honeynet

Temas y proyectos relacionados con honeynets

VoIP Honey is growing

Hemos estado algunos días callados, así que tal vez ha llegado el momento de avisar y decir a todo el mundo que el proyecto VoIP Honey no está muerto. Aún es más, nunca había estado tan vivo como ahora. Pocas líneas de código se han añadido o quitado últimamente, básicamente nos hemos dedicado a documentar código y a hacer un hueco en el mundo para nuestro honeypot VoIP.

Nosotros como desarrolladores hemos propuesto formar parte del Spanish Honeynet Project, y al parecer el grupo ha considerado oportuna esta petición lo que ha permitido una rápida expansión del proyecto.

Implicaciones legales de una Honeynet, la polémica

Ciertamente existe gran cantidad de información en la red sobre posibles implicaciones legales de una honeynet. Los temas legales, son temas de los que desconozco muchas cosas, que no me interesan en absoluto pero que como a todo el mundo me preocupan y siento la obligación de profundizar en ello por sus posibles consecuencias.

En el anterior post sobre Implicaciones legales de una Honeynet, tal vez uno de los puntos más polémicos es el de la privacidad de los datos. SirLouen nos comenta:

"Es curioso este tema.

De hecho creo que no deberíamos de tener ni casa ni hogar, no vaya a ser que un ladrón entre a robar y se le caiga el DNI o el Móvil sin querer y estemos violando su privacidad :)"

VoIP Honey website revamped

Es para nosotros un gran placer anunciar que el proyecto VoIP Honey dispone de un nuevo sitio web. Nada especial, aunque no obstante es el punto central de toda la información disponible sobre el proyecto.

El sitio web nos ofrece información sobre el acceso a el estado actual del proyecto además de toda la documentación disponible actualizada, feeds RSS sobre las evoluciones del proyecto, listas de correo, trackers y foros de soporte.

ATENCIÓN: El proyecto VoIP Honey está en un estado inicial muy básico y tan solo se aconseja usarlo para probar el comportamiento del honeywall en entornos de red estrictamente controlados sin conexión directa a Internet (por ejemplo máquinas virtuales), cuando esto sea posible tenga por seguro que nosotros seremos los primeros en hacerlo asumiendo este riesgo. Debe tener en cuenta que operar un honeypot puede tener implicaciones legales en algunos países.

Implicaciones legales de una Honeynet

Una honeynet nos ayuda a proteger una red corporativa, analizar los ataques que recibimos, en definitiva los estudios de intrusión que podemos realizar tienen un finalidad educacional y permiten evitar ataques similares estudiando a los atacantes.

No obstante debemos tener en cuenta que el hecho de tener una honeynet funcionando puede tener implicaciones legales, por tanto debemos ir con mucho cuidado en ese aspecto. Hay que tener en cuenta que una honeynet o mejor dicho un honeypot tiene implicaciones legales. Los problemas principales que pueden acarrear estos sistemas incluyen complicidad, protección de datos y responsabilidades por cualquier daño causado desde el honeypot.

Dicho esto, hay que tener siempre presente que la honeynet (con todos sus elementos incluyendo el honeypot) debe estar muy bien limitada y debe restringirse las acciones que pueden realizarse desde la misma con la finalidad de evitar daños a otras redes.

VoIP Honeywall

Un honeywall se encarga de filtrar y analizar el tráfico de red y es una parte fundamental de una HoneyNet. Generalmente se trata de un servidor dedicado a dicha tarea pero también podría implementarse en una máquina virtual o bien como un proceso aparte escuchando en una IP concreta.

En el caso de una red VoIP implementada usando el protocolo SIP, un honeywall debe centrarse en analizar el tráfico SIP filtrando los paquetes según nuestra configuración (la más común suele ser UDP sobre el puerto 5060) aunque también es posible usar TCP y TLS. Algo de la que ya Saghul, gurú de la seguridad en VoIP seguramente ya conocido por muchos, ha hablado en varias ocasiones.

Tal vez la forma más visual de ver la operación de un honeywall es situándolo en un diagrama:

Planificación de un honeypot VoIP

Un Honeypot es un elemento de seguridad en la red que permite emular un conjunto de máquinas y servicios para llamar la atención de un atacante. Esto permitirá que el intruso intente acceder a máquinas inexistentes que emulan servicios en lugar de las máquinas que alojan los servicios reales además de registrar los intentos de acceso y la IP del atacante.

Para crear un honeypot VoIP crearemos falsas máquinas que escucharán en los puertos SIP, IAX ... emulando servicios reales no seguros

Tarros de miel para los malos

Acabo de llegar de los seminarios donde hemos estado viendo la configuración del ASA (Adaptative Seurity Appliance) serie 5500 de Cisco, la verdad es que los aparatos están bastante bien, ya que nos permiten filtrar tráfico en la red entre otras cosas y hemos podido ver como configurar usando el CLI (Command Line Interface) o con ASDM (Adaptative Security Device Manager), configurar ACL (Access Control Lists), SSL VPN (Virtual Private Network sobre Secure Sockets Layer) la cuál no necesita de un cliente ya que bastará con un navegador web, y finalmente Application Inspector.

No obstante lo más curioso (para mí) ha sido la introducción de un término que hasta el momento desconocía: los Honeypot. Hemos estado usando Back Officer para abrir puertos de prueba.

Distribuir contenido