52
To
n
o
Re
v
i
s
t
a
Téc
n
i
c
a
d
e
l
a
E
m
p
r
e
s
a
d
e
Te
l
ec
o
m
u
n
i
c
a
c
i
o
n
e
s
d
e
C
u
b
a
S
.
A
.
I
n
t
r
o
d
u
cc
i
ó
n
L
a
s
r
edes conectadas di
r
ectamente a
I
nte
r
net
r
eciben ataques continuamente [1].
Dichos ataques en su mayo
r
ía son ejecutados po
r
he
rr
amientas a
u
tomáticas
que bu
s
can identi
f
ica
r
máquinas que puedan se
r
comp
r
ometidas y utilizadas pos-
teriormente según los p
r
opósitos especí
f
icos de los atacantes. Como consecuen-
cia de este
f
lujo continuo de ataques, las
r
edes que no mantienen las medidas de
s
eguridad mínimas quedan comp
r
ometidas simplemente po
r
esta
r
conectadas a
Internet y pueden queda
r
a disposición del atacante.
Al conjunto de máquinas comp
r
ometidas y cont
r
oladas
r
emotamente po
r
un atacante
s
e le
s
llama Botnet
[
2
]
. Las Botnets son actualmente un negocio luc
r
ativo en Internet y
pueden se
r
vendidas a te
r
ce
r
as pa
r
tes con intenciones di
f
e
r
entes a los del atacante ori-
ginal [1
]
, po
r
ejemplo, pa
r
a
r
ealiza
r
ataques de denegación de se
r
vicios, ho
s
pedar con-
tenido malicioso como p
r
og
r
amas malignos, p
r
og
r
amas
f
alsos, o dist
r
ibución pirata de
contenidoin
f
o
r
mático,ent
r
eot
r
os.
Actualmente, en Cuba existen máquinas que
f
o
r
man pa
r
te de las Botnets, cu-
yas consecuencias técnicas y políticas son imp
r
evisibles. Desde el punto
de vista técnico, pueden impedi
r
el uso adecuado de l
o
s servicios
de
r
edes a nivel de ps; desde la pe
r
spectiva p
o
lítica, esas
máquinas pueden se
r
el o
r
igen de ataque
s
informáti-
cos hacia ot
r
os países. Aunque po
r
las limita-
ciones de ancho de banda no
s
omos una
r
ed at
r
activa desde la cual realizar
ataques intensos distribuidos,
las máquina
s
compro-
metida
s
pueden
utilizarse
para otros
f
i-
nes por parte
de los atacantes,
como el envío de correo
basu
r
a
[
1
]
.
A pesa
r
de que los p
r
oblemas an-
tes mencionados pueden mitigarse con la
implementacióndelasmedidasdeseguridaden
las
r
edes conectadas di
r
ectamente a
I
nternet, como
mantene
r
los sistemas actualizados, utiliza
r
cortafuegos y
a
r
quitectu
r
as segu
r
as de
r
edes, no son su
f
icientes. Hoy en día, el
hallazgo de nuevas vulne
r
abilidades es más
r
ápido que la capacidad
de
r
esolución de estas po
r
pa
r
te de los
f
ab
r
icantes de so
f
twa
r
e; y también se
ha conve
r
tido y extendido como un negocio luc
r
ativo
[
3
]
. Muchas de las vulne-
rabilida
d
es encont
r
adas son inte
r
cambiadas y vendidas ent
r
e las pa
r
tes interesadas sin
n
o
ti
f
ica
r
al
f
ab
r
icante del so
f
twa
r
e, y muchas de las noti
f
icadas ta
r
dan meses en
se
r
r
esueltas
[
4
]
.
Ante esta situación es imp
r
escindible int
r
oduci
r
e
n
las redes
el monito
r
eo con
S
istemas de Detección de Intrusos
I
ntrusion Detection System
(I
D
S)
[5]. El des-
pliegue de estos sistemas
r
equie
r
e recursos
de
r
edes y en algunos ambientes no
es
f
actible implementarlos,
po
r
ejemplo, en los
si
s
temas
M
onitor
e
o
e
id
e
ntificación
P
o
r
I
ng
. C
a
r
l
o
s
D
a
v
i
d
P
il
o
t
o
F
o
n
s
e
c
a
,
E
s
pe
c
i
a
li
st
a
de
l
G
r
u
p
o
de
R
ede
s
;
y
M
S
c
. N
e
l
s
o
n
W
illi
a
m
G
a
m
a
z
o
S
á
n
c
h
e
z
.
E
s
pe
c
i
a
li
st
a
P
r
i
n
c
i
p
a
l
de
l
G
r
u
p
o
de
R
ede
s
,
S
e
gu
r
m
á
t
i
c
a
c
a
r
l
o
s
@
s
e
gu
r
m
a
t
i
c
a
.
c
u
,
ng
a
m
a
z
o
@
s
e
gu
r
m
a
t
i
c
a
.
c
u
d
e
a
t
a
q
u
e
s
e
n
r
e
d
e
s
c
u
b
a
n
a
s
T
o
n
o
Re
v
i
s
t
a
Téc
n
i
c
a
d
e
l
a
E
m
p
r
e
s
a
d
e
Te
l
ec
o
m
u
n
i
c
a
c
i
o
n
e
s
d
e
C
u
b
a
S
.
A
.
53
arrendado
s
donde
s
olo un u
s
uario queda conectado a
I
nte
r
net y el p
r
oveedo
r
no ga
-
rantiza un monitoreo de lo
s
ataq
u
es en el t
r
á
f
ico del cliente, o en las
r
edes donde no
exi
s
ten lo
s
recur
s
o
s
nece
s
ario
s
tanto económicos como de pe
r
sonal pa
r
a mantene
r
el
ID
S
. E
s
por ello que, aunque exi
s
ten las he
rr
amientas pa
r
a
r
ealiza
r
un monito
r
eo de las
rede
s
,aniveldep
ss
iemprequeda
r
ánsistemassinmonito
r
ea
r
quepuedense
r
blanco
fácil para lo
s
atacante
s
.
E
s
te artículo da a conocer el u
s
o de un sistema de monito
r
eo de
r
edes implementado
en la Empre
s
a Cubana de
S
eguridad
I
n
f
o
r
mática
(S
egu
r
mática
)
, que puede se
r
utilizado a gran e
s
cala en la
s
redes cubanas pa
r
a detecta
r
sistemas com
-
prometido
s
y alertar tempranamente las máquinas que están
comprometida
s
y de
s
de la
s
cuales se
r
ealizan ataques.
Ademá
s
, permite conocer el e
s
tado actual de los
ataque
s
realizado
s
por rede
s
exte
r
nas ha
-
cia rede
s
cubana
s
.
El monitoreo con
s
tan-
te y el análi
s
i
s
del
trá
f
ico que circula
enla
s
rede
s
cubana
s
permite conocer lo
s
princi-
pale
s
vectore
s
de ataque que e
s
tá
n
s
iendo utilizado
s
y, a la vez, t
o
ma
r
las
medida
s
nece
s
aria
s
para mitigar estas amenazas,
ademá
s
permite a
S
egurmática identi
f
ica
r
indicios de p
r
o
-
pagación de programa
s
maligno
s
ent
r
e máquinas cubanas conec
-
tada
s
directamente a Internet. El
s
istema se nomb
r
a
S
istema Dist
r
ibuido
TAI
PS
-net[6]y,actualmente,monito
r
eacuat
r
opuntosenLaHabana,ubicados
en la Univer
s
idad de Ciencia
s
Info
r
mática, en el NA
P
de Cuba, en la CUJAE y en
S
egurmática.
El pre
s
ente trabajo de
s
cribe el Sistema Dist
r
ibuido TA
IPS-
net y sus componentes.
A
s
i
s
mi
s
mo,
s
e exponen
s
u
s
ventajas, desventajas y los mecanismos de clasi
f
icación y
correlación de t
f
ico.
F
inalmente, se muest
r
an los
r
esultados obtenidos en
f
o
r
ma de
e
s
tadí
s
tica
s
ba
s
ada
s
en lo
s
dato
s
r
ecogidos du
r
ante el tiempo de
f
uncionamiento del
s
i
s
tema.
P
r
i
n
c
i
p
a
l
e
s
c
a
r
a
c
t
e
r
í
st
i
c
a
s
de
l
S
i
st
e
m
a
D
i
st
r
i
b
u
i
d
o
T
A
I
P
S
-
n
e
t
El
S
i
s
tema Di
s
tribuido TAI
PS
-
n
et está
f
o
r
mado po
r
un se
r
vido
r
Pr
elude
[
7
]
y va
-
rio
s
s
en
s
ore
s
TAI
PS
-net [8]. La
f
igu
r
a 1 muest
r
a un esquema gené
r
ico del mismo.
F
i
gu
r
a
1
S
i
st
e
m
a
D
i
st
r
i
b
u
i
d
o
T
A
I
P
S
-
n
e
t
(
F
u
e
n
t
e
:
e
l
a
b
o
r
a
c
i
ó
n
p
r
o
p
i
a
)
.
54
To
n
o
Re
v
i
s
t
a
Téc
n
i
c
a
d
e
l
a
E
m
p
r
e
s
a
d
e
Te
l
ec
o
m
u
n
i
c
a
c
i
o
n
e
s
d
e
C
u
b
a
S
.
A
.
Lo
s
s
en
s
ore
s
TAI
PS
-net
s
on los enca
r
gados de
r
ecolecta
r
y clasi
f
ica
r
el t
r
á
f
ico de
r
ed
y tienen la funcionalidad de p
o
tes de miel
[
6
]
que les pe
r
mite la captu
r
a de p
r
og
r
amas
maligno
s
. A
s
u vez, e
s
to
s
s
e
n
so
r
es envían todos los eventos
r
ecolectados hacia un
s
ervidor central —un
s
i
s
tema llamado
Pr
elude—, donde se
r
eciben y almacenan. Esto
permite acceder a toda la información
r
ecolectada de
f
o
r
ma cent
r
alizada.
La información enviada al se
r
vido
r
cent
r
al está
f
o
r
mada po
r
las di
r
ecciones
IP
,
lo
s
puerto
s
fuente y el de
s
tin
o
del t
r
á
f
ico monito
r
eado. También se envían las ale
r-
ta
s
generada
s
por el ID
S
[6] en los senso
r
es TA
IPS-
net, la cantidad de conexiones
iniciada
s
y la información de desca
r
ga de nuevos p
r
og
r
amas malignos.
Lo
s
programa
s
maligno
s
captu
r
ados son compa
r
tidos con el p
r
oyecto MWCollect que
tiene
s
u
s
s
en
s
ore
s
ubicado
s
en di
f
e
r
entes
r
egiones geog
r
á
f
icas del mundo. Esta colabo
-
racnpermiteaccederatodalain
f
o
r
maciónyalosp
r
og
r
amasmalignoscaptu
r
adospo
r
lo
s
s
en
s
ore
s
de
M
WCollect,
s
iendo una
f
uente impo
r
tante de obtención de p
r
og
r
amas
maligno
s
para nue
s
tra Empre
s
a. En la
f
igu
r
a 2 se p
r
esenta la cantidad de p
r
og
r
amas
maligno
s
de
s
cargado
s
por
S
egu
r
tica desde MWCollect, puede ap
r
ecia
r
se que en
un período de 7 me
s
e
s
aproximadamente se han obtenido al
r
ededo
r
de 8200 muest
r
as.
Aunquelacantidaddemue
s
trasespoca,suvalo
rr
adicaenquesonp
r
og
r
amasmalignos
que e
s
n activo
s
y propagándose po
r
las
r
edes de distintos países.
A continuación
s
e de
s
cribe el senso
r
TA
IPS-
net, el sistema
Pr
elude, las ventajas
y de
s
ventaja
s
del
s
i
s
tema di
s
t
r
ibuido TA
IPS-
net, así como las ca
r
acte
r
ísticas del
de
s
pliegue de e
s
te
s
i
s
tema en
S
egu
r
mática.
