IDS/IPS Fundamentals | Gestión de la Seguridad Informática | Wild IT Academy

00:00

[Música]

00:05

bienvenidos estimamos una vez más agua

00:08

led y academy esta vez vamos a continuar

00:10

con el curso de gestión de la seguridad

00:12

formativa en el cual tenemos el día de

00:15

hoy un tema súper interesante que

00:17

posiblemente lo escuchado de cierto modo

00:20

a cierto nivel pero vamos a enfocarnos

00:22

un poco más a la perspectiva que debería

00:25

tener un directivo de seguridad con

00:28

respecto a este tema de los cdc así que

00:30

si te gusta la idea recuerda suscribirte

00:32

para que puedas recibir más clases

00:34

gratuitas y además forman parte de

00:36

nuestra comunidad sin más que agregar

00:38

suscríbete y empezamos con la clase

00:42

empecemos hablando sobre la prevención

00:45

de intrusos y los fundamentos que

00:47

deberíamos conocer antes de poder

00:49

implementar uno

00:51

una de las tecnologías más avanzadas

00:53

para proteger en nuestras redes es la

00:56

detección y prevención de intrusos que

00:58

nos permite trabajar de forma

01:00

inteligente analizando el tráfico y

01:02

bloqueando los ataques automáticamente

01:04

estos sistemas son complejos y pueden

01:07

llevar un tiempo configurarlos pero son

01:09

capaces de brindarnos un excelente nivel

01:11

de seguridad al trabajar de forma

01:14

automatizada y proactiva la decisión de

01:17

instalar o no este tipo de soluciones

01:19

dependerá de la complejidad de la red

01:20

nuestros recursos disponibles y las

01:23

necesidades que tenga nuestro tráfico

01:26

desde ya una herramienta recomendada la

01:29

cual implementaremos en esta sesión es

01:32

la herramienta es norte es norte es un y

01:35

de este de código abierto muy reconocido

01:39

cuenta con varios años de desarrollo y

01:41

posee excelentes capacidades de

01:43

detección en la imagen podemos observar

01:46

cómo se utilizó el interfaz web para

01:48

interpretar las alertas que emite es

01:51

enorme

01:53

los sistemas que solo pueden detectar

01:55

ataques se conocen como sistemas de

01:57

detección de intrusos y de heces y los

01:59

que pueden tomar acciones para bloquear

02:01

estos ataques se llaman sistemas de

02:03

prevención de intrusos o ips obviamente

02:07

los ips son bastantes más complejos que

02:10

los cdc y requieren la mayor atención al

02:13

configurarse porque pueden bloquear

02:15

tráfico legítimo e impactar

02:16

negativamente en la operatoria de la

02:19

empresa es común referirse a ambos tipos

02:23

de sistemas simplemente como bits y así

02:26

lo haremos a lo largo del curso

02:28

muchos ips permiten trabajar

02:31

temporalmente como si fueran y de ese

02:34

solo notificando los tanques detectados

02:37

lo que nos da la oportunidad de

02:39

visualizar cómo funciona la solución y

02:42

configurarla correctamente para luego

02:44

habilitar las capacidades de bloqueo

02:47

esto es algo recomendable para

02:50

iniciarnos en la configuración y puesta

02:52

en marcha de este tipo de sistemas los

02:55

cides pueden estar basados en los

02:57

denominados h y de ese que se instalan

03:01

en el servidor para analizar el tráfico

03:03

y

03:06

ver las acciones realizadas dentro del

03:08

mismo para detectar ataques los cuales

03:11

analizaremos en la siguiente clase

03:13

también pueden estar basados en red o en

03:17

y de ese que se utilizan para analizar

03:19

el tráfico de toda la red en busca de

03:21

ataques entre dispositivos desde el

03:24

punto de vista del funcionamiento

03:26

unidades puede verse simplemente como un

03:29

analizador que reconoce distintos

03:31

patrones de ataque ya sea analizando un

03:34

archivo de logs un comportamiento del

03:36

sistema operativo o las características

03:38

de los paquetes enviados de un host a

03:40

otro en la selección de unidades debemos

03:44

tener en cuenta

03:45

particularmente las capacidades de

03:47

detección y bloqueo de ataques la

03:50

facilidad de configuración y las

03:52

capacidades de monitoreo esto se debe a

03:55

que muchas veces no será más conveniente

03:58

seleccionar una solución simple y

04:00

sencilla y aún no mucho más compleja

04:02

aunque la segunda tenga muchas más

04:04

caracteres

04:05

como dato curioso te recomendaría que

04:09

prestes mucha atención a estas nuevas

04:11

tecnologías

04:12

porque existen sistemas como prelude que

04:16

se llaman y de eses híbridos y cuentan

04:19

con capacidades para detectar

04:21

intrusiones analizando varias fuentes de

04:23

información al mismo tiempo y

04:26

relacionando las para una mejor

04:28

detección de amenazas estos productos

04:32

son algo así como un némesis entre los

04:35

ips y los s&m muy utilizados en la parte

04:39

de seguridad

04:41

una de las consideraciones más

04:43

importantes tener en cuenta antes de

04:46

implementar un sistema de este tipo es

04:48

determinar si verdaderamente lo

04:50

necesitamos y si vamos a poder contar

04:52

con los recursos humanos necesarios para

04:55

poder administrarlo una vez decidida la

04:58

implementación debemos seleccionar un

05:00

producto teniendo en cuenta

05:01

particularmente cuáles son las

05:03

características y la complejidad de cada

05:06

uno para determinar si es lo que se

05:08

ajusta a nuestras necesidades

05:10

este tipo de sistema suele tener un

05:13

costo elevado por lo que es recomendable

05:15

realizar una primera aproximación a

05:18

través de algún proyecto de código

05:20

abierto como en este caso veremos la

05:24

implementación de snobs una vez que

05:26

hayamos realizado dichas pruebas

05:28

estaremos en la mejor posición para

05:30

decidir si necesitamos este tipo de

05:32

sistemas y si vale la pena optar por una

05:35

opción comercial o si nuestras

05:37

necesidades son cubiertas con este

05:39

producto de software libre cualquiera

05:41

que sea la decisión tengamos en cuenta

05:44

que un sistema y d&s pueden facilitarnos

05:46

todas las tareas y que podría ser una

05:49

decisión inteligente asignar muchos

05:53

recursos a instalar y mantener esta

05:56

solución

05:57

entonces empezamos con la implementación

06:03

procedemos a ingresar con nuestro

06:05

sistema en este caso yo voy a utilizar

06:07

un sistema unix que es carl y linux el

06:11

cual vamos a

06:14

ingresar como primera medida tenemos que

06:18

ejecutar el terminal para realizar la

06:21

instalación de este

06:23

este paquete es norma el comando sería

06:26

apt-get instale es norma

06:30

en este caso como se puede percatar ya

06:33

tengo instalado la aplicación en su caso

06:35

también lo van a poder instalar no llegó

06:37

a tomar

06:38

ni dos minutos y después de esto van a

06:40

ingresar al archivo de configuración con

06:43

bing al etc snort slice snort puntocom

06:47

en este archivo de configuración

06:49

vamos a trabajar de la siguiente manera

06:52

vamos a dirigirnos a la línea número

06:57

65 donde encontramos la variable activar

07:00

home y un bajo net en y en este punto

07:03

vamos a agregar nuestra red que sería la

07:08

red 192 168 en este caso

07:13

0.0 que es la red 'estamos que pertenece

07:18

a mi red lan

07:21

y la parte de la línea 68 tenemos la red

07:24

de externa en este caso vamos a trabajar

07:27

con cualquier tipo de red que venga

07:28

desde internet lo cual es totalmente

07:30

normal

07:33

después de esto vamos a dirigirnos a la

07:36

línea

07:37

número

07:43

718 bien donde posiblemente encuentren

07:47

un espacio vacío en este caso lo que yo

07:49

he hecho es agregar una regla adicional

07:52

scene club world path y aquí con lo que

07:55

el archivo de esa nueva regla obviamente

07:59

este archivo que yo le he colocado como

08:01

nombre mayr rules no se encuentra

08:03

todavía creado en un sistema y de ese

08:06

nuevo yo voy a tener que crearlo

08:09

manualmente con el comando touch después

08:12

de haber agregado dicha regla nótese

08:15

entonces coloque aquel axioma y rolls

08:17

por el archivo y ahora sí tengo que

08:20

crear dicho archivo para luego editarlo

08:22

voy a ingresar aquí voy a crear el

08:25

archivo con touch etc snort en el

08:28

directorio rules dicho archivo llamado

08:31

mike mills tiene que coincidir el nombre

08:36

con la regla que colocado bien entonces

08:41

veo aquí el directorio como pueden

08:44

percatarse yo ya tengo creado este

08:45

archivo bueno ustedes lo van a crear y

08:49

una vez que lo creen van a proceder a

08:51

editarlo para editarlo van a usar el

08:55

comando bean móvil o incluso nano el de

08:59

su preferencia y van a colocar los

09:01

siguientes

09:04

bing etc directorios norte

09:08

directorios rolls

09:10

archivo llamado mail looks a está ahí lo

09:14

tenemos

09:16

ingresamos y aquí como pueden percatarse

09:18

ya tengo asignada una regla obviamente

09:20

ustedes van a encontrar este archivo

09:22

vacío por lo tanto tienen que agregar

09:24

aquí una alerta para el estor que serían

09:27

bsp desde la red externa bien desde

09:32

cualquier tipo de origen de la rata

09:34

externa hacia en la red interna como se

09:38

pueden ver hacia la red

09:41

interna en el puerto

09:44

22

09:46

de esta manera ya tengo asignado mi mi

09:49

primera regla aquí se le asigna un

09:52

mensaje con el nombre alerta trágico que

09:56

se se ha hecho bien y otras opciones

09:59

como el circuit de haití y el flanco una

10:02

vez que tenga estado

10:04

esta configuración

10:07

voy a guardar el archivo

10:11

este esta primera regla se trata de

10:14

detectar tráfico ssh así de sencillo tal

10:18

cual como lo han visto ahora es momento

10:21

de crear un archivo adicional llamado

10:23

logs una carpeta éste es un directorio

10:26

en el cual se va a guardar todos esos

10:29

blogs que es norte vaya generando y

10:33

obviamente dentro de esos blogs van a

10:36

estar todas esas alertas que el ipc me

10:40

entregara creo en la carpeta log en este

10:44

caso yo ya tengo creado este este

10:46

directorio y ahora ponemos en marcha la

10:49

herramienta es north colocamos el

10:51

argumento y dónde el argumento guión l y

10:54

aquí asignaremos la parte de los logs

10:56

que sería la carpeta los guardas etc es

10:59

nord directorio logo y luego iniciamos

11:03

la asignación de reglas con argumento

11:06

guión v y guión ce para asignar el

11:09

archivo de configuración que contiene

11:11

obviamente todas las reglas que les

11:14

hemos

11:15

asignado incluir incluyendo nuestra

11:18

regla personalizada llamada my rose una

11:21

vez ejecutado este y desees no pueden

11:24

percatarse de que empieza a correr la

11:27

herramienta y

11:29

para iniciar esto

11:31

podemos asignar

11:35

una sesión ssh por revisen por acá voy a

11:39

tratar de ingresar los logs nótese cómo

11:41

se han creado archivos esos archivos

11:43

pertenecen al tráfico que va siendo

11:46

detectado por snort bien entonces antes

11:50

de revisar esos archivos

12:00

y te voy a hacer es revisar la dirección

12:02

ip y tratar de generar un tráfico

12:05

ssh hacia el dispositivo para que es

12:09

normal o pueda detectar

12:18

voy a utilizar una herramienta putin voy

12:23

a generar aquí un tráfico los listos

12:26

como pueden ver ya genere un tráfico

12:29

ahora es momento de que revisar voy a

12:34

ingresar nuevamente al archivo del blog

12:37

y aquí lo tenemos

12:40

como pueden ver aquí están todos los

12:42

archivos generados voy a abrir

12:46

el blog llamado es north punto alert

12:49

punto fast el cual

12:53

contiene los looks guardados

12:57

y generados

12:59

como pueden percatarse tenemos una

13:01

cantidad inmensa de logs porque muchas

13:03

veces se va a detectar también

13:07

tráfico que preceden de las reglas que

13:10

están configuradas por defecto o de

13:13

forma predeterminada en el archivo

13:15

[Música]

13:16

de configuración de es norte así que

13:19

para hacer esto más fácil y ver nuestro

13:21

y de ese y nuestra prueba voy a utilizar

13:25

el complemento grave para

13:30

filtrar únicamente las alertas que yo he

13:33

configurado voy a colocar grave

13:37

alerta

13:39

y en este caso pueden detectar que ha

13:41

habido una alerta de tráfico ssh

13:46

en nuestro sistema

13:49

[Música]

13:51

de esa manera es como funciona es norte

13:54

obviamente esto requiere de un estudio

13:56

un poquito más profundo del sobre la

13:58

herramienta porque tiene muchos

14:00

complementos muchos argumentos y tienen

14:02

más posibilidades incluso como hemos

14:05

visto a la parte teórica podemos

14:07

gestionarlo desde

14:08

por etapas web así que aprovechar esto y

14:13

bueno estimados esperemos que la clase

14:15

haya sido de su agrado y sobre todo si

14:17

han podido aprender algo nuevo con

14:19

respecto a esta tecnología de él y de

14:22

ese esto tiene mucho tema técnico sin

14:25

embargo

14:26

estamos enfocados más a dos puntos de la

14:28

gestión así que mientras ustedes

14:30

conozcan en los fundamentos de esta

14:32

herramienta

14:33

les toca decidir cuál va a ser la

14:37

herramienta que van a aplicar y van

14:38

implementar en su empresa puede ser las

14:41

remeras complejas o herramientas

14:42

sencillas lo cual se recomienda primero

14:45

empezar con algo sencillo y ver si

14:47

cumple sus expectativas de esta manera

14:50

van a estar un poquito más reforzados y

14:53

experimentados

14:55

el mundo de los y de cesc o ips enzimas

14:59

nada que agregar estimados dejen sus

15:01

preguntas en la caja de comentario y le

15:04

responderemos lo más antes posible

15:06

y nada más espero que tengan un

15:09

excelente día nos vemos en la siguiente

15:11

sesión

15:12

ah

15:17

[Música]