Despliegue de la herramienta "Zeek" y su posterior explotación para el análisis de actividades sospechosas en la red

Abstract

La finalidad principal de este trabajo es valorar qué ventajas nos ofrece la implementación de un sistema de detección de intrusiones en combinación con herramientas de transformación de logs, para su almacenaje en bases de datos NoSQL y su posterior explotación mediante el uso de herramientas avanzadas de creación de distintas gráficas ,que nos ayuden a la detección de comportamientos anómalos en nuestra red dentro del ámbito laboral y a coste reducido, aprovechando los recursos disponibles. La particularidad de nuestro entorno laboral hace que estén conectados a la red muchos equipos electromédicos con Windows embebido y, dada la dificultad de aplicación de parches de seguridad, suponen una importante amenaza para la seguridad de la información y, más concretamente, para la seguridad del paciente. Para ello, se ha utilizado Zeek como Sistema de Detección de Intrusiones en Red (NIDS), ELK Stack para la transformación de logs (Beats), como almacén de datos (Elastic Search) y para la posterior explotación y visualización gráfica de la información, Machine Learning y SIEM (Kibana). Se ha utilizado hardware virtualizado para ELK Stack en Windows Server 2012 R2 y PCs, cuyo valor residual es 0 para instalar Zeek en Linux como Sniffer de Red utilizando configuración de puertos espejo en switch gestionado. Se ha podido visualizar varias anomalías, con lo que no ha sido necesaria la simulación de ataques o infecciones.

The main purpose of this work is to assess the advantages offered by the implementation of an Intrusion Detection System in combination with log transformation tools for storage in NoSQL Databases and its subsequent exploitation through the use of advanced tools for creating different graphs that help us to detect anomalous behaviors in our network within the workplace and at reduced cost, taking advantage of the available resources. The particularity of our work environment means that many electromedical devices with embedded Windows are connected to the network and, given the difficulty of applying security patches, pose a significant threat to information security and, more specifically, to the security of the patient. For this, Zeek has been used as a Network Intrusion Detection System (NIDS) and ELK Stack for the transformation of logs (Beats), data warehouse (Elastic Search) and for the subsequent exploitation and graphic visualization of information, Machine Learning and SIEM (Kibana). Virtualized hardware has been used for ELK Stack on Windows Server 2012 R2 and PCs, whose residual value is 0, to install Zeek on Linux as a Network Sniffer using mirror port configuration on managed switch. It has been possible to visualize several anomalies, which has not been necessary to simulate attacks or infections, which has led us to the detection of two Wannacry infections. Concluding that the implemented environment helps us to detect network anomalies.

La finalitat principal d'aquest treball és valorar les millores que ens ofereix la implementació d'un sistema de detecció d'intrusions en combinació amb eines de transformació de logs, per al seu emmagatzematge en bases de dades NoSQL i la seva posterior explotació mitjançant l'ús d'eines avançades de creació de diferents gràfiques, que ens ajudin a la detecció de comportaments anòmals a la nostra xarxa dins de l'àmbit laboral i ha cost reduït, aprofitant els recursos disponibles. La particularitat del nostre entorn laboral fa que estiguin connectats a la xarxa molts equips electromèdics amb Windows encastat i, donada la dificultat d'aplicació dels pegats de seguretat, suposen una important amenaça per a la seguretat de la informació i, més concretament, per a la seguretat del pacient. Per a això, s'ha utilitzat Zeek com a sistema de detecció d'intrusions a la xarxa (NIDS), ELK Stack per a la transformació de logs (Beats), com a magatzem de dades (Elastic Search) i per a la posterior explotació i visualització gràfica de la informació, Machine Learning i SIEM (Kibana). S'ha utilitzat maquinari virtualitzat per ELK Stack a Windows Server 2012 R2 i PC, el valor residual és 0 per instal·lar Zeek en Linux com Sniffer de Xarxa utilitzant configuració de ports mirall en switch gestionat. S'ha pogut visualitzar diverses anomalies, de manera que no ha calgut la simulació d'atacs o infeccions.