¿Qué es un Honeypot?

Si conecta una computadora a Internet abierta sin ningún tipo de filtro de tráfico entrante, generalmente comenzará a recibir tráfico de ataque en minutos. Tal es la escala de los ataques automatizados y el escaneo que ocurre constantemente en Internet. La gran mayoría de este tipo de tráfico está completamente automatizado. Son solo bots que escanean Internet y tal vez prueban algunas cargas aleatorias para ver si hacen algo interesante.

Por supuesto, si ejecuta un servidor web o cualquier otra forma de servidor, necesita que su servidor esté conectado a Internet. Dependiendo de su caso de uso, es posible que pueda usar algo como una VPN para permitir el acceso solo a usuarios autorizados. Sin embargo, si desea que su servidor sea de acceso público, debe estar conectado a Internet. Como tal, su servidor se enfrentará a ataques.

Puede parecer que básicamente tienes que aceptar esto como parte del curso. Afortunadamente, hay algunas cosas que puedes hacer.

Implementar un honeypot

Un honeypot es una herramienta diseñada para atraer a los atacantes. Promete información jugosa o vulnerabilidades que podrían conducir a información, pero es solo una trampa. Un honeypot se configura deliberadamente para atraer a un atacante. Hay algunas variedades diferentes dependiendo de lo que quieras hacer.

Se avanza un honeypot de alta interacción. Es muy complejo y ofrece muchas cosas para mantener ocupado al atacante. Estos se utilizan principalmente para la investigación de seguridad. Permiten al propietario ver cómo actúa un atacante en tiempo real. Esto se puede utilizar para informar las defensas actuales o incluso futuras. El objetivo de un honeypot de alta interacción es mantener ocupado al atacante el mayor tiempo posible y no delatar el juego. Para ello, son complejos de configurar y mantener.

Un honeypot de baja interacción es básicamente una trampa de colocar y olvidar. Por lo general, son simples y no están diseñados para ser utilizados en investigaciones o análisis profundos. En cambio, los honeypots de baja interacción están destinados a detectar que alguien está tratando de hacer algo que no debería y luego simplemente bloquearlo por completo. Este tipo de trampa es fácil de configurar e implementar, pero puede ser más propenso a falsos positivos si no se planifica cuidadosamente.

Un ejemplo de un honeypot de baja interacción

Si ejecuta un sitio web, una función con la que puede estar familiarizado es robots.txt. Robots.txt es un archivo de texto que puede colocar en el directorio raíz de un servidor web. Como estándar, los bots, especialmente los rastreadores de los motores de búsqueda, saben cómo verificar este archivo. Puede configurarlo con una lista de páginas o directorios que desea o no desea que un bot rastree e indexe. Los bots legítimos, como el rastreador de un motor de búsqueda, respetarán las instrucciones de este archivo.

El formato suele ser similar a "puedes mirar estas páginas, pero no rastrear nada más". A veces, sin embargo, los sitios web tienen muchas páginas para permitir y solo algunas quieren evitar el rastreo. Entonces toman un atajo y dicen “no mires esto, pero puedes rastrear cualquier otra cosa”. La mayoría de los piratas informáticos y bots verán "no mires aquí" y luego harán exactamente lo contrario. Entonces, en lugar de evitar que Google rastree su página de inicio de sesión de administrador, ha dirigido a los atacantes directamente a ella.

Sin embargo, dado que este es un comportamiento conocido, es bastante fácil de manipular. Si configura un honeypot con un nombre de aspecto sensible y luego configura su archivo robots.txt para decir "no mires aquí", muchos bots y piratas informáticos harán exactamente eso. Entonces es bastante simple registrar todas las direcciones IP que interactúan con el honeypot de cualquier manera y simplemente bloquearlas todas.

Evitar falsos positivos

En un buen número de casos, este tipo de trampa oculta puede bloquear automáticamente el tráfico de las direcciones IP que generarían más ataques. Sin embargo, se debe tener cuidado para garantizar que los usuarios legítimos del sitio nunca vayan al honeypot. Un sistema automatizado como este no puede diferenciar entre un atacante y un usuario legítimo. Como tal, debe asegurarse de que ningún recurso legítimo se vincule al señuelo.

Puede incluir un comentario en el archivo robots.txt que indique que la entrada del señuelo es un señuelo. Esto debería disuadir a los usuarios legítimos de intentar saciar su curiosidad. También disuadiría a los piratas informáticos que están probando manualmente su sitio y potencialmente los irritaría. Algunos bots también pueden tener sistemas para tratar de detectar este tipo de cosas.

Otro método para reducir el número de falsos positivos sería exigir una interacción más profunda con el señuelo. En lugar de bloquear a cualquiera que incluso cargue la página del honeypot, puede bloquear a cualquiera que luego interactúe más con ella. Una vez más, la idea es hacer que parezca legítimo, mientras que en realidad no lleva a ninguna parte. Hacer que su honeypot sea un formulario de inicio de sesión en /admin es una buena idea, siempre y cuando no pueda iniciar sesión en absoluto. Hacer que luego inicie sesión en lo que parece un sistema legítimo pero que, de hecho, está más profundo en el señuelo, sería más un señuelo de alta interacción.

Conclusión

Un honeypot es una trampa. Está diseñado para parecer que podría ser útil para un pirata informático, mientras que en realidad es inútil. Los sistemas básicos simplemente bloquean la dirección IP de cualquiera que interactúe con el honeypot. Se pueden utilizar técnicas más avanzadas para guiar al hacker, potencialmente durante un largo período de tiempo. El primero se suele utilizar como herramienta de seguridad. Este último es más una herramienta de investigación de seguridad, ya que puede brindar información sobre las técnicas del atacante. Se debe tener cuidado para evitar que los usuarios legítimos interactúen con el señuelo. Tales acciones resultarían en el bloqueo del usuario legítimo o enturbiarían la recopilación de datos. Por lo tanto, el honeypot no debe estar relacionado con la funcionalidad real, sino que debe poder ubicarse con un esfuerzo básico.

Un honeypot también puede ser un dispositivo implementado en una red. En este escenario, está separado de todas las funciones legítimas. Nuevamente, estaría diseñado para que parezca que tiene datos interesantes o confidenciales para alguien que escanea la red, pero ningún usuario legítimo debería encontrarlos. Por lo tanto, cualquiera que interactúe con el honeypot es digno de revisión.