1
00:00:04,780 --> 00:00:14,699
Sí, hola, buenos días. Vengo a presentarles mi trabajo de fin de grado titulado Implementación y Despliegue de un Home iPod en una empresa energética.

2
00:00:15,179 --> 00:00:23,260
La idea de elegir ese tema surgió tras haber participado en un tema de hacking ético en mi instituto.

3
00:00:23,800 --> 00:00:29,820
El objetivo principal es implementar un Home iPod como sistema de detección de intrusos en un entorno virtual simulado.

4
00:00:29,820 --> 00:00:51,799
El proyecto surge ante el aumento de ciberataques en infraestructuras críticas como en 2016 Stuxnet, en 2016 Ingo Stroyer, en los sectores como el energético, la digitalización, la dependencia de las tecnologías, los ataques cada vez más sofisticados hacen la necesidad de sistemas de detección temprana como los Honeypots.

5
00:00:51,799 --> 00:01:02,340
Como objetivo general es comprender la utilidad de los conipods ya que permiten detectar abanajas tempranas y obtener información valiosa sobre los atacantes.

6
00:01:02,520 --> 00:01:17,239
A modo específico se implementa un tipod simulando una empresa energética, se monitoriza y analiza su actividad para identificar vulnerabilidades y se busca mejorar la capacidad de respuesta.

7
00:01:17,239 --> 00:01:43,620
He seguido una metodología combinada, en primer lugar una investigación teórica para Honeypots y ciberfiguridad y por otro lado una metodología experimental creando un laboratorio virtual en VirtualBox con tres máquinas como el OpenSense como Firewall, un servidor como T-Pod y un Ubuntu cliente.

8
00:01:43,620 --> 00:01:55,040
Para desarrollo he utilizado en primer lugar un VirtualBox como plataforma de virtualización ya que nos proporciona un entorno completo de red y sus máquinas.

9
00:01:55,260 --> 00:02:08,219
Se utiliza T-Pod como con el pod principal por su facilidad de despliegue, por incluir múltiples sensores como Kibana, D1A, D1Ae, Azure y Kata en contenedores Docker

10
00:02:08,219 --> 00:02:12,759
que se gestionan desde una misma interfaz, se instala sobre una base de Ubuntu Server.

11
00:02:13,699 --> 00:02:18,680
He elegido como Firewall OpenSense una herramienta de código abierto

12
00:02:18,680 --> 00:02:24,960
que nos permite controlar el tráfico entre las redes y 1.22.04 como sistema cliente

13
00:02:24,960 --> 00:02:29,099
y como entorno desde donde se administran las máquinas.

14
00:02:29,099 --> 00:02:34,280
En MAP como herramienta para escaneo de redes, para detección puertos abiertos

15
00:02:34,280 --> 00:02:36,719
y para simular ataques de reconocimiento.

16
00:02:36,719 --> 00:02:49,639
Para el proyecto se cuenta con tres perfiles claves, administrador de sistemas, analista de seguridad y desarrollador.

17
00:02:50,159 --> 00:02:58,979
A modo técnico se usa el host físico y las tres máquinas virtuales antes mencionadas.

18
00:02:58,979 --> 00:03:12,159
Se estructura el proyecto entre cuatro fases, fase 1, planificación y diseño, fase 2, configuración y despliegue, fase 3, pruebas y análisis y fase 4, informes y recomendaciones.

19
00:03:13,020 --> 00:03:20,400
Se parte del análisis de una empresa energética como sector crítico que presenta vulnerabilidades como falta de detección temprana de ataques,

20
00:03:20,400 --> 00:03:25,500
visibilidad limitada de intentos de accesos y una seguridad reactiva.

21
00:03:26,360 --> 00:03:32,800
Tras valorar las opciones, se decide por implementar un sistema Honeypot,

22
00:03:33,259 --> 00:03:37,139
ya que es la solución más económica y con mayor flexibilidad.

23
00:03:38,400 --> 00:03:43,479
A nivel lógico, el sistema se divide en tres fases.

24
00:03:43,479 --> 00:04:03,240
La fase LAN, la fase DMZ y la zona, zona DMZ y la zona WAN, gestionadas por el firewall OpenSense. El Honeypot está ubicado en la zona DMZ para aislar o para controlar los ataques sin comprometer las otras máquinas.

25
00:04:03,240 --> 00:04:12,159
Desde la LAN se lanzan ataques, pero también se gestiona el sistema.

26
00:04:13,000 --> 00:04:24,720
Para el despliegue he instalado OpenSense, como Honeypot, se le administra las tres interfaces One LAN DMZ,

27
00:04:24,720 --> 00:04:39,779
Se sigue con la instalación Ubuntu cliente 2204 que se conecta a la red LAN desde donde se accede a las interfaces, a los paneles de gestión tanto de OpenSense Firewall como Honeypot.

28
00:04:39,779 --> 00:04:52,879
Para despliegue de Honeypot se instala primero el Ubuntu Server 24.0.2.2 y luego se ejecuta el script oficial de tipo desde GitHub.

29
00:04:52,879 --> 00:05:08,759
Se clona la imagen ya que nos instala, automatiza la instalación con diferentes Honeypot y paneles de monitorización.

30
00:05:08,759 --> 00:05:13,399
Tras la instalación se procede a la segmentación de la red

31
00:05:13,399 --> 00:05:17,160
separando el tipo de la LAN y colocándola en la DNZ

32
00:05:17,160 --> 00:05:25,560
Se le asigna una IP estática y luego se crean las reglas de segmentación en el firewall

33
00:05:25,560 --> 00:05:27,740
separando las redes

34
00:05:27,740 --> 00:05:33,540
Se verifica la conectividad entre las máquinas con los comandos PIN

35
00:05:33,540 --> 00:05:44,120
y se comprueba que el entorno virtual está correctamente configurado y optimizado.

36
00:05:44,120 --> 00:05:54,019
Para el acceso al interfaz web T-PoT se utiliza su IP asignada junto al puerto por defecto.

37
00:05:54,019 --> 00:06:07,680
Se verifican los logs de actividad. Para verificar los logs de actividad se intenta establecer una conexión al puerto 22 mediante el Telnet, lo que los registra con RIP.

38
00:06:07,680 --> 00:06:15,279
De igual modo, se intenta establecer conexión al puerto 21 mediante Telmed y lo registra Dionarea.

39
00:06:15,740 --> 00:06:18,620
Luego se hace un escaneo agresivo con NMAP.

40
00:06:19,120 --> 00:06:27,680
Este comando registra todos los puertos y los servicios que están disponibles en el servidor T-Bot.

41
00:06:27,680 --> 00:06:39,680
Con esto se quiere simular un ataque real y observar cómo los sensores de una área y los demás sensores reaccionan.

42
00:06:39,680 --> 00:07:08,790
Se observa que en el dashboard de T-Pod se observa el top 10 de los Honeypods, que son los sensores que más ataques reciben, se nota, y los gráficos evolutivos.

43
00:07:08,790 --> 00:07:27,649
También otra funcionalidad muy vistosa de Teapot es que tiene una nube de frecuencia de los usuarios y las contraseñas que más se han utilizado.

44
00:07:27,649 --> 00:07:38,550
Se instala Metasploit directamente en Ubuntu con el objetivo de realizar ataques simulados y comprobar cómo reacciona.

45
00:07:38,790 --> 00:07:55,790
Se intenta hacer una conexión mediante SSH con credenciales, luego se escanean los puertos más conocidos y luego se ejecuta un exploit al servidor FTP vulnerable.

46
00:07:55,790 --> 00:08:15,899
Igual TIPOT lo están registrando. El análisis final demuestra que TIPOT ha cumplido con su objetivo y que los sensores han detectado correctamente los ataques en tiempo real.

47
00:08:15,899 --> 00:08:30,379
Se recomienda implantar el TIPOD junto con otras herramientas de monitoreo como SIEM y mantenerlos actualizados.

48
00:08:31,060 --> 00:08:39,679
Este proyecto tiene una aplicabilidad muy extensa en el mundo real, sobre todo en infraestructuras críticas como empresas energéticas,

49
00:08:39,679 --> 00:08:54,600
Telecomunicación, Salud, Transporte, grandes corporaciones financieras, empresas públicas. También tiene varios beneficios, múltiples beneficios como detección temprana de amenazas, análisis de táctica y mejorar la estrategia.

50
00:08:54,600 --> 00:09:09,600
Como se puede comprobar, T-POD es una herramienta eficaz y con sus sensores, con IAD, Asuricata, fueron capaces de detectar varios ataques en tiempo real.

51
00:09:09,600 --> 00:09:27,100
Los datos recolectados son fundamentales para realizar un análisis forense y la importancia de la configuración es fundamental también para determinar la integridad del sistema y los datos.

52
00:09:28,100 --> 00:09:29,940
Gracias por su atención.

53
00:09:29,940 --> 00:10:25,330
Sí, sí, voy para allá.

54
00:10:25,350 --> 00:10:42,779
crear aquí aquí aquí aquí se ha creado reglas que permite el tráfico por ejemplo aquí sí que

55
00:10:42,779 --> 00:10:54,259
permite por ejemplo la lan actuar con la dmz pero la dmz con la lana es decir si con el

56
00:10:54,259 --> 00:11:24,240
El firewall lo que hace es hacer una segmentación de una zona con otra zona y dar los permisos. El LAN puede actuar, puede interferir en la DMZ pero el DMZ no. Esto es una zona desmilitarizada y se utiliza para aislar datos, sistemas que no queremos que se vean corrompidos o que no se vean corrompidos.

57
00:11:24,259 --> 00:12:13,580
desde fuera. Los ficheros log son acceso SSH, por ejemplo, a los FTP, HTTP y el objetivo es demostrar que cualquier intento se está reflejado en tiempo real,

58
00:12:13,580 --> 00:12:25,600
corra, desde dónde, cuánto y cómo se ha hecho el intento de acceder, si eso es lo que me han preguntado.

59
00:12:43,440 --> 00:12:52,600
Todo tipo de ataques, por ejemplo, de fuerza bruta, de contraseñas, de usuarios, de mapear los puertos,

60
00:12:52,600 --> 00:13:28,500
de todo tipo de ataques, lo que a los atacantes se le ocurren. No, no tengo nada pendiente. Muchas gracias, muchas gracias, gracias. Buen día, hasta luego.