Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red

Con el desarrollo de este trabajo de fin de máster se pretende realizar el estudio de diferentes herramientas de seguridad, y, su posterior explotación, para mostrar al lector cómo proceder para crear un sistema de seguridad pasivo, mediante el cual, se va a poder llevar a cabo una monitorización, e...

Descripción completa

Detalles Bibliográficos
Autor: Caldera Vergara, Roberto
Tipo de recurso: tesis de maestría
Fecha de publicación:2020
País:España
Institución:Universitat Oberta de Catalunya (UOC)
Repositorio:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/117972
Acceso en línea:http://hdl.handle.net/10609/117972
Access Level:acceso abierto
Palabra clave:IDS
SIEM
DVWA
monitorización de seguridad
monitoratge de seguretat
security monitoring
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
Descripción
Sumario:Con el desarrollo de este trabajo de fin de máster se pretende realizar el estudio de diferentes herramientas de seguridad, y, su posterior explotación, para mostrar al lector cómo proceder para crear un sistema de seguridad pasivo, mediante el cual, se va a poder llevar a cabo una monitorización, en tiempo real de los ataques, detectados por diversas herramientas de seguridad informática. Para llevar a cabo dicho sistema de seguridad se desarrollará un laboratorio virtual, en el que se van a usar herramientas OpenSource de seguridad como: Zeek IDS y ELK. La primera de ellas será el sistema encargado de la detección de intrusiones, el cual, su función principal es analizar el tráfico red e interceptar posibles anomalías. La segunda tecnología, empleará sus distintos módulos para lograr recibir los eventos enviados por el IDS, realizar el procesado de dichos eventos y, por último, exponer los datos más importantes en un informe ejecutivo a modo de dashboard. Dicho sistema de seguridad se verá directamente relacionado con un servidor de aplicaciones web vulnerable, que, será el utilizado para realizar diferentes ataques web y, el posterior desarrollo y activación de firmas de IDS personalizadas y por defecto para su detección por parte del IDS y visualización en ELK. De esta manera, se pretende simular tráfico ilegítimo, el cual, tienen comúnmente muchos servidores web expuestos a la red de internet y presentar una posible solución pasiva para llevar a cabo su monitorización.