Honeypot Investigacion para la seguridad Que es un honeypot: Sistema de seguridad, simulacion de red virtual Que es un honeynet: Honeynet honeypot con mucha interacción para la investigación, recogiendo información de los intrusos. Diseñados para engañar o detectar ataques. Una red de honeypots
V Congreso Nacional de Software Libre GNU/Linux HONEYPOT INVESTIGACION PARA LA SEGURIDAD Uso de una Honeynet: Sistemas de Detección de Intrusiones, cifrado; todos estos mecanismos se usan defensivamente para proteger los recursos de alguien Como funciona : Usted crea una red , donde puede ver todo lo que ocurre dentro de ella
V Congreso Nacional de Software Libre GNU/Linux GEN I: Implementan el Control de Datos y la Captura de Datos con medidas simples GENII: Los mecanismos que acabamos de describir para el Control de Datos y la Captura de Datos son efectivos
V Congreso Nacional de Software Libre GNU/Linux
Herramientas:
Control de datos: Herramientas para controlar y contener la actividad de los atacantes. * rc.firewall. Script IPTables cuenta y controla las conexiones salientes en sistemas Linux. Esta nueva versión soporta GenI , GenII , y capacidades de QUEUE (colas), que puede trabajar junto con Snort_inline. Desarrollado y mantenido por Rob McMillen del Proyecto Honeynet.
* Snort_inline: (Sniffer) Trabaja junto con el script rc.firewall para inspeccionar, y actuar sobre paquetes entrantes y salientes. Snort_inline.conf: Fichero de configuración de Snort_inline. Script de inicio Snort_inline: Un script ejecutable utilizado para iniciar Snort_inline. Snort-Inline Toolkit: Un conjunto de herramientas que contiene un binario estático, precompilado de Snort_inline para Linux, con documentación, conjunto de reglas drop.rules, y el fichero de configuración snort_inline.conf. La idea es proporcionarte un paquete que sea fácil de instalar y listo para empezar.
SnortConfig: Script en Perl toma las reglas actuales de Snort y las convierte para utilizarlas por Snort-inline (drop, sdrop, replace). Tiene un gran número de opciones de configuración, incluyendo la habilidad para cambiar reglas basadas en fichero, classify, o sid.
Bridge / IPTable's patch: Este parche permitirá a tu IPTables en kernel 2.4.X trabajar en modo puente. La mayoría de los kernels no soportan esta característica, y necesitan este parche del kernel. Soportado por defecto por el kernel 2.6.X. Session Limit: Una modificación de la herramienta de cortafuegos de OpenBSD "pf". Te proporciona capacidades de control de límite de sesiones. Esto puede ser utilizado tanto a nivel 3 (enrutamiento) como a nivel 2 (modo puente). Desarrollado por el equipo de Brasil del la Alianza de Desarrollo Honeynet.
Limitación del Ancho de Banda en Honeypots: Varias tecnologías y opciones de configuración para crear latencia del ancho de banda de red o limitación. Utilizado para limitar cuántos paquetes salientes pueden enviar los chicos malos desde tu Honeynet.
Captura de datos Herramientas utilizadas para registrar y capturar toda la actividad de los atacantes. Utilidades de Snort: Herramientas para que Snort capture la actividad de los atacantes. * Fichero de configuración de snort que utiliza el Proyecto Honeynet. * Script de inicio de snort ejecutado diariamente en los gateways de una Honeynet. Esto permite asegurarse de que los registros y alertas de Snort se rotan de forma diaria.
Sebek: Esta es la principal utilidad que utiliza el Proyecto Honeynet para capturar la actividad en los honeypots (Sistemas trampa). Bash Patch: Este parche trabaja con bash 2.05b. Modifica el shell /bin/bash para enviar todas las pulsaciones de teclado del usuario vía UDP a la red. Este parche no depende de syslogd para enviar los paquetes. Es una versión actualizada del parche de bash de Anton Chuvakin.
Recolección de datos: Herramientas utilizadas para recoger y relacionar datos provenientes de múltiples Honeynets. * Upload Script. Script utilizado por los miembros del Honeynet para sanear y subir datos a una base de datos central de forma diaria. Este script sube dos conjuntos de datos, los registros de cortafuegos de IPTable y los ficheros de registro binarios de Snort.
* Obfugator 0.9.1. Herramienta utilizada para sanear los registros de sistema, que incluye no sólo las cabeceras de los paquetes, sino también datos incluidos en los mismos.
Obfugator 0.9.1. Herramienta utilizada para sanear los registros de sistema, que incluye no sólo las cabeceras de los paquetes, sino también datos incluidos en los mismos. Analisis de Datos: Herramientas que permiten hacer analisis forence.
V Congreso Nacional de Software Libre GNU/Linux
FIN...... Gracias