Cómo hacer que los honeypots mejoren la seguridad de tu red
Estos componentes simulan ser sistemas vulnerables a los ataques para atraer a los hackers y/o spammers con el fin de mantenerles ocupados mientras el departamento informático reacciona.
Alta interacción versus baja interacción
Los honeypots de alta interacción pueden ser atacados completamente, permitiendo que el adversario tenga acceso total al sistema y lo utilice para lanzar desde allí sus futuros ataques. Con ayuda de estos honeypots, puedes, por ejemplo, saber más de los ataques dirigidos contra tus sistemas, o incluso sobre los ataques de gente de dentro del sistema.
Por el contrario, los honeypots de baja interacción simulan sólo servicios que no pueden ser atacados para obtener acceso completo al honeypot. Los honeypots de baja interacción son más limitados, pero son útiles para conseguir información de alto nivel; por ejemplo, para saber de exploraciones a la red o actividad de gusanos dentro de tu red. Los honeypots de baja-interacción pueden utilizarse también para analizar spammers o para contraatacar de forma activa a los gusanos. No obstante, no puede decirse que ninguno de los dos sistemas sea mejor o peor que el otro.
Después de todo, el honeypot es un concepto y no una herramienta que pueda simplemente ser instalada. Necesitas saber con antelación lo que quieres aprender, para así poder adaptar el honeypot a tus necesidades.
Honeypots físicos versus honeypots virtuales
También diferenciamos entre honeypots físicos y honeypots virtuales. El físico es una máquina real en la red con su propia dirección IP. El físico implica a menudo alta interacción, ya que deja que el sistema sea comprometido completamente. Suelen ser caros de instalar y mantener. Para lugares con muchas direcciones, no son muy prácticos y resulta imposible instalar un honeypot físico en cada dirección IP. En estos casos, se necesitan los honeypots virtuales.
Un honeypot virtual es una solución simulada por otra máquina que responde al tráfico que se envía al honeypot virtual. A la hora de reunir información sobre la red y los intentos de ataque, el número de honeypots influirá en la cantidad de información recogida y en su precisión. Un buen ejemplo es medir la actividad de los gusanos basados en HTTP: podemos identificar estos gusanos sólo después de que completen la negociación del TCP y envíen la carga. Sin embargo, la mayor parte de las peticiones de conexión no recibirán respuesta porque eligen una dirección al azar. Un honeypot puede capturar la carga del gusano configurándolo para que funcione como un servidor Web o simulando servicios de red vulnerable. Cuantos más honeypots despleguemos, más posibilidad habrá de que uno de ellos contacte con el gusano.
Con la ayuda de los honeypots virtuales se puede desplegar fácilmente un gran número de honeypots. Y no sólo eso, este tipo de honeypots ofrece dos ventajas adicionales: escalabilidad y facilidad de mantenimiento. Podemos tener miles de honeypots en una sola máquina. No son caros de instalar y son accesibles para casi todo el mundo.