1
00:00:01,710 --> 00:00:05,509
Buenos días, hoy día 15 de mayo a las 12 de la mañana.

2
00:00:06,230 --> 00:00:14,169
Estamos convocados a través de Jefatura de Departamento para la defensa del módulo profesional de proyecto del ciclo formativo de grado superior de ASIR

3
00:00:14,169 --> 00:00:22,530
y te informo que esta defensa está siendo grabada y que esta grabación se usará en el entorno cerrado de EducaMadrid con fines educativos

4
00:00:22,530 --> 00:00:32,049
Y solo estará a disposición de los profesores evaluadores en el aula virtual para llevar a cabo la evaluación y la calificación de esta defensa del proyecto.

5
00:00:32,729 --> 00:00:40,649
En el aula virtual de proyectos habéis sido informados de los criterios y rúbrica de calificación y el orden de presentación del proyecto es el siguiente.

6
00:00:41,149 --> 00:00:47,409
15 minutos máximo para defender el proyecto y 15 minutos máximo para preguntas por parte del tribunal al terminar.

7
00:00:47,409 --> 00:00:53,070
Dicho esto, tu tiempo de exposición comienza a partir de este momento

8
00:00:53,070 --> 00:00:55,210
Adelante y mucha suerte

9
00:00:55,210 --> 00:00:59,890
Son 23, tendrías hasta y 38

10
00:00:59,890 --> 00:01:05,450
Genial, pues este es un proyecto de implementación

11
00:01:05,450 --> 00:01:07,150
De una solución de seguridad open source

12
00:01:07,150 --> 00:01:12,370
Enfocada para pymes o también para entidades públicas

13
00:01:12,370 --> 00:01:14,590
De pequeño y mediano envergadura

14
00:01:14,590 --> 00:01:37,890
Bueno, básicamente este proyecto, aparte de ese enfoque, el objetivo es implementar una infraestructura de seguridad perimetral que sea open source o al menos todos los elementos fundamentales sean de software libre, accesibles y escalables, especialmente orientada, pues como he comentado, a las pymes, a las pequeñas y medianas empresas.

15
00:01:37,890 --> 00:01:51,450
A lo largo de las próximas diapositivas iré explicando de forma muy genérica todo lo que se ha visto en el documento del proyecto, donde se encuentran todos los detalles de la solución.

16
00:01:51,450 --> 00:02:10,430
Y por último, pues esto es una base fundamental para el despliegue de la seguridad en pequeñas pymes, pero también se puede escalar con otro tipo de soluciones cerradas, como de fabricantes, como también se puede obtener una complejidad mayor.

17
00:02:11,009 --> 00:02:36,270
Dicho esto, la siguiente diapositiva, introducción al proyecto, ciberseguridad en alza, como todos sabemos la ciberseguridad es un aspecto importante, como la inteligencia artificial, el Big Data y también tecnologías de nube y automatización, pues el objetivo de este proyecto fundamentalmente ha sido asegurar esa parte perimetral, aunque la seguridad en sí es una seguridad tanto horizontal como vertical.

18
00:02:37,250 --> 00:02:57,750
Soluciones o person se han utilizado en este proyecto, sobre todo porque no dispone, o mejor dicho, no aplica un coste por la compra del desarrollo o la compra de la solución de software, pero sin embargo sirve del mantenimiento, la puesta en marcha de la solución.

19
00:02:58,289 --> 00:03:05,969
Simulación, pues unos pequeños escenarios de simulación se han incluido amenazas reales y frecuentes, soluciones o personas accesibles.

20
00:03:06,590 --> 00:03:15,669
Esas soluciones que vamos a ver aquí son totalmente accesibles y se pueden utilizar tanto en un entorno de laboratorio, como explico más adelante, como he mencionado, en un entorno real.

21
00:03:16,409 --> 00:03:17,750
Y formación técnica aplicada.

22
00:03:18,810 --> 00:03:24,710
A continuación, pues tenemos objetivos de proyecto, metas técnicas de seguridad y práctica.

23
00:03:24,710 --> 00:03:38,129
Aquí básicamente vemos lo que vendría es un diseño de arquitectura segura, que es la arquitectura de perimetral segura tradicional, DMZ, red interna y red externa. He seguido esas líneas para este proyecto.

