Por favor, use este identificador para citar o enlazar este ítem:
http://dspace.espoch.edu.ec/handle/123456789/8445
Título : | Implementación de un correlacionador de eventos basado en software libre para la detección de ataques informáticos en la empresa eléctrica. |
Autor : | Pazmiño Gómez, Cristian Andrés Pazmiño Gómez, Jorge Luis |
Director(es): | Arellano Aucancela, Alberto |
Tribunal (Tesis): | Veloz Cherrez, Diego Fernando |
Palabras claves : | TECNOLOGÍA Y CIENCIAS DE LA INGENIERÍA;REDES DE COMPUTADORES;SEGURIDAD DE LA INFORMACIÓN;SEGURIDAD INFORMÁTICA;CORRELACIÓN DE EVENTOS;SOFTWARE LIBRE;SECURITY ONION (SOFTWARE) |
Fecha de publicación : | mar-2018 |
Editorial : | Escuela Superior Politécnica de Chimborazo |
Citación : | Pazmiño Gómez, Cristian Andrés; Pazmiño Gómez, Jorge Luis. (2018). Implementación de un correlacionador de eventos basado en software libre para la detección de ataques informáticos en la empresa eléctrica. Escuela Superior Politécnica de Chimborazo. Riobamba. |
Identificador : | UDCTFIYE;98T00191 |
Abstract : | This work aimed at implementing a free software-based event correlator to detect cyber-attacks at the Riobamba S.A Electric Power Enterprise, since even though, it has security devices like Firewall Check Point 4800, it does not have a centralized solution collecting, storing, and managing the information asset logs. To solve this issue, a comparative study has been done among several platforms, so Ubuntu-based Security Onion is the most appropriate. It was implemented in a HP Proliant server with two interfaces: the first one is for managing and the other one is for gathering the network traffic. SYSLOG was set up in network device to send logs towards the event correlator, and OSSEC agents were installed in the network assets. There were 2018 cyber-attacks reported by the event correlator in the results from January and Frebruary. Therefore, it was possible to determine that the main attacks were: denial of service and brute force attack with a total of 2049 and 1910 incidences respectively. China was the main source of attacks with a total of 1862. Of the results, it is concluded that the event correlator detects attacks properly in real time and at the same time generates the respective alerts. As consequence, the traffic circulating in the network was analyzed. It is recommended to continue to investigate and include the log process and standardization of SCADA system. |
Resumen : | El presente trabajo de titulación tuvo por objetivo la implementación de un correlacionador de eventos basado en software libre para la detección de ataques informáticos en la empresa eléctrica Riobamba S.A ya que, si bien poseen dispositivos de seguridad como el Firewall Check Point 4800, no cuentan con una solución centralizada que les permita recolectar, almacenar y gestionar logs provenientes de sus activos de información. Para dar solución a este problema se realizó un estudio comparativo entre varias plataformas y se determinó que la opción más adecuada es el sistema operativo “Security Onion” basado en Ubuntu, el cual se implementó sobre un servidor HP-Proliant con dos interfaces de red, la primera para la administración y la otra para la recolección del tráfico de red, para el envío de logs hacia el correlacionador de eventos, en los dispositivos de red se configuró SYSLOG y en los activos de red se instaló agentes OSSEC. La topología que utiliza el correlacionador de eventos es la de cliente-servidor. Los resultados tomados entre enero y febrero del 2018 fueron el total de ataques informáticos reportados por el correlacionador de eventos, mediante lo cual se pudo determinar que los principales ataques que se realizan son: denegación de servicio y ataques de fuerza bruta con un total de 2049 y 1910 incidencias respectivamente, siendo China la principal fuente de origen de los ataques con un total 1862. En base a los resultados obtenidos se pudo concluir que el correlacionador de eventos funciona de manera correcta, detectando ataques en tiempo real y a su vez generando las respectivas alertas; logrando así analizar el tráfico que circula por la red, se recomienda continuar con la investigación e incluir el procesamiento y estandarización de los logs de los sistemas “SCADA”. |
URI : | http://dspace.espoch.edu.ec/handle/123456789/8445 |
Aparece en las colecciones: | Ingeniero en Electrónica, Telecomunicaciones y Redes; Ingeniero/a en Telecomunicaciones |
Ficheros en este ítem:
Fichero | Descripción | Tamaño | Formato | |
---|---|---|---|---|
98T00191.pdf | 2,35 MB | Adobe PDF | Visualizar/Abrir |
Los ítems de DSpace están protegidos por copyright, con todos los derechos reservados, a menos que se indique lo contrario.