Diseño e implementación de una solución siem

GALLEJOS LÁZARO, Felipe (2019) Trabajo de Fin de Máster (TFM)

El trabajo de fin de máster “Diseño e implementación de una solución SIEM” tratará de integrar un SIEM dentro de una compañía típica, que, aunque dispone de las piezas para proteger la información, carece de esta tecnología que podría aportarle visibilidad, mejora en la detección de amenazas y agilidad en la investigación. Se trata de una compañía con servicios publicados en Internet (www, ftp), servicios corporativos y sedes remotas. Dispondrá de equipos de protección de perímetro; de protección interna, que además de proteger, segmentarán las redes más críticas (Dirección, Servidores) y de equipos de protección de las sedes remotas. Se recolectarán los eventos y los logs de los elementos de red (switches y routers), de los elementos de seguridad, de los servicios (www, ftp) y equipos de usuario. Los dos objetivos principales de este TFM son: o La integración de todos los elementos típicos en una compañía, entre ellos, tres de los principales fabricantes de NGFW del mercado, electrónica de red y de distintos servicios vulnerables, con un SIEM. o Desarrollo de reglas de correlación que detecten diferentes amenazas a las que se enfrentará esta empresa ficticia. Detalle de la Compañía A nivel 2 esta compañía dispone de un switch Cisco WS-C2600 con las siguientes VLAN creadas: o Externa (192.168.1.0/24) o DMZ (10.1.1.0/24) o Usuarios (10.1.2.0/24) o Servidores (10.1.3.0/24) o VIP (10.1.4.0/24) o Gestión (192.168.2.x/24) o ExternaFortinet (10.1.6.0/24) o ExternaPaloAlto (10.1.8.0/24) o InternaCheckpoint (10.1.7.0/24) Del routing inter-vlan (nivel 3) se encarga un router Cisco 1800. Enrutando entre las distintas redes internas y encaminando el tráfico hacia Internet. Además, es el encargado del servicio DHCP de la red. En el perímetro de conexión a Internet se dispone de un NGFW del fabricante Checkpoint modelo 2200. En la DMZ que protege este FW, se ha instalado Damn Vulnerable Web App (DVWA), se trata de una aplicación web basada en PHP/MySQL, que presenta vulnerabilidades. Y un servidor FTP. Ambos servicios se han montado sobre máquinas con sistema operativo Linux. Internamente, un Fotigate 101E del fabricante Fortinet, se encarga de segmentar y proteger las redes más críticas, concretamente, las redes de Servidores y la red VIP, donde se encuentra entre otros, el PC del CEO (Microsoft Windows 10). En la frontera con las oficinas remotas hay instalado un NGFW del fabricante Palo Alto modelo PA-220 con todo el licenciamiento activado. Además, se dispone de una red de gestión en la cual todos los elementos de red y seguridad disponen de un interfaz (192.168.2.0/24).
The master´s thesis "Design and implementation of a SIEM solution" will try to integrate a SIEM within a typical company, although it has the parts to protect the information, lacks this technology that could provide visibility, improvement in threat detection and research agility. It is a company with services published on the Internet (www, ftp), corporate services and remote offices. It has perimeter and internal protection equipment, which in addition to protecting, segment the most critical networks (Management, Servers). The events and logs of the network elements (switches and routers), security elements, services (www, ftp) and user equipment will be collected. The two main objectives of this TFM are: o The integration of all the typical elements in a company, including three of the main manufacturers of NGFW in the market, network electronics and different vulnerable services, with a SIEM. o Development of correlation rules that detect different threats that this fictitious company will face. Company details Vlan routing (level 3) is handled by a Cisco 1800 router. Routing between the various internal networks and routing traffic to the Internet. In addition, it is manage the DHCP service. In the Internet connection perimeter there is a NGFW Checkpoint model 2200. In the DMZ that protects this FW, Damn Vulnerable Web App (DVWA) has been installed, it is a web application based on PHP / MySQL, which it has vulnerabilities. And a FTP server. Both services have been mounted on machines with Linux operating system. Internally, a Fotigate 101E (manufacturer Fortinet), is in charge of segmenting and protecting the most critical networks, specifically, the Server networks and the VIP network, the CEO´s PC (Microsoft Windows 10) is among others. At the border with the remote offices there is an NGFW Palo Alto, model PA-220, with all licensing activated. In addition, there is a management network in which all network and security elements have an interface (192.168.2.0/24).
  • Tipo de documento: Trabajo de Fin de Máster (TFM)
  • Directores: Manuel Carpio Cámara
  • Tipo de autorizacion: Acceso abierto
  • Título obtenido:
  • Derechos: CC Atribución-NoComercial-SinDerivadas 3.0 España