24
00:03:38,129 --> 00:03:44,610
e implementación segura activa pues básicamente utilizando herramientas de open source he usado

25
00:03:44,610 --> 00:03:51,030
ipt y vos como una solución de como la solución de firework es nor como la solución de ids también

26
00:03:51,030 --> 00:03:59,590
podría trabajar con mi pc y la solución el acá en las que sirve lo que estás aquí para la defensa

27
00:03:59,590 --> 00:04:05,009
completa y luego finalmente activas y documentación que incluidas en el proyecto

28
00:04:05,009 --> 00:04:27,629
La metodología utilizada para el proyecto ha sido utilizada la de DevSecOps, una metodología que aplica en los entornos actuales y también metodologías como Agile, y a continuación vemos los puntos importantes, integración de seguridad continua, división en fases y corrección de emprended files.

29
00:04:27,629 --> 00:04:43,569
Estos son los tres puntos más importantes del enfoque de EPSICOps. Pero si damos una visión más profunda, nos quedamos en el segundo punto, que vendría a ser como una especie de rueda, en la cual estas fases que enunciaré entran en un ciclo continuo.

30
00:04:43,569 --> 00:04:47,889
Sería análisis, diseño, despliegue, pruebas y documentación bien definidas.

31
00:04:48,389 --> 00:04:55,009
Pues aquí en número, el análisis y el conjunto de requisitos, muy importante este paso.

32
00:04:56,009 --> 00:04:59,610
Tanto el análisis como el diseño lo he comentado en el proyecto.

33
00:05:00,350 --> 00:05:05,810
Y luego el despliegue, esta parte es la que conlleva más horas de trabajo.

34
00:05:06,810 --> 00:05:10,709
Instalación, configuración de todos los elementos de la solución del proyecto.

35
00:05:10,709 --> 00:05:13,629
pruebas, pues como un elemento

36
00:05:13,629 --> 00:05:15,329
adicional he añadido pruebas

37
00:05:15,329 --> 00:05:17,689
porque digo como un elemento adicional

38
00:05:17,689 --> 00:05:19,629
porque se puede entregar

39
00:05:19,629 --> 00:05:21,410
un tipo de seguridad

40
00:05:21,410 --> 00:05:23,449
adicionalmente con unas

41
00:05:23,449 --> 00:05:25,569
con un proyecto aparte

42
00:05:25,569 --> 00:05:27,629
o incluido a este relacionado

43
00:05:27,629 --> 00:05:29,350
con el Pentest

44
00:05:29,350 --> 00:05:31,709
es decir, simulando ataques a la solución

45
00:05:31,709 --> 00:05:33,670
entregada, ataques

46
00:05:33,670 --> 00:05:35,649
y validación, esto se podría incluir

47
00:05:35,649 --> 00:05:36,750
inclusive un

48
00:05:36,750 --> 00:05:39,889
proyecto de los resultados

49
00:05:39,889 --> 00:05:44,589
tanto ejecutivo como técnico, adicionalmente al proyecto de seguridad pedímetra.

50
00:05:45,050 --> 00:05:47,490
Y finalmente, la documentación, muy importante.

51
00:05:49,449 --> 00:05:52,670
Aquí vemos, pues ya entramos en detalle en cada uno de los elementos.

52
00:05:52,930 --> 00:05:58,769
El primero es el IP tables, pues básicamente se pueden realizar tanto las políticas de tráfico,

53
00:05:59,269 --> 00:06:03,269
hablando de políticas de capa 3, capa 4, inclusive de aplicación.

54
00:06:04,170 --> 00:06:08,550
Políticas NAT, para el NATEO, para la traducción de direcciones de privadas a públicas,

55
00:06:08,550 --> 00:06:11,970
por escasez de diseñamiento IP público, IPv4.

56
00:06:12,689 --> 00:06:20,350
Bueno, aquí añado un diagrama de bloques importante de lo que vendría a ser el funcionamiento

57
00:06:20,350 --> 00:06:25,810
de lo que vendría a ser tanto las políticas IP tables de NAT como también de acceso.

58
00:06:26,870 --> 00:06:29,970
No me voy a entrar en detenimiento en esto.

59
00:06:30,069 --> 00:06:35,269
Si tienes preguntas luego, Pedro, de estas imágenes, me lo dices y lo comento.

60
00:06:35,269 --> 00:06:36,269
Vale, perfecto.

61
00:06:36,269 --> 00:06:50,949
Aquí vemos el IDS, igualmente las características o las funciones principales del IDS, del SNOR mejor dicho, es trabajar como IDS o como IPS.

62
00:06:50,949 --> 00:07:05,170
En este proyecto lo he utilizado para trabajar como IDS. La diferencia entre IDS es un dispositivo pasivo, detecta patrones, lo compara con su base de datos

63
00:07:05,170 --> 00:07:23,250
Y si detecta unos patrones anómalos, salta una alerta. Y esta la envía a nuestro sistema de LK. O IPS, pues directamente es un dispositivo activo. Lo que hace es que si detecta un patrón anómalo, lo detiene en línea.

64
00:07:23,250 --> 00:07:39,389
Pues aquí tres puntos importantes. Análisis del tráfico, alertas configurables, integración con CIE. Muy importante. Alertas de tráfico, ya lo he comentado. Si detecta algún patrón que machea con su base de datos de firmas, salta una alerta.

65
00:07:39,389 --> 00:07:55,889
O si ese sería un patrón fijo o estático. Y si es dinámico, si es un patrón que puede ser a lo mejor un malware enviado en varios paquetes comprimidos, también lo puede detectar.

66
00:07:55,889 --> 00:08:09,410
Es un patrón dinámico. Alertas configurables. Se pueden configurar las alertas. Básicamente se puede realizar un formateo de cuál es el formato de alerta que se va a enviar al sistema LK.

67
00:08:09,410 --> 00:08:12,209
y luego finalmente la integración con el sistema LK

68
00:08:12,209 --> 00:08:14,250
que ha sido lo más difícil de este proyecto

69
00:08:14,250 --> 00:08:15,329
sinceramente

70
00:08:15,329 --> 00:08:18,009
CIEM y LK

71
00:08:18,009 --> 00:08:19,930
pues aquí tenemos la solución

72
00:08:19,930 --> 00:08:22,170
de CIEM para este proyecto

73
00:08:22,170 --> 00:08:23,649
donde se va a centralizar

74
00:08:23,649 --> 00:08:26,189
y se va a realizar un análisis avanzado de los eventos

75
00:08:26,189 --> 00:08:28,069
de seguridad, básicamente tenemos

76
00:08:28,069 --> 00:08:29,790
los logs que son los datos RAW

77
00:08:29,790 --> 00:08:32,210
los datos crudos

78
00:08:32,210 --> 00:08:33,590
luego tenemos bits

79
00:08:33,590 --> 00:08:35,549
file bits que sería pues

80
00:08:35,549 --> 00:08:36,610
una

81
00:08:36,610 --> 00:08:46,330
un paquete que se puede instalar en el IDS para poder formatear esos logs que vienen en RAW

82
00:08:46,330 --> 00:08:49,549
y poder enviárselo a Logstash para una mejor interpretación de los datos.

83
00:08:50,649 --> 00:08:56,169
Y luego, posteriormente, tenemos Logstash, que sería para el procesamiento de los datos que recibe

84
00:08:56,169 --> 00:09:02,730
por parte del sensor, en este caso IDS, pero podría ser también de diferentes elementos de red.

85
00:09:02,730 --> 00:09:04,809
Esto realmente puede

86
00:09:04,809 --> 00:09:07,549
Colectar

87
00:09:07,549 --> 00:09:09,470
Información de routers, switches

88
00:09:09,470 --> 00:09:10,509
APs, etc.

89
00:09:11,289 --> 00:09:13,570
Luego tenemos el siguiente servicio

90
00:09:13,570 --> 00:09:14,970
Que sería el Elasticsearch

91
00:09:14,970 --> 00:09:17,710
Que sería para el almacenamiento de dichos

92
00:09:17,710 --> 00:09:19,549
Datos y finalmente para la

93
00:09:19,549 --> 00:09:21,370
Visualización de dichos datos

94
00:09:21,370 --> 00:09:23,370
En un dashboard, tenemos el Kibana

95
00:09:23,370 --> 00:09:25,710
Que también lo mostraré al final de esta presentación

