Plataforma de monitorización de seguridad informática en entornos universitarios

Paredes Gallego, Víctor (2020). Plataforma de monitorización de seguridad informática en entornos universitarios. Proyecto Fin de Carrera / Trabajo Fin de Grado, E.T.S.I. y Sistemas de Telecomunicación (UPM), Madrid.

Description

Title: Plataforma de monitorización de seguridad informática en entornos universitarios
Author/s:
  • Paredes Gallego, Víctor
Contributor/s:
  • Martín Rueda, Javier
Item Type: Final Project
Degree: Grado en Ingeniería Telemática
Date: October 2020
Subjects:
Freetext Keywords: Seguridad informática; Monitorización
Faculty: E.T.S.I. y Sistemas de Telecomunicación (UPM)
Department: Ingeniería Telemática y Electrónica
Creative Commons Licenses: Recognition - No derivative works - Non commercial

Full text

[img]
Preview
PDF - Requires a PDF viewer, such as GSview, Xpdf or Adobe Acrobat Reader
Download (2MB) | Preview
[img] Archive (ZIP) - Users in campus UPM only
Download (853kB)

Abstract

Las universidades cuentan con una gran cantidad de activos digitales que necesitan ser protegidos frente a los cibercriminales, que cada vez más, atacan a este tipo de instituciones. Por otro lado, una de las barreras a las que tienen que hacer frente las universidades de cara a implantar soluciones de seguridad es la carga presupuestaria que supone. Por ello, este Proyecto de Fin de Grado presenta una plataforma de monitorización de seguridad informática en entornos universitarios, utilizando como base herramientas de libre distribución. Para el desarrollo de la plataforma, se diseña una arquitectura de red para monitorizar un pequeño laboratorio de una universidad. Dicha arquitectura se basa en el principio de la segmentación, es decir, separar completamente cada una de las redes según su propósito, garantizando además la seguridad de cada una de las redes, al restringir los accesos entre ellas por medio de VLANs (Virtual Local Area Network), y un encaminador. Para la detección de los ataques, se despliegan una serie de sensores colocados en posiciones estratégicas de la red. En primer lugar, protegiendo el perímetro de la red se encuentra el sensor con la herramienta IDS/IPS (Intrusion Detection/Prevention System) Suricata, que bloquea los siguientes ataques externos: escáner de puertos y servicios, denegación de servicio y comunicaciones hacia redes botnet. En segundo lugar, se colocan sensores de monitorización de red, con la herramienta Zeek, en las salidas de las diferentes redes de la arquitectura, con el propósito de analizar las conexiones DNS (Domain Name System), y ataques de fuerza bruta que puedan originarse en la intranet. En los equipos finales del laboratorio se despliega la herramienta Sysmon para monitorizar de una manera más completa los sistemas Windows, y detectar ataques más sofisticados, como volcado de credenciales en memoria del sistema. Para terminar con la arquitectura, se emplean las herramientas ElasticSearch, Logstash y Kibana (Pila ELK) para la centralización y procesamiento de los eventos, que se reciben de los diferentes sensores a través de la familia de herramientas de transporte de logs Beats. Con Logstash se añade información de contexto a los eventos, en este caso, geolocalización de direcciones IP (Internet Protocol). En ElasticSearch se almacenan todos los eventos recibidos y se ponen a disposición de consultas tanto a través de su API (Application Programming Interface) como con la herramienta Kibana. En Kibana se consultan todos los datos almacenados, y se crean paneles y tablas de datos para la detección de eventos anómalos en la red universitaria que pudieran ser indicadores de compromiso. Posteriormente, se realizan una serie de pruebas para comprobar la eficacia en la detección de diferentes ataques. Para ello, se simulan dos escenarios que podrían darse en un caso real dentro de una universidad, para luego recabar las evidencias del ataque encontradas gracias a la plataforma de monitorización. En concreto, se detectan los siguientes ataques: escáner de puertos y servicios, fuerza bruta a través de SSH (Secure Shell), y técnicas de movimiento lateral como volcado de credenciales y escalada de privilegios. Finalmente, esta plataforma es tan solo el primer paso hacia una mejor detección de amenazas en entornos universitarios, dado que lo expuesto en este trabajo es tan solo una configuración básica. El sistema planteado posee un gran potencial de crecimiento que abre las puertas a futuras mejoras. Abstract: Universities own a wide variety of digital assets that need to be protected from cybercriminals who attack these kinds of institutions. On the other hand, budget is a barrier for universities to implant security solutions. Therefore, this Final Year Project presents an information security platform for a university environment, using open-source tools. To develop the platform, a network architecture is designed to monitor a small university laboratory. Such architecture is based on a network security practice called segmentation, in other words, separate networks according to their function, adding security to each of the networks through different VLANs along with a router. Regarding attack detection, several sensors are deployed on different strategic network locations. First, at the network perimeter, there is an IDS/IPS (Intrusion Detection/Prevention System) called Suricata, which blocks the following external attacks: service and port scans, denial of service, and botnet communications. Second, network monitoring sensors are deployed on the exits of the different internal networks with the help of the tool Zeek, with the objective of analyzing DNS (Domain Name System) queries and brute force attacks, which may be originated from the intranet. On the workstation laboratory endpoints, the Sysmon tool is installed to augment Windows default security logging, and at the same time, to detect advanced attacks such as credential memory dumping. To end with the architecture, ElasticSearch, Logstash, and Kibana (ELK Stack) are used for event centralization and processing, which are received from different logs shippers from the Beats family. With Logstash, context information is added, specifically, IP (Internet Protocol) address geolocation. With ElasticSearch all events received are stored, and then they are available through queries either by API (Application Programming Interface) or Kibana tool. Last tool, Kibana, stored documents are queried, and dashboards and data tables are created to detect anomalous events on the university network which may be indicators of compromise. Afterwards, a series of tests must be undergone in order to measure the system efficiency in detecting different kind of attacks. To achieve that, two scenarios which may occur in a real case in a university are simulated and then evidence is collected of the attacks found thanks to the monitoring platform. The following attacks are detected: service and port scans, SSH (Secure Shell) brute force, and lateral movement techniques such as credential dumping and privilege escalation. Finally, this platform is just the first step towards a better threat detection for a university environment, since everything described in this document is just a basic configuration. This system owns a great growth potential that opens possibilities for future improvements.

More information

Item ID: 68185
DC Identifier: https://oa.upm.es/68185/
OAI Identifier: oai:oa.upm.es:68185
Deposited by: Biblioteca Universitaria Campus Sur
Deposited on: 08 Aug 2021 14:58
Last Modified: 06 Oct 2021 22:30
  • Logo InvestigaM (UPM)
  • Logo GEOUP4
  • Logo Open Access
  • Open Access
  • Logo Sherpa/Romeo
    Check whether the anglo-saxon journal in which you have published an article allows you to also publish it under open access.
  • Logo Dulcinea
    Check whether the spanish journal in which you have published an article allows you to also publish it under open access.
  • Logo de Recolecta
  • Logo del Observatorio I+D+i UPM
  • Logo de OpenCourseWare UPM