Licencia de la traducción

Se da permiso para copiar, distribuir y/o modificar este documento bajo los términos de la Licencia de Documentación Libre GNU (FDL), versión 1.2 o cualquier versión posterior publicada por la Free Software Foundation (Fundación para el Software Libre); este documento no tiene secciones invariantes, textos de portada ni de contraportada. Se incluye una copia de dicha licencia en la sección titulada "Licencia de Documentación Libre GNU".

Las honeynets (redes trampa) han demostrado su valor como herramienta de investigación en el área de la seguridad de la información (IA). Muchos investigadores y organizaciones de la comunidad de la seguridad, tanto pública como privada, están utilizando actualmente redes trampa para aprender las tácticas, técnicas y los procedimientos de la comunidad hacker. Desde el verano de 2002, los miembros del Honeynet Alliance en El Instituto de Tecnología de Georgia (Georgia Tech), implementaron con éxito una red trampa en la red interna para obtener información sobre hackers [1] y para ayudar a asegurar la red empresarial del campus. El propósito de este artículo es ayudar a organizaciones académicas a implementar redes trampa en entornos .edu, compartiendo las experiencias y lecciones aprendidas. Asumimos que ya ha leído y está familiarizado con los conceptos de una red trampa según lo discutido en el artículo CTE: honeynets.

La instalación de una red trampa en una red empresarial de gran tamaño, tal como las que se encuentran en una universidad importante, puede ofrecer numerosas ventajas a una institución. Según nuestra experiencia, hemos identificado dos ventajas principales. La primera es la capacidad de utilizar los datos recogidos como herramienta aprendizaje e investigación para cualquier tipo de curso de seguridad informática o de investigación que se esté realizando. Los profesores y los estudiantes pueden utilizar la red trampa como lugar de pruebas para sus clases o investigaciones. De hecho, un estudiante recibió recientemente su doctorado basándose en nuestra red trampa. La segunda, y para nosotros, la ventaja más significativa, es que puede servir como herramienta de seguridad de redes para mejorar drásticamente el nivel global de seguridad de la red de la institución. Por ejemplo, nuestra red trampa identificó más de 165 sistemas comprometidos en las redes de GA Tech, proporcionando información detallada sobre qué sistema fue comprometido, cómo, y potencialmente por quién. Más adelante, en el artículo explicaremos con mayor detalle las ventajas que nuestra red trampa ha proporcionado a GA Tech y su facultad, personal, y estudiantes.

Consiguiedo que el chico malo apruebe
Digamos que está interesado en la idea de desarrollar una red trampa en sus redes académicas internas, tanto con propósitos de investigación como de detección. ¿Por dónde se empieza? El primer paso que necesita llevar a cabo es el de conseguir una autorización. Una de las preocupaciones comunes en las redes trampa académicas es el permiso; ¿cómo se obtiene una autorización de la institución para implementarlas en las redes internas? Una de las cosas que hemos observado es que es necesario obtener permisos de varias organizaciones antes de establecer una red trampa en una universidad. Esto implica generalmente dos cosas; demostrar el valor de las redes trampa y abordar asuntos relacionados con la legalidad, la seguridad y la privacidad. Estas áreas deben ser tenidas en cuenta ya que usted no es el propietario de la red en la que va a instalar su red trampa. Debe coordinarse con los administradores de la red y los administradores de la universidad para asegurarse de que los asuntos mencionados previamente han sido tratados. Usted no querrá instalar una red trampa sin que los administradores de red tengan conocimiento de ello.

Por su valor, nosotros solicitamos inicialmente la instalación de nuestra red trampa con propósitos de investigación. Las redes trampa son un área fértil en temas de investigación que incluyen: bases de datos, agentes distribuidos, análisis de datos, tecnologías de agentes, fundamentos de redes y temas avanzados. Además, proporcionan abundantes colecciones de datos para investigación. No obstante, también demostraron rápidamente su valor en materia de detección. Pronto nos dimos cuenta de su papel como parte de la infraestructura de la seguridad de la universidad. El valor de las redes trampa se extiende más allá del laboratorio de investigación y del conjunto de herramientas de sistema/seguridad de los administradores. Como se detalla más adelante en el artículo, la implementación de redes trampa en GA Tech ha mejorado significativamente la postura en cyber-seguridad de la universidad.

La segunda área a tratar consiste en los asuntos sobre legalidad, seguridad y privacidad. Todos ellos son asuntos que los administradores de la red y la administración de la universidad pueden utilizar como justificación para negar el despliegue de la red trampa y deben ser tratados por adelantado. Casi con toda seguridad será necesario obtener el permiso de los administradores de la red del campus para establecer una red trampa en su institución. Algunos administradores pueden ser reacios a hacerlo, temiendo que una red trampa aumente las probabilidades de comprometer sus sistemas. Para ser sinceros, nosotros nos hemos encontrado con lo contrario aquí, en GA Tech. La red trampa puede proporcionar analistas adicionales para examinar el tráfico sospechoso que tiene lugar en la red del campus. Si se sigue el principio del control de datos, el peligro que representa una máquina de la red trampa utilizada para comprometer cualquier otra máquina del campus disminuye significativamente. La supervisión regular de los datos de la red trampa y el envío de informes sobre incidentes sospechosos a los administradores de la red les facilita las tareas relacionadas con el establecimiento de una red trampa. En nuestro caso, un administrador de la red (director técnico del proyecto de la rama de la seguridad de la red de la Oficina de las Tecnologías de la Información (OIT) del GA Tech) tuvo un papel activo en nuestra iniciativa, siendo co-autor de un reciente artículo titulado The use of a Honeynet to Detect Exploited Systems across Large Enterprise Networks. Este artículo es una discusión detallada de la utilidad de las redes trampa en redes, que puede ser utilizada para convencer a sus administradores de red sobre el valor de una red trampa para ayudar a asegurar la red del campus. Los administradores de la red del campus deberían proporcionarle direcciones IP localizadas dentro de la red de producción del campus.

Además de los elementos de seguridad técnica necesarios por el personal de red, la administración de la universidad tendrá que aprobar el despliegue de la red trampa. La administración se preocupará principalmente por asuntos legales y de privacidad. La mejor opción es obtener un informe de políticas que refleje las pautas legales y de procedimiento sobre el uso de redes trampa. Una de las preguntas legales hechas con más frecuencia es si la red trampa viola el Wiretap Act [2]. Esta cuestión ha sido resuelta por el Departamento de Justicia de los Estados Unidos reconociendo que una red trampa puede ser calificada bajo una Excepción al Wiretap Act: la cláusula de Excepción del Proveedor (Protección de Sistema). La segunda preocupación legal que aparece con más frecuencia es la cuestión de la trampa (entrapment). Dado que las redes trampa están instaladas en redes y no se publica ningún anuncio incitando a la gente a escanear o comprometer la red trampa, este asunto tiene poco valor. Una última preocupación legal administrativa es la de la privacidad de los datos de la red. Información como números de tarjeta de crédito, nombres de usuario/contraseñas, números de la seguridad social, y muchos otros datos más podrían ser fácilmente capturados por una red trampa. Una apropiada gestión de estos datos es muy importante.

Sus administradores de red probablemente estarán al día en temas de monitorización de tráfico de la red del campus, así como de qué acciones legales pueden ser llevadas a cabo para mantener la seguridad. Si éste no es el caso, usted o los administradores de la red pueden necesitar acercarse a su departamento jurídico. El departamento jurídico del campus del GA Tech ha decidido que el uso de una red trampa en las redes del campus del GA Tech proporciona a la universidad un método legal y discreto para observar el tráfico anómalo y el uso indebido dirigido a la red del campus. La Oficina de las Tecnologías de la Información (OIT) del GA Tech despejó el camino para instalar la red trampa del GA Tech con el departamento jurídico del GA Tech. La OIT nos autorizó a establecer y supervisar una red trampa en la red del campus del GA Tech para ayudar a proteger esta red. Éstas son las pautas utilizadas en el GA Tech, y pueden necesitar ser modificadas para adaptarse a necesidades específicas tanto de administradores de la red como de la universidad.

