Cómo montar un SOC en casa, charla ofrecida por Alex Casanova en SegurXest

Cómo montar un SOC (Centro de Operaciones de Seguridad) en casa

La teoría está muy bien para adquirir conceptos pero cuando estamos hablando de cosas técnicas si no se pasa a la práctica, el conocimiento no se convierte en un aprendizaje sólido. Por este motivo siempre insisto en que la mejor manera de aprender sobre algo es practicando y cacharreando y aquí vas a ver un buen ejemplo.

Si has llegado hasta este artículo sobre cómo montar un SOC en casa, muy posiblemente es porque quieras ponerte manos a la obra y comenzar a crear un «laboratorio» en casa o homelab que te permita tener controlada la seguridad de todas tus comunicaciones o porque estés a la búsqueda de nuevas ideas que puedan ayudarte a mejorar lo que ya tengas. Pues tengo que decirte que estás en el camino correcto.

En las Jornadas de Seguridad Informática SegurXest dirigidas a estudiantes de informática, Alex Casanova contó qué le motivó a él hace años a montar un SOC en su propia casa para aprender y explicó detalladamente cuáles son los pasos que ha dado hasta el momento para conseguirlo y qué herramientas ha empleado pues su homelab está en constante evolución. 

Desde el primer día no ha parado de probar cosas, incorporar nuevos dispositivos, probar nuevas herramientas, añadir funcionalidades, quitar otras otras… con la ventaja de que todo esto que aprende en casa, es decir, en un entorno controlado, le ayuda a experimentar cosas nuevas y este conocimiento lo puede incorporar al día a día en su trabajo.

Aprender practicando, esa es la máxima así que os recomiendo la charla que dimos Alex y yo en CyberCamp que lleva por título ‘¿Qué hay en la mochila de un hacker?‘. Asimismo al final de esta entrada tienes disponible tanto el vídeo como el podcast de esta interesante charla que estoy segura servirá de inspiración a más de una persona.

Alex Casanova (@hflistener). Siempre involucrado en proyectos relacionados con las telecomunicaciones, compagina su labor profesional con la radioafición (EA5HJX) por ello es un gran especialista en la seguridad en los sistemas de comunicaciones radio y dedica gran parte de su tiempo libre a la investigación que comparte en su blog Digimodes.

¿Qué es un SOC?

Pues antes de plantear la posibilidad de montar un SOC sea en casa o en una empresa habría que tener claro precisamente qué es y en qué consiste. Pues ni más ni menos un SOC es un Centro de Operaciones de Seguridad que permite monitorizar, en tiempo real, la actividad de los sistemas informáticas con la intención de prevenir incidentes de seguridad y así poder realizar una respuesta rápida y adecuada en función de los mismos.

Vamos resumiendo en palabras muy sencillas, un SOC es lo que viene siendo tener centralizada y monitorizada toda la información de los sistemas informáticos y dispositivos conectados para recibir avisos si sucede algo raro e imprevisto que pueda afectar a la seguridad.

Hoy en día las empresas tienen que contar con equipos de respuesta a incidentes que puedan ayudarles a gestionar la seguridad tal y como vimos en su día en el ciberdebate especial dedicado a este tema, y estos equipos lo que necesitan es tener implantado un SOC precisamente para poder detectar a tiempo esos incidentes.

La experiencia de Alex Casanova al montar un SOC doméstico

La propuesta de montar un SOC en casa que lanzó Alex en esta charla, no tiene otro propósito más que animar a los estudiantes, a los entusiastas de la seguridad o a los profesionales a cacharrear, a investigar, a perder el miedo a probar cosas nuevas, en definitiva a tener un laboratorio de pruebas propio que permita aprender en un entorno controlado la gran cantidad de cosas que se pueden llegar a incorporar al mismo pues en el caso de que algo no salga bien o no todo lo bien que se desea ‘el daño’ siempre será menor que si se prueban estas cosas por primera vez en el Centro de Operaciones de Seguridad de una empresa.

De esta forma ese conocimiento adquirido de la prueba-error por la inquietud de querer experimentar sin duda siempre servirá para poder ponerlo en práctica en entornos profesionales, una vez se ha aprendido y probado y obviamente para mejorar la seguridad de las comunicaciones en la propia casa.

La charla está estructurada en cuatro partes:

– En primer lugar explicar cuál fue la motivación y las razones que le llevaron a empezar a montar un SOC en su propia.

– A continuación se centra en detallar cómo ha ido diseñado su propio SOC en casa usando:

  1. ONT Jazztel (sin router del operador).
  2. Switch PoE con 24 puertos (diversas VLAN).
  3. HP Microserver Gen8 con 16 GB de RAM y 2 TB HDD sobre el que ha montado un entorno de virtualización con wmWARE ESXI 6.5
  4. MiniServer para proyectos radio más satélite.

– En tercer lugar ofrece una descripción de las tecnologías que ha empleado para desplegar su Firewall:

  • Pfsense, una distribución basada en FreeBSD que permite crear un entorno complejo sobre el que probar las capacidades como Blue Team y así poder hacer el análisis de la información.
  • El plugin PfblockerNG. Este es el enlace al repositorio que mantiene Alex en su cuenta de GitHub donde añade aquellas listas que prueba y si alguna de estas listas tienen ‘falsos positivos’: https://github.com/alexbogus/pfblockerng-blacklist
  • DNS Sinkhol.
  • Unifi Wireless para controlar la red WiFi con todos sus dispositivos Ubiquiti, el portal cautivo, la WiFI principal y la red para invitados.
  • Creación de un Telegram BOT para monitorizar usando herramientas como ARP Watch o Home Assistant con su módulo de detección de nuevos dispositivos.
  • TINC (VPN Mesh).
  • Herramientas empleadas para la visualización de datos: ElasticSearch como motor de búsquedas y análisis y las herramientas Logstash y Kibana.
  • Entre las posibles mejoras a incorporar que contempla son incorporar TheHive, Cortex y MISP Theat Sharing.

– Y por último comenta qué investigaciones y resultados, algunos bastante curiosos, ha conseguido extraer de las pruebas que ha realizado en su propio SOC como por ejemplo comprobar que tipo de información compartía su Smart TV.

Ahora tan solo falta ponerse a trabajar y empezar a probar poco a poco estas opciones y como complemento en Palabra de hacker tengo disponibles otras charlas de Alex de lo más interesantes como ‘Seguridad en smart cities: escuchando tu ciudad‘ donde realiza un análisis de la seguridad de las ciudades inteligentes pero desde un punto de vista que muchas veces se descuida como la seguridad en las comunicaciones radio, ‘Seguridad en las comunicaciones marítimas y la electrónica embarcada‘ en la que ofrece un repaso a las comunicaciones embarcadas, a la seguridad en los sistemas AIS y vSAT así como a las comunicaciones GPS con algunos aportes de las cosas que se pueden realizar con la información obtenida aplicando inteligencia OSINT y la charla ofrecida en la comunidad Hack&Beers junto a José Vila ‘EVA: Equipo de Vigilancia Artificial‘ en la que ambos explican cómo este sistema puede ayudar a detectar y gestionar de forma automatizada y rápida los avisos de incidencias de seguridad algo que desde luego se puede aplicar a la hora de montar un SOC.

Para profundizar en el tema del Internet de las cosas (IoT) que menciona en la ponencia al referirse a la parte domótica de su casa cuya monitorización ha incorporado al SOC, recomiendo saber ‘Cuáles son los tipos de ataques a dispositivos conectados‘ y la charla de José Vila ‘Seguridad en el Internet de las cosas: riesgos y posibles soluciones‘, la de Fran Rodríguez ‘Dispositivos conectados expuestos a ciberataques‘ y la de Josep Albors ‘Amenazas en el Internet de las cosas‘ que explican con detalle algunos de los riesgos que conlleva esta tendencia de ir conectándolo todo a Internet.

Y para indagar con más detalle en el mundo de los SOC está disponible el ciberdebate ‘El día a día de trabajo en un SOC‘ en el que participa Alex junto a otros invitados que trabajan a diario en estos Centros de Operaciones de Seguridad y también la charla de Mauro Lorenzo ‘Construye un SOC con herramientas Open Source‘.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    { «@context»: «https://schema.org», «@type»: «VideoObject», «name»: «Cómo montar un SOC (Centro de Operaciones de Seguridad) en casa», «@id»: «https://www.yolandacorral.com/como-montar-un-soc-en-casa/#videoobject», «datePublished»: «2018-09-02», «description»: «Aprende a montar un SOC en casa para practicar en un entorno controlado cómo funcionan las cosas y mejorar la seguridad de tus dispositivos conectados.», «thumbnailUrl»: «https://www.yolandacorral.com/wp-content/uploads/Como-montar-un-SOC-Centro-Operaciones-de-seguridad-canal-Palabra-de-hacker.png», «uploadDate»: «2018-09-02», «duration»: «PT42M49S», «publisher»: { «@type»: «Organization», «name»: «Palabra de hacker by Yolanda Corral», «logo»: { «@type»: «ImageObject», «url»: «https://www.yolandacorral.com/wp-content/uploads/Logo-Palabra-de-hacker-ciberseguridad-de-tu-a-tu.png», «width»: 60, «height»: 60 } }, «embedUrl»: «https://youtu.be/jI3bplC4KuM» }

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.