Tipos Honeypots

Honeypots de baja interactividad:
Los honeypot de baja interactividad son instalados para emular sistemas operativos o servicios con los cuales los atacantes están acostumbrados a infringir. El atacante cree que se encuentra un servicio o una maquina cuando realmente es una aplicación escrita para hacerse pasar por tal. En este su estado de captura es muy bajo relacionado con los de alta interactividad.
Honeypots de alta interactividad:

En estos el atacante puede interactuar de forma total, es decir no emulan servicios son servicios reales, se suele montar en maquinas virtuales, o en otras maquinas, pues de esta forma estaríamos evitando el ingreso real a nuestras maquinas, su configuración es mas difícil, pero igual captura comandos, pulsaciones, trafico, etc.

IDS

¿Que es un sistema de detección de intrusos "IDS"?

La seguridad en un sistema podríamos clasificarla de dos modos: activa y preventiva. La seguridad activa de un sistema consiste en protegerlo todo lo posible ante potenciales intentos de abuso del mismo. Un firewall es un buen ejemplo de seguridad activa, trata de filtrar el acceso a ciertos servicios en determinadas conexiones para evitar el intento de forzamiento desde alguno de ellos.

Por otro lado, la seguridad preventiva es aquella que implantamos en nuestro sistema para que nos informe si en el está teniendo lugar una incidencia de seguridad. No pretende proteger el sistema, pretende alertarnos de que algo extraño esta sucediendo en el. Un buen ejemplo de seguridad preventiva es un sistema de detección de intrusos.

Un sistema de detección de intrusos es aquel que nos permite recabar información de distintas fuentes del sistema en el que se implanta para alertar de un posible intrusión en nuestras redes o máquinas. La alerta puede ser del hecho de que existe un intento de intrusión, como del modo en el que este se está realizando y en algunos casos por parte de quén esta siendo efectuado. Podemos considerar un sistema de detección de intrusos como un control de auditoría que nos permitirá tomar decisiones a la hora de realizar una auditoría de seguridad de nuestro sistema.

Un sistema de detección de intrusos surge como una medida preventiva, nunca como una medida para asegurar nuestros sistemas, ayudan al administrador de dicho sistema a permanecer al tanto de cualquier intención aviesa contra el sistema que administra.

tipos de IDS

Existen tres tipos de sistemas de detección de intrusos:

1. HIDS (HostIDS): un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor.
2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
3. DIDS (DistributedIDS): sistema basado en la ARQUITECTURA CLIENTE-SERVIDOR compuesto por una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de red. Es la estructura habitual en redes privadas virtueles (VPN)

Sistemas de Decepcion

Los sistemas de decepción o tarros de miel (honeypots), como Deception Toolkit (DTK), son mecanismos encargados de simular servicios con problemas de seguridad de forma que un pirata piense que realmente el problema se puede aprovechar para acceder a un sistema, cuando realmente se está aprovechando para registrar todas sus actividades. Se trata de un mecanismo útil en muchas ocasiones como por ejemplo, para conseguir "entretener" al atacante mientras se tracea su conexión