Desplegar l'eina "Zeek IDS" i la seva posterior explotació per a l'anàlisi d'activitats sospitoses a la xarxa

Abstract

Amb la creixent necessitat de protegir la informació (confidencialitat, integritat i disponibilitat), la finalitat d'aquest treball és detectar diferents problemes de seguretat d'una xarxa local mitjançant un sistema de detecció d'intrusos (IDS) i mostrar-los en uns panells de control (dashboards) per permetre una reacció precoç a les amenaces detectades. En aquest treball s'estudien no solament les capacitats de detecció que ofereix Zeek IDS (atacs de força bruta, injecció SQL, etc.), sinó que juntament amb la integració amb ELK Stack (Elasticsearch, Logstash i Kibana), som capaços d'enriquir les dades, permetent la detecció de connexions a llocs web fraudulents o la descàrrega de fitxers perillosos en temps real, amb fonts de detecció actualitzades gràcies a les integracions amb Intel Critical Stack i les consultes in-line a VirusTotal. Per a l'elaboració del projecte, s'ha realitzat la implantació de Zeek IDS en una Raspberry Pi 4 i la instal·lació d'ELK Stack en un servidor virtual Ubuntu Server, a més de la creació de quatre dashboards de seguretat. Mitjançant unes proves de funcionament, es demostra que la instal·lació d'un IDS conjuntament amb ELK, eleva considerablement el nivell de seguretat de qualsevol xarxa. Finalment, les conclusions han sigut satisfactòries, ja que s'assoleix la detecció en temps real de diferents activitats sospitoses a la xarxa, i que gràcies als dashboards de seguretat permetran veure les amenaces i realitzar una intervenció en el casos necessaris.

Con la creciente necesidad de proteger la información (confidencialidad, integridad y disponibilidad), la finalidad de este trabajo es detectar diferentes problemas de seguridad de una red local mediante un sistema de detección de intrusos (IDS) y mostrarlos en unos paneles de control (dashboards) para permitir una reacción precoz a las amenazas detectadas. En este trabajo se estudian no sólo las capacidades de detección que ofrece Zeek IDS (ataques de fuerza bruta, inyección SQL, etc.), sino que junto con la integración con ELK Stack (Elasticsearch, Logstash y Kibana), somos capaces de enriquecer los datos, permitiendo la detección de conexiones a sitios web fraudulentos o la descarga de archivos peligrosos en tiempo real, con fuentes de detección actualizadas gracias a las integraciones con Intel Critical Stack y las consultas in-line a VirusTotal. Para la elaboración del proyecto, se ha realizado la implantación de Zeek IDS en una Raspberry Pi 4 y la instalación de ELK Stack en un servidor virtual Ubuntu Server, además de la creación de cuatro dashboards de seguridad. Mediante unas pruebas de funcionamiento, se demuestra que la instalación de un IDS conjuntamente con ELK, eleva considerablemente el nivel de seguridad de cualquier red. Finalmente, las conclusiones han sido satisfactorias, ya que se logra la detección en tiempo real de diferentes actividades sospechosas en la red, y que gracias a los dashboards de seguridad permitirán ver las amenazas y realizar una intervención en el casos necesarios.

With the growing need to protect information (confidentiality, integrity and availability), the purpose of this work is to detect different security problems in a local network by using an intrusion detection system (IDS) and display them in dashboards to allow an early reaction to detected threats. In this work we study not only the detection capabilities offered by Zeek IDS (brute force attacks, SQL injection, etc.), but together with the integration with ELK Stack (Elasticsearch, Logstash and Kibana), we are also able to enrich the data, in order to detect the connections to fraudulent websites or downloads of dangerous files in real time, with up-to-date detecting sources thanks to the integrations with Intel Critical Stack and in-line queries to VirusTotal. To develop this project, the implementation of Zeek IDS was made on a Raspberry Pi 4 and the installation of ELK Stack was on a virtual Ubuntu Server, additionally the creation of four security dashboards. Through performance tests, it is shown that the installation of an IDS combined with ELK, significantly raises the level of security in any network. Finally, the results have been satisfactory, as it achieves the detection in real time of different suspicious activities in the network, and that, thanks to the security dashboards, will allow us to see the threats and carry out an intervention when necessary.