• La red trampa del GA Tech está situada dentro del espacio de direcciones de producción de la red del campus del GA Tech.
• La red trampa del GA Tech utiliza sistemas operativos representativos de los ordenadores encontrados en la red de dicha organización.
• Ningún tráfico IRC se recoge en nuestra red trampa. Si un servidor IRC se conecta a nuestra red trampa, es inmediatamente desconectado. Esto se hace para permanecer en conformidad con el Wiretap Act. de EE.UU., ya que un cliente que utiliza ese IRC puede ignorar que el canal está en una máquina comprometida. Para no violar los derechos de privacidad de este usuario, decidimos que lo mejor era no tener oportunidades de violar el el Wiretap Act. Otras naciones tendrán probablemente estatutos similares referentes a las medidas que se deben utilizar para asegurar redes.

La tecnologías que utilizamos
Una vez que usted consiga la aprobación para montar una red trampa, el siguiente paso consiste en decidir de qué tipo quiere que sea. Actualmente hay dos tipos de redes trampa que se puedan emplear en una red. Estos son GEN I, o de primera generación, y GEN II, o de segunda generación. El tipo de red trampa depende de muchos factores incluyendo la disponibilidad de recursos, los tipos de atacantes y ataques que intenta detectar, y de la experiencia general que tenga con redes trampa.

• Redes trampa GEN I - Se utiliza una metodología más simple. Esta es la tecnología que elegimos inicialmente cuando instalamos por primera vez nuestra red trampa. Su simplicidad nos permitió aprender cómo funcionaba. Aunque es una versión muy simple de red trampa, todavía ofrece la oportunidad de aprender mucho sobre los fundamentos de estas tecnologías.
• Redes trampa GEN II - Una versión más sofisticada de red trampa. Esta es la configuración actual de la red trampa del GA Tech, una vez aprendidos los fundamentos utilizando las tecnologías GEN I. Pronto estará disponible un Honeywall CDROM, que simplifica enormemente la instalación de una red trampa GEN II. Para más información sobre tecnologías de redes trampa, lea CTE: Honeynets.

• Switch de 8 puertos KVM OSU21032 $355.00
• Estación Dell Dimension 2400 x 8 @$675.00 $5400.00
• 2 discos removibles por ordenador Data Castle BT-27 @$20.00 $160.00
• Rack para ordenadores $1058.00
• Total $6973.00

Nuestra red trampa, tal como es ahora, pudo ser instalada por menos de $7000. Todos los recursos, incluyendo el conmutador KVM, ordenadores de sobra, y discos removibles con un duplicador de discos estaban disponibles. No costó nada, aparte del tiempo, establecer y mantener nuestra red trampa. Si usted tuviera que comprar el hardware que utilizamos, estimamos el coste en unos $7000. Puede encontrar circunstancias similares en su universidad.

Mantener y supervisar nuestra red trampa
Mientras que las redes trampa son relativamente sencillas y baratas de instalar, pueden requerir mucha dedicación para ser mantenidas. En el GA Tech pasamos un promedio de una hora por día para analizar el tráfico recogido el día anterior. Tenga presente que la ventaja de una red trampa es que usted tiene que analizar los datos para determinar qué tráfico es hostil y cuál es benigno. En vez de ello, usted trabaja bajo la asunción de que todos los datos que recoge son de origen hostil, la razón por la que los está analizando es para obtener información útil de ellos. Esto hace de las redes trampa unas herramientas muy eficaces para aprender qué actividad no autorizada está ocurriendo en su red. Cuando instalamos inicialmente la red trampa, utilizamos una sesión de Snort con el conjunto de reglas por defecto y después comparamos las alarmas con los datos de tcpdump vía Ethereal para aprender en qué concentrarnos con Ethereal. Cuando comenzamos a sentirnos más cómodos con Snort comenzamos a escribir nuestras propias reglas recibir alarmas de tráfico sospechoso específico que estábamos observando en la red del campus. Más adelante, utilizando los datos de tcpdump fuimos capaces de ir directamente a Ethereal y escribir nuestros propios filtros para buscar datos concretos. La capacidad para automatizar este proceso de análisis no existe; sin embargo, alguien debe hacer el análisis manual para determinar qué hay que automatizar.

Cuando sistema es comprometido podemos pasar hasta cuarenta horas de análisis por cada hora de tráfico del ataque que ha recogido la red trampa. Este proceso puede consumir mucho tiempo, pero tiene su recompensa. Actualmente dividimos este análisis en el GA Tech, y cada uno de los que participan en la investigación contribuye al informe del ataque. Se produce un informe por cada compromiso que ocurre en la red trampa. Cualquier comportamiento sospechoso de las máquinas del campus dirigidas a la red trampa también se documenta. Estos informes son enviados al personal de la OIT, a los profesores, a los administradores de la red, y a otros grupos de interés del GA Tech.

Nuestra red trampa demuestra su valor
El campus del GA Tech es típico de muchos entornos universitarios. Hacemos frente a muchos de los mismos desafíos y problemas. Somos una infraestructura muy grande requerida para dar el acceso libre a muchos de nuestros recursos, haciéndola extremadamente difícil de asegurar. Algunas estadísticas del GA Tech son:

1. 15000 estudiantes, 5000 miembros del personal, 69 departmentos
2. Mezcla de muchos ordenadores y sistemas operativos diferentes
3. No es infrecuente tener sistemas que pueden arrancar hasta cuatro sistemas operativos diferentes
4. 30000-35000 ordenadores en red en el campus
5. Redes académicas, administrativas, residentes (REZNET), y de desarrollo

Como muchas instituciones académicas, también somos un blanco importante, por varias razones.

1. Alto ancho de banda a/desde Internet (600 Mbps/4 Terabytes por día)
2. Muchas estaciones de estudiantes con gran capacidad de almacenamiento
3. Pueden ocultarse en el tráfico bajo "Libertad Académica". El concepto de libertad académica sobre tráfico de red consiste en que como el GA Tech es una institución de investigación, el tráfico de red no debería ser restringido con el fin de que los esfuerzos de investigación no se vean afectados. Dados los requisitos de la libertad académica, el GA Tech ha elegido no implementar un firewall (cortafuegos) entre la red del campus e Internet. Los enclaves individuales dentro de la red del GA Tech utilizan cortafuegos. Se utiliza también un Sistema de Detección de Intrusiones (IDS) en la puerta de enlace del campus con monitorización del tráfico e investigación posterior. Estas características de red convierten a GA Tech en una red ideal para implementar una red trampa como una herramienta IDS adicional. Otras instituciones académicas pueden tener características similares y beneficiarse del empleo de una red trampa.

El propósito original, y una de las ventajas de nuestra red trampa, es la investigación. La red trampa es utilizada por los estudiantes que llevan investigaciones en áreas de seguridad de sistemas operativos y de redes en el GA Tech. La red trampa ha ayudado en investigaciones para poder idear una nueva metodología para caracterizar rootkits que ayuda a su subsiguiente detección, como parte de la investigación de un doctorado. Otros estudiantes de doctorado están buscando incorporar el análisis de los dos años de datos de la red trampa que hemos recopilado a sus investigaciones de doctorado. Una de las investigaciones proporcionaron un análisis detallado de nuevos y actuales rootkits recopilados por la red trampa y un examen de las insuficiencias existentes en el actual estado del arte de las metodologías de detección de rootkits. Hemos escrito un artículo sobre el análisis de un rootkit desconocido que fue capturado por la red trampa. Fuimos capades de caracterizar este rootkit y producir firmas para poder detectar incidencias posteriores. También hemos proporcionado sugerencias a autores de herramientas GPL para la detección de rootkits para arreglar sus defectos y mejorarlas. Hay una investigación en marcha para incorporar a la red trampa una Darknet (una investigación para seguir la pista del tráfico a direcciones IP no utilizadas) para poder establecer una relación entre ambos tipos de herramientas de IDS. Como se mencionó antes, el uso de una red trampa permite instalar sistemas operativos de interés para recopilar cualquier tráfico con ataques para su análisis posterior. La red trampa ha contribuido a la redacción de múltiples artículos de investigación en GA Tech y ha servido como plataforma de investigación de seguridad informática y de redes.

También hemos encontrado en la red trampa una excepcional herramienta de aprendizaje. Trabajar con la red trampa proporciona experiencia práctica a los estudiantes que monitorizan la red trampa como parte de un programa de estudio independiente. Este trabajo práctico proporciona varias oportunidades a los estudiantes. Estudiar los ataques y los rootkits permite a los estudiantes producir documentación y apuntes sobre cómo y cuándo ocurren los ataques así como analizar los propios rootkits: cómo eliminarlos, cómo funcionan, y cómo pueden ser mejorados. Como miembro de la Honeynet Alliance, se espera que GA Tech envíe un informe cada cuatrimestre a la Alliance detallando qué hemos visto en nuestra red. De los estudiantes que monitorizan la red trampa como parte de sus estudios independientes se espera que escriban su informe así como que redacten un informe sobre cualquier ataque que ocurra durante el tiempo de estudio. Los datos de la red trampa son utilizados también en clases de seguridad de redes para enseñar a los estudiantes cómo utilizar herramientas como Ethereal o tcpdump para analizar tráfico. Las presentaciones sobre la red trampa se dan también en clases y a otros grupos de interés. Durante el ejercicio de seguridad de red "Capture de Flag" (Captura de bandera) de 2003 patrocinado por la Universidad de California Santa Barbara (UCSB) se utilizó una red trampa GEN II. Se utilizó una sesión de Snort-Inline para analizar el tráfico de ataque. Un equipo del GA Tech alcanzó la tercera posición en el ejercicio, después de dos equipos de la UCSB.

Lo que nos sorprendió fue el enorme valor de la red trampa para la detección. La nuestra ayudó a detectar con precisión más de 165 sistemas comprometidos en nuestra red interna. Como nuestra red trampa tuvo muy pocos falsos positivos, fue mucho más fácil de utilizar, y más efectiva que las tecnologías de detección tradicionales. Su ventaja más importante fue la de proporcionar información detallada. Fuimos capaces de obtener todos los datos de ataques reales incluyendo contraseñas, direcciones IP remotas, y los métodos de ataque utilizados por los atacantes. Al poco tiempo de instalarla, nuestra red trampa nos permitió identificar un sistema interno del GA Tech que tenía sus contraseñas comprometidas por un atacantes. Este sistema había sido utilizado por el atacante para conectarse a otros sistemas internos, incluyendo nuestra red trampa. La cual identificó rápidamente al atacante, las herramientas y las tácticas que utilizaba para infiltrarse en los sistemas. El atacante instaló una puerta trasera en la red trampa para conectarse más adelante. Sabíamos que el sistema había sido comprometido, pero lo mantuvimos en servicio para estudiar el comportamiento del atacante. Algunos días después de que el sistema fuera comprometido, el atacante se conectó a la puerta trasera instalada en el ordenador utilizando otro equipo de dentro de la red del GA Tech. Notificamos inmediatamente al personal del Office of Information Technology (OIT) del Georia Tech sobre este otro potencial sistema comprometido del campus. El personal del OIT lo desconectó de la red para su análisis. Después de llevar a cabo el análisis no pudieron encontrar ninguna prueba de que este otro equipo hubiera sido comprometido. Por lo tanto, llegamos a la conclusión de que esta máquina no había sido comprometida por un exploit; en vez de ello, parece que la contraseña del sistema había sido comprometida. El personal del OIT sugirió que el atacante había utilizado algún método para obtener la contraseña de la máquina. El atacante pudo haber utilizado alguna técnica de fuerza bruta para adivinar la contraseña. Pudo haber recogido la contraseña desde un sitio web falso configurado para recoger nombres de usuario y contraseñas de usuarios crédulos (ingeniería social). Se indicó al usuario que cambiara su contraseña por otra más segura y que no utilizara la misma contraseña cuando abriera cuentas en otros sitios web. El personal del OIT de GA Tech afirmaron que habría sido muy difícil para ellos detectar que este sistema había sido comprometido utilizando las medidas de seguridad existentes con las que contaban. Nuestra red trampa GEN I nos permitió detectar un sistema que seguramente había sido comprometido por un atacante con alguna habilidad. Actualmente, el personal del OIT de George Tech son partidarios de la red trampa, después de comprobar su valor a la hora de detectar sistemas comprometidos en el campus. Desde su instalación en el verano de 2002, la red trampa ha detectado más de 165 equipos comprometidos.

Lecciones aprendidas
Básicamente estas eran una serie de lecciones aprendidas sobre cosas que hacer y que NO hacer. Esperamos que esta corta lista pueda ayudarle a evitar algunos errores comunes:

1. Empiece poco a poco. Si planea instalar una red trampa en su empresa, comience por lo más sencillo. Empiece inicialmente con dos máquinas (para detectar escaneos de su red trampa) con sistemas operativos que le sean familiares instalados detrás del cortafuegos inverso. Esto le permitirá empezar a comprender cómo analizar los datos que reciba en la red trampa. También será capaz de ajustar su configuración. Cuantas más máquinas tenga, más datos tendrá circulando por su red trampa.
2. Mantenga una estrecha relación con sus administradores de red. ¡ESTO ES CRÍTICO! Informe a sus administradores de red de los tipos de exploits que está viendo. En algunos casos, ya serán conscientes de ellos, pero en otros casos, puede ser la primera persona en notificarlos. Los administradores de la empresa deberían beneficiarse de sus esfuerzos ya que probablemente ellos sean los que le proporcionen el rango de direcciones IP que utilizará para su red trampa.
3. Concéntrese en los ataques y exploits originados desde dentro de su red. Estos son los ataques que más daño pueden hacer a su empresa. Informe a los administradores inmediatamente de estos tipos de ataques ya que revelan qué máquinas ya han sido comprometidas dentro de la empresa.
4. No publique el rango de direcciones IP de la red trampa. No hay necesidad de hacer esto. Los atacante y los gusanos (worms) están escaneando constantemente Internet en busca de máquinas vulnerables. Su red trampa será encontrada y atacada.
5. Do subestime la cantidad de tiempo necesaria para analizar los datos recogidos por una red trampa. Estos datos deben ser analizados cada día. Recogerá mucha información y debe ser analizada para ser de utilidad. La mayoría de los ataques tardan pocos segundos en comprometer y tomar el control de un sistema vulnerable. Puede llevar semanas analizar y documentar tales ataques. De nuevo, pensamos que el esfuerzo merece la pena.
6. No es necesario contar con máquinas potentes para instalar una red trampa. La red trampa del GA Tech no utilizó máquinas nuevas y funcionó como se esperaba. Todo lo que necesitamos ya estaba disponible en el campus.

Conclusión
Las redes trampa pueden ser una herramienta muy poderosa cuando se establecen en un entorno académico. No sólo pueden ser utilizadas para asegurar los recursos de producción actuando como una solución de detección fiable y profunda, sino que también pueden ser utilizadas para una gran variedad de proyectos de investigación. GA Tech ha tenido un enorme éxito aplicando redes trampa en ambas áreas.

Nota del traductor:

1. En este artículo se abusa de la palabra "hacker" para referirse acciones no autorizadas o maliciosas atribuidas a individuos que poco tienen que ver con lo que dicho concepto representa en realidad. Para evitar confusiones, y en la medida de lo posible, en adelante este término se sustituirá por la palabra "atacante".
2. La normativa norteamericana prohíbe la interceptación de comunicaciones orales o escritas, vía correo electrónico o postal o el acceso a las mismas. El Wiretap Act es como se conoce a la Electronic Communications Privacy Act (ECPA), 18 U.S.C. Sections 2510-2521, aprobada en 1968 y modificada en 1986. En ella se regulan la interceptación intencionada, el intento de interceptación o la facilitación de la interceptación a un tercero de cualquier género de comunicación por cable, oral o electrónica, así como la revelación intencionada o la tentativa de revelación a terceros ajenos de los contenidos de cualquier comunicación por cable, oral o electrónica, siempre que se conozca o se tengan razones para ello, que la información fue obtenida a través de la interceptación de comunicaciones por cable, orales o electrónicas con violación de lo dispuesto en la Sección 2511.