Sistemas Trampa: Revisin del Estado Actual

Miguel Fernndez y Roberto Uribeetxeberria

Departamento de Informtica
Escuela Politcnica Superior
Mondragon Unibertsitatea
20500 Mondragn
{mfernandez, ruribeetxeberria}@eps.mondragon.edu

Resumen
Los sistemas trampa constituyen una herramienta
en auge en el mundo de la seguridad informtica.
En este artculo se hace una descripcin general
de los sistemas trampa. Qu son, para qu se
utilizan, qu tipos de sistemas trampa existen, qu
arquitecturas se pueden utilizar, etc.

1. Introduccin
El arte de la guerra se basa en el engao, Sun
Tzu. Por qu no aplicar las mismas tcnicas que
se utilizan en las guerras para proteger nuestras
redes de los riesgos a los que se enfrentan? La
idea es trasladar una de las estrategias ms
utilizadas por los lderes militares durante toda la
historia a la defensa de las redes y los sistemas.
Esta estrategia es el engao, la emboscada.
Si solamente te defiendes, sers derrotado,
Sun Tzu. Tradicionalmente, las tecnologas de
seguridad intentan bloquear los ataques (como los
cortafuegos) o detectarlos antes de que penetren e
infecten la red (sistemas de deteccin de intrusos).
Ambas tecnologas son crticas, pero tienen
limitaciones. Lo que suele ocurrir muy a menudo
es que estas tecnologas no proporcionan tiempo
suficiente para asegurar todos los sistemas
vulnerables.
Y si dispusiramos de alguna herramienta
que retrasara al atacante, logrando tiempo e
informacin para organizar una buena defensa y
prevenir el ataque? La utilizacin adecuada del
engao puede cumplir estos objetivos. Adems, a
travs del engao podemos averiguar los medios
que utiliza el atacante y, quizs, sus motivos, sin
el coste de analizar un sistema en produccin que
haya sido comprometido. Esta informacin puede

entonces ser utilizada para alimentar las

tecnologas existentes.
En el arte de la guerra, la informacin es
poder. Cuanto mejor conozcas a tu enemigo, ms
capaz sers de derrotarle. Aunque podra ser otra
cita ms de Sun Tzu, es una cita de The
Honeynet Project. Este grupo de investigacin
surgi con el propsito de recoger informacin
sobre los ataques que tienen lugar en Internet [10].
Cuanto ms conozcamos cmo actan los
atacantes, sus mtodos y las herramientas que
utilizan mejor podremos protegernos. Uno de los
medios que podemos utilizar es el de los sistemas
trampa. Es una de las primeras tecnologas (si no
la primera) que desarrolla el concepto del engao
aplicado a las redes de sistemas.
Los sistemas trampa son cebos, seuelos,
sistemas ficticios que se utilizan para detectar,
prevenir y recolectar informacin sobre ataques.
Son equipos generalmente conectados a Internet
que ofrecen desde el exterior una configuracin
que los hace apetecibles a los atacantes. Esta
idea ya haba sido propuesta con anterioridad en
relatos como El huevo del cuco, de Clifford
Stoll y An Evening with Berferd, de Bill
Cheswick.

2. Definicin
Un sistema trampa es un recurso de seguridad
informtica cuyo valor reside en ser explorado,
atacado o puesto en compromiso [1]. Es decir, el
valor de un sistema trampa reside en su
interaccin con los ataques que sufre. Pero, cmo
opera un sistema trampa? Conceptualmente, casi
todos los desarrollos e implementaciones de
sistemas trampa trabajan de la misma manera. Un
sistema trampa no tiene ninguna funcin
autorizada ni ningn valor productivo dentro de

una red corporativa. Por tanto, un sistema trampa

no debera recibir ningn tipo de trfico.
Cualquier intento de conexin con un sistema
trampa es, con total seguridad, una exploracin,
un ataque o un intento de comprometer la
mquina o el servicio que est ofreciendo [2].
2.1. Ventajas e Inconvenientes
El concepto expuesto es muy simple pero muy
potente. Las ventajas (y los inconvenientes) de los
sistemas trampa derivan de esta sencillez
conceptual. Las ventajas que proporcionan los
sistemas trampa son [9]:

Facilidad de anlisis: los sistemas trampa

recolectan pequeas cantidades de datos, pero
de gran valor, ya que slo capturan trfico
potencialmente daino. Con las tecnologas
tradicionales se han de analizar grandes
cantidades de datos o alertas. Es el problema
clsico de buscar una aguja en un pajar [3].
Sin embargo, todo lo que capturan los
sistemas trampa son, directamente, agujas.
Nuevas herramienta y tcticas: los sistemas
trampa pueden ser tiles para observar nuevos
ataques no conocidos.
Trfico cifrado o entornos IPv6: los sistemas
trampa generalmente ofrecen servicios
ficticios a nivel de aplicacin. Por lo tanto,
son adecuadas para desenvolverse en estos
entornos.
Informacin: los sistemas trampa pueden
capturar informacin muy completa. Muy
pocas tecnologas pueden ofrecer informacin
de similar profundidad.

Algunos de los inconvenientes de los sistemas

trampa son [9]:

Perspectiva limitada: los sistemas trampa slo

pueden rastrear y capturar la actividad que
interacta directamente con ellas.
Riesgo: como cualquier dispositivo de
seguridad informtica, los sistemas trampa son
una fuente de riesgo. El mayor riesgo que
ofrece un sistema trampa es que pueda ser
comprometido y utilizado para, desde l,
daar otros sistemas [10].

3. Tipos de Sistemas Trapa

3.1. Segn su Objetivo
Cuando hablamos del objetivo de los sistemas
trampa nos referimos a cmo se utilizan, con qu
propsito. En lneas generales, los sistemas
trampa se utilizan con sentido productivo o
dedicados a la investigacin [9]. En el primer caso
los sistemas trampa protegen las redes en las que
estn instalados. Esta labor incluye la prevencin,
la deteccin y/o la ayuda en la respuesta a ataques.
Cuando se utilizan como un recurso para la
investigacin, los sistemas trampa se usan para
recopilar informacin. Esta informacin puede ser
valiosa para reconocer nuevos patrones o maneras
de actuar en los ataques o para ayudar en la
deteccin temprana y prediccin de estos.
Los sistemas trampa pueden prevenir ataques
de varias maneras. Por ejemplo, frente a ataques
automatizados, como los gusanos. Los sistemas
trampa pueden ser tiles frente a este tipo de
ataques, ralentizando el proceso de exploracin y,
potencialmente, detenindolo. Son los llamados
sticky honeypots, sistemas trampa pegajosos,
que monitorizan el espacio de direcciones IP no
utilizado en las redes en las que estn operando.
Estos sistemas trampa, cuando son explorados o
sondeados, ralentizan el ataque utilizando una
serie de trucos como forzar el tamao de
ventana TCP a cero y obligando al atacante a
mantenerse en espera. De esta manera se logra
que, por ejemplo, aunque un gusano haya logrado
penetrar en nuestra red, no se propague tan
rpidamente [6]. Este tipo de sistemas trampa son
generalmente sistemas de baja interaccin.
HoneyStat es un sistema que, utilizando
sistemas trampa, es capaz de rastrear el
comportamiento de los gusanos. Es un sistema de
deteccin temprana y de respuesta ante la
propagacin de gusanos en redes locales [8].
Algunos autores defienden la utilizacin de
sistemas trampa para evitar o mitigar el impacto
del spam, creando sistemas virtuales con servicios
que son comnmente utilizados para su difusin
(open proxies, open mail relay) [7].
Los sistemas trampa tambin pueden
protegernos frente a atacantes que interactan
directamente contra nuestra red, a travs del
engao o la disuasin. El objetivo en este caso es

confundir al atacante, haciendo que desaproveche

su tiempo y sus recursos interactuando con
sistemas trampa. Mientras tanto, se habr
detectado la actividad del atacante y podremos
reaccionar ante ella, incluso detener el ataque
antes de que se produzca. Adems, si un atacante
sabe que en nuestra red se utilizan sistemas
trampa, es consciente que su actividad puede ser
registrada. En consecuencia, puede decidir no
atacar nuestra red. Es decir, los sistemas trampa
pueden disuadir a algunos atacantes [3].
Los sistemas trampa pueden colaborar en la
deteccin de intrusos, ya que pueden hacer frente
a muchos de los problemas de la deteccin
tradicional. Reducen el porcentaje de falsos
positivos (lo que algunos autores refieren como
reduccin de ruido [1]) recolectando pequeas
cantidades de datos, pero de gran valor, recogen
ataques desconocidos y pueden operar en entornos
cifrados (por tanto, tambin en IPv6).
Adems, existen experiencias de sistemas
trampa colaborando con sistemas de deteccin de
intrusos en la generacin de firmas. Honeycomb
[4] es un sistema que crea firmas de manera
automtica, a partir del trfico observado en el
sistema trampa. Estas firmas son luego utilizadas
en los sistemas de deteccin de intrusos de red. En
Honeycomb se utiliza una versin extendida de
Honeyd como sistema trampa, y genera firmas de
buena calidad, sobre todo en el caso de los
gusanos.
Por ultimo, un sistema trampa puede colaborar
en la respuesta frente a fallos o anomalas. A
menudo, la informacin acerca de quin ha sido el
atacante, qu sistemas ha corrompido o de qu
magnitud es el dao qu ocasionado es escasa. En
estas situaciones es crtico disponer de
informacin detallada sobre lo que ha sucedido
[8]. Son una excelente herramienta de respuesta a
incidentes, ya que pueden ser desconectados en
cualquier momento para realizar un anlisis
forense completo. Adems, la nica actividad que
registran los sistemas trampa es no autorizada o,
por lo menos, sospechosa. Los sistemas trampa
que han sido comprometidos son mucho ms
fciles de analizar que los sistemas reales porque
prcticamente todos los datos que podemos
extraer de ellos reflejarn la actividad del
atacante. En este sentido, los sistemas trampa
estn permitiendo reacciones ms rpidas y
efectivas ante incidentes, gracias a la informacin

en profundidad que suministran. Generalmente los

sistemas trampa utilizados con esta filosofa son
sistemas de alta interaccin.
Con esta informacin, es posible acelerar la
generacin de patrones que, por ejemplo,
alimentan a los sistemas de deteccin de intrusos.
Tambin es posible la interaccin con los
cortafuegos
para,
por
ejemplo,
cerrar
determinados puertos dinmicamente. En este
sentido es interesante el trabajo realizado por
Jamie Van Randwyk y otros autores [11]. Han
creado un sistema que utiliza un sistema trampa
como Honeyd para detectar trfico malicioso y
tomar medidas correctoras que protejan los
sistemas de produccin.
Ahora hablaremos de otro uso diferente que se
puede obtener de los sistemas trampa: la
investigacin sobre amenazas. Los sistemas
trampa dedicados a la investigacin recopilan
continuamente informacin. Esta informacin se
puede utilizar con muchos objetivos, como
anlisis de tendencias, identificacin de nuevas
tcticas o mtodos, identificacin de atacantes,
deteccin temprana, etc [10].
Uno de los ejemplos ms conocidos respecto
al uso de sistemas trampa como sistemas de
investigacin es el trabajo realizado por The
Honeynet Project, una red de investigacin sin
nimo de lucro. Toda la informacin que recogen
se distribuye por todo el mundo. Debido a que, en
el mundo de la seguridad informtica, las
amenazas estn continuamente cambiando, esta
informacin es cada vez ms y ms crtica.
Toda esta informacin, una vez recopilada, es
procesada utilizando tcnicas de anlisis forense,
con el objetivo de averiguar los mtodos, tcnicas
y hasta las motivaciones de los atacantes [12].
3.2. Segn el Nivel de Interaccin
Una de las clasificaciones ms extendidas en torno
a los sistemas trampa es la que hace referencia a
su nivel de interaccin. Pero, a qu llamamos
interaccin? Este concepto se define como el
nivel de interactividad que un sistema trampa
ofrece a los atacantes [9]. En otra palabras, lo
que el sistema trampa permite o no al atacante [3].
Los sistemas trampa de baja interaccin
ofrecen una baja y limitada interactividad hacia
los atacantes. En la mayora de los desarrollos e
implementaciones de sistemas trampa de baja

interaccin, no son ms que simuladores de

servicios y de sistemas operativos. Por ejemplo,
un sistema trampa simulando un servidor FTP
puede emular solamente el login FTP, o puede
soportar una serie de comandos adicionales. Este
tipo de sistemas trampa son tambin conocidos
como servidores seuelo.
La ventaja de los sistemas trampa de baja
interaccin es su simplicidad. Son ms fciles de
instalar y mantener. Adems, con este tipo de
sistemas trampa se minimizan los riesgos
derivados de instalar un dispositivo de estas
caractersticas. Generalmente, la instalacin de un
sistema trampa de baja interaccin implica instalar
el software elegido en la mquina que se va a
dedicar a esta funcin, seleccionar los sistemas
operativos y los servicios que se van a simular y, a
partir de ah, abandonar la mquina a su suerte.
Este enfoque plug and play facilita el despliegue
de sistemas trampa en las redes corporativas [3].
Adems, el hecho de que se simulen tanto
sistemas operativos como servicios hace que se
pueda limitar la actividad de los atacantes, con lo
que se mitiga el riesgo.
Los principales inconvenientes de los sistemas
trampa de baja interaccin son:

Slo registran en sus logs informacin

bastante limitada, pobre.
Estn diseados para capturar solamente
actividad conocida, no pueden simular
respuestas ante ataques nuevos, no conocidos.

En los sistemas trampa de alta interaccin la

estrategia es distinta. No se simula nada, sino que
se trabaja con sistemas operativos y aplicaciones
reales. Es decir, si se necesita un servidor FTP en
una mquina Linux como sistema trampa, se
instala un servidor FTP en una mquina Linux.
Las ventajas con este tipo de soluciones son las
siguientes:

Estos sistemas de alta interaccin registran

una gran cantidad de informacin. Podemos
observar
de
manera
completa
el
comportamiento del atacante, ya que ste
interacta con un sistema real, no emulado.
No hacen suposiciones acerca de cmo
actuarn los atacantes, sino que proporcionan
un entorno abierto que registra toda la

actividad y permiten aprender modos de

actuar que no esperamos o que no conocemos.
Sin embargo, el riesgo que implican estos
sistemas es mucho mayor. Los atacantes se
encuentran frente a sistemas operativos reales, que
pueden comprometer y utilizar para atacar otros
sistemas con valor productivo. En consecuencia,
para prevenir este riesgo es habitual (y necesario)
acompaar a estos sistemas trampa con otras
tecnologas de seguridad como cortafuegos y
sistemas de deteccin de intrusos.
En resumen, los sistemas trampa de alta
interaccin tienen un potencial mucho mayor que
los de baja interaccin. Tambin son ms
complicados de implementar y mantener y,
adems, suponen un mayor peligro.
3.3. Honeytokens
El concepto de honeytoken es reciente. Es otro
tipo de sistema trampa o cebo, pero no es una
mquina (real o emulada), es algn tipo de entidad
digital [3]. Puede ser cualquier recurso atractivo,
por ejemplo:

Usuarios/contraseas
Informacin sobre tarjetas de crdito
Claves de cifrado

Por supuesto, toda esta informacin es slo un

cebo, es falsa. Los honeytokens se despliegan en
la red y se monitoriza su acceso. Una tendencia de
los usuarios de las redes suele ser la exploracin
de stas en busca de recursos compartidos e
informacin a la que no deberan tener acceso.
As, es posible comprobar el comportamiento y la
actividad de los usuarios internos de nuestras
redes. Generalmente, los honeytokens se utilizan
para comprobar la seguridad interna de las redes
[9].
En la red de la Universidad de Mondragon
utilizamos direcciones de correo falsas para
intentar mitigar el spam. Estas direcciones se
incluyen de manera no visible en distintas pginas
Web y son tiles frente a herramientas
automatizadas que sondean Internet en busca de
direcciones de correo electrnico.

4. Arquitectura de los Sistemas Trampa

En este apartado se va a tratar sobre las opciones
de implementacin y de recogida de datos en los
sistemas trampa.
4.1. Sistemas Trampa Fsicos
Un sistema trampa fsico es una mquina real, con
un sistema operativo real, su propia direccin IP,
aplicaciones y servicios reales, etc. Simplemente,
son instalaciones de un sistema operativo en una
mquina para luego supervisarla [10].
Los sistemas trampa fsicos son fciles de
instalar y se puede elegir cualquier sistema
operativo, sin lmites. Tienen tambin algunas
desventajas:

La restriccin ms simple es una utilizacin

menos ptima de los recursos disponibles, ya
que solamente se puede ejecutar un sistema
operativo en una mquina simultneamente.
La reinstalacin de un sistema comprometido
puede ser problemtica o, al menos, puede
consumir mucho tiempo.

El uso de mquinas reales como sistemas

trampa introduce un riesgo que debe ser
controlado, ya que los atacantes pueden
comprometer el sistema para utilizarlo como
plataforma para atacar otros sistemas. Son
sistemas que permiten una alta interaccin [3].
4.2. Sistemas Trampa Virtuales
Un sistema trampa virtual se simula por otra
mquina que soporta un software capaz de emular
distintos sistemas operativos y servicios [10]. Esta
mquina responde al trfico enviado al sistema
virtual. Este tipo de sistemas trampa virtuales son
atractivos porque reduce los recursos necesarios
para implementarlos. As, con sistemas virtuales
se puede poblar fcilmente una red con varios
hosts ejecutando distintos sistemas operativos y
aplicaciones. Es clave simular exactamente la pila
TCP/IP del sistema que se quiere representar, para
convencer a los atacantes de que se enfrentan a un
sistema real. Los sistemas trampa virtuales se
instalan como huspedes sobre un sistema
operativo anfitrin. Adems, se optimizan los

recursos necesarios, ya que sobre una misma

mquina se pueden simular varios sistemas trampa
huspedes.
Por supuesto, el sistema operativo anfitrin no
debe ser vulnerable y debe estar escondido,
invisible a los atacantes. Este es uno de los
principales retos de los sistemas trampa virtuales,
dificultar la identificacin de sistemas simulados
por parte de los atacantes.
Honeyd es un ejemplo de una aplicacin de
este tipo. Es una solucin de libre distribucin que
puede simular varias aplicaciones de varios
sistemas
operativos,
incluyendo
sistemas
operativos de dispositivos de red, como routers.
Adems, Honeyd puede asumir las direcciones no
utilizadas en una red IP.
4.3. Captura de Datos
Una de las funciones principales de cualquier
sistema trampa, independientemente de su
propsito, es la captura de informacin. En el caso
de los sistemas trampa en entornos de
investigacin la captura de datos es fundamental
[9], ya que el objetivo es registrar todo lo que
ocurre en un sistema trampa.
Es vital que la informacin que se recoja sea
redundante. Es decir, que no dependamos de una
sola fuente de informacin. El enfoque habitual es
realizar la captura de datos a distintos niveles.
Adems, si disponemos de distintas fuentes de
informacin, la imagen que podemos obtener ser
mejor. Una de las cuestiones a tener en cuenta es
no almacenar informacin en el propio sistema
trampa. La razn es la probable prdida de datos
ocasionada por el atacante. El objetivo es
monitorizar la actividad en el sistema trampa, sin
que el atacante pueda acceder a la informacin
que estamos registrando. Como norma general, la
informacin se ha de registrar en una mquina a la
que el atacante no pueda tener acceso.
Un primer nivel de registro lo pueden
constituir los logs de los cortafuegos de nuestra
red, para observar el trfico hacia/desde el sistema
trampa. Podemos utilizar los logs del sistema
trampa como segundo nivel de captura de datos.
Los logs del sistema proporcionan informacin
muy valiosa, ya que registran las actividades de
todos los procesos, tanto del sistema operativo
como de usuarios. Sin embargo, una de las
primeras acciones de un atacante en un sistema

comprometido es alterar o, simplemente, borrar

los logs para no dejar huellas. Por eso, es habitual
registrar los logs del sistema trampa en otra
mquina. El problema es que el atacante puede
darse cuenta de esto analizando el trfico de red.
Como tercer nivel se puede utilizar un sniffer
y capturar todo el trfico que va hacia/desde el
sistema trampa. A travs de la informacin
recopilada, podemos reconstruir la actividad del
atacante. La monitorizacin se ha de realizar
desde una mquina distinta al sistema trampa.
Habitualmente se utilizan analizadores de red
como Ethereal o, incluso, sistemas de deteccin de
intrusos como Snort . Esta ltima opcin permite,
no slo capturar datos, sino generar alertas si se
observa algn tipo de trfico que el sistema de
deteccin de intrusos identifique como un ataque.
El inconveniente es que si el atacante utiliza
protocolos que cifran los datos, la visin que se
obtiene no es completa. Generalmente, los
atacantes suelen tomar la precaucin de cifrar sus
canales de comunicacin, por ejemplo, con
servicios como SSH. Ms an, si el host vctima
no dispone de estos servicios, ellos mismos los
instalan.
Una solucin para evitar esta proteccin que
proporciona el cifrado es modificar el sistema
operativo de los sistemas trampa y obtener la
informacin sobre las actividades del atacante del
propio sistema operativo. Este mecanismo se basa
en la interceptacin de las llamadas al sistema.
Una de las primeras implementaciones de
sistemas trampa que utiliza este mtodo de captura
de datos es Sebek, desarrollado por The
Honeynet Project [3]. Sebek es una herramienta
de captura de datos desarrollada inicialmente en
entornos Linux, pero que ha sido portada a otros
sistemas operativos como plataformas Win32,
Solaris, etc .
Este tipo de herramientas actan generalmente
siguiendo una arquitectura distribuida [5]. En este
trabajo se utiliza un sistema trampa de alta
interaccin para recoger informacin que pueda
ser utilizada como evidencia forense:
La captura de datos propiamente dicha se
realiza por un mdulo, alojado en el ncleo del
sistema operativo, que intercepta las llamadas al
sistema que alteran el sistema de archivos de la
mquina. Este interceptador registra la actividad
del atacante y posteriormente realiza la llamada al
sistema original. De esta forma, es posible
reconstruir exactamente toda la actividad que

realiza el atacante y analizar cmo ha conseguido

comprometer el sistema y qu daos ha causado.
La informacin captada por el interceptador se
transfiere a travs de la red a un mdulo receptor.
Este mdulo est alojado en una mquina segura
en la que se puede realizar un anlisis detallado de
la actividad efectuada por el atacante. En algunos
casos, en esta mquina se aloja una imagen del
sistema de archivos del sistema trampa, con el
objetivo de replicar exactamente los efectos del
ataque [5].

5. Honeynets o Redes Trampa

Una honeynet o una red trampa es un tipo
especfico de sistema trampa. Es un sistema
trampa de alta interaccin que proporciona
sistemas, aplicaciones y servicios reales para que
los atacantes interacten con ellos [3]. Lo que
diferencia a las redes trampa del resto de sistemas
trampa es que es una red de sistemas. Estos
sistemas trampa pueden ser cualquier tipo de
sistema, aplicacin, servicio o, en general,
cualquier tipo de informacin que se quiera
proporcionar a los atacantes [2].
Una red trampa es una arquitectura que
controla y monitoriza toda la actividad que sucede
en su interior [10]. Existen dos requisitos
fundamentales a la hora de disear e implementar
esta arquitectura: el control de trfico y la captura
de datos [2]. El control de trfico hace referencia a
cmo se contiene o restringe la actividad de los
ataques dentro de la red trampa, sin que el
atacante se percate de ello. La captura de datos se
refiere a, como ya se ha visto, cmo se registra
toda la actividad del ataque, otra vez sin que el
atacante se de cuenta de que est siendo
monitorizado. De estos dos requisitos, el ms
importante es el control de trfico.
5.1. Control de Trfico
El control de trfico intenta mitigar el riesgo que
supone desplegar una red trampa. Qu
entendemos por riesgo en este caso? El hecho de
que, potencialmente, el atacante puede llegar a
utilizar la red trampa para atacar y daar otros
sistemas crticos [3]. En cada implementacin se
ha de llegar a un nivel de compromiso entre el
grado de interaccin que se va a permitir a los
atacantes y las restricciones que se van a aplicar.

Una de las recomendaciones ms extendidas para

afrontar el control de trfico es realizarlo a
distintos niveles. Es decir, que no sea una tarea
responsabilidad de un nico dispositivo. Por
ejemplo, combinar estrategias como el recuento de
conexiones salientes de la red trampa, sistemas de
prevencin de intrusiones o restricciones de ancho
de banda. As, evitamos que exista un nico punto
crtico de fallo.
Por ltimo, siempre hay que tener en cuenta
que el control de trfico slo minimiza el riesgo,
no lo elimina por completo.
5.2. Captura de Datos
El reto es capturar la mayor cantidad de
informacin posible sin que los atacantes se
percaten de ello [3]. Es muy recomendable utilizar
varias estrategias distintas o niveles (tanto a nivel
de red como de host) para la captura.
Uno de los problemas que se han de afrontar
es que la actividad de los atacantes se realiza
sobre protocolos cifrados (IPSec, SSH, SSL, etc.).
Los mecanismos de captura de datos que se
utilicen han de tener en cuenta este tipo de trfico
[9]. Otra de las cuestiones clave es la de
minimizar el riesgo de que los atacantes perciban
que estn siendo monitorizados. Para ello, se
utilizan
sistemas
trampa
mnimamente
modificados para la captura. Si se introducen
muchas modificaciones aumenta la posibilidad de
deteccin. Adems, es recomendable que todos
los datos capturados no se almacenen localmente
en los sistemas de la red trampa, sino en sistemas
seguros y separados de la red trampa [3]. Ya se ha
hablado anteriormente en este documento sobre
las distintas tcnicas para la captura de datos.
Como ejemplo de una implementacin real se
puede comentar la red trampa de la Universidad
de Mondragon. Hemos desplegado una red trampa
utilizando sistemas virtuales sobre una sola
mquina real. Actualmente se ofrecen a los
atacantes una mquina virtual Red Hat 9.0 y una
mquina virtual Windows XP, ambas con
servicios muy comunes: servidores Web, FTP,
correo, Telnet y SSH. Existe otra mquina que
acta como frontera a esta red y se ocupa de la
monitorizacin de la red, el control y la captura de
datos. Actualmente la red trampa est conectada
en la red interna de la Universidad, con el objetivo
de recoger informacin y evaluar el

comportamiento de los usuarios internos de la red

y la variedad de ataques que se utilizan.
Posteriormente se instalar esta red en un
segmento
conectado
a
Internet,
con
direccionamiento pblico.

6. Granjas de Sistemas Trampa

Una de las soluciones al problema de la visin
limitada de los sistemas trampa es desplegar
varios (o muchos) sistemas trampa, pero as se
complica la administracin de los sistemas.
Una posible solucin para simplificar los
grandes despliegues de sistemas trampa son las
llamadas granjas de sistemas trampa. La idea es
muy simple: en vez de instalar sistemas trampa en
todas y cada una de las redes que queremos
monitorizar, los instalamos en una nica
localizacin. Esta nica red trampa se convierte
as en una granja de sistemas trampa, un recurso
dedicado. La cuestin a resolver ahora es redirigir
los ataques a la granja, independientemente de la
red que est siendo objeto del ataque. Es decir,
hay que instalar redirectores que se ocupen de esta
funcin. Un redirector acta como un proxy, su
objetivo es transportar todo el trfico procedente
del atacante hacia la granja de servidores, sin que
el atacante perciba este cambio. Este concepto
tambin es conocido como Hot Zoning [3].
Esta centralizacin de sistemas trampa tiene
enormes ventajas potenciales:

Implantar sistemas trampa se convierte en una

tarea extremadamente simple.
Actualizar y mantener los sistemas trampa
tambin es mucho ms sencillo.
Se reduce el riesgo que implican los sistemas
trampa, ya que podemos ejercer un fuerte
control sobre una nica localizacin, la granja
de sistemas trampa.

La idea de un redirector que trabaje en

colaboracin con las granjas de sistemas trampa
tiene muchos retos que afrontar. El mayor de ellos
es transportar el trfico de un atacante desde una
red a otra, la red de la granja, sin que el atacante
lo perciba.

