integrantes : petter byron castro tigre noemÍ de los angeles montesdeoca correa
DESCRIPTION
Desarrollo de un Sistema Automatizado para Detectar Causa-Raíz de Problemas de Seguridad en una Red Carrier. Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA GEORGE ENRIQUE REYES TOMALÁ. AGENDA SUSTENTACIÓN DE PROYECTO. PLANTEAMIENTO DEL PROBLEMA - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/1.jpg)
Desarrollo de un Sistema Automatizado para
Detectar Causa-Raíz de Problemas de Seguridad en
una Red Carrier
Integrantes:PETTER BYRON CASTRO TIGRE
NOEMÍ DE LOS ANGELES MONTESDEOCA CORREAGEORGE ENRIQUE REYES TOMALÁ
![Page 2: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/2.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA
2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 3: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/3.jpg)
Planteamiento del problema
C A R R I E R
![Page 4: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/4.jpg)
Planteamiento del problema
P R O B L E M A S E N L A R E D
• Robo de información.• Caída de Servicios.• Infecciones Generalizadas.
C A R G A S F I N A N C I E R A S
• El incremento del servicio de atención al cliente.
• Gastos por la tarea de restauración de los servicios de red.
![Page 5: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/5.jpg)
A C C I O N E S P R E V E N T I V A S
P A R A E V I T A R L O S P R O B L E M A S A N T E S M E N C I O N A D O S Inversiones para la construcción de una arquitectura segura
Visibilidad total
• Identificación• Monitoreo• Correlación
Control total• Fortaleza • Cumplimiento• Restricciones
![Page 6: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/6.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 7: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/7.jpg)
Sistema capaz de:
• Identificar y comprender tipos de eventos.
• Analizar y explicar en lenguaje natural los datos obtenidos de la fuente.
• Correlacionar los datos obtenidos de las fuentes.
• Proporcionar una interfaz web muy intuitiva.
• Notificar al cliente y al técnico las incidencias en la red.
![Page 8: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/8.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 9: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/9.jpg)
Herramientas que generan Tráfico Malicioso
BotnetEscaneo de direcciones
Correo no deseado
![Page 10: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/10.jpg)
Ataque de Denegación de Servicio (DoS)
• Inundación SYN (SYN Floods)• Inundación de Flujo (Flow Floods)• Inundación UDP (UDP Floods)
![Page 11: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/11.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 12: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/12.jpg)
Recopilación de los Datos y Centralización de la Información
Evento en la fuente
Evento en el SRC
Address Scan Port Scanning
Syn Floods DoS
Flow Floods DoS
TopSpammers Spam
Identificación de propagadores de spam
Identificación de ataques DoS
Identificación de Gusanos
![Page 13: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/13.jpg)
Evento en la fuente Evento en el SRC
ICMP Network Sweep Port Scanning
TCP SYN Host Sweep Port Scanning
TCP SYN Port Sweep Port Scanning
UDP Bomb DoS
MSSQL Resolution Service Stack Overflow
DoS
Oracle WebLogic Server Apache DoS
Open SSL/TLS Malformed Handshake DoS
Grum bot Spam
Recopilación de los Datos y Centralización de la Información
ASA
• Firewall
• Sistema de detección y protección contra intrusos
![Page 14: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/14.jpg)
Recopilación de los Datos y Centralización de la Información
• Detección y protección contra tráfico anómalo
• Basado en comportamientos
• Identificación de ataques DoS
Evento en la fuente
Evento en el SRC
Attack flow DoS
ADM / AGM
![Page 15: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/15.jpg)
Recopilación de los Datos y Centralización de la Información
Correos enviados por centros de seguridad de información
Evento en la fuente
Evento en el SRC
SPAM SPAM
![Page 16: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/16.jpg)
Recopilación de los Datos y Centralización de la Información
Evento en la fuente
Evento en el SRC
SPAM SPAM
![Page 17: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/17.jpg)
Recopilación de los Datos y Centralización de la Información
Diagrama de forma de acceso a las fuentes
![Page 18: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/18.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 19: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/19.jpg)
Presentación del Sistema Automatizado “Dexter”
![Page 20: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/20.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 21: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/21.jpg)
Pruebas y Resultado
![Page 22: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/22.jpg)
Pruebas y Resultado
sistema@GUARD>show Zones in Auto Protect mode: New_QUITO_186.3.45.26 New_QUITO_186.3.45.84 New_QUITO_186.3.46.67 New_MACHALA2_201.218.34.127Zones in Interactive Protect mode:Zones in Threshold Tuning phase:
sistema@GUARD>show zone New_MACHALA2_201.218.34.127 dynamic-filters details
ID Action Exp Time Source IP Source Mask Proto DPort Frg RxRate(pps)
43 to-user-filters (Acción) 427 * 255.255.255.255 4 * no N/A
Attack flow: 4(protocol) 200.93.237.13(IP Origen) *(puerto origen)
201.218.34.127 (IP destino) * (Puerto destino) no fragments (tipo de tráfico)
Triggering rate: 25.93 Threshold: 11.60
Policy: other_protocols/any/analysis/pkts/protocol
AGM
![Page 23: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/23.jpg)
Pruebas y Resultado
Uceprotect
![Page 24: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/24.jpg)
Pruebas y Resultado
Correos
![Page 25: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/25.jpg)
• Escenario 1: Se reporta la existencia de una IP que estaba realizando un Escaneo de direcciones.
