Sistema de monitoreo de seguridad con Splunk para IoT en PYMEs del Ecuador, integrando MQTT y SNMP

Abstract

Este Trabajo de Fin de Maestría presenta el diseño de un sistema integral de monitoreo de seguridad basado en Splunk, diseñado específicamente para PYMEs en Ecuador, que aborda los desafíos de seguridad en entornos IoT mediante la integración de los protocolos MQTT y SNMP. La solución propuesta combina tecnologías de virtualización, análisis en tiempo real y protocolos ligeros para ofrecer una herramienta accesible y escalable. La implementación se realizó en un entorno simulado con GNS3, incorporando componentes clave como un firewall pfSense para protección perimetral, un switch Cisco L3 para gestión de tráfico, dispositivos IoT virtualizados incluyendo sensores de temperatura/humedad mediante MQTT y cámaras IP con Syslog, y un servidor Splunk encargado de recolectar, indexar y analizar los datos los registros de seguridad. La configuración de Splunk incluyó el HTTP Event Collector para recepción de datos MQTT, Syslog para logs de red y dispositivos IoT, y SNMP para monitoreo de infraestructura crítica. Losresultados demostraron capacidades avanzadas de detección proactiva, generando alertas automáticas por temperaturas críticas, caídas de interfaces e intentos de fuerza bruta, con notificaciones vía correo electrónico y paneles de control en Splunk. La solución destacó por su eficiencia en la visualización centralizada mediante dashboards interactivos que muestran en tiempo real el estado de sensores, interfaces de red y eventos clasificados por criticidad, facilitando la toma de decisiones. La integración de flujos de datos desde múltiples fuentes demostró ser robusta, permitiendo una correlación efectiva de eventos de seguridad. Entre los principales beneficios se encuentra el aprovechar software open-source como pfSense y Mosquitto junto con versiones gratuitas de Splunk, su escalabilidad para incorporar nuevos dispositivos y protocolos, y su capacidad para reducir los tiempos de respuesta ante incidentes mediante automatización. El proyecto valida que es posible implementar sistemas avanzados de monitoreo de seguridad en PYMEs con recursos limitados. La combinación de virtualización, protocolos optimizados para IoT y capacidades analíticas de Splunk ofrece un modelo sostenible para la protección de infraestructuras críticas contra amenazas cibernéticas crecientes. Los hallazgos recalcan la necesidad de monitoreo continuo en entornos con creciente adopción de dispositivos IoT. This Master's Thesis presents the design of a comprehensive security monitoring system based on Splunk, specifically designed for SMEs in Ecuador, which addresses security challenges in IoT environments by integrating MQTT and SNMP protocols. The proposed solution combines virtualization technologies, real-time analysis, and lightweight protocols to provide an accessible and scalable tool. The implementation was carried out in a simulated environment with GNS3, incorporating key components such as a pfSense firewall for perimeter protection, a Cisco L3 switch for traffic management, virtualized IoT devices including temperature/humidity sensors via MQTT and IP cameras with Syslog, and a Splunk server responsible for collecting, indexing, and analyzing security log data. The Splunk configuration included the HTTP Event Collector for receiving MQTT data, Syslog for network logs and IoT devices, and SNMP for monitoring critical infrastructure. The results demonstrated advanced proactive detection capabilities, generating automatic alerts for critical temperatures, interface failures, and brute force attempts, with notifications via email and control panels in Splunk. The solution stood out for its efficiency in centralized visualization through interactive dashboards that show the status of sensors, network interfaces, and events classified by criticality in real time, facilitating decision-making. The integration of data streams from multiple sources proved to be robust, enabling effective correlation of security events. Key benefits include leveraging open-source software such as pfSense and Mosquitto alongside free versions of Splunk, its scalability to incorporate new devices and protocols, and its ability to reduce incident response times through automation. The project validates that it is possible to implement advanced security monitoring systems in SMEs with limited resources. The combination of virtualization, IoT-optimized protocols, and Splunk's analytics capabilities offers a sustainable model for protecting critical infrastructure against growing cyber threats. The findings underscore the need for continuous monitoring in environments with increasing adoption of IoT devices.