Honeypots en la securización de redes científicas I

Introducción

¿Qué es un honeypot?

Un honeypot es una trampa destinada a emular con distinto grado de interacción un servicio, máquina o infraestructura de red. Entre los muchos medios de los que dispone el especialista/investigador de seguridad informática, tienen especial relevancia como mecanismo de detección de amenazas y recopilación de material empleado en estas.

El objetivo de este artículo y los siguientes es el de divulgar mi experiencia con dichas herramientas y el análisis de la información que se recopiló durante casi tres años trabajando en su implantación en la red informática de la Universidad de Granada, y que finalmente terminó siendo mi proyecto final de carrera. Creo que podrá ser de interés al lector por dos motivos, por un lado son herramientas no tan populares como los tradicionales sistemas de detección de intrusiones (IDS/IPS), pero que tienen un enorme potencial, y por otro  al tratar un escenario como es una red científica, que tiene aspectos muy distintos al de las tradicionales redes corporativas.

Ventajas aportadas por los honeypot

No es mi intención destacar la mayor o menor conveniencia de estas herramientas frente a otras, pues no tiene sentido. La seguridad es algo global en una infraestructura de red que debe ser  contemplada a todos los niveles haciendo uso simultáneo de múltiples soluciones. Dicho esto cabe destacar que los honeypots tienen ciertas propiedades que han sido sumamente beneficiosas en este escenario:

  • Para empezar son elementos de detección pasiva, es decir, no implican un análisis activo del tráfico que circula por la red. Esto resulto crucial, porque una de las restricciones más fuertes con la que nos encontramos en una red científica, es la de evitar el peliagudo tema de la intromisión en privacidad de las comunicaciones. El usuario no es un empleado trabajando con medios de la empresa en tareas de la misma, si no personal investigador, estudiantes, personal laboral, empresas externas con contratos en el desarrollo e implantación de algún servicio etc, que son susceptibles de verse “heridos” por intromisión en sus comunicaciones.
  • Otra característica de este tipo de redes es la no seguir una distribución tradicional por zonas como se trata la teoría de seguridad perimetral. Mientras que la empresa reduce, en la medida de lo posible, a la mínima expresión su zona desmilitarizada (DMZ), en una red científica la DMZ puede llegar a alcanzar un tamaño gigantesco. Ya no solo tenemos segmentos de red privada con acceso desde y hacia el exterior, si no también segmentos completos de subredes públicas. Esto supone a priori un volumen de tráfico, que más que pese a los fabricantes de soluciones IDS por hardware, o es inmanejable o la solución no tiene un coste asumible.

¡Manos a la obra!

Material del experimento

Como parte del proyecto final de carrera monte dos honeypot, uno es el prototipo, la máquina de desarrollo de los honeypot en producción, el otro es una versión sobre Raspberry Pi para poder trabajar en casa en la línea de lo que  ido haciendo de cara a mi trabajo final de master. Los podéis descargar de aquí para ponerlos como hosts DMZ si queréis echar un vistazo a que se “cuece” ahí fuera.

  • instrucciones.txt 2 KB
https://mega.co.nz/#!3YYCyAxC!E-x2NCYwwC4ilNrYV-Vok1VaTJg-T6aiDRscJxo8-hg
  • zetsu.zip 2.82 GB
https://mega.co.nz/#!2NYkXCjK!M-t0Lk86frn811FScBHwRQcV4uglj47PuK9N10RwnWU
  • zetsuPi.zip 1.84 GB
https://mega.co.nz/#!PcoFwILZ!NY0vkEACYBzYNKdPhRwQ_XWiC2oXfM09-pW4BumHYxY Distribución de trampasBien se acabaron las presentaciones, vamos a describir el escenario y ver lo que se nos presentó al otro lado del cable. Este es el esquema conceptual del sistema de detección que nutre el  Gestor de la Seguridad de la Información y Eventos, S.I.E.M para los amigos.

“Abre los ojos”

En cuanto se activaron los honeypot comenzaron notificar de numerosos incidentes de distinta naturaleza, y lo más divertido, tanto de origen interno como externo, teníamos al enemigo paseando por casa y con los medios empleados hasta el momento estaba pasando bastante desapercibido. Aquí va una muestra, vinculada a solo una subred de las que compone la Universidad de Granada. Recuerdo que estos resultados son susceptibles de ser extrapolados al del resto de subredes e incluso al de otras universidades andaluzas pues están en el marco de la red R.I.C.A, la cual tiene asignado el rango de direccionamiento 150.214.x.y/16.

Estas son algunas de las conclusiones que podemos extraer:

  • El mayor origen de amenazas, como cabría esperar, viene del exterior. Quiero hacer énfasis en que estos datos son en el transcurso de dos años, si viéramos  los datos por intervalos de meses veríamos que al principio había menos diferencia pero conforme los honeypots fueron haciendo su trabajo el porcentaje de incidentes de origen interno  quedo reducido a los niveles que se muestra.
  • Dependiendo del tipo y origen de la amenaza varía su influencia sobre la red. Por un lado las principales de origen externo son la búsqueda de credenciales ssh, en cambio internamente lo que destaca son incidentes de propagación de malware. Y ojo estamos hablando cuantización de amenazas, no de cualificación, las repercusión de una amenaza cuantitativamente inferior puede ser gravísima.
  • De lo anterior seguramente quien este familiarizado con seguridad ya habrá sacado algunas ideas implícitas más. El peligro interno más destacado eran los propios usuarios que conectaban con Windows sin actualizar y sin cortafuegos. El peligro externo es sin lugar a dudas la búsqueda de equipos con credenciales débiles con objetivo de robar información, zombificarlo o pivotar a los vecinos del equipo que había comprometido, ahora que queda más claro de dónde vienen los incidentes ssh internos que han ocurrido y por supuesto porque tienen tanta repercusión pese al escaso número.

En el siguiente artículo entrare más en profundidad en la descripción del origen de las amenazas, las intencionalidades más o menos evidentes que podemos encontrar detrás de ellas y qué medidas más inmediatas de contingencia.

Artículo cortesía de Juan Luis Martin Acal.