PROCESO MANUAL
1 Tiempo en conectarse al sandvine 57 seg
2Tiempo en buscar la IP en los
diferentes tipos de ataque3 min 48
seg
3Tiempo que tomo en conectarse
al CISCO IME (ASA)7 min 3
seg
4Tiempo que tomo en realizar la
correlación de la información
obtenida.
1 min 44
seg
TOTAL TIEMPO 13 min 58
seg
VIA SISTEMA
1 Tiempo en conectarse al Sistema 11 seg
2 Tiempo en colocar parámetros de
búsqueda en el sistema
33 seg
3 Tiempo de respuesta 17 seg
TOTAL TIEMPO 57 seg
Pruebas y Resultado
![Page 26: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/26.jpg)
• Escenario 2: Se notificó en el Sandvine una IP que se encuentra enviando SPAM.
PROCESO MANUAL
1 Tiempo en conectarse al sandvine 58 seg
2Tiempo en buscar la IP en los
diferentes tipos de ataque6 min 38 seg
3Tiempo que tomo en conectarse al
CISCO IME (ASA)26 seg
4Tiempo que tomo en conectarse al
servidor de correo de email
recibidos por CERT
2 min 14 seg
5Tiempo que tomo en realizar la
correlación de la información
obtenida
2 min 49 seg
TOTAL TIEMPO 13 min 15 seg
VIA SISTEMA
1Tiempo en conectarse al Sistema
12 seg
2Tiempo en colocar parámetros de
búsqueda en el sistema28 seg
3Tiempo de respuesta
10 seg
TOTAL TIEMPO 50 seg
Pruebas y Resultado
![Page 27: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/27.jpg)
• Escenario 3: El administrador realizó la búsqueda de una IP que el módulo AGM reporto que se encontraba realizando un Ataque DDoS .
PROCESO MANUAL
1Tiempo en conectarse al Sandvine
58 seg
2Tiempo en buscar la IP en los diferentes
tipos de ataque4 min 7 seg
3Tiempo que tomo en conectarse al
CISCO IME (ASA)25 seg
4Tiempo que tomo en buscar en las
diferentes firmas la IP en CISCO IME
(ASA)
5 min 39
seg
5Tiempo que tomo en realizar la
correlación de la información obtenida2 min 27
seg
TOTAL TIEMPO 11 min 9
seg
VIA SISTEMA
1Tiempo en conectarse al Sistema
8 seg
2Tiempo en colocar parámetros de
búsqueda en el sistema19 seg
3Tiempo de respuesta
18 seg
TOTAL TIEMPO 35 seg
Pruebas y Resultado
![Page 28: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/28.jpg)
Pruebas y Resultado
Escenario 1 Escenario 2 Escenario 3
Método No Au-tomati-zado
14 13 11
Vía Sis-tema
1 1 1
1
7
13
Comparación de Tiempos de Ob-tención y Correlación entre Método
No Automatizado vs Sistema
Tie
mp
o (
min
uto
s)
![Page 29: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/29.jpg)
• Escenario 4: Se necesitaba obtener un reporte de los equipos infectados
con alguna botnet, mismas que están afectado nuestra red tomando como fecha inicial 4 junio 2011 hasta 6 junio de 2011 y verificar cuantos ataques realizaron y cuantas victimas tuvieron en ese periodo de tiempo .
VIA SISTEMA
1Tiempo en conectarse al Sistema
9 seg
2Tiempo en colocar parámetros de
búsqueda en el sistema38 seg
3Tiempo de respuesta
47 seg
TOTAL TIEMPO 1 min 34 seg
Pruebas y Resultado
![Page 30: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/30.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 31: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/31.jpg)
CONCLUSIONES
• Facilidad en correlación entre cinco diferentes fuentes de detección de eventos maliciosos.
• Herramienta de detección de posibles equipos infectados con botnets.
• Interface gráfica y amigable mas información en tiempo real.
• Notificación a clientes.
• Reducción en tiempos de inspección más visibilidad.
• Se puede aumentar la visibilidad y el control de la seguridad de la red aumentando fuentes de detección heterogéneas.
![Page 32: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/32.jpg)
AGENDASUSTENTACIÓN DE PROYECTO
1.PLANTEAMIENTO DEL PROBLEMA2.SOLUCIÓN PROPUESTA3.FUNDAMENTOS TEÓRICOS4.DISEÑO 5.DEMO (VIDEO)6.PRUEBAS Y RESULTADOS7.CONCLUSIONES8.RECOMENDACIONES
![Page 33: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/33.jpg)
RECOMENDACIONES
• Se podría aumentar otros tipos ataques.
• Como segunda etapa del proyecto se podría implementar la opción de bloqueo de IPs.
• Mejorar la forma de obtención de la
información utilizando SDEE.
![Page 34: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/34.jpg)
Preguntas
![Page 35: Integrantes : PETTER BYRON CASTRO TIGRE NOEMÍ DE LOS ANGELES MONTESDEOCA CORREA](https://reader036.vdocuments.pub/reader036/viewer/2022062408/568130d5550346895d96e933/html5/thumbnails/35.jpg)
Algunos conceptos
• SDEEINGLES: (Security Device Event Exchange)ESPAÑOL (Intercambio de Eventos en Dispositivos de
Seguridad)
• Protocolo desarrollado para la comunicación de eventos generados por dispositivos de seguridad.