Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.

Slides:

Advertisements

Presentaciones similares

GFI EventsManager 7. Administracion de los registros de sucesos de toda la red Los registros de sucesos son una valiosa herramienta para monitorear la.

Advertisements

Introducción a Netflow

Sistemas Peer-To-Peer La plataforma JXTA

Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.

ESET Endpoint Security y ESET Endpoint Antivirus

Nanci Abarca Pablo Cruz Gabriela Palacios Cisne Sarmiento

Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática

Denial Of Service Seguridad En Redes Geralddy Sánchez

Índice Introducción: - Fraud Modus Operandi Detección:

SERVICIOS DE TCP/IP.

Problemas asociados a DHCP. Seguridad.

JURISWEB DPESLP.

Objetivos Describir la forma en que las redes impactan nuestras vidas diarias. Describir el rol del trabajo en red en la actualidad. Identificar los componentes.

Tecnológico de Estudios Superiores de Coacalco ING. SISTEMAS COMPUTACIONALES Por: Marlenne Pérez Garibay.

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

Oscar Navarrete J. Jorge Gutiérrez A.

Software(s) para analizar trafico de red y ancho de banda

¿Qué es ZABBIX? Zabbix esta diseñado para monitorear y registrar el estado de varios servicios de red, Servidores, hardware de red, alertas y visualización.

ESCUELA POLITÉCNICA DEL EJÉRCITO

Seguridad en Granjas Web Defense in Depth Universidad de los Andes Colombia 2002 Mario Enrique Santoyo Santoyo.

SEGURIDAD INFORMÁTICA

Firewall Un firewall es software o hardware que comprueba la información procedente de Internet o de una red y, a continuación, bloquea o permite el paso.

Tema 5 – Servidores Proxy

Software de Alertas Monitoreo de REDES Y SERVIDORES.

LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11

HOL – FOR06. ► Introducción. ► Configuración de Forefront. ► Amenazas web: Solución Antimalware ► Amenazas de correo electrónico. Malware y Spam ► Protección.

Estrategia de seguridad ante Amenazas Persistentes Avanzadas

Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security

1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.

Existen dos tipos básicos de redes VPN:

Telefónica de España 1 Solución ADSL Seguridad Firewall PC.

LISTAS DE CONTROL DE ACCESO (ACL)

Voz sobre Internet (VoIP) Telecomunicaciones de alta calidad, al menor costo.

Protecciones complementarias contra infecciones de virus: Seguridad perimetral Grupo de profundización en Seguridad Informática - Escuela de Ingeniería.

66.69 Criptografía y Seguridad Informática FIREWALL.

Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad Ing. Héctor A. Hernández.

Sistemas de Detección de Intrusos

Sistema Organizador de Invitaciones, Eventos y Memos basado en una aplicación Cliente – Servidor SOIEM TESIS DE GRADO FIEC – ESPOL 2007 Christian Vulgarin.

Conceptos avanzados Dr. Daniel Morató Area de Ingeniería Telemática Departamento de Automática y Computación Universidad Pública de Navarra

8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.

©2009 Sistemas TGR S.A. Reservados todos los derechos a Sistemas TGR y Endian firewall. Las anteriores son marcas comerciales o marcas registradas de sus.

Norman SecureTide Potente solución de nube para detener el spam y las amenazas antes de que lleguen a su red.

HISTORIA El nombre P El nombre P roviene de su primer producto, Anti-Virus Guard. El 8 de febrero de 2008, Grisoft anunció que ellos cambiarían el nombre.

LOGO Not Another Dynamic DNS Claudia Codriansky / Francisco Castillo.

“Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”

Soluciones de informática y Electrónica Sistema de Monitoreo de Centrales de Incendio.

 Un Firewall o Cortafuegos, es un componente de la red cuyo objetivo es impedir el acceso no autorizado desde internet (ingreso de mensajes no autorizados)

Servicio Remoto de Monitoreo

HERRAMIENTAS DE ADMINISTRACION Y MONITOREO DE REDES

ADMINISTRACIÓN DE REDES Análisis de Tráfico. Es el proceso de capturar tráfico de la red y de examinarlo de cerca para determinar qué está sucediendo.

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.

Seguridad Informática

Seguridad Web Jaramillo Jorge Suarez Arnold. INTRODUCCIÓN Hasta el momento, se ha presentado un Web que ofrece un acceso abierto a un conjunto de información.

