Presentació d'Antonio Rodríguez (inLAB-FIB-esCERT UPC) a la TAC17 sobre "Ciberseguretat a les xarxes acadèmiques i de recerca", realitzada el 21 de juny a l'Hospital de la Santa Creu i Sant Pau.

1. Antonio Rodriguez
inLab.FIB-esCERT UPC | Juny 2017
L.IP.M: Llistat d’IPs Malicioses

2. 2
Introducció
• Problemàtica
• Un nombre creixent de ciberatacs a la Universitat
• Possible solució: Llistes negres d’IP
• Presenten alguns inconvenients
• Inclouen moltes adreces
• Són genèriques

3. 3
Introducció (II)
• Característiques particulars
• Som un objectiu “peculiar”
• Dispersió de la infraestructura
• Hi ha relació entre els atacs

4. 4
Proposta (I)
• Encàrrec de servei UPC 2015
• Col·laboració amb el Departament d’arquitectura
de computadors (DAC)
• Una llista pròpia que tingui en compte:
• Incidents reals que han afectat a la UPC
• La importància d’aquests (Esta ordenada!)
• Tipus d’atac
• Impacte
• Nombre de casos
• DATA!
• No és mala idea...

5. 5
Proposta (II)
Una llista pròpia... No es mala idea.
• REDIRIS 2017
• Poniendo puertas al campo - ¿Cómo protegernos
teniendo las puertas abiertas?
• “Alberto Villaverde Carmona”
• Universidad Rey Juan Carlos
• https://tv.rediris.es/video/593296a2a7bc2839008b457f

6. 6
L.IP.M - Funcionalitats
• Inserir una adreça relacionada amb un
incident
• Cercar si una adreça ja es troba a la llista
• Eliminar una adreça que es consideri que no
hauria de ser a la llista
• Exportar la llista ordenada
• En cru (text)
• iptables

7. 7
Tecnologies utilitzades

8. 8
Inserir una adreça
• Es demana la IP (v4)
• La data de detecció de
l’incident
• Es diferent que la d’inserció
• El servei afectat
• Els mes comuns/tots
• Comentari
• Preguntes (SI/NO/NsNc)
• Accés
• Dades
• DoS
• Detecta IPs UPC!

9. 9
Buscar

10. 10
Eliminar
• Qualsevol usuari autenticat pot insertar una IP
• Les fonts no son del tot “fiables”
• Comptes vulnerats
• Errors
• ...
• Qualsevol usuari autenticat pot eliminar una IP
• Es demana el motiu

11. 11
Altres funcionalitats
• Integrada amb el CAS de la UPC
• Es registren totes les accions ;)
• Integrada amb l’LDAP de la UPC per filtrar els
usuaris per perfils
• Només PDI i PAS
• La resta només poden cercar IP’s
• Parseja fail2ban!
• Disposa d’una API!

12. 12
Sobre el nivell de perillositat
• Components
• Canal inserció
• Via web
• Via fail2ban
• Impacte (accés, dades,
denegació)
• Accés
• Dades
• Denegació
• Temporal
• Nombre total d’incidents
• Dies des de l'últim incident
• Paràmetres
• Pes del canal d’inserció
• Pes de les preguntes
• Pes de l’“aging”
• A més pes més ràpid
“envelleixen”

13. 13
Sobre la API
• Autenticada utilitzant Oauth
• Un token correspon a un usuari
• Implementa les mateixes funcionalitats que el
servei web

14. 14
Estat de les coses i què hem après
• La recepció i l’ús de l’eina han estat molt limitats.
• Es podria incentivar el seu ús, encara que fos de
manera parcial:
• Si es desenvolupés un script que, un cop afegit al cron,
enviés periòdicament els fitxers de log de fail2ban via
API.
• Afegint llistes externes per tenir-ho tot al mateix servei.
• No ens consta que cap unitat hagi integrat els
exports de la llista al Firewall de forma automàtica
ja que comporta certs riscos.
• Tot i que s’exporta en una chain a part...

15. • inLab
• inlab.fib.upc.edu
• https://twitter.com/inlabfib
• esCERT-UPC
• escert.upc.edu
• https://twitter.com/escert_upc
• Antonio Rodríguez
• antonio.rodriguez.g@escert.upc.edu
• https://twitter.com/tonrodriguez_
• https://inlab.fib.upc.edu/ca/persones/antonio-rodriguez
Contacte