DEFENSA SIMONA BAREA | Mediateca de EducaMadrid

Sí, hola, buenos días. Vengo a presentarles mi trabajo de fin de grado titulado Implementación y Despliegue de un Home iPod en una empresa energética. 00:00:04

La idea de elegir ese tema surgió tras haber participado en un tema de hacking ético en mi instituto. 00:00:15

El objetivo principal es implementar un Home iPod como sistema de detección de intrusos en un entorno virtual simulado. 00:00:23

El proyecto surge ante el aumento de ciberataques en infraestructuras críticas como en 2016 Stuxnet, en 2016 Ingo Stroyer, en los sectores como el energético, la digitalización, la dependencia de las tecnologías, los ataques cada vez más sofisticados hacen la necesidad de sistemas de detección temprana como los Honeypots. 00:00:29

Como objetivo general es comprender la utilidad de los conipods ya que permiten detectar abanajas tempranas y obtener información valiosa sobre los atacantes. 00:00:51

A modo específico se implementa un tipod simulando una empresa energética, se monitoriza y analiza su actividad para identificar vulnerabilidades y se busca mejorar la capacidad de respuesta. 00:01:02

He seguido una metodología combinada, en primer lugar una investigación teórica para Honeypots y ciberfiguridad y por otro lado una metodología experimental creando un laboratorio virtual en VirtualBox con tres máquinas como el OpenSense como Firewall, un servidor como T-Pod y un Ubuntu cliente. 00:01:17

Para desarrollo he utilizado en primer lugar un VirtualBox como plataforma de virtualización ya que nos proporciona un entorno completo de red y sus máquinas. 00:01:43

Se utiliza T-Pod como con el pod principal por su facilidad de despliegue, por incluir múltiples sensores como Kibana, D1A, D1Ae, Azure y Kata en contenedores Docker 00:01:55

que se gestionan desde una misma interfaz, se instala sobre una base de Ubuntu Server. 00:02:08

He elegido como Firewall OpenSense una herramienta de código abierto 00:02:13

que nos permite controlar el tráfico entre las redes y 1.22.04 como sistema cliente 00:02:18

y como entorno desde donde se administran las máquinas. 00:02:24

En MAP como herramienta para escaneo de redes, para detección puertos abiertos 00:02:29

y para simular ataques de reconocimiento. 00:02:34

Para el proyecto se cuenta con tres perfiles claves, administrador de sistemas, analista de seguridad y desarrollador. 00:02:36

A modo técnico se usa el host físico y las tres máquinas virtuales antes mencionadas. 00:02:50

Se estructura el proyecto entre cuatro fases, fase 1, planificación y diseño, fase 2, configuración y despliegue, fase 3, pruebas y análisis y fase 4, informes y recomendaciones. 00:02:58

Se parte del análisis de una empresa energética como sector crítico que presenta vulnerabilidades como falta de detección temprana de ataques, 00:03:13

visibilidad limitada de intentos de accesos y una seguridad reactiva. 00:03:20

Tras valorar las opciones, se decide por implementar un sistema Honeypot, 00:03:26

ya que es la solución más económica y con mayor flexibilidad. 00:03:33

A nivel lógico, el sistema se divide en tres fases. 00:03:38

La fase LAN, la fase DMZ y la zona, zona DMZ y la zona WAN, gestionadas por el firewall OpenSense. El Honeypot está ubicado en la zona DMZ para aislar o para controlar los ataques sin comprometer las otras máquinas. 00:03:43

Desde la LAN se lanzan ataques, pero también se gestiona el sistema. 00:04:03

Para el despliegue he instalado OpenSense, como Honeypot, se le administra las tres interfaces One LAN DMZ, 00:04:13

Se sigue con la instalación Ubuntu cliente 2204 que se conecta a la red LAN desde donde se accede a las interfaces, a los paneles de gestión tanto de OpenSense Firewall como Honeypot. 00:04:24

Para despliegue de Honeypot se instala primero el Ubuntu Server 24.0.2.2 y luego se ejecuta el script oficial de tipo desde GitHub. 00:04:39

Se clona la imagen ya que nos instala, automatiza la instalación con diferentes Honeypot y paneles de monitorización. 00:04:52

Tras la instalación se procede a la segmentación de la red 00:05:08

separando el tipo de la LAN y colocándola en la DNZ 00:05:13

Se le asigna una IP estática y luego se crean las reglas de segmentación en el firewall 00:05:17

separando las redes 00:05:25

Se verifica la conectividad entre las máquinas con los comandos PIN 00:05:27

y se comprueba que el entorno virtual está correctamente configurado y optimizado. 00:05:33

Para el acceso al interfaz web T-PoT se utiliza su IP asignada junto al puerto por defecto. 00:05:44

Se verifican los logs de actividad. Para verificar los logs de actividad se intenta establecer una conexión al puerto 22 mediante el Telnet, lo que los registra con RIP. 00:05:54

De igual modo, se intenta establecer conexión al puerto 21 mediante Telmed y lo registra Dionarea. 00:06:07

Luego se hace un escaneo agresivo con NMAP. 00:06:15

Este comando registra todos los puertos y los servicios que están disponibles en el servidor T-Bot. 00:06:19

Con esto se quiere simular un ataque real y observar cómo los sensores de una área y los demás sensores reaccionan. 00:06:27

Se observa que en el dashboard de T-Pod se observa el top 10 de los Honeypods, que son los sensores que más ataques reciben, se nota, y los gráficos evolutivos. 00:06:39

También otra funcionalidad muy vistosa de Teapot es que tiene una nube de frecuencia de los usuarios y las contraseñas que más se han utilizado. 00:07:08

Se instala Metasploit directamente en Ubuntu con el objetivo de realizar ataques simulados y comprobar cómo reacciona. 00:07:27

Se intenta hacer una conexión mediante SSH con credenciales, luego se escanean los puertos más conocidos y luego se ejecuta un exploit al servidor FTP vulnerable. 00:07:38

Igual TIPOT lo están registrando. El análisis final demuestra que TIPOT ha cumplido con su objetivo y que los sensores han detectado correctamente los ataques en tiempo real. 00:07:55

Se recomienda implantar el TIPOD junto con otras herramientas de monitoreo como SIEM y mantenerlos actualizados. 00:08:15

Este proyecto tiene una aplicabilidad muy extensa en el mundo real, sobre todo en infraestructuras críticas como empresas energéticas, 00:08:31

Telecomunicación, Salud, Transporte, grandes corporaciones financieras, empresas públicas. También tiene varios beneficios, múltiples beneficios como detección temprana de amenazas, análisis de táctica y mejorar la estrategia. 00:08:39

Como se puede comprobar, T-POD es una herramienta eficaz y con sus sensores, con IAD, Asuricata, fueron capaces de detectar varios ataques en tiempo real. 00:08:54

Los datos recolectados son fundamentales para realizar un análisis forense y la importancia de la configuración es fundamental también para determinar la integridad del sistema y los datos. 00:09:09

Gracias por su atención. 00:09:28

Sí, sí, voy para allá. 00:09:29

crear aquí aquí aquí aquí se ha creado reglas que permite el tráfico por ejemplo aquí sí que 00:10:25

permite por ejemplo la lan actuar con la dmz pero la dmz con la lana es decir si con el 00:10:42

El firewall lo que hace es hacer una segmentación de una zona con otra zona y dar los permisos. El LAN puede actuar, puede interferir en la DMZ pero el DMZ no. Esto es una zona desmilitarizada y se utiliza para aislar datos, sistemas que no queremos que se vean corrompidos o que no se vean corrompidos. 00:10:54

desde fuera. Los ficheros log son acceso SSH, por ejemplo, a los FTP, HTTP y el objetivo es demostrar que cualquier intento se está reflejado en tiempo real, 00:11:24

corra, desde dónde, cuánto y cómo se ha hecho el intento de acceder, si eso es lo que me han preguntado. 00:12:13

Todo tipo de ataques, por ejemplo, de fuerza bruta, de contraseñas, de usuarios, de mapear los puertos, 00:12:43

de todo tipo de ataques, lo que a los atacantes se le ocurren. No, no tengo nada pendiente. Muchas gracias, muchas gracias, gracias. Buen día, hasta luego. 00:12:52