NOVA (Network Obfuscation and Virtualized Anti-Reconnaissance)

Iniciado por Gabriela, Junio 30, 2015, 03:21:14 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 30, 2015, 03:21:14 AM Ultima modificación: Julio 17, 2015, 07:56:48 PM por Cl0udswX

Para los que queráis revisar sobre de que trata el tema de los honeypots, podéis mirar aquí: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Aviso: El post plantea una visión panorámica de la tools en base a la documentación que se cita en la fuente. Asumo la responsabilidad de los errores de traducción, no siendo esta literal ni lineal, sino una síntesis. 

¿Qué es NOVA?

NOVA, es una herramienta de código abierto que funciona bajo Linux.  Detecta (y previene) toda clase de reconocimientos a una red,  tanto de un atacante extraño a la misma, como alguien de dentro  (empleados no autorizados) que estén tratando explorar la infraestructura de la red, o incluso malware; por eso altamente eficaz para cooperar en el mantenimiento de la seguridad. 

¿Cómo funciona NOVA?

NOVA, posibilita la creación de múltiples máquinas virtuales en la red a proteger (bajo una versión mejorada de Honeyd) con la apariencia de reales, sirviendo de señuelo al intruso cuando, por ejemplo,  escanea con herramientas  como Nmap o Nessus; pero que en definitiva, cumplen la función de confundir el  objetivo del atacante por medio de los falsos nodos.





Por otra parte, en la detección de actividad, NOVA utiliza algoritmos de 'aprendizaje' automático, activándose las alertas cuando se detecta actividad sospechosa o intentos de penetración  hostil, por lo que no será necesario acudir a la búsqueda manual en los archivos de registro del honeypot. La intrusión  se notifica a los administradores mediante la generación de alarmas al correo o entradas syslog.





Con una interfaz web intuitiva, de sencilla configuración, ofrece la información recogida en los honeypots en una serie de cuadros, gráficos y  tablas de tráfico que muestran los intentos de intrusión, cuyos datos permiten a los administradores de los sistemas de seguridad determinar si existe una amenaza en la red.










En síntesis, se puede destacar:

-Limita los efectos de  ciber ataques internos y externos, detecta actividad sospechosa actuando como IDS, proporciona datos falsos a los atacantes, y alerta a los administradores de red de sucesos críticos.

-Impide a los atacantes hostiles de realizar el reconocimiento sobre redes privadas.

-Mejora el conocimiento de la situación sobre las redes.

- Útil para entrenar y formar equipos de trabajo en la detección de intrusiones a la red.


Github: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Fuentes (en inglés):http: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.
Junio 30, 2015, 04:28:53 AM #1 Ultima modificación: Junio 30, 2015, 04:33:26 AM por EPSILON
Muy buena info. @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta !, me hiciste acordar a los famosos "Honeypots", vaya si no abre caído en esos cuando comencé en este mundo, hasta encontraba shells Googleando y pensaba que eran de algún atacante que entro antes y era puro honeypot, puesto que los hay para todo tipo de plataformas y servicios. jajaja

Saludos!
Julio 06, 2015, 11:05:04 PM #2
Buen aporte, hay que ponerlo a prueba en un servidor que tengo para repartir internet con antenas ubiquiti y probar depues de unos nodos haber que tal anda.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario