Honeypots: Defendiendo proactivamente a la comunidad - LACNIC

cu.ipv6tf.org

Honeypots: Defendiendo proactivamente a la comunidad - LACNIC

Honeypots:Defendiendo proactivamente a la comunidad.Natascha Martíneznatascha.martinez@csirt-antel.com.uyGonzalo Stillogonzalo.stillo@csirt-antel.com.uyCarlos Martinezcarlos.martinez@csirt-antel.com.uy


MotivaciónPresentar el proyecto honeypot del CSIRT-ANTEL a lacomunidad de seguridad de LACNICPresentar una exitosa aplicación de los datosrecolectados con los honeypots desplegados por elCSIRT-ANTELLACNIC XII 2


AgendaIntroducciónEl proyecto HoneyPot del CSIRT- ANTELImplementación en ANTELAplicaciones practicas●ConclusionesLACNIC XII 3


¿Quien es ANTEL?ANTEL: “La empresa de telecomunicacionesde los uruguayos”Monopolio de la telefonía básicaUnidades de Negocio en competenciaDatos (ANTELDATA)Celular (ANCEL)Operador dominante en el mercado en todaslas áreas donde ofrece serviciosLos clientes de ANTEL no escapan a larealidad de Internet hoyLACNIC XII 4


¿Porque un Honeypot enANTEL?Aumento en cantidad y en ancho de banda deservicios de Internet comercializadosComo protegerse de los riesgos en Internet noson parte de las prioridades del usuariopromedio de InternetResulta relevante que desde los ISP secomiencen a tomar medidas proactivas dedefensaLACNIC XII 5


El proyecto Honeypot delCSIRT-ANTELComienza con la colaboración con el CERT.bren el año 2005Apoyo en la creación de honeypots yspampotsEtapasI. AprendizajeII.ImplementacionIII.Aplicaciones practicasEstadísticasServicio proactivoLACNIC XII 6


(I) AprendizajeConocimiento mínimo del asunto Sonaba divertido :)Que queríamosSistema con mantenimiento mínimoAnálisis “automatizable”.Clasificación de HoneypotsBaja interactividadMedia interactividadAlta interactividadLACNIC XII 7


(II) ImplementacionSe elijo un honeypot de baja interactividadimplementado con honeyd.CaracterísticasNo son sistemas reales, emula servicios y sistemasFácil de configurar y mantenerInformación obtenida es limitada (IPs de origen,protocolos, puertos atacados)Minimiza la posibilidad de compromiso del sistemaoperativo real del honeypotHay riesgo de atraer “atacantes” hacia nuestra redLACNIC XII 8


(III) Aplicaciones PracticasDar el difícil paso de la mera recolecciónde datos a aplicarlos en algo útil para lacomunidad del CSIRT-ANTELMencionaremosEstadísticasServicio pro-activo de alertaLACNIC XII 9


Aplicaciones - Estadísticashttp://www.csirt-antel.com.uy/datos-honeyLACNIC XII 10


Aplicaciones – Reportes IP UY Son un resumen de los intentos de conexión a losHoneypots del CSIRT-ANTEL en un determinado día. Solo se analizan las conexiones realizadas desdedirecciones IP publicas asignadas a ANTEL Se busca identificar equipos de servicioscomercializados por ANTEL, posiblementecomprometidosLACNIC XII 11


Aplicaciones – Reportes IP UY (2)Procedimiento diario:Se busca el reverso en los DNSs de ANTELDATA de lasdirecciones IP que aparecieron en el honeypot para ver a quetipo de servicio corresponde y se envia reporte por emailDesde el momento en que se detecta que es un servicio con IPfija (típicamente un cliente empresarial) el triage abre un ticketde incidenteSe hace la consulta a quien tiene el contacto técnico del cliente(en este caso O&M ANTELDATA) y luego se contacta almismo (vía mail o telefónica) explicandole la situación.LACNIC XII 12


Aplicaciones – Reportes IP UY (3)----------------------REPORTE CSIRT honeyd.log.2008-06-26-07:00----------------------Las siguientes IPs del rango para ANTEL intentaron conectarse con el honeypot200.40.24.167 = r200-40-24-167-dialup.adsl.anteldata.net.uy.200.40.73.237 = r200-40-73-237-dialup.adinet.com.uy.200.40.75.15 = r200-40-75-15-dialup.adinet.com.uy.200.40.75.166 = r200-40-75-166-dialup.adinet.com.uy.200.40.66.80 = r200-40-66-80-dialup.adinet.com.uy.----------------------200.40.74.192 = r200-40-74-192-dialup.adinet.com.uy.200.40.71.248 = r200-40-71-248-dialup.adinet.com.uy.200.2.47.79 = r200-2-47-79-dialup.adinet.com.uy.200.40.75.194 = r200-40-75-194-dialup.adinet.com.uy.200.40.74.199 = r200-40-74-199-dialup.adinet.com.uy....LACNIC XII 13


Experiencia novedosaAplicaciones – Reportes IP UY (4)ANTEL avisa PROACTIVAMENTE a sus clientes que algoanda mal en algún elemento de su red.LACNIC XII 14


Aplicaciones – Reportes IP UY(5)Buena reacción de los clientesHay varios casos de éxito con clientesempresariales de ANTELDATAComprometimientos en servidores web, servidores demail, etc.Al poco tiempo de ser notificados, las IPsgeneradoras de esos intentos de conexióndesaparecen de los registros del honeypotEn principio se notificaba a TODOS los clientesempresariales que aparecían en el honeypotLACNIC XII 15


Microsoft Security BulletinMS08-067:Pero en octubre 2008...Vulnerability in ServerService Could AllowRemote CodeExecution (October23, 2008)Critical: MicrosoftWindows 2000,Windows XP,Windows Server2003Important: WindowsVista and WindowsServer 2008LACNIC XII 16


¿Como afecto el MS08-067 alservicio?LACNIC XII 17


ConclusionesSe puede hacer mucho con relativamente pocoPermite intercambiar datos con otros centros derespuesta a incidentes y corroborar tendenciasNovel experiencia donde se establece una relacióninteractiva con el cliente donde en caso de problemasel primer llamado no lo hace el clienteLos datos estadísticos son de nuestra realidadSe puede trabajar para prevenir y reaccionar anteproblemas de nuestro entornoLACNIC XII 18


Planes a futuroIPv6Mejorar “infraestructura” de análisisP.ej: Usando bases de datos para almacenamientoHacer intercambio con otros CSIRTs o CERTsusando IODEF (RFC 3067) y/o IDMEF (RFC4765)Probar Sebek u otros honeyopots de G.IIIhttps://projects.honeynet.org/sebek/Etc, etc, etc...LACNIC XII 19


Preguntas¿PREGUNTAS?LACNIC XII 20


¡Gracias!¡Gracias por su atención!LACNIC XII 21

More magazines by this user
Similar magazines