D
e
s
c
r
i
p
c
i
ó
n
de
l
s
i
st
e
m
a
T
A
I
P
S
-
n
e
t
ElTAI
PS
-nete
s
unaherramientadecódigoabie
r
todesa
rr
olladapo
rS
egu
r
máticabajo
la licencia G
P
Lv2. E
s
una combinación de los p
r
oyectos Honeywall
[
9
]
y Nepenthes
[10] con el objetivo fundamental de integ
r
a
r
potes de miel de baja inte
r
accn con
f
un
-
cionalidad ID
S
/I
PS
, captura y análisis de t
r
á
f
ico en una sola computado
r
a. Una de las
caracte
s
tica
s
di
s
tintiva
s
de TA
IPS-
net con
r
especto al p
r
oyecto o
r
iginal es la adición
al
s
i
s
tema de la funcionalidad de captu
r
a de p
r
og
r
amas malignos.
El de
s
pliegue de
s
en
s
ore
s
T
AIPS-
net pe
r
mite conoce
r
el estado de las
r
edes a g
r
an
e
s
cala y detectar a tiempo actividad maliciosa, pe
r
o no cuenta con un sistema dist
r
i
-
buido de recoleccn de alertas que
f
acilite el análisis de la in
f
o
r
mación gene
r
ada po
r
e
s
to
s
de forma centralizada. Con este objetivo se le adiciona al TA
IPS-
net la
f
unciona
-
lidad de integrar
s
e con
P
relude
[
6
]
.
D
e
s
c
r
i
p
c
i
ó
n
de
l
s
i
st
e
m
a
P
r
e
l
u
de
P
relude e
s
una herramienta
I
D
S
híb
r
ida que pe
r
mite el análisis cent
r
alizado de la
información proveniente de múltiples sistemas de segu
r
idad.
P
osee ca
r
acte
r
ísticas
que lo hacen idóneo para
s
u uso en este sistema:
F
i
gu
r
a
2
P
r
o
g
r
a
m
a
s
m
a
li
gn
o
s
de
M
W
C
o
ll
e
c
t
(
F
u
e
n
t
e
:
e
l
a
b
o
r
a
c
i
ó
n
p
r
o
p
i
a
)
.
T
o
n
o
Re
v
i
s
t
a
Téc
n
i
c
a
d
e
l
a
E
m
p
r
e
s
a
d
e
Te
l
ec
o
m
u
n
i
c
a
c
i
o
n
e
s
d
e
C
u
b
a
S
.
A
.
55
Š
Utiliza el e
s
tándar de
F
ormato de
I
nte
r
cambio de Mensajes de Detección de
Intru
s
ione
s
Int
r
u
s
ion Detection
M
essage Exchange Format
(I
DME
F)
,
que le permite a lo
s
diferentes tipos de senso
r
es gene
r
a
r
sus eventos con
el u
s
o de un formato uni
f
icado
[
11
]
.
Š
E
s
tá de
s
arrollado bajo la licencia G
P
L lo que pe
r
mite la
r
eutilización,
modi
f
icación y di
s
tribución del código.
Š
Cuenta con una interfaz Web,
Pr
ewikka, que pe
r
mite accede
r
a la in
f
o
r-
mación recolectada de mane
r
a cómoda pa
r
a el usua
r
io del sistema.
Š
P
ermite el envío de correo
s
con las ale
r
tas gene
r
adas de
f
o
r
ma con
f
igu
-
rable.
Š
E
s
tolerante a fallo
s
. Guar
d
a toda la in
f
o
r
mación
r
ecolectada en caso de
haber problema
s
de conecti
v
idad con el se
r
vido
r
cent
r
al y la
r
eenvía una
vez re
s
tablecida la mi
s
ma.
Š
El intercambio de men
s
ajes ocu
rr
e a t
r
avés de una conexión TL
S
Tr
an
s
po
r
t
L
aye
r
Secu
r
ity compactada y ci
fr
ada que ga
r
antiza la in
-
tegridad y con
f
idencialidad de los datos que se envían.
La integración del
s
i
s
tema
P
relude con el TA
IPS-
net le b
r
inda al sistema dist
r
i
-
buido mucha
s
ventaja
s
, pero a pesa
r
de esto posee algunas de
f
iciencias.
V
e
n
t
a
j
a
s
y
de
s
ve
n
t
a
j
a
s
de
l
S
i
st
e
m
a
D
i
st
r
i
b
u
i
d
o
T
A
I
P
S
-
n
e
t
El
S
i
s
tema Di
s
tribuido TAI
P
S
-
net posee muchas ventajas que lo hacen idóneo
para el control de ataque
s
en las
r
edes ya que pe
r
mite monito
r
ea
r
y analiza
r
el
trá
f
ico de forma centralizada a t
r
avés de una inte
rf
az Web y aho
rr
a
r
tiempo al
anali
s
ta debido a que no tiene que
r
evisa
r
los senso
r
es individualmente. Al envia
r
toda la información recolectada hacia un se
r
vido
r
cent
r
al se evita que esta se pie
r-
da en ca
s
o de
s
er comprometido un TA
IPS-
net o de p
r
esenta
r
p
r
oblemas técnicos
como la rotura del hardware de la máquina. La posibilidad de
r
ecibi
r
dete
r
minadas
alerta
s
por correo electrónico, hace posible en
f
oca
r
el t
r
abajo en las ale
r
tas p
r
io
r
ita
r
ias.
También permite conocer el e
s
tado de cada uno de los senso
r
es TA
IPS-
net en tiempo
real.
Al e
s
tar di
s
tribuido en varia
s
redes o
fr
ece una visión global de los ataques monito
r
ea
-
do
s
pue
s
s
e recolecta má
s
información y en escena
r
ios di
f
e
r
entes.
Otra de la
s
ventaja
s
del
s
i
s
tema es que las ale
r
tas se envían ci
fr
adas hacia el se
r-
vidor central, lo cual impide que esta in
f
o
r
mación sea accesible a te
r
ce
r
as pe
r
sonas
con
f
ine
s
malicio
s
o
s
.
Ademá
s
, el co
s
to de de
s
plegar senso
r
es TA
IPS-
net es
r
elativamente bajo po
r
que
s
e pueden utilizar máquina
s
con bajas p
r
estaciones.
A pe
s
ar de la
s
ventaja
s
, el
s
i
s
tema posee algunas de
f
iciencias o ca
r
encias que son
nece
s
aria
s
corregir para lograr mejo
r
ap
r
ovechamiento del mismo.
P
o
r
ejemplo,
el trá
f
ico capturado e
s
s
in clasi
f
ica
r
se y, pa
r
a conoce
r
los detalles del ataque, el
anali
s
ta debe e
s
tudiar el trá
f
ico captu
r
ado po
r
los senso
r
es TA
IPS-
net. Una vez
analizado un ataque no queda constancia; entonces, si se
r
epite, hay que
r
ealiza
r
nuevamente el proce
s
o, por lo que es imposible el mantenimiento del sistema de
forma manual.
P
or otra parte, el
s
i
s
tema
P
relude no analiza de
f
o
r
ma automática los eventos
recolectado
s
, por ejemplo, la procedencia de los ataques, los ataques dist
r
ibuidos,
entre otro
s
.
De aquí
s
urge la nece
s
idad de clasi
f
ica
r
todo el t
r
á
f
ico captu
r
ado e implementa
r
un mecani
s
mo con el cual
s
e pudie
r
an investiga
r
los eventos automáticamente
correlacionando diferente
s
alertas. A continuación se desc
r
ibe el sistema comple
-
to, cómo funciona actualmente y las con
f
igu
r
aciones necesa
r
ias pa
r
a elimina
r
las
de
s
ventaja
s
.
56
To
n
o
Re
v
i
s
t
a
Téc
n
i
c
a
d
e
l
a
E
m
p
r
e
s
a
d
e
Te
l
ec
o
m
u
n
i
c
a
c
i
o
n
e
s
d
e
C
u
b
a
S
.
A
.
E
l
S
i
st
e
m
a
D
i
st
r
i
b
u
i
d
o
T
A
I
P
S
-
n
e
t
de
S
e
gu
r
m
á
t
i
c
a
La empre
s
a
S
egurmática ha desplegado y explotado este sistema. En la actuali
-
dad e
s
formado por cuatro senso
r
es TA
IPS-
net ubicados en di
f
e
r
entes
r
edes del
paí
s
y un
s
ervidor central. En la
f
igu
r
a 3 se
r
ep
r
esenta esta dist
r
ibución.
F
i
gu
r
a
3
S
i
st
e
m
a
D
i
st
r
i
b
u
i
d
o
T
A
I
P
S
-
n
e
t
de
S
e
gu
r
m
á
t
i
c
a
(
F
u
e
n
t
e
:
e
l
a
b
o
r
a
c
i
ó
n
p
r
o
p
i
a
)
.
Lo
s
evento
s
recolectado
s
po
r
S
egu
r
mática ca
r
ecían de la in
f
o
r
mación necesa
r
ia
para que el análi
s
i
s
de lo
s
ataques se
r
ealiza
r
a de mane
r
a sencilla y
r
ápida.
P
o
r
ejemplo, aunque
s
e conocían cuáles e
r
an los p
r
otocolos que estaban siendo ataca
-
do
s
, no
s
e podia identi
f
icar mediante la simple inspección visual de las ale
r
tas el
tipo de ataque que
s
e utiliza
b
a en cada caso.
El de
s
conocimiento del tipo de ataque di
f
iculta y demo
r
a el análisis de los mis
-
mo
s
, de aquí la nece
s
idad de clasi
f
ica
r
el t
r
á
f
ico monito
r
eado de
f
o
r
ma automáti
-
ca.
C
l
a
s
i
f
i
c
a
c
i
ó
n
de
t
r
á
f
i
c
o
La principal ventaja de conta
r
con un t
r
á
f
ico clasi
f
icado es que se evita su análisis
reiterado, por lo que lo
s
e
s
pecialistas pueden en
f
oca
r
sus es
f
ue
r
zos en el estudio de
lo
s
nuevo
s
ataque
s
recibido
s
. Una vez
r
ealizada esta ope
r
ación, queda documenta
-
do e implementado el análi
s
is en la misma clasi
f
icación . En este sistema hay dos
forma
s
de cla
s
i
f
icar el trá
f
ico:
Š
P
or el protocolo utilizad
o
Š
P
or el ataque
C
l
a
s
i
f
i
c
a
c
i
ó
n
s
e
gún
e
l
p
r
o
t
o
c
o
l
o
El objetivo de la cla
s
i
f
icación del t
r
á
f
ico según el p
r
otocolo es conoce
r
los p
r
oto
-
colo
s
a nivel de aplicación que están siendo atacados y obtene
r
estadísticas de los
mi
s
mo
s
. A continuación
s
e explica cómo se
r
ealiza este p
r
oceso en el sistema.
En lo
s
s
en
s
ore
s
TAI
PS
-net se obtiene la in
f
o
r
macn detallada de los
f
lujos de
dato
s
que circulan por el
s
i
s
tema con la he
rr
amienta A
r
gus, que es un analizado
r
de
trá
f
icoderedentiemporeal.Pa
r
aenvia
r
losdatosdeA
r
gushaciaelse
r
vido
rPr
elude
e
s
nece
s
ario utilizar una herramienta llamada
r
ap
r
elude, enca
r
gada de conve
r
ti
r
la
T
o
n
o
Re
v
i
s
t
a
Téc
n
i
c
a
d
e
l
a
E
m
p
r
e
s
a
d
e
Te
l
ec
o
m
u
n
i
c
a
c
i
o
n
e
s
d
e
C
u
b
a
S
.
A
.
57
información al formato corre
s
pondiente y envia
r
la al se
r
vido
r
cent
r
al. El
r
ap
r
elude
cla
s
i
f
icaeltrá
f
icomediantereglassencillasquesolotienenencuentalospue
r
tosyel
protocolo de tran
s
porte.
P
ara crea
r
estas
r
eglas se utiliza la lista de los pue
r
tos “bien
conocido
s
y regi
s
trado
s
s
egún la Agencia de Asignacn de Núme
r
os de
I
nte
r
net
Inte
r
net A
ss
igned Numbe
rs
Authority
(I
ANA
)
.
