Unidad 5

Monitoreo de redes y
Sistemas de Deteccin de
Intrusiones
SEGURIDAD DE LA INFORMACION
Network Security Monitoring

The Tao of Network Security Monitoring: Beyond Intrusion Detection,

Richard Bejtlich, Addison-Wesley, 2004.

SEGURIDAD DE LA INFORMACION
Y su continuacin

SEGURIDAD DE LA INFORMACION
Recoleccin y almacenamiento de
trfico

Contenido completo de paquetes (Tcpdump)

Todos los paquetes, incluida la capa de aplicacin
Alto costo de almacenamiento, pero permite mayor
granularidad en el anlisis.
Datos de sesiones (Argus, SANCP, NetFlow)
Resumen de conversaciones entre sistemas,
Compacto, independiente de los datos; el cifrado no es un
problema.
Datos estadsticos (Capinfos, Tcpdstat)
Visin de alto nivel de eventos sumarizados.
Datos de Alerta (Snort, otros IDSs)
Alertas de IDS tradicionales.
Ya sea por regla o por anomala.

SEGURIDAD DE LA INFORMACION
Contenido Completo

Proposito
Almacenar los paquetes completos brinda maxima
flexibilidad para el anlisis.
Los paquetes pueden ser posteriormente analizados
por mltiples herramientas de anlisis.
Otras herramientas estn limitadas por el tipo de
seleccin que realizan.
Mayores posibilididades de anlisis forense post-
incidente.
El cifrado oculta el contenido pero no los encabezados
(en tneles, se ven los extremos)

5
Generacin de datos de sesiones

Proposito

Interpretar encabezados IP, TCP, UDP e ICMP y resumir el trfico en

formato de conversaciones o sesiones.
Generar tablas de sesin sin almacenar los encabezados ni datos.
No puede ser engaado por encripcin, porque no tiene en cuenta los
datos de aplicacion.

Ejemplos: Netflow, Argus, SANCP

6
Ejemplo Argus ([Link]

timestamp protocol src IP direction dst IP status

17 Apr 02 [Link] icmp [Link] <-> [Link] ECO

17 Apr 02 [Link] tcp [Link].458 -> [Link].80 FIN
17 Apr 02 [Link] icmp [Link] <-> [Link] ECO
17 Apr 02 [Link] tcp [Link].119 -> [Link].25 FIN
17 Apr 02 [Link] tcp [Link].3562 -> [Link].80 FIN
17 Apr 02 [Link] tcp [Link].5936 -> [Link].80 EST
17 Apr 02 [Link] tcp [Link].4585 -> [Link].80 FIN
17 Apr 02 [Link] tcp [Link].4990 -> [Link].80 RST
17 Apr 02 [Link] tcp [Link].240 -> [Link].80 RST
17 Apr 02 [Link] tcp [Link].177 -> [Link].634 RST
17 Apr 02 [Link] icmp [Link] -> [Link] ECO
17 Apr 02 [Link] icmp [Link] -> [Link] ECO
17 Apr 02 [Link] icmp [Link] -> [Link] ECO
17 Apr 02 [Link] udp [Link].967 -> [Link].53 TIM
17 Apr 02 [Link] icmp [Link] -> [Link] ECO

Tambin puede mostrar cantidad de Paquetes y cantidad de bytes

SEGURIDAD DE LA INFORMACION
NFSen ([Link]

SEGURIDAD DE LA INFORMACION
Generacin de datos estadsticos

Proposito

Primera visin de un archivo con contenido completo.

Estadsticas de uso de protocolos
Equipos que generan mayor cantidad de trfico

Ejemplos: tcpdstat, trafshow, ntop

9
Ejemplo tcpdstat

StartTime: Wed Oct 1 [Link] 2003

EndTime: Wed Oct 1 [Link] 2003
# of packets: 7768 (3.33MB)

### IP address Information ###

# of IPv4 addresses: 9
### Protocol Breakdown ###
<<<<
protocol packets bytes
bytes/pkt
------------------------------------------------------------------------
[0] total 7768 (100.00%) 3496942 (100.00%) 450.17
[1] ip 7752 ( 99.79%) 3495982 ( 99.97%) 450.98
[2] tcp 7723 ( 99.42%) 3491796 ( 99.85%) 452.13
[3] http(s) 913 ( 11.75%) 816137 ( 23.34%) 893.91
[3] http(c) 302 ( 3.89%) 28309 ( 0.81%) 93.74
[3] ftp 11 ( 0.14%) 828 ( 0.02%) 75.27
[3] other 6497 ( 83.64%) 2646522 ( 75.68%) 407.35
[2] udp 28 ( 0.36%) 4116 ( 0.12%) 147.00
[3] other 28 ( 0.36%) 4116 ( 0.12%) 147.00
[2] icmp 1 ( 0.01%) 70 ( 0.00%) 70.00

SEGURIDAD DE LA INFORMACION
Estadsticas Wireshark

SEGURIDAD DE LA INFORMACION
IDS Sistemas de Deteccin de Intrusiones

Se denomina Deteccin de Intrusiones al proceso de

monitorear los eventos que ocurren en un sistema o red de
computadoras, analizndolos en busca de seales que
indiquen incidentes de seguridad.

Se puede pensar en sistemas anlogos en otras reas,

como por ejemplo las alarmas anti-robo, o sistemas de
vigilancia con videocmaras .

SEGURIDAD DE LA INFORMACION 12
Problemas comunes de los IDS

Falsos positivos: Ocurre cuando la herramienta clasifica una accin como

una posible intrusin cuando se trata de un comportamiento legtimo, que no
constituye una violacin de seguridad. Muchas veces se pueden disminuir los
falsos positivos haciendo ms especficas las descripciones de los patrones de
deteccin de una vulnerabilidad.

Falsos negativos: se producen ataques y los mismos no son detectados por

el IDS.

Falsas alarmas (o ruido): aquellas alertas generados en base a datos que

forman parte de un ataque, pero donde el ataque no representa un peligro.
Este hecho puede deberse a varias razones, entre las que se destacan tres:
El ataque afecta a una plataforma distinta a la atacada.
La vulnerabilidad no existe en el objetivo atacado.
El ataque no logr alcanzar el objetivo.

SEGURIDAD DE LA INFORMACION
Objetivos

Detectar una amplia variedad de intrusiones

Ataques conocidos y desconocidos.
Esto sugiere la necesidad de aprender/adaptarse a nuevos
ataques o cambios en comportamiento.

Detectar las intrusiones en un tiempo razonable

Puede ser necesario que sea en tiempo real, especialmente
cuando el sistema responde ante una intrusin.
Problema: El anlisis puede impactar directamente en los
tiempos de respuesta del sistema.
Puede ser suficiente reportar intrusiones ocurridas hace algunos
minutos o hace algunas horas.

SEGURIDAD DE LA INFORMACION
Objetivos

Presentar la informacin en una forma fcil de entender

Idealmente, con un indicador binario.
Usualmente ms complejo, permitiendo al analista examinar la
informacin relacionada con el supuesto ataque.
La interface de usuario es crtica, especialmente cuando se
monitorean muchos sistemas.
Ser preciso
Minimizar falsos positivos y falsos negativos.
Minimizar el tiempo utilizado para buscar y verificar ataques.

