La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ.

Publicada porGabino Vine Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ."— Transcripción de la presentación:

1 Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA GEORGE ENRIQUE REYES TOMALÁ

2 AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

3 Planteamiento del problema C A R R I E R

4 Planteamiento del problema P R O B L E M A S E N L A R E D Robo de información. Caída de Servicios. Infecciones Generalizadas. C A R G A S F I N A N C I E R A S El incremento del servicio de atención al cliente. Gastos por la tarea de restauración de los servicios de red.

5 A C C I O N E S P R E V E N T I V A S P A R A E V I T A R L O S P R O B L E M A S A N T E S M E N C I O N A D O S Inversiones para la construcción de una arquitectura segura Visibilidad total Identificación Monitoreo Correlación Control total Fortaleza Cumplimiento Restricciones

6 AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

7 Sistema capaz de: Identificar y comprender tipos de eventos. Analizar y explicar en lenguaje natural los datos obtenidos de la fuente. Correlacionar los datos obtenidos de las fuentes. Proporcionar una interfaz web muy intuitiva. Notificar al cliente y al técnico las incidencias en la red.

8 AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

9 Herramientas que generan Tráfico Malicioso Botnet Escaneo de direcciones Correo no deseado

10 Ataque de Denegación de Servicio (DoS) Inundación SYN (SYN Floods) Inundación de Flujo (Flow Floods) Inundación UDP (UDP Floods)

11 AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

12 Recopilación de los Datos y Centralización de la Información Evento en la fuenteEvento en el SRC Address ScanPort Scanning Syn FloodsDoS Flow FloodsDoS TopSpammersSpam  Identificación de propagadores de spam  Identificación de ataques DoS  Identificación de Gusanos

13 Evento en la fuenteEvento en el SRC ICMP Network SweepPort Scanning TCP SYN Host SweepPort Scanning TCP SYN Port SweepPort Scanning UDP BombDoS MSSQL Resolution Service Stack OverflowDoS Oracle WebLogic Server ApacheDoS Open SSL/TLS Malformed HandshakeDoS Grum botSpam Recopilación de los Datos y Centralización de la Información ASA Firewall Sistema de detección y protección contra intrusos

14 Recopilación de los Datos y Centralización de la Información Detección y protección contra tráfico anómalo Basado en comportamientos Identificación de ataques DoS Evento en la fuenteEvento en el SRC Attack flowDoS ADM / AGM

15 Recopilación de los Datos y Centralización de la Información Correos enviados por centros de seguridad de información Evento en la fuenteEvento en el SRC SPAM

16 Recopilación de los Datos y Centralización de la Información Evento en la fuenteEvento en el SRC SPAM

17 Recopilación de los Datos y Centralización de la Información Diagrama de forma de acceso a las fuentes

18 AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

19 Presentación del Sistema Automatizado “Dexter”

20 AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

21 Pruebas y Resultado

22 sistema@GUARD>show Zones in Auto Protect mode: New_QUITO_186.3.45.26 New_QUITO _186.3.45.84 New_QUITO_186.3.46.67 New_MACHALA2_201.218.34.127 Zones in Interactive Protect mode: Zones in Threshold Tuning phase: sistema@GUARD>show zone New_MACHALA2_201.218.34.127 dynamic-filters details ID Action Exp Time Source IP Source Mask Proto DPort Frg RxRate(pps) 43 to-user-filters (Acción) 427 * 255.255.255.255 4 * no N/A Attack flow: 4(protocol) 200.93.237.13(IP Origen) *(puerto origen) 201.218.34.127 (IP destino) * (Puerto destino) no fragments (tipo de tráfico) Triggering rate: 25.93 Threshold: 11.60 Policy: other_protocols/any/analysis/pkts/protocol AGM

23 Pruebas y Resultado Uceprotect

24 Correos

25 Escenario 1: Se reporta la existencia de una IP que estaba realizando un Escaneo de direcciones. PROCESO MANUAL 1Tiempo en conectarse al sandvine57 seg 2 Tiempo en buscar la IP en los diferentes tipos de ataque 3 min 48 seg 3 Tiempo que tomo en conectarse al CISCO IME (ASA) 7 min 3 seg 4 Tiempo que tomo en realizar la correlación de la información obtenida. 1 min 44 seg TOTAL TIEMPO13 min 58 seg VIA SISTEMA 1Tiempo en conectarse al Sistema11 seg 2 Tiempo en colocar parámetros de búsqueda en el sistema 33 seg 3Tiempo de respuesta17 seg TOTAL TIEMPO57 seg Pruebas y Resultado

26 Escenario 2: Se notificó en el Sandvine una IP que se encuentra enviando SPAM. PROCESO MANUAL 1Tiempo en conectarse al sandvine58 seg 2 Tiempo en buscar la IP en los diferentes tipos de ataque 6 min 38 seg 3 Tiempo que tomo en conectarse al CISCO IME (ASA) 26 seg 4 Tiempo que tomo en conectarse al servidor de correo de email recibidos por CERT 2 min 14 seg 5 Tiempo que tomo en realizar la correlación de la información obtenida 2 min 49 seg TOTAL TIEMPO13 min 15 seg VIA SISTEMA 1 Tiempo en conectarse al Sistema 12 seg 2 Tiempo en colocar parámetros de búsqueda en el sistema 28 seg 3 Tiempo de respuesta 10 seg TOTAL TIEMPO50 seg Pruebas y Resultado

