Análisis y caracterización de herramientas de seguridad en un entorno empresarial y creación de nuevas firmas para detección y control de acceso a aplicaciones

Abstract

En este trabajo vamos a tratar sobre el análisis y caracterización de herramientas de seguridad, concretamente aquellas que se agrupan en distribuciones que consolidan módulos específicos de un entorno de seguridad en un entorno empresarial, como es el caso de Security Onion. Además, se realizarán firmas TLS y DNS para la detección y control de acceso a aplicaciones de redes sociales y proxys. El objetivo concreto es particularizar y extender el uso de estas herramientas para complementar la seguridad a los casos de comportamientos voluntarios de los usuarios inducidos por aplicaciones de uso común en dichos entornos. Se estudiarán los tipos de seguridad y el sistema de detección de intrusos(IDS) centrándonos en su clasificación, su funcionalidad y su arquitectura; además se estudiarán las herramientas IDS más utilizadas (Snort, Suricata, Bro, OSSEC). También se analizará la gestión de eventos con herramientas SIEM, en las que se encuentran Squert, Kibana, Snorby, Sguil, ELSA y Splunk. Llevaremos a cabo la instalación de Security Onion en modo evaluación, que es la forma más sencilla, y en una arquitectura de referencia de producción, en la que se configurarán varias máquinas, unas dispuestas como sonda y una de ellas realizando la función de máster. Esta última recolectará toda la información enviada desde de las máquinas que actúan como sondas. En este entorno de producción se establecerán las comunicaciones entre las máquinas sondas y el determinado como máster mediante túneles VPN, de forma que se garantice la seguridad de estos datos, altamente sensibles e importantes para los agentes maliciosos. Adicionalmente, se instalará un agente OSSEC en los ordenadores personales y servidores de la empresa para monitorizar todos los eventos que se sucedan en los mismos, como puede ser el hecho de que un usuario instale un programa o aplicación cuyo uso no esté permitido por la gerencia de la propia empresa. Como innovación de este proyecto se han implementado herramientas adicionales, como los sistemas de monitorización Trisul o Ntop, e integrándolas con Security Onion, se ha logrado disponer de un mayor control de los eventos que ocurren en la red empresarial que está siendo monitorizada. Finalmente, se han estudiado y analizado la creación de nuevas firmas TLS y DNS, inexistentes en las listas de firmas más habituales, y estandarizadas con las herramientas. Particularmente importante es la personalización de las mismas, que permite una adaptación refinada de la seguridad a las distintas tipologías de empresas, como se demostrará en los capítulos finales de este documento.

In this paper we will discuss the analysis and characterization of tools of security, specifically those that are grouped into distributions that consolidate specific modules of a security environment in a business environment, such as Security Onion. Also this will make TLS and DNS signatures for the detection and control of access to applications social networks and proxies. The specific objective is to particularize and extend the use of these tools to complement security to cases of voluntary behavior of users induced by common applications in such environments. The types of security and the intrusion detection system (IDS) will be studied focusing on their classification, functionality and architecture; In addition, the most used IDS tools will be studied (Snort, Suricata, Bro, OSSEC). The event management will also be analyzed with SIEM tools, which include Squert, Kibana, Snorby, Sguil, ELSA and Splunk. We will carry out the installation of Security Onion in evaluation mode, which is the simplest way, and in a production reference architecture, in which several machines will be confgured, some arranged as a probe and one of them performing the master function. The latter will collect all the information sent from the machines that act as probes. In this production environment, communications will be established between the machines probes and the one determined as a master through VPN tunnels, in such a way as to guarantee the security of these highly sensitive and important data for malicious agents. Additionally, it will install an OSSEC agent on personal computers and servers of the company to monitor all the events that occur in them, such as the fact that a user installs a program or application whose use is not allowed by the management of the own company. As an innovation of this project, additional tools have been implemented, such as the monitoring systems Trisul or Ntop, and integrating them with Security Onion, it has been possible to have Greater control of the events that occur in the business network that is being monitored. Finally, we have studied and analyzed the creation of new TLS and DNS signatures, nonexistent in the lists of most common signatures, and standardized with the tools. Particularly important is the personalization of the same, which allows a refined adaptation of the security to the different types of companies, as will be demonstrated in the final chapters of this document.