S
i no exi
s
te una regla para cla
s
i
f
ica
r
un dete
r
minado t
r
á
f
ico, se gene
r
a una ale
r
ta
de trá
f
ico
d
e re
d
d
e
s
co
n
oci
d
o. En la
f
igu
r
a 4 se obse
r
van los eventos gene
r
ados
por raprelude.
S
i bien e
s
importante conocer el tipo de t
r
á
f
ico involuc
r
ado en un ataque, tam
-
bién e
s
impre
s
cindible conocer el objetivo del ataque.
C
l
a
s
i
f
i
c
a
c
i
ó
n
s
e
gún
e
l
a
t
a
q
u
e
Deformageneral,laidenti
f
icacióndeataquescont
r
auna
r
edse
r
ealizausando
I
D
S
.No
ob
s
tante, el objetivo primario e
s
mantene
r
un conjunto de
r
eglas que identi
f
iquen los ata
-
que
s
ynogenerenfal
s
o
s
po
s
itivo
sq
ueale
r
tenalosadminist
r
ado
r
esde
f
o
r
mainnecesa
r
ia.
E
s
to pre
s
upone la exi
s
tencia de un t
r
á
f
ico que necesa
r
iamente no constituye ataque, como
e
s
lanavegacióndelo
s
u
s
uario
s
dela
r
ed,elt
r
á
f
icoenlosse
r
viciosexte
r
nospublicados,
etc.
S
inembargo,alo
s
efecto
s
denuest
r
osistemadondeexistensenso
r
esquenoo
fr
ecen
s
ervicio
s
a lo
s
u
s
uario
s
, e
s
natural conside
r
a
r
que todo el t
r
á
f
ico que llega hacia ellos es
maligno o con
s
tituye parte de un ataque.
P
o
r
ejemplo, un simple uso del p
r
otocolo
I
CM
P
Inte
r
net Cont
r
ol Me
ss
age P
r
ot
o
col puede esta
r
o
r
iginado po
r
un sistema com
-
prometido que realiza identi
f
icación de sistemas de
f
o
r
ma automática.
P
o
r
lo tanto, es
importante
s
aber dentro del protocolo
I
CM
P
cuándo se está e
f
ectuando este tipo de acti
-
vidadmalignayde
s
dedónde,
s
intene
r
queanaliza
r
cadaunodelost
r
á
f
icosp
r
ovenientes
de vario
s
s
en
s
ore
s
. La cla
s
i
f
icación basada en el ataque pa
r
a el
S
istema que se desc
r
ibe
en e
s
te trabajo con
s
i
s
te en con
s
idera
r
como maligno todo el t
r
á
f
ico que llega a los senso
-
re
s
. A partir de e
s
a con
s
ideración, el objetivo es identi
f
ica
r
de mane
r
a p
r
ecisa cuál es el
ataque realizado y de
s
de qué lugar se hizo, sin tene
r
que acudi
r
al contenido inte
r
no de
lo
s
paquete
s
una y otra vez.
La cla
s
i
f
icación del trá
f
ico en los senso
r
es TA
IPS-
net se
r
ealiza con la combi
-
nación de do
s
funcionalidade
s
existentes en el sistema dist
r
ibuido: las
r
eglas de
F
i
gu
r
a
4
C
l
a
s
i
f
i
c
a
c
i
ó
n
de
l
t
r
á
f
i
c
o
s
e
gún
e
l
p
r
o
t
o
c
o
l
o
(
F
u
e
n
t
e
:
e
l
a
b
o
r
a
c
i
ó
n
p
r
o
p
i
a
)
.
58
To
n
o
Re
v
i
s
t
a
Téc
n
i
c
a
d
e
l
a
E
m
p
r
e
s
a
d
e
Te
l
ec
o
m
u
n
i
c
a
c
i
o
n
e
s
d
e
C
u
b
a
S
.
A
.
identi
f
icacióndeataque
s
del
S
no
r
t
[
12
]
yla
f
uncionalidaddeco
rr
elacióndeale
r
tasdel
P
relude. Al coordinar e
s
ta
s
do
s
f
uncionalidades es posible clasi
f
ica
r
di
f
e
r
entes ataques
que utilizan un mi
s
mo protocolo y, a la vez, identi
f
ica
r
todos los puntos monito
r
eados
que reciben e
s
te tipo de ataque. La ventaja
f
undamental de este mecanismo es que
mediante la con
f
iguración del sistema se obtiene in
f
o
r
mación de los ataques, sin nece
-
s
idad de hacerle cambio
s
de
s
de el punto de vista de desa
rr
ollo.
M
o
t
o
r
de
c
o
rr
e
l
a
c
i
ó
n
P
relude-Correlator e
s
un moto
r
de co
rr
elación basado en
r
eglas esc
r
itas en
P
ython
[13]. Tiene la capacidad de conecta
r
se y obtene
r
las ale
r
tas de un se
r
vido
r
Pr
elude
y correlacionarla
s
a partir del conjunto de
r
eglas con
f
igu
r
adas, c
r
eando nuevas
alerta
s
ID
M
E
F
de correlaci
ó
n. Esta p
r
estación
f
acilita el t
r
abajo de los especia
-
li
s
ta
s
,
s
iendo
s
imple, rápido y más incisivo. Además, pe
r
mite en
f
oca
r
se con g
r
an
e
f
iciencia en lo
s
evento
s
de segu
r
idad más impo
r
tantes.
S
u
s
funcionalidade
s
s
on:
Š
Rápida identi
f
icación de los eventos de segu
r
idad impo
r
tantes, lo que pe
r-
mite al anali
s
ta a
s
ignar prio
r
idades a las ta
r
eas.
Š
Correlación de alerta
s
p
r
ovenientes de di
f
e
r
entes senso
r
es desplegados en
vario
s
e
s
cenario
s
.
Š
Análi
s
i
s
automático y en tiempo
r
eal de los eventos
r
ecibidos po
r
Pr
elude.
La principal utilidad de e
s
te componente es que a t
r
avés de las potentes
r
eglas
que
s
e pueden crear para el análisis de los di
f
e
r
entes eventos, se log
r
a g
r
an
f
lexibi
-
lidad en cuanto a
s
u u
s
o, en dependencia solamente de las necesidades del analista
que utiliza e
s
te
s
i
s
tema. En la
f
igu
r
a 5 se muest
r
an algunas ale
r
tas de co
rr
elación.
F
i
gu
r
a
5
A
l
e
r
t
a
s
de
c
o
rr
e
l
a
c
i
ó
n
(
F
u
e
n
t
e
:
e
l
a
b
o
r
a
c
i
ó
n
p
r
o
p
i
a
)
.
R
e
s
u
l
t
a
d
o
s
En el
S
i
s
tema Di
s
tribuido TA
IPS-
net explotado po
r
S
egu
r
mática se clasi
f
ica la
mayor parte del trá
f
ico que
s
e
r
ecibe. Esto pe
r
mite obtene
r
estadísticas de los ata
-
que
s
s
frecuente
s
a la
s
redes cubanas, así como los p
r
otocolos más usados. La
f
igura 6 mue
s
tra la di
s
tribución de ataques clasi
f
icados en un mes mient
r
as que la
f
igura 7 expone lo
s
protocolos utilizados.
T
o
n
o
Re
v
i
s
t
a
Téc
n
i
c
a
d
e
l
a
E
m
p
r
e
s
a
d
e
Te
l
ec
o
m
u
n
i
c
a
c
i
o
n
e
s
d
e
C
u
b
a
S
.
A
.
59
La mayoría de lo
s
ataque
s
s
o
n
de pue
r
tos
S
EG
P
o
r
t
S
can” escaneados
(F
igu
r
a
6). E
s
to
s
e debe a que, generalmente, los atacantes utilizan he
rr
amientas automá
-
tica
s
para e
s
canear ma
s
ivamente los pue
r
tos y una vez obtenida esta in
f
o
r
mación
tratan de explotar lo
s
s
ervicio
s
vulne
r
ables encont
r
ados. En la
f
igu
r
a 7 se obse
r
va
la reducción a un 30% del trá
f
ico desconocido. Además, ent
r
e los p
r
otocolos más
atacado
s
s
e pueden ob
s
ervar lo
s
relacionados con la implementación del p
r
otocolo
SM
B Se
r
ve
r
Me
ss
age Block de Mic
r
oso
f
t, debido a la cantidad de vulne
r
a
-
bilidade
s
que ha tenido en la
s
v
e
r
siones ante
r
io
r
es de Windows
[
3
]
, siendo un
objetivo atractivo para lo
s
atacantes.
Lo
s
ataque
s
s
e repiten con
s
tantemente, po
r
lo tanto, la mayo
r
ía de estos están
cla
s
i
f
icado
s
, lo que permite a los analistas no pe
r
de
r
tiempo en el análisis del
mi
s
mo ataque.
Con el motor de correlación
s
e c
r
ea
r
on dos
r
eglas a
f
in de detecta
r
el t
r
á
f
ico no
cla
s
i
f
icado y lo
s
ataque
s
provenientes de
r
edes cubanas. En la
f
igu
r
a 8 se
r
ep
r
esen
-
tan la
s
alerta
s
generada
s
con e
s
tas dos
r
eglas.
F
i
gu
r
a
6
A
t
a
q
u
e
s
r
e
c
i
b
i
d
o
s
e
n
un
m
e
s
(
F
u
e
n
t
e
:
e
l
a
b
o
r
a
c
i
ó
n
p
r
o
p
i
a
)
.
F
i
gu
r
a
7
P
r
o
t
o
c
o
l
o
s
a
t
a
c
a
d
o
s
e
n
un
m
e
s
(
F
u
e
n
t
e
:
e
l
a
b
o
r
a
c
i
ó
n
p
r
o
p
i
a
)
.
60
To
n
o
Re
v
i
s
t
a
Téc
n
i
c
a
d
e
l
a
E
m
p
r
e
s
a
d
e
Te
l
ec
o
m
u
n
i
c
a
c
i
o
n
e
s
d
e
C
u
b
a
S
.
A
.
La creación de e
s
ta
s
regla
s
s
upone g
r
andes ventajas al sistema y mitiga algunas de las
de
f
iciencia
s
del mi
s
mo. La regla que detecta el t
r
á
f
ico no clasi
f
icado pe
r
mite conoce
r
de forma automática
s
i el trá
f
ico no está clasi
f
icado según el ataque, pe
r
mitiéndole a los
anali
s
ta
s
enfocar
s
e en lo
s
nuevos ataques
r
ecibidos. La
r
egla de detección de los ataques
proveniente
s
de Cuba permite tene
r
un monito
r
eo en tiempo
r
eal de las
IP
cubanas que
e
s
n
s
iendo utilizada
s
como plata
f
o
r
ma de ataques hacia
r
edes ubicadas en Cuba y hacia
rede
s
externa
s
.
F
i
gu
r
a
8
R
e
g
l
a
s
de
c
o
rr
e
l
a
c
i
ó
n
(
F
u
e
n
t
e
:
e
l
a
b
o
r
a
c
i
ó
n
p
r
o
p
i
a
)
.
F
i
gu
r
a
9
T
r
á
f
i
c
o
n
o
c
l
a
s
i
f
i
c
a
d
o
(
F
u
e
n
t
e
:
e
l
a
b
o
r
a
c
i
ó
n
p
r
o
p
i
a
)
.
T
o
n
o
Re
v
i
s
t
a
Téc
n
i
c
a
d
e
l
a
E
m
p
r
e
s
a
d
e
Te
l
ec
o
m
u
n
i
c
a
c
i
o
n
e
s
d
e
C
u
b
a
S
.
A
.
6
1
El
s
i
s
tema permite enviar la
s
alerta
s
por correo. Lo
s
analistas solo tienen que
r
evi
-
s
a
r
su
correo para conocer el trá
f
ico no cla
s
i
f
icado que está llegando a los senso
r
es
TAIPS-net y la
s
I
P
cubana
s
que e
s
tán realizando ataque
s
. En estos co
rr
eos se encuen
-
t
r
a la mi
s
ma información que e
s
acce
s
ible por la interfaz Web de las ale
r
tas gene
r
adas
(Figura
s
9 y 10).
