¿Qué es un Honeypot?

Si conecta una computadora a Internet abierta sin ningún tipo de filtro de tráfico entrante, generalmente comenzará a recibir tráfico de ataque en minutos. Tal es la escala de los ataques automatizados y el escaneo que ocurre constantemente en Internet. La gran mayoría de este tipo de tráfico está completamente automatizado. Son solo bots que escanean Internet y tal vez prueban algunas cargas aleatorias para ver si hacen algo interesante.

Por supuesto, si ejecuta un servidor web o cualquier otra forma de servidor, necesita que su servidor esté conectado a Internet. Dependiendo de su caso de uso, es posible que pueda usar algo como una VPN para permitir el acceso solo a usuarios autorizados. Sin embargo, si desea que su servidor sea de acceso público, debe estar conectado a Internet. Como tal, su servidor se enfrentará a ataques.

Puede parecer que básicamente tienes que aceptar esto como parte del curso. Afortunadamente, hay algunas cosas que puedes hacer.

Implementar un honeypot

Un honeypot es una herramienta diseñada para atraer a los atacantes. Promete información jugosa o vulnerabilidades que podrían conducir a información, pero es solo una trampa. Un honeypot se configura deliberadamente para atraer a un atacante. Hay algunas variedades diferentes dependiendo de lo que quieras hacer.

Se avanza un honeypot de alta interacción. Es muy complejo y ofrece muchas cosas para mantener ocupado al atacante. Estos se utilizan principalmente para la investigación de seguridad. Permiten al propietario ver cómo actúa un atacante en tiempo real. Esto se puede utilizar para informar las defensas actuales o incluso futuras. El objetivo de un honeypot de alta interacción es mantener ocupado al atacante el mayor tiempo posible y no delatar el juego. Para ello, son complejos de configurar y mantener.

Un honeypot de baja interacción es básicamente una trampa de colocar y olvidar. Por lo general, son simples y no están diseñados para ser utilizados en investigaciones o análisis profundos. En cambio, los honeypots de baja interacción están destinados a detectar que alguien está tratando de hacer algo que no debería y luego simplemente bloquearlo por completo. Este tipo de trampa es fácil de configurar e implementar, pero puede ser más propenso a falsos positivos si no se planifica cuidadosamente.

Un ejemplo de un honeypot de baja interacción

Si ejecuta un sitio web, una función con la que puede estar familiarizado es robots.txt. Robots.txt es un archivo de texto que puede colocar en el directorio raíz de un servidor web. Como estándar, los bots, especialmente los rastreadores de los motores de búsqueda, saben cómo verificar este archivo. Puede configurarlo con una lista de páginas o directorios que desea o no desea que un bot rastree e indexe. Los bots legítimos, como el rastreador de un motor de búsqueda, respetarán las instrucciones de este archivo.

El formato suele ser similar a "puedes mirar estas páginas, pero no rastrear nada más". A veces, sin embargo, los sitios web tienen muchas páginas para permitir y solo algunas quieren evitar el rastreo. Entonces toman un atajo y dicen “no mires esto, pero puedes rastrear cualquier otra cosa”. La mayoría de los piratas informáticos y bots verán "no mires aquí" y luego harán exactamente lo contrario. Entonces, en lugar de evitar que Google rastree su página de inicio de sesión de administrador, ha dirigido a los atacantes directamente a ella.

Sin embargo, dado que este es un comportamiento conocido, es bastante fácil de manipular. Si configura un honeypot con un nombre de aspecto sensible y luego configura su archivo robots.txt para decir "no mires aquí", muchos bots y piratas informáticos harán exactamente eso. Entonces es bastante simple registrar todas las direcciones IP que interactúan con el honeypot de cualquier manera y simplemente bloquearlas todas.

Evitar falsos positivos

En un buen número de casos, este tipo de trampa oculta puede bloquear automáticamente el tráfico de las direcciones IP que generarían más ataques. Sin embargo, se debe tener cuidado para garantizar que los usuarios legítimos del sitio nunca vayan al honeypot. Un sistema automatizado como este no puede diferenciar entre un atacante y un usuario legítimo. Como tal, debe asegurarse de que ningún recurso legítimo se vincule al señuelo.

Puede incluir un comentario en el archivo robots.txt que indique que la entrada del señuelo es un señuelo. Esto debería disuadir a los usuarios legítimos de intentar saciar su curiosidad. También disuadiría a los piratas informáticos que están probando manualmente su sitio y potencialmente los irritaría. Algunos bots también pueden tener sistemas para tratar de detectar este tipo de cosas.

