Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ

Desarrollo de un Sistema Automatizado para

Detectar Causa-Raíz de Problemas de Seguridad en

una Red Carrier

Integrantes:PETTER BYRON CASTRO TIGRE

NOEMÍ DE LOS ANGELES MONTESDEOCA CORREAGEORGE ENRIQUE REYES TOMALÁ

AGENDASUSTENTACIÓN DE PROYECTO

1.PLANTEAMIENTO DEL PROBLEMA

2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES

Planteamiento del problema

C A R R I E R

Planteamiento del problema

P R O B L E M A S E N L A R E D

• Robo de información.• Caída de Servicios.• Infecciones Generalizadas.

C A R G A S F I N A N C I E R A S

• El incremento del servicio de atención al cliente.

• Gastos por la tarea de restauración de los servicios de red.

A C C I O N E S P R E V E N T I V A S

P A R A E V I T A R L O S P R O B L E M A S A N T E S M E N C I O N A D O S Inversiones para la construcción de una arquitectura segura

Visibilidad total

• Identificación• Monitoreo• Correlación

Control total• Fortaleza • Cumplimiento• Restricciones


1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES

Sistema capaz de:

• Identificar y comprender tipos de eventos.

• Analizar y explicar en lenguaje natural los datos obtenidos de la fuente.

• Correlacionar los datos obtenidos de las fuentes.

• Proporcionar una interfaz web muy intuitiva.

• Notificar al cliente y al técnico las incidencias en la red.



Herramientas que generan Tráfico Malicioso

BotnetEscaneo de direcciones

Correo no deseado

Ataque de Denegación de Servicio (DoS)

• Inundación SYN (SYN Floods)• Inundación de Flujo (Flow Floods)• Inundación UDP (UDP Floods)



Recopilación de los Datos y Centralización de la Información

Evento en la fuente

Evento en el SRC

Address Scan Port Scanning

Syn Floods DoS

Flow Floods DoS

TopSpammers Spam

Identificación de propagadores de spam

Identificación de ataques DoS

Identificación de Gusanos

Evento en la fuente Evento en el SRC

ICMP Network Sweep Port Scanning

TCP SYN Host Sweep Port Scanning

TCP SYN Port Sweep Port Scanning

UDP Bomb DoS

MSSQL Resolution Service Stack Overflow

DoS

Oracle WebLogic Server Apache DoS

Open SSL/TLS Malformed Handshake DoS

Grum bot Spam


ASA

• Firewall

• Sistema de detección y protección contra intrusos


• Detección y protección contra tráfico anómalo

• Basado en comportamientos

• Identificación de ataques DoS

Evento en la fuente

Evento en el SRC

Attack flow DoS

ADM / AGM


Correos enviados por centros de seguridad de información

Evento en la fuente

Evento en el SRC

SPAM SPAM


Evento en la fuente

Evento en el SRC

SPAM SPAM


Diagrama de forma de acceso a las fuentes



Presentación del Sistema Automatizado “Dexter”



Pruebas y Resultado

Pruebas y Resultado

sistema@GUARD>show Zones in Auto Protect mode: New_QUITO_186.3.45.26 New_QUITO_186.3.45.84 New_QUITO_186.3.46.67 New_MACHALA2_201.218.34.127Zones in Interactive Protect mode:Zones in Threshold Tuning phase:

sistema@GUARD>show zone New_MACHALA2_201.218.34.127 dynamic-filters details

ID Action Exp Time Source IP Source Mask Proto DPort Frg RxRate(pps)

43 to-user-filters (Acción) 427 * 255.255.255.255 4 * no N/A

Attack flow: 4(protocol) 200.93.237.13(IP Origen) *(puerto origen)

201.218.34.127 (IP destino) * (Puerto destino) no fragments (tipo de tráfico)

Triggering rate: 25.93 Threshold: 11.60

Policy: other_protocols/any/analysis/pkts/protocol

AGM

Pruebas y Resultado

Uceprotect

Pruebas y Resultado

Correos

• Escenario 1: Se reporta la existencia de una IP que estaba realizando un Escaneo de direcciones.

PROCESO MANUAL

1 Tiempo en conectarse al sandvine 57 seg

2Tiempo en buscar la IP en los

diferentes tipos de ataque3 min 48

seg

3Tiempo que tomo en conectarse

al CISCO IME (ASA)7 min 3

seg

4Tiempo que tomo en realizar la

correlación de la información

obtenida.

1 min 44

seg

TOTAL TIEMPO 13 min 58

seg

VIA SISTEMA

1 Tiempo en conectarse al Sistema 11 seg

2 Tiempo en colocar parámetros de

búsqueda en el sistema

33 seg

3 Tiempo de respuesta 17 seg

TOTAL TIEMPO 57 seg

Pruebas y Resultado

• Escenario 2: Se notificó en el Sandvine una IP que se encuentra enviando SPAM.

PROCESO MANUAL

1 Tiempo en conectarse al sandvine 58 seg

2Tiempo en buscar la IP en los

diferentes tipos de ataque6 min 38 seg

3Tiempo que tomo en conectarse al

CISCO IME (ASA)26 seg


servidor de correo de email

recibidos por CERT

2 min 14 seg


correlación de la información

obtenida

2 min 49 seg

TOTAL TIEMPO 13 min 15 seg

VIA SISTEMA

1Tiempo en conectarse al Sistema

12 seg

2Tiempo en colocar parámetros de

búsqueda en el sistema28 seg

3Tiempo de respuesta

10 seg

TOTAL TIEMPO 50 seg

Pruebas y Resultado

• Escenario 3: El administrador realizó la búsqueda de una IP que el módulo AGM reporto que se encontraba realizando un Ataque DDoS .

PROCESO MANUAL

1Tiempo en conectarse al Sandvine

58 seg

2Tiempo en buscar la IP en los diferentes

tipos de ataque4 min 7 seg


CISCO IME (ASA)25 seg

4Tiempo que tomo en buscar en las

diferentes firmas la IP en CISCO IME

(ASA)

5 min 39

seg


correlación de la información obtenida2 min 27

seg

TOTAL TIEMPO 11 min 9

seg

VIA SISTEMA


8 seg




18 seg

TOTAL TIEMPO 35 seg

Pruebas y Resultado

Pruebas y Resultado

Escenario 1 Escenario 2 Escenario 3

Método No Au-tomati-zado

14 13 11

Vía Sis-tema

1 1 1

1

7

13

Comparación de Tiempos de Ob-tención y Correlación entre Método

No Automatizado vs Sistema

Tie

mp

o (

min

uto

s)

• Escenario 4: Se necesitaba obtener un reporte de los equipos infectados

con alguna botnet, mismas que están afectado nuestra red tomando como fecha inicial 4 junio 2011 hasta 6 junio de 2011 y verificar cuantos ataques realizaron y cuantas victimas tuvieron en ese periodo de tiempo .

VIA SISTEMA


9 seg




47 seg

TOTAL TIEMPO 1 min 34 seg

Pruebas y Resultado



CONCLUSIONES

• Facilidad en correlación entre cinco diferentes fuentes de detección de eventos maliciosos.

• Herramienta de detección de posibles equipos infectados con botnets.

• Interface gráfica y amigable mas información en tiempo real.

• Notificación a clientes.

• Reducción en tiempos de inspección más visibilidad.

• Se puede aumentar la visibilidad y el control de la seguridad de la red aumentando fuentes de detección heterogéneas.



RECOMENDACIONES

• Se podría aumentar otros tipos ataques.

• Como segunda etapa del proyecto se podría implementar la opción de bloqueo de IPs.

• Mejorar la forma de obtención de la

información utilizando SDEE.

Preguntas

Algunos conceptos

• SDEEINGLES: (Security Device Event Exchange)ESPAÑOL (Intercambio de Eventos en Dispositivos de

Seguridad)

• Protocolo desarrollado para la comunicación de eventos generados por dispositivos de seguridad.

Documents

Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