Hola querides foreres
Este es un artículo para los admin de sistemas y entusiastas de la informática, paranoicos del foro que quieren mantener sus redes seguras. Cualquier puerta es susceptible de ser penetrada por intrusos y malhechores. Os voy a recomendar algunas herramientas que he ido utilizando a lo largo de mi triste vida como juanker profesional. Algunas las conoceréis otras no. Quién sabe, este es un aporte sin más para los foreros de élite.
Es un sistema de detección de intrusos en red (IDS, por sus siglas en inglés) de código abierto y gratuito. Ha sido ampliamente utilizado para monitorear y analizar el tráfico de red en busca de actividades sospechosas o maliciosas.
Snort funciona analizando los paquetes de datos que viajan a través de una red en busca de patrones que coincidan con las reglas definidas por el usuario. Estas reglas pueden especificar comportamientos que podrían indicar un ataque, como intentos de escaneo de puertos, tráfico de malware, o intentos de intrusión. Cuando Snort detecta una coincidencia con una regla, puede generar alertas, registrar información sobre la actividad detectada, e incluso tomar medidas proactivas para bloquear el tráfico sospechoso.
Además de su función como IDS, Snort también puede operar como un sistema de prevención de intrusiones (IPS), donde no solo detecta las amenazas, sino que también puede bloquear activamente el tráfico malicioso en función de las reglas definidas.
https://www.snort.org/
Suricata es otro sistema de detección de intrusiones en red (IDS) y prevención de intrusiones en red (IPS), similar a Snort, pero con algunas características adicionales y diferencias en su diseño y funcionamiento. Al igual que Snort, Suricata es de código abierto y gratuito, y está diseñado para analizar el tráfico de red en busca de actividades maliciosas o sospechosas. A diferencia de Snort, que utiliza una arquitectura basada en reglas para la detección, Suricata utiliza un motor de detección multi-hilo y multi-hilo que puede inspeccionar el tráfico de red a velocidades muy altas.
Este software incluye un motor de reglas avanzado que admite reglas de detección basadas en firmas, similar a Snort, pero también tiene soporte para reglas basadas en comportamientos y anomalías, lo que le permite detectar amenazas de una manera más sofisticada.
También es capaz de realizar un análisis completo de los protocolos de red, incluidos protocolos complejos como HTTP, TLS, SSH y muchos otros, lo que le permite detectar amenazas que podrían pasar desapercibidas para otros sistemas de detección de intrusiones. Además puede inspeccionar el tráfico cifrado, como el tráfico TLS/SSL, utilizando técnicas de inspección profunda de paquetes (DPI), lo que le permite detectar y prevenir amenazas que se ocultan en el tráfico cifrado.
Suricata puede extraer y analizar archivos adjuntos en el tráfico de red, lo que le permite detectar y bloquear malware y otras amenazas que se propagan a través de archivos.
https://suricata.io/
PfSense es una distribución de software de código abierto basada en FreeBSD que se utiliza como un firewall de red y enrutador. Ofrece una plataforma de seguridad y enrutamiento robusta y altamente personalizable que es adecuada para una amplia variedad de aplicaciones, desde pequeñas oficinas hasta grandes empresas.
Algunas de las bondades de PfSense:
Proporciona un firewall de estado que puede inspeccionar el tráfico de red a nivel de paquete y aplicar reglas de filtrado basadas en direcciones IP, puertos, protocolos, así como otros criterios.
Incluye una amplia gama de servicios de red, como servidor DHCP, servidor DNS, balanceo de carga, red privada virtual (VPN), servidor de proxy, entre otros.
PfSense es altamente escalable y puede ejecutarse en una variedad de hardware, desde dispositivos de bajo costo hasta servidores de alto rendimiento. Además, su naturaleza de código abierto permite una personalización y expansión significativas según las necesidades específicas del entorno de red.
PfSense es una potente solución de firewall y enrutamiento que ofrece características avanzadas de seguridad y se ha convertido en una opción muy popular para proteger y gestionar redes de cualquier tamañano.
https://pfsense.org
Tcpdump es una herramienta de línea de comandos utilizada en sistemas operativos tipo Unix y para capturar y analizar el tráfico de red en tiempo real. Con tcpdump, puedes examinar el tráfico que pasa a través de una interfaz de red específica y ver los paquetes que están siendo transmitidos o recibidos.
