Conoce a Tu Enemigo: Honeynets Virtuales

Conoce a tu enemigo:
Definiendo honeynets virtuales
Diferentes tipos de Honeynets Virtuales

Traducción del texto: Know your enemy (Defining Virtual Honeynets), disponible en
Honeynet Project
http://project.honeynet.org
Última modificación: 04 September, 2002

Licencia de la traducción

Se da permiso para copiar, distribuir y/o modificar este documento bajo los términos de la Licencia Libre de Documentación GNU, versión 1.2 o cualquier versión posterior publicada por la Free Software Foundation (Fundación para el Software Libre); este documento no tiene secciones invariantes, textos de portada ni de contraportada. Se incluye una copia de dicha licencia en la sección titulada "Licencia de Documentación Libre GNU"

En los últimos años las Honeynets han demostrado su valor como mecanismos de seguridad, sobre todo para aprender sobre las herramientas, tácticas, y motivos de la comunidad blackhat. Esta información es crítica para las organizaciones para entender mejor y protegerse de las amenazas que tienen. Uno de los problemas de las Honeynets es que necesitan muchos recursos, son difíciles de construir, y complejas de mantener. Las Honeynets requieren una variedad de sistemas físicos y mecanismos de seguridad para implantarlas correctamente. Sin embargo, el Honeynet Project ha estado investigando sobre una nueva posibilidad, las Honeynets virtuales. Estos sistemas comparten muchos de los valores de las Honeynets tradicionales, pero tienen la ventaja de que ejecutan todos los sistemas en un sólo sistema. Esto hace que las Honeynets virtuales sean más baratas de crear, más fáciles de implantar, y más simples de mantener.

Qué es una Honeynet
Las Honeynets son un tipo de honeypot. Un honeypot es un recurso cuyo valor se basa en ser analizado, atacado o comprometido. Una Honeynet es un honeypot con gran interacción, lo que significa que ofrece sistemas operativos reales para que los atacantes interactúan con él. Esta gran interacción puede enseñarnos mucho sobre intrusos, desde a cómo entran en los sistemas a cómo se comunican y por qué atacan sistemas. Las Honeynets consiguen esto creando una red de sistemas. Esta red está muy controlada, y todo el tráfico entrante y saliente es controlado y capturado. Cada sistema de la red es realmente un honeypot, un sistema diseñado para ser atacado. Sin embargo, estas honeypots son sistemas completamente funcionales, lo mismo que hoy se encuentra en la mayoría de las organizaciones. Cuando estos sistemas son atacados, las Honeynets capturan toda la actividad del atacante. Entonces esta información enseña mucho sobre las amenazas a las que nos enfrentamos diariamente. Sobre los detalles técnicos de las Honeynets, es recomendable leer Conoce a Tu Enemigo: Honeynets. Este artículo describe las diferentes maneras de construir Honeynets Virtuales. No pretende ser un HOWTO en crear Honeynets Virtuales. HOWTO's más detallados vendrán a continuación. Desde ahora, se asume que conoce las tecnologías sobre Honeynets y sus requisitos, sobre todo Control de Datos y Captura de Datos.

Honeynets Virtuales
Las Honeynets Virtuales toman el concepto de las tecnologías de las Honeynets, y las implementan en un único sistema. Las Honeynets Virtuales no son un nuevo concepto, de hecho toman el concepto actual de Honeynet y las implementan de una forma diferente. Esta implementación tiene sus únicas ventajas y desventajas comparadas con las Honeynets tradicionales. Las ventajas son coste reducido y más fácil manejo, ya que todo está; combinado en un único sistema. Sin embargo, esta simplicidad también nos cuesta. Primero, estás limitado a qué tipos de sistemas operativos puedes implantar debido al hardware y al programa virtual. Segundo, las Honeynets virtuales traen un riesgo, específicamente que un atacante puede salirse del programa virtual y tomar el sistema Honeynet, saltándose el mecanismos de Control de Datos y de Captura de Datos.

Hemos dividido las Honeynets Virtuales en dos categorías, Auto-Contenidas e Híbridas. Primero definiremos estos dos diferentes tipos, para luego ver como se implantan los diferentes tipos de Honeynets Virtuales.

Honeynet Virtual Auto-Contenida
Una Honeynet Virtual Auto-Contenida es una red entera Honeynet condensada en un sólo computador. La red entera está virtualmente contenida en un único y físico sistema. Una red Honeynet típicamente consiste de un cortafuegos para Control de Datos y Captura de Datos, y los honeypots dentro de la Honeynet. Puedes ver un Diagrama de esa configuración aquí. Algunas ventas de este tipo de Honeynet(s) virtual(es) son:

Movible, las Honeynets Virtuales pueden ser situadas en un portátil y llevadas a donde quiera. El Honeynet Project demostró esta funcionalidad en la Blackhat Briefings en Agosto de 2002.

Conecta y Coge, Puedes coger una máquina y simplemente conectarla en cualquier red y estará preparada para coger a los blackhats. Esto hace que la implantación sea más fácil, ya que físicamente estás implantando y conectando un sólo sistema.

Barata en dinero y en espacio, Sólo necesitas un computador, así que reduce tus gastos de hardware. Ocupa poco espacio y solo necesita una regleta y un puerto! Para aquellos de vosotros con espacio y electricidad limitada, esta es vuestra opción.

Hay algunas desventajas:

Único punto de fallo. Si algo va mal con el hardware, la honeynet entera se quedaría sin funcionar.
Computador de Alta Calidad, aunque las Honeynets Auto-Contenidas sólo requieren un computador, tendrá que ser un sistema potente. Dependiendo de tu configuración, puedes necesitar bastante memoria y procesador.
Seguridad, ya que todo puede estar compartiendo el mismo hardware, hay peligro de que un atacante acceda a otras partes del sistema. Mucho depende del software virtual, que será discutido luego.
Software Limitado, ya que todo tiene que ejecutarse en una máquina, estás limitado al software que puedes usar. Por ejemplo, es difícil ejecutar una IOS Cisco en un procesador Intel.

Honeynet Virtual Híbrida
Una Honeynet Híbrida es una combinación de la clásica Honeynet y del software virtual. Captura de Datos, como por ejemplo cortafuegos, y Control de Datos, como por ejemplo sensores IDS y almacenamiento de logs, están en un sistema separado y aislado. Este aislamiento reduce el riesgo de compromiso. Sin embargo, todas las honeynets son virtualmente ejecutadas en una única máquina. Puedes ver un diagrama de esta configuración aquí. Las ventajas de esta configuración son:

Segura: Como vimos en las Honeynets Auto-Contenidas, existe un peligro de que que el atacante acceda a otras partes de la honeynet ( como el cortafuegos). Con las Honeynets Híbridas, el único peligro sería que el atacante accediera a otras honeypots.
Flexible: Puedes usar una gran cantidad de software y hardware para el Control de Datos y la Captura de Datos de la red Híbrida. Un ejemplo sería que puedes usar el sensor OpenSnort en la red, o un Cisco Pix. Puedes incluso ejecutar cualquier clase de honeypot que quieras porque simplemente puedes añadir otro computador en la red (además de tu máquina con la Honeypot Virtual).

Algunas desventajas son:

No movible, Ya que la red honeynet consistirá en más de una máquina, es más difícil moverla.
Cara en tiempo y en espacio, tendrás que pasar más electricidad, espacio y posiblemente dinero puesto que hay más de un computador en la red.

Las Honeynets Híbridas Virtuales pueden permitirte alcanzar la flexibilidad de las honeynets clásicas y permitirte incrementar la cantidad de honeypots usando el software virtual. Ahora que hemos definido las dos categorías generales Honeynets virtuales, resaltemos algunas de las formas posibles de implementar una Honeynet virtual. Aquí comentamos tres diferentes tecnologías que te permitirán implantarlas a ti mismo. Indudablemente hay otras opciones, como Bochs, sin embargo el Honeynet Project ha usado y probado los tres métodos. Ninguna solución es mejor que las otras. Al contrario, cada una tiene sus únicas ventajas y desventajas, depende de ti decidir cual solución es mejor. Las tres opciones que relataremos son la Estación VMware, el Servidor GSX VMware y User Mode Linux.

La Estación VMware
La Estación VMware es una opción de virtualización muy usada y establecida. Está diseñada para el usuario de escritorio y disponible para plataformas Linux y Windows. Las ventajas de usar la Estación VMware como una Honeynet Virtual son:

Amplia gama de Sistemas Operativos soportados, puedes ejecutar una gran variedad de sistemas operativos dentro del entorno virtual (llamado GuestOS), incluyendo Linux, Solaris, Windows y FreeBSD.
Opciones de red, la Estación provee dos formas de manejar las redes. La primera es en modo puente (bridged), que es útil para Redes de Honeynet Virtuales Híbridas porque permite a un honeypot usar la tarjeta del computador y parecer ser otra máquina en la red honeynet. La segunda opción es redes sólo en la máquina, esto es bueno para Honeynet Virtuales Auto-Contenidas porque puedes controlar mejor el tráfico con un cortafuegos.
La Estación VMware crea una imagen de cada Sistema Operativo Guest. Estas imagenes son simplemente un archivos, lo que le hace muy movible. Esto significa que puedes transferirlas a otros computadores. Para restaurar un honeypot a su estado original, puedes simplemente copiar una copia de seguridad en su lugar.
Capacidad de montar imagenes de discos virtuales de VMware. Puedes montar una imagen tal como montarías una unidad usando vmware-mount.pl.
Fácil de usar. La Estación VMware viene con una interfaz gráfica (en Windows y en Linux) que hace que sea muy simple instalar, configurar y ejecutar los sistemas operativos.
Al ser un producto comercial, la Estación VMware viene con soporte, actualizaciones, y parches.

Algunas desventajas son:

Coste, la Estación VMware cuesta $300 por licencia. Esto puede ser bastante para un aficionado, o para el estudiante sin empleo.
Requerimientos del sistema. La Estación VMware debe ejecutarse bajo un entorno X, y cada máquina virtual necesitará su propia ventana. Así que además de la memoria que asignes a un GuestOS, tienes la sobrecarga de un sistema X.
Cantidad limitada de GuestOS, con VMware sólo puedes ejecutar un número pequeño de Máquinas Virtuales (1-4). Es una Honeynet limitada.
Código fuente cerrado, no puedes entonces hacer ajustes personales.
Reconocimiento. Puede ser posible reconocer el software VMware en un honeypot, especialmente si las "Herramientas VMware" están instaladas en los sistemas. Esto podría alertar a los blackhat. Sin embargo, la Estación VMware tiene opciones que pueden hacer el reconocimiento más difícil, como la posibilidad de establecer direcciones MAC para las interfaces virtuales.

Puedes aprender más sobre implantar una Honeynet Virtual Auto-Contenida usando la estación VMware en http://online.securityfocus.com/infocus/1506.

Los productos VMware también tienen algunas buenas características, como la posibilidad de suspender una Máquina Virtual. Puedes pausar la MV, y cuando la activas de nuevo, todos los procesos continúan como si nada hubiera sucedido. Una vez un sistema fue comprometido y el intruso empezó un ataque de fragmentación ICMP. El intruso estaba también en servidores IRC. No queríamos cortar la conexión porque perderíamos información valiosa. Así que suspendimos la MV, ajustamos el cortafuegos para que bloqueara el ataque, y entonces reanudamos la MV. Un uso interesante de VMware, y también de otros softwares virtuales, es la facilidad y rapidez de montar MVs. Una vez que la honeynet sea comprometida, y aprendamos tanto como podamos de ella, queremos empezar de nuevo. Con una Honeynet Virtual, lo que tenemos que hacer es copiar ficheros o usar el disco deshacer o la característica no-persistente para descartar todos los cambios hechos. Otra característica de VMware es la capacidad de ejecutar varias redes detrás del HostOS. Si sólo tienes una máquina, puedes tener tu honeynet y tu computador personal en una máquina sin preocuparte en la contaminación de datos de cada lado. Si quieres aprender más sobre VMware y sus posibilidades para la tecnología honeypot, visita el excelente artículo de Kurt Seifried Haciendo Honeypots con VMware - Conceptos Básicos. También Monitorizando Honeypots de VMware de Ryan Barnett.

Servidor VMware GSX
El Servidor VMware GSX es una versión resistente de la Estación VMware. Su objetivo es ejecutar muchos sistemas finales. Como veremos, es perfecto para uso como una Honeynet. El Servidor GSX actualmente ejecuta Linux y Windows como HostOS. Ventajas:

Amplia gama de Sistemas Operativos soportados, el Servidor GSX soporta Windows (incluyendo 95, 98, NT, 2000, XP y .NET), algunas distribuciones Linux y potencialmente BSD y Solaris (no soportado oficialmente).
Redes, incluyendo todas las opciones que tiene una Estación.
No X significa más GuestOS's, el Servidor GSX no necesita las X ejecutándose para tener ejecutando VMware. Esto te permite ejecutar muchos más GuestOS' a la vez. Sin embargo, requiere que algunas de las librerías X estén instaladas si el Hosts está ejecutando Linux.
Interfaz Web, el Servidor GSX puede ser manejado a través de una interfaz web. Los GuestOS' pueden ser iniciados, pausados, parados y creados a través de la Web.
Terminal remoto, esta es una de las mejores características del Servidor GSX. Aun cuando la página Web y con el software VMWare, puedes acceder remotamente al GuestOS como si estuvieras sentado en frente de la consola. Puedes hacer cosas como instalaciones remotas y comprobar el sistemas sin generar tráfico en la honeynet.
Capacidad de montar imágenes de discos virtuales de VMware, como en la Estación.
El Servidor VMware GSX soporta más memoria (hasta 8GB), más CPU's (hasta 8) y más memoria por máquina virtual (2GB) que la Estación VMware.
Incluye un API de Perl para manejar GuestOS's.
Al igual que la Estación, el Servidor GSX es un producto soportado, incluyendo parches y actualizaciones.

Algunas desventajas son:

Coste, la licencia de un Servidor GSX está alrededor de $3,500.
Tipos limitados de GuestOS's. Sistemas Operativos como Solaris x86 y FreeBSD no están oficialmente soportados (sin embargos puedes instalarlos). Esto puede limitar la diversidad de tu Honeynet.
Memoria, el Servidor GSX recomienda > 256meg sólo para ejecutar el software del Servidor GSX. Sistemas Operativos basados en GUI, como Windows XP, requieren otros 256 MB por cada instancia.
Código fuente cerrado, como en Estación.
Reconocimiento. Puede ser posible reconocer el software VMware en un honeypot, especialmente si las "Herramientas VMware" están instaladas en los sistemas. Esto podría alertar a los blackhat.

VMware también tiene un Servidor VMware ESX . En vez de ser una solución software, el Servidor ESX se ejecuta en el hardware de la interfaz. El Servidor ESX tiene su propio monitor de la máquina virtual del SO que controla el hardware de la máquina. Esto permite un control más granular de los recursos asignados a las máquinas virtuales, como tiempo de CPU, ancho de banda, y disco, y permite que esos recursos sean cambiados dinámicamente. Es un producto es incluso para un final más alto que el Servidor GSX. Algunas de sus características son: Puede soportar múltiples procesadores, más máquinas virtuales concurrentes (hasta 64 MV), máS memoria (hasta 64GB), y más memoria por máquina virtual (hasta 3.6GB) que el Servidor GSX.

User Mode Linux
User Mode linux es un módulo especial del kernel que te permite ejecutar muchas versiones de linux virtuales a la vez. Desarrollado por Jeff Dike, UML te da la capacidad de tener múltiples instancias de Linux, ejecutándose en el mismo sistema a la vez. Es una herramienta relativamente nueva con mucho potencial. Algunas ventajas de usar User Mode Linux son:

Libre y código abierto, tienes acceso al código fuente.
Reducido tamaño y necesidad de pocos recursos. User Mode Linux no necesita usar X. Incluso puede ejecutar varios sistemas con poca memoria.
Posibilidad de crear varias redes virtuales e incluso crear routers virtuales dentro de la red virtual original.
Soporta bridging y networking, similar a VMware.
UML puede guardar las teclas pulsadas a través del kernel GuestOS. Las teclas pulsadas son guardadas en el HostOS, así pues, no hay problemas en cómo sacar las teclas pulsadas fuera de la honeypot de una manera segura.
UML viene con sistemas de ficheros preconfiguradoas y posibles de descarga, haciendo fácil y rápido llenar tu Honeynet con honeypots. Al igual que VMware, estas imágenes de sistemas de archivos se pueden montar.
Puedes acceder a las consolas del UML de diferentes maneras, incluyendo pseudoterminales, xterms, y portales en la máquina a la que puedas hacer telnet. Y siempre está screen. Ejecuta UML dentro de pantalla, desasócialo (detach), y puedes entrar a la máquina desde donde quieras y asócialo (attach) otra vez.

Algunas desventajas son:

Actualmente sólo está disponible para Máquinas Virtuales Linux, sin embargo, se está desarrollando una aplicación para Windows.
Como es una herramienta nueva, hay algunos fallos, documentación, temas de seguridad.
No hay una interfaz GUI, actualmente toda la configuración e implementación se hace en la línea de comandos. Curva de aprendizaje más pronunciada.
Al ser una herramienta OpenSource, no hay soporte oficial ni comercial.
Al igual que VMware, puede ser posible identificar una Honeynet UML debido al programa virtual. Sin embargo, el responsable Jeff Dike está tomando medidas para reducir ese riesgo, como modificar el /proc en los sistemas operativos Guest.

Conclusión

El propósito de este artículo era definir que es una Honeynet Virtual, los diferentes tipos, y opciones para implantarlas. Una Honeynet Virtual coge la tecnología de una Honeynet y la combina en un único sistema. Esto las hace más baratas de construir, más fáciles de implantar, y más simples de mantener. Sin embargo, también tienen desventajas comunes, incluyendo un único punto de fallo y limitaciones con el hardware y el software virtual. Depende de ti decidir que solución es mejor para tu entorno. En el futuro, intentaremos crear documentación detallando cómo implantar estas tecnologías.