96
00:09:25,710 --> 00:09:26,210
Si hay tiempo

97
00:09:26,210 --> 00:09:28,889
El servidor web Docker, que en este caso

98
00:09:28,889 --> 00:09:31,149
Hemos utilizado la imagen

99
00:09:31,149 --> 00:09:39,669
dv w ha utilizado para que se pueda realizar ataques aunque la profundidad de los ataques

100
00:09:39,669 --> 00:09:44,950
es súper es superficial no es profunda vale pero igualmente utilizar esta imagen muy conocida

101
00:09:44,950 --> 00:09:53,269
dentro del entorno del pente este bueno básicamente está alojado en la dm z y ahí es donde se realizarán

102
00:09:53,269 --> 00:09:58,549
los para el entorno de prueba herramienta de pentesting pues aquí en número varias pero como

103
00:09:58,549 --> 00:10:05,929
mencionado las básicamente las pruebas que haré son de con n map para que sea un poco más realista

104
00:10:05,929 --> 00:10:16,190
el pente stick pero al servicio y cmp ssh http y si da tiempo pues al php o sql cuáles son en el

105
00:10:16,190 --> 00:10:23,210
map open bus meta exploit framework y burt switch vale aquí lo pongo pues para que se utiliza cada

106
00:10:23,210 --> 00:10:27,649
una de ellas en el map para el escaneo de puerto detección de unidades en rey servidores en la que

107
00:10:27,649 --> 00:10:32,029
utilizaremos meter ploy desarrollado de ejecución de exploit para comprobar debilidades y bruce

108
00:10:32,029 --> 00:10:39,350
suite como un proxy para capturar traje paquetes de http https y lo pueden manipular etcétera y

109
00:10:39,350 --> 00:10:45,870
bueno llega a juntar unas unas pruebas depende de pen testing muy muy utilizadas requerimiento

110
00:10:45,870 --> 00:10:51,529
hardware pues básicamente no me voy a entretener mucho aquí tenemos dos columnas de las cuales es

111
00:10:51,529 --> 00:10:56,629
un requerimiento para un laboratorio que propuesto mínimo y otro recomendado que sería pues ya para

112
00:10:56,629 --> 00:11:05,330
puesta en un escenario real software exactamente lo mismo vale el requerimiento de prueba y el

113
00:11:05,330 --> 00:11:12,809
rendimiento corporativo hay que ser sincero como a mí a nivel de hogar pues he utilizado pues he

114
00:11:12,809 --> 00:11:19,009
intentado utilizar en un entorno de prueba pero muchas veces ha ido por no cumplió al 100% porque

115
00:11:19,009 --> 00:11:23,450
bueno hay una limitación de hardware que tengo vale pero igualmente ha funcionado perfectamente

116
00:11:23,450 --> 00:11:37,570
Planificación de proyecto. Aquí hay una planificación que he realizado con unas notas muy importantes que lo puse en el proyecto a tener en cuenta, que es la fase de análisis, planificación y diseño.

117
00:11:37,570 --> 00:12:06,110
Porque si estas dos fases no están bien estructuradas, no están bien recopiladas, si no se recopila información, no se hace un análisis de lo que se requiere para la PYME en concreto o para la entidad pública, no se hace una buena planificación y, posteriormente, no se hará un buen diseño de red, pues todo lo demás, básicamente, no será correcto, no funcionará correctamente.

118
00:12:06,110 --> 00:12:23,309
Esas dos fases son sumamente importantes. Y luego, como una segunda fase importante, sería la parte de la implementación, instalación e integración. Serían esas dos intermedias que he puesto ahí, después de la de diseño de red, instalación y configuración e implementación.

119
00:12:23,309 --> 00:12:42,129
¿Cuál es el desafío aquí? El desafío no es tanto el implementar, configurar y poner en marcha los servicios de forma individual, sino es integrarlo. Finalmente, como punto adicional que he comentado antes, pruebas de seguridad, pentesting y la documentación final.

120
00:12:42,129 --> 00:12:54,529
A continuación, el diagrama de GAN, en este caso, con lo que hemos visto en la diapositiva anterior, con cada una de esas fases y en bloques, que representaría el tiempo que dura cada una de esas fases.

121
00:12:55,610 --> 00:13:05,309
Flujo de comunicaciones. Aquí, básicamente, he querido mencionar cuál es el flujo de comunicación en este proyecto.

122
00:13:05,309 --> 00:13:12,649
Por eso aquí lo menciono, que hay tres zonas bien definidas externas de MFETA y LAN.

123
00:13:13,350 --> 00:13:19,070
Aquí a continuación, pues, creé un diagrama de bloques donde se puede ver perfectamente cada una de esas zonas,

124
00:13:19,309 --> 00:13:25,009
pero también se puede ver ese flujo de comunicación, donde va cada, pues bueno, desde la zona externa,

125
00:13:25,090 --> 00:13:30,210
pues el pentester o un usuario externo legítimo, pues apuntaría al IP table, que sería el firewall,

126
00:13:30,210 --> 00:13:47,730
El SNOR realizaría su trabajo de detección de anomalías y finalmente el tráfico del usuario o el malicioso iría a la DMZ, donde hay un servidor que ha instalado Ubuntu, pero dentro hay un Docker instalado y en la cual está arrancando una imagen, la imagen de DVWA.

127
00:13:47,730 --> 00:14:04,450
Y el LK estaría en la red interna, que es el que obtendría los logs del IDS, de todos los eventos que están surgiendo. Tráfico de externo a DMZ, de DMZ a externo y básicamente eso.

128
00:14:04,690 --> 00:14:19,179
Aquí un diseño lógico del laboratorio que tengo y creo que se explica de forma un poco más visual lo que hemos visto antes.

129
00:14:19,559 --> 00:14:28,779
instalación y configuración pues aquí tenemos la instalación por el dios el viento ip lo que vendría

130
00:14:28,779 --> 00:14:34,919
a ser el plan del ids voy a por las partes más importantes vemos aquí pues el home net pues la

131
00:14:34,919 --> 00:14:40,159
definición de las redes vale acá hay una definición de redes donde pongo pues la 10 0 que sería la

132
00:14:40,159 --> 00:14:48,200
dmz luego los demás repuesto como como en realmente como en y porque bueno al final estamos o estoy

133
00:14:48,200 --> 00:14:54,679
detectando el tráfico entre externa y DMZ, entre esas dos únicamente. Se podría añadir otras si

134
00:14:54,679 --> 00:15:02,600
quisiéramos y podríamos definir, pues, HomeNet, DMZ, LAN, o mejor dicho, sí, podremos definir

135
00:15:02,600 --> 00:15:12,899
como esas. Siguiente. Vale, esto es importante, las reglas. Aquí están las reglas que he creado

136
00:15:12,899 --> 00:15:18,299
y he creado otras más. Pues, básicamente, esto está enfocado para un servidor web, ¿vale? Porque

137
00:15:18,299 --> 00:15:34,840
Yo realmente en el entorno laboratorio he creado dos servidores web, uno DVWA como docker y otro servidor web como si fuera otro servidor web adicional, pero sin docker, es decir, un servidor instalado en una máquina virtual.

138
00:15:34,840 --> 00:15:48,980
Entonces, bueno, las reglas básicamente a partir del millón se tienen que definir para que sean reglas que no solapen con las reglas por defecto del IDS Snore.

139
00:15:48,980 --> 00:16:07,820
Y bueno, aquí está regla de ICMP para el tráfico PIN, tanto de entrada como de salida, de la DMZ al exterior y del exterior a la DMZ, de SSH apuntando al servidor de la DMZ y también un tráfico de PHP, PHP MyAdmin, que es cuando entras al portal de PHP Bansal.

140
00:16:08,519 --> 00:16:11,659
Y esta pues apuntando también a la DMZ, a la del exterior.

141
00:16:11,659 --> 00:16:24,320
y pt y vos pues básicamente aquí he configurado para poder que el ipt y vos realice la traducción

142
00:16:24,320 --> 00:16:29,779
de direcciones entre la dm z y el exterior así la comunicación en ambos sí que es cierto que

143
00:16:29,779 --> 00:16:35,720
al ser un entorno de laboratorio he tenido que configurar rutas estáticas en el exterior para

144
00:16:35,720 --> 00:16:52,120
Lo que vendría a ser para mí el exterior, en mi equipo de Parrot o de Kali Linux, que en este caso, como lo menciona en el diagrama, para que pueda apuntar al IP tables y regir el tráfico hacia la DMZ, ¿vale? Porque no conoce dónde se encuentra la red de la DMZ.

145
00:16:52,559 --> 00:17:02,440
Entonces, en el IP tables, habilitando el routing, ahí lo he puesto, con eso se habilita el routing. Finalmente, bueno, aquí vemos…

146
00:17:02,440 --> 00:17:04,880
Ha cumplido el tiempo, tienes un minutito para terminar, ¿vale?

147
00:17:04,880 --> 00:17:26,740
Ah, vale, pues aquí tenemos ya el entorno de SIEM. Básicamente, aquí vemos todos los servicios que están ejecutándose. En el Docker vemos la configuración Docker que es muy utilizada para entornos de prueba. Lo hemos utilizado y creo que he hablado bastante y extendidamente de ello. Una imagen Docker con diferentes servicios.

148
00:17:26,740 --> 00:17:34,119
aquí bueno y aquí lo único que hago es mostrar que el servicio está ejecutándose vale y está

149
00:17:34,119 --> 00:17:39,980
arrancando aquí igualmente pues lo podemos ver descarga ejecución de la imagen hacemos un pool

150
00:17:39,980 --> 00:17:48,000
y descargamos la imagen la última que el de w de w a y bueno aquí se puede mostrar cómo se accede

151
00:17:48,000 --> 00:17:53,579
mediante web a la imagen vale sin ningún problema creación de índice esto muy importante porque aquí

152
00:17:53,579 --> 00:17:59,160
pues básicamente es el nuestro sistema de motivación y prevalidación 100 donde se crean

153
00:17:59,160 --> 00:18:04,500
índices y donde luego se crean contadores métricas y vertical bar es decir para el

154
00:18:04,500 --> 00:18:11,559
tráfico métrica dice mp y para el tráfico de ssh y la de php historiogramas en todo

155
00:18:11,559 --> 00:18:19,079
es que básicamente es pues contándonos todo el proceso y en monitoreación y pruebas pues

156
00:18:19,079 --> 00:18:26,339
aquí ya pruebas de pentesting que se realiza que básicamente pues esta parte se explica bastante

157
00:18:26,339 --> 00:18:33,180
bien pero aquí vemos cómo realmente se ve el tráfico dice mp de salida de la dm z hacia la

158
00:18:33,180 --> 00:18:40,140
si no me equivoco si de la dm z hacia el exterior tráfico de entrada y cmp tráfico ssh y de php

159
00:18:40,140 --> 00:18:45,420
mayan es decir con esto validamos la integración de todo el sistema del sistema de seguridad y

160
00:18:45,420 --> 00:18:59,519
Y, posteriormente, pues que el IDS puede enviar las alertas al sistema LK y, finalmente, el LK, mediante el Kibana, puede mostrar este dashboard con esta información.

161
00:19:00,319 --> 00:19:01,200
Vale, ahí ya está.

162
00:19:02,180 --> 00:19:02,740
Y el ratito.

163
00:19:04,559 --> 00:19:13,940
Pues te voy a hacer cinco preguntas para respuesta corta, máximo un minuto cada uno, simplemente para saber un poquito de autoría del proyecto, etc.

164
00:19:13,940 --> 00:19:30,500
Y bueno, una de las primeras preguntas que te voy a hacer es esta. ¿Qué ventajas encontraste al usar Snore como IDS frente a otras soluciones como Suricata, ZEC y por qué lo has integrado con el LK?

165
00:19:30,500 --> 00:19:37,059
Vale, básicamente el Snore porque es una solución que lo encuentras en cualquier distribución de Linux

166
00:19:37,059 --> 00:19:43,960
De Linux es una bastante también, tiene una mayor trayectoria que el Suricata

167
00:19:43,960 --> 00:19:49,640
Aunque sí que es cierto que el Suricata es una distribución que se utiliza últimamente en varios equipos de open source

168
00:19:49,640 --> 00:19:59,619
Pero yo decidí IP Table por sentirme más cómodo y ser una herramienta donde personalmente he trabajado ya muchos años con ella

169
00:19:59,619 --> 00:20:12,099
Entonces creo que el IP tables como una primera entrada para una solución de FIWARE es recomendable. Si luego queremos algo más sofisticado, pues podríamos ir a un solicitado.