SEGURIDAD DE LA INFORMACION
Clasificacin de IDS

Sgun el mbito de Segn el mtodo de

ejecucin deteccin
IDS de Host Basado en patrones
(HIDS) conocidos
IDS de Red Basado en heursticas
(NIDS) o estadstica

SEGURIDAD DE LA INFORMACION 16
Basados en patrones

NIDS
Reconocimiento de patrones en el trfico de red para
identificar intentos de ataques conocidos
HIDS
Monitoreo automtico de Logs
Chequeo de integridad de archivos

SEGURIDAD DE LA INFORMACION 17
Basados en anomalas

NIDS
Monitoreo estadstico de trfico para determinar
actividad de DoS, escaneo de puertos, brute-force
login
HIDS
Comportamiento extrao de usuarios
Parametros del sistema excedidos: Logins fallidos,
Carga de CPU, etc.

SEGURIDAD DE LA INFORMACION 18
Dnde ubicar el IDS?

SEGURIDAD DE LA INFORMACION 19
Ataques a NIDS

Insercin: Un NIDS puede aceptar un paquete que el sistema

final rechaza. Un atacante puede aprovechar esto para
insertar alertas que no son tenidas en cuenta por el sistema
final.

Evasin: Un sistema final puede aceptar un paquete que un IDS

rechaza. Un IDS que por error descarta el paquete pierde
completa su contenido. Estos paquetes pueden contener
ataques que el IDS no detecta.

SEGURIDAD DE LA INFORMACION
Ejemplo: Fragmentacin IP

SEGURIDAD DE LA INFORMACION
Ejemplo NIDS: SNORT

Snort es un NIDS basado en patrones, y usa reglas para

chequear paquetes que pasan por la red.

Una regla es un conjunto de requerimientos que debe

tener un evento (paquete, conjunto de paquetes
reensamblados o flujo de datos), para disparar un alerta.

Disponible en: [Link]

SEGURIDAD DE LA INFORMACION 22
Arquitectura

SEGURIDAD DE LA INFORMACION
Snort: Componentes bsicos

Sniffer: es el encargado de capturar todos los paquetes de la red.

Utiliza la librera libpcap para realizar esta tarea.
Decodificador: Arma estructuras de datos con los paquetes
capturados e identifica los protocolos de enlace, red, etc. Puede
detectar problemas en encabezados.
Preprocesadores: permiten extender las funcionalidades preparando
los datos para la deteccin. Se realizan tareas como la deteccin de
escaneos, Ensamblado de datos contenidos en paquetes de una
misma sesin o reensamblado de paquetes IP fragmentados.
Motor de deteccin: analiza los paquetes en base a las reglas
definidas para detectar ataques.
Salida o Postprocesadores: permiten definir qu, cmo y dnde se
guardan las alertas y los correspondientes paquetes de red que las
generaron. Pueden utilizar archivos de texto, traps SNMP, bases de
datos, syslog, etc.

SEGURIDAD DE LA INFORMACION
Ejemplos preprocesadores

HTTP_inspect
Este preprocesador es utilizado para procesar las URIs contenidas en
las solicitudes HTTP. Su principal funcin consiste en normalizar las
URIs para que aparezcan en su forma ms simple y unvoca. Algunas
tcnicas de evasin de IDS se basan en escribir los URIs de un
request HTTP de manera distinta para que el IDS no detecte el ataque,
y en este hecho reside la gran utilidad del preprocesador http_inspect.

SEGURIDAD DE LA INFORMACION
Ejemplos Reglas Snort

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS

(msg:"WEB-CGI [Link] directory traversal attempt";
uricontent:"/[Link]";content:"../../";content:"%00";
flow:to_server,established; reference:bugtraq,2314;
reference:cv,CAN-2001-0253; classtype:web-application-attack;
sid:803; rev:6;)

alert tcp $HOME_NET any -> $EXTERNAL_NET any

(msg:"P2P BitTorrent announce request";
flow:to_server,established; content:"GET"; depth:4;
content:"/announce"; distance:1; content:"info_hash="; offset:4;
content:"event=started"; offset:4;
classtype:policy-violation; sid:2180; rev:2;)

SEGURIDAD DE LA INFORMACION 26
Ejemplos Reglas Snort MS015-034

alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:

" MS15-034 Range Header [Link] Exploit"; content:
"|0d 0a|Range: bytes="; nocase; content: "-"; within: 20 ;
byte_test: 10,>,1000000000,0,relative,string,dec ; sid:
1001239;)
(byte_test is limited to 10 bytes, so I just check if the first 10
bytes are larger then 1000000000)

Ojo con las formas de saltear reglas:

[Link]
detection-some-observations/

SEGURIDAD DE LA INFORMACION 27
Alertas generadas por Snort

[**] [Link] TFTP Get [**]

[Classification: Potentially Bad Traffic] [Priority: 2]
10/30-[Link].031155 [Link]:33206 -> [Link]:69
UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:50 DF
Len: 22

[**] [Link] NETBIOS SMB-DS Session Setup AndX request

unicode username overflow attempt [**]
[Classification: Attempted Administrator Privilege Gain] [Priority: 1]
10/30-[Link].219433 [Link]:1431 -> [Link]:445
TCP TTL:46 TOS:0x0 ID:42991 IpLen:20 DgmLen:1484 DF
***AP*** Seq: 0xE03BC43C Ack: 0xBFA96C1B Win: 0xFFBF TcpLen: 20
[Xref => [Link]
[Xref => [Link]

SEGURIDAD DE LA INFORMACION 28
Snorby ([Link]

Para ver los alertas generados por snort

Sguil ([Link]

SEGURIDAD DE LA INFORMACION
Bro NSM ([Link]

Sniffea trfico en busca de actividades sospechosas.

Utiliza reglas que pueden ser patrones similares a las
de Snort, pero tambin pueden describir restricciones
de actividad, analizar el contexto, relacionar eventos,
etc.

Genera logs de transacciones de ciertos protocolos

como http, ssh, smtp, certificados SSL, DNS

SEGURIDAD DE LA INFORMACION
Ejemplo log bro-ids

2013-01-16T[Link]+0000 90E6goBBSw3
[Link] 41482 [Link] 80 1 GET
[Link] / - Mozilla/5.0 (X11; Ubuntu; Linux
x86_64; rv:18.0) Gecko/20100101 Firefox/18.0 0 39
200 OK - - - (empty) - - - text/plain - -

2013-01-16T[Link]+0000 90E6goBBSw3
[Link] 41482 [Link] 80 2 GET
[Link] /[Link] - Mozilla/5.0 (X11;
Ubuntu; Linux x86_64; rv:18.0) Gecko/20100101
Firefox/18.0 0 640 404 Not Found - -- (empty) - - -
text/html - -

SEGURIDAD DE LA INFORMACION
HIDS - Swatch

Swatch comenz siendo el "simple watchdog" para

monitorear actividad de log producida por el syslog de
UNIX. Fue evolucionando para permitir monitorear otro
tipo de logs.

Permite definir entradas a resaltar o a ignorar.

SEGURIDAD DE LA INFORMACION
Logcheck ([Link]

Similar a swatch, con reglas muy actualizadas para

Debian. Normalmente se ejecuta cada una hora, revisa
los logs del sistema en busca de ciertas entradas
anormales, y genera un reporte que puede ser enviado
por correo electrnico.

SEGURIDAD DE LA INFORMACION
logcheck

Security Events
=-=-=-=-=-=-=-=
Aug 1 [Link] matute sshd[1401]: (pam_unix)
authentication failure; logname= uid=0 euid=0 tty=ssh
ruser= rhost=[Link].26
Aug 1 [Link] matute sshd[1401]: error: PAM: User not
known to the underlying authentication module for
illegal user n3ssus from [Link].26

System Events
=-=-=-=-=-=-=
Aug 1 [Link] matute sshd[2473]: Did not receive
identification string from [Link].26
Aug 1 [Link] matute sshd[2474]: Bad protocol version
identification 'GET / HTTP/1.0' from [Link].26

Jul 30 [Link] matute Inscripcion[25721]: desde

[Link].132 - invalid: cdi:20-12430832|

SEGURIDAD DE LA INFORMACION
HIDS: Tripwire, Aide

Permite al administrador monitorear la actividad

relacionada con agregado, borrado y modificacin de
archivos. Genera una base de datos con la
informacin de cada archivo en el sistema.
Periodicamente, vuelve a generar la informacin y la
compara.
Chequea Archivos nuevos, eliminados, y cambios en
atributos de archivos:
Tamao,
Fecha y hora de acceso y modificacin,
Permisos,
Firmas o hashes
SEGURIDAD DE LA INFORMACION 36
Ejemplo Reporte Aide

Envelope-to: root@[Link]
Delivery-date: Fri, 14 Apr 2006 [Link] -0300
To: root@[Link]
Subject: Daily AIDE report for [Link]
From: root <root@[Link]>

This is an automated report generated by the Advanced Intrusion Detection

Environment on [Link] at 2006-04-14 06:25.

added:/usr/bin/tftp
File: /bin/tar
Size : 163820 , 163852
Bcount: 328 , 336
Mtime : 2004-08-03 [Link] , 2006-02-24 [Link]
Ctime : 2006-01-27 [Link] , 2006-03-27 [Link]
Inode : 2326559 , 2326584
MD5 : lqHdZO5kJKbPp4OQFdmNZw== , 0O0qYuZFk3VRPSEaK8Xp+w==
SHA1 : sB7B1di8CecXlpNZ16kw/kSLVVs= , Xu6u1r5mPWNOT4iB3w4Dp9KRp58=

SEGURIDAD DE LA INFORMACION
Otro HIDS: ossec ([Link]

OSSEC es un HIDS Open source. Realiza anlisis de

logs, chequeos de integridad de archivos, monitoreo
de registry de windows, deteccin de rootkits, etc

Corre en la mayora de los sistemas operativos,

incluyendo Linux, OpenBSD, FreeBSD, MacOS, Solaris
y Windows.

SEGURIDAD DE LA INFORMACION
Ejemplos OSSEC
OSSEC HIDS Notification. 2007 Aug 14 [Link]

Received From: monitor->/var/log/apache2/[Link]

Rule: 30109 fired (level 9) -> "Attempt to login using a non-existent user."
Portion of the log(s):

[Tue Aug 14 [Link] 2007] [error] [client [Link].51] user test not found:
/nagios2/, referer: [Link]

OSSEC HIDS Notification.2007 Aug 14 [Link]

Received From: monitor->/var/log/[Link]

Rule: 5701 fired (level 12) -> "Possible attack on the ssh server (or
version gathering)."
Portion of the log(s):

Aug 14 [Link] monitor sshd[21642]: Bad protocol version identification

'quit' from UNKNOWN

SEGURIDAD DE LA INFORMACION
Ejemplos OSSEC

OSSEC HIDS Notification. 2006 Sep 06 [Link]

Received From: (xx) [Link]->/usr/pages/xx/logs/web.access_log

Rule: 31151 fired (level 10) -> "Mutiple web server 400 error codes from same
source ip."
Portion of the log(s):

[Link] - - [06/Sep/[Link] -0300] "POST /xmlsrv/[Link] HTTP/1.1"

404 223 "-" "Internet Explorer 6.0"
[Link] - - [06/Sep/[Link] -0300] "POST /xmlrpc/[Link] HTTP/1.1"
404 223 "-" "Internet Explorer 6.0"
[Link] - - [06/Sep/[Link] -0300] "POST /[Link] HTTP/1.1" 404 216
"-" "Internet Explorer 6.0"
[Link] - - [06/Sep/[Link] -0300] "POST /[Link] HTTP/1.1" 404 216
"-" "Internet Explorer 6.0"
[Link] - - [06/Sep/[Link] -0300] "POST /xmlsrv/[Link] HTTP/1.1"
404 223 "-" "Internet Explorer 6.0"
[Link] - - [06/Sep/[Link] -0300] "POST /xmlrpc/[Link] HTTP/1.1"
404 223 "-" "Internet Explorer 6.0
[Link] - - [06/Sep/[Link] -0300] "POST /[Link] HTTP/1.1" 404 216
"-" "Internet Explorer 6.0"

SEGURIDAD DE LA INFORMACION
Ejemplos OSSEC
OSSEC HIDS Notification. 2006 Oct 24 [Link]
Received From: (xx) 200.1.2.a->/var/log/maillog
Rule: 3354 fired (level 12) -> "Multiple misuse of SMTP service (bad
sequence of commands)."
Portion of the log(s):

postfix/smtpd[6741]: NOQUEUE: reject: RCPT from

unknown[[Link]]: 503 <nplxfbtk@[Link]>: Sender address
rejected: Improper use of SMTP command pipelining;
from=<nplxfbtk@[Link]> to=<x@[Link]> proto=SMTP helo=<ran-
2h991bqbujq>
postfix/smtpd[6741]: NOQUEUE: reject: RCPT from
unknown[[Link]]: 503 <nplxfbtk@[Link]>: Sender address
rejected: Improper use of SMTP command pipelining;
from=<nplxfbtk@[Link]> to=<x@[Link]> proto=SMTP helo=<ran-
2h991bqbujq>
postfix/smtpd[6741]: NOQUEUE: reject: RCPT from
unknown[[Link]]: 503 <nplxfbtk@[Link]>: Sender address
rejected: Improper use of SMTP command pipelining;
from=<nplxfbtk@[Link]> to=<y@[Link]> proto=SMTP helo=<ran-
2h991bqbujq>

SEGURIDAD DE LA INFORMACION
IPS Sistemas de Prevencin de Intrusiones

Adems de detectar un ataque, los IPS pueden detener

al mismo.

Pueden trabajar a nivel de red o a nivel de host.

SEGURIDAD DE LA INFORMACION 42
IPS de red

Normalmente funciona como dispositivo in_line, en modo bridge.

Adems de detectar alertas en base a patrones, puede decidir filtrar el
trfico para que no llegue a destino.
Ej: Snort_Inline
Utiliza las mismas reglas, pero define nuevas acciones: block, reject,
sdrop.
Tambin puede cambiar el contenido del trfico (replace)

Ejemplo de Regla:
drop tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25 (msg:"SMTP
AUTH user overflow attempt"; flow:to_server,established;
content:"AUTH"; nocase; pcre:"/^AUTH\s+\S+\s+[^\n]{128}/mi";
reference:bugtraq,13772; classtype:attempted-admin; sid:3824; rev:1;)

SEGURIDAD DE LA INFORMACION 43
ModSecurity ([Link]

ModSecurity es un motor de
deteccin y prevencin de
intrusiones para aplicaciones web.
Operando como un mdulo del
servidor web apache, el propsito
de ModSecurity es aumentar la
seguridad de aplicaciones web,
protegiendolas de ataques
conocidos y desconocidos.
Es un Web application Firewall.

44
Caractersticas

Intercepta pedidos HTTP antes de que sean procesados

en forma completa por el webserver.
Intercepta el cuerpo de los pedidos (ej: en los pedidos de
tipo POST)
Intercepta, almacena y opcionalmente valida los archivos
subidos.
Realiza acciones anti-evasin en forma automtica.
Realiza analisis de los pedidos procesando un conjunto de
reglas configurables.
Intercepta la respuestas antes de que sean enviadas al
cliente y las analiza en base a reglas.

SEGURIDAD DE LA INFORMACION
Configuracin

# Allow supported request methods only.

SecFilterSelective REQUEST_METHOD !^(GET|HEAD|POST)$
# Require the Host header field to be present.
SecFilterSelective HTTP_Host ^$
# sql injection
SecFilterSelective ARGS "delete[[:space:]]+from"
# Command "id"
SecFilterSelective OUTPUT "uid=[[:digit:]]+\([[:alnum:]]+\)
gid=[[:digit:]]\([[:alnum:]]+\)"
#collectors
SecFilterSelective HTTP_USER_AGENT "autoemailspider"

SEGURIDAD DE LA INFORMACION
 Honeypots

SEGURIDAD DE LA INFORMACION
Tipos de honeypots

Baja Interaccin
Emula Servicios, aplicaciones, SO
Bajo riesgo y facil de instalar y mantener, pero
captura informacin limitada.
Alta Interaccin
Servicios, aplicaciones y SO reales
Captura mucha informacin, pero riesgo alto y
consumen mucho tiempo para mantener.

SEGURIDAD DE LA INFORMACION 48
Ejemplos de honeypots

Baja Interaccin

Honeyd
Nepenthes/Dionaea
Honeynets

Alta interaccin
SEGURIDAD DE LA INFORMACION 49
Honeypots

Honeyd ([Link]

Crea equipos virtuales en una red

Los equipos pueden ser configurados
Para ejecutar servicios abitrarios
Y adaptados para simular distintos
Sistemas operativos.
Puede reportar a Prelude

SEGURIDAD DE LA INFORMACION 50
Dionaea ([Link]

Como el honeyd, es un honeypot de baja interaccin que

emula vulnerabilidades conocidas, para recolectar
informacin de ataques potenciales. Esta diseado para
simular vulnerabilidades usadas por worms para
diseminarse, y capturarlos. Utilizado en el proyecto
RECAMAR, del cul hablaremos en la clase de malware.

SEGURIDAD DE LA INFORMACION 51
Honeynets

Honeypots de alta interaccin designados para capturar informacin

detallada.
La informacin tiene diferentes valores para diferentes
organizaciones.
Es una arquitectura en la cual se agregan equipos enteros, no un
producto o un software.
Todo trfico entrante y saliente es sospechoso.

SEGURIDAD DE LA INFORMACION 52
Como trabaja

Una red altamente controlada en la que todo paquete

entrante o saliente es monitoreado, capturado y
analizado.

Control de Flujo de Datos

Captura de Datos
Anlisis de Datos

[Link]

SEGURIDAD DE LA INFORMACION 53
Arquitectura de honeynets

SEGURIDAD DE LA INFORMACION 54
Control de flujo de datos

Mitigar el riesgo de que la Honeynet

sea utilizada para atacar sistemas que
no son parte de la honeynet.

Contar conexiones salientes.

IPS (Snort-Inline)
Control de ancho de banda

SEGURIDAD DE LA INFORMACION 55
Control de flujo de datos

No Restrictions

Honeypot
Internet

Honeywall

Connections Limited Packet Scrubbed Honeypot

SEGURIDAD DE LA INFORMACION 56
Captura de datos

Capturar toda la actividad a distintos niveles

Actividad de red
Actividad de aplicaciones
Actividad del sistema

SEGURIDAD DE LA INFORMACION 57
Sebek

Mdulo de Kernel oculto que captura la actividad del

host
Envia la informacin a la red
El atacante no puede husmear el trfico basado en el
puerto destino

Posteriormente, se desarrollo qebek. En vez de ser

un modulo de kernel, monitorea en la capa de
virtualizacin (en Quemu)

SEGURIDAD DE LA INFORMACION 58
Arquitectura Sebek

SEGURIDAD DE LA INFORMACION 59
Capture-HPC Client honeypot

Honeypot de alta interaccin. Corre en una VM con

distintos navegadores, media players y aplicaciones
office. Accede a servidores potencialmente
maliciosos, y detecta si la interaccin con los
mismos genera cambios en el cliente.

SEGURIDAD DE LA INFORMACION