Módulo de Generación de Reportes Gráficos de una Honeynet a partir de los logs tcpdumps



Descargar 292,64 Kb.
Página3/5
Fecha de conversión05.08.2017
Tamaño292,64 Kb.
1   2   3   4   5



  • Como parte de las actividades de este Capítulo, se realizó un estudio que generó un historial de ataques que se recibieron en dos honeynets instaladas dentro del campus universitario Gustavo Galindo de la ESPOL.



  • Ambas arquitecturas se las puede visualizar en la Figura 1.1-1 y en la Figura 1.1-2. Durante aproximadamente 4 meses (de Agosto a Noviembre de 2008), se monitoreó y registró todo el tráfico recibido por estas dos honeynets. A partir del tráfico capturado se realizaron varios análisis forenses y se identificaron ciertos patrones de ataque.



  • Lastimosamente, no se pudo realizar gráficas resumiendo el tráfico de todo el periodo analizado, ya que los registros de los logs al ser muy grandes (mayores a 4 GB) saturaban a las diversas herramientas disponibles en el mercado para este propósito. Un procesamiento tradicional de estos logs tampoco fue realizado, debido al largo tiempo que esto hubiera tomado. Es por esto que surge la necesidad de integrar tecnología de alta escalabilidad, capaz de procesar una gran cantidad de datos y proporcionar prontos resultados.



    1. Justificación



  • La necesidad de una herramienta que permita el procesamiento de datos en gran escala, y que además permita el filtrado de datos para generar reportes, ofreciendo una visión global y realista de los posibles tipos de ataques a los que la red es susceptible; es la razón principal para enriquecer el conjunto de datos almacenados en archivos tcpdumps pcap, y poder mostrarlos a través de reportes gráficos que proporcionen información oportuna, precisa y concisa, que pueda ser analizada e interpretada por los administradores de red.



  • Con la integración de una herramienta de gran escalabilidad, los datos registrados dentro de los log podrán ser procesados y generaran un resultado que apoyará la visualización sistemática de los datos registrados en los archivos tcpdumps.



  • La implantación de éste módulo (PcapReports), pondrá a disposición de la comunidad, una herramienta que permita la visualización a través de reportes gráficos del comportamiento de las actividades capturadas a lo largo del Proyecto Honeynet.



    1. Alcances y limitaciones



  • Este módulo básicamente procesará los datos registrados en los logs del Proyecto Honeynet generando un resultado que será visualizado en un reporte gráfico, y permitirà detallar la información desde lo más general hasta lo más particular posible.



  • Los datos con los que se cuenta son los proporcionados por el proyecto Honeynet Capítulo Ecuador que corresponden a la Facultad de Ingeniería en Electricidad y Computación (FIEC) y al Centro de Información Bibliotecaria (CIB).



  • Cabe recalcar, que el presente módulo no se limita a los archivos históricos recolectados hasta el momento. Por el contrario, se espera que conforme se siga monitoreando la red, se pueda continuar retroalimentando el historial de información a tal punto de poder seguir de cerca algún comportamiento malicioso que pueda afectar de alguna manera la seguridad de los datos que se encuentren viajando, y la integridad de los servicios que se encuentren disponibles en la red.



  • Análisis

    1. ¿Qué estamos resolviendo?



  • El estudio realizado por el Capítulo Honeynet del Ecuador en una red específica dentro de la ESPOL, dejó como resultado logs tcpdump de aproximadamente 4 GB de tamaño, los mismos que contienen información de los distintos paquetes que fueron emitidos y recibidos por la honeypot a través de la red.



  • Con la integración de Hadoop, los datos registrados dentro de los logs tcpdump son procesados en gran escala, permitiendo conocer de manera sistemática cuáles son los patrones de ataques sufridos, los tipos de ataques, y las vulnerabilidades a las que la red fue susceptible durante ese periodo de tiempo.



  • Cabe recalcar, que el módulo desarrollado no se limita a los archivos históricos recolectados hasta el momento. Por el contrario, se espera que conforme se siga monitoreando la red, se pueda continuar retroalimentando el historial de información a tal punto de poder seguir de cerca algún comportamiento malicioso que pueda afectar de alguna manera la seguridad de los datos que se encuentren viajando, y la integridad de los servicios que se encuentren disponibles en la red.



    1. ¿Por qué lo estamos resolviendo?



  • Este módulo busca poner a disposición de la comunidad una herramienta que permita visualizar a través de Reportes Gráficos el comportamiento de las actividades capturadas a lo largo del Proyecto Honeynet, permitiendo ir de lo general a lo particular.



  • La finalidad de estos Gráficos es poder analizar de manera detallada las vulnerabilidades que se presentan en los servidores actuales y que los distintos hackers están explotando. Este tipo de información será de utilidad para mejorar de manera contínua la seguridad en las redes actuales.



    1. ¿Cómo lo estamos resolviendo?



  • Hemos utilizado Hadoop como herramienta para el procesamiento masivo de datos, a través de clústers levantados bajo demanda utilizando los servicios de Amazon Web Services. Con esta plataforma se procesa los archivos pcaps directamente en su formato binario, y se generan reportes en formato XML, los cuales pueden ser graficados utilizando una interfaz Web implementada con Adobe Flex. Entre los reportes que se generan, se encuentran:



  • Por Protocolo por cada mes

  • En este reporte se puede visualizar el comportamiento mensual de los distintos protocolos, ya sean estos bajo la Capa de Red (IPv4, IPv6, ARP), bajo la Capa de Transporte (TCP, UDP, ICMP), ó bajo la Capa de Aplicación (HTTP, FTP, Telnet, SSH, SMTP, POP3).



  • Tráfico por País

  • Debido a que los ataques provienen de cualquier punto geográfico del planeta, la identificación del origen de los mismos da una idea más clara sobre el nivel de fuentes maliciosas que existen alrededor de nuestro entorno. Esto es factible gracias al reconocimiento de origen de la IP fuente del ataque.



  • Tráfico por IP.

  • El conocimiento de origen de los ataques a través de la IP fuente, ayuda a que los controles de acceso se encuentren con filtros cada vez más restrictivos, manteniendo bajo estudio aquellas IP que mantengan un comportamiento malicioso.



  • Cantidad de Bytes por día de la semana y hora específica.

  • El volumen de datos que se transfieren a través de la red, pueden llegar a ser incalculables en algunos casos. Sin embargo, el poder tener un control sobre la cantidad de ataques que se reciben en una Honeypot durante el tiempo funcional de la misma en la red, ayuda a regularizar el tráfico sobre la misma, y a prevenir el ingreso de ataques específicos que provengan, por ejemplo, de alguna IP determinada.



  • Solución

    1. Diseño General






    Figura 5.1.1 Diseño Arquitectónico del Módulo

  • 1   2   3   4   5


    La base de datos está protegida por derechos de autor ©absta.info 2016
    enviar mensaje

        Página principal