170
00:20:12,839 --> 00:20:17,700
¿Y por qué las integran con el Open Source?

171
00:20:17,700 --> 00:20:35,119
Uno porque es el open source, otro porque también he trabajado con LK y otro porque para tener unos dashboards, unos contadores y poder, luego se puede hacer un análisis sobre esos contadores, no hace falta una licencia.

172
00:20:35,119 --> 00:20:49,319
Básicamente todo es open source y ya tenemos un dashboard con la contabilidad de todo ese tráfico que nos envía el IDS. Básicamente es eso. No hay una licencia, no aplicamos ningún tipo de, no hay ninguna limitación para poder tener un dashboard con ese tipo de...

173
00:20:49,319 --> 00:20:58,680
¿Cómo diseñaste la segmentación de red entre las zonas WAN, DMZ y LAN y qué función cumple cada una en la seguridad perimetral que propones?

174
00:20:58,680 --> 00:21:14,480
Bueno, esta segmentación ha sido básicamente utilizada como una segmentación tradicional. No es nada compleja. No tiene redundancia, no tiene… Por ejemplo, el tráfico se podría complicar muchísimo más.

175
00:21:14,480 --> 00:21:39,539
Pero mi decisión fue para mostrar en una zona tradicional con elementos muy accesibles para cualquiera y con un presupuesto muy bajito se puede tener una zona perimetral segura. ¿Por qué utilicé la DMZ? Pues por la DMZ básicamente para realizar las pruebas con ese servidor en Docker y donde teníamos esa zona vigilada donde se podría realizar la prueba.

176
00:21:39,539 --> 00:22:03,279
La WAN, pues básicamente cualquier conexión desde el firewall puede ser directa a internet o puede ser mediante un router, que sería lo más común. Y luego la LAN, lo he ubicado en el LK, debido a que el LK es un sistema crítico de monitoreo en SIEM y lo más común es ponerlo en una zona asegurada, que en este caso sería la zona de internet.

177
00:22:03,279 --> 00:22:17,269
Y te voy a hacer una última pregunta. Si tuvieras que escalar esta solución en una empresa con más tráfico, más servicios, ¿qué cambios incrementarías para la seguridad?

178
00:22:17,269 --> 00:22:39,309
Bueno, primero estamos hablando que estoy en un entorno laboratorio, entonces el primer paso es adquirir elementos hardware y aquí hay a lo mejor una propuesta interesante porque es algo que se está desarrollando o hay un negocio respecto a esto que sería adquirir elementos open source,

179
00:22:39,309 --> 00:22:50,990
que podría ser, por ejemplo, un Raspberry, uno de estos dispositivos que realmente no tienen ningún tipo de software cerrado

180
00:22:50,990 --> 00:22:59,589
y luego sobre ese elemento hardware instalar o desplegar tu software, como podría ser un Suricata, podría ser un LK, etc.

181
00:22:59,589 --> 00:23:28,089
Que vendría a ser que se le llame un OPC Home, ¿vale? Entonces, enfocándonos en entornos de PINE, de pequeñas empresas, medianas y pequeñas empresas, adquiriría un hardware open source, montaría sobre ese hardware open source las soluciones que comento aquí, o otras, como en el caso que comentaste, su licata, y luego, pues, ya se le podría añadir, pues, alta disponibilidad, por ejemplo, en vez de tener un IDS, tendríamos dos IDFs,

182
00:23:28,089 --> 00:23:51,809
Luego otras líneas de defensa, no solamente la tradicional de tres zonas, sino hablaríamos pues una línea adicional poniendo unos routers adicionales como una primera línea de defensa, luego por detrás dos firewalls con alta disponibilidad y luego por detrás de esos firewalls podríamos utilizar otros dos firewalls en la zona interna, ¿vale?

183
00:23:51,809 --> 00:24:02,650
Y luego los IDS dependiendo, se puede poner en la zona de meseta, también se puede poner en la zona interna y la zona externa como unas líneas adicionales de seguridad. Se puede hacer más complejos.

184
00:24:02,930 --> 00:24:07,990
Perfecto, pues nada, con esto concluye y vamos a ver, voy a finalizar la...