UNIÓN TEMPORAL CONECTA COLOMBIA INFORME No. 4 ANÁLISIS E INTERPRETACIÓN DE DATOS PLATAFORMA DE GESTIÓN Y ADMINISTRACIÓN CENTRALIZADA JUNIO 2015

Transcripción

1 UNIÓN TEMPORAL CONECTA COLOMBIA 2015 INFORME No. 4 ANÁLISIS E INTERPRETACIÓN DE DATOS PLATAFORMA DE GESTIÓN Y ADMINISTRACIÓN CENTRALIZADA JUNIO 2015 CONTRATO No. 557 de 2014 Página 1 de 15

2 Tabla de contenidos 1 INTRODUCCIÓN 3 2 CONSUMO DE ANCHO DE BANDA 5 3 TOP DESTINOS MÁS USADOS 7 4 TOP INCIDENTES DE BLOQUEO WEB 9 5 VIRUS/BOTNETS BLOQUEADOS EN EL PERÍMETRO 11 6 TOP APLICACIONES USADAS 13 7 CONCLUSIONES Y RECOMENDACIONES 15 Página 2 de 15

3 1 Introducción Para el cumplimiento del objeto del contrato No. 557 de 2014, como contratistas del mismo debíamos implementar la plataforma de gestión y administración centralizada solicitada, para tal fin se dispuso de los siguientes equipos para cumplir con dicho objeto: 1. Solución de control centralizado a través de arreglo en alta disponibilidad (HA) de los equipos Fortigate 1500D. Estos equipos permiten gobernar todo el tráfico que circulo desde las sedes educativas hacia internet, aplicando las diferentes reglas de protección (control de contenidos, antivirus perimetral, control de ancho de banda, sistema de prevención de intrusos, entre otros.) y posibilitando la optimización y el debido control al servicio de internet. 2. Solución de Caché a través del equipo Forticache 3000C, permite optimizar el contenido entregado a través de la técnica de almacenamiento local para los diferentes objetos que pueden ser consultados hacia internet. 3. Solución de reportería avanzada a través del equipo FortiAnalyzer 2000B, permite almacenar todos los registros que generan los equipos de borde y proporciona una herramienta de centralización de registros para uso posterior. 4. Solución de gestión centralizada a través del equipo FortiManager 300D, permite centralizar toda la configuración realizada en los equipos de borde y en la plataforma fortinet. 5. Equipos de borde a través de los equipos FortiWifi-60D, FortiWifi-90D y FortiGate-100D que permiten establecer el primer nivel de caché y el control de tráfico para cada segmento de red. 6. Soluciones inalámbricas para exteriores a través de los equipos FortiAP-221B que permiten heredar todas las políticas creadas para las redes cableadas llevándolas a las redes inalámbricas. Organización del contenido Este reporte se divide en 6 secciones que se detallan a continuación: 1. Consumo de ancho de banda: en esta sección de detallará el consumo total de ancho de banda por día tanto para el tráfico de descarga (in) como el de subida (out). La intención de este reporte es la de analizar el comportamiento del tráfico para diferentes periodos de tiempo con el fin de establecer una línea base de comportamiento y detectar anomalías en el futuro. 2. Top de destinos más usados: con el fin de poder detectar los dominios o direcciones IP destino que ocupen la mayor parte del tráfico y tomar acciones de mejora. 3. Top incidentes de bloqueo para la navegación Web: a través de estos datos se puede detectar comportamiento anómalo que los productos de seguridad en punto final no han sido capaces de detectar, por ejemplo, nuevo malware. Página 3 de 15

4 4. Virus/Botnets Detectados (perímetro): las nuevas amenazas avanzadas persistentes (APT del inglés Advanced Persistent Threat) representan un riesgo permanente para toda organización con flujo de datos desde y hacia internet, no basta con tener una solución de seguridad perimetral, hay que complementar la estrategia de defensa en profundidad con tecnologías que permitan la identificación y modelado de TODO el tráfico que cursa entre la red Lan e Internet. Una vez se haya identificado el tráfico las herramientas deben ser capaces de identificar, basadas en protocolos, firmas, comportamiento, reputación de direcciones IP, etc. Las amenazas internas. 5. Top aplicaciones más usadas: con el fin de detectar el uso que se hace de los canales de internet y haciendo uso de tecnologías de detección en capa 7 se pretende detectar y construir una línea base de uso de aplicaciones en la Entidad. 6. Conclusiones y Recomendaciones: finalmente se generan conclusiones y recomendaciones para avanzar en el objetivo de tener una infraestructura que ofrezca los tres servicios básicos de seguridad: confidencialidad, disponibilidad e integridad. Página 4 de 15

5 2 Consumo de Ancho de Banda Ancho de Banda Consumo de Ancho de Banda (Gb) May31-Jun06 Jun07-Jun13 Jun14-Jun20 Jun21-Jun27 Total Descarga (in) 2104,9 1590,2 1482,9 1641,6 6819,6 Subida (out) 83,9 67,7 61,2 63,2 276 Se nota una leve disminución de tráfico con relación al mes de mayo de 2015 (434Gb). Se consumieron un total de 6,8 Terabytes de información distribuida en 142 sedes educativas con servicio de conexión terrestre. Teniendo en cuenta las velocidades de transferencia y los días de servicio, las 142 sedes educativas con servicio terrestre deberían consumir 21,4 Terabytes de información en 20 días (Lunes a Viernes) con jornadas de 6 horas diarias. El consumo del mes de junio (6,8 Tb) representa el 32% de este valor. Este valor resulta ser un indicador positivo ya que las diferentes variables de ocupación del canal (cortes energéticos, utilización de aulas con fines diferentes al uso de internet, indisponibilidad del servicio, etc.) minimizan considerablemente la posible utilización del 100% del tamaño disponible. Según cifras del NAP Colombia 1 el consumo promedio en el mes de Enero de 2014 fue de Mbps para millones de usuarios en Colombia, con una velocidad promedio de 4mbps deberían consumir, en un periodo de 30 días Terabytes, sin embargo el consumo es de Tb lo que representa el 27% de consumo. En conclusión tenemos un consumo por encima del promedio nacional. En suma, el consumo de Descarga fue de 6.819,66 Gb y de Subida fue de 276 Gb para todo el mes de Junio de Página 5 de 15

6 Con relación al mes de Mayo de 2015 se presenta una diferencia del consumo negativa de 434 Gb de descarga y 21,5 Gb de Subida con relación al mes de Junio de Diferencia de Consumo de ancho de banda Mayo vs Junio (Gb) Suma de Ancho de Banda Mayo Junio DIFERENCIA Descarga (in) 7253,6 6819,6-434 Subida (out) 297, ,5 La diferencia negativa está relacionada con la salida a vacaciones de los usuarios del servicio. Página 6 de 15

7 3 Top destinos más usados 600 Top Destino más usado (tráfico en Gb) googlevideo.com gvt1.com microsoft.com 300 avast.com akamaihd.net windowsupdate.com May31-Jun06 Jun07-Jun13 Jun14-Jun20 Jun21-Jun27 Página 7 de 15

8 Top 5 destinos más usados 1600 GigaBytes consumidos googlevideo.com gvt1.com avast.com windowsupdate.com Serie1 1063,2 424,1 356, ,8 Top 5 destinos más usados: URL/IP Tráfico (Gb) Empresa registrante País windowsupdate.com 1418 Microsoft USA avast.com 356,1 Avast Software CZ Utilidad Sitio de descargas de actualizaciones automáticas de Windows. Sitio de descargas de actualizaciones automáticas del antivirus AVAST. googlevideo.com 1063,2 Google Inc. USA Buscador de videos de google. gvt1.com 424,1 Google Inc. USA Redireccionador de google ,8 Akamai USA CDN mundial Se evidencia el claro predominio de actualizaciones automáticas para Microsoft y Avast con el 48,9% del tráfico, seguido del tráfico de video de google con el 41%. Página 8 de 15

9 4 Top incidentes de bloqueo web 800,0 Bloqueo de peticiones Web 700,0 600,0 500,0 doubleclick.net googlesyndication.com mopub.com 400,0 twiteer.com twimg.com yahoo.com 300,0 mgccw.com facebook.com 200,0 100,0 - May31-Jun06 Jun07-Jun13 Jun14-Jun20 Jun21-Jun27 Página 9 de 15

10 Cantidad de bloqueos 3.000, , , , ,0 500,0 - doubleclick.net Top 5 bloqueo de peticiones Web googlesyndication.co m twiteer.com twimg.com facebook.com Serie ,8 634,3 254,2 173, ,8 Top 5 destinos más bloqueados: URL/IP Cantidad de veces Categoría doubleclick.net Advertising googlesyndication.com facebook.com twiteer.com twimg.com Search Engines and Portals Social Networking Social Networking Social Networking Verificación php?data=doubleclick.net php?data=googlesyndication.com php?data=facebook.com php?data=twitter.com php?data=twimg.com Se evidencia claramente la gran cantidad de bloqueos realizados a redes sociales no permitidas (61%) con lo cual se optimiza el tráfico hacia internet y el ancho de banda disponible para todas las instituciones. Por otra parte es importante notar que el bloqueo de soluciones de mercadeo (doubleclick y googlesyndication) permite aumentar el ancho de banda disponible para los usuarios haciendo de esta herramienta de bloqueo una solución imprescindible a la hora de prestar el servicio de internet en instituciones educativas. Página 10 de 15

11 5 Virus/Botnets bloqueados en el perímetro Virus o Botnets detectados en el perímetro H-worm.Botnet Tyni.Botnet AAEH.Botnet Gozi.Botnet Necurs.Botnet Andromeda.Botnet Zeus.Botnet Conficker.Botnet Mariosa.Botnet Zeus Adware/SystemMonitor!Android Adware/Agent.B!tr Adware/Dowgin!Android Adware/Fam.NB Adware/RevMob!Android Adware/Viser!Android Tofsee - May31-Jun06 Jun07-Jun13 Jun14-Jun20 Jun21-Jun27 Página 11 de 15

12 Top 5 virus/botnets bloqueados en el perímetros Cantidad de bloqueos H-worm.Botnet AAEH.Botnet Necurs.Botnet Andromeda.Botnet Zeus.Botnet Serie URL/IP Cantidad intentos Documentos de Referencia bloqueados H- Worm.Botnet Andromeda.Botnet Zeus.Botnet html Necurs.Botnet The+Malware+That+Breaks+Your+Security AAEH.Botnet Se nota claramente que hay un panorama crítico en cuanto al nivel de infección de Botnet y Virus en las sedes educativas beneficiarias del programa conexión total. Las botnets detectadas mantienen actividad en la actualidad ( por lo tanto no obedece a comportamiento desactualizado, corresponde a actividades maliciosas actuales, es decir, los recursos computacionales y de acceso a internet han sido usados para actividad maliciosa. Cabe anotar que la inclusión de estas herramientas de control (plataforma de seguridad centralizada) han permitido detectar y frenar el actuar de cada uno de los virus o botnets detectados. Página 12 de 15

13 6 Top aplicaciones usadas 800 Top consumo de ancho de banda por aplicación Youtube SSL HTTP.BROWSER Facebook HTTP.Segmented.Download HTTP.Download.Accelerator Avast.Update 300 HTTPS.BROWSER QUIC 200 Jdownloader MS.Windows.Update May31-Jun06 Jun07-Jun13 Jun14-Jun20 Jun21-Jun27 Página 13 de 15

14 Top 5 consumo por aplicaciones Gigabytes Youtube SSL HTTP.BROWSER HTTPS.BROWSER MS.Windows.Update Serie Aplicación/Protocolo Ancho de banda usado (Gb) Categoría HTTPS.BROWSER 360 Network Service MS.Windows.Update Update Youtube Video/Au dio SSL 507 Network Service HTTP.BROWSER 360 Network Service Verificación applications/ Existe una relación directa entre el tráfico cursado y las aplicaciones más usadas, refiriéndonos al tráfico de actualizaciones en productos Microsoft. Se nota la acertada aplicación de las reglas de control para minimizar el impacto en el uso del software P2P JDownloader, en beneficio del tráfico de navegación (HTTP.BROWSER y HTTPS.BROWSER) de los usuarios que suman el 14% del uso del servicio. Página 14 de 15

15 7 Conclusiones y recomendaciones Conclusiones Es evidente que la implementación de la tecnología UTM en el perímetro de la red para el proyecto Conexión Total ha aumentado el nivel de seguridad y de rendimiento de la infraestructura tecnológica de la misma. Con la implementación de tecnología UTM se deben afianzar y rediseñar las Políticas y Procedimientos de seguridad informática de las instituciones educativas beneficiarias del programa conexión total. Se evidencia claramente que hay muchos aspectos por corregir y mejorar en cuanto al manejo que hacen las sedes educativas de sus recursos informáticos tales como: o Descarga e instalación de software pirata. o Equipos informáticos infectados con malware/botnets sin acciones correctivas contundentes. o Ausencia de capacitación en el personal encargado de las aulas informáticas. Las reglas aplicadas para minimizar el impacto del uso de herramientas P2P tales como JDownloader resultaron efectivas y permitieron aumentar el consumo (ancho de banda) del servicio de internet para los usuarios (sedes educativas) Recomendaciones Avanzar en la construcción de contenidos digitales para implementar un programa de concientización en seguridad informática al interior de la sedes educativas. Dicho programa de contar con mínimo los siguientes ítems: o Charlas de concientización a los usuarios o Salva pantallas con temas relacionadas a la seguridad informática o Medios impresos (afiches, pendones, flyers, etc.) para apoyar los conceptos expuestos en las charlas o Medios digitales (imágenes, animaciones videos, etc.) para apoyar los conceptos expuestos en las charlas Se debe hacer una jornada de desinstalación de software innecesario (por ejemplo la barra de iminent) en los equipos de las sedes educativas. Página 15 de 15