{"id":28,"date":"2007-01-22T09:05:27","date_gmt":"2007-01-22T12:05:27","guid":{"rendered":"http:\/\/talsoft.com.ar\/weblog\/?page_id=28"},"modified":"2007-01-23T12:21:15","modified_gmt":"2007-01-23T15:21:15","slug":"honeynets-virtuales","status":"publish","type":"page","link":"https:\/\/www.talsoft.com.ar\/site\/es\/varios\/seguridad-informatica\/honeynets-virtuales\/","title":{"rendered":"Honeynets Virtuales"},"content":{"rendered":"

<\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font>Traducci\u00c3\u00b3n del texto: Know your enemy (Learning with VMware), disponible en
\nHoneynet Project<\/a>
\nhttp:\/\/www.honeynet.org<\/a>
\n\u00c3\u0161ltima Modificaci\u00c3\u00b3n: 27 de enero de 2003<\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font>\u00c2\u00a0<\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/font><\/p>\n

Licencia de la traducci\u00c3\u00b3n<\/h3>\n

<\/font>Se da permiso para copiar, distribuir y\/o modificar este documento bajo los t\u00c3\u00a9rminos de la Licencia Libre de Documentaci\u00c3\u00b3n GNU, versi\u00c3\u00b3n 1.2 o cualquier versi\u00c3\u00b3n posterior publicada por la Free Software Foundation (Fundaci\u00c3\u00b3n para el Software Libre); este documento no tiene secciones invariantes, textos de portada ni de contraportada. Se incluye una copia de dicha licencia en la secci\u00c3\u00b3n titulada \u00abLicencia de Documentaci\u00c3\u00b3n Libre GNU\u00bb.<\/font><\/p>\n

\u00c2\u00a0<\/p>\n

Las Honeynets Virtuales son una soluci\u00c3\u00b3n que te permiten ejecutar una Honeynet completa con m\u00c3\u00baltiples sistemas operativos en la misma m\u00c3\u00a1quina f\u00c3\u00adsica. Discutidas por primera vez en el art\u00c3\u00adculo Conoce a tu enemigo: Honeynets Virtuales, estas soluciones tienen la ventaja de ser m\u00c3\u00a1s f\u00c3\u00a1ciles de desplegar y m\u00c3\u00a1s sencillas de administrar. El Honeynet Project tambi\u00c3\u00a9n ha encontrado en VMware un excelente entorno de desarrollo para tecnolog\u00c3\u00adas Honeynet. En este art\u00c3\u00adculo, te contaremos paso a paso c\u00c3\u00b3mo construir y desplegar tal soluci\u00c3\u00b3n utilizando el software comercial VMware. En este caso, construiremos una Honeynet Virtual GenII (2a Generaci\u00c3\u00b3n) con cinco honeypots distintos. Se asume que has le\u00c3\u00addo y entiendes los conceptos discutidos tanto en CTE: Honeynets Virtuales como en CTE: Honeynets. Adem\u00c3\u00a1s, si esta es la primera vez que trabajas con tecnolog\u00c3\u00adas Honeynet, te recomendamos encarecidamente que lo hagas en un ambiente de laboratorio. Por \u00c3\u00baltimo, como ocurre con todo el software virtual, necesitas saber que existe el riesgo de que los atacantes identifiquen, y potencialmente salgan de, el entorno virtual. Has sido advertido.<\/font><\/p>\n

Plan de Ataque
\n<\/font><\/strong>El formato de este art\u00c3\u00adculo es similar al de CTE: User-Mode Linux, se divide en cinco partes. En la primera parte describiremos qu\u00c3\u00a9 es VMware, c\u00c3\u00b3mo trabaja, y c\u00c3\u00b3mo se instala. En la segunda parte, describimos c\u00c3\u00b3mo configurar VMware e instalar tu honeypot. En la tercera parte describimos c\u00c3\u00b3mo implementar el Control de Datos en tu Honeynet VMware utilizando IPTables. En la cuarta parte describimos c\u00c3\u00b3mo implementar la Captura de Datos utilizando Snort. Finalmente, en la quinta parte, describimos c\u00c3\u00b3mo probar tu configuraci\u00c3\u00b3n.<\/font><\/p>\n

VMware
\n<\/font><\/strong>VMware es un software de virtualizaci\u00c3\u00b3n que te permite ejecutar m\u00c3\u00baltiples sistemas operativos al mismo tiempo. Al contrario que User-Mode Linux, VMware te permite ejecutar diferentes sistemas operativos, mientras funcionen en la arquitectura Intel X86. Desarrollado y vendido por VMware Inc, hay en realidad tres productos diferentes que puedes escoger: Worstation, GSX, o ESX. De los tres, nosotros usaremos GSX. GSX es m\u00c3\u00a1s potente que Workstations, dise\u00c3\u00b1ado para implementar m\u00c3\u00a1s de dos sistemas operativos al mismo tiempo y soporta administraci\u00c3\u00b3n remota. No obstante, la mayor\u00c3\u00ada de la informaci\u00c3\u00b3n comentada aqu\u00c3\u00ad tambi\u00c3\u00a9n es aplicable a Workstation. Para los prop\u00c3\u00b3sitos de este art\u00c3\u00adculo, vamos a construir nuestra Honeynet Virtual en un port\u00c3\u00a1til, concretamente un IMB Thinkpad T23, utilizando un procesador PIII a 1Ghz y 768 MB de RAM. El sistema operativo de base es Red Hat 7.3.<\/font><\/p>\n

VMware trabaja instalando software de virtualizaci\u00c3\u00b3n en tu m\u00c3\u00a1quina. Este software permite luego arrancar y ejecutar m\u00c3\u00baltiples sistemas operativos al mismo tiempo. El primer sistema operativo que est\u00c3\u00a1 instalado, el sistema operativo de base, se llama HostOS. Este es el sistema operativo en el que instalas VMware. Una vez que hayas instalado el HostOS y el VMware, puedes instalar sistemas operativos adicionales que se ejecuten dentro del entorno virtual. Todos estos sistemas operativos adicionales se llaman GuestOS, ya que son \u00abinvitados\u00bb en el sistema operativo base (HostOS). Para comprender mejor c\u00c3\u00b3mo funciona esto, consulta la Figura 1. Instalar VMware en un HostOS Linux es muy f\u00c3\u00a1cil, simplemente instala un paquete RPM. <\/font><\/p>\n

Hay paquetes adicionales que podemos instalar, tales como el paquete de administraci\u00c3\u00b3n remota. Sin embargo, nuestro port\u00c3\u00a1til no lo necesita ya que toda la administraci\u00c3\u00b3n se har\u00c3\u00a1 localmente. Para m\u00c3\u00a1s informaci\u00c3\u00b3n sobre estos paquetes adicionales, consulta la documentaci\u00c3\u00b3n de VMware.<\/font><\/p>\n

Control de Datos<\/font><\/strong>
\nUna vez que has configurado VMware y los honeypots, el siguiente paso es el Control de Datos. El objetivo del Control de Datos es controlar qu\u00c3\u00a9 es lo que el atacante puede hacer en la entrada y salida de la Honeynet. T\u00c3\u00adpicamente, permitimos cualquier cosa en la entrada a los sistemas Honeynet, pero limitamos la salida. En este art\u00c3\u00adculo usaremos IPTables, un cortafuegos OpenSource que viene con Linux. IPTables es un cortafuegos altamente flexible, que incluye la habilidad de limitar conexiones, traducci\u00c3\u00b3n de direcciones de red (NAT), registro, y muchas otras caracter\u00c3\u00adsticas. Configuraremos IPTables para que act\u00c3\u00bae como filtro en nuestro HostOS, contando los paquetes de salida. Una vez que se haya alcanzado el l\u00c3\u00admite de conexiones de salida, cualquier intento posterior ser\u00c3\u00a1 bloqueado, previniendo que el honeypot comprometido da\u00c3\u00b1e a otros sistemas. Configurar e implementar esas caracter\u00c3\u00adsticas puede ser extremadamente complejo. No obstante, el Honeynet Project ha desarrollado un script<\/em> IPTables llamado rc.firewall que hace el trabajo por ti. Simplemente tienes que modificar las variables del script<\/em> para que se adapten a tu Honeynet, y luego ejecutar el script<\/em>.<\/font><\/p>\n

