Fecha: 20 de abril de 2024
Un Honeypot, más conocido como “sistema trampa” o “señuelo”, está ubicado en una red o sistema informático con el objetivo de aportar información sobre actividades maliciosas y ayudar con esta inteligencia a prevenir un posible ataque al sistema informático.
La función principal de esta herramienta es detectar y obtener información de actividad maliciosa o definitivamente de un ataque informático, y, sobre todo, de dónde procede para posteriormente tomar las medidas de seguridad necesarias.
Actualmente los honeypot son realmente potentes y nos permiten «simular» el comportamiento real de un sistema, haciendo creer a los ciberatacantes que han entrado a un sistema real, y que es fácil hacerse con el control. Sin embargo, estarán en un sistema aislado donde nosotros podremos ver exactamente qué es lo que están haciendo y qué vulnerabilidades están intentando explotar.
A continuación, mencionaremos diferentes opciones como sugerencia para ubicación de una HoneyPot en la red de las organizaciones.
Ubicaciones de los HoneyPot:
- HoneyPot antes del Firewall: En esta ubicación es en la que menos riesgo se suministra a la red, ya que, al encontrarse fuera de la zona protegida por el Firewall, puede ser atacado sin ningún tipo de peligro para el resto de la red.
- HoneyPot después del Firewall: En esta ubicación el acceso al Honeypot está dirigido por las reglas de filtrado del firewall, su ubicación permite la detección de los atacantes internos.
- HoneyPot en la zona desmilitarizada: Esta es una de las mejores ubicaciones, ya que permite detectar ataques externos e internos; para esto se requiere de una reconfiguración del Firewall.
La ubicación final del Honeypot dependerá principalmente de los requerimientos que tenga la organización basándose en los objetivos y metas del negocio.
Ventajas de una HoneyPot :
- Las HoneyPot son una tecnología con un concepto muy simple y con una fortaleza muy poderosa.
- Los recursos necesarios a utilizar son mínimos, de esta forma se puede implementar una plataforma lo suficientemente potente para operar a gran escala.
- Trabaja en entornos sobre IPv6, es decir, el Honeypot detectará un ataque sobre IPv6 de la misma forma que lo hace con un ataque sobre Ipv4.
- El tráfico cifrado dirigido a los sistemas Honeypot es fácil de analizar.
- A diferencia de dispositivos como firewalls, IDS o IPS, los honeypots recopilan pocos datos, por lo que son de muy alto valor.
El análisis de los datos recopilados es muy fácil y permite una reacción más rápida. Además, proporcionan información sobre el atacante, como su metodología, sus herramientas e inclusive su propósito y grado de conocimiento.
- Una HoneyPot permite justificar no solo su valor, sino también el del resto de los otros dispositivos de seguridad, ya que evidencia que las amenazas están presentes y los ataques son constantes.
- Puede distraer a los atacantes y dar tiempo al personal de TI y seguridad a proteger lo que realmente importa.
Desventajas de una HoneyPot :
- Tienen un campo de visión estrecho, solo ven aquella actividad que está dirigida contra ellos. Si un atacante irrumpe en una red y ataca una variedad de sistemas, una HoneyPot será inconsciente de la actividad a menos que sea atacado directamente.
- Los Honeypots pueden llegar a constituir un riesgo potencial para la red, esto debido a la atracción que se genera a los posibles atacantes, es por ello que si no se configura adecuadamente el alcance del Honeypot y se convierte en un entorno controlado y cerrado, puede ser utilizado como punto de inicio para ataques a otras redes o incluso a la misma ubicación de los Honeypots en la red.
- Un honeypot no es una solución que se configure una vez y se la deje en producción, requiere mantenimiento y supervisión para poder sumar valor a la entidad, así como personal y tiempo dedicado al análisis de ataques recibidos.
Tags:
jails
honeypot
hackers