FUNDACIÓN UNIVERSITARIA KONRAD LORENZFACULTAD DE MATEMÁTICAS E INGENIERÍAS

PROGRAMA DE INGENIERÍA DE SISTEMAS

SISTEMA DE MONITOREO PARA LA DETECCION DE TRAFICO ANORMAL EN UNA RED TCP/IP

GRUPO DE INVESTIGACION EN TELECOMUNICACIONES TELEMENTE

LÍNEA DE INVESTIGACIÓN EN SEGURIDAD COMPUTACIONAL

ING. GUSTAVO ADOLFO HERAZO P ING. JOSE ALBEIRO CUESTA MENA

Contacto: prengifo@fukl.edu

JUSTIFICACIÓN DEL PROYECTO DE

INVESTIGACIÓN Cuando una empresa genera tráfico de red y

gestiona los perímetros de seguridad informática, cada recurso informático está involucrado en un proyecto y se hace necesario el control de las conexiones TCP y UDP que viajan por la red. Así mismo es necesaria la creación de un software que permite el control de sockets, la manipulación de la transferencia de los datos binarios y ASCII entre maquinas, la restricciones de servicios de Internet y la visualización de puertos físicos en los servidores.

IMPACTO TECNOLOGICO DEL PROYECTO DE INVESTIGACION

• El desarrollo del proyecto cubre la elaboración de un software que integra las diferentes bases conceptuales: Estado de conexión (Protocolo ICMP, PING), Trace de rutas (TRACEROUTE, ARP Y RARP), Interfaz de red, Puertos TCP, UDP, Servidor de nombre de Dominio (DNS).

• En la Capa de Red permitirá direccionamiento IP Versión 4, junto con todos sus algoritmos de enrutamiento interno y externo.

• En la capa de transporte, se analizaran paquetes UDP y TCP por separado, incluyendo la normalización de sus sockets y puertos.

DELIMITACION METODOLOGICA

El proyecto de investigación esta basado en el “Ciclo de vida del desarrollo de sistemas (CVDS)”, apoyado en el método científico.

ANTECEDENTES INVESTIGATIVOS

• Software What’s Up

• Visual Route 8 Personal Edition

• Sniffer Ethereal , TCPdump y

• 3 COM Network Supervisor

Evaluación del CVDS del Proyecto de Investigación.

Evaluar proyecto y Diseño UMLEvaluar Impacto

Diseño y Desarrollo

Identificar Situación Actual

Diagnostic.

Conoc. de los sistema

Conclusiones y Recomendaciones

Definición

Implementación

Vulnerabilidades de redes orientadas a conectividad

Branch/Remote Office

CORE

INTERNET

Data Center

VPN

DMZ

SOHO/Mobile Office

Anti-Virus/Personal Firewall VPN Firewall IDS

• CODE RED

• SO BIG .F

• NIMBDA

• BLASTER

• SLAMMER

¿De que nos Defendemos?Analisis de la Situación Actual

0

10

20

30

40

50

60

a b c d e f

a) 55% Error Humano

b) 2% Ataques externos

c) 20% Amenazas físicas

d) 10% Empleados deshonestos

e) 9% Empleados descontentos

f) 4% Virus informáticos

Fuente:Computer Security Institute

¿Cómo nos Defendemos?• Políticas de seguridad integral entendidas y

aceptadas• Administración consciente y bien calificada• Administración de seguridad con poder

suficiente• Educación de los usuarios• Refuerzo de la seguridad interna• Esquema de seguridad robusto por sí mismo.

Análisis de VulnerabilidadesDiagnostico de la Situación Actual

• (Footprinting)Obtener Información– Reconocimiento

– Escaneo de puertos

– Enumeración

• Técnicas Avanzadas– Suplantación de Sesión

– Puertas traseras

– Trojanos

– Ingeniería Social

• Web Hacking

• El eslabón más débil de la cadena “El usuario”

FootPrinting (Obtención de Información)

Reconocimiento del objetivo

Reconocimiento por Internet Paso 1: Determinar el alcance de

lo que quiero hacer Paso 2: Enumerar la Red (whois,

IPS,PING, TRACE) Paso 3: Interrogar al DNS

(Equipos, Nombres) Paso 4: Reconocimiento de Red

(Proveedor, Conexiones)

Escaneo del Sitio desde la red Interna

Reporte de Vulnerabilidades

Implementación de redes seguras

Servicios de Red

Infraestrutura de Red

Switch o Access Point

Estación de TrabajoUsuário

Administración Centralizada de Políticas de Seguridad

NetSight Policy Manager

Dragon™Intrusion DetectionNetSight Console

Automated Security Manager

SAP

Email

HTTP

SNMP

Video

Voice

High Priority

Low Priority

Rate Limited

Highest Priority & Rate Limited

Filtered

Filtered

SAP

Email

HTTP

SNMP

Video

Voice

Rate Limited

Filtered

Filtered

Filtered

Filtered

Filtered

Alta Prioridad (QoS)

con Limitaión de ancho de banda (anti-DOS)

Filtered

Filtered

Filtered

FilteredSAP

Email

HTTP

SNMP

Video

Voice

FilteredAssessment & Remeditation

Server

EmpleadoVisitante

Authentication Server

Política de EmpleadoPolítica de VisitantePolítica de QuarentenaPolítica de ScanningPolítica para Telefonia IP

El eslabón más débil de la cadena el “usuario”

Código Móvil Malicioso (Cuidado al Navegar por Internet)

ActiveX Java Security Holes Beware the Cookie Monster IE HTML Frame Vulnerabilities SSL Fraud

Email Hacking (Cuidado con su correo) Ejecutar código arbitrario a través del Email Gusanos del libro de direcciones de Outlook File Attachment Attacks Napster Hacking with Wrapster

VENTAJAS DEL PROYECTO DE INVESTIGACION

ESTADÍSTICAS DEL PROYECTO DE INVESTIGACION

72% del correo electrónico mundial es Spam Fuente:Ironport, 2005.

Objetivos:

▪ Ganar Notoriedad• Dañar empresas internacionales• Recolectar datos (ratware, pictionary, spiders, crawlers)• Cometer delitos (spoofing, pishing, etc.)• Publicidad pagada por el usuarios y a costo mínimo para el emisor

¿POR QUÉ EXISTE? ES UN NEGOCIO QUE GENERA PUBLICIDAD Y BENEFICIOS ECONÓMICOS CASI SIN COSTO¡¡¡¡UN SPAMMER PUEDE GANAR 8000 USD POR DÍA!!!!

Fuente: Reporte Resultados Reunión Busan, Task Force on Spam OECD, Septiembre 2005

Beneficios:

• De tipo económico* Contratados

por empresas* Venta de

datos• Reconocimiento

RECOMENDACIONES FUTURAS

• Integración en ambientes distribuidos (corba, rmi)

• IP next Generation (Internet 2)

• Ejecución de Tunneling entre direccionamiento Versión 4 y 6

• Encaminamiento EGP y GGP (I2)

• QoS y DoS

CONCLUSIONESNo desaparecen los riegos, pero se previenen y reducen sus consecuencias

La solución no puede ser peor que el problema

Su combate no es materia de nueva legislación, sino de dar eficacia a la existente y establecer medidas para la persecución y castigo de delitos

Las amenazas informáticas avanzan con la tecnología

El combate a los riesgos informáticos y los delitos en línea requiere la acción coordinada de todos los sectores sociedad, gobierno y empresas

En su combate se requiere unificar conceptos, definiciones y medidas

Se deben advertir las consecuencias de las amenazas informáticas en el desarrollo de las telecomunicaciones

La información como usuarios nos permite elegir y autoprotegernos. Como funcionarios genera educación, competencia y protección al desarrollo de las comunicaciones en el país, resultando en mejores servicios.

Se requiere cooperación internacional y entre sectores.