implementacion de un sistema de detecci´ on´ de … · 2019-11-18 · universidad central de...
TRANSCRIPT
Universidad Central de VenezuelaFacultad de Ingenierıa
Escuela de Ingenierıa ElectricaEspecializacion en Telecomunicaciones
Digitales
IMPLEMENTACION DE UN SISTEMA DE DETECCIONDE INTRUSOS PARA VENEZOLANA DEL VIDRIO C.A
Presentado ante la ilustreUniversidad Central de Venezuela
Por el Ing. Aaron NogueraPara optar al tıtulo de
Especialista en Telecomunicaciones Digitales
Caracas, octubre de 2019
DEDICATORIA
A mi familia.
AGRADECIMIENTO
Agradezco a la Universidad Central de Venezuela (UCV), por haberme brindado laoportunidad de cursar y adquirir conocimientos a lo largo de mi especializacion.
A mi tutor el Prof. Vincenzo Mendillo por haberme orientado y apoyado durante eldesarrollo del Trabajo Especial de Grado.
A mi familia por estar presente en mi crecimiento personal y profesional, en especiala mi padre Gilberto Noguera.
Gracias Totales.
UNIVERSIDAD CENTRAL DE VENEZUELAFACULTAD DE INGENIERIA
ESCUELA DE INGENIERIA ELECTRICA
IMPLEMENTACION DE UN SISTEMA DE DETECCIONDE INTRUSOS PARA VENEZOLANA DEL VIDRIO C.A
Autor: Ing. Aaron A. Noguera B.Tutor: Msc. Vincenzo Mendillo
Ano: 2019
ResumenEl objetivo principal de este trabajo es implantar un Sistema de Deteccion de
Intrusos (IDS) en la empresa Venezolana del Vidrio C.A.
Con el fin de conseguir este objetivo se realizaron diversos analisis a la platafor-ma tecnologica ya implementada, se llevo a cabo un estudio de la situacion actualcon la finalidad de definir el mejor escenario a nivel tecnico, para llevar a cabo laimplantacion y puesta en marcha de la solucion tecnologica que permitira ampliarlas capacidades de la empresa en cuanto a ciberseguridad se refiere, cumpliendocon la premisa de utilizar una solucion basada en software libre con el fin de hacerusos de todas sus bondades.
Durante el levantamiento de informacion se tomaron en cuenta los aspectosconcernientes a la seguridad de la red, ya implantada, proveedores de servicio,dispositivos, software, y accesos a la red empresarial desde localidades externascon las medidas de seguridad y protocolos establecidos para el resguardo de lainformacion.
El diseno e implantacion se logro de forma satisfactoria, dando ası una herra-mienta que contribuye, con el resguardo de la informacion de la empresa.
III
Indice general
Resumen III
Indice de tablas VI
Indice de figuras VII
Introduccion IX
1. EL PROBLEMA 11.1. Planteamiento del Problema . . . . . . . . . . . . . . . . . . . . . . . 11.2. Justificacion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.3. Objetivos Del Proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3.1. Objetivo General . . . . . . . . . . . . . . . . . . . . . . . . . . 21.3.2. Objetivos Especıficos . . . . . . . . . . . . . . . . . . . . . . . 2
2. MARCO TEORICO 32.1. Recopilacion teorica . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.2. Conceptos importantes . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3. MARCO METODOLOGICO 153.1. Diseno de la Investigacion . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.1.1. Fase I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153.1.2. Fase II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163.1.3. Fase III . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.2. Metodologıa de la investigacion . . . . . . . . . . . . . . . . . . . . . . 163.3. Area de Investigacion . . . . . . . . . . . . . . . . . . . . . . . . . . . 163.4. Revision Teorica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.5. Objetivo de la Investigacion . . . . . . . . . . . . . . . . . . . . . . . . 17
4. IMPLANTACION DEL IDS 184.1. Fase I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4.1.1. Red WAN y LAN . . . . . . . . . . . . . . . . . . . . . . . . . . 184.1.2. Firewall y proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . 224.1.3. Software antivirus . . . . . . . . . . . . . . . . . . . . . . . . . 24
IV
4.1.3.1. Modulos de Control . . . . . . . . . . . . . . . . . . . 244.1.3.2. Modulos de Proteccion . . . . . . . . . . . . . . . . . 25
4.2. Fase II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264.2.1. Requerimientos del IDS . . . . . . . . . . . . . . . . . . . . . . 264.2.2. Ubicacion del IDS dentro de la red corporativa . . . . . . . . . 344.2.3. Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354.2.4. Suricata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354.2.5. Comparacion entre Snort y Suricata . . . . . . . . . . . . . . . 36
4.3. Fase III . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374.3.1. Implantacion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384.3.2. Actualizacion de pfSense . . . . . . . . . . . . . . . . . . . . . 404.3.3. Instalacion de Suricata dentro de pfSense . . . . . . . . . . . . 404.3.4. Instalacion de ELK. . . . . . . . . . . . . . . . . . . . . . . . . 444.3.5. Configuracion de pfSense para enviar logs de Suricata a ELK . 554.3.6. Configuracion de ELK para la recepcion de logs remotos . . . 574.3.7. Integracion del IDS a la red Corporativa . . . . . . . . . . . . . 59
Conclusiones y Recomendaciones 61
Glosario de terminos 64
Bibliografıa 67
V
Indice de tablas
4.1. Enlaces Venvidrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194.2. Suricata vs Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374.3. Comparativa de la actualizacion de hardware pfSense 2.3 y 2.4 . . . . 40
VI
Indice de figuras
2.1. Poin to Point Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.2. Resolucion de Nombres DNS . . . . . . . . . . . . . . . . . . . . . . . 132.3. Caracterısticas de un ERP . . . . . . . . . . . . . . . . . . . . . . . . 14
4.1. Red WAN Venvidrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194.2. Red LAN Localidad Los Guayos (VV-LG) . . . . . . . . . . . . . . . . 204.3. Red LAN Localidad Valera (VV-VAL) . . . . . . . . . . . . . . . . . . . 214.4. Red LAN Localidad Maturin (VV-MAT) . . . . . . . . . . . . . . . . . . 214.5. Red LAN Localidad Caracas (VV-CCS) . . . . . . . . . . . . . . . . . 224.6. Mensaje de error en pfSense . . . . . . . . . . . . . . . . . . . . . . . 224.7. Interfaz web pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234.8. Dashboard pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244.9. Ataque LAND . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274.10.Ataque Neptuno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284.11.Diferencia entre ping normal y el ping de la muerte . . . . . . . . . . . 284.12.Ataque Targa3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294.13.Ataque Smurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304.14.Ataque Teardrop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304.15.Ataque UDP Storm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314.16.Barrido de ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324.17.Consulta ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324.18.Exploracion de puertos . . . . . . . . . . . . . . . . . . . . . . . . . . 334.19.Zonas de instalacion del IDS . . . . . . . . . . . . . . . . . . . . . . . 344.20.HIDS dentro de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . 384.21.pfSense, Suricata y ELK dentro de la red . . . . . . . . . . . . . . . . 394.22.Instalando Suricata en pfSense . . . . . . . . . . . . . . . . . . . . . . 414.23.Confirmacion de la instalacion Suricata en pfSense . . . . . . . . . . 414.24.Proceso de la instalacion Suricata en pfSense . . . . . . . . . . . . . 424.25.Instalacion exitosa Suricata en pfSense . . . . . . . . . . . . . . . . . 424.26.Interfaz de configuracion de Suricata . . . . . . . . . . . . . . . . . . . 434.27.Descarga de reglas Suricata . . . . . . . . . . . . . . . . . . . . . . . 434.28.Descarga forzada de reglas Suricata . . . . . . . . . . . . . . . . . . . 444.29.Actualizacion de las reglas . . . . . . . . . . . . . . . . . . . . . . . . 444.30.Instalacion de Java 8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
VII
4.31.Instalacion de elasticsearch . . . . . . . . . . . . . . . . . . . . . . . . 464.32.Edicion del archivo elasticsearch.yml . . . . . . . . . . . . . . . . . . . 474.33.Instalacion de Kibana . . . . . . . . . . . . . . . . . . . . . . . . . . . 484.34.Edicion del archivo kibana.yml . . . . . . . . . . . . . . . . . . . . . . 494.35.Instalacion de Nginx . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504.36.Modificacion del archivo default . . . . . . . . . . . . . . . . . . . . . . 514.37.Instalacion de Logstash . . . . . . . . . . . . . . . . . . . . . . . . . . 524.38.Autenticacion Kibana . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544.39.Interfaz Kibana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554.40.Configuracion de pfSense para envio de logs . . . . . . . . . . . . . . 564.41.Activacion de envio de logs . . . . . . . . . . . . . . . . . . . . . . . . 564.42.Visualizacion de logs pfSense en ELK . . . . . . . . . . . . . . . . . . 584.43.Visualizacion de alertas en el dashboard de ELK ambiente de prueba 594.44.Visualizacion de alertas en el dashboard de ELK en produccion . . . 604.45.Interfaz de administracion de eventos en Suricata . . . . . . . . . . . 60
VIII
Introduccion
La ciberseguridad es un tema que involucra la informacion electronica personal,ası como de las organizaciones autonomas, gubernamentales, pequenas y media-nas empresas e incluso las multinacionales. Conocer la terminologıa y saber preve-nir y reaccionar correctamente ante las posibles amenazas es imprescindible paraproteger nuestra informacion.
En general, la seguridad es un termino que siempre involucra a las personaso a las organizaciones. Cada vez mas, se va apreciando como los sistemas deseguridad van incrementando su eficacia y a su vez se observa como las intrusionesy amenazas van incrementando su actividad y camuflando sus acciones haciendomas difıcil contrarrestarlos.
Con este trabajo se realiza un aporte en el ambito de ciberseguridad para la em-presa Venezolana del Vidrio C.A (VENVIDRIO), empresa dedicada a la fabricacionde envases de vidrio, la cual fue creada mediante decreto presidencial No 8.134 defecha 05 de Abril de 2011, publicado en la Gaceta Oficial de la Republica Bolivaria-na de Venezuela No 39.649 de la misma fecha e inscrita ante el Registro mercantilPrimero del Distrito capital y Estado Miranda, en fecha 26 de Abril de 2011, bajo elNo 8; Tomo: 76-A y Publicada en Gaceta Oficial de la Republica Bolivariana de Ve-nezuela No 39.660 de la misma fecha, todo ello en razon del decreto de adquisicionforzosa de las empresas OWEN ILLINOIS DE VENEZUELA, C.A. y FABRICA DEVIDRIO LOS ANDES, C.A. (FAVIANCA), por parte del Estado Venezolano segundecreto No 7.751 publicado en Gaceta Oficial No 39.538 de fecha 26 de Octubre de2010.
A traves de la implantacion de un Sistema de deteccion de Intrusos (IDS), paradetectar perfiles de trafico anomalos y generar las alertas necesaria afın de queel administrador de red pueda tomar las acciones pertinentes o bien configurar lasrespuestas automaticas de los dispositivos de proteccion de la red. Todo esto conel fin de incrementar la proteccion, integridad, confidencialidad y la disponibilidadde los servicios y de los datos empresariales.
El trabajo de grado esta estructurado de la siguiente manera:
CAPITULO I: Se describe el planteamiento del problema, donde se define de formaprecisa los objetivos, y justificacion del trabajo a realizar.
IX
CAPITULO II: Se presentan los aspectos teoricos que se requieren conocer parael desarrollo y comprension del trabajo de grado.
CAPITULO III: Se expone el marco metodologico, tipo de investigacion y metodode la investigacion utilizado para desarrollar el proyecto.
CAPITULO IV: Se mencionan los pasos seguidos para la implantacion del IDS,estableciendo las especificaciones tecnicas y el desarrollo llevado a cabo para laejecucion.
X
Capıtulo 1
EL PROBLEMA
En este capitulo se establece la problematica de la investigacion y a su vez serealiza el analisis, delimitacion, y descripcion de la misma para darle una posiblesolucion o respuesta al por que de sus causas.
1.1. Planteamiento del Problema
Actualmente la empresa Venezolana del Vidrio C.A (VENVIDRIO) se encuentraen un plan de actualizacion y reingenierıa de los servicios que se estan prestandoen la sede principal, ubicada en el Municipio Los Guayos del estado Carabobo,y a su vez garantizar integracion con sedes a nivel nacional. Razon por lo cualse utilizan los servicios suministrados por una variedad de proveedores (CANTV,MOVISTAR, DIGITEL).
Esta diversidad de Proveedores de Servicios de Internet (ISP) permite reali-zar interconexiones entre las distintas localidades y usuarios a traves de las lıneasarrendadas virtuales (VLLs) y Redes Privadas Virtuales (VPNs) facilitando ası elteletrabajo y el intercambio de informacion de manera oportuna. Esta situacion aun-que provechosa para los procesos productivos acarrea un problema, pues la em-presa ha tenido que permitir la conexion a la oficina desde casa u otras localidades.
Desafortunadamente, cuando los atacantes comprometen la seguridad, obtie-nen acceso a uno de los activos mas valiosos para cualquier organizacion que noes mas que la informacion empresarial. La incorporacion de firewalls y redes priva-das virtuales (VPNs) para permitir de forma segura que los usuarios, desde una redexterna, se puedan comunicar con la organizacion, ha aliviado un poco el problema.
El firewall con la configuracion y polıticas acertadas puede minimizar el riesgo deque la red quede expuesta. Sin embargo, los atacantes evolucionan constantemen-te y aparecen nuevas tecnicas como los malware, spyware, y escaneos silenciosos
1
que atraviesan los firewalls mediante protocolos permitidos como HTTP, ICMP o elDNS. Estas vulnerabilidades son en las que hacen enfasis los atacantes, ya queocultan sus ataques dentro de estos protocolos, quedando la red expuesta de nue-vo.
1.2. Justificacion
Por diversos motivos la empresa Venezolana del Vidrio carece de sistemas pasi-vos que alerten a los administradores de red en el momento en el que se produzcaun ataque.
La idea de instalar un IDS en la empresa VENVIDRIO, la cual se dedica a la fa-bricacion de envases de vidrio y cubre el 80 de la demanda nacional, es proteger; laintegridad, confidencialidad y la disponibilidad de la informacion, ası como los ser-vicios que garantizan la produccion continua de la misma. Esta situacion genera lanecesidad de invertir en sistemas que vigilen y la resguarden ante posibles ataques,ya que segun la estadısticas de karspesky [1], Venezuela se encuentra situada en laposicion numero sesenta y seis (66) de los paıses mas atacados detectando cercade treinta mil (30.000) intentos de intrusion por dıa.
La implantacion de un IDS (Sistemas de deteccion de intrusos) ayudara a de-tectar la mayorıa de intrusiones y trafico anomalo que no detecte el firewall y pro-gramas basicos como antivirus. Analizando el trafico que pasara a traves del IDS eladministrador tendra conocimiento del ataque y dependiendo de la gravedad podradecidir cuales medidas tomar para la proteccion de la red y neutralizar el mismo.
1.3. Objetivos Del Proyecto
1.3.1. Objetivo General
Implantar un sistema de deteccion de intrusos IDS en la empresa Venezolanadel Vidrio C.A
1.3.2. Objetivos Especıficos
· Diagnosticar el estado de la infraestructura de seguridad informatica de laorganizacion.
· Definir el IDS a utilizar en la implementacion.
· Configurar e integrar el IDS a la red de la organizacion.
2
Capıtulo 2
MARCO TEORICO
En este capıtulo se hara la revision de las investigaciones previas que de maneradirecta o indirecta abordan el tema del trabajo de grado.
2.1. Recopilacion teorica
Se recopilaron algunos estudios realizados que sirven de soporte para la inves-tigacion. De ellos se pueden extraer distintos analisis acerca de la importancia dela implantacion de un IDS dentro de una organizacion. Dado que la informacion esuno de los activos mas apreciables existentes, este debe mantenerse a resguardoy evitar en la medida de lo posible que la informacion sea corrompida o sustraıda.
Considerando lo anterior tenemos que, “La cantidad de intentos de accesos noautorizados a la informacion que existe en Internet ha crecido durante estos ultimosanos. Segun el Computer Security Institute, un 70 % de las organizaciones anuncia-ron al menos un incidente de seguridad durante 2000, frente a un 42 % anunciadoen 1996. La mayorıa de los expertos piensa que estos numeros estan muy por de-bajo de la tasa real actual, puesto que muchas organizaciones evitan dar a conocersus incidentes y muchas otras ni siquiera los detectan.
Muchas companıas, normalmente por motivos de coste, han migrado informa-cion clave a Internet, exponiendola hacia el exterior. Ademas, para comodidad delos trabajadores que solicitan teletrabajo, las companıas han tenido que “abrir suspuertas” para permitir la conexion a la intranet de la oficina desde casa. Desafor-tunadamente, cuando los atacantes comprometen los sistemas de entrada, ellostambien tienen acceso a datos de la organizacion. La incorporacion de cortafuegosy redes privadas virtuales (VPNs) para permitir de forma segura que los usuariosexternos se puedan comunicar con la intranet de la organizacion ha aliviado un po-co el problema; un cortafuegos con una polıtica correcta puede minimizar el quemuchas redes queden expuestas. Sin embargo, los atacantes estan evolucionando
3
y aparecen nuevas tecnicas como los Troyanos, gusanos y escaneos silenciososque atraviesan los cortafuegos mediante protocolos permitidos como HTTP, ICMPo DNS. Los atacantes buscan vulnerabilidades en los pocos servicios que el corta-fuegos permite y enmascaran sus ataques dentro de estos protocolos, quedando lared expuesta de nuevo[2].”
Dada la situacion antes descrita los organismos reguladores y empresas espe-cializadas han desarrollado distintos metodos para minimizar estas vulnerabilida-des, “La investigacion en seguridad de la informacion, y en particular en sistemaspara detectar intrusos, se han convertido en un tema de actualidad y pertinenciaen cuanto las redes son cada dıa mas susceptibles a los ataques, esto debido a lasensibilidad de la informacion que viaja a traves de ellas. En un mundo donde lasredes permean todas las culturas y todos los niveles productivos, la informacion hapasado a ser un activo fundamental e invaluable, y de ese mismo modo no ha deja-do de ser un blanco relativamente facil y muy preciado por los atacantes, por lo quees clara la necesidad de esquemas y modelos para poder detectar esos atacantesde tal forma que se pueda evitar o minimizar el impacto de los mismos sobre lainformacion, esquemas que permitan, bien sea a los administradores de las redeso a sistemas autonomos, tomar decisiones y llevar a cabo acciones adecuadas encuanto el problema de seguridad surja [3].”
2.2. Conceptos importantes
Algunos conceptos relevantes que debemos tener en cuenta durante el desarro-llo de este trabajo son los siguientes:
Ciberseguridad
Se puede definir como un revestimiento de proteccion para los archivos de in-formacion, a partir de ella, se realizan diferentes trabajos para evitar todo tipo deamenazas, las cuales ponen en riesgo que la informacion que es procesada, trans-portada y almacenada en cualquier dispositivo sea corrompida, o extraıda.
La ciberseguridad trata de trabajar en sistemas que sean capaces de actuarantes, durante y despues de los incidentes, no sirve unicamente para prevenir, sinotambien para dar confianza a los clientes y al mercado, pudiendo ası reducir elriesgo de exposicion del usuario y de los sistemas.
Tambien se puede conceptualizar como “La proteccion de los activos de infor-macion abordando las amenazas a la informacion procesada, almacenada y trans-portada. Por sistemas de informacion interconectados [4].”
4
Firewall
Un firewall o cortafuegos es un dispositivo o sistema de seguridad de la red quecontrola el trafico entrante y saliente y decide si permite o bloquea, ademas de cifraro decodificar el trafico especıfico en funcion de un conjunto definido de reglas deseguridad.
Los firewalls han sido una primera lınea de defensa en seguridad de redes pormas de 25 anos. Establecen una barrera entre las redes internas seguras y contro-ladas en las que se puede confiar y las redes externas no confiables como Internet,un firewall puede ser de hardware, software o ambos.
· Firewall de hardware: Este cortafuegos, normalmente, se encuentra instala-do en el router que empleamos para acceder a Internet o como un dispositivofısico extra dentro de nuestra topologıa, y por tanto, sirve para proteger a todoslos ordenadores de una red que hagan uso del mismo.
· Firewall de software: Se trata del firewall que viene con el sistema operativodel ordenador, y por tanto, en este caso tan solo protege un equipo y no todoslos que integran una red. Se ocupa de rastrear el trafico para bloquear aquelque no esta autorizado. Tambien existen firewalls por software mas especia-lizado en esta tarea que permiten analizar todo el trafico de la red tal comopfSense.
Teniendo en cuenta lo descrito anteriormente se puede describir el firewall como“El elemento central cuando se implementa cualquier proyecto de seguridad dered. Ellos se encargan de establecer la referencia basica en la topologıa de red,separando las zonas de confianza de las que no son de confianza y aplican reglasde control de acceso entre ellas [5].”
IDS (Sistema de deteccion de Intrusos)
Es un software que monitorea el trafico de la red para detectar actividadesinusuales o sospechosas. La deteccion de actividad anomala e informar al admi-nistrador de la red es la funcion principal, sin embargo, algunas herramientas deIDS pueden actuar de acuerdo a las reglas configuradas cuando se detecta activi-dad maliciosa, por ejemplo, bloqueando cierto trafico.
“El Sistema de Deteccion de Intrusos (IDS) aporta a la red un grado de seguri-dad de tipo preventivo ante cualquier actividad sospechosa. El sistema IDS consi-gue este objetivo a traves de alertas anticipadas dirigidas a los administradores desistemas [6].”
Existen dos tipos principales de sistemas de deteccion de intrusos:
5
Deteccion de intrusion basada la red (NIDS)
La mayor parte de los sistemas de deteccion de intrusos estan basados en red.Estos IDSs detectan ataques capturando y analizando paquetes de la red. Escu-chando en un segmento, un NIDS puede monitorear el trafico que afecta a multipleshosts que estan conectados a ese segmento de red, protegiendolos.
Los IDSs basados en red a menudo estan formados por un conjunto de sen-sores localizados en varios puntos de la red. Estos sensores monitorean el traficorealizando analisis local e informando de los ataques que se producen a la consolade gestion. Como los sensores estan limitados a ejecutar el software de deteccion,pueden ser mas facilmente asegurados ante ataques. Muchos de estos sensoresson disenados para correr en modo oculto, de tal forma que sea mas difıcil para unatacante determinar su presencia y localizacion.
Ventajas:
· Un IDS bien localizado puede monitorear una red grande, siempre y cuandotenga la capacidad suficiente para analizar todo el trafico.
· Los NIDSs tienen un impacto pequeno en la red, siendo normalmente dispo-sitivos pasivos que no interfieren en las operaciones habituales de esta.
· Se pueden configurar para que sean muy seguros ante ataques, haciendolosinvisibles al resto de la red.
Desventajas:
· Pueden tener dificultades procesando todos los paquetes en una red grandeo con mucho trafico y pueden fallar en reconocer ataques lanzados duranteperiodos de trafico alto.
· Los IDSs basados en red no analizan la informacion cifrada. Este problemase incrementa cuando la organizacion utiliza cifrado en el propio nivel de red(IPSec) entre hosts.
· Los IDSs basados en red no saben si el ataque tuvo o no exito, lo unico quepueden saber es que el ataque fue lanzado. Esto significa que despues deque un NIDS detecte un ataque, los administradores deben manualmente in-vestigar cada host atacado para determinar si el intento de penetracion tuvoexito o no.
· Algunos NIDS tienen problemas al tratar con ataques basados en red que via-jan en paquetes fragmentados. Estos paquetes hacen que el IDS no detectedicho ataque o que sea inestable e incluso pueda llegar a caer.
6
Deteccion de intrusion basada en Host (HIDS)
Los HIDS fueron el primer tipo de IDSs desarrollados e implementados. Operansobre la informacion recogida desde dentro de una computadora, como pueden serlos archivos de auditorıa del sistema operativo. Esto permite que el IDS analice lasactividades que se producen con una gran precision, determinando exactamenteque procesos y usuarios estan involucrados en un ataque particular dentro del sis-tema operativo. A diferencia de los NIDSs, los HIDSs pueden ver el resultado deun intento de ataque, al igual que pueden acceder directamente y monitorear losarchivos de datos y procesos del sistema atacado.
Ventajas:
· Los IDSs basados en host, al tener la capacidad de monitorear eventos localesa un host, pueden detectar ataques que no pueden ser vistos por un IDSbasado en red.
· Pueden a menudo operar en un entorno en el cual el trafico de red viaja cifra-do, ya que la fuente de informacion es analizada antes de que los datos seancifrados en el host origen y/o despues de que los datos sea descifrados en elhost destino.
Desventajas:
· Los IDSs basados en hosts son mas costosos de administrar, ya que debenser gestionados y configurados en cada host monitoreado. Mientras que conlos NIDS tenemos un IDS por multiples sistemas monitoreados, con los HIDStenemos un IDS por sistema monitoreado.
· Si la estacion de analisis se encuentra dentro del host monitoreado, el IDSpuede ser deshabilitado si un ataque logra tener exito sobre la maquina.
· No son adecuados para detectar ataques a toda una red (por ejemplo, esca-neos de puertos) puesto que el IDS solo ve aquellos paquetes de red enviadosa el.
· Pueden ser deshabilitados por ciertos ataques de DoS.
· Usan recursos del host que estan monitoreando, consumiendo recursos delsistema.
7
IntrusionSe puede definir como un incidente de seguridad en el que un intruso o usuario
no autorizado obtiene, o intenta obtener, acceso a un sistema o recurso del sistemasin tener aprobacion para hacerlo, tambien se puede especificar como “cualquieraccion que atente y comprometa la integridad, confidencialidad o disponibilidad deun recurso [7].”
Open Source o Codigo Abierto
“El codigo abierto no solo significa acceder al codigo fuente. Los terminos dedistribucion del software de codigo abierto deben cumplir con los siguientes crite-rios:
1. Redistribucion gratuitaLa licencia no restringira a ninguna parte la venta o la entrega del softwarecomo un componente de una distribucion de software agregada que contengaprogramas de varias fuentes diferentes. La licencia no requerira una regalıa uotra tarifa por dicha venta.
2. Codigo fuenteEl programa debe incluir el codigo fuente y debe permitir la distribucion enel codigo fuente, ası como la forma compilada. Cuando alguna forma de unproducto no se distribuye con el codigo fuente, debe haber un medio bienpublicitado para obtener el codigo fuente por un costo de reproduccion no ma-yor a un costo razonable, preferiblemente descargar a traves de Internet sincargo. El codigo fuente debe ser la forma preferida en la que un programa-dor modificarıa el programa. El codigo fuente deliberadamente ofuscado noesta permitido. No se permiten formularios intermedios, como la salida de unpreprocesador o traductor.
3. Trabajos derivadosLa licencia debe permitir modificaciones y trabajos derivados, y debe permi-tir que se distribuyan bajo los mismos terminos que la licencia del softwareoriginal.
4. Integridad del codigo fuente del autorLa licencia puede restringir la distribucion del codigo fuente en forma modifi-cada solo si la licencia permite la distribucion de .archivos de parchescon elcodigo fuente con el proposito de modificar el programa en el momento de lacompilacion. La licencia debe permitir explıcitamente la distribucion de soft-ware creado a partir del codigo fuente modificado. La licencia puede requerirtrabajos derivados para llevar un nombre o numero de version diferente delsoftware original.
8
5. No discriminacion contra personas o gruposLa licencia no debe discriminar a ninguna persona o grupo de personas.
6. No discriminacion contra campos de esfuerzoLa licencia no debe restringir a nadie de hacer uso del programa en un campoespecıfico de esfuerzo. Por ejemplo, es posible que no impida que el programase utilice en un negocio o que se utilice para investigacion genetica.
7. Distribucion de la licenciaLos derechos adjuntos al programa deben aplicarse a todos aquellos a quie-nes se redistribuye el programa sin la necesidad de que esas partes ejecutenuna licencia adicional.
8. La licencia no debe ser especıfica para un productoLos derechos adjuntos al programa no deben depender de que el programasea parte de una distribucion de software en particular. Si el programa se ex-trae de esa distribucion y se utiliza o distribuye dentro de los terminos de lalicencia del programa, todas las partes a quienes se redistribuye el progra-ma deben tener los mismos derechos que los otorgados en conjunto con ladistribucion de software original.
9. La licencia no debe restringir otro softwareLa licencia no debe imponer restricciones a otro software que se distribuyajunto con el software con licencia. Por ejemplo, la licencia no debe insistir enque todos los demas programas distribuidos en el mismo medio deben sersoftware de codigo abierto.
10. La licencia debe ser tecnologica-neutralNinguna disposicion de la licencia puede basarse en ninguna tecnologıa indi-vidual o estilo de interfaz [8].”
Servidor proxy
“Un servidor proxy es un sistema informatico que se encuentra entre el clienteque solicita un documento web y el servidor de destino (otro sistema informati-co) que sirve el documento. En su forma mas simple, un servidor proxy facilita lacomunicacion entre el cliente y el servidor de destino sin modificar peticiones o res-puestas. Cuando iniciamos una solicitud de un recurso desde el servidor de destino,el servidor proxy secuestra nuestra conexion y se representa a sı mismo como uncliente para el servidor de destino, Solicitando el recurso en nuestro nombre. Si serecibe una respuesta, el servidor proxy nos la devuelve. Dando una sensacion deque nos hemos comunicado con el servidor de destino [9].”
9
Tambien se puede decir que un servidor proxy es un equipo dedicado o un sis-tema de software que se ejecuta en un equipo de computo que actua como inter-mediario entre un dispositivo de punto final, como una computadora, y otro servidordel cual un usuario o cliente solicita un servicio.
El servidor proxy puede existir en la misma maquina que un servidor de firewallo puede estar en un servidor independiente, que reenvıa las solicitudes a traves delfirewall.
Una ventaja de un servidor proxy es que su cache puede servir a todos losusuarios. Si uno o mas sitios de internet se solicitan con frecuencia, es probableque estos esten en el cache del proxy, lo que mejorara el tiempo de respuesta delusuario. Un proxy tambien puede registrar sus interacciones, lo que puede ser utilpara la solucion de problemas y auditorias posteriores.
Software
Es un conjunto de instrucciones de programas de computo que incluye datos,procedimientos y rutinas que permiten realizar distintas tareas en un sistema in-formatico. Teniendo esto en cuenta se puede decir que el software es “la parteinmaterial o logica de un sistema informatico. Son los datos y los programas nece-sarios para que la parte fısica de un ordenador hardware (Hw) funcione y produzcaresultados[10].”
Topologıa de red
“Una topologıa de red es la disposicion de una red, incluyendo sus nodos ylıneas de conexion. Hay dos formas de definir la geometrıa de la red: la topologıafısica y la topologıa logica.
1. La topologıa fısicaEs la disposicion geometrica real de las estaciones de trabajo.
2. La topologıa logicaSe refiere a la naturaleza de los caminos que siguen las senales de nodo anodo[11].”
PPTP (Point to Point Tunneling Protocol)
El Protocolo PPTP nos permite realizar conexiones remotas y seguras a la redempresarial utilizando el internet publico proporcionado por el ISP.
10
“El PPTP (Point-to-Point Tunneling Protocol) de Microsoft (MS) se utiliza parapermitir a los usuarios remotos conectar de nuevo con su red corporativa de unamanera segura a traves de Internet publico. Puede asignar una sola direccion IP auna ubicacion remota para conservar sus direcciones IP publicas. A continuacion,puede permitir que varios usuarios establezcan conexiones PPTP simultaneamentea las mismas ubicaciones o a otras diferentes [12].”
Un ejemplo grafico de la configuracion de este protocolo lo podemos observaren la figura siguiente:
Figura 2.1: Poin to Point Protocol
VoIP (Voz sobre IP)
Se puede definir como un metodo para realizar o cursar llamadas de voz a travesde la red de datos y sobre el protocolo IP en otras palabras la “Voz sobre IP (VoIP)define una forma de realizar llamadas de voz a traves de una red IP, incluida ladigitalizacion y la paquetizacion de las secuencias de voz. La telefonıa IP utiliza losestandares de VoIP para crear un sistema de telefonıa donde se pueden utilizarfunciones de nivel superior, como enrutamiento de llamadas avanzado, correo devoz, centros de contacto, etc...[13].”
Ventajas de la Telefonıa IP
En la telefonıa IP los datos de voz digitalizados se envıan a traves de internet ypueden tomar diferentes rutas para llegar a su destino. En cambio, en la telefonıatradicional se establece una conexion telefonica entre los interlocutores.
11
· Con la tecnologıa VoIP se pueden mantener varias conversaciones a la vezal no depender de lıneas fısicas. Eso permite comunicaciones entre personasubicadas en distintas partes del mundo.
· Una de las ventajas mas importantes de VoIP para las empresas es podercontactar diferentes localidades de la misma empresa bajo un mismo numerode cabecera.
· La telefonıa por VoIP ofrece una calidad de sonido igual de buena o mejor quela telefonıa tradicional. Dependiendo del ancho de banda que se utilice.
· Otra de las ventajas son los servicios adicionales que ofrece la telefonıa IPcomo la posibilidad de montar centrales en las empresas de forma bastan-te sencilla y configurar servicios como desvıo de llamadas, identificacion dellamadas, contestador, etc...
DNS o Domain Name System (Sistema de Nombres de Dominio)
Su funcion principal es la de traducir los nombres de los dominios que estamosacostumbrados, como google.com, en direcciones IP, tal como 8.8.8.8, teniendoen cuenta esto se puede decir que, “El Sistema de nombres de dominio (DNS)es el sistema en Internet que asigna nombres de objetos (generalmente nombresde host) a numeros de IP u otros valores de registro de recursos. El espacio denombres de Internet se divide en dominios, y la responsabilidad de administrar losnombres dentro de cada dominio es delegada, generalmente a los sistemas dentrode cada dominio[14].”
De manera grafica podemos observar el funcionamiento del DNS en la Figura 2.2
Correo Electronico:
El correo electronico es un servicio que permite el intercambio de mensajes atraves de sistemas de comunicacion electronicos. En otras palabras,
“Es un servicio de Red que permite a los usuarios enviar y recibir mensajes yarchivos rapidamente mediante sistemas de comunicacion electronicos. Principal-mente se usa este nombre para denominar al sistema que provee este servicio enInternet, mediante el protocolo SMTP[15].”
12
Figura 2.2: Resolucion de Nombres DNS
Sistemas de Planificacion de Recursos Empresariales (ERP)
Son sistemas o programas que permiten el control de distintas operaciones inter-nas de una empresa, desde produccion a distribucion o incluso recursos humanos.
Siendo ası tenemos que, “El acronimo ERP hace referencia a la planificacionde recursos empresariales. ERP abarca todos los sistemas y paquetes de soft-ware que utilizan las organizaciones para gestionar sus actividades empresarialesdiarias como la contabilidad, las adquisiciones, la gestion de proyectos y la produc-cion. Los sistemas ERP enlazan y definen multitud de procesos empresariales yfacilitan el flujo de datos entre ellos. Los sistemas ERP recopilan los datos de lastransacciones compartidos por las diversas fuentes de una organizacion, eliminanla duplicacion de los datos y proporcionan una integridad de datos con una ”unicafuente de confianza”[16].”
Teniendo en cuenta estos conceptos un ERP debe enlazar los procesos, por ejem-plo, los que se observan en la Figura 2.3, los cuales son crıticos para cualquierempresa de produccion.
13
Figura 2.3: Caracterısticas de un ERP
14
Capıtulo 3
MARCO METODOLOGICO
En este capitulo se explican los mecanismos utilizados para el analisis de laproblematica de la investigacion.
3.1. Diseno de la Investigacion
Segun el Manual de Tesis de Grado y Especializacion y Maestrıa y Tesis Docto-rales de la Universidad Pedagogica Libertador, (2006), se encuentra que: “El Pro-yecto Factible consiste en la investigacion, elaboracion y desarrollo de una pro-puesta de un modelo operativo viable para solucionar problemas, requerimiento onecesidades de organizaciones o grupos sociales; puede referirse a la formulacionde polıticas, programas, tecnologıas, metodos o procesos. El Proyecto debe tenerapoyo en una investigacion de tipo documental, de campo o un diseno que incluyaambas modalidades [17].”
Tomando en cuenta la cita anterior, la investigacion, analisis y estudio de la pro-blematica planteada se realizo en fases que condujeron a la implementacion de unnuevo IDS basado en software libre.
3.1.1. Fase I
Levantamiento de informacion de la plataforma tecnologica de la empresa enestudio. En esta fase se realizo el levantamiento de informacion asociado a loscomponentes de la plataforma tecnologica tales como: servidor proxy, firewall, to-pologıa de red, entre otros, ası como la documentacion necesaria para llevar a cabola implementacion.
15
3.1.2. Fase II
Delimitar los requerimientos para la adecuacion del Sistema de deteccion deIntrusos IDS, con el fin de implementar la solucion. En esta etapa se puntualizo eltipo de IDS que mejor se adapto a los requerimientos de la empresa, las adecua-ciones y configuraciones que se requerıan llevar a cabo en el los equipos ası comotopologıa de red a fin de adecuarlo a las necesidades de la empresa.
3.1.3. Fase III
Implementacion del Sistema IDS open source en la empresa. En esta fase seefectuo la implementacion de una aplicacion, encargada de monitorear los eventosque ocurren en busca de intentos de intrusion.
Dicha aplicacion se encuentra desarrollada bajo estandares libres, y permiterecopilar la informacion acerca de los sucesos que ocurren en la red. Dentro deesta fase se aplico un plan de monitoreo para verificar el correcto funcionamientodel aplicativo.
3.2. Metodologıa de la investigacion
La metodologıa empleada para el desarrollo del proyecto estuvo basada en lanaturaleza del mismo, la cual esta fundamentada en los criterios de la investigaciontecnologica “La Investigacion Tecnologica tendrıa como finalidad solucionar pro-blemas o situaciones que el conocimiento cientıfico consolidado como tecnologıademanda: por lo tanto no serıa su finalidad descubrir nuevas leyes, y casualidades,sino la de reconstruir procesos en funcion de descubrimientos ya realizados. La in-vestigacion cientıfica producirıa el conocimiento basico del comportamiento de losfactores, mientras que la tecnologıa producirıa sistemas, equipos, programas parasolucionar y prever consecuencias [18].”
3.3. Area de Investigacion
El desarrollo del trabajo se llevo a cabo en la Direccion General de Tecnologıade la empresa Venezolana del Vidrio, que tiene su sede principal en El Municipiolos Guayos del Estado Carabobo, donde esta el Data Center Central (servidores,switch, firewall, cableado, routers.) y presta los servicios basicos para la empre-sa tales como: correo electronico, telefonıa IP, ERP, dominio, almacenamiento dedatos entre otros, y desde el cual se realizan interconexiones con los cuartos dedatos secundarios ubicados en las plantas del estado Trujillo y Monagas y la oficinacomercial ubicada en Caracas.
16
3.4. Revision Teorica
Para llegar a establecer la revision teorica se tomaron en cuenta diferentes fuen-tes de investigacion, tal es el caso de las referencias bibliograficas, referencias delibros y/o artıculos publicados.
La revision teorica se enfoca en determinar los siguientes puntos:
· Determinar el IDS que se adapte a las necesidades de la empresa.
· Documentacion de la plataforma.
· Impacto en la seguridad de los datos de la empresa.
3.5. Objetivo de la Investigacion
Se tiene como objetivo principal de este trabajo el analisis, diseno e implantacionde una solucion que incremente la seguridad de los datos de la empresa Venezola-na del Vidrio C.A. a fin de resguardar sus operaciones, transacciones, e informacioncorporativa.
17
Capıtulo 4
IMPLANTACION DEL IDS
Se realizo el levantamiento de la informacion considerando aspectos tan impor-tantes como; la red WAN y LAN, el firewall y proxy, con su diferentes componentes.Se establecen los requerimientos asociados al sistema IDS. Por ultimo se detallanlos pasos seguidos para la implementacion del sistema IDS en Venvidrio.
4.1. Fase I
En esta seccion se describira el proceso de recopilacion de datos e informacionde la situacion en cuanto a ciberseguridad se refiere, con el proposito de identificarproblemas y oportunidades de mejora.
4.1.1. Red WAN y LAN
En esta etapa se determinaron las caracterısticas de la red de area amplia, oWAN (Wide Area Network). Y red de area local o LAN (Local Area Network) de laempresa.
La red WAN esta conformada por cuatro (4) localidades las cuales son: LosGuayos (VV-LG), Valera (VV-VAL), Maturın (VV-MAT), y Caracas (VV-CCS). Dichaslocalidades se encuentran interconectadas a traves del protocolo PPTP medianteel cual se les da acceso a los servicios requeridos para los procesos inherentesa la planta (Email, ERP, DNS, Intranet, Telefonıa) entre otros, y a su vez tienenenlaces independientes con los Proveedores de Servicio de Internet (ISP), tal comose observa en la Figura 4.1
18
Figura 4.1: Red WAN Venvidrio
Teniendo en cuenta la figura anterior debemos mencionar que los enlaces dedatos arrendados a los ISP varıan dependiendo de las necesidades de cada loca-lidad teniendo esto en cuenta podemos observar la capacidad de cada uno en lasiguiente tabla.
Nombre de la localidad Siglas ISP Ancho de banda del enlaceLos Guayos VV-LG CANTV 100 Mbit/sLos Guayos VV-LG MOVISTAR 2 Mbit/s
Valera VV-VAL CANTV 100 Mbit/sMaturin VV-MAT DIGITEL 10 Mbit/sCaracas VV-CCS CANTV 1 Mbit/s
Tabla 4.1: Enlaces Venvidrio
Ademas se determino que la red WAN de la empresa posee una topologıa ti-po estrella, lo cual coloca la misma en una situacion riesgosa teniendo un unicopunto crıtico de falla, Los Guayos (VV-LG), ya que no existen conexiones redun-dantes entre las localidades, ni un centro de datos de respaldo que permita la altadisponibilidad y la recuperacion de los servicios ante desastres.
Por tal motivo la implementacion del IDS se realizo en la localidad antes men-cionada dado que es el centro neuralgico de las operaciones de la empresa, conel fin de incrementar la proteccion de la informacion y los procesos que se llevan a
19
cabo en la misma, dejando fuera del alcance de este trabajo la reingenierıa de rednecesaria para garantizar la alta disponibilidad.
En cuanto a la red LAN de la empresa existe una estandarizacion en cuanto atopologıa, presentando al igual que la red WAN antes mencionada, una topologıatipo estrella, variando en cantidad de host dependiendo de la localidad que estemosobservando, y en los dispositivos de red que componen cada red LAN.
Cada localidad posee particularidades en cuanto a los servicios, ya que la mayorparte de estos se encuentran activos en el centro de datos ubicado en Los Guayos.
Cabe destacar que se detecto variedad en los fabricantes del hardware de red,teniendo ası, distintas brechas de seguridad ya que la solucion de proteccion contraexploits va a variar dependiendo de la marca y modelo de los equipos (routers,switch multicapa).
La situacion antes descrita la podemos ilustrar y con cierto grado de detalle me-diante las figuras siguientes, omitiendo por motivos de seguridad y confidencialidad;direccionamiento IP y enrutamiento.
Figura 4.2: Red LAN Localidad Los Guayos (VV-LG)
20
Figura 4.3: Red LAN Localidad Valera (VV-VAL)
Figura 4.4: Red LAN Localidad Maturin (VV-MAT)
21
Figura 4.5: Red LAN Localidad Caracas (VV-CCS)
4.1.2. Firewall y proxy
Continuando con el levantamiento de informacion nos encontramos con el ser-vidor proxy y el firewall los cuales estan basados en software libre, especıficamentese tiene configurado pfSense version 2.3 el cual es una distribucion de FreeBSDadaptado como firewall y otras funcionalidades tal como el servidor proxy, el cual seencuentra configurado y operativo, sin embargo el mismo ha presentado algunosinconvenientes para realizar la actualizacion a la version 2.4 la cual se encuentraliberada y estable tal como se muestra el mensaje de error en la Figura 4.6
Figura 4.6: Mensaje de error en pfSense
22
Una de sus ventajas es que, puede ser instalado en una gran variedad de orde-nadores, y ademas cuenta con una interfaz web sencilla para su configuracion.
Entre las funcionalidades de este software tenemos las siguientes: firewall, statetable, Network Address Translation (NAT), alta disponibilidad, multi-WAN, balanceode carga, VPN que puede ser configurada con IPsec, OpenVPN y en PPTP, servidorPPPoE, servidor DNS, servidor DHCP, entre otros.
Los requerimientos mınimos para su instalacion son los siguientes: puede ins-talarse en cualquier pc o servidor que cuente con un mınimo de 500mhz (CPU),256mb (ram), 1gb de almacenamiento y dos tarjetas de red, el proceso de instala-cion es similar a FreeBSD, una vez instalado y configurado tendremos una interfazweb similar a la mostrada en la siguientes imagenes.
Figura 4.7: Interfaz web pfSense
23
Figura 4.8: Dashboard pfSense
4.1.3. Software antivirus
En este apartado nos encontramos con el sotfware Kaspersky EndPoint Security10 el cual es un antivirus corporativo para estaciones de trabajo y servidores Win-dows desarrollado por Kaspersky. El cual incluye entre sus modulos los siguientes
4.1.3.1. Modulos de Control
· Control de inicio de aplicaciones.
Este componente realiza un seguimiento de los intentos del usuario de iniciaraplicaciones y regula el inicio de aplicaciones.
· Control de actividad de aplicaciones.
Este componente registra las acciones de las aplicaciones del sistema opera-tivo y regula la actividad de las aplicaciones en funcion del grupo de confianzade una aplicacion determinada. Permite especificar un conjunto de reglas paracada grupo de aplicaciones. Estas reglas regulan el acceso de las aplicacio-nes a los datos personales del usuario y a los recursos del sistema operativo.Entre estos datos se incluyen los archivos de usuario (carpeta Mis documen-tos, cookies, informacion sobre las actividades del usuario) y archivos, carpe-tas y claves de registro que contienen configuracion e informacion importantesobre las aplicaciones que mas se utilizan.
24
· Control de vulnerabilidades.
El componente Control de vulnerabilidades ejecuta un analisis de vulnerabili-dades en tiempo real de aplicaciones que se estan ejecutando en el equipodel usuario.
· Control de dispositivos.
Este componente permite definir restricciones en el acceso a dispositivosde almacenamiento de datos (como unidades de disco duro, unidades ex-traıbles, unidades de cinta, CD y DVD), equipos de transmision de datos (co-mo modems), equipos que convierten informacion en copias impresas (co-mo impresoras) o interfaces para conectar dispositivos a equipos (como USB,Bluetooth e infrarrojos).
· Control Web.
Este componente permite definir restricciones flexibles en el acceso a recur-sos web para diferentes grupos de usuarios.
4.1.3.2. Modulos de Proteccion
· Antivirus de archivos.
Este componente protege el equipo frente a la infeccion del sistema de ar-chivos. Antivirus de archivos se inicia junto con Kaspersky Endpoint Security,permanece activo todo el tiempo en la memoria del equipo y analiza todos losarchivos que se abran, se guarden o se ejecuten en el equipo y en todas lasunidades conectadas. Antivirus de archivos intercepta cada intento de accesoa un archivo y analiza el archivo en busca de virus y otras amenazas.
· System Watcher.
Este componente mantiene un registro de la actividad de la aplicacion en elequipo y proporciona informacion a otros componentes para garantizar unaproteccion mas efectiva.
· Antivirus de correo.
Este componente analiza mensajes de correo electronico entrantes y salientesen busca de virus y otras amenazas.
· Antivirus Internet.
Este componente analiza el trafico que llega al equipo del usuario mediantelos protocolos HTTP y FTP, y comprueba si las URL estan incluidas en listasde direcciones web maliciosas o fraudulentas.
25
· Antivirus para chat.
Este componente analiza el trafico que llega al equipo mediante protocolosde mensajerıa instantanea. Garantiza el funcionamiento seguro de diversasaplicaciones de mensajerıa instantanea.
· Firewall.
Este componente protege los datos personales que se almacenan en el equi-po y bloquea todos los tipos de amenazas al sistema operativo mientras elequipo esta conectado a Internet o a una red de area local. El componentefiltra toda la actividad de red segun dos tipos de reglas: las reglas de red de laaplicacion y las reglas de paquetes de red.
· Monitor de red.
Este componente permite ver la actividad de red del equipo en tiempo real.
· Prevencion de intrusiones.
Este componente inspecciona el trafico de red entrante en busca de actividadque sea tıpica de ataques de red. Al detectar un intento de ataque de reddirigido a su equipo, Kaspersky Endpoint Security bloquea la actividad de reddel equipo atacante.
4.2. Fase II
Requerimientos para la adecuacion del Sistema de deteccion de Intrusos IDS.
4.2.1. Requerimientos del IDS
Teniendo en cuenta la informacion recolectada acerca de los dispositivos de red,la topologıa y el software preexistente para minimizar las intrusiones, el IDS que sepropuso y configuro cubre las necesidades de seguridad entre las cuales tenemos:proporcionar la posibilidad de monitorear el estado y detectar eventos que ocurrenen la infraestructura de red.
Este es un sistema pasivo para la prevencion y alerta de eventos, por lo queno evitara el ataque detectado, relegando esta tarea al analista de seguridad en-cargado del monitoreo. El analista de seguridad informatica sera, por tanto, el quetome las medidas reactivas necesarias para gestionar y solucionar el incidente. Esimportante resaltar, que la herramienta se eligio considerando la estabilidad y com-patibilidad de la misma con el software preexistente (firewall y antivirus).
26
El IDS configurado es capaz de detectar los ataques mas comunes en las redesentre los cuales, destacan aquellos en el cual los atacantes aprovechan la pila deprotocolos IP, por ser esta la base de la comunicacion en los sistemas modernos yel nucleo fundamental de internet. Con esta configuracion se disminuye la posibili-dad de que logren hacer efectivo sus ataques en contra de la empresa. Entre losataques mas comunes y que por ser un poco anticuados no dejan de representaruna amenaza a la red tenemos:
· Land:
Es un ataque en el cual el atacante envıa un paquete TCP con una banderade sincronizacion y la misma direccion de fuente y de destino, lo que provocaque algunos sistemas se bloqueen y rechacen conexiones futuras.
Figura 4.9: Ataque LAND
· Neptuno:
En este ataque se envıan multiples paquetes TCP de sincronizacion desdeuna direccion fuente inexistente, lo que provoca que en el sistema vıctimase abran multiples conexiones que no tienen respuesta y que se mantenganabiertas hasta que el sistema sea incapaz de abrir conexiones nuevas.
27
Figura 4.10: Ataque Neptuno
· Ping O’ Death:
Este ataque Ping de la muerte consiste en paquetes ICMP de peticion de eco(conocidos como ping) que tienen un tamano demasiado grande, lo que haceque algunos sistemas se bloqueen.
Figura 4.11: Diferencia entre ping normal y el ping de la muerte
28
· Targa3:
Es un ataque combinado de paquetes IP malformados, que pueden contenerdatos de fragmentacion erroneos, valores invalidos de cabecera, banderasinvalidas, etc...
Figura 4.12: Ataque Targa3
· Smurf o pitufo:
Es un ataque de denegacion de servicio en el cual se envıan multiples paque-tes ICMP de peticion de eco a direcciones de broadcast pero con la direccionfuente de la vıctima (spoofing), ası al momento en que los ecos son respondi-dos la victima recibe demasiadas solicitudes provocando que se bloquee.
29
Figura 4.13: Ataque Smurf
· Teardrop o goteo:
Este ataque consiste en el envio de paquetes TCP que estan fragmentadosde manera equivocada, provocando que los diferentes fragmentos se sobre-pongan al momento de la reconstruccion, provocando que la maquina vıctimase bloquee.
Figura 4.14: Ataque Teardrop
30
· UDP Storm:
Este ataque DDoS aprovecha el protocolo UDP (User Datagram Protocol), unprotocolo de red que no necesita una sesion iniciada en el equipo remoto.Este tipo de ataque inunda puertos aleatorios con numerosos paquetes UDP,causando que el equipo vıctima compruebe ante cada peticion a cada puerto,si hay alguna aplicacion escuchando en destino; y en caso de no haberlaresponde con un paquete ICMP (Internet Control Message Protocol) de errorde destino. Al ser el numero de paquetes enviado enormemente exagerado,este proceso agota los recursos del servidor o equipo, y en ultima instanciapuede conducir a la inaccesibilidad.
Figura 4.15: Ataque UDP Storm
· Barridos de ping:
Consiste en el envıo de paquetes ICMP de peticion de eco a un rango ampliode direcciones IP para determinar que sistemas estan activos a partir de larespuesta que den a la peticion.
31
Figura 4.16: Barrido de ping
· Consultas ICMP:
Este ataque consiste en el envio de consultas ICMP diferentes a la peticionde eco, con el fin de determinar otra informacion importante de las vıctimastal como la zona horaria o las mascaras de red.
Figura 4.17: Consulta ICMP
32
· Exploracion de puertos:
El ataque de escaneo de puertos (portscan) es el proceso en el que se analizaautomaticamente los puertos de una maquina conectada a la red con la fina-lidad de verificar cuales puertos estan abiertos, cerrados o cuenta con algunprotocolo de seguridad, el resultado de este analisis permitira que los intrusospuedan saber informacion como la composicion de nuestra arquitectura, el sis-tema operativo de nuestros ordenadores y los posibles agujeros de seguridadque luego seran explotados por los atacantes.
Figura 4.18: Exploracion de puertos
En ese mismo orden de ideas durante el levantamiento de informacion se deter-mino que el antivirus instalado, posee una caracterıstica importante para incremen-tar la ciberseguridad de la red corporativa, la cual es la prevencion de intrusiones,dicha funcionalidad esta configurada como un HIDS (Deteccion de intrusion basadaen Host) por lo cual nuestra herramienta se complementara con lo ya establecidopara ası incrementar el analisis de trafico.
Dada esta situacion se decidio realizar la configuracion y puesta en marcha deNIDS (Deteccion de intrusion basada la red), lamentablemente los ids son pocopor no decir inutiles en la deteccion de ransonware uno de los ataques que afectaactualmente a una gran cantidad de organizaciones, mas sin embargo se puederealizar configuraciones que alerten sobre trafico proveniente de direcciones ip dedudosa reputacion y de los servidores de comando y control (c&c servers).
33
4.2.2. Ubicacion del IDS dentro de la red corporativa
Para la ubicacion se consideraron varios factores entre los cuales tenemos: elhardware, software, y el recurso humano. Teniendo en cuenta esto se determinarontres zonas donde colocar nuestro IDS las cuales podremos discriminar o diferenciaren la figura siguiente.
Figura 4.19: Zonas de instalacion del IDS
· Zona roja:
Esta es una zona de alto riesgo ya que el IDS estara expuesto a todo el traficode la red por lo tanto debe ser configurado para ser poco sensible, ya queaumentara mas la posibilidad de falsos positivos.
· Zona naranja:
En esta zona El IDS tiene una sensibilidad un poco mayor que en la zona roja,dado que ahora, el firewall debe esta configurado para filtrar algunos accesosdefinidos mediante la polıtica de nuestra organizacion. En esta zona apareceun menor numero de falsos positivos que en la zona roja, puesto que en estepunto solo deberıan estar permitidos accesos hacia nuestros servidores.
· Zona verde:
Esta es la zona de confianza de nuestra red. Cualquier trafico anomalo quellegue hasta esta zona debe ser considerado como hostil. En este punto de lared se produciran el menor numero de falsos positivos, por lo que cualquieralarma del IDS debe de ser inmediatamente estudiada por los analistas ygenerar la respuesta adecuada.
34
Teniendo en cuenta estas zonas de operacion del IDS, y las caracterısticas deHIDS ofrecidas por el antivirus preexistente, la zona de instalacion y operacionidonea para el NIDS de la empresa es la zona Naranja ya que en conjunto conel firewall incrementaran la seguridad de la red. Una vez definida la zona de opera-cion del mismo se debio decidir cual IDS se adapta mejor a nuestras necesidadesy que cumpla con la premisa de ser software libre. De lo cual se consideraron dos(2) grandes candidatos los cuales son Snort y Suricata.
4.2.3. Snort
Snort es uno de los motores IDS que se ha transformado en una tecnologıade prevencion y deteccion ampliamente extendida y confiable en el mundo entero.La revista SC Magazine afirma “Por su capacidad de implementacion rapida, suscapacidades integrales y el excelente soporte de la comunidad de codigo abierto,Snort tiene que ser uno de nuestros favoritos [19].”
