PDF de programación - Diseño e implementación de una Darknet para monitoreo de la red en Chile

Imágen de pdf Diseño e implementación de una Darknet para monitoreo de la red en Chile

Diseño e implementación de una Darknet para monitoreo de la red en Chilegráfica de visualizaciones

Publicado el 21 de Abril del 2018
441 visualizaciones desde el 21 de Abril del 2018
1,3 MB
52 paginas
Creado hace 13a (31/01/2011)
Proyecto Amparo:



Diseño e implementación de una

Darknet para monitoreo de la

red en Chile – CLCERT



Informe Final



Renata Faccilongo,
Dept. Cs. de la Computación, U. de Chile


Alejandro Hevia,
Director CLCERT & Profesor Asistente

Dept. Cs. De la Computación, U. de Chile



Sergio Miranda,
Director de Tecnología CLCERT, U. de Chile



31 de Enero 2011

1



Tabla de contenido

Sección 1: Introducción ....................................................................................... 3
Motivación ................................................................................................... 3
Objetivos ..................................................................................................... 4
Antecedentes ............................................................................................... 4
Funcionamiento y Arquitectura de la Darknet ................................................... 6
Creación de una Darknet ................................................................................ 7
Qué ataques conviene monitorear ................................................................... 8
Sección 2: Implementación ................................................................................ 14
Definición de arquitectura ............................................................................ 14
Servidor ..................................................................................................... 15
Software instalado ...................................................................................... 16
Instalación y captura de datos ...................................................................... 18
Despliegue de resultados ............................................................................. 21
Implementación de gráficos.......................................................................... 22
Copia y Borrado de material ......................................................................... 46
Visibilidad del proyecto ................................................................................ 48
Seccion 3: Conclusiones .................................................................................... 50
Seccion 4: Trabajo futuro .................................................................................. 50
Anexo: Bibliografía ........................................................................................... 51



2

Sección 1: Introducción

Una darknet es una porción o espacio IP asignado y ruteado en el cual no existen
servicios activos ni servidores. Tal espacio se denomina "dark" (oscuro) porque un
observador externo tiene la impresión que no existe nada en dichas redes. Una
darknet incluye de hecho al menos un servidor, configurado como un capturador de
paquetes. Este servidor captura todo el tráfico y paquetes que ingresen a la darknet, lo
cual puede ser utilizado para un análisis en tiempo real o análisis posterior a los
eventos o forensicos. Ningún paquete legítimo debiese ingresar a la darknet, dichos
paquetes pueden transitar por error o fallas en la configuración, pero la gran mayoría
de dichos paquetes son enviados por malware. El malware en general realiza
búsquedas activas de dispositivos, por lo que enviará paquetes hacia la darknet que
permitirá su captura y análisis.


El concepto de darknet en el cual se basa el presente trabajo, fue el definido por el
Team Cymru [CYMRU10]. Sin embargo existen otras aproximaciones interesantes,
como el proyecto "Network Telescope" de CAIDA [CAIDA1-10,CAIDA2-10] y el
"Internet Motion Sensor", de la Universidad de Michigan [MICH10]. Todos estos
trabajos fueron revisados para implementar el siguiente proyecto.


Este proyecto busca obtener la mayor cantidad de antecedentes de modo de
determinar el volumen y características del tráfico malicioso que circula por la red, de
modo de permitir la definición de acciones en orden a mitigar el impacto que dicho
tráfico representa sobre los equipos de dicha red, y a su vez extender dicho
conocimiento a una red más amplia, posiblemente incluso a nivel nacional.

Motivación

Hoy en día existen pocos antecedentes confiables sobre el número y características de
los ataques provenientes desde el extranjero hacia la red nacional chilena, y
prácticamente no se cuenta con información que permita dimensionar el volumen de
equipos locales comprometidos con alguna clase de malware y que pueden estar
formando parte de botnets. El CLCERT, el Grupo de Respuesta a Incidentes de
Seguridad Computacional de Chile, busca responder a estas preguntas en virtud de su
misión: el monitorear y analizar los problemas de seguridad de los sistemas
computacionales en Chile, y reducir la cantidad de incidentes de seguridad perpetrados
desde y hacia éstos.


Una poderosa herramienta para cumplir con dicho objetivo es poder contar con datos
estadísticos confiables sobre el malware que circula por nuestras redes. Con el fin de
obtener tráfico malicioso de la manera más confiable posible, se propone implementar
una darknet.



3



Objetivos


a. Objetivos Generales


Este proyecto tiene como objetivo el diseñar e implementar una darknet, operada por
el CLCERT, de modo de estudiar el comportamiento de la red nacional e internacional
con el fin de monitorear gusanos, ataques DoS, spam y compromisos en general.

Para su implementación se pretenden seguir los lineamientos del Team Cymru,
montando tal red con el equipamiento necesario, y desarrollando las aplicaciones que
permitan procesar los datos y desplegar estadísticas relevantes con información útil
para identificar, mitigar y/o eliminar los ataques monitoreados, así como reportar y/o
compartir información con otras entidades interesadas (como, por ejemplo, otros
CERTs).

b. Objetivos Específicos


1. Determinar las características de la red (topología, alcances, visibilidad) más

adecuada para montar la darknet en el CLCERT.

2. Definir equipamiento de hardware y el software a instalar de acuerdo a los

objetivos definidos.

3. Instalación y obtención de datos de prueba desde la darknet, de acuerdo a los
diversos usos que se hayan definido (recolección de flujos, detección de
ataques DoS, análisis vía IDS, etc.) para su análisis.

4. Desarrollo de aplicaciones de captura, almacenamiento y procesamiento de los
datos de acuerdo al resultado de las pruebas previas y al flujo de datos
estimado.

5. Despliegue de estadísticas y procedimientos de manejo de la información, por
ejemplo para compartir con otros grupos o el envío a subsistemas para un
procesamiento más profundo.

Antecedentes

La topología de Internet está en constante evolución y ha habido cambios dramáticos
en cuanto a la accesibilidad, apareciendo periodicamente nuevos métodos en que el
software malicioso se propaga y se detecta. Al mismo tiempo, los firewalls y
dispositivos NAT diseñados para proteger los hogares y las empresas, están
empezando a ser permeables a muchas de las amenazas a las que fueron diseñados
para defenderse. En particular, los usuarios móviles actúan como portadores de
programas maliciosos, puntos de acceso inalámbricos proporcionan puertas traseras a
muchas redes, y aplicaciones complejas tienen agujeros abiertos a través de firewalls.
El resultado final ha sido una proliferación de la actividad maliciosa sin ser detectados
dentro de los perímetros de la red.

Para combatir el aumento de las amenazas dentro de la red y la falta de visibilidad de
las subredes, se busca construir una darknet y luego usar la información para reducir
los ataques o daños provocados por malware. Las darknets tienen múltiples usos:
acoger el flujo de los colectores, los detectores de backscatter, analizadores de



4

paquetes y cajas de IDS (Intrusion Detection System) [UNAM10] . La elegancia de la
darknet es que reduce considerablemente los falsos positivos en comparación a
cualquier otro dispositivo o tecnología.

Algunas organizaciones se han preocupado de implementar soluciones específicas para
este problema. Tal como se mencionó anteriormente, el Team Cymru popularizó el
concepto de Darknet. Pero además, existen otras organizaciones que han servido de
inspiración y ayuda. Tal es el caso del laboratorio CAIDA, con su proyecto llamado
“Network Telescope” o telescopio de red en Castellano [CAIDA1-10,CAIDA2-
10,CAIDA3-10]. Un telescopio de red es una porción de IPs donde debería existir poco
o nada de tráfico legítimo la cual es monitoreada (el tráfico entrante) a fin de obtener
una visión de lo que está ocurriendo en la red. Con este dispositivo es posible hacer
visible y estudiar diversos ataques, incluyendo de denegación de servicios, infección de
máquinas con gusanos de Internet y escaneos de red, así como problemas asociados a
malas configuraciones y pobres políticas de seguridad. Intuitivamente, un telescopio de
red permite estudiar el comportamiento de máquinas a distancia (aquellas
comprometidas) sin estar necesariamente cerca de ellas. Si un equipo envía paquetes
a direcciones IP al azar, se deberían poder ver algunos de los paquetes si se hace un
seguimiento en un determinado espacio de direcciones.

Telescopios más grandes son capaces de detectar e
  • Links de descarga
http://lwp-l.com/pdf10550

Comentarios de: Diseño e implementación de una Darknet para monitoreo de la red en Chile (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad