Desplegar la herramienta "Bro IDS" y su posterior explotación para el análisis de actividades sospechosas en la red

Abstract

Cada vez es más habitual leer noticias sobre ataques de robo de datos, cifrado de ordenadores, etc en organizaciones y empresas de todos los tamaños. La seguridad es un pilar importante para la estabilidad de una organización o empresa. Por este motivo es necesario implementar todas las posibles medidas para identificar las amenazas. Una de las medidas más interesante a nivel de red son los NIDS. Los NIDS son herramientas de detección de intrusión de red que nos permiten analizar la red de la organización. Entre ellas se encuentran las herramientas Snort, Suricata y Zeek (anteriormente conocida como Bro IDS). Este trabajo analiza la herramienta Zeek para la detección temprana de amenazas y su posterior exploración mediante un panel de control que nos ofrece el stack de Elastic (Elasticsearch, Logstash y Kibana). Para detección de amenazas se realiza una consulta de fuentes externas de reputación mediante la herramienta IntelMQ que facilita la lista de ip de reputación a nuestro sistema. Como mejora para la detección se desarrollan mecanismos de alarma, para notificar posibles eventos de actividad maliciosa en la red. El método de trabajo seguido consiste en la definición de una serie de etapas y objetivos de investigación, implantación y entrega. El resultado obtenido es la implantación e integración de las herramientas Zeek y listas de reputación para su explotación posterior mediante un panel de control sencillo. En cuanto a las conclusiones, se puede afirmar que las herramientas NIDS son herramientas muy útiles para la detección temprana de anomalías en la red y que pueden ser clave para identificación de amenazas.

News about attacks, data theft, computer encryption,... in organizations and companies is becoming more frequent. Security tasks are an important pillar for the stability of organizations and companies. For this reason it is necessary to implement all possible security measures to identify threats. One of the most interesting measures at the network level is the NIDS. NIDS are network intrusion detection tools that allow us to analyze the network of our organizations. Some NIDS tools are Snort, Suricata and Zeek tools (formerly known as Bro IDS). This Project analyzes the Zeek tool for the early detection of threats and their subsequent explotation through a control panel offered by the Elastic stack (Elasticsearch, Logstash and Kibana). I use IntelMQ as a tool of intelligence to add a reputation list to the system. Alarm mechanisms have been developed to notify of possible events of malicious activity in the network as an improvement to the detection I defined a series of stages, a general objective and the objectives of research, implementation and delivery of documentation. The result obtained from the Project is the implementation and integration of Zeek tools and reputation lists for later exploitation through a simple control panel. As for the conclusions of the Project, it can be affirmed that NIDS tools are very useful tools for the early detection of network anomalies and that they can be key to threat identification.

Cada vegada és més habitual llegir notícies sobre atacs de robatori de dades, xifrat d'ordinadors,... a organitzacions i empreses de totes les mides. La seguretat és un pilar important per a l'estabilitat d'una organització o empresa. Per aquest motiu cal implementar totes les possibles mesures per identificar les amenaces. Una de les mesures més interessant pel que fa a la xarxa són els NIDS. Els NIDS són eines de detecció d'intrusió de xarxa que ens permeten analitzar la xarxa de l'organització. Entre elles es troben les eines Snort, Suricada i Zeek (anteriorment coneguda com Bro IDS). Aquest treball analitza l'eina Zeek per a la detecció d'amenaces i la seva posterior exploració mitjançant un panell de control que ens ofereix el stack de Elastic (Elasticsearch, Logstash i Kibana). Per a la detecció d'amenaces es realitza una consulta de fonts externes de reputació mitjançant l'eina IntelMQ, que facilita la llista de ip de reputació al nostre sistema. Com a millora per a la detecció es desenvolupen mecanismes d'alarma, per a notificar possibles esdeveniments d'activitat maliciosa a la xarxa. El mètode de treball seguit consisteix en la definició d'una sèrie d'etapes i objectius d'investigació, implantació i entrega. El resultat obtingut és la implantació i integració de les eines Zeek i les llistes de reputació per a la seva explotació posterior mitjançant un panell de control senzill. Pel que fa a les conclusions, es pot afirmar que les eines NIDS són eines molt útils per a la detecció d'anomalies a la xarxa i que poden ser clau per a identificació d'amenaces.