Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Nombre del curso: Seguridad Informática y Nombre del profesor: Miguel Ángel Gómez
Criptografía Marroquín
Fecha: 31/03/2021
Dado que todas las redes están bajo ataque, es importante que comprendamos el
monitoreo de red y las herramientas de monitoreo de red para que tengamos los recursos
y conocimientos necesarios defender y proteger la red.
Para mitigar amenazas se debe mitigar cualquier amenaza, esto se logra asegurando y
protegiéndolas de la mejor manera. Lo anterior exige un enfoque de defensa en profundida
por lo tanto requiere el uso de métodos comprobados y una infraestructura de seguridad
constituida de firewalls, Sistema de Detección de Intrusiones (IDS, siglas en inglés),
Sistema de Prevención de Intrusiones (IPS, siglas en inglés), y software de seguridad de
punto terminal (endpoint security). Estos métodos y tecnologías se utilizan para
automatizar el monitoreo en la red, crear alertas de seguridad o incluso bloquear
automáticamente dispositivos ofensivos cuando algo sale mal.
Una parte importante del trabajo del analista de ciberseguridad es revisar todas las alertas
generadas por dispositivos de red y determinar la validez de las mismas.
Para determinar el comportamiento normal de una red, el monitoreo de red debe de ser
implementado. Se utilizan diversas herramientas para ayudar a detectar el comportamiento
normal de la red, por ejemplo, IDS, los analizadores de paquetes, SNMP y NetFlow.
Algunas de estas herramientas requieren datos de red capturados. Hay dos métodos
comunes utilizados para capturar tráfico y enviarlo los dispositivos de monitoreo de red:
Los taps de red, también conocidos como Test Access Point (TAP)
La réplica del tráfico mediante "Switch Port Analizer" (SPAN) o cualquier otra duplicación
de puertos.
Reporte
Taps de red
Los taps también son a prueba de fallos, lo que significa que el tráfico entre el firewall y el
router interno no se ve afectado.
Debido a que la captura de datos por monitoreo requiere que todo el tráfico sea capturado,
deben emplearse técnicas especiales para evitar la segmentación de la red impuesta por
los switches de red. La duplicación de puertos es una de estas técnicas. Compatible con
muchos switches empresariales, la duplicación de puertos permite que un switch copie
tramas que son recibidas de uno o varios puertos en un puerto "Switched Port Analyzer"
(SPAN) conectado a un dispositivo de análisis.
Reporte
SPAN
El switch reenvía el tráfico de ingreso en el F0/1 y el tráfico que egreso en el F0/2 hacia el
puerto SPAN de destino en G0/1 el cual se conecta a un IDS.
SNMP permite a los analistas solicitar y recibir información acerca del funcionamiento de
dispositivos de red. Es otra buena herramienta para monitorear el comportamiento de una
red.
Los analistas de seguridad deben estar familiarizados con todas estas herramientas.
Wireshark también puede abrir archivos que contengan tráfico capturado desde otro
software, como tcpdump. Popular entre los sistemas tipo UNIX (como Linux), tcpdump es
una utilidad muy completa con numerosas opciones de línea de comandos. En la pantalla
de comandos de la imagen, se muestra un ejemplo de una captura de
paquetes tcpdump de ping
NetFlow
NetFlow es una tecnología de Cisco IOS que proporciona estadísticas 24/7 sobre los
paquetes que atraviesan un router o switch multicapa de Cisco. NetFlow es el estándar
para recopilar datos operacionales de IP en redes IP. Actualmente, NetFlow es compatible
con plataformas que no son de Cisco. IP Flow Information Export (IPFIX) es una versión de
NetFlow que es un protocolo estándar del IETF.
SIEM
SOAR
"Playbooks" que realizan acciones como acceder y analizar datos relevantes, tomar
medidas para aislar sistemas comprometidos y estudiar amenazas para validar alertas y
ejecutar una respuesta a incidentes.
Ofrece Paneles e informes para documentar la respuesta a incidentes con el fin de mejorar
los indicadores clave de rendimiento del SOC y puede mejorar en gran medida la
seguridad de red de las organizaciones.
Sistemas SIEM
Existen varios sistemas SIEM. "SolarWinds Security Event Manager" y "Splunk Enterprise
Security" son dos de los sistemas SIEM patentados más populares utilizados por los SOC.
Para conocer más sobre estos productos, realizar una búsqueda en internet.
En este curso, utilizaremos un producto de código abierto llamado Security Onion que
incluye el conjunto ELK para la funcionalidad SIEM. ELK es el acrónimo correspondiente
para tres productos de Elastic: