Honey Pot

    Un HONEY POT, como el nombre lo indica, es un Sistema seductor que, haciendo las veces de Jarrón de miel atractivo para los hakers, las abejas intrusas,    tiene el objetivo de atraerlos para si como si él fuese el sistema real.

Honey pot: herramientas defensivas de detección de intrusos.

Honey net: herramienta de investigación, que consiste en una red diseñada para ser comprometida por intrusos.

Sirve para estudiar técnicas utilizados por los intrusos.

"Honeyd" es un ejemplo de honeypot de baja interacción, cuya función principal es monitorear el espacio de direcciones IP no utilizado. Cuando Honeyd detecta un intento de conectarse a un sistema que no existe, intercepta la conexión, interactúa con el atacante fingiendo ser la víctima para captar y registrar al ataque.

Por el contrario, los honeypots de alta interacción utilizan sistemas operativos reales y aplicaciones reales y no emulan nada. Al ofrecerles a los atacantes sistemas reales para que interactúen, las organizaciones pueden aprender mucho sobre su comportamiento. Los honeypots de alta interacción no imaginan como se comportará un atacante y proporcionan un ambiente que rastrea todas las actividades, lo que les permite a las organizaciones conocer un comportamiento al que de otra manera no tendrían acceso.

Se denomina Honeypot al software o conjunto de computadores cuya intención es atraer a crackers o spammers, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas.
Los Honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.

Spam honeypots

    
Los spammers son usuarios que abusan de recursos como los servidores de correo abiertos y los proxies abiertos. Algunos administradores de sistemas han creado honeypots que imitan este tipo de recursos para identificar a los presuntos spammers.

Algunos honeypots son Jackpot, escrito en Java, y smtpot.py, escrito en Python. Proxypot es un honeypot que imita un proxy abierto (o proxypot).

Honeypots de Seguridad

Programas como el de Fred Cohen Deception Toolkit se disfrazan de servicios de red vulnerables. Cuando un atacante se conecta al servicio y trata de penetrar en él, el programa simula el agujero de seguridad pero realmente no permite ganar el control del sistema. Registrando la actividad del atacante, este sistema recoge información sobre el tipo de ataque utilizado, así como la dirección IP del atacante, entre otras cosas.

    •    Honeynet Project es un proyecto de investigación que despliega redes de sistemas honeypot (HoneyNets) para recoger información sobre las herramientas, tácticas y motivos de los criminales informáticos.

Téngase en cuenta que los Sistemas funcionan, en su afán de presentarse seductoramente, por medio de servidores también cautivadores , que hacen de puente entre el Sistema y el intruso.


En las redes se ubican servidores puestos adrede para que los intrusos los saboteen y así son monitorizados por sistemas que actúan como puentes a los servidores, registrando de forma transparente los paquetes que acceden a dichos servidores.

Su funcionamiento está basado en tres simples conceptos:

• Un honeypot no es un sistema de producción y, por tanto, nadie debería tratar de comunicarse con él. No habrá falsos positivos. 
• Falsos positivos: alarma cuando no existe ataque.
• Cualquier tráfico que tenga por destino el honeypot será sospechoso de ser un sondeo o un ataque. 
• Cualquier tráfico que tenga por origen el honeypot significará que el sistema ha sido comprometido.

Ventajas

• -->Los honeypots son un concepto increíblemente simple
• -->Conjunto de datos pequeños pero de gran importancia: Los Honeypots recolectan pequeñas cantidades de información. En lugar de loguear 1 Gb por día, loguean sólo 1 Mb de datos por día. En vez de generar 10.000 alertas por día, pueden generar sólo 10 alertas por día.
• -->Reducen el "ruido" recogiendo sólo datos indispensables, de gran valor, los producidos únicamente por "chicos malos". Esto significa que es mucho más fácil (y barato) de analizar los datos que un honeypot recoge.
• -->Los honeypots requieren mínimos recursos, sólo capturan actividad irregular. Esto significa que un viejo Pentium con 128 mb de RAM puede manejar fácilmente una entera red clase B en una red OC-12.
• -->Trabajan bien en entornos encriptados como IPv6.


Desventajas

• -->Visión Limitada: Los honeypots pueden sólo rastrear y capturar actividad que interactúen directamente con ellos. Los Honeypots no podrán capturar ataques a otros sistemas vecinos, al menos que el atacante o la amenaza interactúe con el honeypot al mismo tiempo.
•  â€¨-->Riesgo: los honeypots tienen el riesgo de que sean apoderados y controlados por los "chicos malos" y que lo utilicen para dañar otros sistemas. El riesgo es variado para los diferentes honeypots. Dependiendo en el tipo de honeypots puede haber un riesgo no mayor a la de una falla del sensor IDS, mientras que en otros honeypots puede que haya que enfrentarse a una situación crítica.