Entregable Final - Javier Mendoza (3)

Vista previa del material en texto

Índice. 
1. Resumen ………………………………………………………………………..2
 1.1. Abstract …………………………………………………………………………….2
2. Introducción …………………………………………..………………………..3
 2.1. Ciber inteligencia ………………………………………………………………….3
 2.2. OSINT Framework…………………………………………………………………5
 2.3. IDS e IPS …………………………………………………………………………..6
 2.4. Snort ………………………………………………………………………………..7
3. Desarrollo ….………………………….………………………………………..8
 3.1. Practica IDS con Snort…………………………………………………………….8
4. Conclusiones…………………………………………………………………13
5. Referencias……………………………………………………………………14
1. Resumen 
El presente documento representa la culminación del curso de Inteligencia en Seguridad de TI en donde se implementarán los conocimiento adquiridos durante las sesiones presenciales y las investigaciones previas, este trabajo tiene como objetivo crear una guía para la implementación de herramientas de ciberseguridad en una organización haciendo énfasis en el desarrollo de un Sistema de Detección de Intrusos (IDS), el proyecto inicia con una introducción en donde se aborda el concepto de ciberseguridad y la importancia que tiene para cualquier organización, seguido de las principales herramientas de ciberseguridad disponibles en la actualidad, para continuar con el desarrollo del proyecto en donde se expondrá la creación de un IDS mediante el uso de Snort en donde se mostrara paso a paso la implementación de este sistema desde su instalación y configuración, hasta el establecimiento de las reglas propuestas en este ejercicio, para finalizar con este proyecto se exponen las conclusiones del curso y proyecto, en dónde conoceremos la importancia del conocimiento e implementación de los mecanismos de ciberseguridad expuestos inicialmente.
 1.1. Abstract 
This document represents the culmination of the IT Security Intelligence course where the knowledge acquired during the face-to-face sessions and previous investigations will be implemented, this work aims to create a guide for the implementation of cybersecurity tools in an organization emphasizing in the development of an Intrusion Detection System (IDS), the project begins with an introduction where the concept of cybersecurity and the importance it has for any organization is addressed, followed by the main cybersecurity tools available today, to continue with the development of the project where the creation of an IDS will be exposed through the use of Snort where the implementation of this system will be shown step by step from its installation and configuration, to the establishment of the rules proposed in this exercise, to At the end of this project, the conclusions of the course and project, where we will know the importance of knowledge and implementation of the cybersecurity mechanisms initially exposed.
Key Words:
· Cybersecurity
· IDS
· Snort
2. introducción 
Para iniciar con este proyecto es necesario establecer las bases sobre las que se fundamenta el desarrollo de este trabajo para ello es importante presentar conceptos como la ciber inteligencia, metodologías para la protección de la información como las incluidas en el framework de OSINT, el software Snort, sus principales funciones y características, así como también los sistemas de detección de Intrusos (IDS) y los sistemas de prevención de intrusos.
2.1. Ciber inteligencia
Cuando se habla de ciber inteligencia nos referimos a la obtención y análisis de la información, esto puede ser tanto para un buen uso como para un uso malintencionado de estas técnicas como lo podría ser la delincuencia y el espionaje entre empresas y países. La ciber inteligencia a tomado gran importancia en los últimos años con el avance de la tecnología y la transición de los sistemas de información al medio digital, en donde anteriormente las organizaciones se preocupaban por la implementación de medidas de seguridad como la contratación de personal de seguridad perimetral, sistemas de videovigilancia, etc. Ahora se le da mayor importancia a la implementación de controles de seguridad informática, así como la mejor preparación de sus trabajadores en este tema.
Para la obtención y análisis de la información en la ciber inteligencia es importante seguir una serie de pasos para asegurar que la información recabada le sea útil a la organización y se pueda trabajar sobre esta para mejorar los sistemas de seguridad informática, estos pasos son los siguientes:
· Identificación de objetivos
· Definición de fuentes
· Análisis de la información
· Identificación de riesgos y amenazas
· Implementación de medidas contra amenazas
Esto nos lleva a la creación de equipos de respuesta para estas eventualidades, lo que se le conoce como CERT, estos pueden ser gubernamentales o privados y por lo general se comparten información con el objetivo de que el mayor número de organizaciones están protegidas ante las amenazas actuales, dándole una mayor oportunidad para asegurar la información con la que trabajan las organizaciones.
La ciber inteligencia se utiliza principalmente para la investigación con el objetivo de encontrar evidencia de ataques lo que nos indicaría como es que se realizo el ataque y la vulnerabilidad que explotaron para realizar dicho ataque. También es común el uso de la ciber inteligencia para el monitoreo de redes e identificar posibles delitos que estén ocurriendo mediante el uso de estas como el caso de la trata de personas y la pornografía, esto también aplica contra ataques entre empresas e instituciones gubernamentales permitiéndoles conocer estos movimientos antes de que les puedan afectar. Para aplicar la ciber inteligencia en cualquier organización es posible hacerlo mediante el desarrollo propio capacitando al personal o se puede adquirir por terceros como es el caso de los servicios de ciber inteligencia propuestos por la empresa Telmex la cual ofrece los siguientes servicios:
· Protección mediante la detección de sitios, perfiles o aplicaciones que busquen suplantar a la organización, así como su desactivación
· Monitoreo continuo para la detección de situaciones de riesgo
· Investigaciones sobre ciberseguridad
Existen principalmente tres tipos de ciber inteligencia, tenemos la estratégica en donde se obtiene la información a nivel global, también tenemos la ciber inteligencia táctica en la que se consigue la información partir de los ataques recibidos por organizaciones con el objetivo de identificar si las organizaciones pueden soportar los ataques y como solucionar los mismos. Por último, tenemos a la ciber inteligencia técnica que se enfoca en la obtención de información de amenazas hacia la organización.
Las principales aplicaciones de la ciber inteligencia son:
· Contra el fraude referente a la suplantación de identidad
· En la filtración de información confidencial
· Monitoreo de amenazas
· Ataques cibernéticos
2.2. OSINT Framework
El framework OSINT es una compilación de herramientas para la investigación en fuentes abiertas creado en 2016 por Justine Nordine, esta compilación se encuentra organizada por secciones en las que encontramos apartados como las direcciones IP, imágenes, videos, redes sociales, correos electrónicos, números telefónicos, herramientas para la geolocalización, apartados de terrorismo, dark web, entre muchos otros.
De estas secciones además se despliega una gran cantidad de herramientas que no servirán para cualquier investigación que necesitemos realizar, estas herramientas no son desarrolladas por el organismo que creo el framework, puesto que únicamente es un directorio que nos facilita el acceso a estas, además de tener la confianza de que las herramientas funcionan. Las herramientas contenidas son muy útiles tanto a profesionales de la ciberseguridad como ciberdelincuentes, puesto que al poder ingresar a tal nivel de información es fácil que alguien pueda hacer mal uso de estas herramientas por lo que en su uso interviene la ética de cada persona.
Estas aplicaciones no siempre son las mismas pues se actualizan para que solo estén las que verdaderamente cumplen con su objetivo ysean de uso seguro, es posible que algunas herramientas de reciente lanzamiento no se encuentren enseguida en OSINT, pero definitivamente si son útiles eventualmente serán incorporadas en su listado. El acceso a este directorio es libre, aunque existen algunas aplicaciones que tengan una versión de pago con mayores ventajas a la gratuita que incorpora el framework y es decisión de cada usuario si realmente le conviene invertir el dinero en esa herramienta o puede optar por alguna otra que sea totalmente libre.
La selección de las herramientas es muy fácil puesto que están agrupadas dependiendo el tipo de investigación que se desea realizar y al seleccionar un área aparecen las herramientas relacionadas con su respectivo objetivo, cabe destacar que es probable que no todas las herramientas les sean útiles a todos los usuarios, un ejemplo de esto son las relacionadas con números telefónicos puesto que en algunas al ser desarrolladas por personas residente en estados unidos únicamente hacen la investigación para los numero con clave de ese país
2.3. IDS e IPS.
Un Sistema de Detección de Intrusos o IDS es un programa utilizado para detectar el acceso no autorizado a una computadora o red, monitorea el tráfico que ingresa a la red y lo compara con una base de datos actualizada para verificar si el acceso está permitido, también monitorea los paquetes que circulan en la red y busca elementos que indiquen que el sistema al que se analiza está siendo atacado, un IDS se puede ubicar en cualquier punto o elemento que analice el tráfico.
Dentro de este sistema existen dos tipos los NIDS (Network Intrusion Detection System) y los HIDS (Host Intrusion Detection System), la principal diferencia entre los sistemas de detección de intrusos basados ​​en host y los basado en red es el número de máquinas que desea monitorear. 
Estos sistemas utilizan diferentes puntos estratégicos en la red porque tienen una o más interfaces de red conectadas para monitorear el tráfico en busca de tráfico malicioso, el dispositivo está inactivo, pero cumplen con los firewalls y enrutadores NIDS para que el propio sistema pueda implementar acoplamientos estrechos y cambiar las reglas de filtrado de forma más directa.
