Saltar navegación

DEFENSA PROYECTO ASIR - VALENTIN GARCIA HERNANDEZ - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 19 de enero de 2024 por Jorge Antonio P.

7 visualizaciones

.

Más información Transcripción

Descargar la transcripción

Buenas tardes, Valentín. Hoy, día 18 de enero, estamos convocados a través de jefatura 00:00:00
de departamento para la defensa del módulo profesional de proyecto del ciclo formativo 00:00:07
de grado superior de administración de sistemas informáticos en red. Informo que esta grabación 00:00:11
se usará en el entorno cerrado de EDUCA Madrid con fines educativos y sólo estará a disposición 00:00:16
de los profesores evaluadores en el aula virtual para llevar a cabo la evaluación 00:00:21
y calificación de la defensa del proyecto. En el aula virtual de proyectos habéis sido 00:00:25
informados de los criterios y rúbrica de calificación. El orden de la presentación 00:00:31
del proyecto es el siguiente, 15 minutos máximo para defender el proyecto y 5 minutos para 00:00:35
preguntas por parte del tribunal si este lo estima oportuno. Y nada, dicho esto, tu tiempo 00:00:41
de exposición comienza a partir de este momento, o sea que adelante y suerte. 00:00:48
Bueno, muy buenas, lo primero. Voy a compartirte la pantalla. 00:00:53
Confírmame que se ve bien. Tengo aquí el PowerPoint, un pequeño PowerPoint que hice 00:01:03
para la presentación. El proyecto consiste en un análisis masivo de ficheros mediante 00:01:10
una API antivirus de solución comercial como es MetaDefender y una aplicación de 00:01:16
código abierto como es Nifi, que es de Apache o lo que es Niagara File. 00:01:24
Vale, en la presentación mostraremos las mejores prácticas y enfoques para un manejo de archivos 00:01:30
entre ambos sistemas y se examinará la importancia de la seguridad en una empresa, 00:01:35
en el entorno de una organización. Lo primero es MetaDefender. La API de MetaDefender es una 00:01:43
interfaz de programación de aplicaciones que, bueno, está comercializada por OPSWatt y aparte 00:01:50
de la utilización que le vamos a dar hoy mediante consultas a su API, tiene una interfaz web a nivel 00:01:57
público, pues como de virus total, que es un tipo de página que tú puedes subir archivos y comprobar 00:02:05
si tienen algún tipo de virus o algún problema en la compilación. En este caso, 00:02:12
la herramienta API que vamos a utilizar son 8 motores antivirus, que más tarde lo veremos 00:02:19
de cuáles se tratan. Tienes varias opciones a la hora de contratar el producto, desde 4 motores 00:02:27
hasta 24 si no me equivoco, pero en principio nosotros vamos a utilizar 8. Creo que es un 00:02:33
número de motores más que suficiente para verificar si un fichero es bueno o está infectado. La 00:02:38
interfaz gráfica luego la vamos a ver más en detalle, pero un pequeño resumen sería este. 00:02:47
Aquí tenemos un panel de control en el que podemos ver una gráfica de las últimas 24 horas, 00:02:52
el número de ficheros que han sido analizados. No sé si lo veis bien, lo puedo ampliar un poquito 00:02:59
más, pero luego lo vamos a ver más en detalle. Si quieres ejecutar, si quieres dar la F5 para 00:03:04
que sea pantalla completa, los slides, como quieras, y lo vas pasando con el teclado. Aquí 00:03:09
lo tenemos. Tenemos una interfaz gráfica donde podemos ver el número de ficheros que han sido 00:03:15
bloqueados, los que se han sido procesados en las últimas 24 horas o en últimos 2 días, 30 días, 00:03:22
etcétera. Luego vamos a ver más en detalle paso por paso cada uno y esto sería lo que es una 00:03:27
interfaz que podríamos gestionar desde un servidor donde está instalada la aplicación y donde 00:03:34
podemos personalizar y configurar muchísimas opciones. ¿Qué es el MetaDefender? Pues lo que 00:03:42
comentaba un poco en detalle es esto, es la eficiencia de la detección de amenazas, que permite 00:03:51
un análisis adaptivo de una gran variedad de ficheros. Tiene el análisis multimotor, como 00:03:56
comentaba, en este caso vamos a utilizar 8 motores, y detección de amenazas avanzadas, pues que 00:04:01
buscan cadenas, análisis heurístico, etcétera, y la integración con flujo de trabajo y automatizados 00:04:07
y API, que es lo que vamos a ver hoy. Luego, la otra integración, ¿con qué va a ser? Va a 00:04:13
ser con Apache Nifi. Apache Nifi, como comentaba, es un proyecto de código abierto que está 00:04:19
desarrollado por Apache y es una plataforma que consiste en automatizar flujos de datos. En este 00:04:24
caso, integrando un fichero que entre en nuestro sistema o en nuestro servidor de ficheros de la 00:04:30
organización y vaya a ir a cualquier otro lugar dentro de nuestra red. Esto es un poquito más 00:04:37
lo que acabo de comentar, es un flujo de datos que mueven los ficheros por diferentes procesadores 00:04:47
o cajas, y los procesadores son eso, son bloques en el que cada uno le indicas qué acción quieres 00:04:53
que realice. En este caso, vamos a ver acciones de get file, que es coger un fichero, enviar la 00:05:00
consulta al API, consultar el resultado que le ha dado al API, y en base a ese resultado, enviarlo 00:05:06
a un lugar, si el fichero está ok y no tiene ninguna infección, a un lugar, si tiene contraseña 00:05:12
a otro, o si está infectado a otro. Todo esto se gestiona desde una interfaz gráfica que nos 00:05:19
permite monitorizar y gestionar de una manera bastante sencilla todos los pasos que queramos 00:05:27
realizar. Esta es la interfaz gráfica de NIFI, básicamente consiste en eso, son pequeñas cajas, 00:05:33
dentro de estas cajas va paso a paso qué es lo que va haciendo cada procesador, y según como 00:05:42
comentaba, el resultado del fichero lo desplazaremos a un lugar o a otro. Esto es un poquito más en detalle 00:05:52
dentro de estas primeras cajas, como comentaba, esto es un get file, un update attribute, luego lo vamos a ver 00:05:59
más en detalle, pero para tener una pequeña idea antes de comenzar. El laboratorio que he simulado 00:06:08
sería algo parecido a esto, que sería un empleado desde su casa, con su equipo de teletrabajo, necesita 00:06:17
depositar en la red corporativa un fichero porque ha estado trabajando en él, o porque lo ha conseguido 00:06:23
de algún lugar, y necesita que esté en un entorno de la red de la empresa. He simulado con UMWare 00:06:29
tres máquinas virtuales, una simula un Windows 10 como si fuese un empleado normal, otra un firewall de 00:06:40
checkpoint, y el servidor de ficheros que contiene la aplicación de MetaDefender y la aplicación de NIFI. 00:06:48
Están las dos alojadas en el servidor de la empresa, ¿verdad? 00:06:58
Eso es. Digamos que la red corporativa sería un firewall perimetral el que tenemos, que luego veremos la 00:07:04
política que tiene de que solo permite conexiones desde la IP del equipo del empleado a la IP del servidor de 00:07:12
ficheros, y el protocolo en este caso ha permitido FTP y el protocolo ICMP para confirmar que el servidor está 00:07:20
levantado y nos contesta. Entonces, el firewall tendría dos patas, una pata externa que daría internet y una 00:07:27
pata interna que sería LAN, que daría el servidor de ficheros. El firewall, como he comentado, se basa en 00:07:37
Checkpoint, que es una solución comercial que antiguamente era Nokia y ahora se llama Checkpoint, la 00:07:47
versión que voy a utilizar es la 8110. Y, bueno, pues básicamente lo que tienes es un IP table en el que se basa en 00:07:53