7. Conclusiones y Lneas Futuras

Los sistemas trampa constituyen una tecnologa
con un gran potencial como tcnica de seguridad.
Esta capacidad empieza a ser explorada, estamos
asistiendo en el presente a desarrollos sobre esta
tecnologa que estn centrados en resolver algn
tipo de problema ms concreto: generacin de
firmas para sistemas de deteccin de intrusos,
deteccin de gusanos, medidas de respuesta frente
a ataques, etc. Por lo tanto, es una tecnologa
joven, pero con muchas posibilidades.
Parece claro que, dentro de las muchas
implementaciones que podemos encontrar, las
redes trampa son las que ms posibilidades
ofrecen. Esto es cierto para los mbitos de
produccin e investigacin, as que seguramente
nos encontraremos en el futuro con nuevos
desarrollos de sistemas trampa que exploten los
beneficios de este tipo de redes.
Por supuesto, no todo son ventajas. Los
sistemas trampa se enfrentan a una serie de
problemas que se deben afrontar. Sin despreciar el
riesgo que supone instalar una solucin de este
tipo, quizs el reto ms importante que han de
superar sea el de solucionar la limitada
perspectiva de la que disponen. La lnea con ms
posibilidades en este sentido es el desarrollo de las
granjas de sistemas trampa. Actualmente ya
existen implementaciones de este tipo, pero es una
tendencia en continua innovacin.
En los sistemas trampa que se dedican a
recopilar
informacin
para
investigar
posteriormente los ataques sufridos, una de las
tareas ms tediosas es la de analizar a posteriori lo
que ha ocurrido en el sistema comprometido. Una
de las mejoras a los sistemas trampa dedicados a
la investigacin puede ser el desarrollo de
herramientas que automaticen la tarea de anlisis
forense. Este es un campo poco explorado hasta el
momento.
El potencial real de los sistemas trampa y de
las redes de sistemas trampa no se alcanzar hasta
que las organizaciones que instalan cebos de este
tipo no compartan la informacin que cada uno
recoge y se realice una correlacin a gran escala.
Este es el objetivo de The Honeynet Project:
desplegar mltiples sistemas trampa en un entorno
distribuido y registrar toda la informacin en una
gran base de datos centralizada. Para ello es
necesario estandarizar la informacin que se

recoja y desarrollar interfaces de usuario que

analicen y correlacionen los datos.

Referencias
[1] Charles, K. Decoy Sytems. International
Journal of Digital Evidence, Winter 2004,
Volume 2, Issue 3, enero de 2004.
[2] Gallego, E., Lpez de Vergara, J. Honeynets:
Aprendiendo del Atacante. IX Congreso
Nacional de Internet, Telecomunicaciones y
Movilidad, febrero de 2004.
[3] The Honeynet Project. Know Your Enemy.
Addison Wesley, 2004.
[4] Kreibich, C., Crowcroft, J. Honeycomb,
Creating Intrusion Detection Signatures using
Honeypots. ACM SIGCOMM Computer
Communications Review, Volume 34,
Number 1, enero de 2004.
[5] dOrey Posser de Andrade Carbone, M., Lcio
de Geus, P. A Mechanism for Automatic
Digital Evidence Collection on HighInteraction Honeypots. Proceedings of the
2004 IEEE Workshop on Information
Assurance and Security, junio de 2004.
[6] Oudot, L. Fighting Internet Worms With
Honeypots. Black Hat Asia 2003, diciembre
de 2003.
[7] Provos, N. A Virtual Honeypot Framework.
Proceedings of 13th USENIX Security
Symposium, octubre de 2003.
[8] Qin, X., Dagon, D., Gu, G., Lee, W. Worm
Detection Using Local Networks. Proceedings
of The 7th International Symposium on
Recent Advances in Intrusion Detection
(RAID 2004), septiembre de 2004
[9] Spitzner, L. Tracking Hackers. Addison
Wesley, 2002.
[10] Spitzner, L. The Honeynet Project: Trapping
the Hackers. IEEE Security & Privacy, marzo
de 2003.
[11] Van Randwyk, J., Thomas, E., Carathimas,
A., McClelland-Bane, R. Adaptive Network
Countermeasures.
Sandia
National
Laboratories,
Http://www.prod.sandia.gov,
octubre de 2003.
[12] Yasinsac, A., Manzano, Y. Honeytraps, A
Network Forensic Tool. Proceedings of the
7th World Multi-conference on Systemics,
Cybernetics and Informatics (SCI 03), julio de
2003.