Los usuarios con derechos de administrador en el sistema son alertados automáticamente si se detecta actividad inusual o sospechosa. Sin embargo, estos sistemas son solo reactivos, lo que significa que no evitan las intrusiones, sino que solo notifican a los administradores sobre las intrusiones, a diferencia de los IPS.
Un Sistema de Prevención de Intrusiones IPS es un software que tiene como objetivo proteger el sistema contra posibles ataques cibernéticos, por lo que realizan análisis en tiempo real de las conexiones, lo que les permite detectar y predecir diversas intrusiones, para que posteriormente los responsables del área de seguridad informática puedan implementar políticas basadas en lo que está monitoreando el tráfico.
Esto significa que un IPS, a diferencia de un IDS, no solo alerta cuando ocurre una intrusión, sino que también puede descartar paquetes y desconectarse. En algunos casos podemos encontrar sistemas híbridos llamados IPS/IDS, que suelen estar integrados con firewalls que regulan el acceso en base a protocolos y destino u origen del tráfico.
Este ultimo tipo de implementaciones son las mas completas puesto que no solo identifican cuando está siendo atacado el sistema, sino que también lo pueden defender de dichos ataques y ganar tiempo hasta que los profesionales de la seguridad informática implementen los controles necesarios.
2.4. Snort
Como lo menciona los desarrolladores de la herramienta en su web Snort es el sistema de prevención de intrusiones (IPS) de código abierto líder en el mundo, usa un conjunto de reglas para ayudar a definir la actividad de red maliciosa y usa esas reglas para encontrar paquetes coincidentes y generar alertas para los usuarios, también se puede implementar en línea para bloquear estos paquetes. 
Esta herramienta que se puede utilizar como Sistema de Detección y Prevención de Intrusión (IDS/IPS) fue desarrollado por Sourcefire, Snort, es la implementación más grande de tecnología IDS/IPS en el mundo. Con millones de descargas y casi 400.000 usuarios registrados, se ha convertido en el estándar IPS, debido a que posee un gran potencial en la prevención de ataques y lo fácil que resulta su uso, en poco tiempo es posible implementar una solución de IDS o IPS mediante Snort generando grandes ahorros en las organizaciones que lo implementan, al aumentar la seguridad en sus sistemas, además este software es compatible con Linux y Windows que son los sistemas operativos mas comunes en la industria.
Snort es el software más común para la implementación de IDS o IPS y posee una gran cantidad de filtros o reglas preestablecidas que facilitan su incorporación en casi cualquier sistema, el software se actualiza continuamente por lo que se mantiene a la vanguardia con respecto a nuevos métodos de ataques, escaneos o vulnerabilidades que son descubiertas a través de boletines de seguridad. Para la implementación de un IDS no es necesario de un lenguaje de programación complicado puesto que la elaboración de sus reglas es muy fácil y en poco paso se tiene un sistema activo, en la instalación ya incorpora una cantidad considerable de reglas contra ataques de puerta trasera, DDOS, ftp, ataques web, escaneos Nmap, etc. 
Modos de operación: 
• Modo Sniffer: La actividad de una red configurada con Snort se motoriza en la pantalla en tiempo real. 
• Modo registrador de paquetes: La actividad de la red con Snort configurado se almacena en el sistema de registro para su posterior análisis. 
• Modo IDS: La actividad de la red se motoriza en una pantalla o en un sistema basado en registros mediante un perfil que define reglas y patrones que se filtrarán para investigar posibles ataques.
3. Desarrollo.
3.1. Practica IDS con Snort.
Para el desarrollo de este proyecto se pondrá en práctica la teoría presentada anteriormente con la implementación de un IDS o Sistema de Detección de Intrusos mediante el software Snort. Antes de iniciar la practica primero se tiene que establecer el entorno en el que se implementara el IDS, en este caso se emplearan dos maquinas virtuales de Ubuntu, en uno de estas estará implementado el IDS y la segunda será la maquina que buscara ingresar al primer equipo. 
Como primer paso se abre la terminal de comando en ambas máquinas y se ejecuta el comando “ifconfig” con el objetivo de conocer la dirección ip de estas, para posteriormente establecer la conexión, después de conocer las direcciones ip procedemos a descargar e instalar Snort en la maquina 1, con el comando “sudo apt-get install snort”, después de ingresar el comando se solicitará la contraseña del usuario para autorizar la instalación. A continuación, aparece una ventana que solicita el intervalo de direcciones con las que se trabajará, lo que dará paso a la configuración de Snort.
Imagen 1. Inicio de configuración Snort
Durante el proceso de configuración se requiere establecer una interfaz en donde escuchara Snort, por lo que es necesario abrir otra terminal y mediante el comando “/sbin/route -n” obtenemos la información que buscábamos.
Imagen 2. Identificación de Interfaz
Una vez obtenemos la información solicitada procedemos a ingresarla, lo que nos permitirá continuar con la configuración, posteriormente se requiere volver a ingresar la dirección ip de la red que se desea escanear. 
A continuación, se presentan varios cuadros de dialogo más hasta la conclusión de la configuración en donde se pregunta si queremos desactivar el modo promiscuo, si se agregaran opciones adicionales a la configuración y si queremos recibir resúmenes de la actividad analizada con Snort mediante correo, en donde dependiendo el caso esto puede ser una gran opción para tener una mejor documentación de los procesos analizados, para concluir con la instalación es necesario reiniciar el Snort.
Imagen 3. Configuración de interfazYa con el Snort correctamente configurado e instalado, continuamos con la parte mas importante para el uso de Snort, que es la creación y establecimiento de reglas, para esto primero buscamos en el directorio de Snort cuales son los grupos de reglas predeterminadas, encontrando las siguientes:
Imagen 4. Identificación de reglas
En el listado anterior encontramos el archivo “local.rules”, por lo que procedemos a abrirlo y editarlo con el comando “gedit local.rules” estando en el directorio de las reglas, dentro de este documento vemos que a partir de la línea 7 de código está en blanco, esto porque el mismo documento nos indica que podemos ingresar nuestras reglas en este documento, dicho esto continuamos con la formulación de las reglas que usaremos como ejemplo para comprobar el funcionamiento de un IDS con Snort.
Las reglas propuestas para este proyecto son las siguientes:
1. Identificar si se ha realizado un ping
2. Identificar si se hay alguna conexión SSH
3. Identificar si se hay alguna conexión FTP
Imagen 5. Establecimiento de reglas
Después de plantear las reglas guardamos el archivo, volvemos al directorio de snort y en esta ocasión abrimos el archivo “snort.conf” para configurar de la red ip local, además de corroborar que la variable de la red externa este en “any”.
Imagen 6. Configuración
Con la instalación y configuración realizadas, por fin pasamos a comprobar el funcionamiento de Snort, para esto colocamos en la consola el siguiente comando:
Imagen 7. Comando de lanzamiento Snort
Al ejecutar el anterior comando se despliega la consola Snort en donde podemos ver la versión, los creadores de la herramienta, así como el logo de Snort. Con esto tenemos activo el IDS escuchando los movimientos en la red, por lo que ahora continuamos con la maquina 2.
Imagen 8. Snort
En la segunda maquina hacemos ping a la primera maquina con el objetivo de activar la alerta establecida en las reglas que modificamos, lo que activara la primera alerta, ahora pasmos a la maquina que tiene el Snort corriendo y observamos que, en efecto, están saltando alertas correspondientes a la regla 1 como se puede ver en la siguiente imagen.
Imagen 9. Detección de Regla 1
Después de comprobar el funcionamiento de la primera regla pasamos a la segunda, por lo que nuevamente volvemos a la maquina 2 desde la que buscamos realizar una conexión SSH a la primera máquina, una vez que iniciamos la conexión entre las maquinas y en la segunda nos aparece el mensaje de que se ha realizado la conexión volvemos a Snort para verificar que aparezca la alerta correspondiente a la regla número 2.
Imagen 10. Detección de Regla 2
Finalmente pasamos a la ultima regla que establecimos, al igual que en el paso anterior volvemos a la maquina atacante en donde procederemos a realizar una conexión FTP a la máquina del Snort, una vez completado este proceso volvemos a la maquina 1 para verificar que este la alerta correspondiente a la tercera regla, cuando volvemos observamos que como se esperaba la alerta estaba activa y mostraba el mensaje correspondiente a la conexión FTP realizada con la segunda máquina. 
Imagen 11. Detección de Regla 3
Con anterior paso finaliza la parte práctica de este proyecto en donde se implementó un IDS, este ejemplo nos sirve para entender el funcionamiento de un Sistema de Detección de Intrusos y en caso de que se busque una implementación de este tipo en una situación real, como pudimos observar durante la practica en Snort existen reglas preestablecidas por lo que es importante conocerlas e identificar cuál de estas nos sirve para la aplicación que buscamos implementar y en ese caso si se desea realizar algo en especifico con estas reglas como mandar alertas únicamente se tendría que modificar el archivo que contenga dicha regla y programar el mensaje que nos indique el cumplimiento de una regla.
Por el contrario si después de revisar las reglas preestablecidas no se encontró alguna que pueda ayudar a cumplir con el objetivo de la implementación del IDS se tiene que crear por lo que si lo que se necesita es un archivo propio con reglas especificas primero se tiene que agregar este archivo en la configuración de Snort para que pertenezca al grupo de reglas con las que trabajara el software, lo que hace de Snort una herramienta muy útil en los sistemas de ciberseguridad en las organizaciones, como vimos anteriormente esta es solo una de las muchas herramientas de las que disponen las organizaciones y esta en especifico sirve como base para la implementación de un IPS o Sistema de Prevención de Intrusos que seria el siguiente nivel en seguridad incluyendo mecanismos de seguridad.
4. Conclusiones
Con este documento se da por terminado las actividades del curso de Inteligencia en Seguridad de TI que nos deja con nuevos conceptos y refuerza otros vistos en cursos anteriores como el uso de metodologías y Frameworks como apoyo para el mejoramiento de la seguridad de la información en las organizaciones, en nuestro caso durante el curso trabajamos con el Framework de OSINT y lo aplicamos en la investigación de fuentes abiertas, en donde utilizamos las herramientas incluidas en el para investigar un número telefónico y un correo propuesto por el docente con los cuales pudimos comprobar el alcance que tiene el uso de estas herramientas y el impacto que puede ocasionar que se usen con fines delictivos.
En el caso específico de este proyecto abordamos otro tipo de herramientas que nos ayudan a proteger nuestros sistemas de información como son los IDS e IPS, estos sistemas nos brindan un nivel adicional de protección contra ataques cibernéticos, además de alertar a los encargados de la seguridad en las organizaciones de que estas siendo atacados y estos puedan implementar controles para salvaguardar los activos de la organización.
Con la información recabada durante las clases y en este proyecto comprendí que para darle la mayor protección posible a la información y sistemas con los que trabajamos es importante implementar cuantas mas medidas posibles porque ningún método es infalible, con el avance de la tecnología cada día aparecen nuevos ataques cibernéticos que pueden impactar gravemente a las organizaciones y esto no solo es problema de las empresas sino también de las instituciones públicas, pues como es del conocimiento de muchos, los ataques a gobiernos han incrementado constantemente durante los últimos años, tanto provenientes de otros gobiernos con fines de espionaje como los que se hicieron durante las últimas elecciones presidenciales en Estados Unidos que supuestamente fueron ejercidos por el gobierno de Rusia, o también el ataque del que fue victima la Secretaria de Marina en México a la que le fueron robada una gran cantidad de información confidencial por un grupo de hackers.
Estos sucesos nos deja como enseñanza que los encargados de la seguridad deben de estar preparados y que tienen que permanecer a la vanguardia en cuanto a las nuevas metodologías tanto de ataque como de protección para evitar que a las organizaciones para las que laboremos se vean afectadas por este tipo de problemas, otra conclusión que me deja el curso es la importancia de la inversión en la ciberseguridad tanto en el tiempo como en los recursos económicos al hacer certificaciones y maestrías en este tema, porque esto en el largo plazo beneficia enormemente tanto a las empresas que nos contraten como a nosotros mismos como profesionales de la seguridad de la información.
5. Referencias 
Ciberinteligencia. (s. f.). Recuperado 30 de octubre de 2022, de https://telmex.com/web/empresas/ciberinteligencia
Ocampo, C. A., Castro Bermúdez, Y. V., & Solarte Martínez, G. R. (2017). Sistema de detección de intrusos en redes corporativas. Scientia Et Technica. ISSN: 0122-1701. Recuperado de: https://www.redalyc.org/articulo.oa?id=84953102008
Qué es OSINT Framework y cómo usarla en tus investigaciones de fuentes abiertas. (n.d.). Odint.net. https://odint.net/osint-framework/
Snort - network intrusion detection & prevention system.(n.d.). Snort.org. https://www.snort.org/
Vive. (2021, July 8). ¿En qué consiste la ciberinteligencia? Aplicaciones y ejemplos. UNIR. https://www.unir.net/ingenieria/revista/ciberinteligencia/
¿Qué son los SIEM, IDS e IPS? (n.d.). MR Informática. https://mrinformatica.es/que-son-los-siem-ids-e-ips/
2