Publicado el 21 de Abril del 2018
441 visualizaciones desde el 21 de Abril del 2018
1,3 MB
52 paginas
Creado hace 13a (31/01/2011)
Proyecto Amparo:
Diseño e implementación de una
Darknet para monitoreo de la
red en Chile – CLCERT
Informe Final
Renata Faccilongo,
Dept. Cs. de la Computación, U. de Chile
Alejandro Hevia,
Director CLCERT & Profesor Asistente
Dept. Cs. De la Computación, U. de Chile
Sergio Miranda,
Director de Tecnología CLCERT, U. de Chile
31 de Enero 2011
1
Tabla de contenido
Sección 1: Introducción ....................................................................................... 3
Motivación ................................................................................................... 3
Objetivos ..................................................................................................... 4
Antecedentes ............................................................................................... 4
Funcionamiento y Arquitectura de la Darknet ................................................... 6
Creación de una Darknet ................................................................................ 7
Qué ataques conviene monitorear ................................................................... 8
Sección 2: Implementación ................................................................................ 14
Definición de arquitectura ............................................................................ 14
Servidor ..................................................................................................... 15
Software instalado ...................................................................................... 16
Instalación y captura de datos ...................................................................... 18
Despliegue de resultados ............................................................................. 21
Implementación de gráficos.......................................................................... 22
Copia y Borrado de material ......................................................................... 46
Visibilidad del proyecto ................................................................................ 48
Seccion 3: Conclusiones .................................................................................... 50
Seccion 4: Trabajo futuro .................................................................................. 50
Anexo: Bibliografía ........................................................................................... 51
2
Sección 1: Introducción
Una darknet es una porción o espacio IP asignado y ruteado en el cual no existen
servicios activos ni servidores. Tal espacio se denomina "dark" (oscuro) porque un
observador externo tiene la impresión que no existe nada en dichas redes. Una
darknet incluye de hecho al menos un servidor, configurado como un capturador de
paquetes. Este servidor captura todo el tráfico y paquetes que ingresen a la darknet, lo
cual puede ser utilizado para un análisis en tiempo real o análisis posterior a los
eventos o forensicos. Ningún paquete legítimo debiese ingresar a la darknet, dichos
paquetes pueden transitar por error o fallas en la configuración, pero la gran mayoría
de dichos paquetes son enviados por malware. El malware en general realiza
búsquedas activas de dispositivos, por lo que enviará paquetes hacia la darknet que
permitirá su captura y análisis.
El concepto de darknet en el cual se basa el presente trabajo, fue el definido por el
Team Cymru [CYMRU10]. Sin embargo existen otras aproximaciones interesantes,
como el proyecto "Network Telescope" de CAIDA [CAIDA1-10,CAIDA2-10] y el
"Internet Motion Sensor", de la Universidad de Michigan [MICH10]. Todos estos
trabajos fueron revisados para implementar el siguiente proyecto.
Este proyecto busca obtener la mayor cantidad de antecedentes de modo de
determinar el volumen y características del tráfico malicioso que circula por la red, de
modo de permitir la definición de acciones en orden a mitigar el impacto que dicho
tráfico representa sobre los equipos de dicha red, y a su vez extender dicho
conocimiento a una red más amplia, posiblemente incluso a nivel nacional.
Motivación
Hoy en día existen pocos antecedentes confiables sobre el número y características de
los ataques provenientes desde el extranjero hacia la red nacional chilena, y
prácticamente no se cuenta con información que permita dimensionar el volumen de
equipos locales comprometidos con alguna clase de malware y que pueden estar
formando parte de botnets. El CLCERT, el Grupo de Respuesta a Incidentes de
Seguridad Computacional de Chile, busca responder a estas preguntas en virtud de su
misión: el monitorear y analizar los problemas de seguridad de los sistemas
computacionales en Chile, y reducir la cantidad de incidentes de seguridad perpetrados
desde y hacia éstos.
Una poderosa herramienta para cumplir con dicho objetivo es poder contar con datos
estadísticos confiables sobre el malware que circula por nuestras redes. Con el fin de
obtener tráfico malicioso de la manera más confiable posible, se propone implementar
una darknet.
