I Introducción
1. propuesta
1.1 Objetivos
1.2 Motivación
1.3 Desarrollo propuesto
1.4 Resultados esperados
ii marco teórico
2 dns: sistema de resolución de nombres
2.1 Historia del Sistema de Nombres de Dominio
2.2 Sistema de Nombres
2.2.1 Top Level Domains
2.2.2 Delegación de subdominios/zonas
2.3 Servidores de DNS
2.3.1 Clasificación
2.4 Funcionamiento del protocolo
2.4.1 Cliente/servidor y resolver
2.4.2 Resolución de nombres: iterativo vs. recursivo
2.5 Resource Record (RR)
2.5.1 Estructura del Resource Record
2.5.2 Servicios y registros de DNS
2.5.3 Tipos de registros
2.6 Mensajes de DNS
2.6.1 Estructura de los Mensajes
2.6.2 La sección consulta
2.6.3 La sección respuesta
2.7 Dynamic DNS
3 rpz: response policy zones
3.1 ¿Qué es RPZ?
3.2 ¿Por qué utilizar RPZ?
3.3 Formato de la zona
3.4 Acciones
3.4.1 Acción NXDOMAIN
3.4.2 Acción NODATA
3.4.3 Acción PASSTHRU
3.4.4 Acción DROP
3.4.5 Acción TCP-Only
3.4.6 Acción LOCAL DATA
3.5 Disparadores
3.5.1 La dirección IP del cliente
3.5.2 El nombre consultado
3.5.3 La dirección contenida en la respuesta
3.5.4 El servidor de nombres
3.5.5 La dirección IP del servidor de nombres
4. malware
4.1 Introducción
4.2 Tipos de malware
4.2.1 Botnets
4.2.2 Ransomware
4.3 Vectores de ataque
4.3.1 Spam
4.3.2 Phishing
iii planteo
5 problema
6 solución propuesta
iv Desarrollo
7 análisis de tecnologías utilizadas
7.1 Servicios de RPZ
7.1.1Metodologías de sincronización
7.1.2 Análisis de servicios
7.2 Servidores de DNS
7.3 Recolectores y pre-procesado de Logs
7.4 Gestión de incidentes
7.4.1 Introducción
7.4.2 ¿Para qué sirve?
7.4.3 Extensiones
7.4.4 Web
7.4.5 Notificaciones
7.5 Bases de datos
7.5.1 ElasticSearch
7.5.2 MongoDB
7.6 Dashboards
7.6.1 Discover
7.6.2 Visualize
7.6.3 Dashboard
7.7 Framework de desarrollo
8 Implementación
8.1 Configuración de los Servidores DNS
8.1.1 Política permisiva (anubis.unlp.edu.ar)
8.1.2 Política restrictiva (opendns.cert.unlp.edu.ar)
8.1.3 Implementación de zona RPZ propia en el ámbito de CERTUNLP
8.1.4 Configuración de Logs
8.1.5 Configuración de la cláusula Forward en los DNS locales
8.1.6 Configuración de Zonas RPZ
8.2 Tratamiento de Logs
8.2.1 Recepción
8.2.2 Parsing
8.2.3 Enriquecimiento
8.2.4 Almacenamiento
8.3 RPZ Log Analysis and Reporting Tool
8.3.1 Objetivo
8.3.2 Tareas programadas
8.3.3 Cola de Logs
8.3.4 Filtros
8.3.5 Etiquetas
8.3.6 Incidentes
8.3.7 Registro en Sistema de Incidentes
8.4 Diagrama de la Implementación
9 Resultados
9.1 Utilización de Recursos
9.1.1
Memoria RAM
9.1.2 Carga del procesador
9.2 Detecciones con el sistema implementado
9.2.1 Estadísticas
9.2.2 Casos de éxito
9.2.3 Falsos positivos
9.2.4 Falsos negativos
9.2.5 Casos especiales
9.3 Análisis de los registros DNS del Bro
V Conclusiones y trabajos futuros
10 conclusiones y trabajos futuros
10.1 Conclusiones
10.2 Trabajos futuros
Bibliografía