telescopio de seguridad de la unam · 2012-08-30 · objetivo de un telescopio de red detectar...
TRANSCRIPT
![Page 1: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/1.jpg)
TELESCOPIO DE SEGURIDAD
DE LA UNAM
![Page 2: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/2.jpg)
TELESCOPIOS DE RED
Mecanismos de detección y monitoreo de tendencias de tráfico de red malicioso basado en:
! El despliegue de sensores distribuidos a lo largo de un entorno de red.
! Análisis de datos de varios dispositivos de conectividad
![Page 3: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/3.jpg)
OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías como:
" IDS " Honeypots " Darknets " Flow server
Sin embargo, pueden ir más allá que los sistemas convencionales de monitoreo.
![Page 4: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/4.jpg)
CARACTERÍSTICAS ! Modelo de detección distribuido
! Entornos de gran escala
! Gran cantidad de información recopilada, procesada y almacenada
! Altamente demandante en recursos de hardware
! Monitores de las tendencias de tráfico en espacios grandes de Internet: Identificación de anomalías a nivel global
![Page 5: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/5.jpg)
FUENTES DE INFORMACIÓN
! Darknet-UNAM (sobre 2 segmentos clase B)
! Sensores de SPAM
! PSTM
! Core UNAM*
![Page 6: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/6.jpg)
DARKNETS Equipos que utilizan direcciones IP o segmentos de red que no están asignados dentro de un entorno de red.
!"#$%&'()'(*+%,)*-'(.-*"/)012
!"#$%&'(3#4%-'
5"'-6&&%7)898989:
5"'-6&&%7)898989;
<=(*+%,)*-*898989>
5"'-6&&%7)898989?
5"'-6&&%7)898989@
<=((*+%,)*-*898989A
5"'-6&&%7)898989B
5"'-6&&%7)898989C
5"'-6&&%7)898989D
<=(*+%,)*-*898989:E
![Page 7: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/7.jpg)
TRÁFICO DE RED “NO ASIGNADO”
En un entorno ideal este tráfico no debería existir, por lo tanto todo el tráfico en una darknet es potencialmente anómalo.
![Page 8: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/8.jpg)
CARACTERÍSTICAS DE UNA DARKNET
# Utiliza direcciones IP no asignadas.
# Todo el tráfico en la darknet es potencialmente sospechoso.
# Baja probabilidad de falsos positivos.
# Puede detectar tráfico malicioso o anomalías en la configuración de dispositivos.
![Page 9: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/9.jpg)
CARACTERÍSTICAS DE UNA DARKNET
# Ad-hoc a tecnologías honeypot: • Muestras de tráfico malicioso • Muestras de malware
# Generación de información estadística importante sobre el tráfico de red.
# Inversión de direcciones IP de la red para su funcionamiento.
![Page 10: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/10.jpg)
ESQUEMA DE FUNCIONAMIENTO Depende de sus objetivos, pero el concepto general toma en cuenta aspectos como:
" Tecnologías implementadas
• Honeypots, IDS, análisis de flujos, etc. " Capacidad y complejidad de interacción
• Simulación de servicios, equipos reales, etc. " Capacidad y complejidad de análisis " Campo de acción
![Page 11: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/11.jpg)
ESQUEMA DE FUNCIONAMIENTO
!"#$%&'()*+%&%','
-.*&*/.0
!"*/,$0"0/&%*(10(1*.',(&*2.3"*1',
40"5%1'"(6*"7/0.
-/#+%,%,(8(*+)*&0/*)%0/.'(
10(1*.',
![Page 12: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/12.jpg)
TECNOLOGÍAS UTILIZADAS !"#$%&%'()! %*+"!,-%.! "+"/0&%.!12345627! "#$%&'(#)*!+,!-,./#(#0-1!
('23%.'!+,!$'&4'.,!5!(0*3.0&!+,!3.67#(0!
8#0*','1!90*,53.'21!90*,5+1!:0;0*,51!:#2201!'.<0-1!90*,5=031!<&'-302>1!<00<&,!9'(:!90*,52031!90*,54'&&1!,3(?!