Nos permite capturar paquetes de datos en tiempo real a medida que pasan por una interfaz de red determinada. Esto puede incluir datos de cualquier protocolo de red, como TCP, UDP, ICMP, etc. También ofrece capacidades de filtrado que permiten a los usuarios especificar qué paquetes desean capturar en función de varios criterios, como direcciones IP de origen y destino, puertos, tipos de protocolo, entre otros.
Es una herramienta poderosa que nos puede ayudar en la detección y resolución de problemas de red al permitir a los admin de sistemas analizar el tráfico de red en busca de anomalías, errores, congestión, y otros problemas potenciales.
OSSEC (Open Source Security Information and Event Management) es una plataforma de seguridad open source diseñada para la detección de intrusos, prevención de ataques, monitoreo de registros y gestión de seguridad.
Con Ossec utiliza análisis de registros, correlación de eventos y técnicas de detección de anomalías para identificar actividades sospechosas o maliciosas. Puede configurarse para tomar medidas automáticas en respuesta a eventos de seguridad detectados, como bloquear direcciones IP o ejecutar scripts para mitigar ataques en tiempo real.
OSSEC recopila y analiza registros de eventos de múltiples fuentes, incluidos sistemas operativos, aplicaciones, bases de datos y dispositivos de red, para proporcionar una visión integral de la actividad en la red.
Una de las caracteristicas de Ossec que la convierten en una herramienta potente para el trabajo es que puede generar alertas en tiempo real y notificaciones por correo electrónico o mensajes de texto cuando se detectan eventos de seguridad significativos. A parte de eso, es compatible con una variedad de herramientas de seguridad y sistemas de gestión de eventos.
https://www.ossec.net/
Nagios es una popular herramienta de monitoreo de sistemas y redes de código abierto que ayuda a los admin de sistemas a detectar y resolver problemas en su infraestructura antes de que impacten en los usuarios finales. Con Nagios, los admins pueden supervisar la disponibilidad, el rendimiento y el estado de diversos recursos, incluidos servidores, dispositivos de red, servicios, aplicaciones y más.
Al igual que Ossec, Nagios puede notificar a los admins cuando se detectan problemas o eventos no deseados, ya sea a través de correo electrónico, mensajes de texto, llamadas telefónicas, o mediante integraciones con otros sistemas de gestión de incidentes.
Con Nagios puedes supervisar una amplia gama de recursos, incluidos servidores, conmutadores de red, routers, dispositivos de almacenamiento, impresoras, servicios de red, aplicaciones web, bases de datos y más.
Una de las características de Nagios es que proporciona registros detallados y un historial de eventos que permiten a los administradores realizar un seguimiento del rendimiento y la disponibilidad de los recursos a lo largo del tiempo, así como analizar tendencias y patrones de comportamiento.
https://www.nagios.org/
NetFlow es un protocolo de red desarrollado por Cisco que se utiliza para recopilar información sobre el tráfico de red y analizar patrones de tráfico en dispositivos de red como routers y switches. Este protocolo permite a los admins de redes obtener información detallada sobre el tráfico que atraviesa sus redes, lo que les ayuda a optimizar el rendimiento, mejorar la seguridad y solucionar problemas de red. Cuando se habilita NetFlow en un dispositivo de red, este recopila datos sobre el tráfico que pasa por él, incluyendo información como las direcciones IP de origen y destino, los puertos de origen y destino, los protocolos utilizados, y el volumen de datos transferidos. Estos datos se envían a un colector NetFlow para su análisis y almacenamiento.
https://www.cisco.com/c/en/us/products/ios-nx-os-software/ios-netflow/index.html
Ntop es una herramienta de monitoreo de red open source que proporciona información detallada sobre el tráfico de red en tiempo real. Fue creado por Luca Deri en 1998 y desde entonces ha sido muy utilizado por admins de red y profesionales de seguridad para analizar y diagnosticar problemas de red, así como para monitorear el rendimiento y la seguridad de la red.
Ntop captura y analiza el tráfico de red en tiempo real, proporcionando información detallada sobre el tráfico que pasa a través de la red, incluyendo estadísticas sobre el uso del ancho de banda, los protocolos utilizados, las direcciones IP y puertos involucrados, y más. Puede ayudar en la detección de anomalías y amenazas de seguridad en la red, como tráfico malicioso, ataques DDoS, y otros comportamientos sospechosos.
Ntop es compatible con una amplia variedad de protocolos de red, incluyendo TCP, UDP, ICMP, HTTP, FTP, SMTP, y muchos otros, lo que permite monitorear y analizar tráfico de diversos tipos y aplicaciones. Además de que se puede integrar con otros sistemas de monitoreo de red y seguridad, así como con herramientas de análisis de datos y sistemas de gestión de eventos de seguridad (SIEM), para proporcionar una visión más completa y contextualizada del estado de la red y las amenazas potenciales.
https://www.ntop.org/
El conocidísimo Wireshark es una poderosa herramienta de análisis de protocolos de red y captura de paquetes. Originalmente conocido como Ethereal, Wireshark es un software de código abierto que permite a los usuarios capturar y analizar el tráfico de red en tiempo real, así como cargar y examinar archivos de captura previamente grabados.
Wireshark es capaz de analizar una amplia variedad de protocolos de red, incluyendo TCP, UDP, ICMP, HTTP, DNS, SSL/TLS, SSH, y muchos más. Los usuarios pueden ver los detalles de los encabezados de los paquetes, el contenido de los datos, y cualquier información adicional asociada con cada paquete.
También proporciona potentes capacidades de filtrado que permiten a los usuarios especificar qué paquetes desean capturar o analizar, basándose en criterios como direcciones IP, puertos, protocolos, y más. Esto facilita la focalización en áreas específicas del tráfico de red y la identificación de problemas o anomalías.
Wireshark ofrece herramientas avanzadas de análisis de tráfico, incluyendo estadísticas de conversaciones, seguimiento de flujo, gráficos de tiempo, y más. Estas herramientas permiten a los admins comprender mejor el comportamiento del tráfico de red y diagnosticar problemas de rendimiento o seguridad. Está disponible Windows, macOS, Linux
IPTraf-ng es una herramienta de monitorización de red de código abierto diseñada para sistemas Linux. Proporciona una interfaz de usuario basada en texto que permite a los admins de red supervisar diversas estadísticas y actividades de red en tiempo real. Muestra estadísticas detalladas sobre el tráfico de red, como la cantidad de datos transferidos, el número de paquetes enviados y recibidos, el tráfico por dirección IP y puerto, y más.
IPTraf-ng nos permite visualizar y analizar el tráfico de diferentes protocolos de red, como TCP, UDP, ICMP, y otros, lo que facilita la identificación de problemas y patrones de tráfico.
Es un software un poco tosco para la vista y le faltan algunas de las características que tienen los programas que he mencionado anteriormente. Pero lo que hace que Iptraf-ng sea especial es la poca carga que requiere del sistema. Al ser open source, da la posibilidad de desarrollar complementos para facilitar la monitorización de redes. Por ejemplo, yo mismo he programado algunos scripts en python para crear alertas sobre patrones en la red y un generador de documentos de texto para guardar todo el tráfico que monitoriza a lo largo del día.
https://github.com/iptraf-ng/iptraf-ng
Además de todas estas herramientas que os he mencionado a lo largo del artículo, usuarios de internet han desarrollado sus propios programas para controlar el tráfico. En el caso de cejkato2, su software NEMEA system detecta tráfico malicioso a través de mecanismos automáticos. Os dejo por aquí su repositorio, echadle un ojo.
https://github.com/CESNET/Nemea-Detectors
Mis querides Shures, espero que este artículo les haya parecido interesante. Las herramientas de monitorización de red desempeñan un papel crucial en la gestión y seguridad de las infraestructuras de IT modernas. Desde la detección de intrusos hasta el análisis detallado del tráfico. Si crees que me he olvidado de alguna herramienta que fuera de vital importancia en el monitoreo de redes y que complementaría este artículo, te invito a que comentes el hilo y nos des tu aporte. Finalizo mi intervención con la misma cita que os diría cualquier juanker o admin de sistemas.
“Ningún sistema es seguro”
Este es un artículo para los admin de sistemas y entusiastas de la informática, paranoicos del foro que quieren mantener sus redes seguras. Cualquier puerta es susceptible de ser penetrada por intrusos y malhechores. Os voy a recomendar algunas herramientas que he ido utilizando a lo largo de mi triste vida como juanker profesional. Algunas las conoceréis otras no. Quién sabe, este es un aporte sin más para los foreros de élite.
Snort
Es un sistema de detección de intrusos en red (IDS, por sus siglas en inglés) de código abierto y gratuito. Ha sido ampliamente utilizado para monitorear y analizar el tráfico de red en busca de actividades sospechosas o maliciosas.
Snort funciona analizando los paquetes de datos que viajan a través de una red en busca de patrones que coincidan con las reglas definidas por el usuario. Estas reglas pueden especificar comportamientos que podrían indicar un ataque, como intentos de escaneo de puertos, tráfico de malware, o intentos de intrusión. Cuando Snort detecta una coincidencia con una regla, puede generar alertas, registrar información sobre la actividad detectada, e incluso tomar medidas proactivas para bloquear el tráfico sospechoso.
Además de su función como IDS, Snort también puede operar como un sistema de prevención de intrusiones (IPS), donde no solo detecta las amenazas, sino que también puede bloquear activamente el tráfico malicioso en función de las reglas definidas.
https://www.snort.org/
Suricata
Suricata es otro sistema de detección de intrusiones en red (IDS) y prevención de intrusiones en red (IPS), similar a Snort, pero con algunas características adicionales y diferencias en su diseño y funcionamiento. Al igual que Snort, Suricata es de código abierto y gratuito, y está diseñado para analizar el tráfico de red en busca de actividades maliciosas o sospechosas. A diferencia de Snort, que utiliza una arquitectura basada en reglas para la detección, Suricata utiliza un motor de detección multi-hilo y multi-hilo que puede inspeccionar el tráfico de red a velocidades muy altas.
Este software incluye un motor de reglas avanzado que admite reglas de detección basadas en firmas, similar a Snort, pero también tiene soporte para reglas basadas en comportamientos y anomalías, lo que le permite detectar amenazas de una manera más sofisticada.
También es capaz de realizar un análisis completo de los protocolos de red, incluidos protocolos complejos como HTTP, TLS, SSH y muchos otros, lo que le permite detectar amenazas que podrían pasar desapercibidas para otros sistemas de detección de intrusiones. Además puede inspeccionar el tráfico cifrado, como el tráfico TLS/SSL, utilizando técnicas de inspección profunda de paquetes (DPI), lo que le permite detectar y prevenir amenazas que se ocultan en el tráfico cifrado.
Suricata puede extraer y analizar archivos adjuntos en el tráfico de red, lo que le permite detectar y bloquear malware y otras amenazas que se propagan a través de archivos.
https://suricata.io/
PfSense
PfSense es una distribución de software de código abierto basada en FreeBSD que se utiliza como un firewall de red y enrutador. Ofrece una plataforma de seguridad y enrutamiento robusta y altamente personalizable que es adecuada para una amplia variedad de aplicaciones, desde pequeñas oficinas hasta grandes empresas.
Algunas de las bondades de PfSense:
Proporciona un firewall de estado que puede inspeccionar el tráfico de red a nivel de paquete y aplicar reglas de filtrado basadas en direcciones IP, puertos, protocolos, así como otros criterios.
Incluye una amplia gama de servicios de red, como servidor DHCP, servidor DNS, balanceo de carga, red privada virtual (VPN), servidor de proxy, entre otros.
PfSense es altamente escalable y puede ejecutarse en una variedad de hardware, desde dispositivos de bajo costo hasta servidores de alto rendimiento. Además, su naturaleza de código abierto permite una personalización y expansión significativas según las necesidades específicas del entorno de red.
PfSense es una potente solución de firewall y enrutamiento que ofrece características avanzadas de seguridad y se ha convertido en una opción muy popular para proteger y gestionar redes de cualquier tamañano.
https://pfsense.org
Tcpdump
Tcpdump es una herramienta de línea de comandos utilizada en sistemas operativos tipo Unix y para capturar y analizar el tráfico de red en tiempo real. Con tcpdump, puedes examinar el tráfico que pasa a través de una interfaz de red específica y ver los paquetes que están siendo transmitidos o recibidos.
Nos permite capturar paquetes de datos en tiempo real a medida que pasan por una interfaz de red determinada. Esto puede incluir datos de cualquier protocolo de red, como TCP, UDP, ICMP, etc. También ofrece capacidades de filtrado que permiten a los usuarios especificar qué paquetes desean capturar en función de varios criterios, como direcciones IP de origen y destino, puertos, tipos de protocolo, entre otros.
Es una herramienta poderosa que nos puede ayudar en la detección y resolución de problemas de red al permitir a los admin de sistemas analizar el tráfico de red en busca de anomalías, errores, congestión, y otros problemas potenciales.
Ossec
OSSEC (Open Source Security Information and Event Management) es una plataforma de seguridad open source diseñada para la detección de intrusos, prevención de ataques, monitoreo de registros y gestión de seguridad.
Con Ossec utiliza análisis de registros, correlación de eventos y técnicas de detección de anomalías para identificar actividades sospechosas o maliciosas. Puede configurarse para tomar medidas automáticas en respuesta a eventos de seguridad detectados, como bloquear direcciones IP o ejecutar scripts para mitigar ataques en tiempo real.
OSSEC recopila y analiza registros de eventos de múltiples fuentes, incluidos sistemas operativos, aplicaciones, bases de datos y dispositivos de red, para proporcionar una visión integral de la actividad en la red.
Una de las caracteristicas de Ossec que la convierten en una herramienta potente para el trabajo es que puede generar alertas en tiempo real y notificaciones por correo electrónico o mensajes de texto cuando se detectan eventos de seguridad significativos. A parte de eso, es compatible con una variedad de herramientas de seguridad y sistemas de gestión de eventos.
https://www.ossec.net/
Nagios
Nagios es una popular herramienta de monitoreo de sistemas y redes de código abierto que ayuda a los admin de sistemas a detectar y resolver problemas en su infraestructura antes de que impacten en los usuarios finales. Con Nagios, los admins pueden supervisar la disponibilidad, el rendimiento y el estado de diversos recursos, incluidos servidores, dispositivos de red, servicios, aplicaciones y más.
Al igual que Ossec, Nagios puede notificar a los admins cuando se detectan problemas o eventos no deseados, ya sea a través de correo electrónico, mensajes de texto, llamadas telefónicas, o mediante integraciones con otros sistemas de gestión de incidentes.
Con Nagios puedes supervisar una amplia gama de recursos, incluidos servidores, conmutadores de red, routers, dispositivos de almacenamiento, impresoras, servicios de red, aplicaciones web, bases de datos y más.
Una de las características de Nagios es que proporciona registros detallados y un historial de eventos que permiten a los administradores realizar un seguimiento del rendimiento y la disponibilidad de los recursos a lo largo del tiempo, así como analizar tendencias y patrones de comportamiento.
https://www.nagios.org/
Netflow
NetFlow es un protocolo de red desarrollado por Cisco que se utiliza para recopilar información sobre el tráfico de red y analizar patrones de tráfico en dispositivos de red como routers y switches. Este protocolo permite a los admins de redes obtener información detallada sobre el tráfico que atraviesa sus redes, lo que les ayuda a optimizar el rendimiento, mejorar la seguridad y solucionar problemas de red. Cuando se habilita NetFlow en un dispositivo de red, este recopila datos sobre el tráfico que pasa por él, incluyendo información como las direcciones IP de origen y destino, los puertos de origen y destino, los protocolos utilizados, y el volumen de datos transferidos. Estos datos se envían a un colector NetFlow para su análisis y almacenamiento.
https://www.cisco.com/c/en/us/products/ios-nx-os-software/ios-netflow/index.html
Ntop
Ntop es una herramienta de monitoreo de red open source que proporciona información detallada sobre el tráfico de red en tiempo real. Fue creado por Luca Deri en 1998 y desde entonces ha sido muy utilizado por admins de red y profesionales de seguridad para analizar y diagnosticar problemas de red, así como para monitorear el rendimiento y la seguridad de la red.
Ntop captura y analiza el tráfico de red en tiempo real, proporcionando información detallada sobre el tráfico que pasa a través de la red, incluyendo estadísticas sobre el uso del ancho de banda, los protocolos utilizados, las direcciones IP y puertos involucrados, y más. Puede ayudar en la detección de anomalías y amenazas de seguridad en la red, como tráfico malicioso, ataques DDoS, y otros comportamientos sospechosos.
Ntop es compatible con una amplia variedad de protocolos de red, incluyendo TCP, UDP, ICMP, HTTP, FTP, SMTP, y muchos otros, lo que permite monitorear y analizar tráfico de diversos tipos y aplicaciones. Además de que se puede integrar con otros sistemas de monitoreo de red y seguridad, así como con herramientas de análisis de datos y sistemas de gestión de eventos de seguridad (SIEM), para proporcionar una visión más completa y contextualizada del estado de la red y las amenazas potenciales.
https://www.ntop.org/
Wireshark
El conocidísimo Wireshark es una poderosa herramienta de análisis de protocolos de red y captura de paquetes. Originalmente conocido como Ethereal, Wireshark es un software de código abierto que permite a los usuarios capturar y analizar el tráfico de red en tiempo real, así como cargar y examinar archivos de captura previamente grabados.
Wireshark es capaz de analizar una amplia variedad de protocolos de red, incluyendo TCP, UDP, ICMP, HTTP, DNS, SSL/TLS, SSH, y muchos más. Los usuarios pueden ver los detalles de los encabezados de los paquetes, el contenido de los datos, y cualquier información adicional asociada con cada paquete.
También proporciona potentes capacidades de filtrado que permiten a los usuarios especificar qué paquetes desean capturar o analizar, basándose en criterios como direcciones IP, puertos, protocolos, y más. Esto facilita la focalización en áreas específicas del tráfico de red y la identificación de problemas o anomalías.
Wireshark ofrece herramientas avanzadas de análisis de tráfico, incluyendo estadísticas de conversaciones, seguimiento de flujo, gráficos de tiempo, y más. Estas herramientas permiten a los admins comprender mejor el comportamiento del tráfico de red y diagnosticar problemas de rendimiento o seguridad. Está disponible Windows, macOS, Linux
Iptraf-ng
IPTraf-ng es una herramienta de monitorización de red de código abierto diseñada para sistemas Linux. Proporciona una interfaz de usuario basada en texto que permite a los admins de red supervisar diversas estadísticas y actividades de red en tiempo real. Muestra estadísticas detalladas sobre el tráfico de red, como la cantidad de datos transferidos, el número de paquetes enviados y recibidos, el tráfico por dirección IP y puerto, y más.
IPTraf-ng nos permite visualizar y analizar el tráfico de diferentes protocolos de red, como TCP, UDP, ICMP, y otros, lo que facilita la identificación de problemas y patrones de tráfico.
Es un software un poco tosco para la vista y le faltan algunas de las características que tienen los programas que he mencionado anteriormente. Pero lo que hace que Iptraf-ng sea especial es la poca carga que requiere del sistema. Al ser open source, da la posibilidad de desarrollar complementos para facilitar la monitorización de redes. Por ejemplo, yo mismo he programado algunos scripts en python para crear alertas sobre patrones en la red y un generador de documentos de texto para guardar todo el tráfico que monitoriza a lo largo del día.
https://github.com/iptraf-ng/iptraf-ng
NEMEA system
Además de todas estas herramientas que os he mencionado a lo largo del artículo, usuarios de internet han desarrollado sus propios programas para controlar el tráfico. En el caso de cejkato2, su software NEMEA system detecta tráfico malicioso a través de mecanismos automáticos. Os dejo por aquí su repositorio, echadle un ojo.
https://github.com/CESNET/Nemea-Detectors
----------------------------------------------------------------------------------------------------------------------------------------------------------
Mis querides Shures, espero que este artículo les haya parecido interesante. Las herramientas de monitorización de red desempeñan un papel crucial en la gestión y seguridad de las infraestructuras de IT modernas. Desde la detección de intrusos hasta el análisis detallado del tráfico. Si crees que me he olvidado de alguna herramienta que fuera de vital importancia en el monitoreo de redes y que complementaría este artículo, te invito a que comentes el hilo y nos des tu aporte. Finalizo mi intervención con la misma cita que os diría cualquier juanker o admin de sistemas.
“Ningún sistema es seguro”