27 Escenario 3: El administrador realizó la búsqueda de una IP que el módulo AGM reporto que se encontraba realizando un Ataque DDoS. PROCESO MANUAL 1 Tiempo en conectarse al Sandvine 58 seg 2 Tiempo en buscar la IP en los diferentes tipos de ataque 4 min 7 seg 3 Tiempo que tomo en conectarse al CISCO IME (ASA) 25 seg 4 Tiempo que tomo en buscar en las diferentes firmas la IP en CISCO IME (ASA) 5 min 39 seg 5 Tiempo que tomo en realizar la correlación de la información obtenida 2 min 27 seg TOTAL TIEMPO 11 min 9 seg VIA SISTEMA 1 Tiempo en conectarse al Sistema 8 seg 2 Tiempo en colocar parámetros de búsqueda en el sistema 19 seg 3 Tiempo de respuesta 18 seg TOTAL TIEMPO35 seg Pruebas y Resultado

28

29 Escenario 4: Se necesitaba obtener un reporte de los equipos infectados con alguna botnet, mismas que están afectado nuestra red tomando como fecha inicial 4 junio 2011 hasta 6 junio de 2011 y verificar cuantos ataques realizaron y cuantas victimas tuvieron en ese periodo de tiempo. VIA SISTEMA 1 Tiempo en conectarse al Sistema 9 seg 2 Tiempo en colocar parámetros de búsqueda en el sistema 38 seg 3 Tiempo de respuesta 47 seg TOTAL TIEMPO1 min 34 seg Pruebas y Resultado

30 AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

31 CONCLUSIONES Facilidad en correlación entre cinco diferentes fuentes de detección de eventos maliciosos. Herramienta de detección de posibles equipos infectados con botnets. Interface gráfica y amigable mas información en tiempo real. Notificación a clientes. Reducción en tiempos de inspección más visibilidad. Se puede aumentar la visibilidad y el control de la seguridad de la red aumentando fuentes de detección heterogéneas.

32 AGENDA SUSTENTACIÓN DE PROYECTO 1. PLANTEAMIENTO DEL PROBLEMA 2. SOLUCIÓN PROPUESTA 3. FUNDAMENTOS TEÓRICOS 4. DISEÑO 5. DEMO (VIDEO) 6. PRUEBAS Y RESULTADOS 7. CONCLUSIONES 8. RECOMENDACIONES

33 RECOMENDACIONES Se podría aumentar otros tipos ataques. Como segunda etapa del proyecto se podría implementar la opción de bloqueo de IPs. Mejorar la forma de obtención de la información utilizando SDEE.

34 Preguntas

35 Algunos conceptos SDEE INGLES: (Security Device Event Exchange) ESPAÑOL (Intercambio de Eventos en Dispositivos de Seguridad) Protocolo desarrollado para la comunicación de eventos generados por dispositivos de seguridad.

Descargar ppt "Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier Integrantes: PETTER BYRON CASTRO TIGRE NOEMÍ."

Presentaciones similares

GFI EventsManager 7. Administracion de los registros de sucesos de toda la red Los registros de sucesos son una valiosa herramienta para monitorear la.

GFI EventsManager 7. Administracion de los registros de sucesos de toda la red Los registros de sucesos son una valiosa herramienta para monitorear la.
Introducción a Netflow

Introducción a Netflow
Sistemas Peer-To-Peer La plataforma JXTA

Sistemas Peer-To-Peer La plataforma JXTA
Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.

Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
ESET Endpoint Security y ESET Endpoint Antivirus

ESET Endpoint Security y ESET Endpoint Antivirus
Nanci Abarca Pablo Cruz Gabriela Palacios Cisne Sarmiento

Nanci Abarca Pablo Cruz Gabriela Palacios Cisne Sarmiento
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática

Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Denial Of Service Seguridad En Redes Geralddy Sánchez

Denial Of Service Seguridad En Redes Geralddy Sánchez
Índice Introducción: - Fraud Modus Operandi Detección:

Índice Introducción: - Fraud Modus Operandi Detección:
SERVICIOS DE TCP/IP.

SERVICIOS DE TCP/IP.
Problemas asociados a DHCP. Seguridad.

Problemas asociados a DHCP. Seguridad.
JURISWEB DPESLP.

JURISWEB DPESLP.
Objetivos Describir la forma en que las redes impactan nuestras vidas diarias. Describir el rol del trabajo en red en la actualidad. Identificar los componentes.

Objetivos Describir la forma en que las redes impactan nuestras vidas diarias. Describir el rol del trabajo en red en la actualidad. Identificar los componentes.
Tecnológico de Estudios Superiores de Coacalco ING. SISTEMAS COMPUTACIONALES Por: Marlenne Pérez Garibay.

Tecnológico de Estudios Superiores de Coacalco ING. SISTEMAS COMPUTACIONALES Por: Marlenne Pérez Garibay.
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Oscar Navarrete J. Jorge Gutiérrez A.

Oscar Navarrete J. Jorge Gutiérrez A.
Software(s) para analizar trafico de red y ancho de banda

Software(s) para analizar trafico de red y ancho de banda
¿Qué es ZABBIX? Zabbix esta diseñado para monitorear y registrar el estado de varios servicios de red, Servidores, hardware de red, alertas y visualización.

¿Qué es ZABBIX? Zabbix esta diseñado para monitorear y registrar el estado de varios servicios de red, Servidores, hardware de red, alertas y visualización.
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO

Presentaciones similares

Anuncios Google