Honeypot de aplicaciones Web.

Share this…

Los Honeypots como su traducción al castellano indica son “tarros de miel para atraer abejas”, pero en el terreno de la seguridad informática, son servidores (tarros de miel) que emulan tener muchas vulnerabilidades para atraer ataques informáticos (abejas) y registrarlos para su posterior estudio.

Los Honeypots se usan sobre todo para estudiar ataques en una red. Los tarros de miel son también muy usados para la detección temprana de ataques. Pero hay que tener bien claro que un Honeypot no se puede usar como elemento de protección contra ataques.

Los tarros de miel se deben usar con mucha precaución en redes empresariales debido a que sus características (atraer atacantes) pueden poner en peligro la red, cuando el Honeypot es tomado por el atacante, puede ser usado para comprometer la seguridad de otros elementos de la red o para atacar otros sistemas fuera de la red, como por ejemplo: envió masivo de spam, ataques de denegación de servicio…

Glastopf es un honeypot de aplicaciones web escrito en Python. Una vez que un tipo de vulnerabilidad se emula, Glastopf puede manejar ataques desconocidos del mismo tipo. Si bien la aplicación puede ser más lenta y más complicada, se deja correr a merced de los atacantes, hasta que ellos descubran una nueva falla en nuestra aplicación del honeypot, que queda registrada en la base de datos.

Honeypot de aplicaciones Web.

Características principales:

  • Diseño modular para agregar nuevas capacidades de registro. Capacidades para almacenar registros en bases de datos. Soporta HPFeeds para la recopilación de datos centralizada.
  • Permite la inclusión de: archivos remotos a través de una emulación PHP, archivos locales proporcionando un sistema de archivos virtual y la inyección de HTML a través de las peticiones POST.
  • Los atacantes suelen utilizar los motores de búsqueda y solicitudes especiales de búsqueda diseñados para encontrar vulnerabilidades. Con el fin de atraerlos, Glastopf ofrece esas palabras claves, y además, los extractos de las solicitudes, ampliando su superficie de ataque de forma automática. Como resultado, el honeypot se vuelve más y más atractivo con cada nuevo intento de ataque.

Glastopf tiene hpfeeds activado por defecto, una función de registro centralizado. Si no se desea reportar los eventos, se puede desconectar hpfeeds en “glastopf.cfg”. Al enviar los datos a través de hpfeeds se acepta compartir los datos con terceros.

Glastopf puede correr en la plataforma Raspberry Pi bajo Raspbian. Las características de arquitectura de Raspberry Pi lo convierten en un buen candidato para el despliegue de sensores Honeypot.

Fuente:https://www.gurudelainformatica.es/