Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red...
-
Upload
gabino-vine -
Category
Documents
-
view
216 -
download
0
Transcript of Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red...
![Page 1: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/1.jpg)
Desarrollo de un Sistema Automatizado para
Detectar Causa-Raíz de Problemas de Seguridad en
una Red Carrier
Integrantes:PETTER BYRON CASTRO TIGRE
NOEMÍ DE LOS ANGELES MONTESDEOCA CORREAGEORGE ENRIQUE REYES TOMALÁ
![Page 2: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/2.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA
2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 3: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/3.jpg)
Planteamiento del problema
C A R R I E R
![Page 4: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/4.jpg)
Planteamiento del problema
P R O B L E M A S E N L A R E D
• Robo de información.• Caída de Servicios.• Infecciones Generalizadas.
C A R G A S F I N A N C I E R A S
• El incremento del servicio de atención al cliente.
• Gastos por la tarea de restauración de los servicios de red.
![Page 5: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/5.jpg)
A C C I O N E S P R E V E N T I V A S
P A R A E V I T A R L O S P R O B L E M A S A N T E S M E N C I O N A D O S Inversiones para la construcción de una arquitectura segura
Visibilidad total
• Identificación• Monitoreo• Correlación
Control total• Fortaleza • Cumplimiento• Restricciones
![Page 6: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/6.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 7: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/7.jpg)
Sistema capaz de:
• Identificar y comprender tipos de eventos.
• Analizar y explicar en lenguaje natural los datos obtenidos de la fuente.
• Correlacionar los datos obtenidos de las fuentes.
• Proporcionar una interfaz web muy intuitiva.
• Notificar al cliente y al técnico las incidencias en la red.
![Page 8: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/8.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 9: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/9.jpg)
Herramientas que generan Tráfico Malicioso
BotnetEscaneo de direcciones
Correo no deseado
![Page 10: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/10.jpg)
Ataque de Denegación de Servicio (DoS)
• Inundación SYN (SYN Floods)• Inundación de Flujo (Flow Floods)• Inundación UDP (UDP Floods)
![Page 11: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/11.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 12: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/12.jpg)
Recopilación de los Datos y Centralización de la Información
Evento en la fuente
Evento en el SRC
Address Scan Port Scanning
Syn Floods DoS
Flow Floods DoS
TopSpammers Spam
Identificación de propagadores de spam
Identificación de ataques DoS
Identificación de Gusanos
![Page 13: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/13.jpg)
Evento en la fuente Evento en el SRC
ICMP Network Sweep Port Scanning
TCP SYN Host Sweep Port Scanning
TCP SYN Port Sweep Port Scanning
UDP Bomb DoS
MSSQL Resolution Service Stack Overflow
DoS
Oracle WebLogic Server Apache DoS
Open SSL/TLS Malformed Handshake DoS
Grum bot Spam
Recopilación de los Datos y Centralización de la Información
ASA
• Firewall
• Sistema de detección y protección contra intrusos
![Page 14: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/14.jpg)
Recopilación de los Datos y Centralización de la Información
• Detección y protección contra tráfico anómalo
• Basado en comportamientos
• Identificación de ataques DoS
Evento en la fuente
Evento en el SRC
Attack flow DoS
ADM / AGM
![Page 15: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/15.jpg)
Recopilación de los Datos y Centralización de la Información
Correos enviados por centros de seguridad de información
Evento en la fuente
Evento en el SRC
SPAM SPAM
![Page 16: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/16.jpg)
Recopilación de los Datos y Centralización de la Información
Evento en la fuente
Evento en el SRC
SPAM SPAM
![Page 17: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/17.jpg)
Recopilación de los Datos y Centralización de la Información
Diagrama de forma de acceso a las fuentes
![Page 18: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/18.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 19: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/19.jpg)
Presentación del Sistema Automatizado “Dexter”
![Page 20: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/20.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 21: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/21.jpg)
Pruebas y Resultado
![Page 22: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/22.jpg)
Pruebas y Resultado
sistema@GUARD>show Zones in Auto Protect mode: New_QUITO_186.3.45.26 New_QUITO_186.3.45.84 New_QUITO_186.3.46.67 New_MACHALA2_201.218.34.127Zones in Interactive Protect mode:Zones in Threshold Tuning phase:
sistema@GUARD>show zone New_MACHALA2_201.218.34.127 dynamic-filters details
ID Action Exp Time Source IP Source Mask Proto DPort Frg RxRate(pps)
43 to-user-filters (Acción) 427 * 255.255.255.255 4 * no N/A
Attack flow: 4(protocol) 200.93.237.13(IP Origen) *(puerto origen)
201.218.34.127 (IP destino) * (Puerto destino) no fragments (tipo de tráfico)
Triggering rate: 25.93 Threshold: 11.60
Policy: other_protocols/any/analysis/pkts/protocol
AGM
![Page 23: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/23.jpg)
Pruebas y Resultado
Uceprotect
![Page 24: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/24.jpg)
Pruebas y Resultado
Correos
![Page 25: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/25.jpg)
• Escenario 1: Se reporta la existencia de una IP que estaba realizando un Escaneo de direcciones.
PROCESO MANUAL
1 Tiempo en conectarse al sandvine 57 seg
2Tiempo en buscar la IP en los
diferentes tipos de ataque3 min 48
seg
3Tiempo que tomo en conectarse
al CISCO IME (ASA)7 min 3
seg
4Tiempo que tomo en realizar la
correlación de la información
obtenida.
1 min 44
seg
TOTAL TIEMPO 13 min 58
seg
VIA SISTEMA
1 Tiempo en conectarse al Sistema 11 seg
2 Tiempo en colocar parámetros de
búsqueda en el sistema
33 seg
3 Tiempo de respuesta 17 seg
TOTAL TIEMPO 57 seg
Pruebas y Resultado
![Page 26: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/26.jpg)
• Escenario 2: Se notificó en el Sandvine una IP que se encuentra enviando SPAM.
PROCESO MANUAL
1 Tiempo en conectarse al sandvine 58 seg
2Tiempo en buscar la IP en los
diferentes tipos de ataque6 min 38 seg
3Tiempo que tomo en conectarse al
CISCO IME (ASA)26 seg
4Tiempo que tomo en conectarse al
servidor de correo de email
recibidos por CERT
2 min 14 seg
5Tiempo que tomo en realizar la
correlación de la información
obtenida
2 min 49 seg
TOTAL TIEMPO 13 min 15 seg
VIA SISTEMA
1Tiempo en conectarse al Sistema
12 seg
2Tiempo en colocar parámetros de
búsqueda en el sistema28 seg
3Tiempo de respuesta
10 seg
TOTAL TIEMPO 50 seg
Pruebas y Resultado
![Page 27: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/27.jpg)
• Escenario 3: El administrador realizó la búsqueda de una IP que el módulo AGM reporto que se encontraba realizando un Ataque DDoS .
PROCESO MANUAL
1Tiempo en conectarse al Sandvine
58 seg
2Tiempo en buscar la IP en los diferentes
tipos de ataque4 min 7 seg
3Tiempo que tomo en conectarse al
CISCO IME (ASA)25 seg
4Tiempo que tomo en buscar en las
diferentes firmas la IP en CISCO IME
(ASA)
5 min 39
seg
5Tiempo que tomo en realizar la
correlación de la información obtenida2 min 27
seg
TOTAL TIEMPO 11 min 9
seg
VIA SISTEMA
1Tiempo en conectarse al Sistema
8 seg
2Tiempo en colocar parámetros de
búsqueda en el sistema19 seg
3Tiempo de respuesta
18 seg
TOTAL TIEMPO 35 seg
Pruebas y Resultado
![Page 28: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/28.jpg)
Pruebas y Resultado
Escenario 1 Escenario 2 Escenario 3
Método No Au-tomati-zado
14 13 11
Vía Sis-tema
1 1 1
1
7
13
Comparación de Tiempos de Ob-tención y Correlación entre Método
No Automatizado vs Sistema
Tie
mp
o (
min
uto
s)
![Page 29: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/29.jpg)
• Escenario 4: Se necesitaba obtener un reporte de los equipos infectados
con alguna botnet, mismas que están afectado nuestra red tomando como fecha inicial 4 junio 2011 hasta 6 junio de 2011 y verificar cuantos ataques realizaron y cuantas victimas tuvieron en ese periodo de tiempo .
VIA SISTEMA
1Tiempo en conectarse al Sistema
9 seg
2Tiempo en colocar parámetros de
búsqueda en el sistema38 seg
3Tiempo de respuesta
47 seg
TOTAL TIEMPO 1 min 34 seg
Pruebas y Resultado
![Page 30: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/30.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 31: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/31.jpg)
CONCLUSIONES
• Facilidad en correlación entre cinco diferentes fuentes de detección de eventos maliciosos.
• Herramienta de detección de posibles equipos infectados con botnets.
• Interface gráfica y amigable mas información en tiempo real.
• Notificación a clientes.
• Reducción en tiempos de inspección más visibilidad.
• Se puede aumentar la visibilidad y el control de la seguridad de la red aumentando fuentes de detección heterogéneas.
![Page 32: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/32.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 33: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/33.jpg)
RECOMENDACIONES
• Se podría aumentar otros tipos ataques.
• Como segunda etapa del proyecto se podría implementar la opción de bloqueo de IPs.
• Mejorar la forma de obtención de la
información utilizando SDEE.
![Page 34: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/34.jpg)
Preguntas
![Page 35: Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.](https://reader035.fdocuments.net/reader035/viewer/2022062500/5665b4691a28abb57c915116/html5/thumbnails/35.jpg)
Algunos conceptos
• SDEEINGLES: (Security Device Event Exchange)ESPAÑOL (Intercambio de Eventos en Dispositivos de
Seguridad)
• Protocolo desarrollado para la comunicación de eventos generados por dispositivos de seguridad.