FUNDACIÓN UNIVERSITARIA KONRAD LORENZ

FACULTAD DE MATEMÁTICAS E INGENIERÍAS

PROGRAMA DE INGENIERÍA DE SISTEMAS

SISTEMA DE MONITOREO PARA LA DETECCION DE

TRAFICO ANORMAL EN UNA RED TCP/IP

ING. GUSTAVO ADOLFO HERAZO P

ING. JOSE ALBEIRO CUESTA MENA
Contacto: prengifo@fukl.edu

GRUPO DE INVESTIGACION EN TELECOMUNICACIONES

TELEMENTE
LÍNEA DE INVESTIGACIÓN EN SEGURIDAD
COMPUTACIONAL
JUSTIFICACIÓN DEL PROYECTO DE
INVESTIGACIÓN
Cuando una empresa genera tráfico de red y
gestiona los perímetros de seguridad
informática, cada recurso informático está
involucrado en un proyecto y se hace
necesario el control de las conexiones TCP y
UDP que viajan por la red. Así mismo es
necesaria la creación de un software que
permite el control de sockets, la
manipulación de la transferencia de los datos
binarios y ASCII entre maquinas, la
restricciones de servicios de Internet y la
visualización de puertos físicos en los
servidores.
IMPACTO TECNOLOGICO DEL PROYECTO DE
INVESTIGACION
• El desarrollo del proyecto cubre la elaboración de
un software que integra las diferentes bases
conceptuales: Estado de conexión (Protocolo
ICMP, PING), Trace de rutas (TRACEROUTE,
ARP Y RARP), Interfaz de red, Puertos TCP,
UDP, Servidor de nombre de Dominio (DNS).
• En la Capa de Red permitirá direccionamiento IP
Versión 4, junto con todos sus algoritmos de
enrutamiento interno y externo.
• En la capa de transporte, se analizaran paquetes
UDP y TCP por separado, incluyendo la
normalización de sus sockets y puertos.
 DELIMITACION
METODOLOGICA
El proyecto de investigación esta basado en
el “Ciclo de vida del desarrollo de sistemas
(CVDS)”, apoyado en el método científico.
 ANTECEDENTES
INVESTIGATIVOS

• Software What’s Up
• Visual Route 8 Personal Edition
• Sniffer Ethereal , TCPdump y
• 3 COM Network Supervisor
 Evaluación del CVDS del Proyecto
de Investigación.
Identificar Situación Evaluar proyecto Conclusiones y
Actual
y Diseño UML Recomendaciones
Conoc. de
Evaluar Definición
los sistema
Impacto

Diagnostic. Diseño y Implementación

Desarrollo
Vulnerabilidades de redes orientadas a conectividad
Anti-Virus/Personal Firewall Firewall IDS VPN

• CODE RED
• SO BIG .F
• NIMBDA
• BLASTER
• SLAMMER
Branch/Remote Office

VPN

INTERNET

CORE SOHO/
Mobile Office

DMZ

Data
Center
 ¿De que nos Defendemos?
Analisis de la Situación Actual
60 a) 55% Error Humano
50 b) 2% Ataques externos
40 c) 20% Amenazas físicas
30 d) 10% Empleados
deshonestos
20
e) 9% Empleados
10
descontentos
0
a b c d e f f) 4% Virus informáticos
Fuente:Computer Security Institute
 ¿Cómo nos Defendemos?
• Políticas de seguridad integral entendidas y
aceptadas
• Administración consciente y bien calificada
• Administración de seguridad con poder
suficiente
• Educación de los usuarios
• Refuerzo de la seguridad interna
• Esquema de seguridad robusto por sí
mismo.
 Análisis de Vulnerabilidades
Diagnostico de la Situación Actual
• (Footprinting)Obtener Información
– Reconocimiento
– Escaneo de puertos
– Enumeración
• Técnicas Avanzadas
– Suplantación de Sesión
– Puertas traseras
– Trojanos
– Ingeniería Social
• Web Hacking
• El eslabón más débil de la cadena “El usuario”
FootPrinting (Obtención de
Información)
Reconocimiento del objetivo
• Reconocimiento por Internet
• Paso 1: Determinar el alcance de lo
que quiero hacer
• Paso 2: Enumerar la Red (whois,
IPS,PING, TRACE)
• Paso 3: Interrogar al DNS (Equipos,
Nombres)
• Paso 4: Reconocimiento de Red
(Proveedor, Conexiones)
Escaneo del Sitio desde la red Interna
Reporte de Vulnerabilidades
 Implementación de redes seguras
NetSight Policy Manager

Administración Centralizada
de Políticas de Seguridad

Política para
de Scanning
Empleado
Visitante
Quarentena
Telefonia IP

Infraestrutura
de Red

Visitante Switch o
Empleado
Usuário Estación de Trabajo
Access Point

Servicios de Red

SAP Filtered High Priority Dragon™

Assessment & Intrusion Detection NetSight Console
Email Filtered Low Priority Remeditation
Automated Security Manager
HTTP Rate Limited Server
Filtered
SNMP Filtered
Video Filtered
Filtered Alta Prioridad (QoS) Authentication Server
Voice Filtered Highest Priority & Rate Limited
con Limitaión de ancho de banda (anti-DOS)
El eslabón más débil de la cadena
el “usuario”
• Código Móvil Malicioso (Cuidado al
Navegar por Internet)
• ActiveX
• Java Security Holes
• Beware the Cookie Monster
• IE HTML Frame Vulnerabilities
• SSL Fraud
• Email Hacking (Cuidado con su correo)
• Ejecutar código arbitrario a través del
Email
• Gusanos del libro de direcciones de Outlook
• File Attachment Attacks
• Napster Hacking with Wrapster
VENTAJAS DEL PROYECTO DE
INVESTIGACION
 ESTADÍSTICAS DEL PROYECTO DE INVESTIGACION
72% del correo electrónico mundial es Spam
Fuente:Ironport, 2005.

Objetivos:
▪ Ganar Notoriedad
• Dañar empresas internacionales
• Recolectar datos (ratware, pictionary, spiders, crawlers)
• Cometer delitos (spoofing, pishing, etc.)
• Publicidad pagada por el usuarios y a costo mínimo para el emisor

Beneficios:
• De tipo económico
* Contratados por empresas
* Venta de datos
• Reconocimiento

¿POR QUÉ EXISTE?

ES UN NEGOCIO QUE GENERA PUBLICIDAD Y BENEFICIOS ECONÓMICOS
CASI SIN COSTO
¡¡¡¡UN SPAMMER PUEDE GANAR 8000 USD POR DÍA!!!!
Fuente: Reporte Resultados Reunión Busan, Task Force on Spam OECD, Septiembre 2005
RECOMENDACIONES FUTURAS
• Integración en ambientes distribuidos
(corba, rmi)
• IP next Generation (Internet 2)
• Ejecución de Tunneling entre
direccionamiento Versión 4 y 6
• Encaminamiento EGP y GGP (I2)
• QoS y DoS
 CONCLUSIONES
No desaparecen los riegos, pero se previenen y reducen sus consecuencias

Las amenazas informáticas avanzan con la tecnología

El combate a los riesgos informáticos y los delitos en línea requiere la acción
coordinada de todos los sectores sociedad, gobierno y empresas
Se requiere cooperación internacional y entre sectores.

En su combate se requiere unificar conceptos, definiciones y medidas

Se deben advertir las consecuencias de las amenazas informáticas en el

desarrollo de las telecomunicaciones
La solución no puede ser peor que el problema

Su combate no es materia de nueva legislación, sino de dar eficacia a la

existente y establecer medidas para la persecución y castigo de delitos

La información como usuarios nos permite elegir y autoprotegernos. Como

funcionarios genera educación, competencia y protección al desarrollo de las
comunicaciones en el país, resultando en mejores servicios.