Ing. Elizabeth Guerrero V.

Problemas asociados a DHCP - Seguridad

Arquitecturas de cortafuegos Gabriel Montañés León.

UD 2: “Instalación y administración de servicios de configuración automática de red” Problemas asociados a DHCP. Seguridad Luis Alfonso Sánchez Brazales.

Seguridad de Datos IDS e IPS.

TELECONTROL DE PROCESOS CON PROTOCOLO IP UTILIZANDO DISPOSITIVOS MÓVILES E INTERFACES DE APLICACIONES API.

UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II

VIRUS Características principales

Comunicación a través de la red

Problemas DHCP: DHCP es un protocolo no autenticado. Cuando un usuario se conecta a una red no necesita proporcionar credenciales para obtener una concesión.

ANTIVIRUS CLOUD COMPUTING. Los antivirus cloud o antivirus en la nube, son antivirus que aplican a los antivirus el concepto cloud computing. Instalan.

Protocolos de Transporte y Aplicación

Autores: Myriam Montes, Iván Viera, Carlos Caizaguano, José Sancho

Recomendaciones en la detección de una APT Firewalls Análisis Forense del tráfico de red HIDS Correlación

Protección de un servicio Web 1.Autenticación. 2.Gestión de usuarios y grupos. 3.Gestión de servicios. 4.Gestión de sistema de ficheros. 5.Firewall. 6.Prevención.

Transcripción de la presentación:

Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA GEORGE ENRIQUE REYES TOMALÁ

AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

Planteamiento del problema C A R R I E R

Planteamiento del problema P R O B L E M A S E N L A R E D Robo de información. Caída de Servicios. Infecciones Generalizadas. C A R G A S F I N A N C I E R A S El incremento del servicio de atención al cliente. Gastos por la tarea de restauración de los servicios de red.

A C C I O N E S P R E V E N T I V A S P A R A E V I T A R L O S P R O B L E M A S A N T E S M E N C I O N A D O S Inversiones para la construcción de una arquitectura segura Visibilidad total Identificación Monitoreo Correlación Control total Fortaleza Cumplimiento Restricciones

AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

Sistema capaz de: Identificar y comprender tipos de eventos. Analizar y explicar en lenguaje natural los datos obtenidos de la fuente. Correlacionar los datos obtenidos de las fuentes. Proporcionar una interfaz web muy intuitiva. Notificar al cliente y al técnico las incidencias en la red.

AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

Herramientas que generan Tráfico Malicioso Botnet Escaneo de direcciones Correo no deseado

Ataque de Denegación de Servicio (DoS) Inundación SYN (SYN Floods) Inundación de Flujo (Flow Floods) Inundación UDP (UDP Floods)

AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

Recopilación de los Datos y Centralización de la Información Evento en la fuenteEvento en el SRC Address ScanPort Scanning Syn FloodsDoS Flow FloodsDoS TopSpammersSpam  Identificación de propagadores de spam  Identificación de ataques DoS  Identificación de Gusanos

Evento en la fuenteEvento en el SRC ICMP Network SweepPort Scanning TCP SYN Host SweepPort Scanning TCP SYN Port SweepPort Scanning UDP BombDoS MSSQL Resolution Service Stack OverflowDoS Oracle WebLogic Server ApacheDoS Open SSL/TLS Malformed HandshakeDoS Grum botSpam Recopilación de los Datos y Centralización de la Información ASA Firewall Sistema de detección y protección contra intrusos

Recopilación de los Datos y Centralización de la Información Detección y protección contra tráfico anómalo Basado en comportamientos Identificación de ataques DoS Evento en la fuenteEvento en el SRC Attack flowDoS ADM / AGM

Recopilación de los Datos y Centralización de la Información Correos enviados por centros de seguridad de información Evento en la fuenteEvento en el SRC SPAM

Recopilación de los Datos y Centralización de la Información Evento en la fuenteEvento en el SRC SPAM

Recopilación de los Datos y Centralización de la Información Diagrama de forma de acceso a las fuentes

AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

Presentación del Sistema Automatizado “Dexter”

AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

Pruebas y Resultado

Zones in Auto Protect mode: New_QUITO_ New_QUITO _ New_QUITO_ New_MACHALA2_ Zones in Interactive Protect mode: Zones in Threshold Tuning phase: zone New_MACHALA2_ dynamic-filters details ID Action Exp Time Source IP Source Mask Proto DPort Frg RxRate(pps) 43 to-user-filters (Acción) 427 * * no N/A Attack flow: 4(protocol) (IP Origen) *(puerto origen) (IP destino) * (Puerto destino) no fragments (tipo de tráfico) Triggering rate: Threshold: Policy: other_protocols/any/analysis/pkts/protocol AGM

Pruebas y Resultado Uceprotect

Correos

Escenario 1: Se reporta la existencia de una IP que estaba realizando un Escaneo de direcciones. PROCESO MANUAL 1Tiempo en conectarse al sandvine57 seg 2 Tiempo en buscar la IP en los diferentes tipos de ataque 3 min 48 seg 3 Tiempo que tomo en conectarse al CISCO IME (ASA) 7 min 3 seg 4 Tiempo que tomo en realizar la correlación de la información obtenida. 1 min 44 seg TOTAL TIEMPO13 min 58 seg VIA SISTEMA 1Tiempo en conectarse al Sistema11 seg 2 Tiempo en colocar parámetros de búsqueda en el sistema 33 seg 3Tiempo de respuesta17 seg TOTAL TIEMPO57 seg Pruebas y Resultado

Escenario 2: Se notificó en el Sandvine una IP que se encuentra enviando SPAM. PROCESO MANUAL 1Tiempo en conectarse al sandvine58 seg 2 Tiempo en buscar la IP en los diferentes tipos de ataque 6 min 38 seg 3 Tiempo que tomo en conectarse al CISCO IME (ASA) 26 seg 4 Tiempo que tomo en conectarse al servidor de correo de recibidos por CERT 2 min 14 seg 5 Tiempo que tomo en realizar la correlación de la información obtenida 2 min 49 seg TOTAL TIEMPO13 min 15 seg VIA SISTEMA 1 Tiempo en conectarse al Sistema 12 seg 2 Tiempo en colocar parámetros de búsqueda en el sistema 28 seg 3 Tiempo de respuesta 10 seg TOTAL TIEMPO50 seg Pruebas y Resultado

Escenario 3: El administrador realizó la búsqueda de una IP que el módulo AGM reporto que se encontraba realizando un Ataque DDoS. PROCESO MANUAL 1 Tiempo en conectarse al Sandvine 58 seg 2 Tiempo en buscar la IP en los diferentes tipos de ataque 4 min 7 seg 3 Tiempo que tomo en conectarse al CISCO IME (ASA) 25 seg 4 Tiempo que tomo en buscar en las diferentes firmas la IP en CISCO IME (ASA) 5 min 39 seg 5 Tiempo que tomo en realizar la correlación de la información obtenida 2 min 27 seg TOTAL TIEMPO 11 min 9 seg VIA SISTEMA 1 Tiempo en conectarse al Sistema 8 seg 2 Tiempo en colocar parámetros de búsqueda en el sistema 19 seg 3 Tiempo de respuesta 18 seg TOTAL TIEMPO35 seg Pruebas y Resultado

Escenario 4: Se necesitaba obtener un reporte de los equipos infectados con alguna botnet, mismas que están afectado nuestra red tomando como fecha inicial 4 junio 2011 hasta 6 junio de 2011 y verificar cuantos ataques realizaron y cuantas victimas tuvieron en ese periodo de tiempo. VIA SISTEMA 1 Tiempo en conectarse al Sistema 9 seg 2 Tiempo en colocar parámetros de búsqueda en el sistema 38 seg 3 Tiempo de respuesta 47 seg TOTAL TIEMPO1 min 34 seg Pruebas y Resultado

AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

CONCLUSIONES Facilidad en correlación entre cinco diferentes fuentes de detección de eventos maliciosos. Herramienta de detección de posibles equipos infectados con botnets. Interface gráfica y amigable mas información en tiempo real. Notificación a clientes. Reducción en tiempos de inspección más visibilidad. Se puede aumentar la visibilidad y el control de la seguridad de la red aumentando fuentes de detección heterogéneas.

AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

RECOMENDACIONES Se podría aumentar otros tipos ataques. Como segunda etapa del proyecto se podría implementar la opción de bloqueo de IPs. Mejorar la forma de obtención de la información utilizando SDEE.

Preguntas

Algunos conceptos SDEE INGLES: (Security Device Event Exchange) ESPAÑOL (Intercambio de Eventos en Dispositivos de Seguridad) Protocolo desarrollado para la comunicación de eventos generados por dispositivos de seguridad.