MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS
description
Transcript of MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS
![Page 1: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/1.jpg)
MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOSDE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPSDenisse Cayetano – Christian Rivadeneira
PcapsReports
PcapsResports
![Page 2: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/2.jpg)
Marco Teórico: Honeynets Red entera de gran interacción. Voluntariamente vulnerable Honeypot o "tarro de miel"
Recurso de la red que se encuentra Examinado Atacado
Permite Recolectar información sobre el atacante Prevenir estas incursiones dentro del ámbito de la red real en casos
futuros Almacena la información recogida en logs tcpdump (pcap)
Implementada con Sistemas Operativos reales y corriendo servicios reales
Podemos Identificar nuevas técnicas de ataque Analizar el “modus-operandi” de los intrusos.
![Page 3: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/3.jpg)
Descripción del Problema Existen herramientas que ayudan al análisis de lo
que podría ser un posible ataque en la red Ejemplos: Wireshark, OmniPeek, JpcapDumper
Problema: No soportan el análisis de una cantidad grande de
información (en el orden de los GBs y TBs) Solución: PcapsReports
Procesamiento de logs de tráfico de red (en formato pcap)
Escalable y distribuida Generación de reportes a partir de dichos logs
![Page 4: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/4.jpg)
Formato Archivos .PCAP
PCAP (Packet Captured) Formato definido Permite conocer información como:
Quién, Qué, Cuándo, Dónde, Cuánto
![Page 5: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/5.jpg)
Plataforma utilizada: AWS AWS: Amazon Web Services Amazon ha puesto a disposición varios
servicios de cloud computing, como: Elastic Compute Cloude (EC2) servicios de
infraestructura Asignación de computadores (virtualizados) bajo
demanda Simple Storage Service (Amazon S3)
Almacenamiento escalable
![Page 6: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/6.jpg)
Plataforma utilizada: Hadoop Varios componentes importantes, como:
Hadoop common Computación distribuida y escalable Implementa paradigma MapReduce, basado en principios
desarrollados por Google Hadoop Distributed File System (HDFS)
Almacenamiento escalable de datos Cuenta con el apoyo de gigantes como
Yahoo! Facebook
Procesamiento masivo de datos de manera distribuida
![Page 7: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/7.jpg)
Diseño
![Page 8: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/8.jpg)
Diseño General
![Page 9: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/9.jpg)
Implementación
![Page 10: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/10.jpg)
Detalles de Implementación JNetStream
Librería desarrollada en Java Permite accesar a paquetes de red en
representación binaria InetAddressLocator
Librería desarrollada en Java Permite conocer el País de origen de una IP
dada FileInputFormat y FileOutputFormat Tamaño del Bloque y Segmento de tarea
en (512MB)
![Page 11: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/11.jpg)
Reportes Protocolo por cada mes Tráfico por País Tráfico por IP Cantidad de Bytes por día de la semana y
hora específica.
![Page 12: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/12.jpg)
Trafico de IP por País
![Page 13: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/13.jpg)
Tráfico IP - Mes
![Page 14: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/14.jpg)
Trafico por Hora y Día
![Page 15: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/15.jpg)
Eficacia y Eficiencia
Pruebas Realizadas
![Page 16: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/16.jpg)
Pruebas de Eficacia Wireshark – Archivo mayor a 1GB
JpcapDumper – Archivo mayor a 1GB Programa no responde
PcapsReports – Archivo mayor a 1GB ≈ 10 minutos en un clúster de 10 nodos
![Page 17: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/17.jpg)
Pruebas de Eficiencia
19161042105
1015202530354045
11
11
12
1222
38
Tráfico por País
1 2 3 4 5
Número de Nodos
Tiem
po (
min
utos
)
19161042105
10152025303540
10
10
11
11
20
36
Tráfico por IP
1 2 3 4 5
Número de Nodos
Tiem
po (
min
utos
)
![Page 18: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/18.jpg)
Pruebas de Eficiencia
19161042105
10152025303540
10
10
10
1119
37
Tráfico por Hora y Día
1 2 3 4 5
Número de Nodos
Tiem
po (
min
utos
)
19161042105
1015202530354045
11
11
11
1220
38
Tráfico por Protocolo
1 2 3 4 5
Número de Nodos
Tiem
po (
min
utos
)
![Page 19: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/19.jpg)
Conclusiones y Recomendaciones
![Page 20: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/20.jpg)
Conclusiones Los reportes gráficos fueron generados
bajo un ambiente altamente usable Proveemos una alternativa diferente a las
herramientas existentes Módulo puede ser adaptable a las
necesidades de administradores de red
![Page 21: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/21.jpg)
Recomendaciones Contribuir con el módulo de
procesamiento de pcaps a la comunidad de usuarios de Hadoop Hemos compartido nuestra propuesta en
foros y esperamos una pronta retroalimentación
Los administradores de red podrían adaptar la propuesta que hemos detallado para generar reportes personalizados a sus necesidades
![Page 22: MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS](https://reader033.fdocuments.ec/reader033/viewer/2022052215/56815b34550346895dc9041c/html5/thumbnails/22.jpg)
GRACIAS
¿Preguntas?