IDS/IPS Fundamentals | Gestión de la Seguridad Informática | Wild IT Academy
Summary
TLDREl script de este video ofrece una visión detallada sobre la gestión de la seguridad y cómo implementar tecnologías avanzadas para la detección y prevención de intrusos en redes. Se discute la complejidad de los sistemas de detección de intrusos (IDS) y de prevención de intrusos (IPS), y se destaca la importancia de elegir la herramienta correcta dependiendo de las necesidades y recursos disponibles. Se presenta Snort, una herramienta de código abierto reconocida en la industria, y se explica cómo configurar y utilizarla para monitorear y proteger una red. Además, se menciona el uso de reglas personalizadas y la importancia de la monitorización continua para ajustar y mejorar la seguridad. El video también resalta la necesidad de tener en cuenta las capacidades de detección y bloqueo de ataques, la facilidad de configuración y las capacidades de monitoreo al seleccionar una herramienta de seguridad. Finalmente, se anima a los espectadores a explorar y aprender sobre estas tecnologías, y a tomar decisiones informadas sobre qué tipo de sistema de seguridad implementar en su organización.
Takeaways
- 🔒 La detección y prevención de intrusos es una tecnología avanzada que analiza el tráfico de red y bloquea ataques automáticamente.
- ⚙️ Estos sistemas son complejos y pueden llevar tiempo configurar, pero ofrecen un alto nivel de seguridad al trabajar de manera automatizada y proactiva.
- 🤔 La decisión de instalar soluciones de detección y prevención de intrusos depende de la complejidad de la red, los recursos disponibles y las necesidades de tráfico.
- 🌐 La herramienta recomendada en la sesión es Snort, un software de código abierto conocido por sus capacidades de detección en la red.
- 🚫 Sistemas de detección de intrusos (IDS) solo detectan ataques, mientras que los sistemas de prevención de intrusos (IPS) también pueden bloquearlos.
- 📝 IPS son más complejos que IDS y requieren mayor atención durante la configuración para evitar bloquear tráfico legítimo.
- 🕒 Muchos IPS ofrecen una opción de funcionar temporalmente como IDS para permitir la visualización y configuración correcta antes de habilitar el bloqueo.
- 📈 Para la selección de IDS/IPS, se deben considerar las capacidades de detección y bloqueo de ataques, la facilidad de configuración y las capacidades de monitoreo.
- 🔍 IDS pueden basarse en hosts, instalados en servidores para analizar tráfico y detectar ataques, o en redes, para analizar todo el tráfico de la red.
- 📈 Es importante determinar si se necesita un sistema de IDS/IPS y si se cuenta con los recursos humanos necesarios para administrarlo.
- 💡 Se recomienda empezar con soluciones simples y avanzar a soluciones más complejas si es necesario.
- 📚 Antes de la implementación, es recomendable realizar pruebas con proyectos de código abierto, como Snort, para evaluar si se ajustan a las necesidades de la organización.
Q & A
¿Qué es la detección y prevención de intrusos y cómo ayuda a proteger las redes?
-La detección y prevención de intrusos es una tecnología avanzada que permite trabajar de forma inteligente analizando el tráfico de red y bloqueando los ataques automáticamente. Estos sistemas son complejos y pueden llevar tiempo configurar, pero son capaces de proporcionar un excelente nivel de seguridad al trabajar de forma automatizada y proactiva.
¿Por qué los sistemas de prevención de intrusos (IPS) son más complejos que los sistemas de detección de intrusos (IDS)?
-Los IPS son más complejos que los IDS porque, además de detectar los ataques, también pueden tomar acciones para bloquearlos. Esto requiere una mayor atención a la hora de configurarlos, ya que es posible que bloqueen tráfico legítimo y afecten negativamente la operatividad de la empresa.
¿Qué es NORTE y cómo se relaciona con la seguridad informática?
-NORTE es una herramienta de código abierto muy reconocida en el ámbito de la seguridad informática. Posee varias años de desarrollo y cuenta con excelentes capacidades de detección en la imagen. Se utiliza para interpretar las alertas que emite y es una herramienta recomendada para la sesión, aunque su uso y configuración pueden requerir conocimientos técnicos específicos.
