TELESCOPIO DE SEGURIDAD

DE LA UNAM
 TELESCOPIOS DE RED
Mecanismos de detección y monitoreo de
tendencias de tráfico de red malicioso basado
en:

!  El despliegue de sensores
distribuidos a lo largo de un
entorno de red.

!  Análisis de datos de varios

dispositivos de conectividad
 OBJETIVO DE UN TELESCOPIO DE RED
Detectar tráfico malicioso y monitorear la
actividad general de la red combinando
diversas tecnologías como:

"  IDS
"  Honeypots
"  Darknets
"  Flow server

Sin embargo, pueden ir más allá que los sistemas

convencionales de monitoreo.
 CARACTERÍSTICAS
!  Modelo de detección distribuido

!  Entornos de gran escala

!  Gran cantidad de información recopilada, procesada

y almacenada

!  Altamente demandante en recursos de hardware

!  Monitores de las tendencias de tráfico en espacios

grandes de Internet: Identificación de anomalías a
nivel global
 FUENTES DE INFORMACIÓN
! Darknet-UNAM (sobre 2 segmentos clase B)

! Sensores de SPAM

! PSTM

! Core UNAM*
 DARKNETS
Equipos que utilizan direcciones IP o segmentos de red
que no están asignados dentro de un entorno de red.

<=((*+%,)*-* 5"'-6&&%7) 5"'-6&&%7) 5"'-6&&%7) <=(*+%,)*-*

898989A 898989B 898989C 898989D 898989:E

5"'-6&&%7) 5"'-6&&%7) <=(*+%,)*-* 5"'-6&&%7) 5"'-6&&%7)

898989: 898989; 898989> 898989? 898989@

!"#$%&'()'(*+%,)*-'(.-*"/)012
!"#$%&'(3#4%-'
 TRÁFICO DE RED “NO ASIGNADO”
En un entorno ideal este tráfico no debería existir,
por lo tanto todo el tráfico en una darknet es
potencialmente anómalo.
 CARACTERÍSTICAS DE UNA DARKNET

# Utiliza direcciones IP no asignadas.

# Todo el tráfico en la darknet es potencialmente

sospechoso.

# Baja probabilidad de falsos positivos.

# Puede detectar tráfico malicioso o anomalías en

la configuración de dispositivos.
 CARACTERÍSTICAS DE UNA DARKNET
# Ad-hoc a tecnologías honeypot:
•  Muestras de tráfico malicioso
•  Muestras de malware

# Generación de información estadística

importante sobre el tráfico de red.

# Inversión de direcciones IP de la red para su

funcionamiento.
 ESQUEMA DE FUNCIONAMIENTO
Depende de sus objetivos, pero el concepto
general toma en cuenta aspectos como:

"  Tecnologías implementadas

•  Honeypots, IDS, análisis de flujos, etc.
"  Capacidad y complejidad de interacción
•  Simulación de servicios, equipos reales, etc.
"  Capacidad y complejidad de análisis
"  Campo de acción
 ESQUEMA DE FUNCIONAMIENTO
-.*&*/.0

!"#$%&'()*+%&%','

40"5%1'"(
6*"7/0.

!"*/,$0"0/&%*(10(1*.',(
&*2.3"*1',
-/#+%,%,(8(
*+)*&0/*)%0/.'(
10(1*.',
 TECNOLOGÍAS UTILIZADAS
!"#$%&%'()! %*+"!,-%.! "+"/0&%.!
12345627! "#$%&'(#)*!+,!-,./#(#0-1! 8#0*','1!90*,53.'21!90*,5+1!
('23%.'!+,!$'&4'.,!5! :0;0*,51!:#2201!'.<0-1!90*,5=031!
(0*3.0&!+,!3.67#(0! <&'-302>1!<00<&,!9'(:!90*,52031!
90*,54'&&1!,3(?!
,8.! 8,3,((#)*!+,!3.67#(0! "*0.31!"<%#&1!@A"B1!"%.#('3'1!C--,(!
$'&#(#0-0!$,+#'*3,!7#.$'-! DE8"1!F.,&%+,!D5=.#+!E8"1!A#+,1!
)39:;<;<=>4=?:@A2<! A*6&#-#-!+,!7&%;0-!5! A.<%-1!H,37&04!
<,*,.'(#)*!+,!,-3'+G-3#('-!
+,!3.67#(0!
)39:;<;<=>4=7B9?;C2= A*6&#-#-!+,&!3.67#(0!+,!.,+I! K(2+%$21!L#.,-9'.:1!K-9'.:1!"*0.31!
5=6B272C2:2<! 2'J%,3,-1!2.030(0&0-1! L#*+%$21!*3021!,3(?!
'2&#('(#0*,-1!,3(?!
)39:;<;<=>4=:2D! A*6&#-#-!+,!&0<-!+,! "(.#23-!,*!2,.&1!25390*1!-9,&&1!
'2&#('(#0*,-!5!-#-3,$'! %3#&,.G'-!M*#N1!"2&%*:1!,3(?!
ESQUEMA DE MONITOREO

Departamendo de redes UNAM

SERVIDORES
Redireccionamiento de tráfico cuyo
DARKNET
destino son IP’s “no asignadas”
 ¿Cómo trabaja?

"  4 MÓDULOS "  Herramientas de análisis

#  Perl scripts
#  Shell scripts
#  Honeypot
#  Postgresql DB
#  Flujos (STA submod) #  Web-based
#  IDS(STA submod) management system
#  LOGS* (under construction)
 FUNCIONAMIENTO
MODULO HONEYPOT
HONEYPOT Ajuste al sofware de emulación de
servicios para un procesamiento en
tiempo real. El software honeypot maneja
DKN
(connection)
las conexiones y envía información de la
conexión al módulo DKN!
DKN
(agent)

DKN
(store)
 FUNCIONAMIENTO
MODULO HONEYPOT
HONEYPOT
A partir de la información de la
conexión, se clasifica el evento según
DKN
(connection) reglas predefinidas. Además detecta si
es una simple conexión y algún tipo de
DKN
escaneo o barrido de puertos.
(agent)

DKN
(store)
 FUNCIONAMIENTO
MODULO HONEYPOT
HONEYPOT

DKN
(connection)

Analiza el payload capturado y genera

DKN un incidente conjuntando información
(agent)
del reporte de análisis y el propio
payload.
DKN
(store)
 FUNCIONAMIENTO
MODULO HONEYPOT
HONEYPOT

DKN
(connection)

DKN
(agent)

DKN
Almacena la información en la base
(store) de datos del Telescopio de
Seguridad
 Un vistazo…

Ejemplo de un incidente

!"#$!"#$%&'$$%&%'%($$$$$$$!)*!#")"*+,!)*!#")#*+,-./0
(1230!4##$56787569:5;<;:8=>?@::;?A@:=58?BC
$%&%'%(C!4##C!)*!#")#*+%6;8$569:5;<;:8=>?@::;?A@:=58?BC
$%&%'%(C!4##C!)*!#")#*+%8DE,0
(
 Un vistazo…

Ejemplo de un .det file:

569:5;<;:8=>?@::;?A@:=5F6BCG%H%I%JC!4#4C!)*!#"!*)*%6;8

TS SRCIP&SPORT SRCIP&DPORT MD5 PAYLOAD STRINGS(Rules)

)*+),-*,+.$)/*0)-10)0)2$,3)1$)/*0)-10.0,*$)2,,$$$$$$$(
)*+),-*,+1$)/*0)-10)0)2$2,-1$)/*0)-10.0,*$)2,,$*1313.!2451!6.7*1,/7&!-8&4-1.))$$$$$9:.;$(
)*+),-*,+1$)/*0)-10)0)2$2,+2$)/*0)-10.0,/$)2,,$,-!&,*1.)7)2<&!!*,2,-+3/,1/62!2$$$$$9:.;$(
)*+),-*,+1$)/*0)-10)0)2$2,/2$)/*0)-10.0)2*$)2,,$&6!3&5/.!4473/-4648/-)/3+1*-!,&$$$$$9:.;$(
)*+),-*,+1$)/*0)-10)0)2$22,*$)/*0)-10.0*)*$)2,,$8*+7,28.*/7464.2722642462)-7!1&!$$$$$9:.;$(
)*+),-*,+1$)/*0)-10)0)2$222*$)/*0)-10.0*3.$)2,,$/).+*/4!)!*!7//3**83,+8.35!..4*$$$$$9:.;$(
)*+),-*,+1$)/*0)-10)0)2$222-$)/*0)-10.0*3)$)2,,$48),,-!+.7-23+282))8-4),,)*/&33+$$$$$9:.;$(
=(
=(
(
 FUNCIONAMIENTO
MODULO STA (Análisis de tráfico estructurado)

TRÁFICO DE RED

FLUJOS CAPTURA

Preprocesamiento IDS #  Estadísticas

#  Un archivo de alertas
por regla #  Información
#  Análisis de por alerta
cadenas Reglas DKN Procesamiento #  Registro de
#  Estadísticas PCAP
(evidencia)
 PROCESANDO LA INFORMACIÓN

Los objetivos del procesamiento son:

!  Clasificación de la información
!  Formato de la información
!  Detección de falsos positivos
 PROCESANDO LA INFORMACIÓN

Durante la fase de pruebas se utilizaron servidores:

! Dual-Xeon 3.2Ghz 2GB RAM

Con aproximadamente 70,000 direcciones IP

! Utilizando 90% de recursos
 ¿QUÉ PODEMOS DETECTAR?
!  Escaneos
!  Propagación de gusanos, bots, virus
!  Ataques de fuerza bruta
!  Ataques específicos que utilicen técnicas de spoofing
!  Fallas en la configuración de dispositivos
!  Identificación de patrones de botnets o redes P2P
!  Patrones anormales de tráfico
!  Nuevas tendencias de ataques
!  Entre otros
 GENERANDO ESTADÍSTICAS
Durante la fase de pruebas:
"  Se reciben, manejan, procesan y registran
aproximadamente 2.5 millones de conexiones
diariamente.

"  Alrededor de 5Gb de bitácoras diariamente.

"  Miles de direcciones IP internas y externas a

RedUNAM generando tráfico malicioso.
 TRABAJO FUTURO
"  Mejorar la eficiencia
"  Capacidades adicionales de detección
"  Incorporación de otras herramientas

! Conjuntarlo con la información del CORE-UNAM

! Posible implementación con ISP’s del país y en

otras Universidades
 PROYECTOS SIMILARES
# Internet Motion Sensor (Arbor & UMICH)
# CAIDA (UCSD Network Telescope)
# Team Cymru: The Darknet Project
# Internet Background Noise (IBN)
# The IUCC/IDC Internet Telescope
# Isink (Internet sink)
!
 OTROS PROYECTOS
UNAM-CERT
#  Sensores de tráfico malicioso (PSTM).
#  Sensores de Correo Spam.
#  Proyecto Malware-UNAM.
#  Sandnet.
#  Intercambio de información con otros organismos
internacionales.
 ¿Preguntas?

José Roberto Sánchez Soledad Dirección de contacto

rsanchez@seguridad.unam.mx Ciudad Universitaria
UNAM
Javier Ulises Santillán Arenas
jsantillan@seguridad.unam.mx