Reporte

Nombre: Frank Guzmán Matrícula: 1824642

Nombre del curso: Seguridad Informática y Nombre del profesor: Miguel Ángel Gómez
Criptografía Marroquín

Actividad: AA-RESUMEN MODULO 14

Módulo Netacad: 15

Fecha: 31/03/2021

Módulo – 15 Monitoreo de redes y sus herramientas:

Dado que todas las redes están bajo ataque, es importante que comprendamos el
monitoreo de red y las herramientas de monitoreo de red para que tengamos los recursos
y conocimientos necesarios defender y proteger la red.

Topología de seguridad de la red

Para mitigar amenazas se debe mitigar cualquier amenaza, esto se logra asegurando y
protegiéndolas de la mejor manera. Lo anterior exige un enfoque de defensa en profundida
por lo tanto requiere el uso de métodos comprobados y una infraestructura de seguridad
constituida de firewalls, Sistema de Detección de Intrusiones (IDS, siglas en inglés),
Sistema de Prevención de Intrusiones (IPS, siglas en inglés), y software de seguridad de
punto terminal (endpoint security). Estos métodos y tecnologías se utilizan para
automatizar el monitoreo en la red, crear alertas de seguridad o incluso bloquear
automáticamente dispositivos ofensivos cuando algo sale mal.

Una parte importante del trabajo del analista de ciberseguridad es revisar todas las alertas
generadas por dispositivos de red y determinar la validez de las mismas.

Métodos de monitoreo de la red

Para determinar el comportamiento normal de una red, el monitoreo de red debe de ser
implementado. Se utilizan diversas herramientas para ayudar a detectar el comportamiento
normal de la red, por ejemplo, IDS, los analizadores de paquetes, SNMP y NetFlow.

Algunas de estas herramientas requieren datos de red capturados. Hay dos métodos
comunes utilizados para capturar tráfico y enviarlo los dispositivos de monitoreo de red:

 Los taps de red, también conocidos como Test Access Point (TAP)
 La réplica del tráfico mediante "Switch Port Analizer" (SPAN) o cualquier otra duplicación
de puertos.
 Reporte

Taps de red

Un tap de red suele ser un dispositivo de división pasiva implementado en el cableado de

la red, entre un dispositivo de interés y la red. Un tap reenvía todo el tráfico, incluidos los
errores de capa física, a un dispositivo de análisis, al tiempo que permite que el tráfico
llegue a su destino previsto.

Los taps también son a prueba de fallos, lo que significa que el tráfico entre el firewall y el
router interno no se ve afectado.

Duplicación de tráfico y SPAN

Debido a que la captura de datos por monitoreo requiere que todo el tráfico sea capturado,
deben emplearse técnicas especiales para evitar la segmentación de la red impuesta por
los switches de red. La duplicación de puertos es una de estas técnicas. Compatible con
muchos switches empresariales, la duplicación de puertos permite que un switch copie
tramas que son recibidas de uno o varios puertos en un puerto "Switched Port Analyzer"
(SPAN) conectado a un dispositivo de análisis.
 Reporte

La tabla identifica y describe la terminología de la función SPAN

SPAN

El switch reenvía el tráfico de ingreso en el F0/1 y el tráfico que egreso en el F0/2 hacia el
puerto SPAN de destino en G0/1 el cual se conecta a un IDS.

La asociación entre los puertos de origen y un puerto de destino recibe el nombre de

sesión de SPAN. En una sola sesión, es posible monitorear uno o varios puertos. En
algunos switches Cisco, el tráfico de la sesión se puede copiar a más de un puerto de
destino. Otra opción es especificar una VLAN de origen en la que todos los puertos de la
VLAN de origen se conviertan en fuentes de tráfico de SPAN. Cada sesión de SPAN
puede tener puertos o VLAN como orígenes, pero no ambas opciones.
 Reporte

Herramientas de monitoreo de seguridad de la red

Algunas herramientas comunes que son utilizadas para el monitoreo de seguridad de la

red son:

 Analizadores de protocolo de red (por ejemplo, Wireshark y Tcpdump)

 NetFlow
 Sistemas "Security Information and Event Management" (SIEM)

SNMP permite a los analistas solicitar y recibir información acerca del funcionamiento de
dispositivos de red. Es otra buena herramienta para monitorear el comportamiento de una
red.

Los analistas de seguridad deben estar familiarizados con todas estas herramientas.

Analizadores de protocolo de red

Los analizadores de protocolo de red no solo se utilizan para el análisis de seguridad.

También son útiles para la solución de problemas, desarrollo de software y protocolos, y
capacitación del personal. Por ejemplo, en informática forense de seguridad, un analista de
seguridad puede intentar reconstruir un incidente a partir de capturas de paquetes
relevantes.

Wireshark, el cual se muestra en la imagen, se ha convertido en una herramienta de

análisis de protocolo de red muy popular que es utilizada en entornos Windows, Linux y
macOS. Wireshark es un software libre que puede ser descargado y utilizado por cualquier
persona. Es una herramienta muy útil para aprender acerca de las comunicaciones de
protocolos de red.
 Reporte

Wireshark también puede abrir archivos que contengan tráfico capturado desde otro
software, como tcpdump. Popular entre los sistemas tipo UNIX (como Linux), tcpdump es
una utilidad muy completa con numerosas opciones de línea de comandos. En la pantalla
de comandos de la imagen, se muestra un ejemplo de una captura de
paquetes tcpdump de ping

NetFlow

NetFlow es una tecnología de Cisco IOS que proporciona estadísticas 24/7 sobre los
paquetes que atraviesan un router o switch multicapa de Cisco. NetFlow es el estándar
para recopilar datos operacionales de IP en redes IP. Actualmente, NetFlow es compatible
con plataformas que no son de Cisco. IP Flow Information Export (IPFIX) es una versión de
NetFlow que es un protocolo estándar del IETF.

SIEM

Gestión de eventos e información de seguridad (SIEM) es una tecnología utilizada en las

organizaciones empresariales para proporcionar informes en tiempo real y análisis a largo
plazo de eventos de seguridad.

El sistema SIEM incluye las siguientes funciones esenciales:

 Análisis de informática forense: Permite realizar búsquedas de logs y de registros de

eventos generados en múltiples fuentes en toda la organización. Proporciona información
más completa para el análisis de informática forense.
 Correlación: Examina registros y eventos de diferentes sistemas o aplicaciones, lo que
acelera la detección de las amenazas de seguridad y la capacidad de reacción ante ellas.
 Agregación: Esta función reduce el volumen de los datos de eventos mediante la
consolidación de registros de eventos duplicados.
 Informes: Permiten ver los datos sobre eventos correlacionados y acumulados mediante
monitoreo en tiempo real y resúmenes a largo plazo.

SOAR

Orquestación, automatización y respuesta de seguridad (SOAR), mejora a SIEM. Ayuda a

los equipos de seguridad a investigar incidentes de seguridad y añade una recopilación de
datos mejorada y una serie de funcionalidades que ayudan en la respuesta a incidentes de
seguridad.

Soluciones proporcionadas por SOAR:

 Proporciona herramientas de gestión de casos que permiten al personal de ciberseguridad

estudiar e investigar incidentes, integrando frecuentemente inteligencia de amenazas
(threat intelligence) en la plataforma de seguridad de la red.
 Utiliza la inteligencia artificial para detectar incidentes y ayudar en el análisis y la respuesta
de incidentes.
 Automatiza investigaciones y procedimientos de respuesta a incidentes complejos, que
son tareas potencialmente intensas laboralmente, realizadas por el personal de un
"security operations center" (SOC) mediante la ejecución de run books. Estos son
 Reporte

"Playbooks" que realizan acciones como acceder y analizar datos relevantes, tomar
medidas para aislar sistemas comprometidos y estudiar amenazas para validar alertas y
ejecutar una respuesta a incidentes.
 Ofrece Paneles e informes para documentar la respuesta a incidentes con el fin de mejorar
los indicadores clave de rendimiento del SOC y puede mejorar en gran medida la
seguridad de red de las organizaciones.

Sistemas SIEM

Existen varios sistemas SIEM. "SolarWinds Security Event Manager" y "Splunk Enterprise
Security" son dos de los sistemas SIEM patentados más populares utilizados por los SOC.
Para conocer más sobre estos productos, realizar una búsqueda en internet.

En este curso, utilizaremos un producto de código abierto llamado Security Onion que
incluye el conjunto ELK para la funcionalidad SIEM. ELK es el acrónimo correspondiente
para tres productos de Elastic:

 Elasticsearch: Motor de búsqueda fulltext orientado a documentos.

 Logstash: Sistema de procesamiento de flujo que conecta "entradas" a "salidas" con
"filtros" opcionales en el medio
 Kibana: Dashboard en el navegador que proporciona vistas analíticas de datos y de
búsqueda para Elasticsearch.