Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.
Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.
Básicamente un Honeypot tiene como función atraer a los mal llamados "hackers" para conocer e investigar los comportamientos.
Por ejemplo, supongamos que tenemos un servidor ofreciendo servicios tales como SSH, FTP, WEB, etc.
Con una Honeypot podríamos emular esos servicios en los puertos stándars (22, 21, 80, en este caso) y distraer a los atacantes para que pierdan el tiempo y de paso ver qué hacen, qué exploits utilizan, si explotan alguna vulnerabilidad nueva, etc..
Eso, nos dará tiempo para ir a nuestros verdaderos servicios y "parchear" o securizar sabiendo qué es lo que los atacantes podrían hacer.
El diagrama de red de un honeypot sería más o menos así:
http://www.wikipedia.com
Entradas
No hay comentarios:
Publicar un comentario