machear que las conexiones que están intentando acceder están permitidas en su política. Esto sería la interfaz de la 00:08:00
política del firewall. Bueno, la primera regla que hemos tenido que habilitar es para poder gestionar el firewall. En 00:08:10
este caso lo he hecho desde el externo, pero la best practice, digamos que sería desde un PC interno de la red. Pero como 00:08:18
el PC interno que tengo simulado ya tenía mucha caña con el MetaDefender y el NIFI, pues bueno, en este caso lo he hecho así. 00:08:25
Permitiríamos desde el IP que denominamos al firewall, pues estos protocolos que son protocolos propios de Checkpoint 00:08:31
para poder gestionarlo, SSH y el ICMP igual para poder verificar. Y aquí, ¿qué permitimos? Siguiente conexión que 00:08:39
permitiríamos sería el FTP desde el PC externo al interno, que sería servidor de ficheros, y esto el PC del empleado desde su casa 00:08:47
por FTP y ICMP. Y todo el resto de conectividades que se intenten hacer hacia nuestra red corporativa que se denieguen. 00:08:58
Bueno, si te parece, empiezo a explicar el funcionamiento ya del esto, o si tienes alguna duda con esto. 00:09:05
Bueno, me había apuntado un par de cosillas porque me había mirado tanto la presentación como el PDF y al parecer aquí en la presentación no 00:09:19
hace mención a ello y en el PDF sí. El tema de la metodología Scrum, que bueno, en tu proyecto ¿en qué parte concretamente se ha aplicado? 00:09:31
La parte, entiendo de NIFI, ¿no? 00:09:42
Eso es. Digamos que sería en aplicar la parte de NIFI. Bueno, sería una integración entre ambas tecnologías, pero sí, en este caso sería la de NIFI principalmente. 00:09:45
Vale, ¿y los problemas que tenías de indexación de logs se pudieron solucionar al final? 00:09:57
No, en este caso no he podido porque el equipo donde tengo montado la máquina virtual no daba para más. En este caso la solución que yo tenía pensada era Splunk, 00:10:03
que es un indexador de log, en el que cada vez que un fichero NIFI lo recoge para enviarlo al análisis, lo loga y según el resultado que dé, 00:10:14
también nos muestra así el fichero. Entonces, puede ser un empleado una situación que nos diga, oye, que he enviado este fichero y no lo veo en mi directorio de la empresa. 00:10:24
Pues que tengas acceso a un log, buscas el nombre del fichero y ves, pues mira, ha pasado y no está permitido porque ha metido un zip con contraseña o el fichero está infectado 00:10:36
o es una extensión que no está permitida por política de seguridad. Pero en este caso no. 00:10:47
Está contemplado todo el tema de, o sea, se asegura que no se pierden datos, ¿no? 00:10:53
Eso es, sobre todo una trazabilidad del fichero. 00:11:00
Y eso está fino, ¿no? 00:11:02
Eso es, sería la trazabilidad del fichero, de en qué momento entra en el sistema, el resultado que ha tenido y en dónde se depositaría. 00:11:05
Vale, venga, sigue. 00:11:13
¿Vale? 00:11:14
Vale. 00:11:15
Bueno, pues paso a la presentación del funcionamiento básico del sistema o de las aplicaciones. 00:11:16
En este caso voy a parar todos los, esto sería el flujo de NIFI como hemos hablado. 00:11:31
Se accede, en este caso con un local host porque está instalado en la propia máquina Windows por el puerto 8443. 00:11:36
Este es un puerto que te permite NIFI poner el que tú quieras, pero bueno, en este caso el que te viene por defecto es este. 00:11:43
Y luego la aplicación de MetaDefender que, como hemos visto, pues eso, tiene, es una etefa bastante sencilla, intuitiva, no tiene mucho más que explicar. 00:11:49
Entonces, una vez que tenemos todos los flujos de NIFI parados, vemos que se nos van poniendo en rojo. 00:12:04
Esto indica que ahora mismo que el flujo de NIFI está parado y que cualquier fichero que entre en el sistema no se va a analizar ni se va a mover a ningún lado. 00:12:15
¿Vale? 00:12:23
Vale. 00:12:23
Entonces, vamos a empezar lo que sería un envío de un fichero normal. 00:12:24
Mi equipo de cliente, bueno, lo que comentaba antes de la consola del Firewall desde donde se gestiona, que aquí nos permitiría, pues eso, quitar si no queremos permitir o cambiar la dirección IP del objeto o del servidor nuestro de ficheros si tenemos más de uno, etcétera. 00:12:29
En este caso, como está permitida la conexión FTP, lo que he hecho con el WinSTP, pues, bueno, tengo una conexión directa con el servidor de ficheros, con mi usuario Marcos. 00:12:50
Bueno, comentar también que el servidor NIFI, las conexiones para hacerse a través del FTP se hacen a través de un filecilla en el que, bueno, hemos configurado un par de usuarios que se llaman Marcos y Pepe, 00:13:02
donde van a dejar los ficheros en sinalanizar de su nombre, ¿vale? 00:13:19
Vale. 00:13:26
Entonces, yo en este caso con el usuario Marcos me conectaría al servidor por protocolo FTP, lo más lógico sería SFTP, pero bueno, en este caso para hacer la prueba habilitamos el FTP. 00:13:27
Nos conectaríamos y nosotros no veríamos en ningún momento la ruta ni nada, solo veríamos un directorio que apunta al servidor de ficheros en el que nosotros diremos, vale, pues voy a pasar los ficheros que yo quiero. 00:13:38
En este caso un fichero test.txt, un fichero cifrado, que es un 7-zip con una contraseña y un fichero EICAR, que es un fichero para hacer pruebas de antivirus, etcétera, que da siempre como que es una amenaza. 00:13:52
Hemos depositado nuestros ficheros ya en el servidor para que entren en nuestra recorporativa. Hemos visto aquí como han entrado los ficheros en el Filecilla, los logs del Filecilla, pues si tenemos algún tipo de duda, etcétera, esto lo voy a cerrar ya, y se han quedado depositados aquí, en el directorio sin analizar, Marcos, y tenemos nuestros tres ficheros para analizar. 00:14:10
Vale. 00:14:39
En este caso vamos a comenzar con lo que sería el flujo de NIFI, vamos a ir paso a paso y luego vamos a volver a hacer una prueba con todo automatizado. 00:14:40
En primer lugar, haríamos un GetFile, en el que en el procesador de NIFI le hemos indicado el input directory de donde va a coger los ficheros. Si tienen algún filtro, en este caso ninguno, que puede coger cualquier tipo de ficheros. 00:14:53
¿Vale? Entonces lo ejecutamos una vez y vemos que ya hay tres ficheros aquí encolados para pasar al siguiente procesador. Si esto fuese automático ya hubiesen pasado, pero bueno, vamos a ir paso a paso para... 00:15:09
Podemos ver aquí en la cola que los ficheros que nos indican, él le pone un UID porque trabaja con esto NIFI, pero los ficheros serían estos tres. 00:15:27
Ahora mismo únicamente ha hecho coger los ficheros, ha detectado del directorio, todavía no se han analizado. 00:15:41
Siguiente procesador sería modificar el nombre del fichero. ¿Para qué? Para que en caso de que el fichero contenga algún carácter que no es UTC8, lo modifique. 00:15:49
Si es cirílico o en árabe o cualquier cosa, que lo reemplace por unas barras bajas. 00:16:00
Vale. 00:16:06
Ni incluso, por si acaso tenemos algún tipo de problema a la hora de analizar. No deja de ser una herramienta comercial y el tema de los abecedarios que no son europeos, digamos, no sabemos cómo puede reaccionar. 00:16:07
Siguiente paso, guardaría el fichero en temporal en el que le indicamos eso, que en tráfico temporal me lo mandes a la ruta que ha sido. En este caso sería Marcos, porque lo ha cogido de sin analizar Marcos. 00:16:24
Vamos a ejecutar este para que lo mueva y este para que lo mueva temporal. 00:16:38
Una vez ejecutado, bueno, solo se ejecuta una vez, dos y tres. 00:16:45
