Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red

Abstract

El trabajo recoge el proceso de construcción de un sistema de monitorización que, a partir del tráfico de red, identifica actividades sospechosas que podrían indicar una vulneración de la seguridad de los sistemas informáticos en una red de comunicaciones. La finalidad del trabajo era la de disponer de un sistema completo de monitorización de bajo coste, capaz de detectar tráfico de red sospechoso a partir de listas de reputación. El trabajo se ha basado en el uso de Zeek IDS, como sistema de detección de intrusos, encargado del análisis del tráfico de red; el stack Elastic, para la monitorización activa del tráfico de red; y MineMeld como herramienta de gestión de listas de reputación. Para el desarrollo del trabajo se ha utilizado una metodología de tipo waterfall, dividida en diferentes fases propias de un proyecto de desarrollo de software: definición, análisis, construcción y entrega. Se han realizado además seguimientos periódicos de avance del trabajo. El resultado ha sido un sistema completo de monitorización, en el cual se ha simulado tráfico de red que ha quedado registrado en el dashboard de monitorización, cuyas actividades sospechosas, en base a las listas de reputación, han quedado identificadas para un posterior análisis. Se concluye que, con las herramientas utilizadas, se puede obtener un completo sistema de monitorización, fácilmente adaptable y extensible a las necesidades de cualquier ámbito de aplicación, tanto empresarial como particular, y que el uso de listas de reputación es clave para la identificación de actividades maliciosas en este tipo de sistemas.

The work covers the process of building a full monitoring system that, based on network traffic, identifies suspicious activities that could indicate a breach of the security of computer systems in a communications network. The purpose of the work was to have a complete low-cost monitoring system capable of detecting suspicious network traffic from reputation lists. The work was based on the use of Zeek IDS, as an intrusion detection system, responsible for analyzing network traffic; the Elastic stack, for active monitoring of network traffic; and MineMeld as a reputation list management tool. For the development of the work, a waterfall type methodology has been used, divided into different phases of a software development project: definition, analysis, construction and delivery. In addition, periodic progress reporting has been carried out. The result has been a complete monitoring system, in which network traffic has been simulated and registered in the monitoring dashboard, whose suspicious activities, based on reputation lists, have been identified for later analysis. It is concluded that, with the tools used, a complete monitoring system can be obtained, easily adaptable and extensible to the needs of any field of application, both business and private, and that the use of reputation lists is key to the identification of malicious activities in this type of systems.

El treball recull el procés de construcció d'un sistema de monitoratge que, a partir del tràfic de xarxa, identifica activitats sospitoses que podrien indicar una vulneració de la seguretat dels sistemes informàtics en una xarxa de comunicacions. La finalitat del treball era la de disposar d'un complet sistema de monitoratge de cost baix, capaç de detectar tràfic de xarxa sospitosa a partir de llistes de reputació. El treball s'ha basat en l'ús de Zeek IDS, com sistema de detecció d'intrusos, encarregat de l'anàlisi de tràfic de xarxa; el stack Elastic, per al monitoratge activu del tràfic de xarxa; i Minemeld com a eina de gestió de les llistes de reputació. Per al desenvolupament del treball s'ha aplicat una metodologia de tipus waterfall, dividida en diferents fases pròpies d'un projecte de desenvolupament de software: definició, anàlisi, construcció i entrega. S'han realitzat a més seguiments periòdics d'avanç del treball. El resultat ha estat un complet sistema de monitoratge, en el qual s'ha simulat tràfic de xarxa que ha quedat enregistrat en el dashboard de monitoratge, on les activitats sospitoses, basant-se en les llistes de reputació, han quedat identificades per a un posterior anàlisi. Es conclueix que, amb les eines utilitzades, es pot obtenir un complet sistema, fàcilment adaptable i extensible a les necessitats de qualsevol àmbit d'aplicació, siguin empreses com particulars, i que l'ús de llistes de reputació és clau per a la identificació d'activitats malicioses en aquest tipus de sistemes.