Los tipos de honeypots son variados así como lo son las formas en que un intruso accede a la información de un sistema atacado. Un simple honeypot puede ser una dirección de e-mail utilizada únicamente con el fin de captar las listas de spam. En este caso se conoce como "honeytoken" y el término representa cualquier unidad de datos con la cual se permite acceso o uso de un sistema, pero que al ser utilizada levanta una alerta. Otro ejemplo puede ser un par identificador/clave de acceso de un usuario que no existe pero que en caso de aparecer logueado en el sistema su presencia levante las alarmas de rastreo.
Existen lógicamente muchos tipos de servidores honeypots, que simplemente aparentan ser servidores descuidados y vulnerables, en los que se estudia el comportamiento de los atacantes o de una vez son utilizados para contraataque. Específicamente por ejemplo, los atacantes gustan mucho de los servidores proxy para efectos de esconder sus identidades en los ataques, por lo cual existen una serie de de servidores proxy que en vez de esconder la identidad de los que los utilizan, la divulgan a las autoridades encargadas de la protección de sistemas ¿Interesante no?
Existen muchos tipos de honeypots, también están los honeypots clients o "honeyclients", que son sistemas encargados de navegar la web cual arañas de buscadores pero con la intención de detectar código malicioso en las páginas que visitan y de esta forma erradicar el mal antes de que afecte a los usuarios.
Cuando dos o más honeypot se encuentran en una red suelen conformar una honeynet. Los honeypots y honeynets son usados básicamente en las redes para efectos de detección de intrusos. Típicamente las honeynets son usadas cuando un honeypot solo no es suficiente debido a lo amplio de la red.
Aunque son una herramienta muy eficiente pueden ser evitados por los atacantes mediante herramientas de detección y técnicas de evasión, pero ese es otro tema que trataremos a futuro.
Hasta la próxima!
Entradas
No hay comentarios.:
Publicar un comentario