¿Cómo se pueden implementar temporalmente los IPS para evaluar su funcionamiento sin bloquear tráfico?
-Muchos IPS permiten trabajar temporalmente como IDS, es decir, solo notificando los ataques detectados sin bloquearlos. Esto proporciona la oportunidad de visualizar cómo funciona la solución y configurarla correctamente antes de habilitar sus capacidades de bloqueo.
¿Qué son los 'hybridos' en el contexto de la seguridad informática y cómo funcionan?
-Los 'híbridos' en el contexto de la seguridad informática son sistemas que combinan capacidades de detección e intrusos con capacidades de prevención. Estos sistemas, como Prelude, analizan varias fuentes de información al mismo tiempo y las relacionan para una mejor detección de amenazas.
¿Qué consideraciones son importantes antes de implementar un sistema de detección y prevención de intrusos?
-Antes de implementar un sistema de este tipo, es importante determinar si realmente lo necesitamos y si contaremos con los recursos humanos necesarios para administrarlo. También se debe considerar el costo, que suele ser elevado, y realizar una primera aproximación a través de algún proyecto de código abierto.
¿Cómo se puede determinar si un sistema de detección y prevención de intrusos es adecuado para una organización?
-Para determinar si un sistema es adecuado, se debe tener en cuenta las características y la complejidad de cada producto, las necesidades de la organización y si es posible contar con los recursos necesarios para su administración y mantenimiento.
¿Por qué se recomienda empezar con una herramienta sencilla para la gestión de la seguridad de la información?
-Se recomienda empezar con una herramienta sencilla para que las organizaciones puedan cumplir sus expectativas y luego, si es necesario, pasar a herramientas más complejas. Esto ayuda a evitar una sobrecarga inicial y a que los equipos de TI se sientan más seguros y experimentados en el manejo de estas soluciones.
¿Qué es SNORT y cómo se relaciona con la implementación de sistemas de detección y prevención de intrusos?
-SNORT es un sistema de detección de intrusos de código abierto que se puede utilizar para analizar y prevenir ataques en una red. En el script, se menciona la implementación de SNORT como un ejemplo práctico de cómo se puede instalar y configurar una herramienta de detección y prevención de intrusos en un sistema Unix.
¿Cómo se pueden personalizar las reglas en SNORT para detectar tráfico específico?
-En el script, se describe cómo agregar una regla personalizada para detectar tráfico SSH hacia una red interna en el puerto 22. Esto se logra editando el archivo de configuración de reglas de SNORT y creando un archivo de reglas personalizado que contiene la alerta específica.
¿Cómo se pueden revisar los registros generados por SNORT para evaluar su funcionamiento y detectar posibles amenazas?
-Los registros generados por SNORT se guardan en una carpeta específica llamada 'logs'. Para revisarlos, se puede utilizar el comando 'less' o 'nano' para abrir y examinar los archivos de registro, como 'north.alert', que contienen las alertas generadas por las reglas configuradas.
¿Qué complementos adicionales se pueden utilizar con SNORT para facilitar la administración y la detección de amenazas?
-El script menciona el uso de un complemento llamado 'grep' para filtrar únicamente las alertas configuradas por el usuario. Esto ayuda a identificar rápidamente las amenazas relevantes entre el gran volumen de tráfico detectado por SNORT.
Outlines
😀 Introducción a la gestión de la seguridad y prevención de intrusos
El primer párrafo introduce el tema de la gestión de la seguridad y la importancia de la detección y prevención de intrusos en las redes. Se menciona que se abordará desde la perspectiva de un directivo de seguridad y se destaca la relevancia de entender los fundamentos antes de implementar tecnologías avanzadas. Además, se habla sobre la complejidad y el tiempo que puede llevar configurar estos sistemas, y cómo dependerán de la red, los recursos disponibles y las necesidades del tráfico. Se recomienda la herramienta 'Snort' como una opción de código abierto para empezar a trabajar con la detección de intrusos.
