Detectar a tiempo que alguien está intentando acceder a una red o dispositivo, es vital. Por ese motivo contar con herramientas y sistemas que ayuden en la monitorización, detección y contención de estos ataques resulta de vital importancia.
En las Jornadas de Ciberseguridad BitUp celebradas en Alicante, Ismael Manzanera (@Manza_Root) estudiante de Sistemas microinformáticos y redes de la modalidad dual y autodidacta y entusiasta del mundo de la ciberseguridad, centró su charla en los Sistemas de Detección de Intrusos (IDS) y explicó las posibilidades que tienen tanto Snort como Jueves para monitorizar los sistemas.
Los sistemas de detección de intrusos realizan principalmente dos tareas que son la prevención (mediante la monitorización) y la reacción. En función de las tareas de los mismos se distinguen entre IDS pasivos que son aquellos que realizan la prevención escuchando el tráfico (modo sniffer, monitorizando el tráfico de la red en tiempo real) o IDS activos que son los que realizan respuestas defensivas antes del ataque.
Hay tres tipos de IDS en función del lugar en el que se instalen en la red:
- HIDS, Sistema de detección de intrusos de Host.
- NIDS, Sistema de detección de intrusos de Red.
- DIDS, Sistema de detección de intrusos distribuidos.
Sistemas de patrones en Snort y Jueves para detectar intrusiones
En la charla, que está disponible a continuación tanto en vídeo como en podcast como es habitual con los contenidos de Palabra de hacker, Ismael se centró en explicar el funcionamiento de Snort y Jueves, una herramienta que ha creado personalmente.
Ambas herramientas funcionan mediante la creación de patrones, pero en el caso de Jueves la tarea se simplifica ya que trabaja con Snort por debajo y ayuda en el proceso a aquellas personas que no controlen demasiado sobre este tema.
El funcionamiento en estos sistemas es sencillo, cuando alguno de los paquetes de tráfico en la red coincide con alguno de patrones que se han creado con las reglas que se hayan establecido esto se registra en un log lo que facilita conocer todos los detalles del ataque en el análisis posterior.
Snort, es una herramienta open source que puede funcionar como sniffer, como packet logger (registra los logs con las actividades detectadas) o en modo IDS. Funciona mediante patrones y se pueden configurar reglas, algunas de las cuales ya vienen preconfiguradas pero se pueden ajustar según las necesidades que se tengan de detección o defensa ante cualquier ataque.
Jueves, es un complemento basado en Snort que ha creado Ismael para simplificar los procesos. Está realizado en Python 3 y existe una versión en español y otra en inglés.
Trabaja con Snort por debajo y guarda un log con toda la actividad registrada y se encarga directamente de crear patrones aunque. En la charla enseña mediante dos demos cómo trabaja Jueves para detectar un posible escaneo de puertos con Nmap que se esté lanzando a nuestra red y un metaexploit enviado mediante un enlace.
En esta ocasión recomiendo complementar estos contenidos con la charla ‘Cómo montar un SOC en casa‘ (Centro de Operaciones de Seguridad), la didáctica ponencia ‘Firewall con Raspberry Pi para proteger la seguridad y privacidad en el hogar‘, también la charla ‘Cómo defenderse de los malos con Cyber Threat Intelligence o inteligencia de amenazas‘ y la píldora ‘Análisis de un incidente de seguridad‘ así como revisar la lista de reproducción con todas las charlas de las Jornadas BitUp disponibles.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!