[0:03]Hola, bienvenidos. En este video hablaremos acerca de los ataques que sufre una red. Vamos a empezar con el monitoreo de red y qué herramientas existen para poder prevenir y controlar esto. Primero debemos entender que todas las redes son objetivos y deben protegerse con métodos de defensa en profundidad, ¿qué quiere decir? Que por lo regular nosotros estamos, eh, estamos conformes con tener solo un antivirus o un firewall y eso decimos que nuestra red es segura. Pero, internamente nuestra red debe ser protegida desde los cimientos, desde los protocolos que que están trabajando en nuestra red, y eso va a permitir que nuestra red sea más segura. En este caso, los analistas de seguridad deben estar, eh, familiarizados con un comportamiento normal y anormal. Es decir, cuando una red todo está normal funciona de manera perfecta. Pero cuando los sistemas empiezan a bloquear, cuando la red no responde, cuando las direcciones IP no se están obteniendo o cuando el servidor está cayendo, quiere decir que hay un flujo anormal, y lo que se tiene que hacer es empezar a revisar qué está sucediendo, qué es lo que hay en esa parte. Y eso es muy importante que se analice porque de ahí se empieza a a tener las pistas y empezar a darle seguridad a nuestra red. Si no hacemos eso, vamos a tener problemas más adelante que nuestra red puede quedar, eh, sin funcionamiento. Existen diferentes métodos de monitoreo de red. Algunas herramientas que se emplean para evaluar el comportamiento son los IDS, los analizadores de paquetes, SNMP y NetFlow. prevenir los intrusos, eh, tenemos IPB, IPS, IDS, que son los que detienen los intrusos, los otros son los que previenen los intrusos. También analizadores de paquetes como SNMP, ya vimos cuál es el protocolo, o NetFlow, que es propietario de Cisco, ¿ya? Esos permiten recabar información, eh, en dos formas como TAP de de redes o replicación de puertos. Vamos a ver en qué consiste cada uno de ellos. Cuando hablamos de una una técnica TAP de redes, son puntos de acceso de evaluación de redes que reenvían todo el tráfico, incluidos los errores de capa física, a un dispositivo de análisis. Lo que hacemos aquí es como un dispositivo inter, eh, en medio de nuestra conectividad, ahí sí podemos, si observan la la imagen que está al lado derecho, se van a dar cuenta que hay un dispositivo en medio, que está de recolectando todo el tráfico y se está reenviando hacia un dispositivo de monitoreo, que es el que va a estar monitoreando y va a estar recibiendo todos los errores e incluso de capa física para que pueda interpretarlo el software que se tiene instalado en ese dispositivo de monitoreo. Un TAP de la red suele ser un dispositivo de división pasiva que implementado en la línea entre la red y un dispositivo de interés. Lo que va a hacer este TAP es, es muy importante porque va a de recolectar todo lo que está fluyendo y lo va a mandar a ese software y ese software lo va a interpretar para que tengamos un resultado. También tenemos la replicación del tráfico y el SPAM. Eh, la replicación de puertos permite que un switch desde, copie todas las tramas, recuerden que los switches trabajan con, eh, con direcciones MAC, copie todas las tramas de uno o varios puertos y en un puerto analizador de puertos para que los switches que en este caso se, se conoce como SPAN, estén conectados a un dispositivo de análisis. Lo que vamos a hacer aquí es recolectar todo eso para que se mande a un dispositivo de análisis.
[3:37]Como pueden observar la imagen al lado derecho, el el switch está reenviando el tráfico que ingresa por la fase 01 y el tráfico que sale por la fase 02, eh, se están reenviando al puerto SPAN de destino que es una Giga 001 y que esta se va a conectar a un IDS para que se pueda monitorear todo el tráfico que está entrando y que está saliendo. Esas son algunas de las herramientas que se pueden utilizar. Dentro de eso también existen herramientas de monitoreos en tiempo real de nuestra red. Ejemplo de ellos, tenemos analizadores de de protocolos como Wireshark, Tsdump, NetFlow, que ofrece auditoría completa la información del flujo de la red, ya, los SIEM, que son sistemas de administración de eventos de información de seguridad y que ofrecen información en tiempo real para que se puedan analizar, los SNMP, ya sabemos que es un protocolo de administración simple de redes que nos permite solicitar y pasivamente recopilar la información de todos los dispositivos. Y también los archivos de registro. Esas son las herramientas que nos van a permitir supervisar nuestra red, analizar qué está sucediendo en nuestra red y detectar si hay algo anormal en nuestra red. Eso es muy importante. Bien, vamos a ver ahora qué son los analizadores de protocolos de la red. Ya hemos utilizado Wireshark en algunas otras prácticas y hemos visto el potencial que tiene Wireshark, pero también hay otra herramienta que se llama TCPDump, que esto que nos permite es ver los paquetes que están fluyendo dentro de nuestra red.
[5:13]Analizar la a nivel interno nuestra red, no solo el nivel superior, sino es analizar qué está fluyendo por toda nuestra red y cómo podemos nosotros detectar algo anormal. Los analizadores de protocolos de red se resultan muy útiles cuando nosotros buscamos una solución a problemas en la red. Eh, si nosotros no encontramos un problema a nivel físico, tenemos que empezar a trabajar nuestra, nuestra, nuestros analizadores para que podamos entender qué está fluyendo dentro de nuestra red. Esto es de hacer informática forense, es lo que se le conoce como poder hacer informática forense porque vamos haciendo un seguimiento, un rastreo para dar con el problema. Así que empezamos poco a poco, haciendo un análisis para que nosotros lleguemos a a encontrar el problema y se pueda dar una una solución, que es lo más importante que que se necesita dentro de nuestra red. Ahora, también tenemos el NetFlow. NetFlow, ¿qué es? Es un una tecnología propia de de Cisco y lo que nos permite hacer NetFlow es, eh, proporcionar, nos proporciona estadísticas las 24 horas, de 24/7, podemos decir, sobre los paquetes que atraviesan un router o switch multicapa de Cisco.
[6:33]NetFlow puede utilizarse para el monitoreo de red y la seguridad, la planificación de redes y el análisis de tráfico. Sin embargo, no captura el contenido, no va a ser como Wireshark. Wireshark lo que hace es captura los paquetes y nosotros interpretamos esos paquetes. NetFlow no hace eso, solo captura el flujo de tráfico y ya con el software específicamente que se, se puede tener con NetFlow o el software que se pueda desarrollar, ya podemos recolectar esa información e interpretarlo a nuestra manera. También tenemos que las herramientas, eh, SIEM, y recuerden que los sistemas de administración de eventos de información de seguridad, estos ofrecen información en tiempo real y un análisis de largo plazo de los eventos de seguridad que suceden. Dentro de estos SIEM, eh, tiene funciones especiales, hace análisis de informática forense porque tiene que hacer el rastreo de todo, todo, todo, todo el, para que nosotros encontre para que se encuentre el origen del problema y se pueda solucionar ese problema. Se hace una correlación que que quiere decir que se analiza los logs de todos los dispositivos dentro de nuestra red y los eventos de diferentes sistemas que han sucedido, ya, o aplicaciones que se tengan, eh, lo que va a hacer es de, ¿para qué sirve todo esto? Para poder detectar las amenazas de seguridad y poder tener una capacidad de reacción ante ellas. También hay una agregación, que que en esto consiste en reducir el volumen de los datos. La consolidación de de evitar información duplicada, que esto es como, eh, en base de datos, ¿no? Que se trata de evitar, por eso es la normalización, aquí tenemos la, la agregación. Existen la parte de los informes. Eh, los informes nos van a permitir de ver los datos en forma gráfica, ya bien correlacionada en tiempo real, podemos ver gráficas del consumo de, del flujo de, de datos a través de la red, del flujo de, de consumo de CPU, del consumo de de memoria, de de storage, y podemos ver muchas funcionalidades. Y eso nos va a permitir tener un monitoreo en tiempo real de nuestra propia red. En los sistemas SIEM, eh, utilizan a algunas herramientas como Splunk, eh, este es uno de los de los sistemas de SIEM patentados más conocidos y utilizados por los centros de operación de seguridad. Eh, de estos también utilizan lo que es Elasticsearch, que es un motor de búsqueda de texto completo orientado a documentos, que estos ya para funcionalidad propia de de los sistemas SIEM, o un Logstash, que son sistemas de procesamiento de flujo que conecten entradas a salidas con filtros opcionales en el medio, y estos van a permitir capturar todo el tráfico de los logs y analizarlos, o Kibana, que es un análisis con base en el navegador y tablero de búsqueda. Y aquí lo que permite es es recolectar toda la información, procesarla y mostrarla en tiempo real en los monitores que se pueden tener y de manera gráfica o más fácil de interpretar, a diferencia de otras funcionalidades, ¿no?