La primera cosa que tienes que decidir es si quieres que tu pasarela funcione en modo de enrutamiento de nivel tres (\u00ablayer three routing mode\u00bb), o en modo puente de nivel dos (\u00ablayer two bridging mode\u00bb). El modo puente de nivel dos (tambi\u00c3\u00a9n conocido como GenII, o segunda generaci\u00c3\u00b3n) es el m\u00c3\u00a9todo preferido. Cuando tu pasarela act\u00c3\u00baa como puente, no hay enrutamiento o decrementos de paquetes TTL (\u00abtime to live\u00bb), act\u00c3\u00baa como un dispositivo de filtro invisible, haci\u00c3\u00a9ndola m\u00c3\u00a1s dif\u00c3\u00adcil de detectar ante atacantes. Sin embargo, para que las IPTables trabajen en modo puente, tu n\u00c3\u00bacleo debe estar parcheado para que lo soporte. Por defecto, la mayor\u00c3\u00ada de los n\u00c3\u00bacleos no soportan IPTables en modo puente. El n\u00c3\u00bacleo 2.4.18-3 de Red Hat es uno de los pocos que soportan esto por defecto. Si deseas parchear tu n\u00c3\u00bacleo, puedes encontrar el parche en http:\/\/bridge.sourceforge.net\/download.html. En este art\u00c3\u00adculo, asumiremos que tu n\u00c3\u00bacleo SOPORTA IPTables en modo puente. Si tu n\u00c3\u00bacleo no lo soporta, consulta el art\u00c3\u00adculo CTE: UML para m\u00c3\u00a1s informaci\u00c3\u00b3n sobre la configuraci\u00c3\u00b3n del script<\/em> rc.firewall para el modo enrutamiento de nivel tres.<\/font><\/p>\n

Vamos a comentar c\u00c3\u00b3mo configurar el script<\/em> rc.firewall para implementar la funcionalidad GenII. Hay dos \u00c3\u00a1reas cr\u00c3\u00adticas que configurar, los asuntos de red y los de conexi\u00c3\u00b3n. En realidad, la red es m\u00c3\u00a1s simple en modo puente que en modo de enrutamiento. En modo puente no hay enrutamiento, ni asuntos de Traducci\u00c3\u00b3n de Direcciones de Red (NAT). Simplemente convertimos el HostOS en un puente, y los GuestOS interact\u00c3\u00baan directamente con otras redes. Para los asuntos de conexi\u00c3\u00b3n, tenemos que configurar cu\u00c3\u00a1ntas conexiones de salida permitimos. Estas opciones las tenemos que configurar como sigue. Primero, tienes que establecer las direcciones IP p\u00c3\u00bablicas de los sistemas operativos invitados. Esas son las IP que los \u00abhackers\u00bb atacar\u00c3\u00a1n, las IP v\u00c3\u00a1lidas de nuestros honeypots. Como tenemos cinco honeypots, necesitaremos enumerar las cinco direcciones IP. Los filtros del cortafuegos necesitan saber quienes son:<\/font><\/p>\n

PUBLIC_IP=\"10.10.10.201 10.10.10.202 10.10.10.203<\/pre>\n
10.10.10.204 10.10.10.205\"<\/pre>\n
Segundo, necesitar\u00c3\u00a1s identificar el nombre de las interfaces internos para el HostOS. Por defecto, este es eth1. No obstante, nosotros usamos la interfaz virtual vmnet1, y tenemos que modificar esta variable.<\/font><\/p>\n
LAN_IFACE=\"vmnet1\"<\/pre>\n
Tercero, como estamos construyendo una Honeynet GenII, deber\u00c3\u00adas considerar probar las capacidades de Snort-Inline para tirar (\u00abdrop\u00bb) ataques salientes conocidos. Est\u00c3\u00a1 m\u00c3\u00a1s all\u00c3\u00a1 del alcance de este art\u00c3\u00adculo describir los detalles del Snort-Inline, esto se discutir\u00c3\u00a1 en un art\u00c3\u00adculo futuro Conoce a tu Enemigo: Honeynet GenII<\/em>. Sin embargo, puede que consideres el utilizar el Honeynet Snort-Inline Toolkit, que tiene binarios est\u00c3\u00a1ticos, precompilados, ficheros de configuraci\u00c3\u00b3n, reglas preestablecidas (\u00abrulebases\u00bb), y documentaci\u00c3\u00b3n, que podr\u00c3\u00a1s encontrar en la secci\u00c3\u00b3n de Herramientas Honeynet. Si quieres probar esta caracter\u00c3\u00adstica, debes activar la opci\u00c3\u00b3n QUEUE. NOTA: Si habilitas esta opci\u00c3\u00b3n, DEBES tener Snort-Inline funcionando, o TODOS los paquetes de salida se eliminar\u00c3\u00a1n. Si no est\u00c3\u00a1s seguro de este punto, NO habilites esta caracter\u00c3\u00adstica.<\/font><\/p>\n
#QUEUE=\"yes\"<\/pre>\n
# Use experimental QUEUE support QUEUE=\"no\"<\/pre>\n
# Do not use experimental QUEUE support<\/pre>\n
Esas son las m\u00c3\u00adnimas variables que debes considerar, puede haber otras dependiendo de la configuraci\u00c3\u00b3n de tu sistema. Hay opciones adicionales que puedes actualizar, como administraci\u00c3\u00b3n remota, limitar las conexiones que puede iniciar el cortafuegos, y dar a tus honeypots acceso DNS sin restricciones. Tambi\u00c3\u00a9n, por defecto, el script<\/em> limita a cada honeypot las siguientes conexiones de salida por hora: 9 conexiones TCP, 20 conexiones UDP, 50 conexiones ICMP, y 10 otras IP. Los detalles del script<\/em> est\u00c3\u00a1n m\u00c3\u00a1s all\u00c3\u00a1 del alcance de este art\u00c3\u00adculo. Para entender mejor essas variables, te recomendamos que revises el script<\/em> en detalle y pruebes las diferentes opciones en un entorno de laboratorio. Una vez que hayas configurado el script<\/em> rc.firewall, lo implementas ejecut\u00c3\u00a1ndolo. Recuerda, vas a poner tu HostOS en modo puente. Para esto, tu HostOS debe tener las utilidades de puente. En sistemas Red Hat, son conocidas como \u00abbrigde-utils-0.9.3-4\u00bb.<\/font><\/p>\n
Hay dos conceptos a tener en cuenta cuando se usa el modo puente. Primero, tienes que arrancar todos los GuestOS antes de habilitar el puenteo. Cuando los GuestOS arrancan, buscan y utilizan la interfaz vmnet1. Si esta interfaz ya est\u00c3\u00a1 puesta en modo puente, el GuestOS no encontrar\u00c3\u00a1 la interfaz y no podr\u00c3\u00a1 hablar con la red. As\u00c3\u00ad que, inicia todos los honeypots ANTES de ejecutar el script rc.firewall. El segundo es el tiempo, lleva entre 10 y 30 segundos hacer que el puenteo tenga efecto. Tienes que dar tiempo al puente para que aprenda d\u00c3\u00b3nde est\u00c3\u00a1n todas las direcciones MAC antes de que pueda puentear paquetes.<\/font><\/p>\n
host #\/.rc.firewall<\/pre>\n
Para confirmar que el script<\/em> ha tenido \u00c3\u00a9xito, hay varias cosas que comprobar. Primero, aseg\u00c3\u00barate de que el puente ha sido habilitado. Puedes confirmar esto revisando el fichero \/var\/log\/messages, tu n\u00c3\u00bacleo deber\u00c3\u00ada registrar que ha entrado en modo puente (\u00abbridging mode\u00bb). Segundo, deber\u00c3\u00adas tener una nueva interfaz llamada \u00abbr0\u00bb, que es tu puente. Tercero, utiliza el comando \u00abbrctl\u00bb para ver qu\u00c3\u00a9 interfaces est\u00c3\u00a1n unidas al puente. Cuarto, tus interfaces internas y externas no tendr\u00c3\u00a1n una direcci\u00c3\u00b3n IP, ya que ahora est\u00c3\u00a1n en modo puente. Por \u00c3\u00baltimo, revista tus reglas de IPTables para asegurarte de que est\u00c3\u00a1s filtrando conexiones.<\/font><\/p>\n
host #tail \/var\/log\/messages<\/pre>\n
host #ifconfig -a<\/pre>\n
host #brctl show<\/pre>\n
host #iptables -L -n<\/pre>\n
Si todo es correcto, tu Control de Datos est\u00c3\u00a1 en su lugar. Hay otras opciones en la implementaci\u00c3\u00b3n del Control de Datos como la regulaci\u00c3\u00b3n del ancho de banda (\u00abbandwidth throttling\u00bb).<\/font><\/p>\n
Captura de Datos<\/font><\/strong>
\nUna vez completado el Control de Datos, el siguiente paso es la Captura de Datos. El objetivo de la Captura de Datos es capturar toda la actividad del atacante, sin que lo sepa. Hay una variedad de m\u00c3\u00a9todos para implementar esto, sin embargo nos centraremos en dos, registros (\u00ablogs\u00bb) de IPTable y Snort. Los registros de IPTable son los registros generados por el cortafuegos tanto para las conexiones entrantes como salientes. Snort es un IDS OpenSource que utilizaremos para capturar toda la actividad de la red y generar alertas para ataques conocidos.<\/font><\/p>\n
En IPTables, el asunto del registro ya ha sido configurado para nosotros por el script<\/em> rc.firewall. Est\u00c3\u00a1 configurado para registrar todas las conexiones entrantes y salientes en \/var\/log\/messages. Cualquier conexi\u00c3\u00b3n entrante es una indicaci\u00c3\u00b3n de un sondeo, escaneo, o ataque. Cualquier conexi\u00c3\u00b3n saliente indica que un honeypot ha sido comprometido. El valor de los registros de IPTable es principalmente el de alertas. Los registros no tienen suficiente informaci\u00c3\u00b3n para decirnos qu\u00c3\u00a9 est\u00c3\u00a1 haciendo el atacante. El Snort, lo configuramos para capturar todo paquete y su contenido que entra o sale de la Honeynet. Aqu\u00c3\u00ad est\u00c3\u00a1 el fichero de configuraci\u00c3\u00b3n del Snort que inicia el Snort y usa el fichero de configuraci\u00c3\u00b3n recomendado del Snort. Aseg\u00c3\u00barate de actualizar el script<\/em> de inicio para monitorizar la interfaz vmnet1 del HostOS. Probablemente quieras ejecutarlo diariamente, desde el cron.<\/font><\/p>\n
host #.\/snort-start.sh<\/pre>\n
Como esta es una Honeynet GenII, deber\u00c3\u00adas considerar utilizar t\u00c3\u00a9cnicas m\u00c3\u00a1s avanzadas de Captura de Datos, como Sebek. Esto te permite capturar las actividades del atacante desde el n\u00c3\u00bacleo. Hay muchas otras opciones de implementar Capturas de Datos, cuya descripci\u00c3\u00b3n no entra en los prop\u00c3\u00b3sitos de este art\u00c3\u00adculo. Para m\u00c3\u00a1s opciones, comprueba la Secci\u00c3\u00b3n de Herramientas Honeynet.<\/font><\/p>\n
Probar\u00c2\u00a0 tu Honeynet<\/font><\/strong> \u00c2\u00a0VMware<\/font><\/strong>
\nEl quinto, y paso final, para la construcci\u00c3\u00b3n de nuestro Honeynet VMware es probar nuestra configuraci\u00c3\u00b3n, espec\u00c3\u00adficamente el Control de Datos y la Captura de Datos. Queremos asegurarnos de que los requisitos de nuestra Honeynet se comportan seg\u00c3\u00ban lo esperado. Probar el Control de Datos es relativamente simple. Queremos asegurarnos de que cualquier intento por parte del honeypot por iniciar una conexi\u00c3\u00b3n saliente es tanto registrada como controlada. Todos los los intentos de conexi\u00c3\u00b3n deber\u00c3\u00adan registrar una entrada en \/var\/log\/messages, alert\u00c3\u00a1ndonos de que una conexi\u00c3\u00b3n saliente ha sido iniciada, y el honeypot probablemente ha sido comprometido. Tambi\u00c3\u00a9n, una vez que el l\u00c3\u00admite se ha alcanzado, queremos asegurarnos de que no se permiten m\u00c3\u00a1s conexiones salientes. Hay un truco para probar nuestra Honeynet. Puesto que estamos puenteando necesitamos una segunda m\u00c3\u00a1quina, el atacante. Para aquellos que no tienen una segunda m\u00c3\u00a1quina, pod\u00c3\u00a9is ejecutar una segunda m\u00c3\u00a1quina virtualmente iniciando un sistema UML. El sistema UML se asociar\u00c3\u00a1 a la interfaz virtual tap0, mientras que todos nuestros honeypots VMware se asociar\u00c3\u00a1n a la interfaz virtual vmnet1. De esta manera tu HostOS est\u00c3\u00a1 puenteando dos diferentes redes virtuales. Recuerda, tendr\u00c3\u00a1s que modificar tu script<\/em> rc.firewall haciendo que tap0 sea la interfaz externa. Para aprender m\u00c3\u00a1s sobre el funcionamiento del UML, consulta el art\u00c3\u00adculo CTE: UML. El UML puede ser el atacante, sondeando los honeypots VMware. En este art\u00c3\u00adculo, \u00c3\u00a9se es el concepto de prueba que demostraremos. Nuestro atacante UML tendr\u00c3\u00a1 la direcci\u00c3\u00b3n IP 10.10.10.100. <\/font><\/p>\n
Probaremos las conexiones TCP salientes, que por defecto est\u00c3\u00a1n limitadas a 9 por hora. Para probar esto necesitaremos dos ventanas de terminal abiertas. Primero abrimos un terminal sobre el HostOS y monitorizamos los registros de IPTable en \/var\/log\/messages. Cuando iniciamos conexiones salientes desde el GuestOS a trav\u00c3\u00a9s de nuestra pasarela HostOS, deber\u00c3\u00adamos ver los intentos registrados all\u00c3\u00ad. Esta informaci\u00c3\u00b3n es cr\u00c3\u00adtica en cuestiones de alertas, indicando que el honeypot ha sido hackeado<\/em>, y el atacante (o herramienta automatizada) est\u00c3\u00a1 haciendo conexiones salientes. Al empezar la 10a conexi\u00c3\u00b3n saliente, las conexiones TCP deber\u00c3\u00adan ser bloqueadas (se ha alcanzado el l\u00c3\u00admite) y registradas. Abajo est\u00c3\u00a1 el comando que debes ejecutar antes de intentar cualquier conexi\u00c3\u00b3n saliente.<\/font><\/p>\n
host #tail -f \/var\/log\/messages<\/pre>\n
Luego, abre un terminal en el sistema honeypot, nuestro GuestOS. Inicia varias conexiones TCP salientes hacia la IP externa, en este caso 10.10.10.100 (nuestro sistema UML). Probablemente tengas que repetir estos intentos varias veces.<\/font><\/p>\n
Trying 10.10.10.100...<\/pre>\n
telnet: connect to address 10.10.10.100: Connection refused<\/pre>\n
Si ves los intentos registrados, y bloqueados despu\u00c3\u00a9s del l\u00c3\u00admite, has implementado con \u00c3\u00a9xito el Control de Datos. Luego, vamos a asegurarnos de que la Captura de Datos tiene lugar, concretamente que el proceso Snort est\u00c3\u00a1 capturando todos los paquetes y su contenido que entran y salen de la Honeynet. Un proceso Snort deber\u00c3\u00ada estar monitorizando la interfaz interna del HostOS, concretamente vmnet1. Para probarlo, intenta hacer un ping al sistema externo, en este caso otra vez 10.10.10.100.<\/font><\/p>\n
guest #ping -c 3 10.10.10.100<\/p>\n
El proceso Snort deber\u00c3\u00ada tener capturados tres paquetes ICMP Echo Request y su contenido completo. Deber\u00c3\u00ada haber registrado la actividad en registros de formato binario tcpdump. Para confirmarlo, revisa el fichero de registro, hay un ejemplo abajo. Lo cr\u00c3\u00adtico es que no s\u00c3\u00b3lo capturas cada paquete y su cabecera, sino que est\u00c3\u00a1s capturando el contenido completo de cada paquete.<\/font><\/p>\n
host #snort -vdr *snort.log<\/p>\n
\u00c2\u00a1Ya est\u00c3\u00a1! Acabas de completar una prueba muy sencilla de las capacidades del Control de Datos y Captura de Datos. Hay muchas m\u00c3\u00a1s pruebas avanzadas que puedes intentar, como utilizar una segunda y separada m\u00c3\u00a1quina que act\u00c3\u00bae como un sistema en Internet y que interact\u00c3\u00bae con el honeypot. No obstante esto est\u00c3\u00a1 fuera de los objetivos de este art\u00c3\u00adculo.<\/font><\/p>\n
Nota:<\/font><\/strong> <\/font>Mientras este art\u00c3\u00adculo estaba en la fase de revisi\u00c3\u00b3n final, el Honeynet Project empez\u00c3\u00b3 a utilizar una de las otras caracter\u00c3\u00adsticas de VMware para an\u00c3\u00a1lisis forenses avanzados. Concretamente, la caracter\u00c3\u00adstica Suspend<\/em> (Suspender) de VMware. Suspender te permite literalmente suspender la imagen de un GuestOS (o honeypot). Congela todos los procesos y graba la imagen de la memoria en un fichero. Esto significa que puedes Suspender un honeypot, apagar el ordenador, encenderlo una semana despu\u00c3\u00a9s, traer de nuevo del honeypot, des-suspenderlo, y lo tendr\u00c3\u00adas exactamente como lo hab\u00c3\u00adas dejado antes. Esto tiene incre\u00c3\u00adbles aplicaciones forenses. El Project ha empezado grabando im\u00c3\u00a1genes suspendidas de m\u00c3\u00a1quinas hackeadas<\/em>, y luego envi\u00c3\u00a1ndolas a otros para su an\u00c3\u00a1lisis. Esto nos permite analizar un honeypot hackeado<\/em> mientras a\u00c3\u00ban est\u00c3\u00a1 en estado de ejecuci\u00c3\u00b3n. Lo importante aqu\u00c3\u00ad es que al analizar im\u00c3\u00a1genes suspendidas, tienes que asegurarte de que lo haces en una red aislada, o tu honeypot hackeado<\/em> puede intentar conectarse con alg\u00c3\u00ban sistema con el que se comunicara antes de ser suspendido.<\/font><\/p>\n
Conclusi\u00c3\u00b3n<\/font><\/strong>
\nEl objetivo de este art\u00c3\u00adculo era describir paso a paso c\u00c3\u00b3mo construir una Honeynet virtual utilizando el software de virtualizaci\u00c3\u00b3n VMware. La meta es construir una Honeynet entera en una sola m\u00c3\u00a1quina. La ventaja con VMware es que puedes ejecutar muchos y diversos tipos de sistemas operativos al mismo tiempo. Si deseas intentar construir tu propia honeynet VMware puedes conseguir una copia de evaluaci\u00c3\u00b3n.<\/font><\/p>\n","protected":false},"excerpt":{"rendered":"
Traducci\u00c3\u00b3n del texto: Know your enemy (Learning with VMware), disponible en Honeynet Project http:\/\/www.honeynet.org \u00c3\u0161ltima Modificaci\u00c3\u00b3n: 27 de enero de 2003\u00c2\u00a0 Licencia de la traducci\u00c3\u00b3n Se da permiso para copiar, distribuir y\/o modificar este documento bajo los t\u00c3\u00a9rminos de la Licencia Libre de Documentaci\u00c3\u00b3n GNU, versi\u00c3\u00b3n 1.2 o cualquier versi\u00c3\u00b3n posterior publicada por la Free […]<\/p>\n","protected":false},"author":3,"featured_media":0,"parent":13,"menu_order":0,"comment_status":"open","ping_status":"open","template":"","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"class_list":["post-28","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/pages\/28","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/comments?post=28"}],"version-history":[{"count":0,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/pages\/28\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/pages\/13"}],"wp:attachment":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/media?parent=28"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}