Desarrollo de un Sistema Automatizado para
Detectar Causa-Raíz de Problemas de Seguridad en
una Red Carrier
Integrantes:PETTER BYRON CASTRO TIGRE
NOEMÍ DE LOS ANGELES MONTESDEOCA CORREAGEORGE ENRIQUE REYES TOMALÁ
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA
2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
Planteamiento del problema
C A R R I E R
Planteamiento del problema
P R O B L E M A S E N L A R E D
• Robo de información.• Caída de Servicios.• Infecciones Generalizadas.
C A R G A S F I N A N C I E R A S
• El incremento del servicio de atención al cliente.
• Gastos por la tarea de restauración de los servicios de red.
A C C I O N E S P R E V E N T I V A S
P A R A E V I T A R L O S P R O B L E M A S A N T E S M E N C I O N A D O S Inversiones para la construcción de una arquitectura segura
Visibilidad total
• Identificación• Monitoreo• Correlación
Control total• Fortaleza • Cumplimiento• Restricciones
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
Sistema capaz de:
• Identificar y comprender tipos de eventos.
• Analizar y explicar en lenguaje natural los datos obtenidos de la fuente.
• Correlacionar los datos obtenidos de las fuentes.
• Proporcionar una interfaz web muy intuitiva.
• Notificar al cliente y al técnico las incidencias en la red.
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
Herramientas que generan Tráfico Malicioso
BotnetEscaneo de direcciones
Correo no deseado
Ataque de Denegación de Servicio (DoS)
• Inundación SYN (SYN Floods)• Inundación de Flujo (Flow Floods)• Inundación UDP (UDP Floods)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
Recopilación de los Datos y Centralización de la Información
Evento en la fuente
Evento en el SRC
Address Scan Port Scanning
Syn Floods DoS
Flow Floods DoS
TopSpammers Spam
Identificación de propagadores de spam
Identificación de ataques DoS
Identificación de Gusanos
Evento en la fuente Evento en el SRC
ICMP Network Sweep Port Scanning
TCP SYN Host Sweep Port Scanning
TCP SYN Port Sweep Port Scanning
UDP Bomb DoS
MSSQL Resolution Service Stack Overflow
DoS
Oracle WebLogic Server Apache DoS
Open SSL/TLS Malformed Handshake DoS
Grum bot Spam
Recopilación de los Datos y Centralización de la Información
ASA
• Firewall
• Sistema de detección y protección contra intrusos
Recopilación de los Datos y Centralización de la Información
• Detección y protección contra tráfico anómalo
• Basado en comportamientos
• Identificación de ataques DoS
Evento en la fuente
Evento en el SRC
Attack flow DoS
ADM / AGM
Recopilación de los Datos y Centralización de la Información
Correos enviados por centros de seguridad de información
Evento en la fuente
Evento en el SRC
SPAM SPAM
Recopilación de los Datos y Centralización de la Información
Evento en la fuente
Evento en el SRC
SPAM SPAM
Recopilación de los Datos y Centralización de la Información
Diagrama de forma de acceso a las fuentes
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
Presentación del Sistema Automatizado “Dexter”
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
Pruebas y Resultado
Pruebas y Resultado
sistema@GUARD>show Zones in Auto Protect mode: New_QUITO_186.3.45.26 New_QUITO_186.3.45.84 New_QUITO_186.3.46.67 New_MACHALA2_201.218.34.127Zones in Interactive Protect mode:Zones in Threshold Tuning phase:
sistema@GUARD>show zone New_MACHALA2_201.218.34.127 dynamic-filters details
ID Action Exp Time Source IP Source Mask Proto DPort Frg RxRate(pps)
43 to-user-filters (Acción) 427 * 255.255.255.255 4 * no N/A
Attack flow: 4(protocol) 200.93.237.13(IP Origen) *(puerto origen)
201.218.34.127 (IP destino) * (Puerto destino) no fragments (tipo de tráfico)
Triggering rate: 25.93 Threshold: 11.60
Policy: other_protocols/any/analysis/pkts/protocol
AGM
Pruebas y Resultado
Uceprotect
Pruebas y Resultado
Correos
• Escenario 1: Se reporta la existencia de una IP que estaba realizando un Escaneo de direcciones.