🔍 Selección y configuración de un sistema de detección de intrusos (IDS)
Este párrafo se enfoca en la selección y configuración de un sistema de detección de intrusos. Se destaca la importancia de considerar las características y la complejidad de cada sistema antes de decidir si es adecuado para las necesidades de la organización. Se menciona que los sistemas de prevención de intrusos (IPS) son más complejos que los IDS y requieren más atención en la configuración para evitar impactos negativos en la operatividad de la empresa. Se sugiere que los IPS pueden funcionar temporalmente como IDS para permitir una evaluación de cómo funciona la solución antes de habilitar sus capacidades de bloqueo. Además, se aborda la implementación de 'Snort' (SNBS), un proyecto de código abierto, como una primera aproximación antes de considerar opciones comerciales.
🛠️ Proceso de instalación y configuración de Snort
El tercer párrafo detalla el proceso de instalación y configuración de Snort en un sistema Unix como Kali Linux. Se describen los pasos para ejecutar el terminal, instalar el paquete de Snort, ingresar al archivo de configuración y modificar variables específicas para adaptar la red interna y externa. Se agrega una regla personalizada y se indica cómo crear y editar el archivo de reglas para incluir esta regla. Además, se menciona la creación de un directorio para los logs y cómo iniciar Snort con los argumentos correspondientes para la asignación de logs y reglas.
📈 Revisión de logs y evaluación de Snort
Este párrafo se centra en la revisión de los logs generados por Snort después de su ejecución. Se describe cómo se pueden generar alertas y cómo se pueden revisar los logs correspondientes a estas alertas. Se menciona el uso de una herramienta para generar tráfico SSH hacia el dispositivo para que Snort pueda detectarlo. Se destaca la importancia de la revisión de los logs para entender cómo funciona Snort y cómo se pueden configurar las alertas. Además, se sugiere el uso de un complemento para filtrar las alertas específicas configuradas por el usuario y se concluye con una invitación a los espectadores a dejar sus preguntas y comentarios.
👋 Despedida y expectativa para la próxima sesión
El último párrafo es una despedida del video, en el que se espera que la audiencia haya tenido un buen día y se les anima a esperar la próxima sesión. Se cierra el video con música y se mantiene una expectativa positiva para futuras sesiones de aprendizaje.
Mindmap
Keywords
💡Prevención de intrusos
💡Detección y prevención de intrusos (DPI)
💡Sistemas de detección de intrusos (IDS)
💡Sistemas de prevención de intrusos (IPS)
💡Herramienta SNORT
💡Configuración de red
💡Reglas de SNORT
💡Logs de seguridad
💡SSH (Secure Shell)
💡Análisis de tráfico de red
💡Proyecto de código abierto
Highlights
Continuación del curso de gestión de la seguridad con un tema de interés sobre la perspectiva que debe tener un directivo de seguridad respecto a los CDC.
Introducción a la detección y prevención de intrusos como tecnología avanzada para proteger redes, analizando tráfico y bloqueando ataques automáticamente.
Importancia de la configuración de sistemas de detección y prevención de intrusos, que puede requerir tiempo y recursos.
Elección de implementar soluciones de seguridad depende de la complejidad de la red, recursos disponibles y necesidades de tráfico.
Recomendación de la herramienta open-source Norte, conocida por sus capacidades de detección en la imagen.
Diferenciación entre sistemas de detección de intrusos (SIDS) y sistemas de prevención de intrusos (IPS), con IPS siendo más complejos.
Mencion de que muchos IPS permiten un modo temporal de funcionamiento para visualizar y configurar correctamente la solución antes de habilitar el bloqueo.
Existencia de sistemas híbridos como Prelude que combinan capacidades de detección e inteligencia para una mejor detección de amenazas.
Consideración de la necesidad y disponibilidad de recursos humanos para administrar un sistema de detección y prevención de intrusos antes de su implementación.
Importancia de la selección de un producto en base a sus características y complejidad para satisfacer las necesidades específicas.
Recomendación de realizar una prueba con un proyecto de código abierto, como Snort, antes de decidir si se necesita un sistema comercial.
Ejemplo práctico de cómo instalar y configurar Snort en un sistema Unix como Kali Linux.
Proceso para agregar una regla personalizada en Snort para detectar tráfico SSH hacia una red interna en el puerto 22.
Creación de un directorio para logs y alertas generados por Snort para su monitoreo y análisis.
Demostración de la generación de tráfico SSH y cómo Snort detecta y registra esta actividad en archivos de log.
Uso del complemento grep para filtrar y encontrar alertas específicas en los archivos de log generados por Snort.
Importancia de estudiar a fondo la herramienta Snort debido a sus múltiples complementos, argumentos y posibilidades.
Recomendación de comenzar con herramientas simples y avanzar a más complejas según las expectativas y necesidades de la empresa.
Transcripts
[Música]
bienvenidos estimamos una vez más agua
led y academy esta vez vamos a continuar
con el curso de gestión de la seguridad
formativa en el cual tenemos el día de
hoy un tema súper interesante que
posiblemente lo escuchado de cierto modo
a cierto nivel pero vamos a enfocarnos
un poco más a la perspectiva que debería
tener un directivo de seguridad con
respecto a este tema de los cdc así que
si te gusta la idea recuerda suscribirte
para que puedas recibir más clases
gratuitas y además forman parte de
nuestra comunidad sin más que agregar
suscríbete y empezamos con la clase
empecemos hablando sobre la prevención
de intrusos y los fundamentos que
deberíamos conocer antes de poder
implementar uno
una de las tecnologías más avanzadas
para proteger en nuestras redes es la
detección y prevención de intrusos que
nos permite trabajar de forma
inteligente analizando el tráfico y
bloqueando los ataques automáticamente
estos sistemas son complejos y pueden
llevar un tiempo configurarlos pero son
capaces de brindarnos un excelente nivel
de seguridad al trabajar de forma
automatizada y proactiva la decisión de
instalar o no este tipo de soluciones
dependerá de la complejidad de la red
nuestros recursos disponibles y las
necesidades que tenga nuestro tráfico
desde ya una herramienta recomendada la
cual implementaremos en esta sesión es
la herramienta es norte es norte es un y
de este de código abierto muy reconocido
cuenta con varios años de desarrollo y
posee excelentes capacidades de
detección en la imagen podemos observar
cómo se utilizó el interfaz web para
interpretar las alertas que emite es
enorme
los sistemas que solo pueden detectar
ataques se conocen como sistemas de
detección de intrusos y de heces y los
que pueden tomar acciones para bloquear
estos ataques se llaman sistemas de
prevención de intrusos o ips obviamente
los ips son bastantes más complejos que
los cdc y requieren la mayor atención al
configurarse porque pueden bloquear
tráfico legítimo e impactar
negativamente en la operatoria de la
empresa es común referirse a ambos tipos
de sistemas simplemente como bits y así
lo haremos a lo largo del curso
muchos ips permiten trabajar
temporalmente como si fueran y de ese
solo notificando los tanques detectados
lo que nos da la oportunidad de
visualizar cómo funciona la solución y
configurarla correctamente para luego
habilitar las capacidades de bloqueo
esto es algo recomendable para
iniciarnos en la configuración y puesta
en marcha de este tipo de sistemas los
cides pueden estar basados en los
denominados h y de ese que se instalan
en el servidor para analizar el tráfico
y
ver las acciones realizadas dentro del
mismo para detectar ataques los cuales
analizaremos en la siguiente clase
también pueden estar basados en red o en
y de ese que se utilizan para analizar
el tráfico de toda la red en busca de
ataques entre dispositivos desde el
punto de vista del funcionamiento
unidades puede verse simplemente como un
analizador que reconoce distintos
patrones de ataque ya sea analizando un
archivo de logs un comportamiento del
sistema operativo o las características
de los paquetes enviados de un host a
otro en la selección de unidades debemos
tener en cuenta
particularmente las capacidades de
detección y bloqueo de ataques la
facilidad de configuración y las
capacidades de monitoreo esto se debe a
que muchas veces no será más conveniente
seleccionar una solución simple y
sencilla y aún no mucho más compleja
aunque la segunda tenga muchas más
caracteres
como dato curioso te recomendaría que
prestes mucha atención a estas nuevas
tecnologías
porque existen sistemas como prelude que
se llaman y de eses híbridos y cuentan
con capacidades para detectar
intrusiones analizando varias fuentes de
información al mismo tiempo y
relacionando las para una mejor
detección de amenazas estos productos
son algo así como un némesis entre los
ips y los s&m muy utilizados en la parte
de seguridad
una de las consideraciones más
importantes tener en cuenta antes de
implementar un sistema de este tipo es
determinar si verdaderamente lo
necesitamos y si vamos a poder contar
con los recursos humanos necesarios para
poder administrarlo una vez decidida la
implementación debemos seleccionar un
producto teniendo en cuenta
particularmente cuáles son las
características y la complejidad de cada
uno para determinar si es lo que se
ajusta a nuestras necesidades
este tipo de sistema suele tener un
costo elevado por lo que es recomendable
realizar una primera aproximación a
través de algún proyecto de código
abierto como en este caso veremos la
implementación de snobs una vez que
hayamos realizado dichas pruebas
estaremos en la mejor posición para
decidir si necesitamos este tipo de
sistemas y si vale la pena optar por una
opción comercial o si nuestras
necesidades son cubiertas con este
producto de software libre cualquiera
que sea la decisión tengamos en cuenta
que un sistema y d&s pueden facilitarnos
todas las tareas y que podría ser una
decisión inteligente asignar muchos
recursos a instalar y mantener esta
solución
entonces empezamos con la implementación
procedemos a ingresar con nuestro
sistema en este caso yo voy a utilizar
un sistema unix que es carl y linux el
cual vamos a
ingresar como primera medida tenemos que
ejecutar el terminal para realizar la
instalación de este
este paquete es norma el comando sería
apt-get instale es norma
en este caso como se puede percatar ya
tengo instalado la aplicación en su caso
también lo van a poder instalar no llegó
a tomar
ni dos minutos y después de esto van a
ingresar al archivo de configuración con
bing al etc snort slice snort puntocom
en este archivo de configuración
vamos a trabajar de la siguiente manera
vamos a dirigirnos a la línea número
65 donde encontramos la variable activar
home y un bajo net en y en este punto
vamos a agregar nuestra red que sería la
red 192 168 en este caso
0.0 que es la red 'estamos que pertenece
a mi red lan
y la parte de la línea 68 tenemos la red
de externa en este caso vamos a trabajar
con cualquier tipo de red que venga
desde internet lo cual es totalmente
normal
después de esto vamos a dirigirnos a la
línea
número
718 bien donde posiblemente encuentren
un espacio vacío en este caso lo que yo
he hecho es agregar una regla adicional
scene club world path y aquí con lo que
el archivo de esa nueva regla obviamente
este archivo que yo le he colocado como
nombre mayr rules no se encuentra
todavía creado en un sistema y de ese
nuevo yo voy a tener que crearlo
manualmente con el comando touch después
de haber agregado dicha regla nótese
entonces coloque aquel axioma y rolls
por el archivo y ahora sí tengo que
crear dicho archivo para luego editarlo
voy a ingresar aquí voy a crear el
archivo con touch etc snort en el
directorio rules dicho archivo llamado
mike mills tiene que coincidir el nombre
con la regla que colocado bien entonces
veo aquí el directorio como pueden
percatarse yo ya tengo creado este
archivo bueno ustedes lo van a crear y
una vez que lo creen van a proceder a
editarlo para editarlo van a usar el
comando bean móvil o incluso nano el de
su preferencia y van a colocar los
siguientes
bing etc directorios norte
directorios rolls
archivo llamado mail looks a está ahí lo
tenemos
ingresamos y aquí como pueden percatarse
ya tengo asignada una regla obviamente
ustedes van a encontrar este archivo
vacío por lo tanto tienen que agregar
aquí una alerta para el estor que serían
bsp desde la red externa bien desde
cualquier tipo de origen de la rata
externa hacia en la red interna como se
pueden ver hacia la red
interna en el puerto
22
de esta manera ya tengo asignado mi mi
primera regla aquí se le asigna un
mensaje con el nombre alerta trágico que
se se ha hecho bien y otras opciones
como el circuit de haití y el flanco una
vez que tenga estado
esta configuración
voy a guardar el archivo
este esta primera regla se trata de
detectar tráfico ssh así de sencillo tal
cual como lo han visto ahora es momento
de crear un archivo adicional llamado
logs una carpeta éste es un directorio
en el cual se va a guardar todos esos
blogs que es norte vaya generando y
obviamente dentro de esos blogs van a
estar todas esas alertas que el ipc me
entregara creo en la carpeta log en este
caso yo ya tengo creado este este
directorio y ahora ponemos en marcha la
herramienta es north colocamos el
argumento y dónde el argumento guión l y
aquí asignaremos la parte de los logs
que sería la carpeta los guardas etc es
nord directorio logo y luego iniciamos
la asignación de reglas con argumento
guión v y guión ce para asignar el
archivo de configuración que contiene
obviamente todas las reglas que les
hemos
asignado incluir incluyendo nuestra
regla personalizada llamada my rose una
vez ejecutado este y desees no pueden
percatarse de que empieza a correr la
herramienta y
para iniciar esto
podemos asignar
una sesión ssh por revisen por acá voy a
tratar de ingresar los logs nótese cómo
se han creado archivos esos archivos
pertenecen al tráfico que va siendo
detectado por snort bien entonces antes
de revisar esos archivos
y te voy a hacer es revisar la dirección
ip y tratar de generar un tráfico
ssh hacia el dispositivo para que es
normal o pueda detectar
voy a utilizar una herramienta putin voy
a generar aquí un tráfico los listos
como pueden ver ya genere un tráfico
ahora es momento de que revisar voy a
ingresar nuevamente al archivo del blog
y aquí lo tenemos
como pueden ver aquí están todos los
archivos generados voy a abrir
el blog llamado es north punto alert
punto fast el cual
contiene los looks guardados
y generados
como pueden percatarse tenemos una
cantidad inmensa de logs porque muchas
veces se va a detectar también
tráfico que preceden de las reglas que
están configuradas por defecto o de
forma predeterminada en el archivo
[Música]
de configuración de es norte así que
para hacer esto más fácil y ver nuestro
y de ese y nuestra prueba voy a utilizar
el complemento grave para
filtrar únicamente las alertas que yo he
configurado voy a colocar grave
alerta
y en este caso pueden detectar que ha
habido una alerta de tráfico ssh
en nuestro sistema
[Música]
de esa manera es como funciona es norte
obviamente esto requiere de un estudio
un poquito más profundo del sobre la
herramienta porque tiene muchos
complementos muchos argumentos y tienen
más posibilidades incluso como hemos
visto a la parte teórica podemos
gestionarlo desde
por etapas web así que aprovechar esto y
bueno estimados esperemos que la clase
haya sido de su agrado y sobre todo si
han podido aprender algo nuevo con
respecto a esta tecnología de él y de
ese esto tiene mucho tema técnico sin
embargo
estamos enfocados más a dos puntos de la
gestión así que mientras ustedes
conozcan en los fundamentos de esta
herramienta
les toca decidir cuál va a ser la
herramienta que van a aplicar y van
implementar en su empresa puede ser las
remeras complejas o herramientas
sencillas lo cual se recomienda primero
empezar con algo sencillo y ver si
cumple sus expectativas de esta manera
van a estar un poquito más reforzados y
experimentados
el mundo de los y de cesc o ips enzimas
nada que agregar estimados dejen sus
preguntas en la caja de comentario y le
responderemos lo más antes posible
y nada más espero que tengan un
excelente día nos vemos en la siguiente
sesión
ah
[Música]
Ver Más Videos Relacionados
5.0 / 5 (0 votes)