Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA

Desarrollo de un Sistema Automatizado para

Detectar Causa-Raíz de Problemas de Seguridad en

una Red CarrierIntegrantes:

PETTER BYRON CASTRO TIGRENOEMÍ DE LOS ANGELES MONTESDEOCA CORREA

GEORGE ENRIQUE REYES TOMALÁ

AGENDASUSTENTACIÓN DE PROYECTO

1.PLANTEAMIENTO DEL PROBLEMA

2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES

Planteamiento del problema

C A R R I E R

Planteamiento del problemaP R O B L E M A S E N L A R E D

• Robo de información.• Caída de Servicios.• Infecciones Generalizadas.

C A R G A S F I N A N C I E R A S

• El incremento del servicio de atención al cliente.

• Gastos por la tarea de restauración de los servicios de red.

A C C I O N E S P R E V E N T I V A S

P A R A E V I T A R L O S P R O B L E M A S A N T E S M E N C I O N A D O S Inversiones para la construcción de una arquitectura segura

Visibilidad total

• Identificación• Monitoreo• Correlación

Control total• Fortaleza • Cumplimiento• Restricciones

1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES

Sistema capaz de:

• Identificar y comprender tipos de eventos.

• Analizar y explicar en lenguaje natural los datos obtenidos de la fuente.

• Correlacionar los datos obtenidos de las fuentes.

• Proporcionar una interfaz web muy intuitiva.

• Notificar al cliente y al técnico las incidencias en la red.

Herramientas que generan Tráfico Malicioso

BotnetEscaneo de direcciones

Correo no deseado

Ataque de Denegación de Servicio (DoS)

• Inundación SYN (SYN Floods)• Inundación de Flujo (Flow Floods)• Inundación UDP (UDP Floods)

Recopilación de los Datos y Centralización de la Información

Evento en la fuente

Evento en el SRC

Address Scan Port ScanningSyn Floods DoSFlow Floods DoSTopSpammers Spam

Identificación de propagadores de spam Identificación de ataques DoS Identificación de Gusanos

Evento en la fuente Evento en el SRC

ICMP Network Sweep Port ScanningTCP SYN Host Sweep Port ScanningTCP SYN Port Sweep Port ScanningUDP Bomb DoSMSSQL Resolution Service Stack Overflow

Oracle WebLogic Server Apache DoSOpen SSL/TLS Malformed Handshake DoSGrum bot Spam

• Firewall• Sistema de detección y protección contra intrusos

• Detección y protección contra tráfico anómalo• Basado en comportamientos• Identificación de ataques DoS

Evento en la fuente

Evento en el SRC

Attack flow DoS

ADM / AGM

Correos enviados por centros de seguridad de información

Evento en la fuente

Evento en el SRC

SPAM SPAM

Evento en la fuente

Evento en el SRC

SPAM SPAM

Diagrama de forma de acceso a las fuentes

Presentación del Sistema Automatizado “Dexter”

Pruebas y Resultado

Pruebas y Resultadosistema@GUARD>show Zones in Auto Protect mode: New_QUITO_186.3.45.26 New_QUITO_186.3.45.84 New_QUITO_186.3.46.67 New_MACHALA2_201.218.34.127Zones in Interactive Protect mode:Zones in Threshold Tuning phase:

sistema@GUARD>show zone New_MACHALA2_201.218.34.127 dynamic-filters details

ID Action Exp Time Source IP Source Mask Proto DPort Frg RxRate(pps)

43 to-user-filters (Acción) 427 * 255.255.255.255 4 * no N/A

Attack flow: 4(protocol) 200.93.237.13(IP Origen) *(puerto origen)

201.218.34.127 (IP destino) * (Puerto destino) no fragments (tipo de tráfico)

Triggering rate: 25.93 Threshold: 11.60

Policy: other_protocols/any/analysis/pkts/protocol

Pruebas y Resultado

Uceprotect

Pruebas y Resultado

Correos

• Escenario 1: Se reporta la existencia de una IP que estaba realizando un Escaneo de direcciones.

PROCESO MANUAL

1 Tiempo en conectarse al sandvine 57 seg

2 Tiempo en buscar la IP en los

diferentes tipos de ataque3 min 48

3 Tiempo que tomo en conectarse

al CISCO IME (ASA)7 min 3

4 Tiempo que tomo en realizar la

correlación de la información

obtenida.

1 min 44

TOTAL TIEMPO 13 min 58

VIA SISTEMA

1 Tiempo en conectarse al Sistema 11 seg

2 Tiempo en colocar parámetros de

búsqueda en el sistema

33 seg

3 Tiempo de respuesta 17 seg

TOTAL TIEMPO 57 seg

Pruebas y Resultado

• Escenario 2: Se notificó en el Sandvine una IP que se encuentra enviando SPAM.

PROCESO MANUAL

1 Tiempo en conectarse al sandvine 58 seg

2 Tiempo en buscar la IP en los

diferentes tipos de ataque6 min 38 seg

3 Tiempo que tomo en conectarse al

CISCO IME (ASA)26 seg

servidor de correo de email

recibidos por CERT

2 min 14 seg

correlación de la información

obtenida

2 min 49 seg

TOTAL TIEMPO 13 min 15 seg

VIA SISTEMA

búsqueda en el sistema28 seg

TOTAL TIEMPO 50 seg

Pruebas y Resultado

• Escenario 3: El administrador realizó la búsqueda de una IP que el módulo AGM reporto que se encontraba realizando un Ataque DDoS .

PROCESO MANUAL

1 Tiempo en conectarse al Sandvine 58 seg

2 Tiempo en buscar la IP en los diferentes

tipos de ataque4 min 7 seg

CISCO IME (ASA)25 seg

4 Tiempo que tomo en buscar en las

diferentes firmas la IP en CISCO IME

5 min 39

correlación de la información obtenida2 min 27

TOTAL TIEMPO 11 min 9

VIA SISTEMA

TOTAL TIEMPO 35 seg

Pruebas y Resultado

Escenario 1 Escenario 2 Escenario 302468

10121416

Comparación de Tiempos de Ob-tención y Correlación entre Método

No Automatizado vs Sistema

• Escenario 4: Se necesitaba obtener un reporte de los equipos infectados

con alguna botnet, mismas que están afectado nuestra red tomando como fecha inicial 4 junio 2011 hasta 6 junio de 2011 y verificar cuantos ataques realizaron y cuantas victimas tuvieron en ese periodo de tiempo .

VIA SISTEMA

TOTAL TIEMPO 1 min 34 seg

Pruebas y Resultado

CONCLUSIONES • Facilidad en correlación entre cinco diferentes fuentes de

detección de eventos maliciosos.

• Herramienta de detección de posibles equipos infectados con botnets.

• Interface gráfica y amigable mas información en tiempo real.

• Notificación a clientes.

• Reducción en tiempos de inspección más visibilidad.

• Se puede aumentar la visibilidad y el control de la seguridad de la red aumentando fuentes de detección heterogéneas.

RECOMENDACIONES

• Se podría aumentar otros tipos ataques.

• Como segunda etapa del proyecto se podría implementar la opción de bloqueo de IPs.

• Mejorar la forma de obtención de la

información utilizando SDEE.

Preguntas

Algunos conceptos• SDEEINGLES: (Security Device Event Exchange)ESPAÑOL (Intercambio de Eventos en Dispositivos de

Seguridad)

• Protocolo desarrollado para la comunicación de eventos generados por dispositivos de seguridad.

Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA

Documents

Delfino, ruth noemí

Presentació Noemí

Analisis del Proyecto Labanda Lilibeth Montesdeoca Erik

MARÍA GABRIELA MONTESDEOCA ECHEVERRÍA Prof. Sebastián

Emerson montesdeoca

Noemí Benavente Calderón

Petter Arnesen

Petter Buer - Bachelor portfolio

Overflatebehandling Petter Herud

RELACIÓN DEFINITIVA DE ADMITIDOS/EXCLUIDOS · 241 montesdeoca meliÁn, indra€marÍa sÍ 324 242 montesdeoca padrÓn, jonathan jesÚs sÍ 21 243 montesdeoca quintana, Ángel€fernando

MARÍA GABRIELA MONTESDEOCA ECHEVERRÍA Prof. Gustavo … · ESTRATEGIA INTREGRAL DE COMUNICACIÓN PARA LA EMPRESA GRUPO BET LATAM DE ECUADOR MARÍA GABRIELA MONTESDEOCA ECHEVERRÍA

Rut y Noemí

Constitución Noemí

petter sparen 2

Entrevista Noemí Santana

Petter I nestlings

DigitalWinners2013: Ole Petter Nyhaug_shared

GRUEZO MONTESDEOCA KARLA LISSETTE

Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ

Presentació Noemí Rodríguez