Ya tendríamos aquí los tres ficheros. 00:16:58
Ya no estarían en el directorio sin analizar, sino que estarían en el directorio temporal, Marcos. 00:17:07
Si deberíamos de ver el ICAR ahora cuando lo ejecute una vez más. 00:17:15
No sé dónde se ha llevado el fichero este, el ICAR. Posiblemente lo haya pasado, pero bueno, ahora lo volveremos a meter. Es que al final al ir paso por paso puede dar algún problema ya. 00:17:26
Lo que comentaba de seedlog, en este caso, como no tenemos servidor de seedlog, le he puesto una IP que estaría dentro de nuestra red corporativa y mandaría el log con este cuerpo. 00:17:38
Es un fichero nuevo detectado, el fichero con la ruta que sea y el nombre del fichero, el tamaño y se envía para su análisis. 00:17:51
Voy a arrancar todos estos procesadores a la vez para ver cómo ya están tres encolados para ser enviados al análisis. 00:17:59
Esto lo que hace es un invoco HTTP, que es invocar directamente a la API de MetaDefender a través del puerto 8008 en esta URL y le hace un post de los ficheros. 00:18:09
Si nos vamos aquí ya al MetaDefender, vemos que nos ha detectado los ficheros. Este lo ha pasado peces por lo que he comentado, porque al haberlo ejecutado una vez lo habrá mandado peces. 00:18:20
El fichero test, en el que nos indica que no ha habido ningún tipo de amenaza y que el fichero está permitido. 00:18:33
El test cifrado con contraseña y el ejecutable. Aquí vemos los motores que comentaba, los ocho motores, que son motores comerciales y el resultado que han dado. 00:18:40
En este caso esto no los ha ejecutado, pero de ocho, seis lo ha detectado como tal. 00:18:56
Siguiente paso, una vez que haya sido analizado por el MetaDefender, tenemos el flujo de progreso de escaneo y resultado, que lo que hace es lo mismo. 00:19:04
Con el data ID de según el resultado que le haya dado, consulta y hace un bucle continuo. 00:19:15
En este caso son ficheros pequeños, pero si fuese un fichero de 2 gigas, una ISO, algo que tardaría bastante en analizarse, hasta que no llegue al 100% no actualiza el campo de motivo. 00:19:21
Si tiene virus, si está limpio o si está cifrado. 00:19:32
De esta manera levantamos todos los estos y si por algún casual el sistema no estuviese funcionando, nos daría un fallo, nos enviaría un email al servidor de email. 00:19:42
Lo mismo que pasa con el SYNLOG, no tengo un servidor de email aquí, en el que con el FROM del sistema de análisis nos enviaría un correo tanto al usuario como al departamento de seguridad, 00:19:54
indicando error. Error al intentar enviar el fichero, la ruta que está el fichero y el fichero. 00:20:04
Y luego llegaríamos a la última. 00:20:10
Estaría contemplado tanto una alerta de que ha habido un error en el flujo, en el tráfico y no ha llegado donde se debería llegar y otra diferente para cuando esté infectado ¿no? 00:20:16
Exacto. Eso lo vamos a ver ahora. 00:20:26
Este sería el último grupo de procesadores, que sería el movimiento al destino, en el que evaluaría el resultado y según el resultado que haya dado la API, en este caso, lo enviaría de un lugar a otro. 00:20:30
Si el fichero no machea con ninguno de los motivos anteriores definidos, que son, si está permitido cifrado infectado, aquí en el procesador nosotros le indicamos los resultados que pueden dar. 00:20:48
Podemos añadir tantos resultados como MetaDefender nos pueda dar. Me parece que hay una variedad de unos 500 o 600 tipos de resultados de análisis que puede dar. En este caso, los más básicos serían estos. 00:21:04
Si no machea con ninguno de estos tres, y es otro de los 497 que he comentado de 500 que tiene, no lo mandaría a otros. Mandaría un SIGLOG igual, indicando que el fichero no ha sido permitido. 00:21:16
Eso es lo primero. Y el resultado que nos ha dado, que no ha sido ninguno ni permitido ni bloqueado y el bloque a Reason. 00:21:29
Vale. 00:21:41
Y esto lo movería a un directorio dentro del servidor que se llama analizado otros. 00:21:43
En caso de que el fichero esté permitido, mandaría igual un SIGLOG de que el fichero ya ha sido permitido y lo movería al directorio salida, que sería el directorio de limpios. 00:21:52
Quiere decir que el fichero está correcto y puede entrar dentro de nuestra red. 00:22:03
Y en caso de que esté infectado, lo mismo, nos mandaría todo esto siempre logado para poder mantener la traza del fichero en todo momento. 00:22:09
Y lo movería a otro directorio que tenemos, que sería analizado infectados y la ruta. En este caso, Marcos. 00:22:18
Si fuese cifrado, lo mismo, lo movería a cifrados. De temporal, que era el directorio que hemos movido mientras que se está analizando y una vez que ya ha sido analizado, lo deposita en el que sea. 00:22:26
Si el fichero está cifrado o infectado, como se puede indicar aquí, cifrado infectado o otros, cualquiera de estos tres resultados, lo que va a hacer es enviarnos un email. 00:22:38
Igual, al sistema análisis y al usuario y al departamento de seguridad, indicando el análisis del fichero tal ha sido resultado no sé cuántos y el motivo, infectado, cifrado, etc. 00:22:53
Entonces, si arrancamos todo el procesador ahora. 00:23:10
Este nos está dando una routine toufan porque ha movido dos veces el fichero como hemos visto antes. 00:23:19
Entonces, ya vemos que en temporal no está el fichero y si nos vamos a analizado, veremos en cifrados. Este es anterior del otro día. 00:23:24
Marcos, vemos el fichero test cifrado. En infectado, Marcos, vemos el fichero EICAR que nos ha detectado como virus y en limpios, Marcos, el fichero test. 00:23:35
Una vez que ya haya sido el fichero sanitizado y esté en limpios, mediante incluso el propio ONIFI o cualquier otro programa, lo podríamos distribuir a los distintos servidores o lugar donde tenga que acabar el fichero. 00:23:49
Luego, lo suyo sería, con una tarea programada, que los ficheros que no estén en limpios y lleven más de 30 días en el directorio. 00:24:05
Porque entendemos que 30 días es un tiempo razonable para que el usuario se queje de que no le están llegando los ficheros y si en 30 días no nos ha protestado, el fichero se va a proceder a eliminar del sistema. 00:24:16
Tanto si están infectados como cifrados o en el directorio otros. 00:24:31
Entonces, básicamente, ese sería el funcionamiento del sistema. 00:24:37
No sé si tienes alguna consulta, alguna duda. 00:24:48
Desde tu conocimiento o experiencia con este tema, ¿crees que podría aportar algo nuevo este proyecto en este ámbito a lo que ya existe comercializado en el mercado? 00:24:52
A la hora de grandes empresas, yo creo que le añadiría una capa más de seguridad, sobre todo el tema de la automatización. 00:25:08
Porque hay muchas empresas que todavía, para intentar meter ficheros en las redes aisladas, tienen que ser de manera manual o autorizadas por alguien. 00:25:18
Y de esta manera, conseguiríamos automatizarlo todo y dedicar los esfuerzos de las personas a otras labores. 00:25:28
Estoy de acuerdo. Muy bien. Por mi parte, no sé si quieres añadir algo más o vamos por terminar la exposición. 00:25:37
Creo que ha quedado todo bastante bien explicado y no tengo nada más que añadir. 00:25:48
Venga, perfecto. Paro la grabación, entonces. 00:25:55
Idioma/s:
es
Subido por:
Jorge Antonio P.
Licencia:
Dominio público
Visualizaciones:
7
Fecha:
19 de enero de 2024 - 19:12
Visibilidad:
Clave
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
25′ 59″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
274.61 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid