Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
enero
(Total:
88
)
- Adiós a lo gratis en Google: Drive dejará de ofrec...
- Apple presenta una guía de seguridad para AirTags ...
- Grupo Norcorenao Lazarus utiliza cliente Windows U...
- Ciberataque afecta al Senado de Puerto Rico
- Cliente de Azure de Microsoft recibe el mayor ataq...
- Traefik: un proxy inverso para contenedores Docker
- Rubber Ducky pendrive USB maligno roba datos
- Vulnerabilidad en Safari y iCloud permitía tomar e...
- Rojadirecta se enfrenta hasta a 6 años de cárcel y...
- Grave vulnerabilidad en Polkit permite obtener roo...
- Navega gratis con una IPv6 gracias a un túnel con ...
- Gestos de Android que casi nadie conoce y que son ...
- Hackean el sistema de ferrocarriles de Bielorrusia...
- Microsoft deshabilita las macros de Excel 4.0 XLM ...
- Un nuevo ataque DDoS en Andorra a varios streamers...
- Manual uso htop: monitoriza recursos servidor en t...
- Un 80% de de los españoles cree ser rastreado por ...
- La UE advierte que dos tercios de las reseñas de l...
- 1 de cada 3 webs de phishing desaparece durante su...
- Rusia y la Unión Europa se plantean prohibir el mi...
- Intel invertirá 20.000M $ para construir en Ohio l...
- Estafadores colocan falsos códigos QR en parquímet...
- Vulnerabilidades ponen en peligro a la mitad de eq...
- DevToys la "navaja suiza" de utilidades para progr...
- Google Play Juegos para Windows: jugar juegos Andr...
- Usuarios antiguos Google G Suite con correo gratui...
- Cuidado con el phishing: DHL, Microsoft y WhatsApp...
- Investigadores encuentran 1 millón de credenciales...
- Guía de medidas de ciberseguridad para protegerse ...
- OnlyOffice es la suite ofimática de código abierto...
- Ciberataque a la Cruz Roja compromete los datos de...
- Europa tendrá sus propios servidores DNS públicos ...
- Gestión contenedores: DockerFile y Docker Compose
- Mejores pendrives USB 3.2
- Antivirus Windows Defender permite ver las carpeta...
- Microsoft compra Activision Blizzard por 68.700 mi...
- Error en Safari permite filtrar el historial y dat...
- Hackean Amedia, importante medio de comunicación d...
- ¿Vale la pena seguir usando banda 2.4GHz o mejor u...
- Canadá rastreó la ubicación de 33 millones de pers...
- Las CPUs Intel Alder Lake y Windows 11 no permiten...
- Comandos y ejemplos con FFmpeg
- Disponible nueva versión convertidor multimedia Ha...
- UltraRAM es el futuro del almacenamiento híbrido d...
- Cómo utilizar Grabify IP Logger o IPLogger
- Importantes detenciones de grupos de Rusos de rans...
- Ucrania denuncia un ciberataque masivo contra webs...
- El hospital de Lucena de Córdoba víctima del ranso...
- Android permitirá desactivar el 2G para evitar su ...
- Alemania estudia bloquear Telegram si persisten su...
- Samsung presenta primer sistema computacional con ...
- Mejores sistemas protección red con sistemas IDS/IPS
- La Unión Europea realizará simulacro de ciberataqu...
- Wi-Fi 6e: la actualización más importante del Wi-F...
- Vulnerabilidad crítica en la pila HTTP (IIS) en Wi...
- Kazajistán y el minado de las criptomonedas
- Varios operadores Europeos quieren que se prohíba ...
- La velocidad de Wi-Fi 6E podría alcanzar 1-2 Gbps
- Desarrollador sabotea su proyecto open source en G...
- Canon enseña a sus clientes cómo saltarse las comp...
- Avira es otro antivirus que también mina criptomon...
- Prohíben el uso de Telegram, WhatsApp y Signal a l...
- AnonSurf permite anonimizar vía TOR todas las cone...
- Consejos para proteger la privacidad de los menore...
- Descargar vídeos con Youtube-dl: con interfaz gráf...
- Programas de captura de pantalla para Windows
- Antivirus Norton 360 se pone a minar criptomonedas...
- Detenido un jefe de la mafia italiana fugado hace ...
- Multa millonaria de Francia a Google y Facebook po...
- Instalar ADB y usar los comandos básicos
- Starlink llega oficialmente a España: precios y ve...
- SEGA Europa sufre una filtración de su Base de Datos
- Glances: herramienta monitorizar servidores Window...
- Registrarse en Skype pide rellenar un captcha 10 v...
- DanderSpritz herramienta con panel de control post...
- Críticas a Chrome por nueva API para identificarte...
- La UE desconecta 48 mil dominios .eu registrados p...
- Así te pueden hackear por copiar y pegar comandos ...
- Instaladores falsos de Telegram Desktop contienen ...
- Error efecto del año 2022 afecta servidores de cor...
- Consiguen ocultar malware en unidades SSD
- Samsung presenta en el CES el Galaxy S21 FE
- Hoy es el adiós definitivo para productos BlackBerry
- Intel muestra la increíble velocidad de las unidad...
- Google Drive borrará archivos de tu cuenta si inci...
- La Universitat Oberta de Catalunya vuelve a la nor...
- Framework post explotación Powershell-Empire
- Sandboxie Plus: ejecuta aplicaciones poco confiabl...
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Mejores sistemas protección red con sistemas IDS/IPS
Las siglas IDS se corresponde con Sistema de Detección de Intrusiones, las siglas IPS se corresponde con Sistema de Prevención de Intrusiones. Es un conjunto de sistemas que se complementan para proveer de mayor seguridad a las redes de distintos tamaños. En especial, aquellas redes que requieren de un alto nivel de respuesta y servicio. Estos sistemas pueden aplicarse tanto a nivel de software o bien, a nivel hardware mediante equipos especializados. Se habla normalmente de IDS/IPS porque trabajan conjuntamente.
IDS, IPS y SIEM, ¿Qué son exactamente?
Aunque las tres herramientas se usan para monitorizar y detectar intrusiones en los equipos o en la red de la empresa son diferentes entre sí. A continuación, os describimos cada una de ellas.
- IDS
IDS (Intrusion Detection System) o sistema de detección de intrusiones: es una aplicación usada para detectar accesos no autorizados a un ordenador o a una red, es decir, son sistemas que monitorizan el tráfico entrante y lo cotejan con una base de datos actualizada de firmas de ataque conocidas. Ante cualquier actividad sospechosa, emiten una alerta a los administradores del sistema quienes han de tomar las medidas oportunas. Estos accesos pueden ser ataques esporádicos realizados por usuarios malintencionados o repetidos cada cierto tiempo, lanzados con herramientas automáticas. Estos sistemas sólo detectan los accesos sospechosos emitiendo alertas anticipatorias de posibles intrusiones, pero no tratan de mitigar la intrusión. Su actuación es reactiva.
- IPS
IPS (Intrusion Prevention System) o sistema de prevención de intrusiones: es un software que se utiliza para proteger a los sistemas de ataques e intrusiones. Su actuación es preventiva. Estos sistemas llevan a cabo un análisis en tiempo real de las conexiones y los protocolos para determinar si se está produciendo o se va a producir un incidente, identificando ataques según patrones, anomalías o comportamientos sospechosos y permitiendo el control de acceso a la red, implementando políticas que se basan en el contenido del tráfico monitorizado, es decir, el IPS además de lanzar alarmas, puede descartar paquetes y desconectar conexiones.
Muchos proveedores ofrecen productos mixtos, llamándolos IPS/IDS, integrándose frecuentemente con cortafuegos y UTM (en inglés Unified Threat Management o Gestión Unificada de Amenazas) que controlan el acceso en función de reglas sobre protocolos y sobre el destino u origen del tráfico.
