Para todas las organizaciones comerciales en Internet, los virus, gusanos y crackers son solo algunas amenazas de seguridad. Sobre todo, no podemos saber cuándo, dónde y cómo se verán comprometidos nuestros datos o cualquier otra información valiosa. Lo único que podemos hacer para garantizar la seguridad de nuestros datos es tomar medidas preventivas. Los Honeypots son uno de esos software preventivos que se emplean en una red para estudiar el rastro de accesos no autorizados y al mismo tiempo alertar al administrador de la red de una posible intrusión. En realidad, se trata de una trampa tendida para detectar intentos de uso no autorizado de los sistemas de información. El atacante siempre piensa que está extrayendo información útil pero, a su vez, un sistema de trampa instalado lo aleja de los recursos críticos y lo atrapa siguiendo su rastro. El valor de un Honeypot radica en el uso no autorizado e ilícito de ese recurso.
La idea detrás de un honeypot es configurar un sistema de "señuelo" que tenga un sistema operativo no reforzado o uno que parezca tener mucha vulnerabilidad para acceder fácilmente a sus recursos. Un Honeypot puede detectar ataques capturando código polimórfico, capturando una variedad de ataques, trabajando con datos encriptados y adquiriendo firmas. Los honeypots son una valiosa herramienta de vigilancia y análisis forense de redes, pero al mismo tiempo pueden conllevar riesgos para una red y deben manejarse con cuidado. Requiere una cantidad considerable de administración de red y comprensión del protocolo y la seguridad.
Honeypot funciona en 2 modos
Modo de investigación :como sugiere el nombre, en este modo el software intenta caracterizar el entorno según las motivaciones del atacante, las tendencias de ataque y las amenazas emergentes.
Modo de producción :Este es el lugar donde se está realizando todo el trabajo de prevención. En este momento, el honeypot se utiliza para prevenir, detectar y responder a los ataques. La prevención se logra mediante la disuasión y desviando al atacante para que interactúe con el "señuelo" en lugar de con los archivos críticos.
¿Cómo funciona Honeypot?
Los honey pots generalmente se basan en un servidor real, un sistema operativo real y datos que parecen ser reales. Una de las principales diferencias es la ubicación de la máquina en relación con los servidores reales. La actividad más importante de un honeypot es capturar los datos, la capacidad de registrar, alertar y capturar todo lo que hace el malo. La mayoría de las soluciones trampa, como Honeyd o Spectre, tienen sus propias capacidades de registro y alerta. Esta información recopilada puede resultar bastante crítica contra el atacante.
Ventajas:
- Conjunto de datos relevantes :Aunque los Honeypots recopilan una pequeña cantidad de datos, casi todos estos datos son ataques reales o actividades no autorizadas.
- Reducción de falsos positivos :Con la mayoría de las tecnologías de detección (IDS, IPS) un gran porcentaje de alertas son falsas advertencias, mientras que con Honeypots este no es el caso.
- Económico :Honeypot solo interactúa con actividades maliciosas y no requiere recursos de alto rendimiento.
- Simplicidad :Los Honeypots son muy simples de entender, implementar y mantener.
Desventajas:
- Vista limitada :Los Honeypots solo ven actividades que interactúan con ellos y no capturan ataques, dirigidos contra otros sistemas existentes.
- Riesgo de verse comprometido :Un Honeypot puede usarse como plataforma para lanzar más ataques.
Al final, no estaría mal decir que los honeypots son buenos recursos para rastrear a los atacantes, y su valor radica en ser atacados. Pero al mismo tiempo, debido a las desventajas mencionadas anteriormente, los Honeypots no pueden reemplazar ningún mecanismo de seguridad; solo pueden trabajar para mejorar la seguridad general.