea ms segura.
Honeynet, se la puede definir como
un
sistema
orientado
a
la
investigacin y capturar puntos
dbiles de la red.
8. Recomendaciones.
En las herramientas usadas, tanto
como los de primera y segunda
generacin han ido mejorando, pero
como todo sistema, hay que estar
alertas a fallas.
Este tipo de sistemas sirven para las
empresas que deseen poner a prueba
su seguridad en red y planes de
contingencias.
9. Bibliografa.

Tabla 3. Honeynet Virtual

[1]

E. M. Palacios, Honeynet. [Online].

Available:
http://es.slideshare.net/lalineitor/hone
ynet. [Accessed: 02-Aug-2015].

[2]

E. Gallego and J. E. L. De Vergara,

Honeynets: Aprendiendo del
Atacante.

[3]

Conoce a tu enemigo: Honeynets.

[Online]. Available:
http://his.sourceforge.net/honeynet/pa

pers/honeynet/. [Accessed: 02-Aug2015].

[4]

What is honeynet? - Definition from

WhatIs.com. [Online]. Available:
http://searchsecurity.techtarget.com/d
efinition/honeynet. [Accessed: 02Aug-2015].

[5]

Honeypots (parte 1). [Online].

Available:
http://www.fing.edu.uy/inco/grupos/g
si/documentos/diapos-ssi/honeypotsintro-ssi.pdf. [Accessed: 02-Aug2015].

[6]

Introduccion a las Honeynets, pp.

112.