Monday, June 1, 2009

What do you see ?


Esto que ven arriba es una imagen que genere hace un par de años atras con una porción del log de uno de los firewalls que administraba.

Y solamente tome una parte ya que entre los diez firewalls que tenia bajo mi responsabilidad se generaban 19.000.000 de eventos diarios.

Tenia que dar una presentación y hablar sobre el trabajo de mi equipo, pense que una "foto" de lo que acontecía diariamente en las fronteras de
la empresa seria una buena manera de demostrar nuestro trabajo.

Ya habíamos hablado de la representación grafica de logs en este post.



En este caso para generar estas imágenes utilice afterglow, una herramienta formada por una serie de scripts en Perl que permite graficar datos relacionados.



Como vemos en el gráfico anterior, dependiendo del tipo de dato es el color y forma asignada.

SIP : Source IP
DIP : Destination IP
Name : Puerto

Alimentando el script con mis logs, genere el grafico que encabeza el post.

En aquel gráfico, los colores estan distribuidos de la siguiente manera :

Source IP : Rojo
Destination IP : Amarillo
Port : Celeste

Veamos algunos detalles interesantes ( aclaro que no tengo la imagen para
ampliarla mas ya que genere la imagen solo para la presentación ) :

En el siguiente gráfico, vemos tres IP's que intentan conectarse al puerto 1433 de diferentes servers. Esto claramente es un scaneo en búsqueda de una vulnerabilidad especifica de parte de un atacante.


La imagen que sigue representa también el scanneo de un puerto en todo el rango de IP's de la compañía.


Parece la explosion de un fuego artificial no ?


Bueno para finalizar, les comento que afterglow permite generar gráfico online, es decir alimentándolo mediante tcpdump.

tcpdump -vttttnnelr /home/ram/defcon.tcpdump | ./tcpdump2csv.pl "sip dip dport" | \
perl afterglow.pl -c color.properties | neato -Tgif -o test.gif


Esto en una red grande es imposible de manejar, por lo menos con el tipo de logs que trabaje yo.

No comments: