Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE LA UNAM
TELESCOPIOS DE RED
Mecanismos de detección y monitoreo de
tendencias de tráfico de red malicioso basado
en:
! El despliegue de sensores
distribuidos a lo largo de un
entorno de red.
" IDS
" Honeypots
" Darknets
" Flow server
! Sensores de SPAM
! PSTM
! Core UNAM*
DARKNETS
Equipos que utilizan direcciones IP o segmentos de red
que no están asignados dentro de un entorno de red.
!"#$%&'()'(*+%,)*-'(.-*"/)012
!"#$%&'(3#4%-'
TRÁFICO DE RED “NO ASIGNADO”
En un entorno ideal este tráfico no debería existir,
por lo tanto todo el tráfico en una darknet es
potencialmente anómalo.
CARACTERÍSTICAS DE UNA DARKNET
!"#$%&'()*+%&%','
40"5%1'"(
6*"7/0.
!"*/,$0"0/&%*(10(1*.',(
&*2.3"*1',
-/#+%,%,(8(
*+)*&0/*)%0/.'(
10(1*.',
TECNOLOGÍAS UTILIZADAS
!"#$%&%'()! %*+"!,-%.! "+"/0&%.!
12345627! "#$%&'(#)*!+,!-,./#(#0-1! 8#0*','1!90*,53.'21!90*,5+1!
('23%.'!+,!$'&4'.,!5! :0;0*,51!:#2201!'.<0-1!90*,5=031!
(0*3.0&!+,!3.67#(0! <&'-302>1!<00<&,!9'(:!90*,52031!
90*,54'&&1!,3(?!
,8.! 8,3,((#)*!+,!3.67#(0! "*0.31!"<%#&1!@A"B1!"%.#('3'1!C--,(!
$'&#(#0-0!$,+#'*3,!7#.$'-! DE8"1!F.,&%+,!D5=.#+!E8"1!A#+,1!
)39:;<;<=>4=?:@A2<! A*6&#-#-!+,!7&%;0-!5! A.<%-1!H,37&04!
<,*,.'(#)*!+,!,-3'+G-3#('-!
+,!3.67#(0!
)39:;<;<=>4=7B9?;C2= A*6&#-#-!+,&!3.67#(0!+,!.,+I! K(2+%$21!L#.,-9'.:1!K-9'.:1!"*0.31!
5=6B272C2:2<! 2'J%,3,-1!2.030(0&0-1! L#*+%$21!*3021!,3(?!
'2&#('(#0*,-1!,3(?!
)39:;<;<=>4=:2D! A*6&#-#-!+,!&0<-!+,! "(.#23-!,*!2,.&1!25390*1!-9,&&1!
'2&#('(#0*,-!5!-#-3,$'! %3#&,.G'-!M*#N1!"2&%*:1!,3(?!
ESQUEMA DE MONITOREO
DKN
(store)
FUNCIONAMIENTO
MODULO HONEYPOT
HONEYPOT
A partir de la información de la
conexión, se clasifica el evento según
DKN
(connection) reglas predefinidas. Además detecta si
es una simple conexión y algún tipo de
DKN
escaneo o barrido de puertos.
(agent)
DKN
(store)
FUNCIONAMIENTO
MODULO HONEYPOT
HONEYPOT
DKN
(connection)
DKN
(connection)
DKN
(agent)
DKN
Almacena la información en la base
(store) de datos del Telescopio de
Seguridad
Un vistazo…
Ejemplo de un incidente
!"#$!"#$%&'$$%&%'%($$$$$$$!)*!#")"*+,!)*!#")#*+,-./0
(1230!4##$56787569:5;<;:8=>?@::;?A@:=58?BC
$%&%'%(C!4##C!)*!#")#*+%6;8$569:5;<;:8=>?@::;?A@:=58?BC
$%&%'%(C!4##C!)*!#")#*+%8DE,0
(
Un vistazo…
)*+),-*,+.$)/*0)-10)0)2$,3)1$)/*0)-10.0,*$)2,,$$$$$$$(
)*+),-*,+1$)/*0)-10)0)2$2,-1$)/*0)-10.0,*$)2,,$*1313.!2451!6.7*1,/7&!-8&4-1.))$$$$$9:.;$(
)*+),-*,+1$)/*0)-10)0)2$2,+2$)/*0)-10.0,/$)2,,$,-!&,*1.)7)2<&!!*,2,-+3/,1/62!2$$$$$9:.;$(
)*+),-*,+1$)/*0)-10)0)2$2,/2$)/*0)-10.0)2*$)2,,$&6!3&5/.!4473/-4648/-)/3+1*-!,&$$$$$9:.;$(
)*+),-*,+1$)/*0)-10)0)2$22,*$)/*0)-10.0*)*$)2,,$8*+7,28.*/7464.2722642462)-7!1&!$$$$$9:.;$(
)*+),-*,+1$)/*0)-10)0)2$222*$)/*0)-10.0*3.$)2,,$/).+*/4!)!*!7//3**83,+8.35!..4*$$$$$9:.;$(
)*+),-*,+1$)/*0)-10)0)2$222-$)/*0)-10.0*3)$)2,,$48),,-!+.7-23+282))8-4),,)*/&33+$$$$$9:.;$(
=(
=(
(
FUNCIONAMIENTO
MODULO STA (Análisis de tráfico estructurado)
TRÁFICO DE RED
FLUJOS CAPTURA
! Clasificación de la información
! Formato de la información
! Detección de falsos positivos
PROCESANDO LA INFORMACIÓN