Blog del CCI

miércoles, 2 de diciembre de 2015

Proyecto de Ciberdefensa

Dentro del proyecto Fin de Máster del máster en Ciberseguridad desarrollado en la Universidad Carlos III de Madrid durante el curso académico 2014/15, se ha creado un sistema de Ciberdefensa sobre el que se han realizado una serie de ataques con el fin de comprobar su resiliencia o lo que es lo mismo, su capacidad de resistencia y respuesta antes estos ataques.

Dicho sistema de Ciberdefensa se ha construido y en una primera fase, en un entorno de laboratorio controlado basado en diversas máquinas virtuales gestionadas desde un entorno Citrix XenCenter. En un primer lugar, se ha instalado un sistema de información basado en tres redes (red Interna, red DMZ y red Externa) así como, un Firewall perimetral basado en software Ip-Tables, el cual hace también las funciones de enrutador de las tres redes anteriormente mencionadas y sobre el cual se han establecido una serie de reglas de filtrado de tráfico.

La red interna consta de varias máquinas virtuales de tipo cliente con sistemas operativos MS Windows 7 instalados, las cuales simulan los usuarios del entorno. La red DMZ tiene instalados varios servicios críticos de la organización, en concreto, dos servidores Linux con los servicios Samba y Web instalados. Por último, la red Externa cuenta con una máquina virtual MS Windows 7, denominada Auditora, desde la que se han desarrollado varios pentesting controlados con las aplicaciones OpenVas y Nessus, así como, una máquina con la versión Linux Debian KALI que hace las funciones de atacante del sistema.

Ilustración 1. Arquitectura de Red.    

Sobre este sistema de información, y en una segunda fase, se ha creado un sistema de Ciberdefensa basado en un servidor OSSIM AlienVault instalado en la red Interna, que hace las funciones de SIEM (Security Information and Event Management), varios agentes/sensores OSSEC HIDS (Host Intrusion Detection System) instalados tanto en los sistemas Windows como Linux de las distintas redes de la organización y, un NIDS (Network Intrusion Detection System) basado en Snort.




Ilustración 2. Sistema de Ciberdefensa. 



Tanto los sensores OSSEC, como el servicio Snort están configurados para enviar todos sus eventos al servidor OSSIM, el cual se encarga de procesar dichos eventos, monitorizar la red y alertar a los analizadores de seguridad en caso de detección de anomalías.

Por último, y en la tercera fase del proyecto, se ha realizado un ataque basado en sobre-estimulación con el fin de comprometer la disponibilidad del sistema y en consecuencia, poder lanzar más ataques sin ser detectados. Se pretende, por un lado, generar una cantidad ingente de falsos positivos (ataque DoS o Denial of Service), de forma que el administrador de seguridad que tenga que procesarlos quede abrumado y por otro, intentar atentar contra la disponibilidad del propio sistema mediante la consumición de sus recursos (típicamente, la capacidad de procesar nuevos eventos o la sobrecarga de la base de datos donde estos se almacenan).

Dicho ataque es realizado con la aplicación Inundator cuyo principal cometido consiste en parsear todas las reglas de Snort, generando una gran cantidad de paquetes que cuadren con dichas reglas, con el fin de sobre-estimular IDS Snort y hacer que salten todas las alarmas. Como Snort reporta todos sus eventos a OSSIM, la idea es sobrecargar a OSSIM de falsos positivos. Posteriormente, se lanza otro ataque que realmente genere una alerta real (correlación de escáner de puertos con Nmap seguido de varios accesos incorrectos con SSH), con el fin de determinar si dicha alerta real es procesada por nuestro SIEM o de lo contrario y debido a la inundación anterior, es incapaz de procesarla.

Tras el ataque, detectamos que el servidor OSSIM y debido a sus características técnicas es capaz de gestionar todas las alarmas (las falsas y verdaderas), por lo que concluimos que, sería necesario realizar un ataque de forma distribuida (DDoS) y desde varios equipos (Botnet), para lograr comprometer la disponibilidad del sistema.

Autor: Victor  Manuel Díaz 
Arquitecto de Ciberseguridad (THALES)
victor-manuel.diaz@thalesgroup.com

No hay comentarios :

Publicar un comentario en la entrada