1
00:00:00,000 --> 00:00:07,360
Buenos días, Vivian. Hoy, día 18 de enero a las 9.05, estamos convocados a través de

2
00:00:07,360 --> 00:00:11,640
la Jefatura del Departamento para la defensa del módulo profesional de proyecto de ciclo

3
00:00:11,640 --> 00:00:15,840
formativo de grado superior de Administración y Sistemas Informáticos en Red.

4
00:00:15,840 --> 00:00:20,120
Informo que esta grabación se usará en el entorno cerrado de Educamadrid con fines educativos

5
00:00:20,120 --> 00:00:24,280
y solo estará a disposición de los profesores evaluadores, en el aula virtual, para llevar

6
00:00:24,280 --> 00:00:27,280
a cabo la devaluación y la calificación de la defensa del proyecto.

7
00:00:27,760 --> 00:00:31,640
En el aula virtual del proyecto, habéis sido informados de los criterios y la rúbrica

8
00:00:31,640 --> 00:00:36,800
de calificación. El orden de la presentación del proyecto es el siguiente. 15 minutos máximo

9
00:00:36,800 --> 00:00:41,640
para defender el proyecto y 5 minutos para preguntas por parte del tribunal. Dicho esto,

10
00:00:41,640 --> 00:00:45,520
tu tiempo de exposición comienza a partir de este momento. Adelante y mucha suerte.

11
00:00:45,520 --> 00:00:54,600
Gracias. Bueno, mi proyecto ha consistido en la implantación de un SIEM y lo he realizado

12
00:00:54,600 --> 00:01:01,320
a través de un laboratorio. Elegí la temática de la ciberseguridad, ya que es uno de los

13
00:01:01,320 --> 00:01:07,200
sectores de la informática que ha tenido más crecimiento en los últimos años. Y

14
00:01:07,200 --> 00:01:14,480
esto está directamente relacionado con que la información es el activo más importante

15
00:01:14,480 --> 00:01:21,400
de las empresas y de las instituciones gubernamentales hoy en día. Los principales objetivos de

16
00:01:21,400 --> 00:01:30,840
mi proyecto eran montar las máquinas virtuales que me permitirían desarrollar el laboratorio.

17
00:01:30,840 --> 00:01:41,480
Por un lado, configuraría el Honeycomb. Luego, instalé y configure Suricata como IDS. Instalé

18
00:01:42,480 --> 00:01:54,360
Splunk como SIEM. Configuré el envío de logs del IDS al SIEM. Monitoricé la infraestructura

19
00:01:54,360 --> 00:02:05,000
que creé. Y, por último, el objetivo final era poder identificar y analizar comportamientos

20
00:02:05,000 --> 00:02:14,640
anómalos o maliciosos. Para desarrollar el laboratorio, nos basamos en la topología

21
00:02:14,640 --> 00:02:23,760
lógica que os he dejado la imagen en la presentación. Para la realización, monté cuatro máquinas

22
00:02:23,760 --> 00:02:33,360
virtuales usando sistemas operativos Linux, ya que son sistemas operativos open source

23
00:02:33,400 --> 00:02:41,920
de fácil utilización y que, además, tienen gran soporte, ya que son muy utilizados por

24
00:02:41,920 --> 00:02:51,240
la comunidad. Para la máquina del ciberatacante, utilicé Kali Linux, ya que es uno de los

25
00:02:51,240 --> 00:03:00,680
softwares más utilizados en ciberseguridad y, además, incluye gran cantidad de herramientas

26
00:03:00,680 --> 00:03:07,960
ya preinstaladas, lo que lo hace muy versátil y fácil de usar. Para las otras tres máquinas,

27
00:03:07,960 --> 00:03:16,680
también utilicé Linux y, en este caso, fue Ubuntu, también porque presenta muchas facilidades

28
00:03:16,680 --> 00:03:30,200
a la hora del uso. Configuré una red interna 192.168.1.0-24 y, a partir de ahí, ya se

29
00:03:30,200 --> 00:03:42,080
configuraron las demás máquinas. El servidor Honeyput es el que tiene un rol de señuelo

30
00:03:42,080 --> 00:03:48,080
y nos permite recopilar información sobre la identidad y los métodos utilizados por

31
00:03:48,080 --> 00:03:55,040
los ciberdelincuentes. Se han configurado dentro de esta máquina los servicios de Apache

32
00:03:55,040 --> 00:04:04,600
y OpenSSH. Es también una de las herramientas que más se utilizan en la ciberseguridad

33
00:04:04,600 --> 00:04:12,840
hoy en día. Por otro lado, el IDS, que para él utilice el software Suricata, que es un

34
00:04:12,840 --> 00:04:21,760
sistema de detección de intrusos, nos permite examinar el tráfico en tiempo real e identificar

35
00:04:21,760 --> 00:04:32,880
patrones maliciosos y alertar para que así se pueda actuar sobre las posibles amenazas.

36
00:04:32,880 --> 00:04:43,160
Este software nos permite, a través de reglas, poder definir y personalizar las reglas para

37
00:04:43,160 --> 00:04:56,680
utilizar patrones de amenazas ya conocidas. También incluye análisis de protocolos,

38
00:04:56,680 --> 00:05:03,080
inspección de contenidos, decodificación de protocolos y captura de archivos. En esta

39
00:05:03,080 --> 00:05:10,120
máquina tuve que configurar, además, en la tarjeta de red el modo promiscuo para que

40
00:05:10,120 --> 00:05:15,400
nos permitiera ver el tráfico que circulaba por toda la red y no solo el que va dirigido

41
00:05:15,400 --> 00:05:25,560
a esa tarjeta. También en esta máquina se instaló el complemento forwarder de Splunk

42
00:05:25,560 --> 00:05:33,360
que facilitaría el envío de los logs desde esa máquina IDS hasta la máquina que configuraríamos

43
00:05:33,360 --> 00:05:48,720
como SIEM. El SIEM, que son las siglas Security Information and Event Manager, es una herramienta

44
00:05:48,720 --> 00:05:56,280
ampliamente utilizada en los centros de operaciones de seguridad. Nos permite monitorizar en tiempo

45
00:05:56,280 --> 00:06:02,720
real la actividad de los sistemas informáticos, lo que facilita detectar y dar una respuesta

46
00:06:02,720 --> 00:06:10,840
temprana a los incidentes de seguridad. Principalmente las herramientas SIEM ofrecen las siguientes

47
00:06:10,840 --> 00:06:17,680
funciones. Por un lado, administración de registros, es decir, que recopilan gran cantidad

48
00:06:17,680 --> 00:06:26,280
de datos, los almacenan en un solo lugar, los organizan y permiten determinar si existen

49
00:06:26,280 --> 00:06:32,760
signos de amenaza, ataque o vulneración. Por otro lado, correlación a los eventos,

50
00:06:32,760 --> 00:06:40,040
es decir, que los clasifica, clasifica los datos para identificar si existen relaciones

51
00:06:40,040 --> 00:06:49,240
o patrones con el fin de alertar sobre potenciales amenazas. Por último, permite la supervisión

52
00:06:49,240 --> 00:06:56,640
de los incidentes y la respuesta a ellos, es decir, que nos proporciona alertas y auditorías

53
00:06:56,640 --> 00:07:07,720
y todas las actividades que están relacionadas con un incidente. Los SIEM ofrecen ventajas

54
00:07:07,720 --> 00:07:14,560
tales como que nos permite una vista centralizada de las amenazas potenciales, nos permite la

55
00:07:14,560 --> 00:07:21,560
identificación y respuesta en tiempo real, además de que nos permite detectar tendencias

56
00:07:21,560 --> 00:07:29,760
y patrones para detectar los que no son habituales. Y todo ello nos ayuda a redirigir la actuación

57
00:07:29,760 --> 00:07:37,520
del personal cualificado para poder resolver las incidencias. El hecho de hacer una buena

58
00:07:37,520 --> 00:07:49,760
implantación del SIEM hace que tareas tediosas a la hora de recoger datos y almacenarlos

59
00:07:49,760 --> 00:07:58,640
se hagan mucho más fáciles y así los analistas no tengan que centrarse en eso y puedan disponer

60
00:07:58,640 --> 00:08:05,840
de más tiempo para lo que es realmente analizar los incidentes y mejorar las respuestas que

61
00:08:05,840 --> 00:08:15,480
se dan a ellos. En esta máquina se habilitó el puerto 9997 para poder recibir los logs

62
00:08:15,480 --> 00:08:25,040
que nos enviaría el forwarder. ¿Por qué elegimos Splunk? Pues Splunk es una plataforma

63
00:08:25,040 --> 00:08:31,240
de análisis de datos que no solamente se utiliza para ciberseguridad. Splunk nació

64
00:08:31,360 --> 00:08:38,480
como una herramienta de análisis de gran cantidad de datos en tiempo real. Es una herramienta

65
00:08:38,480 --> 00:08:44,280
en la que no importa el formato en el que vengan los logs. Ella procesa los datos y

66
00:08:44,280 --> 00:08:51,280
nos permite hacer búsquedas en los momentos en los que nosotros tengamos la necesidad

67
00:08:51,280 --> 00:08:59,560
de acceder a esos datos, ya sea para hacer búsquedas sobre eventos de seguridad o también

68
00:08:59,560 --> 00:09:09,320
permite hacer búsquedas sobre cómo se comportan ventas en las empresas, gran cantidad de búsquedas,

69
00:09:09,320 --> 00:09:17,600
no solamente se utiliza en ciberseguridad. También nos permite usar tableros de visualización

70
00:09:17,600 --> 00:09:24,320
donde los equipos de seguridad pueden ver lo que está pasando en la red y acceden a

71
00:09:24,320 --> 00:09:32,480
ello de una manera fácil y visual, lo que les permite también monitorear de manera

72
00:09:32,480 --> 00:09:38,520
fácil todo lo que ocurre en nuestra red, ya sean eventos relacionados con la seguridad

73
00:09:38,520 --> 00:09:44,720
o simplemente con el rendimiento de los equipos o con el comportamiento de los usuarios para

74
00:09:44,720 --> 00:09:54,200
dentro de ello detectar anomalías o posibles amenazas. Además Splunk permite integrar

75
00:09:54,200 --> 00:10:05,440
complementos que nos ayudan a cubrir estas necesidades. Dependiendo de las necesidades

76
00:10:05,440 --> 00:10:11,960
que nosotros queramos cubrir, podemos instalar unos u otros complementos que nos ayudarán

77
00:10:11,960 --> 00:10:18,360
en la tarea de recopilar los datos y poder estudiarlos en el momento en el que los necesitemos.

78
00:10:18,360 --> 00:10:22,880
También debo destacar que Splunk es una de las herramientas 100 más utilizadas por

79
00:10:22,880 --> 00:10:32,240
las empresas actualmente. Por otro lado, teníamos la máquina del ciberatacante que estaba alojada

80
00:10:32,240 --> 00:10:39,320
como ya he dicho en un Kali Linux y se utilizó para replicar dos ataques. Por un lado se

81
00:10:39,320 --> 00:10:45,120
hizo un ataque de escaneo de puertos en el que se analizan automáticamente los puertos

82
00:10:45,120 --> 00:10:50,680
de una máquina que está conectada a una red para identificar cuáles están abiertos,

83
00:10:50,680 --> 00:10:59,000
cuáles están cerrados o si cuentan con algún protocolo de seguridad. Este ataque se hizo

84
00:10:59,000 --> 00:11:07,240
a través de un comando NMA al IP del Honeyput y en la captura de la presentación se puede

85
00:11:07,240 --> 00:11:15,240
observar que nos devolvió la información de que estaban abiertos los puertos 22 y

86
00:11:15,240 --> 00:11:24,320
80 que son los que habíamos habilitado previamente para los servicios de Apache y OpenSSH. Por

87
00:11:24,320 --> 00:11:31,760
otro lado, se replicó un ataque de fuerza bruta o diccionario que es el intento de descifrar

88
00:11:31,760 --> 00:11:38,680
una contraseña o las contraseñas y los nombres del usuario. Para replicar este ataque

89
00:11:38,680 --> 00:11:46,360
se utilizó Hydra, que es una herramienta software que está diseñada para realizar

90
00:11:46,360 --> 00:11:56,680
este tipo de ataques y también es ampliamente utilizada en el mundo del hacking, del pentesting

91
00:11:56,680 --> 00:12:10,200
y todo este tema. Por último, en las últimas capturas podemos ver la información en el

92
00:12:10,200 --> 00:12:18,000
SIEM, en Splunk. Como ya hemos dicho, el SIEM nos permite realizar búsquedas de los datos

93
00:12:18,000 --> 00:12:25,720
recogidos y así poder analizar los incidentes de seguridad. En las últimas tres capturas

94
00:12:25,720 --> 00:12:35,040
podemos observar cómo los datos de los ciberataques replicados se pueden ver a través de Splunk,

95
00:12:35,040 --> 00:12:46,360
tanto de manera más gráfica como también podemos ver información de los logs sin tratar.

96
00:12:46,360 --> 00:12:55,360
Podemos ver tanto la parte gráfica como la parte del log en sí mismo, lo cual nos permite

97
00:12:55,360 --> 00:13:03,520
dependiendo de las necesidades que tengamos, ver la información que nos interesa o trabajar

98
00:13:03,520 --> 00:13:16,000
para poder mejorar nuestras actividades y nuestra manera de que podamos resolver las

99
00:13:16,000 --> 00:13:38,360
alertas en menos tiempo o podamos configurar nuevamente alertas o podamos ver y reestructurar

100
00:13:38,360 --> 00:13:47,480
para que nos sea más fácil actuar ante las amenazas lo más pronto posible.

101
00:13:47,480 --> 00:14:00,600
Por último, las conclusiones que puedo dar son que se consiguió cumplir con los objetivos

102
00:14:00,600 --> 00:14:08,200
marcados, pude montar las máquinas, pude hacer las instalaciones y configuraciones

103
00:14:08,200 --> 00:14:17,680
de los software para que las diferentes máquinas cumpliesen los roles establecidos dentro de la red

104
00:14:17,680 --> 00:14:26,120
y se consiguió monitorizar la infraestructura y ver cómo el SIEM recoge los datos y finalmente

105
00:14:26,120 --> 00:14:39,320
nos los muestra. Me ha resultado muy interesante poder realizar este proyecto ya que he aprendido

106
00:14:39,320 --> 00:14:46,440
mucho sobre el funcionamiento de las herramientas. Ha sido complicado porque es un poco prueba

107
00:14:46,440 --> 00:14:57,360
y error, pero creo que el campo de la ciberseguridad es muy interesante y también es muy importante

108
00:14:57,360 --> 00:15:05,520
hacer una buena gestión de nuestra seguridad para que los datos confidenciales no estén

109
00:15:05,520 --> 00:15:07,880
en peligro de ser robados.