Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 6, Número 56, Febrero de 2007

Proyecto Honeynet UNAM

David Jiménez Domínguez

 

En la actualidad, los sistemas de información que cuentan con deficiencias en su diseño o implantación permiten que personas malintencionadas se aprovechen de estas debilidades y busquen vulnerarlos, mediante la creación o empleo de virus, gusanos, correo spam, phishing, bots, entre otras técnicas, amenazando con ello, la seguridad de los datos de las personas y de las organizaciones que emplean dichos sistemas.

Con el objetivo de auxiliar a los usuarios de cómputo en el mejor manejo de sistemas, se han realizado desde hace varios años, a través de la Dirección General de Servicios de Cómputo Académico, diversos estudios y pruebas para reconocer e identificar los ataques que sufren las redes y sistemas de información, no sólo para solucionar el problema cuando se presente, sino para encontrar los mecanismos y herramientas disponibles para contrarrestarlo y prevenirlo.

La UNAM cuenta con redes de datos que forman parte de ambientes muy diversos, al brindar servicio a alumnos, personal académico y administrativo e incluso, a la sociedad en general. Además, al contar con una infraestructura de red inalámbrica como la RIU 1, se han de considerar dispositivos como computadoras portátiles, teléfonos celulares, pocket PCs, organizadores personales, entre otros, para utilizar el servicio de conectividad proporcionado por la Universidad. Es por ello que, en muchas ocasiones, la aplicación de una política restrictiva en el uso de la red, que ayude a mantener un nivel de seguridad aceptable, nos representa un desafío.

De esta forma, nació el Proyecto Honeynet UNAM, el cual tiene como objetivo ser un recurso de seguridad proactiva, que ayude a identificar las amenazas existentes en la red de la Universidad; así como ser un recurso de investigación de seguridad en cómputo, que permita aprender de las tácticas, herramientas y motivos que alientan a personas malintencionadas a atacar la red universitaria.

Honeynets

Una honeynet es una red de computadoras denominadas comúnmente honeypots, cuyo único propósito reside en ser comprometidas por un intruso. No hay personal que utilice estos equipos, simplemente están conectados a la red en espera de que algún atacante intente vulnerarlos de forma remota, es similar a una carnada en busca de una buena pesca. Una honeynet es monitoreada de cerca, en donde todo el tráfico de red dirigido hacia los honeypots es sospechoso por naturaleza, esta actividad puede ser clasificada como una prueba, un escaneo o un ataque en curso.

Una de las ventajas del uso de honeynets para el monitoreo pasivo de red, es que los honeypots pueden ser implantados en computadoras de uso o de bajo costo, no se requiere contar con equipos nuevos o con altos recursos de cómputo, debido a que estos equipos no serán empleados en ambientes de producción. Sin embargo, una de las desventajas del uso de honeynets, es que aun cuando el tráfico es sospechoso por naturaleza, dicha actividad no representará una muestra significativa de toda la actividad maliciosa existente en la red. Otra desventaja es la posibilidad de que el intruso identifique que ha comprometido a un honeypot y elimine, o peor aún, modifique los rastros de la intrusión.

Una honeynet es una red controlada que debe impedir, en caso de que algún intruso comprometa un honeypot, que el equipo pueda ser manipulado para lanzar ataques a otros equipos en la red. Todo el tráfico de red pasa por un solo equipo denominado honeynet gateway (figura 1), el cual se encarga de permitir todo el tráfico de entrada hacia los honeypots y, en caso de reconocer un ataque originado desde los honeypots, lo bloquea. Además, el honeynet gateway limita la cantidad de tráfico originado desde los honeypots hacia el exterior por una fracción de tiempo.

Figura 1. Diagrama de red de una honeynet.

Proyecto Honeynet UNAM

El Proyecto Honeynet UNAM [1] es uno de los proyectos de investigación desarrollados por el Departamento de Seguridad en Cómputo y el Equipo de Respuesta a Incidentes de Seguridad en Cómputo (UNAM-CERT) 2 de la UNAM. Actualmente, cuenta con tres honeynets instaladas en diferentes segmentos de la red universitaria, además de varios honeypots que con la colaboración de varias facultades e institutos de la Universidad –entre los que se encuentran la Facultad de Ciencias Políticas y Sociales, el Instituto de Investigaciones Económicas y la Dirección de Asuntos del Personal Académico (DGAPA)–, ayudan a identificar equipos infectados por malware 3 en la red de la Universidad.

La información obtenida es canalizada a través del UNAM-CERT, a los administradores de red de cada dependencia de la Universidad y, en incidentes externos, a los responsables de la administración del segmento de red o al CERT correspondiente.

Tan sólo en 2006, el Proyecto Honeynet UNAM identificó 1,577 equipos comprometidos en la red universitaria y 132 localizados en redes externas a Red UNAM. La siguiente gráfica muestra que el número de equipos con problemas de seguridad se incrementó al inicio de cada ciclo escolar en 2006 (febrero y agosto), mientras que disminuyó en los periodos vacacionales, sin desaparecer por completo, debido a la actividad permanente de algunas dependencias:

Figura 2. Detección de equipos comprometidos por malware.

Más del 90% de la actividad ilustrada en la figura anterior, es debido a la proliferación de equipos zombie en la red universitaria [2]. En lo que va del 2007 (8 de febrero), se han detectado 89 equipos comprometidos, un número menor al del mismo periodo en el 2006, con 138 equipos.

Actualmente, el Proyecto Honeynet UNAM es miembro probatorio del Honeynet Research Alliance, un foro de organizaciones dedicadas a la investigación de tecnologías honeypot alrededor del mundo, en donde se comparten experiencias, herramientas, lecciones aprendidas y proyectos en común [3].

Parte de la evidencia obtenida mediante los honeypots comprometidos, ha sido empleada para el desarrollo del concurso Reto Forense, organizado por las dos principales entidades académicas de seguridad informática de España y México, la UNAM a través de la DGSCA y el UNAM-CERT, y la empresa pública Red.es a través del Grupo de Seguridad de RedIRIS [4], cuya finalidad es contribuir al mayor conocimiento sobre cómputo forense en Iberoamérica.

La arquitectura de monitoreo usada por el Proyecto Honeynet UNAM es distribuida y está basada, en su totalidad, en el uso de herramientas de software libre.

Para mayor información:

http://www.honeynet.unam.mx

http://www.enterate.unam.mx/Articulos/2005/enero/zombi.htm

http://www.honeynet.org/alliance/index.html

http://www.seguridad.unam.mx/eventos/reto/

 

Notas

1. Red Inalámbrica Universitaria, http://www.riu.unam.mx de TI.

2. UNAM-CERT. único Equipo de Respuesta a Incidentes de Seguridad en Cómputo en América Latina. http://www.cert.org.mx

3. Malware: proviene de una agrupación de las palabras malicious software. Este programa o archivo, dañino para el equipo, está diseñado para insertar virus, gusanos, troyanos o spyware con la idea de conseguir algún objetivo, como podría ser recoger información sobre el usuario o sobre el ordenador en sí. http://www.seguridad.unam.mx/usuario-casero/main.dsc y http://www.malware.unam.mx/

Inicio | Contacto |