En el mundo de la seguridad tecnológica hay una máxima no escrita que dice: “conociendo como te atacan puedes defenderte mejor”.

La gran verdad que ofrece esta frase es que, poniendo un poco de empeño podemos aprender de qué manera nuestras barreras fueron vulneradas, para luego tomar medias al respecto. La única pena que la misma frase abarca, es que previamente debemos de sufrir un ataque, lo cual puede comprometer de manera no deseada para nosotros la información que estamos supuestos a custodiar.

Una forma de sacar lo mejor de los dos mundos, o sea, aprender cómo nos atacan sin pagar el precio del ataque sobre nuestra producción, es usando honeypots.

Esta herramienta consiste en un software instalado en un equipo completamente expuesto a la red de donde esperamos el ataque, la cual generalmente es el exterior. Este programa simula servicios abiertos y vulnerables como  http, smtp, ssh, etc., con el objetivo de atraer a los “curiosos” que escanean nuestras redes.

Una vez el equipo es descubierto, comienza el ataque o el intento de intrusión sobre los puertos publicados, los cuales, gracias al honeypot, responden como si fueran un servicio vivo y en producción. Lo que pasa después, es que luego de un tiempo la persona en cuestión cesa los intentos en el puerto simulado, debido a que como es un pseudo-servidor o servicio virtual, el mismo no permite que la interacción pase de cierto punto.

Al final, todo el intercambio de información entre las dos máquinas queda grabado y registrado en logs de data, lo cual permite que los mismos sean posteriormente analizados. Este análisis y estudio de la información capturada debe de generar, si lo hacemos con criterio, medias o acciones que permitan asegurar de mejor manera las premisas de lo que queremos cuidar.

El mundo open-source existen buenos honeypots, fácil de instalar y administrar. Entre las más  utilizadas y que personalmente me han dado buen resultado están:

Tiny honeypot (thp): Es capaz de simular servicios de http, pop3, ftp, ssh, mssql y shell.
Kippo: es un honeypot capaz de simular una sesión ssh pero que adicionalmente trae todo un engranaje que hace más fácil la correlación de logs, incluyendo una interfaz web para mayor comodidad.
Glastopf: es un programa sencillo en Python que emula un web server con muchas vulnerabilidades.