,8.! 8,3,((#)*!+,!3.67#(0!$'&#(#0-0!$,+#'*3,!7#.$'-!
"*0.31!"<%#&1!@A"B1!"%.#('3'1!C--,(!DE8"1!F.,&%+,!D5=.#+!E8"1!A#+,1!
)39:;<;<=>4=?:@A2<! A*6&#-#-!+,!7&%;0-!5!<,*,.'(#)*!+,!,-3'+G-3#('-!+,!3.67#(0!
A.<%-1!H,37&04!
)39:;<;<=>4=7B9?;C2=5=6B272C2:2<!
A*6&#-#-!+,&!3.67#(0!+,!.,+I!2'J%,3,-1!2.030(0&0-1!'2&#('(#0*,-1!,3(?!
K(2+%$21!L#.,-9'.:1!K-9'.:1!"*0.31!L#*+%$21!*3021!,3(?!
)39:;<;<=>4=:2D! A*6&#-#-!+,!&0<-!+,!'2&#('(#0*,-!5!-#-3,$'!
"(.#23-!,*!2,.&1!25390*1!-9,&&1!%3#&,.G'-!M*#N1!"2&%*:1!,3(?!
![Page 13: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/13.jpg)
ESQUEMA DE MONITOREO
Departamendo de redes UNAM Redireccionamiento de tráfico cuyo
destino son IP’s “no asignadas” SERVIDORES
DARKNET
![Page 14: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/14.jpg)
![Page 15: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/15.jpg)
¿Cómo trabaja?
" 4 MÓDULOS
# Honeypot
# Flujos (STA submod)
# IDS(STA submod)
# LOGS*
" Herramientas de análisis # Perl scripts # Shell scripts # Postgresql DB # Web-based
management system (under construction)
![Page 16: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/16.jpg)
FUNCIONAMIENTO MODULO HONEYPOT
HONEYPOT Ajuste al sofware de emulación de servicios para un procesamiento en tiempo real. El software honeypot maneja las conexiones y envía información de la conexión al módulo DKN!
DKN (connection)
DKN (agent)
DKN (store)
![Page 17: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/17.jpg)
FUNCIONAMIENTO MODULO HONEYPOT
HONEYPOT
DKN (connection)
DKN (agent)
A partir de la información de la conexión, se clasifica el evento según reglas predefinidas. Además detecta si es una simple conexión y algún tipo de escaneo o barrido de puertos.
DKN (store)
![Page 18: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/18.jpg)
FUNCIONAMIENTO MODULO HONEYPOT
HONEYPOT
DKN (connection)
DKN (agent)
Analiza el payload capturado y genera un incidente conjuntando información del reporte de análisis y el propio payload.
DKN (store)
![Page 19: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/19.jpg)
FUNCIONAMIENTO MODULO HONEYPOT
HONEYPOT
DKN (connection)
DKN (agent)
DKN (store)
Almacena la información en la base de datos del Telescopio de Seguridad
![Page 20: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/20.jpg)
Un vistazo…
Ejemplo de un incidente
!"#$!"#$%&'$$%&%'%($$$$$$$!)*!#")"*+,!)*!#")#*+,-./0(1230!4##$56787569:5;<;:8=>?@::;?A@:=58?BC$%&%'%(C!4##C!)*!#")#*+%6;8$569:5;<;:8=>?@::;?A@:=58?BC$%&%'%(C!4##C!)*!#")#*+%8DE,0(
![Page 21: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/21.jpg)
Un vistazo…
Ejemplo de un .det file: 569:5;<;:8=>?@::;?A@:=5F6BCG%H%I%JC!4#4C!)*!#"!*)*%6;8
)*+),-*,+.$)/*0)-10)0)2$,3)1$)/*0)-10.0,*$)2,,$$$$$$$()*+),-*,+1$)/*0)-10)0)2$2,-1$)/*0)-10.0,*$)2,,$*1313.!2451!6.7*1,/7&!-8&4-1.))$$$$$9:.;$()*+),-*,+1$)/*0)-10)0)2$2,+2$)/*0)-10.0,/$)2,,$,-!&,*1.)7)2<&!!*,2,-+3/,1/62!2$$$$$9:.;$()*+),-*,+1$)/*0)-10)0)2$2,/2$)/*0)-10.0)2*$)2,,$&6!3&5/.!4473/-4648/-)/3+1*-!,&$$$$$9:.;$()*+),-*,+1$)/*0)-10)0)2$22,*$)/*0)-10.0*)*$)2,,$8*+7,28.*/7464.2722642462)-7!1&!$$$$$9:.;$()*+),-*,+1$)/*0)-10)0)2$222*$)/*0)-10.0*3.$)2,,$/).+*/4!)!*!7//3**83,+8.35!..4*$$$$$9:.;$()*+),-*,+1$)/*0)-10)0)2$222-$)/*0)-10.0*3)$)2,,$48),,-!+.7-23+282))8-4),,)*/&33+$$$$$9:.;$(=(=((
