May 5, 2017
Estudiantes: Osvaldo Barrios, Mauricio Farías
Tutores: Gustavo Betarte, Alejandro Blanco, Marcelo Rodríguez
Los honeypots pueden estar fuertemente relacionados o acoplados e integrarse en sistemas mas complejos (p.e. redes de Honeypots) para la recolección de datos en un repositorio central o incluso simular una red de computadores a la que se denomina Honeynet.
Estos últimos (honeynet o honeypots de alto nivel de integración) integran una gran cantidad de dispositivos y subsistemas para la captura de datos y el tráfico de red de la actividad de los atacantes. Estos subsistemas son por ejemplo: sistemas de detección de intrusos (IDS), firewall, logs de la actividad sobre los Honeypots y sistemas de monitoreo de bajo nivel en el kernel de los sistemas operativos de los Honeypots para el registro de la actividad de los atacantes. Estos sensores, honeynet o honeypot de alto nivel de interacción, generan un gran volumen de información que es en general almacenada en repositorios y plantean una serie de problemas o desafios, como ser:
- El medio de transmisión entre los sensores y el repositorio debe asegurarse, garantizando la confidencialidad, integridad y autenticidad de los datos.
- Los sensores obtienen los datos aplicando diferentes técnicas y generan la información en diversos formatos, por tanto es necesario estandarizar la manera en la cual se almacena dicha información.
- Debido a que que la honeynet puede estar distribuida, las organizaciones en las cuales se encuentran instalados los sensores o honeynets tienen que tener la opción de permanecer anónimas en lo referente a los datos que consideren confidenciales. Esto supone que se cuente con mecanismo para “sanitizar” la información.
- Debido a que la información recabada puede ser muy abundante, es importante contar con mecanismo eficientes para la captura y el análisis de la información.
Este proyecto está dirigido a estudiar los problemas relativos a la recolección de datos en este tipo de ambientes, investigando diferentes modelos para representar la información junto con los mecanismos para su análisis, brindando la posibilidad de realizar el “enforcement” de las políticas de seguridad de las organizaciones que brindan la información.