Otro método para reducir el número de falsos positivos sería exigir una interacción más profunda con el señuelo. En lugar de bloquear a cualquiera que incluso cargue la página del honeypot, puede bloquear a cualquiera que luego interactúe más con ella. Una vez más, la idea es hacer que parezca legítimo, mientras que en realidad no lleva a ninguna parte. Hacer que su honeypot sea un formulario de inicio de sesión en /admin es una buena idea, siempre y cuando no pueda iniciar sesión en absoluto. Hacer que luego inicie sesión en lo que parece un sistema legítimo pero que, de hecho, está más profundo en el señuelo, sería más un señuelo de alta interacción.

Conclusión

Un honeypot es una trampa. Está diseñado para parecer que podría ser útil para un pirata informático, mientras que en realidad es inútil. Los sistemas básicos simplemente bloquean la dirección IP de cualquiera que interactúe con el honeypot. Se pueden utilizar técnicas más avanzadas para guiar al hacker, potencialmente durante un largo período de tiempo. El primero se suele utilizar como herramienta de seguridad. Este último es más una herramienta de investigación de seguridad, ya que puede brindar información sobre las técnicas del atacante. Se debe tener cuidado para evitar que los usuarios legítimos interactúen con el señuelo. Tales acciones resultarían en el bloqueo del usuario legítimo o enturbiarían la recopilación de datos. Por lo tanto, el honeypot no debe estar relacionado con la funcionalidad real, sino que debe poder ubicarse con un esfuerzo básico.

Un honeypot también puede ser un dispositivo implementado en una red. En este escenario, está separado de todas las funciones legítimas. Nuevamente, estaría diseñado para que parezca que tiene datos interesantes o confidenciales para alguien que escanea la red, pero ningún usuario legítimo debería encontrarlos. Por lo tanto, cualquiera que interactúe con el honeypot es digno de revisión.



Leave a Comment

Qué Hacer Si Powerbeats Pro No Carga en el Estuche

Qué Hacer Si Powerbeats Pro No Carga en el Estuche

Si tus Powerbeats Pro no cargan, utiliza otra fuente de energía y limpia tus auriculares. Deja el estuche abierto mientras cargas tus auriculares.

Fundamentos de Impresión 3D: Una Lista de Verificación de Mantenimiento Imprescindible

Fundamentos de Impresión 3D: Una Lista de Verificación de Mantenimiento Imprescindible

Mantener tu equipo en buen estado es fundamental. Aquí hay algunos consejos útiles para mantener tu impresora 3D en óptimas condiciones.

Canon Pixma MG5220: Escanear Sin Tinta

Canon Pixma MG5220: Escanear Sin Tinta

Cómo habilitar el escaneo en la Canon Pixma MG5220 cuando se queda sin tinta.

5 Razones por las Que Tu Portátil Se Está Sobrecalentando

5 Razones por las Que Tu Portátil Se Está Sobrecalentando

Descubre algunas de las posibles razones por las que tu portátil se está sobrecalentando, junto con consejos y trucos para evitar este problema y mantener tu dispositivo fresco.

Cómo instalar un SSD en PCs de escritorio y portátiles

Cómo instalar un SSD en PCs de escritorio y portátiles

¿Acabas de comprar un SSD con la esperanza de mejorar el almacenamiento interno de tu PC, pero no sabes cómo instalarlo? ¡Lee este artículo ahora!

Cómo solucionar el código de error 0xC272008F de GeForce Now

Cómo solucionar el código de error 0xC272008F de GeForce Now

Te estás preparando para una noche de juegos y va a ser una gran noche: acabas de conseguir “Star Wars Outlaws” en el servicio de streaming GeForce Now. Descubre la única solución conocida que te muestra cómo arreglar el error 0xC272008F de GeForce Now para que puedas empezar a jugar los juegos de Ubisoft nuevamente.

Fundamentos de la Impresión 3D: Consejos de Mantenimiento para su Impresora 3D

Fundamentos de la Impresión 3D: Consejos de Mantenimiento para su Impresora 3D

Mantener sus impresoras 3D es muy importante para obtener los mejores resultados. Aquí hay algunos consejos importantes a tener en cuenta.

Cómo encontrar la dirección IP de una impresora

Cómo encontrar la dirección IP de una impresora

¿Tienes problemas para averiguar cuál es la dirección IP de tu impresora? Te mostraremos cómo encontrarla.

Cómo usar AirPods con teléfonos Samsung

Cómo usar AirPods con teléfonos Samsung

Si tienes dudas sobre si comprar AirPods para tu teléfono Samsung, esta guía te ayudará. La pregunta más obvia es si son compatibles, y la respuesta es: ¡sí, lo son!

Solución de problemas de Roku no actualiza el software

Solución de problemas de Roku no actualiza el software

Asegúrate de que tu dispositivo Roku funcione correctamente actualizando el software. Aquí tienes soluciones efectivas para el problema de actualizaciones de Roku.