Actualizado el 21 de Marzo del 2018 (Publicado el 16 de Enero del 2018)
1.768 visualizaciones desde el 16 de Enero del 2018
3,0 MB
78 paginas
Creado hace 8a (28/09/2016)
Trabajo Fin de Grado
Grado en Ingeniería de las Tecnologías de las
Telecomunicaciones
Sistema de monitorización y correlación de eventos
en gestión de redes
Autor: Antonio Cuesta García
Tutor: Antonio José Estepa Alonso
Equation Chapter 1 Section 1
Departamento de Ingeniería Telemática
Escuela Técnica Superior de Ingeniería
Universidad de Sevilla
Sevilla, 2016
�
�Grado en Ingeniería de las Tecnologías de las Telecomunicación
Trabajo Fin de Grado
Sistema de monitorización y correlación de eventos
en gestión de redes
Autor:
Antonio Cuesta García
Tutor:
Antonio José Estepa Alonso
Profesor titular
Departamento de Ingeniería Telemática
Escuela Técnica Superior de Ingeniería
Universidad de Sevilla
Sevilla, 2016
iii
�
�Trabajo Fin de Grado: Sistema de monitorización y correlación de eventos en gestión de redes
Autor: Antonio Cuesta García
Tutor: Antonio José Estepa Alonso
El tribunal nombrado para juzgar el Trabajo arriba indicado, compuesto por los siguientes miembros:
Presidente:
Vocales:
Secretario:
Acuerdan otorgarle la calificación de:
Sevilla, 2016
El Secretario del Tribunal
v
�
�A todas las personas que lo han
hecho posible. En especial a mis
padres.
vii
�
�Agradecimientos
En este punto, al finalizar ya mi carrera me doy cuenta de lo rápido que han pasado estos 4 años de la carrera,
los más rápidos de mi vida. Aunque, a la vez han sido los más duros con muchas tristezas, han sido los más
bonitos que he podido vivir juntos con mis amigos de la facultad, mis compañeros del Colegio Mayor y con el
apoyo incondicional de toda mi familia. Todos ellos se merecen un gran agradecimiento por mi parte.
Gracias a mis padres, Carmen y Martín, por haber hecho posible todo esto en el que han contribuido con un
gran esfuerzo.
Gracias a mi hermano, Martín, que me ha apoyado cuando mis padres no me llegaban a comprender del todo.
Gracias a mis compañeros de clase: Pablo, Juan Emilio, Ismael, Bea, Carmen “Carmeli” … Gracias por
hacerme este camino mucho más fácil.
Gracias a todo mi Colegio Mayor San Juan Bosco, en especial a mi grupo Cuetara, no podía faltar en este
agradecimiento el cual me ha ayudado tanto en el plano académico como en el espiritual, que tienen que
llevarse de la mano.
Por último, gracias a mi tutor Antonio Estepa, que, aunque haya habido momentos en que ni iba a visitarle a su
despacho, me ha guiado en todo momento.
A todos vosotros,
GRACIAS.
Estudiante del Grado en Ingeniería de las Tecnologías de Telecomunicación
Antonio Cuesta García
Sevilla, 2016
ix
�
�Resumen
Este trabajo de fin de grado se centra en el análisis y comparación de tres sistemas de monitorización y
correlación de eventos en la gestión de redes.
Comienza con una investigación sobres los correladores de eventos, para posteriormente definir los software
usados para el desarrollo del mismo. Entre estos servicios se usan SEC, Nxlog y Prelude, que también son
tema central de algunos apartados, ya que sobre ellos se sustenta el desarrollo de este trabajo. Posteriormente
se definen los aspectos más técnicos del experimento realizado.
Por último, en los anexos, se explicará cómo se procede a la instalación y configuración de los tres sistemas.
El resultado obtenido al final de esta investigación tiene dos vertientes, si se quiere gestionar una red orientada
tanto a las pequeñas como medianas empresas se puede hacer uso de estas herramientas, pero para empresas
con necesidades de alta carga habría que dirigir la mirada a una versión comercial1.
1 Una versión comercial, es una versión de pago.
xi
�
�Abstract
This final degree work focuses on the analysis and comparison of three systems of monitoring and correlation
of events in network management.
It begins with an investigation on the correlators of events, to further define the software used for
development. These services are SEC, Nxlog and Prelude, which are also central theme of some sections,
since it is based on them the development of this work. Then the more technical aspects of the experiment
performed are defined.
Finally, in the annexes, it will explain how to proceed to the installation and configuration of the three systems.
The result obtained at the end of this research is twofold, if you want to manage both small and medium
enterprises network can make use of these tools, but for companies with high load needs should turn our gaze
to a comercial version.
xiii
�
�Índice
ix
xi
xiii
xv
xvii
xix
1
1
2
2
2
3
5
5
6
6
7
7
8
8
8
9
10
10
11
11
11
12
13
13
13
13
13
14
15
17
17
18
18
19
Agradecimientos
Resumen
Abstract
Índice
ÍNDICE DE TABLAS
ÍNDICE DE FIGURAS
1
Introduccción y objetivos
Contexto
1.1
Problema
1.2
1.3
Solución
1.4 Objetivos
1.5
Estructura y metodología del trabajo
2
Logs
2.1
¿Qué es un log?
Categorías
2.1.1
2.2
¿Por qué son importantes?
2.2.1
2.2.2
2.2.3
Administración de recursos
Detección de intrusos
Análisis forense
Formatos y sintaxis
2.3
Syslog
IDMEF
2.3.1
2.3.2
2.3.3 Windows Event Log
2.3.4
Sintaxis
3
Correlación de eventos
3.1
Introducción a la correlación de eventos
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
Operaciones
Tipos de eventos
Falsos positivos y falsos negativos
Real-time vs Offline
Centralizado vs Distribuido
Contextos
3.2
Expresiones regulares
3.2.1
Patrones
3.3
Arquitectura general
4 Descripción del software elegido
4.1
SEC
4.1.1
4.1.2
Operaciones de correlación
Reglas
4.2 Nxlog
xv
�20
20
21
21
22
25
25
25
26
27
29
31
31
31
31
32
35
37
37
39
41
43
45
47
47
50
53
54
58
4.2.1
4.2.2
Operaciones de correlación
Reglas
4.3
Prelude
4.3.1
4.3.2
Arquitectura
Reglas
5 Descripción del experimento
Descripción
Script
SEC
5.1
5.2
5.3
5.4 Nxlog
5.5
Prelude
6 Resultados del experimento y discusión
6.1
6.2
Resultados
Discusión
6.2.1
6.2.2
Resultados
Sistemas
7
8
Planificación
Conclusiones
8.1
Líneas de continuación
Trabajos citados
Glosario
Anexo A: Instalación SEC
Anexo B: Instalación Nxlog
Anexo C: Instalación Prelude
C.1
C.2
C.3
C.4
C.5
Instalación del manager
Instalación del correlador
Instalación de Prewikka
Instalación de Snort
Comprobación funcionamiento
�ÍNDICE DE TABLAS
Tabla 2–1. Resumen de tipos de logs
Tabla 4–1. Características generales de los tres sistemas de correlación
Tabla 6–1. Tiempos de respuesta obtenidos de los experimentos de la sección 4
8
17
31
xvii
�
�ÍNDICE DE FIGURAS
Figura 1-1. Generación de eventos
Figura 1-2. Arquitectura de generación de eventos
Figura 2-1. Fichero de log
Figura 3-1. Arquitectura de un correlador
Figura 4-1. Arquitectura de Prelude
Figura 4-2. Interfaz Prewikka
Figura 7-1. Diagrama de Gantt del trabajo
Figura B-1. Opciones Nxlog
Figura C-1. Petición configuración base de datos
Figura C-2. Elección de base de datos
Figura C-3. Petición de contraseña para el root
Figura C-4. Petición de contraseña para la base de datos del manager
Figura C-5. Confirmación de contraseña para la base de datos del manager
Figura C-6. Archivo /etc/default/prelude-manager
Figura C-7. Ejecución de Prelude-manager
Figura C-8. Registro en Prelude-manager
Figura C-9. Registro del Prelude Correlator
Figura C-10. Registro correcto en el manager
Figura C-11. Arranque del correlador
Figura C-12. Comprobación de registro
Figura C-13. Opciones ejecución Prelude Correlator
Figura C-14. Página de inicio de sesión Prewikka
Figura C-15. Sensores en Prewikka
Figura C-16. Inicialización Snort
Figura C-17. Sensores activos después de instalar Snort
Figura C-18. Envío de 9 pings
Figura C-19. Visualización de la detección del ping en Prewikka
xix
1
2
5
15
21
22
35
46
47
48
48
49
49
50
50
51
51
51
52
52
52
53
54
57
57
58
58
��
1 INTRODUCCCIÓN Y OBJETIVOS
If you can’t explain it simply, you don’t understand it
well enough.
- Albert Einstein -
C
ada vez tenemos infraestructuras de red más complejas en las que se compromete información tanto
pública como privada. Existen unos archivos llamados logs
Crear cuenta
Comentarios de: Sistema de monitorización y correlación de eventos en gestión de redes (0)
No hay comentarios