TS SRCIP&SPORT SRCIP&DPORT MD5 PAYLOAD STRINGS(Rules)
![Page 22: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/22.jpg)
FUNCIONAMIENTO MODULO STA (Análisis de tráfico estructurado)
TRÁFICO DE RED
FLUJOS CAPTURA
Preprocesamiento
Reglas DKN
# Un archivo por regla
# Análisis de cadenas
# Estadísticas
IDS
Procesamiento
# Estadísticas de alertas
# Información por alerta
# Registro de PCAP (evidencia)
![Page 23: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/23.jpg)
PROCESANDO LA INFORMACIÓN
Los objetivos del procesamiento son:
! Clasificación de la información
! Formato de la información
! Detección de falsos positivos
![Page 24: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/24.jpg)
PROCESANDO LA INFORMACIÓN
Durante la fase de pruebas se utilizaron servidores:
! Dual-Xeon 3.2Ghz 2GB RAM
Con aproximadamente 70,000 direcciones IP
! Utilizando 90% de recursos
![Page 25: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/25.jpg)
¿QUÉ PODEMOS DETECTAR?
! Escaneos
! Propagación de gusanos, bots, virus
! Ataques de fuerza bruta
! Ataques específicos que utilicen técnicas de spoofing
! Fallas en la configuración de dispositivos
! Identificación de patrones de botnets o redes P2P
! Patrones anormales de tráfico
! Nuevas tendencias de ataques
! Entre otros
![Page 26: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/26.jpg)
GENERANDO ESTADÍSTICAS
Durante la fase de pruebas:
" Se reciben, manejan, procesan y registran aproximadamente 2.5 millones de conexiones diariamente.
" Alrededor de 5Gb de bitácoras diariamente.
" Miles de direcciones IP internas y externas a RedUNAM generando tráfico malicioso.
![Page 27: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/27.jpg)
TRABAJO FUTURO
" Mejorar la eficiencia
" Capacidades adicionales de detección
" Incorporación de otras herramientas
! Conjuntarlo con la información del CORE-UNAM
! Posible implementación con ISP’s del país y en otras Universidades
![Page 28: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/28.jpg)
PROYECTOS SIMILARES
# Internet Motion Sensor (Arbor & UMICH)
# CAIDA (UCSD Network Telescope)
# Team Cymru: The Darknet Project
# Internet Background Noise (IBN)
# The IUCC/IDC Internet Telescope
# Isink (Internet sink)
!
![Page 29: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/29.jpg)
OTROS PROYECTOS UNAM-CERT
# Sensores de tráfico malicioso (PSTM).
# Sensores de Correo Spam.
# Proyecto Malware-UNAM.
# Sandnet.
# Intercambio de información con otros organismos internacionales.
![Page 30: TELESCOPIO DE SEGURIDAD DE LA UNAM · 2012-08-30 · OBJETIVO DE UN TELESCOPIO DE RED Detectar tráfico malicioso y monitorear la actividad general de la red combinando diversas tecnologías](https://reader034.vdocumento.com/reader034/viewer/2022042412/5f2b00f139ad151b996c3375/html5/thumbnails/30.jpg)
¿Preguntas?
José Roberto Sánchez Soledad [email protected] Javier Ulises Santillán Arenas [email protected]
Dirección de contacto
Ciudad Universitaria UNAM