- SIEM
SIEM (Security Information and Event Management) o sistema de gestión de eventos e información de seguridad: es una solución híbrida centralizada que engloba la gestión de información de seguridad (Security Information Management) y la gestión de eventos (Security Event Manager). La tecnología SIEM proporciona un análisis en tiempo real de las alertas de seguridad generadas por los distintos dispositivos hardware y software de la red. Recoge los registros de actividad (logs) de los distintos sistemas, los relaciona y detecta eventos de seguridad, es decir, actividades sospechosas o inesperadas que pueden suponer el inicio de un incidente, descartando los resultados anómalos, también conocidos como falsos positivos y generando respuestas acordes en base a los informes y evaluaciones que registra, es decir, es una herramienta en la que se centraliza la información y se integra con otras herramientas de detección de amenazas.
Ventajas y desventajas de cada herramienta
- IDS
La principal ventaja de un sistema IDS es que permite ver lo que está sucediendo en la red en tiempo real en base a la información recopilada, reconocer modificaciones en los documentos y automatizar los patrones de búsqueda en los paquetes de datos enviados a través de la red. Su principal desventaja es qué estas herramientas, sobre todo en el caso de las de tipo pasivo, no es están diseñadas para prevenir o detener los ataques que detecten, además son vulnerables a los ataques DDoS que pueden provocar la inoperatividad de la herramienta.
- IPS
Las ventajas de un IPS son:
- escalabilidad al gestionar multitud de dispositivos conectados a la misma red;
- protección preventiva al comprobarse de forma automatizada comportamientos anómalos mediante el uso de reglas prefijadas;
- fácil instalación, configuración y administración al estar disponibles multitud de configuraciones predefinidas y centralizar en un punto su gestión, aunque puede ser contraproducente para su escalabilidad;/
- defensa frente a múltiples ataques, como intrusiones, ataques de fuerza bruta, infecciones por malware o modificaciones del sistema de archivos, entre otros;
- aumento de la eficiencia y la seguridad de la prevención de intrusiones o ataques a la red.
Entre sus desventajas, destacan los efectos adversos que pueden producirse en el caso de que se detecte un falso positivo, si por ejemplo se ejecuta una política de aislamiento de las máquinas de la red o en el caso de que se reciban ataques de tipo DDoS o DoS que pueden provocar su inutilización.
- SIEM
Entre las ventajas de contar con un SIEM destacan la centralización de la información y eventos, es decir, se proporciona un punto de referencia común. La centralización permite automatizar tareas, con su consiguiente ahorro de tiempo y costes, el seguimiento de los eventos para detectar anomalías de seguridad o la visualización de datos históricos a lo largo del tiempo. Además, los sistemas SIEM muestran al administrador la existencia de vulnerabilidades, así como si están siendo aprovechadas en los ataques.
Entre sus desventajas en el caso de que se encargue de su mantenimiento un departamento de la empresa destacan sus altos costes de implantación, una curva de aprendizaje larga al tener que formar personal propio para esta tarea y una integración limitada con el resto del sistema. En el caso de que se externalice esta tarea se experimenta una pérdida de control de la información generada o un acceso limitado a determinada información y una fatiga por la alta recepción de notificaciones. Estos aspectos pueden gestionarse con el proveedor del servicio a través de los acuerdos de nivel de servicios o ANS.
¿Qué es un IDS?
Un IDS (Intrusion Detection System), o sistema de detección de intrusos, es un sistema de monitorización que detecta actividades sospechosas y genera una serie de alertas para informar de las violaciones (pueden ser detectadas por comparación de firmas de los archivos, escaneo de patrones o anomalías maliciosas, monitorizando comportamiento, configuraciones, tráfico de red …) que se hayan podido producir en el sistema.
Gracias a esas alertas, se puede investigar el origen del problema y tomar medidas adecuadas para remediar la amenaza. Aunque, no detecta todos los ataques, hay métodos de evasión, y tampoco los bloquea, solo informa de ello. Además, si se basa en firmas, las amenazas más recientes (0-day), también pueden escapar y no ser detectadas.