PROCESO MANUAL
1 Tiempo en conectarse al sandvine 57 seg
2Tiempo en buscar la IP en los
diferentes tipos de ataque3 min 48
seg
3Tiempo que tomo en conectarse
al CISCO IME (ASA)7 min 3
seg
4Tiempo que tomo en realizar la
correlación de la información
obtenida.
1 min 44
seg
TOTAL TIEMPO 13 min 58
seg
VIA SISTEMA
1 Tiempo en conectarse al Sistema 11 seg
2 Tiempo en colocar parámetros de
búsqueda en el sistema
33 seg
3 Tiempo de respuesta 17 seg
TOTAL TIEMPO 57 seg
Pruebas y Resultado
• Escenario 2: Se notificó en el Sandvine una IP que se encuentra enviando SPAM.
PROCESO MANUAL
1 Tiempo en conectarse al sandvine 58 seg
2Tiempo en buscar la IP en los
diferentes tipos de ataque6 min 38 seg
3Tiempo que tomo en conectarse al
CISCO IME (ASA)26 seg
4Tiempo que tomo en conectarse al
servidor de correo de email
recibidos por CERT
2 min 14 seg
5Tiempo que tomo en realizar la
correlación de la información
obtenida
2 min 49 seg
TOTAL TIEMPO 13 min 15 seg
VIA SISTEMA
1Tiempo en conectarse al Sistema
12 seg
2Tiempo en colocar parámetros de
búsqueda en el sistema28 seg
3Tiempo de respuesta
10 seg
TOTAL TIEMPO 50 seg
Pruebas y Resultado
• Escenario 3: El administrador realizó la búsqueda de una IP que el módulo AGM reporto que se encontraba realizando un Ataque DDoS .
PROCESO MANUAL
1Tiempo en conectarse al Sandvine
58 seg
2Tiempo en buscar la IP en los diferentes
tipos de ataque4 min 7 seg
3Tiempo que tomo en conectarse al
CISCO IME (ASA)25 seg
4Tiempo que tomo en buscar en las
diferentes firmas la IP en CISCO IME
(ASA)
5 min 39
seg
5Tiempo que tomo en realizar la
correlación de la información obtenida2 min 27
seg
TOTAL TIEMPO 11 min 9
seg
VIA SISTEMA
1Tiempo en conectarse al Sistema
8 seg
2Tiempo en colocar parámetros de
búsqueda en el sistema19 seg
3Tiempo de respuesta
18 seg
TOTAL TIEMPO 35 seg
Pruebas y Resultado
Pruebas y Resultado
Escenario 1 Escenario 2 Escenario 3
Método No Au-tomati-zado
14 13 11
Vía Sis-tema
1 1 1
1
7
13
Comparación de Tiempos de Ob-tención y Correlación entre Método
No Automatizado vs Sistema
Tie
mp
o (
min
uto
s)
• Escenario 4: Se necesitaba obtener un reporte de los equipos infectados
con alguna botnet, mismas que están afectado nuestra red tomando como fecha inicial 4 junio 2011 hasta 6 junio de 2011 y verificar cuantos ataques realizaron y cuantas victimas tuvieron en ese periodo de tiempo .
VIA SISTEMA
1Tiempo en conectarse al Sistema
9 seg
2Tiempo en colocar parámetros de
búsqueda en el sistema38 seg
3Tiempo de respuesta
47 seg
TOTAL TIEMPO 1 min 34 seg
Pruebas y Resultado
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
CONCLUSIONES
• Facilidad en correlación entre cinco diferentes fuentes de detección de eventos maliciosos.
• Herramienta de detección de posibles equipos infectados con botnets.
• Interface gráfica y amigable mas información en tiempo real.
• Notificación a clientes.
• Reducción en tiempos de inspección más visibilidad.
• Se puede aumentar la visibilidad y el control de la seguridad de la red aumentando fuentes de detección heterogéneas.
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
RECOMENDACIONES
• Se podría aumentar otros tipos ataques.
• Como segunda etapa del proyecto se podría implementar la opción de bloqueo de IPs.
• Mejorar la forma de obtención de la
información utilizando SDEE.
Preguntas
Algunos conceptos
• SDEEINGLES: (Security Device Event Exchange)ESPAÑOL (Intercambio de Eventos en Dispositivos de
Seguridad)
• Protocolo desarrollado para la comunicación de eventos generados por dispositivos de seguridad.