El hecho de que los usuarios de la comunidad de seguridad de codigo abierto detodo el mundo pueden detectar y responder ante incidentes de seguridad de formamas rapida y eficiente que con otros motores IDS de la competencia han convertidoa Snort en un caso de exito. Ademas, hay una amplia documentacion disponiblepara instalar, configurar, implementar y administrar sensores de Snort.
Snort utiliza un lenguaje basado en reglas que combina beneficios de inspeccionbasados en firmas, protocolos y anomalıas. Con su velocidad, potencia y rendimien-to, Snort se ha convertido en una de las tecnologıas de deteccion de intrusos masutilizada del mundo. El principal trabajo de Snort es escuchar el trafico de red ybuscar firmas en el flujo de datos que puedan indicar un incidente de seguridad enla infraestructura a monitorear.
Snort nos permite configurar las reglas para realizar una determinada accion.Esta accion puede ser pasiva, alertando del incidente, o activa, aplicando contra-medidas en tiempo real. Las organizaciones pueden aprovechar la aplicacion deconjuntos de reglas existentes proporcionadas por la comunidad de Snort, ası co-mo escribir o modificar sus propias reglas de acuerdo con requisitos especıficosde la red donde es implantado. Tambien nos da la posibilidad de escribir reglascomplejas para identificar casi cualquier tipo de trafico que atraviesa la red.
4.2.4. Suricata
Suricata es un motor IPS/IDS de codigo abierto bajo licencia GPLv2, desarro-llado por la comunidad de OISF (Open Infomation Security Foundation), con muy
35
buenas caracterısticas siendo la mas importante su arquitectura multi-hilos. El ob-jetivo de OISF es aportar nuevas ideas de seguridad e innovaciones tecnologicasa la industria de deteccion de intrusiones. Ademas de esto con la ayuda financieradel Departamento de Seguridad Interna de los Estados Unidos, se creo una alter-nativa multiproceso a Snort para ayudar a proteger las redes contra intrusiones deseguridad avanzadas.
La arquitectura de multiples hilos de Suricata es unica, ya que puede soportarsistemas multi-core y multiprocesador de alto rendimiento. Los principales benefi-cios de un diseno de multiples hilos es que ofrece mayor velocidad y eficiencia enel analisis de trafico de red y tambien puede ayudar a dividir la carga de trabajo deIDS / IPS en funcion de las necesidades de procesamiento. Ademas de la acelera-cion de hardware (con limitaciones de hardware y de tarjeta de red), el motor estadisenado para utilizar la mayor potencia de procesamiento ofrecida por los ultimoschips de CPU multi-nucleo.
Suricata se ha desarrollado con la idea de una facil implementacion, acom-panado de documentacion de inicio paso a paso y un potente manual de usuario.El motor tambien ha sido desarrollado en C, pensado desde los inicios para esca-lar. Adicionalmente, para facilitar la migracion a este producto, Suricata emplea lasmismas reglas y formatos de salida que Snort.
4.2.5. Comparacion entre Snort y Suricata
Los motores IDS antes mencionados han probado su efectividad y son real-mente populares. Algunas de las principales caracterısticas de los dos motores sepresentan en la Tabla 4.2 Suricata vs Snort.
Entre sus ventajas de Snort, podemos destacar varios aspectos. Uno de los masevidentes es su longevidad, algo que nos permite implementarlo sin preocuparnospor el futuro del soporte al mismo. Tambien resalta el gran apoyo de la comunidadSnort y el hecho de ser una herramienta muy probada.
Un punto en contra para Snort es que no cuenta por defecto con una interfazgrafica de usuario (GUI), por tanto no es tan facil de administrar como otras he-rramientas. Sin embargo, existen alternativas opensource para compensarlo, comoSnorby o Squil.
Mientras que Suricata es una herramienta IDS de arquitectura distinta, a pesarde esto se comporta de la misma manera que Snort y usa las mismas firmas. Dehecho es posible combinarla con Snort, formando un poderoso conjunto. A conti-nuacion ampliaremos algunos de los puntos clave de este sistema de deteccion deintrusiones avanzado:
36
Suricata Snort
DesarrolladorOpen Information
Security Sourcefire, Inc.(OIPF)
Disponibilidad Desde 2009 Desde 1998Lenguaje de codificacion C C
Version estable 4.1.4 2.9.13publicada Abril 30, 2019 publicada Marzo, 2019
Hilos Multi-hilo Unico HiloSoporte IPv6 Si SiSoporte reglas se Snort (VRT) Si SiSoporta reglas de Emerging Thrats Si SiFormato de Logging Unified2 Unified2Compatible con Aanval Si Si
Tabla 4.2: Suricata vs Snort
· Multi-hilo: Suricata aprovecha los procesadores multi-nucleo y multi-threading..Al contrario de Snort se ejecuta en modo uni-hilo y por tanto solo puede apro-vechar un nucleo de la CPU al mismo tiempo.
· Aceleracion mediante hardware: es posible utilizar tarjetas graficas para ins-peccionar trafico de red.
· Extraccion de ficheros: si alguien descarga malware en nuestro entorno, esposible capturarlo y estudiarlo desde Suricata.
· LuaJIT: proporcionara el poder que nos falta mediante scripting, pudiendocombinar varias reglas, para buscar elementos con mayor eficiencia.
· Mas que paquetes: Suricata no solo es capaz de analizar paquetes, tambienpuede revisar los certificados TLS/SSL, peticiones DNS, solicitudes HTTP en-tre otros.
Dadas las caracterısticas ya descritas, el IDS que se configuro con el fin de apro-vechar al maximo el performance del hardware, ademas de un rapido despliegue, ycompatibilidad con el software ya existente, fue Suricata en su version estable masactual la cual es 4.1.4; publicada Abril 30, 2019.
4.3. Fase III
A lo largo de esta seccion, se describe la arquitectura de red que se utilizo parala implementacion y puesta en marcha del NIDS en VENVIDRIO, resultante de latoma de decisiones basadas en las fases anteriores.
37
4.3.1. Implantacion
Teniendo en cuenta esto nuestro NIDS se integro a la red existente. El flujo dedatos desde la internet hacia la red interna se ilustra en la imagen siguiente.
Figura 4.20: HIDS dentro de la red
Dada la flexibilidad que nos ofrece pfSense el objetivo fue integrar Suricata masel panel de monitoreo mediante ELK el cual es un stack compuesto por tres pila-res fundamentales: Elasticsearch, Logstash y Kibana. Lo cual convierte a nuestraherramienta en un IDS moderno y funcional con una buena interfaz grafica de usua-rio sin gastar dinero en productos comerciales garantizando un rapido despliegue,estas herramientas en conjunto nos proporcionan una solucion que permite moni-torear en tiempo real los intentos de ataque a los servicios o anomalıas en el traficode red y activar, de ser necesario las contramedidas correspondientes o delegar larespuesta al analista.
La WebGUI ofrece la posibilidad de conocer de forma sencilla y rapida una grancantidad de informacion sobre ataques web: clase, tipo, ip remota, paıs, entre otros.Con esta configuracion utilizamos al maximo el software preinstalado en la empresa
38
lo cual podemos esquematizar en la siguiente imagen.
Figura 4.21: pfSense, Suricata y ELK dentro de la red
39
4.3.2. Actualizacion de pfSense
Considerando las fallas al intentar realizar la actualizacion de la version 2.3 a la2.4 de pfSense, ademas del hardware basico donde se encontraba configurado sedecidio realizar el upgrade tanto de hardware, como de software el cual se puedeevidenciar en la siguiente tabla.
Pfsense 2.3 Pfsense 2.4
Procesador Intel(R) Core(TM) i3-2100 CPU Intel(R) Xeon(R) CPU E3-1220@ 3.10GHz v3 @ 3.10Ghz
Memoria RAM 4 GB 16 GBInterfaz WAN 1000baseT < full-duplex > 1000baseT < full-duplex >
Interfaz LAN 1000baseTX < full-duplex > 1000baseT < full-duplex >
Disco duro 447 GB 447 GB
Tabla 4.3: Comparativa de la actualizacion de hardware pfSense 2.3 y 2.4
Esta actualizacion de hardware permitio realizar la instalacion del software ylas migraciones de las configuraciones existentes ademas de aprovechar la notablesuperioridad de hardware.
4.3.3. Instalacion de Suricata dentro de pfSense
Para realizar la instalacion de Suricata en pfSense una vez ubicados en el ma-nejador de paquetes vamos a la barra de busqueda y colocamos suricata y damosclick en buscar lo cual filtrara entre la lista de los paquetes disponibles y nos dara laopcion de instalar, ver Figura 4.22
Una vez seleccionado el paquete se desplegara una pantalla de confirmaciontal como observamos en la figura siguiente
40
Figura 4.22: Instalando Suricata en pfSense
Figura 4.23: Confirmacion de la instalacion Suricata en pfSense
Luego de confirmar la instalacion pfSense iniciara la descarga del paquete ylas dependencias respectivas, se debe esperar a que el proceso de descarga ydesempaquetado de los archivos culmine.
Una vez instalado Suricata en pfSense 2.4 nos mostrara el siguiente mensaje elcual nos indica que el proceso concluyo de manera exitosa
Una vez culminado el proceso de instalacion en el apartado del menu servicios
41
Figura 4.24: Proceso de la instalacion Suricata en pfSense
Figura 4.25: Instalacion exitosa Suricata en pfSense
tendremos un link hacia Suricata, dando click sobre el se desplegara la interfazsobre la cual realizaron las configuraciones
Accediendo a la configuracion global se tildaron 2 casillas las cuales permitieronrealizar descargar las reglas de Snort y ETpro tal como se puede observar en lasiguiente figura.
42
Figura 4.26: Interfaz de configuracion de Suricata
Figura 4.27: Descarga de reglas Suricata
Seleccionadas las reglas que se quieren descargar se forzo la actualizacion delas mismas ya que es la primera actualizacion, el resto de estas se ejecutaran deforma automatica para luego de esto continuar con la configuracion.
Concluidas las descargas de las reglas se nos mostrara la fecha de la firma MD5en la que fue descargada la regla tal como se muestra en la siguiente figura
43
Figura 4.28: Descarga forzada de reglas Suricata
Figura 4.29: Actualizacion de las reglas
4.3.4. Instalacion de ELK.
En este apartado se describen los pasos para realizar la instalacion de ELK elcual nos permitira desde un equipo remoto realizar el monitoreo de los archivos deregistro de eventos (logs) generados por Suricata, cabe destacar que esta configu-racion se realzo en un equipo con la siguiente configuracion de hardware: procesa-dor core 2 duo, 4GB RAM, disco duro de 160GB, y sistema operativo Ubuntu 18.04,ya que por ser un equipo para monitoreo no requirio de altas prestaciones, todos los
44
comandos de instalacion y edicion de archivos de configuracion se realizaron comoroot del sistema operativo para llevar a cabo esta tarea se realizaron las siguientesacciones:
· Instalacion Java JDK
ELK requiere de la version 8 de Java para realizar la instalacion se ejecutaronlos siguientes comandos:
# add-apt-repository ppa:webupd8team/java
# apt-get update
# apt-get install oracle-java8-installer
Figura 4.30: Instalacion de Java 8
· Instalacion Elasticsearch
Elasticsearch es un motor de busqueda y analisis distribuido, para instalarloanadiremos el repositorio de Elastic y procederemos con la instalacion:
# wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch |
45
sudo apt-key add -
# echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" |
sudo tee -a
/etc/apt/sources.list.d/elastic-5.x.list
# apt-get update
# apt-get install elasticsearch
Figura 4.31: Instalacion de elasticsearch
· Modificar configuracion de Elasticsearch
El objetivo de esta modificacion es que Elasticsearch responda con la direc-cion IP local de nuestro servidor, para lo cual ejecutamos el siguiente comando
#nano /etc/elasticsearch/elasticsearch.yml
Luego se edito la linea dentro del archivo donde se lee network.host y seprocedio a colocar network.host:IP-Local.
46
Figura 4.32: Edicion del archivo elasticsearch.yml
· Instalacion de Kibana
Kibana permite explorar, visualizar o descubrir datos. Ademas podemos ob-tener graficas o colocar datos geograficos en cualquier mapa, para instalarKibana utilizamos el siguiente comando:
# apt-get install kibana
tal como se observa en la Figura 4.33
47
Figura 4.33: Instalacion de Kibana
· Modificar configuracion de Kibana
En el archivo /etc/kibana/kibana.yml; Anadiremos o modificaremos las siguien-tes lıneas:
server.host: "IP-Privada"
elasticsearch.url: "http://IP-Privada:9200"
se ilustra lo indicado en la Figura 4.34
48
Figura 4.34: Edicion del archivo kibana.yml
· Instalar Nginx
Kibana funciona a traves del puerto 5601, usaremos Nginx para redireccionartodo el trafico del puerto 80 al puerto 5601 mediante el usuario adminkibana yla contrasena que elijamos para eso ejecutaremos los siguientes comandos:
# apt-get install nginx apache2-utils
# htpasswd -c /etc/nginx/htpasswd.kibana adminkibana
# echo > /etc/nginx/sites-available/default
49
Figura 4.35: Instalacion de Nginx
· Modificar configuracion de Nginx
Con el comando :
nano /etc/nginx/sites-available/default
abrimos el editor y procedemos a modificar IP-Publica e IP-Privada en el ar-chivo quedando tal como se muestra en la Figura 4.36
server {
listen 80;
server_name IP-Publica;
auth_basic "Acceso a Kibana";
auth_basic_user_file /etc/nginx/htpasswd.kibana;
location / {
proxy_pass http://IP-Privada:5601;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection ’upgrade’;
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
}
}
50
Figura 4.36: Modificacion del archivo default
· Instalacion de Logstash
Logstash nos permite centralizar, transformar y almacenar nuestros datos. Pa-ra instalar Logstash ejecutaremos el siguiente comando:
#apt-get install logstash
el resultado de aplicar este comando se puede observar en la Figura 4.37.
51
Figura 4.37: Instalacion de Logstash
Una vez instalado Logstash se crearon los archivos con los filtros basicos parala lectura de los logs los cuales se crearon con los siguientes comandos:
· Filtro No 1
#nano /etc/logstash/conf.d/02-beats-input.conf
input {
beats {
port => 5044
ssl => false
}
}
· Filtro No 2
#nano /etc/logstash/conf.d/10-syslog-filter.conf
filter {
if [type] == "syslog" {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp}
%{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}
(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
52
add_field => [ "program", "%{syslog_program}" ]
}
syslog_pri { }
date {
match => [ "syslog_timestamp", "MMM d HH:mm:ss",\\ "MMM dd HH:mm:ss" ]
}
}
}
· Filtro No 3
#nano /etc/logstash/conf.d/30-elasticsearch-output.conf;
output {
elasticsearch {
hosts => "IP-Privada:9200"
sniffing => true
manage_template => false
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
document_type => "%{[@metadata][type]}"
}
}
Se debe modificar el parametro IP-Privada
· Cargar Dashboards
Para cargar los dashboard de kibana debemos ejecutar los siguientes coman-dos:
# wget https://github.com/elastic/beats-dashboards/archive/master.zip
# unzip master.zip
# cd beats-dashboards-master
· Edicion del archivo load.sh
Modificamos la lınea que contenga ELASTICSEARCH:
ELASTICSEARCH=http://IP-Privada:9200
· Arranque de los Servicios
Para iniciar los servicios instalados y configurar el arranque automatico al ini-ciar el servidor ejecutaremos los siguientes comandos:
53
# systemctl start elasticsearch
# systemctl enable elasticsearch
# systemctl start kibana
# systemctl enable kibana
# systemctl start nginx
# systemctl enable nginx
Por ultimo se realizo el reinicio del equipo y la ejecucion del siguiente coman-do,
# ./load.sh
De esta forma ya con los servicios activos desde cualquier equipo que se en-cuentre en el segmento de red podemos acceder a kibana colocando la direc-cion IP local del servidor, el mismo pedira autenticacion, tal como se observaen la Figura 4.38
Figura 4.38: Autenticacion Kibana
Colocando las credenciales correctas podremos acceder a kibana, tal comose muestra en la Figura 4.39
54
Figura 4.39: Interfaz Kibana
4.3.5. Configuracion de pfSense para enviar logs de Suricata aELK
Teniendo en cuenta que pfSense se encuentra en un servidor fısico distinto alde ELK con el fin de no afectar la capacidad de procesamiento de datos en cuantoal analisis de trafico, y que debemos consultar la data recogida por pfSense desdeELK. Se realizaron configuraciones adicionales que permiten el envio de registrosdesde pfSense a Elasticsearch. El cual se realiza mediante el protocolo syslog queesta estandarizado y es utilizado para enviar registros y eventos al servidor, para locual debemos ingresar como administrador en pfSense, una vez allı nos dirigiremosa la pestana Status, luego daremos click en System Logs y luego en Settings.
Tal como se muestra en la figura siguiente:
55
Figura 4.40: Configuracion de pfSense para envio de logs
Una vez en este apartado, nos dirigiremos a la seccion Remote Logging Options,y tildaremos el check box Enable Remote Logging, seleccionamos el protocolo ennuestro caso fue IPV4 y luego colocamos la direccion ip del servidor remoto y elpuerto a donde queremos enviar los registros. Tal como se observa en la figurasiguiente.
Figura 4.41: Activacion de envio de logs
56
4.3.6. Configuracion de ELK para la recepcion de logs remotos
Para llevar a cabo esta configuracion fue necesario editar el archivo 10-syslog.conf;para tal fin se ejecuto el siguiente comando:
sudo nano /etc/logstash/conf.d/10-syslog.conf
El contenido del archivo es el siguiente:
filter {
if [type] == "syslog" {
#change to pfSense ip address
if [host] =~ /192\.168\.1\.1/ {
mutate {
add_tag => ["PFSense", "Ready"]
}
}
if "Ready" not in [tags] {
mutate {
add_tag => [ "syslog" ]
}
}
}
}
filter {
if [type] == "syslog" {
mutate {
remove_tag => "Ready"
}
}
}
filter {
if "syslog" in [tags] {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp}
%{SYSLOGHOST:syslog_hostname}
%{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?:
%{GREEDYDATA:syslog_message}" }
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
}
syslog_pri { }
date {
match => [ "syslog_timestamp",
"MMM d HH:mm:ss",
57
"MMM dd HH:mm:ss" ]
locale => "en"
}
if !("_grokparsefailure" in [tags]) {
mutate {
replace => [ "@source_host", "%{syslog_hostname}" ]
replace => [ "@message", "%{syslog_message}" ]
}
}
mutate {
remove_field => [ "syslog_hostname",
"syslog_message",
"syslog_timestamp" ]
}
# if "_grokparsefailure" in [tags] {
# drop { }
# }
}
}
Donde la direccion IP 192.168.1.1 fue cambiada por la de nuestro pfSense.
Teniendo este archivo configurado se procedio a reiniciar el servidor ELK, nue-vamente ingresamos a nuestra aplicacion Kibana, en la seccion management po-demos observar el log de pfSense ya sincronizado, tal como se muestra en la figurasiguiente.
Figura 4.42: Visualizacion de logs pfSense en ELK
58
Una vez configurada la interconexion y consulta de datos con ELK podemosconfigurar distintas graficas que nos permitiran realizar un analisis detallado de lainformacion que se recibe desde pfSense, lo cual se puede apreciar en la Figura4.43
Figura 4.43: Visualizacion de alertas en el dashboard de ELK ambiente de prueba
4.3.7. Integracion del IDS a la red Corporativa
Una vez realizada la integracion de nuestro IDS a la red de la empresa soloqueda realizar la adaptacion de las visualizaciones de tal forma que nos permitaobservar de manera rapida las alertas generadas y otros datos de interes, para asıpoder tomar las acciones correspondientes tal como se puede observar en la Figura4.44
Teniendo esta informacion el analista puede dirigirse a la consola de administra-cion de Suricata y observar una tabla actualizada con los eventos detectados paraası tomar las acciones pertinentes respecto a la anomalıa detectada las cuales son:bloqueo de direcciones IP, identificar mediante DNSlookup, desactivar o modificarla regla, la interfaz muestra la informacion como se observa en la Figura 4.45.
59
Figura 4.44: Visualizacion de alertas en el dashboard de ELK en produccion
Figura 4.45: Interfaz de administracion de eventos en Suricata
60
CONCLUSIONES Y RECOMENDACIONES
Conclusiones
Se puede afirmar que el objetivo planteado se alcanzo de manera exitosa atraves del desarrollo de las diferentes etapas las cuales van desde el levantamientode informacion, analisis de requerimientos hasta la implementacion del IDS para Ve-nezolana del Vidrio C.A., Otorgando beneficios como la reduccion de costo, ya queno fue necesaria la adquisicion de soluciones comerciales, las cuales implicarıanun gran costo en cuanto al hardware y licenciamiento; Teniendo esta herramientapara detectar y alertar sobre el trafico malicioso se incrementa la integridad, dispo-nibilidad y resguardo de la informacion empresarial, permitiendo otorgar una visionamplia para monitorear los logs de eventos y tomar las acciones pertinentes.
El NIDS implementado requirio la actualizacion del hardware y software que losoporta para garantizar el mayor rendimiento posible y la escalabilidad en cuanto anuevas herramientas para la ciberseguridad, cabe destacar que la solucion a arro-jado resultados exitosos detectando anomalıas en el trafico de red entrante, prove-niente desde distintas regiones a nivel mundial en su mayorıa sobre el protocolo detransporte TCP.
Suricata nos da la ventaja de poder utilizar las reglas creadas para Snort, ademasde ser mantenido por una amplia comunidad a nivel mundial, por tal motivo fue laeleccion que se adapto mejor a las necesidades de la empresa ya que es un softwa-re IDS de gran aceptacion, potente y gratuito, multiplataforma y de codigo abierto.
Aunque la herramienta instalada tiene grandes capacidades, el software no esperfecto. Cuando un atacante explota un defecto de algun software antes de que elcreador pueda corregirlo, se conoce como ataque de dıa cero. Debido a la comple-jidad y tamano de los ataques de dıa cero que se encuentran actualmente, no esextrano que los ataques a la red tengan exito y que el alcance de su defensa ahorase mida segun la rapidez con la que una red responde ante un ataque.
La capacidad de detectar ataques mientras suceden en tiempo real, ası como dedetenerlos inmediatamente o en cuestion de minutos, es el objetivo ideal. Desafor-tunadamente, muchas organizaciones actualmente no pueden detectar los ataquessino hasta dıas o incluso meses despues de ocurridos.
El NIDS instalado requiere de monitoreo permanente por parte de los responsa-bles de seguridad, ya que por ser una herramienta pasiva no es capaz de reaccionarante una posible intrusion, ni determinar si un ataque ha sido exitoso o no.
61
Para detectar ataques en tiempo real requiere el analisis activo mediante el fire-wall y los dispositivos de red IDS/IPS. Tambien debe usarse la deteccion de malwarede cliente/servidor de nueva generacion con conexiones a los centros de amenazasglobales en lınea.
Recomendaciones
Dada la amplitud de la red WAN de la empresa y la topologıa de la misma, lacual posee distintos puntos de interconexion con los ISP, se recomienda realizar laimplementacion de un NIDS de similares caracterısticas en cada una de las sedes,para ası segmentar el analisis de trafico.
Una vez realizado el despliegue y esten en funcionamiento los distintos NIDS,realizar el resumen periodico de los logs de cada uno de ellos mediante Elastic-search, lo cual permitira hacer un analisis detallado de las anomalıas de traficoentrante en cada una de las sedes para tomar las acciones correspondientes.
Se sugiere realizar la activacion del modo IPS proporcionado por Suricata conel cual se pueden configurar respuestas automaticas ante las distintas alertas, pa-sando de un modo pasivo a uno reactivo, teniendo en cuenta que no existe undispositivo o una tecnologıa que resuelva todas las necesidades de seguridad dela red por sı solo, es importante que las herramientas que se implementen trabajenen conjunto ya que los dispositivos de seguridad son mas efectivos cuando formanparte de un sistema.
Aunado a esto se recomienda hacer uso de una serie de buenas practicas deseguridad las cuales son utilizadas por muchas organizaciones gubernamentales yprofesionales a nivel mundial, entre ellas tenemos:
· Evaluacion de riesgos, la cual permita conocer el valor de lo que protege ayu-dara a justificar los gastos de seguridad.
· Crear una polıtica de seguridad que enmarquen claramente las reglas de laempresa, las tareas y las expectativas.
· Medidas de seguridad de recursos humanos en la cual los empleados debenser correctamente investigados con comprobaciones de antecedentes.
· Efectuar y probar las copias de respaldo.
· Mantener parches y actualizaciones de seguridad los servidores, computado-ras, los programas y sistemas operativos de los dispositivos de red.
· Implementar controles de acceso de usuario y los niveles de privilegio, asıcomo una autenticacion de usuario solida.
62
· Revisar periodicamente la respuesta ante incidentes, designando un equipoque permita realizar pruebas de los distintos escenarios de respuesta anteemergencias.
· Educar a los usuarios y a los empleados sobre los procedimientos segurospara el acceso a la informacion.
· Cifrar todos los datos confidenciales de la empresa, incluido el correo electroni-co.
· Evaluar la integracion con el proyecto OPNids Machine Learning Engine (MLE)el cual busca promover la colaboracion y la innovacion en torno al motor OP-Nids Machine Learning (ML).
Conjuntamente tambien se recomienda implementar un libro de estrategias deseguridad ya que la tecnologıa cambia constantemente. Esto significa que los cibe-rataques tambien evolucionan.
Un libro de estrategias de seguridad es un conjunto de consultas repetidas (in-formes) de fuentes de datos de eventos de seguridad que conducen a la detecciony la respuesta ante los incidentes. Idealmente, el libro de estrategias de seguridaddebe cumplir las siguientes acciones:
· Identificacion de equipos infectados con malware.
· Identificacion de actividad de red sospechosa.
· Identificacion de intentos de autenticacion irregulares.
· Describir y entender el trafico entrante y saliente.
· Proporcionar informacion de resumen que incluya tendencias, estadısticas yrecuentos.
· Proporcionar acceso rapido y utilizable a estadısticas y metricas.
· Establecer una correspondencia de eventos en todas las fuentes de datosrelevantes.
Tomar en cuenta y aplicar estas recomendaciones permitiran reforzar aun masla infraestructura de seguridad informatica de la empresa, compuesta por el firewall,HIDS y NIDS.
63
GLOSARIO DE TERMINOS
Ciberseguridad:Area relacionada con la informatica y la telematica que se enfoca en la proteccionde la infraestructura computacional y todo lo relacionado con esta.
DNS:DNS son las siglas que forman la denominacion Domain Name System o Sistemade Nombres de Dominio y ademas de apuntar los dominios al servidor correspon-diente, nos servira para traducir la direccion real, que es una relacion numericadenominada IP, en el nombre del dominio.
DoS:Llamado ataque DoS (por sus siglas en ingles, Denial of Service), es un ataque a unsistema de computadoras o red que causa que un servicio o recurso sea inaccesiblea los usuarios.
Exploits:Es cualquier tipo de ataque que se aproveche de las vulnerabilidades de un equipoo una red.
Firewall:Programa informatico que controla el acceso de una computadora a la red y deelementos de la red a la computadora, por motivos de seguridad.
FreeBSD:FreeBSD es un avanzado sistema operativo para arquitecturas x86 compatibles(como Pentium R© y AthlonTM), amd64 compatibles (como OpteronTM, AthlonTM64EM64T), UltraSPARC R©, IA-64, PC-98 y ARM. FreeBSD es un derivado de BSD, laversion de UNIX R© desarrollada en la Universidad de California, Berkeley.
HTTP:Es el protocolo de comunicacion que permite las transferencias de informacion enla World Wide Web.
ICMP:El Protocolo de mensajes de control de Internet (ICMP, por sus siglas en ingles) esun protocolo de Internet de nivel de red que proporciona paquetes de mensajes parainformar errores y otra informacion relacionada con el procesamiento de paquetesIP a la fuente.
64
IDS:El sistema de deteccion de intrusiones (IDS de sus siglas en ingles Intrusion Detec-tion System) es un programa de deteccion de accesos no autorizados a un compu-tador o a una red.
PPTP:Es un protocolo de comunicaciones (de sus siglas en ingles Point to Point TunnelingProtocol), que permite implementar redes privadas virtuales o VPN.
Ransomware:Es un tipo de malware que impide a los usuarios acceder a su sistema o a susarchivos personales y que exige el pago de un rescate para poder acceder de nuevoa ellos.
Root:El superusuario o root es el nombre convencional de la cuenta de usuario que poseetodos los derechos en sistemas operativos Linux.
Routers:Es un dispositivo que opera en capa tres de nivel de 3 del modelo OSI. Ası, permiteque varias redes u ordenadores se conecten entre sı.
Servidores:Este termino se utiliza para referirse al ordenador fısico en el cual funciona ese soft-ware, una maquina cuyo proposito es proveer datos de modo que otras maquinaspuedan utilizar esos datos.
Stack:Es una palabra inglesa, que significa pila de cosas o apilamiento.
Switch:Es un dispositivo que permite que la conexion de computadoras y perifericos a lared para que puedan comunicarse entre sı y con otras redes.
TCP:Significa Transmission Control Protocol (Protocolo de Control de Transmision).
UDP:Significa User/Universal Datagram Protocol (Protocolo Universal de Datos/de Usua-rio).
Upgrade:Upgrade es sinonimo de actualizacion, mejoramiento, amplificacion, modernizacion.
65
VLL:Lıneas arrendadas virtuales (Virtual Leased Line o VLL) son una forma de pro-porcionar comunicacion punto a punto basada en Ethernet a traves de redes IP /MPLS.
VPN:Una red privada virtual, en ingles (Virtual Private Network), es una tecnologıa de redde computadoras que permite una extension segura de la red de area local sobreuna red publica.
WebGUI:Interfaz grafica de usuario, donde varios usuarios pueden conectarse al servidor atraves de un navegador soportado o dispositivo movil.
66
Bibliografıa
[1] “MAPA — Mapa en tiempo real de amenazas ciberneticas Kaspersky”, MAPA— Mapa en tiempo real de amenazas ciberneticas Kaspersky, 2019. [Online].Disponible: https://cybermap.kaspersky.com/es/. [Accedido: 30- Jul- 2019].
[2] J. M. Alfaro, “Implantacion de un Sistema de Deteccion de Intrusosen la Universidad de Valencia”, Rediris.es, 2019. [Online]. Disponible:http://rediris.es/cert/doc/pdf/ids-uv.pdf. [Accedido: 30- Jul- 2019].
[3] E. L. Robayo, “Deteccion De Intrusos En Redes De Telecomunicaciones IpUsando Modelos Ocultos De Markov.”, Bdigital.unal.edu.co, 2019. [Online]. Dis-ponible: http://bdigital.unal.edu.co/2409/1/299726.2009.pdf. [Accedido: 30- Jul-2019].
[4] Isaca.org, 2019. [Online]. Disponible:https://www.isaca.org/Knowledge-Center/Documents/Glossary/CybersecurityFundamentals glossary.pdf. [Accedido: 30- Jul- 2019].
[5] A. Moraes, Cisco firewalls. Indianapolis, IN: Cisco Press, 2011, p. 2.
[6] “¿Cual es la diferencia entre un IDS y un IPS? - Soporte Tecni-co Panda Security”, Pandasecurity.com, 2019. [Online]. Disponible:https://www.pandasecurity.com/spain/support/card?id=31463.[Accedido: 30- Jul- 2019].
[7] R. Heady, “The Architecture of a Network Level Intrusion Detection System”,University of New Mexico, 1990.
[8] “The Open Source Definition | Open Source Initiative”, Opensource.org, 2019.[Online]. Disponible: https://opensource.org/osd. [Accedido: 30- Jul- 2019].
[9] K. Saini, Squid Proxy Server 3.1 beginner’s guide. Brimingham: Packt Pub.,2011, p. 7.
[10] C. Pablos Heredero, Informatica y comunicaciones en la empresa. Madrid: Uni-versidad Rey Juan Carlos, 2004, p. 59.
67
[11] “¿Que es Topologıa de red? - Definicion en Whais.com”, SearchDataCen-ter en Espanol, 2019. [Online].Disponible: https://searchdatacenter.techtarget.com/es/definicion/Topologia-de-red. [Accedido: 30- Jul- 2019].
[12] Cisco.com, 2019. [Online]. Disponible: https://www.cisco.com/c/es mx/support/docs/ip/point-to-point-tunneling-protocol-pptp/12483-pptp-pat.pdf.[Accedido: 30- Jul- 2019].
[13] S. Tecnologıas, “IP Telephony/Voice over IP (VoIP)”, Cisco, 2019. [Online]. Dis-ponible: https: //www.cisco.com/c/es mx/tech/voice/ip-telephony-voice-over-ip-voip/index.html. [Accedido: 30- Jul- 2019].
[14] S. Tecnologıas, I. Services and N. Troubleshooting, “Como funciona el Sistemade nombres de dominio (DNS)”, Cisco, 2019. [Online]. Disponible:https://www.cisco.com/c/es mx/support/docs/ip/domain-name-system-dns/12683-dns-descript.html. [Accedido: 30- Jul- 2019].
[15] “Correo electronico - EcuRed”, Ecured.cu, 2019. [Online]. Disponible:https://www.ecured.cu/Correo electr %C3 %B3nico.[Accedido: 30- Jul- 2019].
[16] M. Barrios, Manual de Trabajos de Grado de Especializacion y Maestrıa y TesisDoctorales, 3rd ed. Caracas: Fondo Editorial de la Universidad PedagogicaExperimental Libertador, 2006, p. 13.
[17] “¿Que es ERP? | Oracle Espana”, Oracle.com, 2019. [Online]. Disponible:https://www.oracle.com/es/applications/erp/what-is-erp.html.[Accedido: 30- Jul- 2019].
[18] F. Bello, “LA INVESTIGACION TECNOLOGICA: O CUANDO LA SOLUCIONES EL PROBLEMA”, FACES, 2006. Disponible:http://servicio.bc.uc.edu.ve/faces/revista/a6n13/6-13-3.pdf.[Accedido 30- July- 2019].
[19] “Snort”, SC Media US, 2019. [Online]. Disponible:https://qa2.scmagazine.com/snort/product/6111/. [Accedido: 30- Jul- 2019].
68