C
o
n
c
l
u
s
i
o
n
e
s
F
i
gu
r
a
10
T
r
á
f
i
c
o
de
s
de
I
P
c
u
b
a
n
a
s
(
F
u
e
n
t
e
:
e
l
a
b
o
r
a
c
i
ó
n
p
r
o
p
i
a
)
.
R
e
f
e
r
e
n
c
i
a
s
b
i
b
li
o
g
r
á
f
i
c
a
s
[
1
]
S
o
p
h
o
s
G
r
o
u
p
.
S
e
c
u
r
i
t
y
T
h
r
e
a
t
R
e
p
o
r
t
:
2010
.
I
n
fo
r
m
e
t
é
c
n
i
co
.
B
u
r
li
n
g
t
o
n
,
E
s
t
a
d
o
s
U
n
i
d
o
s
,
e
n
e
r
o
,
2010
.
h
tt
p
://
www
.
s
o
p
ho
s
.
c
o
m
/
e
n-u
s
/
s
e
c
u
ri
t
y
-n
e
w
s
-
t
r
e
n
d
s
/
w
h
i
t
e
p
a
p
e
r
s
/
g
a
t
e
d
-
w
p
/
s
o
p
ho
s
-
s
e
c
u
ri
t
y
-
t
h
r
e
a
t
-
r
e
p
o
r
t
-
j
a
n-
2010
-
w
p
n
a
.
a
s
p
x
(
a
cc
e
s
o
:
f
e
b
r
e
r
o
10
,
2010
)
.
[
2
]
C
h
a
m
p
C
l
a
r
k
III
(
D
a
B
e
a
v
e
)
e
t
a
l
.
I
n
f
o
s
e
-
c
u
ri
t
y
2008
t
h
r
e
a
t
a
n
al
y
s
i
s
.
E
U
A
:
E
ls
e
v
i
e
r
,
I
n
c
.
,
2008
,
pp
.
25-63
,
2007
.
h
tt
p
://
www
.
v
o
i
c
e
i
p
.
c
o
m
.
u
a
/
li
t
/
S
y
n
g
r
e
ss
.
I
n
f
o
S
e
c
u
ri
t
y
.
2008
.
T
h
r
e
a
t
.
A
n
al
y
s
i
s
.
N
o
v
.
2007
.
p
df
(
a
cc
e
s
o
:
m
a
r
z
o
,
21
,
2010
)
.
[
3
]
S
u
tt
o
n
,
M
.
a
n
d
F
.
N
a
g
l
e
.
E
m
e
r
g
i
n
g
E
co
n
om
i
c
M
o
d
e
ls
fo
r
Vu
l
n
e
r
a
b
ili
t
y
R
e
s
e
a
r
c
h
.
F
i
f
t
h
W
o
r
k
s
h
o
p
o
n
t
h
e
E
co
n
om
i
c
s
of
I
n
fo
r
m
a
-
t
i
o
n
S
e
c
u
r
i
t
y
(
W
E
I
S
)
,
U
n
i
v
e
r
si
t
y
of
C
a
m
b
r
i
d
g
e
,
E
n
g
l
a
n
d
,
2006
.
[
4
]
D
e
l
o
s
S
a
n
t
o
s
,
J
o
r
g
e
.
¿
C
u
á
n
t
o
t
a
r
d
a
n
l
o
s
g
r
a
n
d
e
s
f
a
b
r
i
c
a
n
t
e
s
d
e
s
of
t
w
a
r
e
e
n
a
rr
e
g
l
a
r
un
a
v
u
l
n
e
r
a
b
ili
d
a
d?
.
E
s
p
a
ñ
a
,
j
u
li
o
2011
.
h
tt
p
://
www
.
h
i
s
p
a
s
e
c
.
c
o
m
/
la
b
o
ra
t
o
ri
o
/
H
i
s
p
a
s
e
c
_
E
st
u-
d
i
o
_
V
u
l
n
e
ra
b
ili
d
a
d
e
s
_
v
2
.
p
df
.
(
a
cc
e
s
o
:
a
g
o
s
t
o
22
,
2011
)
.
[
5
]
E
n
d
o
r
f
,
C
a
r
l
;
S
c
hu
l
t
z
,
E
u
g
e
n
e
y
M
e
ll
a
n
-
d
e
r
,
J
i
m
.
I
n
t
r
u
s
i
on
D
e
t
e
c
t
i
on
&
P
r
e
v
e
n
t
i
on
.
1
s
t
e
d
.
E
U
A
:
M
c
G
r
a
w
-
H
ill
/
O
s
b
o
r
n
e
,
2004
,
pp
.
3-22
.
[
6
]
S
á
n
c
h
e
z
L
e
y
v
a
,
P
.
J
.
S
is
t
e
m
a
c
e
n
t
r
a
li
z
a
-
d
o
p
a
r
a
l
a
r
e
co
l
e
cc
i
ó
n
d
e
a
l
e
r
t
a
s
d
e
s
e
n
s
o
r
e
s
T
A
I
P
S
-
n
e
t
.
T
e
sis
d
e
G
r
a
d
o
,
I
n
s
t
i
t
u
t
o
S
u
p
e
r
i
o
r
P
o
li
t
é
c
n
i
co
J
o
s
é
A
n
t
o
n
i
o
E
c
h
e
v
e
rr
í
a
,
C
i
u
d
a
d
d
e
L
a
H
a
b
a
n
a
,
2008
.
[
7
]
V
a
n
d
oo
r
s
e
l
a
e
r
e
,
Y
.
e
t
a
l
.
P
r
e
l
u
d
e
0
.
9
H
a
n
d
b
oo
k
.
pp
.
2-7
,
2007
.
[
8
]
G
a
m
a
z
o
,
N
.
W
.
y
L
o
d
o
s
,
J
.
T
A
I
P
S
-
n
e
t
:
Pr
o
p
u
e
s
t
a
d
e
S
e
g
u
r
m
á
t
i
c
a
.
C
on
v
e
n
c
i
ón
I
n
t
e
r
-
n
a
c
i
on
al
s
o
b
r
e
T
e
c
no
l
o
g
ía
s
d
e
la
I
n
f
o
r
m
a
c
i
ón
y
S
e
r
v
i
c
i
o
s
T
e
l
em
á
t
i
c
o
s
,
C
I
T
M
A
T
E
L
,
L
a
H
a
b
a
n
a
,
C
u
b
a
,
2007
.
[
9
]
H
o
n
e
y
n
e
t
Pr
o
j
e
c
t
.
K
no
w
Y
ou
r
E
n
em
y
:
Le
ar
n
i
n
g
a
b
ou
t
S
e
c
u
ri
t
y
T
h
r
e
a
ts
.
2
n
d
e
d
.
B
o
s
t
o
n
:
A
dd
is
o
n
-
W
e
sl
e
y
,
2004
,
pp
.
208-211
.
[
10
]
B
a
e
c
h
e
r
,
P
.
e
t
a
l
.
T
h
e
N
e
p
e
n
t
h
e
s
P
l
a
t
fo
r
m
:
A
n
E
ff
i
c
i
e
n
t
A
pp
r
o
a
c
h
t
o
C
o
ll
e
c
t
M
a
l
w
a
r
e
.
E
d
s
.
D
i
e
g
o
Z
a
m
b
o
n
i
a
n
d
C
h
r
is
t
o
p
h
e
r
K
r
u
e
g
e
l
.
Le
c
t
u
r
e
N
o
t
e
s
i
n
C
o
m
p
u
t
e
r
S
c
i
e
n
c
e
4219
,
B
e
r
n
:
S
p
r
i
n
g
e
r
B
e
r
li
n
H
e
i
d
e
l
b
e
r
g
,
2006
,
p
165-184
.
h
tt
p
://
www
.
s
p
ri
n
g
e
rli
n
k
.
c
o
m
/
i
n
d
e
x
/
10
.
1007
/
11856214
(
a
cc
e
s
o
:
s
e
p
t
i
e
m
b
r
e
25
,
2010
)
.
[
11
]
D
e
b
a
r
,
H
.
;
C
u
rry
,
D
.
y
Fe
i
n
s
t
e
i
n
,
B
.
T
h
e
I
n
t
r
u
si
o
n
D
e
t
e
c
t
i
o
n
M
e
ss
a
g
e
E
x
c
h
a
n
g
e
F
o
r
m
a
t
(
I
D
ME
F
)
,
R
F
C
4765
ex
p
,
m
a
r
z
o
,
2007
.
[
12
]
C
a
s
w
e
ll
,
B
r
i
a
n
;
B
a
k
e
r
,
A
n
d
r
e
w
y
B
e
a
l
e
,
J
a
y
.
S
no
r
t
I
D
S
a
n
d
IP
S
T
oo
l
k
i
t
:
I
D
S
a
n
d
IP
S
T
oo
l
-
k
i
t
.
C
a
n
a
d
á:
S
y
n
g
r
e
ss
,
2007
,
p
.
638
.
[
13
]
H
e
t
la
n
d
,
M
.
L
.
B
e
g
i
nn
i
n
g
P
y
t
hon
:
f
r
o
m
no
v
i
c
e
t
o
p
r
o
f
e
ss
i
on
al
.
1
s
t
e
d
.
C
a
li
fo
r
n
i
a:
A
p
r
e
ss
,
2005
,
p
.
xx
i
x
.
E
s
te trabajo demue
s
tra que e
s
po
s
ible implementa
r
un sistema de monito
r
eo e
identi
f
icación de ata
q
ue
s
en rede
s
cubana
s
, que permite detecta
r
a tiempo los p
r
o
-
blema
s
grave
s
de
s
eguridad e implementar medida
s
pa
r
a mitiga
r
los. Debido a las
ventaja
s
que po
s
ee el
s
i
s
tema e
s
po
s
ible mantenerlo con el mínimo de pe
r
sonal,
debido a que ca
s
i todo
s
e realiza de forma automática, incluso el análisis de los
ataque
s
.
La cla
s
i
f
icación del trá
f
ico ayudó a conocer lo
s
ata
q
ues más utilizados hacia
r
e
-
de
s
c
u
bana
s
y la
s
de
f
iciencia
s
de lo
s
s
en
s
ore
s
TAI
PS
-
n
et que inte
r
actúan con estos
ataque
s
. E
s
to le permite a la empre
s
a
S
egurmática mejo
r
a
r
las técnicas de captu
r
a
de p
r
ograma
s
maligno
s
que
s
e propagan a travé
s
de Inte
r
net automáticamente, y
dirigir lo
s
e
s
fuerzo
s
hacia nueva
s
vía
s
que arrojen mejo
r
es
r
esultados. Además, la
creación de regla
s
del
S
nort crea una ba
s
e de conocimientos de los ataques
r
ecibi
-
do
s
, lo cual evita que tenga que analizar
s
e varia
s
veces un mismo tipo.
M
ediante la utilización del motor de correlación de P
r
elude pudie
r
on implemen
-
ta
rs
e potente
s
regla
s
de análi
s
i
s
automático,
s
e detectaron así las
r
edes de computa
-
dora
s
cubana
s
conectada
s
directamente a Internet que esn atacando a ot
r
as
r
edes
nacionale
s
. Con e
s
ta información
s
e pueden aplicar las medidas pe
r
tinentes pa
r
a
mitigar lo
s
problemas de forma rápida y minimizar las consecuencias, tanto pa
r
a
la
s
r
ede
s
comprometida
s
como para la
s
demá
s
rede
s
del país. También el uso de
meca
n
i
s
mo
s
automático
s
de ali
s
i
s
evita que lo
s
e
sp
ecialistas pie
r
dan tiempo en
el ali
s
i
s
de grande
s
volúmene
s
de información de fo
r
ma manual, y disminuye el
empleo de lo
s
recur
s
o
s
de per
s
onal.