La teoría está muy bien para adquirir conceptos pero cuando estamos hablando de cosas técnicas si no se pasa a la práctica, el conocimiento no se convierte en un aprendizaje sólido. Por este motivo siempre insisto en que la mejor manera de aprender sobre algo es practicando y cacharreando y aquí vas a ver un buen ejemplo.
Si has llegado hasta este artículo sobre cómo montar un SOC en casa, muy posiblemente es porque quieras ponerte manos a la obra y comenzar a crear un «laboratorio» en casa o homelab que te permita tener controlada la seguridad de todas tus comunicaciones o porque estés a la búsqueda de nuevas ideas que puedan ayudarte a mejorar lo que ya tengas. Pues tengo que decirte que estás en el camino correcto.
En las Jornadas de Seguridad Informática SegurXest dirigidas a estudiantes de informática, Alex Casanova contó qué le motivó a él hace años a montar un SOC en su propia casa para aprender y explicó detalladamente cuáles son los pasos que ha dado hasta el momento para conseguirlo y qué herramientas ha empleado pues su homelab está en constante evolución.
Desde el primer día no ha parado de probar cosas, incorporar nuevos dispositivos, probar nuevas herramientas, añadir funcionalidades, quitar otras otras… con la ventaja de que todo esto que aprende en casa, es decir, en un entorno controlado, le ayuda a experimentar cosas nuevas y este conocimiento lo puede incorporar al día a día en su trabajo.
Aprender practicando, esa es la máxima así que os recomiendo la charla que dimos Alex y yo en CyberCamp que lleva por título ‘¿Qué hay en la mochila de un hacker?‘. Asimismo al final de esta entrada tienes disponible tanto el vídeo como el podcast de esta interesante charla que estoy segura servirá de inspiración a más de una persona.
Alex Casanova (@hflistener). Siempre involucrado en proyectos relacionados con las telecomunicaciones, compagina su labor profesional con la radioafición (EA5HJX) por ello es un gran especialista en la seguridad en los sistemas de comunicaciones radio y dedica gran parte de su tiempo libre a la investigación que comparte en su blog Digimodes.
¿Qué es un SOC?
Pues antes de plantear la posibilidad de montar un SOC sea en casa o en una empresa habría que tener claro precisamente qué es y en qué consiste. Pues ni más ni menos un SOC es un Centro de Operaciones de Seguridad que permite monitorizar, en tiempo real, la actividad de los sistemas informáticas con la intención de prevenir incidentes de seguridad y así poder realizar una respuesta rápida y adecuada en función de los mismos.
Vamos resumiendo en palabras muy sencillas, un SOC es lo que viene siendo tener centralizada y monitorizada toda la información de los sistemas informáticos y dispositivos conectados para recibir avisos si sucede algo raro e imprevisto que pueda afectar a la seguridad.
Hoy en día las empresas tienen que contar con equipos de respuesta a incidentes que puedan ayudarles a gestionar la seguridad tal y como vimos en su día en el ciberdebate especial dedicado a este tema, y estos equipos lo que necesitan es tener implantado un SOC precisamente para poder detectar a tiempo esos incidentes.
La experiencia de Alex Casanova al montar un SOC doméstico
La propuesta de montar un SOC en casa que lanzó Alex en esta charla, no tiene otro propósito más que animar a los estudiantes, a los entusiastas de la seguridad o a los profesionales a cacharrear, a investigar, a perder el miedo a probar cosas nuevas, en definitiva a tener un laboratorio de pruebas propio que permita aprender en un entorno controlado la gran cantidad de cosas que se pueden llegar a incorporar al mismo pues en el caso de que algo no salga bien o no todo lo bien que se desea ‘el daño’ siempre será menor que si se prueban estas cosas por primera vez en el Centro de Operaciones de Seguridad de una empresa.
De esta forma ese conocimiento adquirido de la prueba-error por la inquietud de querer experimentar sin duda siempre servirá para poder ponerlo en práctica en entornos profesionales, una vez se ha aprendido y probado y obviamente para mejorar la seguridad de las comunicaciones en la propia casa.
La charla está estructurada en cuatro partes:
– En primer lugar explicar cuál fue la motivación y las razones que le llevaron a empezar a montar un SOC en su propia.
– A continuación se centra en detallar cómo ha ido diseñado su propio SOC en casa usando:
- ONT Jazztel (sin router del operador).
- Switch PoE con 24 puertos (diversas VLAN).
- HP Microserver Gen8 con 16 GB de RAM y 2 TB HDD sobre el que ha montado un entorno de virtualización con wmWARE ESXI 6.5
- MiniServer para proyectos radio más satélite.
– En tercer lugar ofrece una descripción de las tecnologías que ha empleado para desplegar su Firewall:
- Pfsense, una distribución basada en FreeBSD que permite crear un entorno complejo sobre el que probar las capacidades como Blue Team y así poder hacer el análisis de la información.
- El plugin PfblockerNG. Este es el enlace al repositorio que mantiene Alex en su cuenta de GitHub donde añade aquellas listas que prueba y si alguna de estas listas tienen ‘falsos positivos’: https://github.com/alexbogus/pfblockerng-blacklist
- DNS Sinkhol.
- Unifi Wireless para controlar la red WiFi con todos sus dispositivos Ubiquiti, el portal cautivo, la WiFI principal y la red para invitados.
- Creación de un Telegram BOT para monitorizar usando herramientas como ARP Watch o Home Assistant con su módulo de detección de nuevos dispositivos.
- TINC (VPN Mesh).
- Herramientas empleadas para la visualización de datos: ElasticSearch como motor de búsquedas y análisis y las herramientas Logstash y Kibana.
- Entre las posibles mejoras a incorporar que contempla son incorporar TheHive, Cortex y MISP Theat Sharing.
– Y por último comenta qué investigaciones y resultados, algunos bastante curiosos, ha conseguido extraer de las pruebas que ha realizado en su propio SOC como por ejemplo comprobar que tipo de información compartía su Smart TV.
Ahora tan solo falta ponerse a trabajar y empezar a probar poco a poco estas opciones y como complemento en Palabra de hacker tengo disponibles otras charlas de Alex de lo más interesantes como ‘Seguridad en smart cities: escuchando tu ciudad‘ donde realiza un análisis de la seguridad de las ciudades inteligentes pero desde un punto de vista que muchas veces se descuida como la seguridad en las comunicaciones radio, ‘Seguridad en las comunicaciones marítimas y la electrónica embarcada‘ en la que ofrece un repaso a las comunicaciones embarcadas, a la seguridad en los sistemas AIS y vSAT así como a las comunicaciones GPS con algunos aportes de las cosas que se pueden realizar con la información obtenida aplicando inteligencia OSINT y la charla ofrecida en la comunidad Hack&Beers junto a José Vila ‘EVA: Equipo de Vigilancia Artificial‘ en la que ambos explican cómo este sistema puede ayudar a detectar y gestionar de forma automatizada y rápida los avisos de incidencias de seguridad algo que desde luego se puede aplicar a la hora de montar un SOC.
Para profundizar en el tema del Internet de las cosas (IoT) que menciona en la ponencia al referirse a la parte domótica de su casa cuya monitorización ha incorporado al SOC, recomiendo saber ‘Cuáles son los tipos de ataques a dispositivos conectados‘ y la charla de José Vila ‘Seguridad en el Internet de las cosas: riesgos y posibles soluciones‘, la de Fran Rodríguez ‘Dispositivos conectados expuestos a ciberataques‘ y la de Josep Albors ‘Amenazas en el Internet de las cosas‘ que explican con detalle algunos de los riesgos que conlleva esta tendencia de ir conectándolo todo a Internet.
Y para indagar con más detalle en el mundo de los SOC está disponible el ciberdebate ‘El día a día de trabajo en un SOC‘ en el que participa Alex junto a otros invitados que trabajan a diario en estos Centros de Operaciones de Seguridad y también la charla de Mauro Lorenzo ‘Construye un SOC con herramientas Open Source‘.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!