Diseño preliminar de una honeynet para estudiar patrones de ataques en las redes de datos de la ESPOL

Abstract

En la actualidad las redes de datos se ven frecuentemente atacadas y vulneradas. Por lo tanto, es muy importante la elaboración de una estrategia correcta que nos permita tener un grado adecuado de protección hacia las mismas. Formando parte de dicha estrategia encontramos dispositivos de detección y bloqueos de ataques. Dentro del “arsenal de defensa” de las redes en el Campus Politécnico, podemos encontrar una gran gama de mecanismos como firewalls, sistemas de detección de intrusos (IDS), redes privadas virtuales (VPNs), listas de control de acceso, entre otras, las cuales trabajan como parte de un todo que ayuda a incrementar la seguridad de los sistemas. Sin embargo, todas estas medidas son de pura defensa de recursos, dejando a un lado la capacidad pro-activa que puede ayudar en un grado muy considerable. Un problema de los mecanismos de seguridad mencionados anteriormente, es que muchas veces no están correctamente configurados, y pueden dar una falsa sensación de seguridad. Para plantear las reglas correctas en firewalls, IDSs y ACLs, es imprescindible que el administrador de la red tenga una visión detallada y realista de los tipos de ataques a los que su red es susceptible. Con esta finalidad, los expertos en seguridades recomiendan un monitoreo constante de la red y la instalación de equipos configurados. Según su concepto, las Honeynets son mecanismos relativamente simples, donde se crea una red muy parecida a una “pecera”, en la cual podemos ver todo lo que ocurre en ella, los intrusos o hackers serán los “peces” que nadarán en el entorno virtual pero sin saber que son observados. Además igual que en una “pecera”, se puede agregar diferentes cosas las cuales nos ayudarán a monitorear al intruso mientras aprendemos de sus técnicas. Esta red de datos controlada se convierte en nuestra Honeynet. Las actividades capturadas nos enseñan las herramientas, motivos y tácticas usadas por los intrusos. Una Honeynet es un tipo concreto de Honeypot pero altamente interactivo, diseñado para la investigación y la obtención de información sobre atacantes. Una Honeynet es una arquitectura, no un producto concreto o un software determinado. Un honeypot o “tarro de miel” en el campo de la seguridad en redes de información se define como un recurso de la red que se encuentra voluntariamente vulnerable para que el atacante pueda examinarla, atacarla, etc. Directamente no es solución a ningún problema; su función principal es recoger información importante sobre el atacante que permita prevenir estas incursiones dentro del ámbito de la red real en casos futuros. Este trabajo consiste en presentar un diseño preliminar de una Honeynet en redes de la ESPOL, la cual nos proporcionará una visión más clara sobre los tipos de ataque que sufren nuestras redes de datos. Con el análisis de la arquitectura en las redes de datos de la ESPOL y considerando las distintas clases de Honeynets hemos elaborado un diseño preliminar que servirá de pauta para la implantación de una Honeynet y de fuente para un futuro análisis forense de los datos obtenidos. Algunos de nuestros objetivos para este proyecto son: • Elaboración del diseño preliminar de una Honeynet que será implantando en las redes de la ESPOL. • Proporcionar una herramienta de aprendizaje e investigación para cualquier curso de seguridad informática o de investigación que se esté realizando dentro de la ESPOL. • Adquirir experiencias sobre el uso de Honeynets en una ambiente real, recolección y análisis de datos. • Registrar y documentar las técnicas y herramientas usadas en la implantación de la honeynet así como de los datos obtenidos.