Tipos IDS
Fundamentalmente, existen dos tipos de IDS:
- HIDS (Host-Based IDS): se implementa en un endpoint o máquina en particular y está diseñado para detectar amenazas internas y externas. Ejemplos son OSSEC, Wazuh, y Samhain.
- NIDS (Network-based IDS): para supervisar toda una red, pero carecen de visibilidad dentro de los endpoints conectados a dicha red. Ejemplos son Snort, Suricata, Bro, y Kismet.
Diferencias con un firewall, IPS y UTM, SIEM
Existen varios términos que pueden llevar a confusión, pero que tienen diferencias con un IDS. Algunos de los términos relacionados con la seguridad que también deberías conocer son:
- Firewall: se parece más a un IPS que a un IDS, ya que es un sistema de detección activo. Un cortafuegos está diseñado para bloquear o permitir ciertas comunicaciones, en función de las reglas que se hayan configurado. Se puede implementar tanto por software como por hardware.
- IPS: son las siglas de Intrusion Prevention System, y es un complemento para un IDS. Es un sistema capaz de prevenir ciertos eventos, por tanto es un sistema activo. Dentro de los IPS se pueden distinguir 4 tipos fundamentales:
- NIPS: basados en red y por tanto buscan tráfico de red sospechoso
- WIPS: como los NIPS, pero para redes inalámbricas
- NBA: se basa en el comportamiento de la red, examinando tráfico inusual
- HIPS: buscan actividades sospechosas en host únicos
- UTM: son las siglas de Unified Threat Managment, un sistema de gestión para ciberseguridad que proporciona múltiples funciones centralizadas. Por ejemplo, incluyen firewall, IDS, antimalware, antispam, filtrado de contenidos, algunos incluso VPN, etc.
- Otros: también existen otros términos relacionados con la ciberseguridad que seguro has escuchado
- SIM: son las siglas de Security Information Manager, o gestión de información de seguridad. En este caso, es un registros central que agrupa todos los datos referentes a seguridad para generar informes, analizar, tomar decisiones, etc. Es decir, un conjunto de capacidades para almacenar a largo plazo dicha información.
- SEM: una función Security Event Manager, o gestión de eventos de seguridad, se encarga de detectar patrones anormales en accesos, otorga la capacidad de monitorización en tiempo real, correlación de eventos, etc.
- SIEM: es la combinación de SIM y SEM, y es una de las principales herramientas usadas en SOC o centros de operaciones de seguridad.
Los mejores sistemas IDS que puedes encontrar son:
- Bro (Zeek): es de tipo NIDS y tiene funciones de registro de tráfico y análisis, monitor de tráfico SNMP, y actividad FTP, DNS, y HTTP, etc.
- OSSEC: es de tipo HIDS, de código abierto y gratuito. Además, es multiplataforma, y sus registros incluyen también FTP, datos del servidor web y email. También está Wazhu, un fork de OSSEC. Pero su integración con ELK le permite la inclusión de nuevas funcionalidades, donde muchos lo definen como un EDR e incluso otros lo catalogan como SIEM.
- Snort: es uno de los más famosos, de código abierto, y de tipo NIDS. Incluye sniffer para paquetes, registro para paquetes de red, threat intelligence, bloqueo de firmas, actualizaciones en tiempo real de las firmas de seguridad, habilidad para detectar eventos muy numerosos (OS, SMB, CGI, buffer overflow, puertos ocultos,…).
- Suricata: otro tipo NIDS, también de código abierto. Puede monitorizar actividad a bajo nivel, como TCP, IP, UDP, ICMP, y TLS, en tiempo real para aplicaciones como SMB, HTTP, y FTP. Permite la integración con herramientas de terceros como Anaval, Squil, BASE, Snorby, etc.
- Security Onion: NIDS/HIDS, otro sistema IDS especialmente focalizado a las distros Linux, con capacidad para detectar intrusos, monitorización empresarial, sniffer de paquetes, incluye gráficos de lo que sucede, y se pueden usar herramientas como NetworkMiner, Snorby, Xplico, Sguil, ELSA, y Kibana.
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.