Visualización y analítica de
los logs del cortafuegos
Nuria Prieto/Rafael Calzada
[email protected] @CertUC3M
It is a capital mistake to theorize before one has data.
Insensibly one begins to twist facts to suit theories,
instead of theories to suit facts.
Arthur Conan Doyle (1891) A Scandal in Bohemia
Servicio de Informática y Comunicaciones
web: sdic.uc3m.es
twitter: @sdic_uc3m
Agenda
●Gestión de eventos,
visualización de datos
●Cómo lo hemos montado
●Información que se recoge
●Casos de uso
●Ideas de futuro
Gestión de eventos: ¿Qué es un evento?
● Evento: Algo que sucede, detectado en uno o más sistemas y
puede estar relacionado con otros eventos
● Por ejemplo, una conexión desde una IP de eduroam….
– Tiene una validación previa en RADIUS, una asignación de IP
mediante DHCP
– Puede tener una consulta DNS asociada
– Empieza en un momento dado e intervienen unos actores (origen,
destino, puertos, protocolo)
– Se recoge como un flujo en los routers implicados ( bytes
enviados/recibidos)
– Se recoge como una sesión en el cortafuegos
● Que tiene asociada una aplicación, puede suponer una amenaza, se le
aplica una política
– Tiene un final
Visualización de datos
“Una imagen vale más de que mil palabras”
● Debe responder a una pregunta
– ¿Qué servidores SSH tenemos activos en nuestra red?
● Puede dar lugar a otras nuevas
– ¿Desde que países las sesiones transfieren menos de 10 KB?
● Permiten explorar y descubrir
– Voy a echar un vistazo a lo que está haciendo el cortafuegos
Visualización de datos
“Una imagen vale más de que mil palabras”
● Sustenta decisiones
– Cortamos el acceso SSH desde China y aledaños
● Transmite información
– El cerebro asimila más fácilmente los gráficos que las
tablas/números
● Aumenta la eficiencia
– Ya que no es necesario conocer a fondo las diferentes
plataformas que tenemos desplegadas
Como lo hemos montado - Hardware
Reciclando....
● Hardware: Servidor HP DL580-G5, adquirido en 2010
● Cuatro procesadores
[email protected] (6 core/procesador) → 24 cores
● 8+64 GB de RAM (DDR2 667MHz)
● Cabina de almacenamiento HP MSA, reutilizada de audiovisuales
– 11 TB de almacenamiento útil
– Accedido mediante 3 tarjetas SmartArray
– 10 slots libres para añadir disco en la cabina.
– Sistemas RAID5 y 4 discos spare por si acaso
● SOLO HEMOS INVERTIDO 1300€ + IVA!!!!!
Como lo hemos montado - Software
ELK + Redis
● ElasticSearch 1.7.1
– Almacenamiento e indexación
● Logstash 1.5.1
– Recolección
– Análisis, filtrado e inserción de ElasticSearch
● Kibana 4.1.1
– Visualización
● Redis 2.8
– Sistema de colas
Como lo hemos montado - RRHH
Nuria
Nuria
● Mantenimiento del
● Mantenimiento del
● Control de accesos
● Control de accesos
● Patrones de Logstash
● Patrones de Logstash
●
●
servidor
servidor
Instalación de
Instalación de
ELK+Redis
ELK+Redis
Rafa
Rafa
● Diseño Paneles
● Diseño Paneles
● Configuración en
● Configuración en
Zabbix
Zabbix
● RRPP
● RRPP
● Leer, leer y buscar en Google
● Leer, leer y buscar en Google
● Análisis de rendimiento y ajuste del sistema
● Análisis de rendimiento y ajuste del sistema
Información que se recoge
La información proviene del cortafuegos PaloAlto 5050
● Gestión de las sesiones, incluyendo información de
Aplicaciones.
● Amenazas
● Acciones de los perfiles de seguridad
– Antivirus/malware
– Antispyware
– Bloqueo de URLs
● En un día tranquilo 60M eventos
● Con días de 110M eventos
Ejemplo 1: Problemas en una subred
Martes 17/11/2015, 10:00 AM
● Se detectan problemas de conexión con
Internet en una subred de laboratorios.
● ¿Será el cortafuegos?....
● Vamos a ver que está pasando en la
última hora....
Ejemplo 1: Problemas en una subred
● No es el cortafuegos, pero ahora sabemos
lo que pasa y como solucionarlo....
● El equipo tiene un proxy instalado en el
puerto 80
– Muy probablemente se ha activado el módulo
proxy de Apache
– Esta siendo accedido desde el extranjero:
● US, CN, GB, RU, ID
Ejemplo 2: Carga elevada en el cortafuegos
Sábado 21/11/2015, 19:30
● La carga del cortafuegos ha pasado del 50%
– El número de sesiones no ha sido muy
elevado
– ¿Posible escaneo desde multiples orígenes?
Ejemplo 2: Carga elevada en el cortafuegos
● Confirmado:
– Múltiples orígenes
– Con destino a una subred no asignada
– La carga se debe a que está activado el
log de los bloqueos
Ejemplo 3: Accesos remotos
● Nos gustaría saber, si nuestros
usuarios acceden a los sistemas red
interna mediante SSH, Terminal
Server, VNC, etc
● Podemos utilizar los bytes recibidos/enviados
para determinar si la conexión ha tenido éxito
o no
● Vamos a ver que pasó el 20/11/2015
Ejemplo 4: Paseo por otros Paneles
● ELK permite visualizar la
información del funcionamiento
del cortafuegos PaloAlto y
agregarla a nuestro gusto
– Y consultarla no supone un aumento en
la carga del cortafuegos....
Hemos llegado al nivel 3 ó 5
Modelo de Madurez
.
A
S
U
,
C
N
,
y
r
a
C
,
.
c
n
I
e
t
u
t
i
t
s
n
I
S
A
S
©
t
h
g
i
r
y
p
o
C
.
i
n
o
s
s
m
r
e
p
i
h
t
i
w
d
e
s
U
.
d
e
v
r
e
s
e
R
s
t
h
g
R
i
l
l
A
Ideas de futuro
● Recopilar información para agilizar la respuesta a
incidentes:
– Inicios de sesión, en cualquier sistema
– Consultas DNS
● Para botnets, y descarga de malware
– Antivirus
– Accesos a aplicaciones
● Mejorar la infraestructura:
– Pasar a 3 nodos
Ideas de futuro
● Pero sobretodo
– Ofrecerlo como servicio para
otras áreas:
● Para saltar al nivel 5
Servicio de Informática y Comunicaciones
web: sdic.uc3m.es
twitter: @sdic_uc3m
Comentarios de: Visualización y analítica de los logs del cortafuegos (0)
No hay comentarios