Eina L.IP.M: Llistat d'IP Malicioses

43 visualizaciones

Publicado el

Presentació d'Antonio Rodríguez (inLAB-FIB-esCERT UPC) a la TAC17 sobre "Ciberseguretat a les xarxes acadèmiques i de recerca", realitzada el 21 de juny a l'Hospital de la Santa Creu i Sant Pau.

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
43
En SlideShare
0
De insertados
0
Número de insertados
1
Acciones
Compartido
0
Descargas
2
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Eina L.IP.M: Llistat d'IP Malicioses

  1. 1. Antonio Rodriguez inLab.FIB-esCERT UPC | Juny 2017 L.IP.M: Llistat d’IPs Malicioses
  2. 2. 2 Introducció • Problemàtica • Un nombre creixent de ciberatacs a la Universitat • Possible solució: Llistes negres d’IP • Presenten alguns inconvenients • Inclouen moltes adreces • Són genèriques
  3. 3. 3 Introducció (II) • Característiques particulars • Som un objectiu “peculiar” • Dispersió de la infraestructura • Hi ha relació entre els atacs
  4. 4. 4 Proposta (I) • Encàrrec de servei UPC 2015 • Col·laboració amb el Departament d’arquitectura de computadors (DAC) • Una llista pròpia que tingui en compte: • Incidents reals que han afectat a la UPC • La importància d’aquests (Esta ordenada!) • Tipus d’atac • Impacte • Nombre de casos • DATA! • No és mala idea...
  5. 5. 5 Proposta (II) Una llista pròpia... No es mala idea. • REDIRIS 2017 • Poniendo puertas al campo - ¿Cómo protegernos teniendo las puertas abiertas? • “Alberto Villaverde Carmona” • Universidad Rey Juan Carlos • https://tv.rediris.es/video/593296a2a7bc2839008b457f
  6. 6. 6 L.IP.M - Funcionalitats • Inserir una adreça relacionada amb un incident • Cercar si una adreça ja es troba a la llista • Eliminar una adreça que es consideri que no hauria de ser a la llista • Exportar la llista ordenada • En cru (text) • iptables
  7. 7. 7 Tecnologies utilitzades
  8. 8. 8 Inserir una adreça • Es demana la IP (v4) • La data de detecció de l’incident • Es diferent que la d’inserció • El servei afectat • Els mes comuns/tots • Comentari • Preguntes (SI/NO/NsNc) • Accés • Dades • DoS • Detecta IPs UPC!
  9. 9. 9 Buscar
  10. 10. 10 Eliminar • Qualsevol usuari autenticat pot insertar una IP • Les fonts no son del tot “fiables” • Comptes vulnerats • Errors • ... • Qualsevol usuari autenticat pot eliminar una IP • Es demana el motiu
  11. 11. 11 Altres funcionalitats • Integrada amb el CAS de la UPC • Es registren totes les accions ;) • Integrada amb l’LDAP de la UPC per filtrar els usuaris per perfils • Només PDI i PAS • La resta només poden cercar IP’s • Parseja fail2ban! • Disposa d’una API!
  12. 12. 12 Sobre el nivell de perillositat • Components • Canal inserció • Via web • Via fail2ban • Impacte (accés, dades, denegació) • Accés • Dades • Denegació • Temporal • Nombre total d’incidents • Dies des de l'últim incident • Paràmetres • Pes del canal d’inserció • Pes de les preguntes • Pes de l’“aging” • A més pes més ràpid “envelleixen”
  13. 13. 13 Sobre la API • Autenticada utilitzant Oauth • Un token correspon a un usuari • Implementa les mateixes funcionalitats que el servei web
  14. 14. 14 Estat de les coses i què hem après • La recepció i l’ús de l’eina han estat molt limitats. • Es podria incentivar el seu ús, encara que fos de manera parcial: • Si es desenvolupés un script que, un cop afegit al cron, enviés periòdicament els fitxers de log de fail2ban via API. • Afegint llistes externes per tenir-ho tot al mateix servei. • No ens consta que cap unitat hagi integrat els exports de la llista al Firewall de forma automàtica ja que comporta certs riscos. • Tot i que s’exporta en una chain a part...
  15. 15. • inLab • inlab.fib.upc.edu • https://twitter.com/inlabfib • esCERT-UPC • escert.upc.edu • https://twitter.com/escert_upc • Antonio Rodríguez • antonio.rodriguez.g@escert.upc.edu • https://twitter.com/tonrodriguez_ • https://inlab.fib.upc.edu/ca/persones/antonio-rodriguez Contacte

×