correlacion de eventos
Páginas: 6 (1389 palabras)
Publicado: 22 de mayo de 2013
Arquitectura de sensores de seguridad para
la correlación de eventos
Lic. Javier Diaz
Lic. Nicolás Macia
Lic. Paula Venosa
Lic. Miguel Luengo
Ms. Lía Molinari
C.C. Viviana Ambrosi (*)
{ javierd, nmacia, pvenosa, mluengo, lmolinari, vambrosi } @ info.unlp.edu.ar
Calle 50 y 115 – 1er Piso – Edificio Bosque Oeste
L.I.N.T.I. - Facultad de Informatica – U.N.L.P.
(*) Profesional Principal -CICBA
Palabras Claves
Sistemas de detección de intrusiones, firewall, honeypot, correlación, NTP.
Resumen
El crecimiento exponencial que tuvo Internet en la última década trajo consigo un gran volumen de
tráfico hostil. Es por ésto que implementar mecanismos de seguridad es una tarea imprescindible del
administrador de red actual. Además el monitoreo de la seguridad de una red y sussistemas es una
pieza fundamental en la segurización de la misma puesto que permite una detección temprana de los
incidentes de seguridad, para así responder en tiempo y forma y consecuentemente elaborar
contramedidas a futuro.
Algunas aproximaciones más complejas consideran la sincronización de eventos de seguridad con una
posterior correlación de tales eventos, con el objeto de obtener alertasmás confiables. Una iniciativa de
tal proyecto es el llevado a cabo por el ARCERT, llamada CAL “Coordinación y Análisis de Logs”, el
cual prevee la sincronización de eventos de seguridad dentro de las redes de los Organismos de la
Administración Pública Nacional. Otra iniciativa similar es la de la UNAM, mediante el proyecto
llamado Honeynet UNAM, el cual se basa en el uso de honeynets dentrodel campus de la Universidad
para el análisis de eventos de seguridad y la implementación de mecanismos pro-activos.
En este trabajo se presenta una arquitectura de sensores de seguridad distribuidos estratégicamente, de
modo de proveer la información recolectada a un monitor central en el que se lleven a cabo
correlaciones de datos que permitan generar alertas confiables.
IntroducciónHoy en día es común detectar intentos hostiles para comprometer la seguridad de los sistemas. No
resulta extraño que esos intentos provengan tanto desde el exterior como del interior de una
organización.
Por ello, la necesidad de implementar mecanismos de seguridad como así también de monitorear el
nivel de compromiso de las redes, es una tarea obligada que determinó la aparición de grancantidad de
herramientas que pueden ser usadas de diferentes maneras para atacar este problema. Entre estas
herramientas se pueden mencionar firewalls, IDSs, honeypots, HIDS, etc.
Estas herramientas proveen información valiosa que, si no es tratada adecuadamente, puede fácilmente
saturar la capacidad de interpretación del administrador encargado de la seguridad.
Un ejemplo de ello, es el caso deun sistema de detección de intrusos, en el cual podemos llegar a
observar una gran cantidad de alertas, de las cuales la mayor parte son falsos positivos. Por otro lado, si
optimizamos la capacidad de detección con el fin de disminuir la cantidad de falsos positivos, podemos
caer en el problema de los falsos negativos, es decir que ocurra un evento y no lo hallamos detectado.
Otro ejemplo quepodemos dar es cuando un honeypot no es el destino del ataque, caso en el cual la
información registrada no es de utilidad.
Este trabajo propone la evaluación de diversas herrramientas de seguridad para la conformación y
puesta a punto de una arquitectura de sensores distribuida que permita la centralización de la
información recolectada para el posterior análisis y correlación, de modo demaximizar la confiabilidad
de las alertas generadas. Se utilizará la red de la Universidad Nacional de La Plata para la implantación
de dicha arquitectura.
Arquitectura de sensores de seguridad
Uno de los primeros requisitos para establecer una arquitectura distribuida es la sincronización de
relojes. Para tal fin, se utilizó el protocolo NTP [Ref.1], el cual es un estándar reconocido para la...
la correlación de eventos
Lic. Javier Diaz
Lic. Nicolás Macia
Lic. Paula Venosa
Lic. Miguel Luengo
Ms. Lía Molinari
C.C. Viviana Ambrosi (*)
{ javierd, nmacia, pvenosa, mluengo, lmolinari, vambrosi } @ info.unlp.edu.ar
Calle 50 y 115 – 1er Piso – Edificio Bosque Oeste
L.I.N.T.I. - Facultad de Informatica – U.N.L.P.
(*) Profesional Principal -CICBA
Palabras Claves
Sistemas de detección de intrusiones, firewall, honeypot, correlación, NTP.
Resumen
El crecimiento exponencial que tuvo Internet en la última década trajo consigo un gran volumen de
tráfico hostil. Es por ésto que implementar mecanismos de seguridad es una tarea imprescindible del
administrador de red actual. Además el monitoreo de la seguridad de una red y sussistemas es una
pieza fundamental en la segurización de la misma puesto que permite una detección temprana de los
incidentes de seguridad, para así responder en tiempo y forma y consecuentemente elaborar
contramedidas a futuro.
Algunas aproximaciones más complejas consideran la sincronización de eventos de seguridad con una
posterior correlación de tales eventos, con el objeto de obtener alertasmás confiables. Una iniciativa de
tal proyecto es el llevado a cabo por el ARCERT, llamada CAL “Coordinación y Análisis de Logs”, el
cual prevee la sincronización de eventos de seguridad dentro de las redes de los Organismos de la
Administración Pública Nacional. Otra iniciativa similar es la de la UNAM, mediante el proyecto
llamado Honeynet UNAM, el cual se basa en el uso de honeynets dentrodel campus de la Universidad
para el análisis de eventos de seguridad y la implementación de mecanismos pro-activos.
En este trabajo se presenta una arquitectura de sensores de seguridad distribuidos estratégicamente, de
modo de proveer la información recolectada a un monitor central en el que se lleven a cabo
correlaciones de datos que permitan generar alertas confiables.
IntroducciónHoy en día es común detectar intentos hostiles para comprometer la seguridad de los sistemas. No
resulta extraño que esos intentos provengan tanto desde el exterior como del interior de una
organización.
Por ello, la necesidad de implementar mecanismos de seguridad como así también de monitorear el
nivel de compromiso de las redes, es una tarea obligada que determinó la aparición de grancantidad de
herramientas que pueden ser usadas de diferentes maneras para atacar este problema. Entre estas
herramientas se pueden mencionar firewalls, IDSs, honeypots, HIDS, etc.
Estas herramientas proveen información valiosa que, si no es tratada adecuadamente, puede fácilmente
saturar la capacidad de interpretación del administrador encargado de la seguridad.
Un ejemplo de ello, es el caso deun sistema de detección de intrusos, en el cual podemos llegar a
observar una gran cantidad de alertas, de las cuales la mayor parte son falsos positivos. Por otro lado, si
optimizamos la capacidad de detección con el fin de disminuir la cantidad de falsos positivos, podemos
caer en el problema de los falsos negativos, es decir que ocurra un evento y no lo hallamos detectado.
Otro ejemplo quepodemos dar es cuando un honeypot no es el destino del ataque, caso en el cual la
información registrada no es de utilidad.
Este trabajo propone la evaluación de diversas herrramientas de seguridad para la conformación y
puesta a punto de una arquitectura de sensores distribuida que permita la centralización de la
información recolectada para el posterior análisis y correlación, de modo demaximizar la confiabilidad
de las alertas generadas. Se utilizará la red de la Universidad Nacional de La Plata para la implantación
de dicha arquitectura.
Arquitectura de sensores de seguridad
Uno de los primeros requisitos para establecer una arquitectura distribuida es la sincronización de
relojes. Para tal fin, se utilizó el protocolo NTP [Ref.1], el cual es un estándar reconocido para la...
Leer documento completo
Regístrate para leer el documento completo.