spanish honeynet project
DESCRIPTION
TRANSCRIPT
The Spanish Honeynet Project 1
The Spanish Honeynet Project
Raúl Siles ([email protected])
FIST Conference Febrero/Madrid 2005
The Spanish Honeynet Project 2
Agenda
• Honeynets• The Honeynet Project• The Spanish Honeynet Project• Presente y futuro
The Spanish Honeynet Project 3
Ponente
• Raúl Siles• Ingeniero Informático – UPM• Consultor Técnico de Seguridad HP• CCNP, GCIH, GCIA, GSNA, GCUX,
GCFW, GCFA• GSE
The Spanish Honeynet Project 4
Honeynets
• Problema• Conceptos básicos• Características• Lecciones aprendidas• Honey-things• Aspectos legales• Honeynets: productos comerciales
(03:00)
The Spanish Honeynet Project 5
Honeynets: problema
¿Cómo podemos defendernos contra un enemigo, cuando ni siquiera sabemos
quién es?
Aprendiendo cuales son las herramientas, tácticas y motivacionesde la comunidad blackhat, y compartiendo las lecciones aprendidas.
The Spanish Honeynet Project 6
Honeynets: conceptos (1)
• Redes trampa• Fuera de producción (< falsos
positivos)• Tráfico ilegítimo por naturaleza• Valor principal: información• Nuevos ataques• Comunicaciones encriptadas o IPv6
The Spanish Honeynet Project 7
Honeynets: conceptos (2)
• Interacción: – Baja: emulación (honeyd)– Alta: sistemas reales – RIESGO –
• Generaciones: – Gen I (routing + NAT)– Gen II (bridging)
• Honeypots reales y virtuales
The Spanish Honeynet Project 8
Honeynets: conceptos (3)
Imag
en e
xtra
ída
de:
http
://w
ww
.hon
eyne
t.or
g/sp
eaki
ng/h
oney
net_
proj
ect-
2.1.
2.pp
t.zi
p
The Spanish Honeynet Project 9
Honeynets: características
• Control de datos• Captura de datos• Análisis de datos
The Spanish Honeynet Project 10
Honeynets: control
Internet
Honeywall
Honeypot
Honeypot
No Restrictions
Connections Limited Packet Scrubbed
Imagen extraída de: http://www.honeynet.org/speaking/honeynet_project-2.1.2.ppt.zip
The Spanish Honeynet Project 11
Honeynets: captura (1)
Imagen extraída de: http://www.honeynet.org/tools/sebek/sebek_intro.png
The Spanish Honeynet Project 12
Honeynets: captura (2)
Imagen extraída de: http://www.honeynet.org/speaking/honeynet_project-2.1.2.ppt.zip
The Spanish Honeynet Project 13
Honeynets: análisis
• Análisis forense de red• Análisis forense de sistema• Malware: ingeniería inversa
The Spanish Honeynet Project 14
Honeynets: lecciones aprendidas
• Chantaje mediante DDoS• Redes de intercambio de tarjetas
de crédito• Evolución de honeypots Linux
The Spanish Honeynet Project 15
Honey-things
• Honeypots• Honeynets• Honeytokens• Honeypots cliente…
The Spanish Honeynet Project 16
Honeynets: aspectos legales
• Monitorización de datos– Cabeceras– Contenidos
• Daños colaterales: responsabilidad• Evidencias forenses
The Spanish Honeynet Project 17
Honeynets: productos comerciales
• Open-source• Symantec Decoy Server (ManTrap)• NetBait• PatriotBox, KFSensor, Specter IDS
http://www.tracking-hackers.com/solutions/
The Spanish Honeynet Project 18
The Honeynet Project
http://www.honeynet.org1999-2005 (4 fases)
Lance Spitznerhttp://www.honeypots.com
The Spanish Honeynet Project 19
The Honeynet Project (2)
• Documentación: “Known Your Enemy” (KYE)http://www.honeynet.org/papers/
The Spanish Honeynet Project 20
The Honeynet Project (3)
• Herramientas:http://www.honeynet.org/tools/
- Honeywall (CD-ROM)- Control- Captura- Análisis
The Spanish Honeynet Project 21
The Honeynet Project (4)
• Desafíos (Challenges):http://www.honeynet.org/misc/chall.html
- SotM (+30) – 2004: “SotM32”- Reverse (posición 11) - 2002- Forensic (posición 10) - 2001
The Spanish Honeynet Project 22
The Honeynet Project: Research Alliance
http://www.honeynet.org/alliance/(20 organizaciones)
• Mailing list (“Honeypots”):http://www.securityfocus.com/archive
The Spanish Honeynet Project 23
The Spanish Honeynet Project
http://www.honeynet.org.es
• Objetivos• Miembros• Recursos• Proyectos futuros
The Spanish Honeynet Project 24
SHP: Objetivos
The Spanish Honeynet Project 25
SHP: Miembros
• Diego González Gómez (*) - HIS• Javier Fernández-Sanguino• Jorge Ortiz• Raúl Siles• David Pérez
The Spanish Honeynet Project 26
SHP: Recursos
• Documentación• Herramientas/Scripts• Informes
The Spanish Honeynet Project 27
SHP: Proyectos futuros
• Consolidación del entorno• Honeynet SPAM• Honeynet Wi-Fi (802.11)• Honeypots cliente
The Spanish Honeynet Project 28
Presente y futuro (1)
• Honeynets distribuidas• Phishing, IPV6, bots…• Honeypots cliente• Honeypots avanzados:
– Sistema y aplicaciones– DNS, Google…
The Spanish Honeynet Project 29
Presente y futuro (2)
• HoneyWall: – eeyore – v0.69 – roo
• Correlacción de información: Hflow y Walleye
• Entornos de producción en España
The Spanish Honeynet Project 30
¡¡Muchas gracias!!
¿Preguntas?
FIST Conference Febrero/Madrid 2005
The Spanish Honeynet Project 31
Attribution-NonCommercial-NoDerivs 2.0
You are free:to copy, distribute, display, and perform the work Under the following conditions:
Attribution. You must give the original author credit.
Noncommercial. You may not use this work for commercial purposes.
No Derivative Works. You may not alter, transform, or build upon this work.
For any reuse or distribution, you must make clear to others the license terms of this work. Any of these conditions can be waived if you get permission from the author. Your fair use and other rights are in no way affected by the above.This is a human-readable summary of the http://creativecommons.org/licenses/by-nc-
nd/2.0/.