3
Objetivos
a. Objetivos Generales
Este proyecto tiene como objetivo el diseñar e implementar una darknet, operada por
el CLCERT, de modo de estudiar el comportamiento de la red nacional e internacional
con el fin de monitorear gusanos, ataques DoS, spam y compromisos en general.
Para su implementación se pretenden seguir los lineamientos del Team Cymru,
montando tal red con el equipamiento necesario, y desarrollando las aplicaciones que
permitan procesar los datos y desplegar estadísticas relevantes con información útil
para identificar, mitigar y/o eliminar los ataques monitoreados, así como reportar y/o
compartir información con otras entidades interesadas (como, por ejemplo, otros
CERTs).
b. Objetivos Específicos
1. Determinar las características de la red (topología, alcances, visibilidad) más
adecuada para montar la darknet en el CLCERT.
2. Definir equipamiento de hardware y el software a instalar de acuerdo a los
objetivos definidos.
3. Instalación y obtención de datos de prueba desde la darknet, de acuerdo a los
diversos usos que se hayan definido (recolección de flujos, detección de
ataques DoS, análisis vía IDS, etc.) para su análisis.
4. Desarrollo de aplicaciones de captura, almacenamiento y procesamiento de los
datos de acuerdo al resultado de las pruebas previas y al flujo de datos
estimado.
5. Despliegue de estadísticas y procedimientos de manejo de la información, por
ejemplo para compartir con otros grupos o el envío a subsistemas para un
procesamiento más profundo.
Antecedentes
La topología de Internet está en constante evolución y ha habido cambios dramáticos
en cuanto a la accesibilidad, apareciendo periodicamente nuevos métodos en que el
software malicioso se propaga y se detecta. Al mismo tiempo, los firewalls y
dispositivos NAT diseñados para proteger los hogares y las empresas, están
empezando a ser permeables a muchas de las amenazas a las que fueron diseñados
para defenderse. En particular, los usuarios móviles actúan como portadores de
programas maliciosos, puntos de acceso inalámbricos proporcionan puertas traseras a
muchas redes, y aplicaciones complejas tienen agujeros abiertos a través de firewalls.
El resultado final ha sido una proliferación de la actividad maliciosa sin ser detectados
dentro de los perímetros de la red.
Para combatir el aumento de las amenazas dentro de la red y la falta de visibilidad de
las subredes, se busca construir una darknet y luego usar la información para reducir
los ataques o daños provocados por malware. Las darknets tienen múltiples usos:
acoger el flujo de los colectores, los detectores de backscatter, analizadores de
4
paquetes y cajas de IDS (Intrusion Detection System) [UNAM10] . La elegancia de la
darknet es que reduce considerablemente los falsos positivos en comparación a
cualquier otro dispositivo o tecnología.
Algunas organizaciones se han preocupado de implementar soluciones específicas para
este problema. Tal como se mencionó anteriormente, el Team Cymru popularizó el
concepto de Darknet. Pero además, existen otras organizaciones que han servido de
inspiración y ayuda. Tal es el caso del laboratorio CAIDA, con su proyecto llamado
“Network Telescope” o telescopio de red en Castellano [CAIDA1-10,CAIDA2-
10,CAIDA3-10]. Un telescopio de red es una porción de IPs donde debería existir poco
o nada de tráfico legítimo la cual es monitoreada (el tráfico entrante) a fin de obtener
una visión de lo que está ocurriendo en la red. Con este dispositivo es posible hacer
visible y estudiar diversos ataques, incluyendo de denegación de servicios, infección de
máquinas con gusanos de Internet y escaneos de red, así como problemas asociados a
malas configuraciones y pobres políticas de seguridad. Intuitivamente, un telescopio de
red permite estudiar el comportamiento de máquinas a distancia (aquellas
comprometidas) sin estar necesariamente cerca de ellas. Si un equipo envía paquetes
a direcciones IP al azar, se deberían poder ver algunos de los paquetes si se hace un
seguimiento en un determinado espacio de direcciones.
Telescopios más grandes son capaces de detectar e
Comentarios de: Diseño e implementación de una Darknet para monitoreo de la red en Chile (0)
No hay comentarios