Honeypot VoIP Artemisa

El proyecto Artemisa es un honeypot VoIP/SIP desarrollado en Python. Está diseñado para conectarse a un dominio VoIP de la empresa como backend de agente de usuario para detectar actividad maliciosa en un estado temprano. Aún más, el honeypot puede jugar un papel importante en el ajuste de las políticas de seguridad del dominio donde se ha desplegado.

El funcionamiento es simple ya que Artemisa debería funcionar como un agente de usuario convencional de un dominio VoIP/SIP. Para conseguir esto, se proporciona una serie de ficheros de configuración modulares donde el administrador puede establecer los parámetros de la conexión así como el comportamiento de Artemisa. El servidor SIP registrar del dominio debería estar configurado también con la finalidad de permitir a Artemisa registrarse como un conjunto de extensiones (por ejemplo 5 extensiones de la 401 a la 405). Una vez Artemisa se ha configurado y lanzado, lo cual se aconseja hacer en una máquina separada o virtual, se mantiene escuchando y esperando actividad SIP. Normalmente, NO se espera ver actividad SIP en el honeypot, tal como una llamada, puesto que el honeypot no representa un ser humano. Por tanto, cualquier llamada o mensaje que llegue al honeypot es sospechoso y se analiza.
El análisis implica el uso de diferentes técnicas y herramientas de terceros para determinar y clasificar la naturaleza del mensaje. Cuando el mensaje se clasifica y se obtiene una conclusión. Artemisa lo reporta de diversas maneras tales como ejecutar scripts configurables por el usuario y enviar informes por correo electrónico. Los scripts configurables por Artemisa permiten al administrador de dotar a Artemisa de suficiente poder para ajustar las políticas de dominio en tiempo real.

Podríamos llegar a pensar que Artemisa es la competencia directa de VoIP honey, aunque podríamos decir que tienen finalidades diferentes y nos hemos marcado objectivos diversos aunque no contrapuestos, ya que mientras Artemisa es un honeypot VoIP enfocado mayoritariamente a entornos de producción, VoIP honey permite implementaciones más flexibles entre las cuales se incluye por ejemplo actividades de investigación. Después de hablar sobre el proyecto VoIP honey con Rodrigo do Carmo (desarrollador de Artemisa) estamos a la espera de unir esfuerzos para lograr la interoperabilidad de Artemisa con VoIP honey pudiendo Artemisa formar parte (si el usuario así lo desea) del conjunto de herramientas VoIP honey. Todo ello a nivel de plugins que permitan configurar Artemisa como un honeypot externo aunque integrado en la solución VoIP honey.

Después de realizar una serie de pruebas y de examinar la documentación del código esperamos continuar avanzando en esta dirección para lograr una completa integración de Artemisa en VoIP honey.

URL para hacer trackback a este post:

http://bytecoders.net/trackback/825