mÓdulo de generaciÓn de reportes grÁficos de una honeynet a partir de los logs tcpdumps denisse...
TRANSCRIPT
![Page 1: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/1.jpg)
MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOSDE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS
Denisse Cayetano – Christian Rivadeneira
PcapsReports
PcapsResports
![Page 2: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/2.jpg)
Marco Teórico: Honeynets
Red entera de gran interacción. Voluntariamente vulnerable Honeypot o "tarro de miel"
Recurso de la red que se encuentra Examinado Atacado
Permite Recolectar información sobre el atacante Prevenir estas incursiones dentro del ámbito de la red real en casos
futuros Almacena la información recogida en logs tcpdump (pcap)
Implementada con Sistemas Operativos reales y corriendo servicios reales
Podemos Identificar nuevas técnicas de ataque Analizar el “modus-operandi” de los intrusos.
![Page 3: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/3.jpg)
Descripción del Problema
Existen herramientas que ayudan al análisis de lo que podría ser un posible ataque en la red Ejemplos: Wireshark, OmniPeek, JpcapDumper
Problema: No soportan el análisis de una cantidad grande de
información (en el orden de los GBs y TBs) Solución: PcapsReports
Procesamiento de logs de tráfico de red (en formato pcap)
Escalable y distribuida Generación de reportes a partir de dichos logs
![Page 4: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/4.jpg)
Formato Archivos .PCAP
PCAP (Packet Captured) Formato definido Permite conocer información como:
Quién, Qué, Cuándo, Dónde, Cuánto
![Page 5: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/5.jpg)
Plataforma utilizada: AWS
AWS: Amazon Web Services Amazon ha puesto a disposición varios
servicios de cloud computing, como: Elastic Compute Cloude (EC2) servicios de
infraestructura Asignación de computadores (virtualizados) bajo
demanda Simple Storage Service (Amazon S3)
Almacenamiento escalable
![Page 6: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/6.jpg)
Plataforma utilizada: Hadoop Varios componentes importantes, como:
Hadoop common Computación distribuida y escalable Implementa paradigma MapReduce, basado en principios
desarrollados por Google Hadoop Distributed File System (HDFS)
Almacenamiento escalable de datos
Cuenta con el apoyo de gigantes como Yahoo! Facebook
Procesamiento masivo de datos de manera distribuida
![Page 7: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/7.jpg)
Diseño
![Page 8: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/8.jpg)
Diseño General
![Page 9: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/9.jpg)
Implementación
![Page 10: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/10.jpg)
Detalles de Implementación
JNetStream Librería desarrollada en Java Permite accesar a paquetes de red en
representación binaria InetAddressLocator
Librería desarrollada en Java Permite conocer el País de origen de una IP
dada FileInputFormat y FileOutputFormat Tamaño del Bloque y Segmento de tarea
en (512MB)
![Page 11: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/11.jpg)
Reportes
Protocolo por cada mes Tráfico por País Tráfico por IP Cantidad de Bytes por día de la semana y
hora específica.
![Page 12: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/12.jpg)
Trafico de IP por País
![Page 13: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/13.jpg)
Tráfico IP - Mes
![Page 14: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/14.jpg)
Trafico por Hora y Día
![Page 15: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/15.jpg)
Eficacia y Eficiencia
Pruebas Realizadas
![Page 16: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/16.jpg)
Pruebas de Eficacia
Wireshark – Archivo mayor a 1GB
JpcapDumper – Archivo mayor a 1GB Programa no responde
PcapsReports – Archivo mayor a 1GB ≈ 10 minutos en un clúster de 10 nodos
![Page 17: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/17.jpg)
Pruebas de Eficiencia
1916104210
5
10
15
20
25
30
35
40
45
11
11
12
12
22
38
Tráfico por País
1 2 3 4 5
Número de Nodos
Tie
mpo (
min
uto
s)
1916104210
5
10
15
20
25
30
35
40
10
10
11
11
20
36
Tráfico por IP
1 2 3 4 5
Número de Nodos
Tie
mpo (
min
uto
s)
![Page 18: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/18.jpg)
Pruebas de Eficiencia
1916104210
5
10
15
20
25
30
35
40
10
10
10
11
19
37
Tráfico por Hora y Día
1 2 3 4 5
Número de Nodos
Tie
mpo (
min
uto
s)
1916104210
5
10
15
20
25
30
35
40
45
11
11
11
12
20
38
Tráfico por Protocolo
1 2 3 4 5
Número de Nodos
Tie
mpo (
min
uto
s)
![Page 19: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/19.jpg)
Conclusiones y Recomendaciones
![Page 20: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/20.jpg)
Conclusiones
Los reportes gráficos fueron generados bajo un ambiente altamente usable
Proveemos una alternativa diferente a las herramientas existentes
Módulo puede ser adaptable a las necesidades de administradores de red
![Page 21: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/21.jpg)
Recomendaciones
Contribuir con el módulo de procesamiento de pcaps a la comunidad de usuarios de Hadoop Hemos compartido nuestra propuesta en
foros y esperamos una pronta retroalimentación
Los administradores de red podrían adaptar la propuesta que hemos detallado para generar reportes personalizados a sus necesidades
![Page 22: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports](https://reader033.vdocuments.mx/reader033/viewer/2022061301/54dbaf12497959a9648b50b2/html5/thumbnails/22.jpg)
GRACIAS
¿Preguntas?