PDF de programación - Sistema de Supervisión Automática de Redes Locales

CENTRO DE INVESTIGACI ÓN Y DE ESTUDIOS
AVANZADOS DEL INSTITUTO POLITÉCNICO

NACIONAL

DEPARTAMENTO DE INGENIERÍA ELÉCTRICA

SECCI ÓN DE COMPUTACI ÓN

Sistema de Supervisión Automática de

Redes Locales

Tesis que presenta

Isaí Cortés Mojica

Para obtener el grado de

Maestro en Ciencias

en la Especialidad de

Ingeniería Eléctrica

opción Computación

Director de la tesis:

Dr. Arturo Díaz Pérez

México, D.F.

Julio 2005

ii

.

iii

ABSTRACT

Local area networks (LANs) have increased its use because they offer
great benefits: sharing of resources, high speed of transmission, etc. De-
spite many hardware and software tools have been created to guarantee the
availability, integrity and confidentiality of the information that ciruclates
through LANs, these tools do not automatically analyze the network traf-
fic to detect anomalous behavior (i.e. failures, attacks or intruders). This
arduous task is made manually by network administrator.

This thesis presents a system that automatically detects anomalous be-
haviors in LANs. Our system uses a set of dynamic statistical models. These
models are automatically updated with respect to the network daily behav-
ior. Furthermore, as an additional feature, it gives the capacity to measure
the network performance at a device level detail (hubs, switches, gateways
and computers).

Our system was developed using Perl and Tk. It analyzes the network
behavior and the network topology to automatically detect anomalous be-
havior. It graphically show the affected route and the broken device. Data
of the behavior of packages, ports, physical location, etc. are available to
the administrator via a graphical Web interface.

iv

.

v

RESUMEN

Las redes de área local han ganado gran aceptación gracias a que ofre-
cen grandes beneficios como son: disminución de costos, la compartición de
recursos entre usuarios, alta velocidad de transmisión, entre otros. Las re-
des locales deben trabajar óptimamente para garantizar la disponibilidad,
integridad y confidencialidad de la información que circula por las mismas.
Con este propósito, se han creado herramientas de hardware y software que
monitorean el tráfico de una red de área local. Sin embargo, estas herra-
mientas no hacen un análisis de los datos recuperados, tarea que es dejada
al administrador de la red. Esta es una labor ardua, ya que el administra-
dor debe analizar los datos de la red en busca de fallas o comportamientos
anormales como ataques o intrusiones de usuarios no autorizados.

Esta tesis presenta un sistema capaz de detectar automáticamente com-
portamientos anómalos en una red de área local, ocasionados ya sea por
fallas o ataques a la misma. Nuestro sistema utiliza un conjunto de modelos
estadísticos dinámicos que es actualizado automáticamente con el compor-
tamiento diario de la red. Además, incorpora un editor de topologías de red,
con el cual se puede medir el comportamiento normal o anormal de cada
dispositivo de red, incluyendo concentradores, switches, puertas de enlace y
computadoras personales.

Nuestro sistema fue desarrollado en Perl y Tk. En base al comportamien-
to y la topología de la red (tomados de una base de datos), nuestro sistema
es capaz de detectar automáticamente comportamientos anómalos, con la
capacidad de localizar gráficamente la ruta afectada y rastrear el dispositi-
vo fallido. Datos sobre el comportamiento de paquetes, puertos utilizados,
ubicación física, etc. son puestos a disposición del administrador mediante
una interfaz Web gráfica.

vi

.

vii

A mi mamá Lupita y papá Adrián de quienes me siento orgulloso

y han hecho de mi vida un camino lleno de amor, apoyo, compresión

y consejos, pero sobre todo feliz.

A mis hermanos Adriana, Abraham, Daniel y Raquel por su apoyo,

fé y hacer divertidos todos los momentos que pasamos juntos.

A Jessica por traer alegría extra a mi vida.

.

.

viii

Agradecimientos

Gracias a mis abuelitos por su amor, cariño y hacer de mi infancia una etapa grata

de recordar.

Gracias a mis tíos por su calidez y apoyo.
Gracias a mis primos por su amistad y por que cada momento con ellos es digno y

divertido de recordar.

Gracias a mis padres y hermanos por su comprensión y apoyo incondicional.
Gracias a mis amigos quienes hicieron de mi estancia en el CINVESTAV un rato

agradable y ameno.

Agradezco a mi asesor Dr. Arturo Díaz Pérez por su paciencia en la realización de es-
ta tesis, por sus numerosos consejos y sobre todo por transmitirme valiosos conocimien-
tos.

Agradezco a mis sinodales, los Dres. Luis Gerardo de la Fraga y Guillermo Morales

Luna por su colaboración en beneficio de la calidad de esta tesis.

Gracias a las secretarias de la Sección de Computación, en especial a la Sra. Sofía
Reza por su dedicación y gusto al realizar su trabajo, haciendo de los tramites un
proceso sencillo y ameno.

Agradezco a la Sección de Computación por facilitarme las instalaciones para el

desarrollo de mis estudios de maestría.

Agradezco al CINVESTAV por su apoyo al permitirme cursar todos los cursos nece-

sarios para el desarrollo de este trabajo de tesis.

Agradezco al CONACyT por la beca proporcionada durante mi estancia en el pro-

grama de maestría.

ix

x

Índice general

1. Introducción

2. Seguridad en redes de cómputo

2.1. Redes locales

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.1. Topología de red . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2. Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3. Seguridad en redes
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.4. Sistemas de detección de intrusos . . . . . . . . . . . . . . . . . . . . .
2.4.1. Clasificación general
. . . . . . . . . . . . . . . . . . . . . . . .
2.4.2. Fuentes de información . . . . . . . . . . . . . . . . . . . . . . .
2.4.3. Tipos de análisis
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
2.4.4. Tipos de respuesta a incidentes
2.4.4.1. Respuestas pasivas . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
2.4.4.2. Falsas alarmas
2.5. Medición del tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.6. Modelado de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3. Supervisión automática de redes locales

3.1. Sistema monitor de tráfico de redes locales . . . . . . . . . . . . . . . .
3.2. Análisis automático del tráfico de red . . . . . . . . . . . . . . . . . . .
3.2.1. Modelo estadístico dinámico . . . . . . . . . . . . . . . . . . . .
3.2.2. Topología de una red de área local
. . . . . . . . . . . . . . . .
. . . . . . . . . .
3.3.1. Detección basada en anomalías
. . . . . . . . . . . . . . . . . .
3.3.2. Comportamientos anómalos basados en reglas . . . . . . . . . .
3.3.2.1. Exploración de puertos . . . . . . . . . . . . . . . . . .

3.3. Detección automática de comportamientos anómalos

1

5
5
8
9
10
13
14
14
16
20
21
22
22
23

25
26
28
29
34
45
47
51
52

xi

xii

ÍNDICE GENERAL

3.3.2.2. Exploración de direcciones IP . . . . . . . . . . . . . .

4. Supervisor de red

4.1. Base de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2. Detección de fallas y abusos . . . . . . . . . . . . . . . . . . . . . . . .
4.3. Rastreo de dispositivos anómalos
. . . . . . . . . . . . . . . . . . . . .
4.4. Actualización de modelos estadísticos . . . . . . . . . . . . . . . . . . .
4.5. Detección de intentos de intrusión . . . . . . . . . . . . . . . . . . . . .
4.6. Simulador de tráfico de una red de área local . . . . . . . . . . . . . . .
4.6.1. Alteración del modelo estadístico dinámico . . . . . . . . . . . .
4.6.2. Generación de tráfico de red artificial
. . . . . . . . . . . . . . .
4.6.3. Generación de fallas y abusos artificiales
. . . . . . . . . . . . .
4.6.4. Generación de exploraciones de red artificiales . . . . . . . . . .

5. Interfaz de usuario

5.1.

Interfaz Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1.1. Tráfico de entrada y salida . . . . . . . . . . . . . . . . . . . . .
5.1.2. Detalles de tráfico en la red local
. . . . . . . . . . . . . . . . .
5.1.3. Tráfico por dispositivo de interconexión . . . . . . . . . . . . . .
5.1.4. Direcciones IP por dispositivo de interconexión . . . . . . . . .
5.2. Editor de topología TkETop . . . . . . . . . . . . . . . . . . . . . . .
5.3. Reportes de comportamientos anómalos . . . . . . . . . . . . . . . . . .

6. Conclusiones y trabajo futuro

Bibliografía

53

55
56
60
61
62
62
64
66
67
68
68

73
75
75
77
79
81
82
86

91

95

Índice de figuras

2.1. Número de incidentes por meses . . . . . . . . . . . . . . . . . . . . . .
2.2.
Incidentes por tipo . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3. Tipos principales de sistemas detectores de intrusos . . . . . . . . . . .

12
13
15

26
31

. . . . . . . .
3.1. Diagrama del sistema monitor de tráfico de redes locales.
3.2. Modelo estadístico del comportamiento de una red de área local
. . . .
3.3. Modelo estadístico dinámico comparado con el comportamiento real de
la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
3.4. Gráfica de error del modelo estadístico dinámico . . . . . . . . . . . . .
35
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.5. Partes de un árbol
36
3.6. Tráfico de red en una topología de árbol
. . . . . . . . . . . . . . . . .
37
3.7. Escenarios de un comportamiento anómalo en dispositivos de interconexión. 40
3.8. Red de área local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
42
3.9. Modelo estadístico dinámico de HUB1 . . . . . . . . . . . . . . . . . .
42
3.10. Modelo estadístico dinámico de HUB2 . . . . . . . . . . . . . . . . . .
3.11. Modelo estadístico dinámico de SWITCH . . . . . . . . . . . . . . . . .
43
47
3.12. Tráfico de red durante una falla . . . . . . . . . . . . . . . . . . . . . .
3.13. Tráfico de red durante un abuso . . . . . . . . . .