Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA

Desarrollo de un Sistema Automatizado para

Detectar Causa-Raíz de Problemas de Seguridad en

una Red CarrierIntegrantes:

PETTER BYRON CASTRO TIGRENOEMÍ DE LOS ANGELES MONTESDEOCA CORREA

GEORGE ENRIQUE REYES TOMALÁ

AGENDASUSTENTACIÓN DE PROYECTO

1.PLANTEAMIENTO DEL PROBLEMA

2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES

Planteamiento del problema

C A R R I E R

Planteamiento del problemaP R O B L E M A S E N L A R E D

• Robo de información.• Caída de Servicios.• Infecciones Generalizadas.

C A R G A S F I N A N C I E R A S

• El incremento del servicio de atención al cliente.

• Gastos por la tarea de restauración de los servicios de red.

A C C I O N E S P R E V E N T I V A S

P A R A E V I T A R L O S P R O B L E M A S A N T E S M E N C I O N A D O S Inversiones para la construcción de una arquitectura segura

Visibilidad total

• Identificación• Monitoreo• Correlación

Control total• Fortaleza • Cumplimiento• Restricciones


1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES

Sistema capaz de:

• Identificar y comprender tipos de eventos.

• Analizar y explicar en lenguaje natural los datos obtenidos de la fuente.

• Correlacionar los datos obtenidos de las fuentes.

• Proporcionar una interfaz web muy intuitiva.

• Notificar al cliente y al técnico las incidencias en la red.



Herramientas que generan Tráfico Malicioso

BotnetEscaneo de direcciones

Correo no deseado

Ataque de Denegación de Servicio (DoS)

• Inundación SYN (SYN Floods)• Inundación de Flujo (Flow Floods)• Inundación UDP (UDP Floods)



Recopilación de los Datos y Centralización de la Información

Evento en la fuente

Evento en el SRC

Address Scan Port ScanningSyn Floods DoSFlow Floods DoSTopSpammers Spam

Identificación de propagadores de spam Identificación de ataques DoS Identificación de Gusanos

Evento en la fuente Evento en el SRC

ICMP Network Sweep Port ScanningTCP SYN Host Sweep Port ScanningTCP SYN Port Sweep Port ScanningUDP Bomb DoSMSSQL Resolution Service Stack Overflow

DoS

Oracle WebLogic Server Apache DoSOpen SSL/TLS Malformed Handshake DoSGrum bot Spam


ASA

• Firewall• Sistema de detección y protección contra intrusos


• Detección y protección contra tráfico anómalo• Basado en comportamientos• Identificación de ataques DoS

Evento en la fuente

Evento en el SRC

Attack flow DoS

ADM / AGM


Correos enviados por centros de seguridad de información

Evento en la fuente

Evento en el SRC

SPAM SPAM


Evento en la fuente

Evento en el SRC

SPAM SPAM


Diagrama de forma de acceso a las fuentes



Presentación del Sistema Automatizado “Dexter”



Pruebas y Resultado

Pruebas y Resultadosistema@GUARD>show Zones in Auto Protect mode: New_QUITO_186.3.45.26 New_QUITO_186.3.45.84 New_QUITO_186.3.46.67 New_MACHALA2_201.218.34.127Zones in Interactive Protect mode:Zones in Threshold Tuning phase:

sistema@GUARD>show zone New_MACHALA2_201.218.34.127 dynamic-filters details

ID Action Exp Time Source IP Source Mask Proto DPort Frg RxRate(pps)

43 to-user-filters (Acción) 427 * 255.255.255.255 4 * no N/A

Attack flow: 4(protocol) 200.93.237.13(IP Origen) *(puerto origen)

201.218.34.127 (IP destino) * (Puerto destino) no fragments (tipo de tráfico)

Triggering rate: 25.93 Threshold: 11.60

Policy: other_protocols/any/analysis/pkts/protocol

AGM

Pruebas y Resultado

Uceprotect

Pruebas y Resultado

Correos

• Escenario 1: Se reporta la existencia de una IP que estaba realizando un Escaneo de direcciones.

PROCESO MANUAL

1 Tiempo en conectarse al sandvine 57 seg

2 Tiempo en buscar la IP en los

diferentes tipos de ataque3 min 48

seg

3 Tiempo que tomo en conectarse

al CISCO IME (ASA)7 min 3

seg

4 Tiempo que tomo en realizar la

correlación de la información

obtenida.

1 min 44

seg

TOTAL TIEMPO 13 min 58

seg

VIA SISTEMA

1 Tiempo en conectarse al Sistema 11 seg

2 Tiempo en colocar parámetros de

búsqueda en el sistema

33 seg

3 Tiempo de respuesta 17 seg

TOTAL TIEMPO 57 seg

Pruebas y Resultado

• Escenario 2: Se notificó en el Sandvine una IP que se encuentra enviando SPAM.

PROCESO MANUAL

1 Tiempo en conectarse al sandvine 58 seg

2 Tiempo en buscar la IP en los

diferentes tipos de ataque6 min 38 seg

3 Tiempo que tomo en conectarse al

CISCO IME (ASA)26 seg


servidor de correo de email

recibidos por CERT

2 min 14 seg


correlación de la información

obtenida

2 min 49 seg

TOTAL TIEMPO 13 min 15 seg

VIA SISTEMA



búsqueda en el sistema28 seg


TOTAL TIEMPO 50 seg

Pruebas y Resultado

• Escenario 3: El administrador realizó la búsqueda de una IP que el módulo AGM reporto que se encontraba realizando un Ataque DDoS .

PROCESO MANUAL

1 Tiempo en conectarse al Sandvine 58 seg

2 Tiempo en buscar la IP en los diferentes

tipos de ataque4 min 7 seg


CISCO IME (ASA)25 seg

4 Tiempo que tomo en buscar en las

diferentes firmas la IP en CISCO IME

(ASA)

5 min 39

seg


correlación de la información obtenida2 min 27

seg

TOTAL TIEMPO 11 min 9

seg

VIA SISTEMA





TOTAL TIEMPO 35 seg

Pruebas y Resultado

Pruebas y Resultado

Escenario 1 Escenario 2 Escenario 302468

10121416

Comparación de Tiempos de Ob-tención y Correlación entre Método

No Automatizado vs Sistema

Tiem

po (

min

utos

)

• Escenario 4: Se necesitaba obtener un reporte de los equipos infectados

con alguna botnet, mismas que están afectado nuestra red tomando como fecha inicial 4 junio 2011 hasta 6 junio de 2011 y verificar cuantos ataques realizaron y cuantas victimas tuvieron en ese periodo de tiempo .

VIA SISTEMA





TOTAL TIEMPO 1 min 34 seg

Pruebas y Resultado



CONCLUSIONES • Facilidad en correlación entre cinco diferentes fuentes de

detección de eventos maliciosos.

• Herramienta de detección de posibles equipos infectados con botnets.

• Interface gráfica y amigable mas información en tiempo real.

• Notificación a clientes.

• Reducción en tiempos de inspección más visibilidad.

• Se puede aumentar la visibilidad y el control de la seguridad de la red aumentando fuentes de detección heterogéneas.



RECOMENDACIONES

• Se podría aumentar otros tipos ataques.

• Como segunda etapa del proyecto se podría implementar la opción de bloqueo de IPs.

• Mejorar la forma de obtención de la

información utilizando SDEE.

Preguntas

Algunos conceptos• SDEEINGLES: (Security Device Event Exchange)ESPAÑOL (Intercambio de Eventos en Dispositivos de

Seguridad)

• Protocolo desarrollado para la comunicación de eventos generados por dispositivos de seguridad.

Documents

Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA