PDF de programación - Sistema de monitorización y correlación de eventos en gestión de redes

Imágen de pdf Sistema de monitorización y correlación de eventos en gestión de redes

Sistema de monitorización y correlación de eventos en gestión de redesgráfica de visualizaciones

Actualizado el 21 de Marzo del 2018 (Publicado el 16 de Enero del 2018)
779 visualizaciones desde el 16 de Enero del 2018
3,0 MB
78 paginas
Creado hace 3a (28/09/2016)
Trabajo Fin de Grado
Grado en Ingeniería de las Tecnologías de las
Telecomunicaciones



Sistema de monitorización y correlación de eventos
en gestión de redes

Autor: Antonio Cuesta García

Tutor: Antonio José Estepa Alonso

Equation Chapter 1 Section 1

Departamento de Ingeniería Telemática
Escuela Técnica Superior de Ingeniería

Universidad de Sevilla

Sevilla, 2016

























































Grado en Ingeniería de las Tecnologías de las Telecomunicación

Trabajo Fin de Grado






Sistema de monitorización y correlación de eventos

en gestión de redes









Autor:

Antonio Cuesta García



Tutor:

Antonio José Estepa Alonso

Profesor titular







Departamento de Ingeniería Telemática

Escuela Técnica Superior de Ingeniería

Universidad de Sevilla

Sevilla, 2016





























iii





















































































Trabajo Fin de Grado: Sistema de monitorización y correlación de eventos en gestión de redes





Autor: Antonio Cuesta García

Tutor: Antonio José Estepa Alonso





El tribunal nombrado para juzgar el Trabajo arriba indicado, compuesto por los siguientes miembros:

Presidente:







Vocales:









Secretario:























Acuerdan otorgarle la calificación de:

Sevilla, 2016

El Secretario del Tribunal







v





















































































A todas las personas que lo han
hecho posible. En especial a mis
padres.











































































vii



















































































Agradecimientos

En este punto, al finalizar ya mi carrera me doy cuenta de lo rápido que han pasado estos 4 años de la carrera,
los más rápidos de mi vida. Aunque, a la vez han sido los más duros con muchas tristezas, han sido los más
bonitos que he podido vivir juntos con mis amigos de la facultad, mis compañeros del Colegio Mayor y con el
apoyo incondicional de toda mi familia. Todos ellos se merecen un gran agradecimiento por mi parte.





Gracias a mis padres, Carmen y Martín, por haber hecho posible todo esto en el que han contribuido con un
gran esfuerzo.

Gracias a mi hermano, Martín, que me ha apoyado cuando mis padres no me llegaban a comprender del todo.

Gracias a mis compañeros de clase: Pablo, Juan Emilio, Ismael, Bea, Carmen “Carmeli” … Gracias por
hacerme este camino mucho más fácil.

Gracias a todo mi Colegio Mayor San Juan Bosco, en especial a mi grupo Cuetara, no podía faltar en este
agradecimiento el cual me ha ayudado tanto en el plano académico como en el espiritual, que tienen que
llevarse de la mano.

Por último, gracias a mi tutor Antonio Estepa, que, aunque haya habido momentos en que ni iba a visitarle a su
despacho, me ha guiado en todo momento.



A todos vosotros,

GRACIAS.











Estudiante del Grado en Ingeniería de las Tecnologías de Telecomunicación

Antonio Cuesta García

Sevilla, 2016























ix





















































































Resumen

Este trabajo de fin de grado se centra en el análisis y comparación de tres sistemas de monitorización y
correlación de eventos en la gestión de redes.

Comienza con una investigación sobres los correladores de eventos, para posteriormente definir los software
usados para el desarrollo del mismo. Entre estos servicios se usan SEC, Nxlog y Prelude, que también son
tema central de algunos apartados, ya que sobre ellos se sustenta el desarrollo de este trabajo. Posteriormente
se definen los aspectos más técnicos del experimento realizado.

Por último, en los anexos, se explicará cómo se procede a la instalación y configuración de los tres sistemas.

El resultado obtenido al final de esta investigación tiene dos vertientes, si se quiere gestionar una red orientada
tanto a las pequeñas como medianas empresas se puede hacer uso de estas herramientas, pero para empresas
con necesidades de alta carga habría que dirigir la mirada a una versión comercial1.
















































1 Una versión comercial, es una versión de pago.

xi























































































Abstract

This final degree work focuses on the analysis and comparison of three systems of monitoring and correlation
of events in network management.

It begins with an investigation on the correlators of events, to further define the software used for
development. These services are SEC, Nxlog and Prelude, which are also central theme of some sections,
since it is based on them the development of this work. Then the more technical aspects of the experiment
performed are defined.

Finally, in the annexes, it will explain how to proceed to the installation and configuration of the three systems.

The result obtained at the end of this research is twofold, if you want to manage both small and medium
enterprises network can make use of these tools, but for companies with high load needs should turn our gaze
to a comercial version.



















































xiii





















































































Índice

ix

xi

xiii

xv

xvii

xix

1
1
2
2
2
3

5
5
6
6
7
7
8
8
8
9
10
10

11
11
11
12
13
13
13
13
13
14
15

17
17
18
18
19

Agradecimientos

Resumen

Abstract

Índice

ÍNDICE DE TABLAS

ÍNDICE DE FIGURAS

1

Introduccción y objetivos

Contexto
1.1
Problema
1.2
1.3
Solución
1.4 Objetivos
1.5

Estructura y metodología del trabajo

2

Logs

2.1

¿Qué es un log?
Categorías

2.1.1

2.2

¿Por qué son importantes?

2.2.1
2.2.2
2.2.3

Administración de recursos
Detección de intrusos
Análisis forense
Formatos y sintaxis

2.3

Syslog
IDMEF

2.3.1
2.3.2
2.3.3 Windows Event Log
2.3.4

Sintaxis

3

Correlación de eventos

3.1

Introducción a la correlación de eventos

3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6

Operaciones
Tipos de eventos
Falsos positivos y falsos negativos
Real-time vs Offline
Centralizado vs Distribuido
Contextos

3.2

Expresiones regulares

3.2.1

Patrones

3.3

Arquitectura general

4 Descripción del software elegido

4.1

SEC

4.1.1
4.1.2

Operaciones de correlación
Reglas

4.2 Nxlog



xv

20
20
21
21
22

25
25
25
26
27
29

31
31
31
31
32

35

37
37

39

41

43

45

47
47
50
53
54
58



4.2.1
4.2.2

Operaciones de correlación
Reglas

4.3

Prelude

4.3.1
4.3.2

Arquitectura
Reglas

5 Descripción del experimento

Descripción
Script
SEC

5.1
5.2
5.3
5.4 Nxlog
5.5

Prelude

6 Resultados del experimento y discusión

6.1
6.2

Resultados
Discusión

6.2.1
6.2.2

Resultados
Sistemas

7

8

Planificación

Conclusiones

8.1

Líneas de continuación

Trabajos citados

Glosario

Anexo A: Instalación SEC

Anexo B: Instalación Nxlog

Anexo C: Instalación Prelude

C.1
C.2
C.3
C.4
C.5

Instalación del manager
Instalación del correlador
Instalación de Prewikka
Instalación de Snort
Comprobación funcionamiento













ÍNDICE DE TABLAS

Tabla 2–1. Resumen de tipos de logs

Tabla 4–1. Características generales de los tres sistemas de correlación

Tabla 6–1. Tiempos de respuesta obtenidos de los experimentos de la sección 4


8

17

31

























xvii















ÍNDICE DE FIGURAS

Figura 1-1. Generación de eventos

Figura 1-2. Arquitectura de generación de eventos

Figura 2-1. Fichero de log

Figura 3-1. Arquitectura de un correlador

Figura 4-1. Arquitectura de Prelude

Figura 4-2. Interfaz Prewikka

Figura 7-1. Diagrama de Gantt del trabajo

Figura B-1. Opciones Nxlog

Figura C-1. Petición configuración base de datos

Figura C-2. Elección de base de datos

Figura C-3. Petición de contraseña para el root

Figura C-4. Petición de contraseña para la base de datos del manager

Figura C-5. Confirmación de contraseña para la base de datos del manager

Figura C-6. Archivo /etc/default/prelude-manager

Figura C-7. Ejecución de Prelude-manager

Figura C-8. Registro en Prelude-manager

Figura C-9. Registro del Prelude Correlator

Figura C-10. Registro correcto en el manager

Figura C-11. Arranque del correlador

Figura C-12. Comprobación de registro

Figura C-13. Opciones ejecución Prelude Correlator

Figura C-14. Página de inicio de sesión Prewikka

Figura C-15. Sensores en Prewikka

Figura C-16. Inicialización Snort

Figura C-17. Sensores activos después de instalar Snort

Figura C-18. Envío de 9 pings

Figura C-19. Visualización de la detección del ping en Prewikka










xix

1

2

5

15

21

22

35

46

47

48

48

49

49

50

50

51

51

51

52

52

52

53

54

57

57

58

58





1 INTRODUCCCIÓN Y OBJETIVOS











If you can’t explain it simply, you don’t understand it
well enough.



- Albert Einstein -



C

ada vez tenemos infraestructuras de red más complejas en las que se compromete información tanto
pública como privada. Existen unos archivos llamados logs
  • Links de descarga
http://lwp-l.com/pdf8341

Comentarios de: Sistema de monitorización y correlación de eventos en gestión de redes (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad