Saltar navegación

ASIR Defensa Juan Carlos Hernández - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 17 de enero de 2024 por Pablo A.

11 visualizaciones

Defensa y exposición del proyecto de ASIR de Juan Carlos Hernández Leonárdez

Más información Transcripción

Descargar la transcripción

Buenas tardes, Juan Carlos. Hoy es 7 de enero. Estamos convocados a las cinco y cuarto a 00:00:00
través de la Jefatura del Departamento para la defensa de tu proyecto del ciclo formativo 00:00:09
de grado superior de Administración de Sistemas Informáticos en Red. Te informo que esta 00:00:15
grabación se usará en el entorno cerrado de EducaMadrid con fines educativos y sólo 00:00:19
estará a disposición de los profesores evaluadores en el aula virtual para llevar a cabo la 00:00:24
evaluación y calificación de la defensa del proyecto. En el aula virtual de proyectos 00:00:29
y a través de los correos has sido informado de los criterios en la rúbrica de calificación. 00:00:36
El orden de presentación del proyecto son 15 minutos máximos para defender el proyecto 00:00:41
y cinco minutos para las preguntas por parte del Tribunal. Dicho esto, tu tiempo de disposición 00:00:47
comienza a partir de ahora. Adelante y mucha suerte. Muchas gracias, Pablo. Sí, soy yo, 00:00:55
soy Juan Carlos Hernández Leonardez. Soy estudiante de segundo curso de Administración 00:01:02
de Sistemas Informáticos en Red y os vengo a presentar mi proyecto que se titula Despliegue 00:01:08
y funcionamiento de subre cartas. Bueno, aquí vemos los puntos que vamos a tratar en esta 00:01:13
presentación. Por lo tanto, ya podemos comenzar. Vamos a comenzar con los objetivos. Voy a indicar 00:01:19
cuál es el objetivo de mi proyecto, que es básicamente el despliegue básico de la herramienta 00:01:29
Azuricata para luego ponerla en funcionamiento en sus dos modos, que sí que opera en dos modos, 00:01:34
IDS e IPS. Estos dos modos sí que vamos a verlos con un poco más de detalle más adelante. Luego, 00:01:41
vamos a configurarla, vamos a administrarla y supervisar que sí que funcione correctamente de 00:01:49
acuerdo a nuestras necesidades. Así que vamos a hacer una serie de reglas, patrones, por así 00:01:56
decirlo, para que funcione como nosotros queramos que funcione. Luego, también vamos a explorar su 00:02:01
capacidad para generar alertas y logs detallados que nos permitirá realizar un análisis más en 00:02:10
profundidad. Azuricata sí que tiene esa opción de que sí que genera alertas y logs para poder 00:02:16
identificar con mayor profundidad o con mayor precisión el tráfico que está monitorizando. 00:02:21
¿Qué es Azuricata? Azuricata es un software de detección de amenazas y análisis de redes 00:02:30
de código abierto. También es de alto rendimiento, que es usado por organizaciones públicas y 00:02:37
privadas. Esto quiere decir que lo usan tanto empresas grandes, pequeñas, medianas. Puede 00:02:43
usarla cualquier empresa y, como antes he dicho, sí que opera en dos modos. Es el IDS, el IPS, 00:02:50
que sí que veremos más adelante. ¿Cómo funciona? ¿Qué es lo que hace la herramienta? 00:02:57
Una de las técnicas que usa la herramienta para monitorizar nuestras redes, una de ellas es el 00:03:05
análisis de los protocolos. Básicamente, puede analizar cualquier tipo de protocolo. Puede ser 00:03:12
TCP, UDP, ICMP, DNS, SSH. Los escanea para buscar algún posible intruso o algún patrón malicioso. 00:03:17
También inspecciona el contenido, o sea, inspecciona cualquier tipo de contenido en 00:03:29
el tráfico para buscar patrones de amenazas. Puede mirarlo en profundidad y detectarlo. Y 00:03:35
también una de las técnicas más importantes de la cual Suricata usa es el motor de reglas. Es 00:03:45
básicamente un motor flexible. Es donde le indicamos los patrones y la forma en la que tiene 00:03:53
que actuar nuestra herramienta. Hay un montón de reglas que son hechas por la comunidad, 00:04:00
pero en este caso la voy a hacer yo mismo. Ya lo veremos en la demostración que sí que se pueden 00:04:07
hacer este tipo de reglas. Una de las ventajas y desventajas de Suricata, que sí que yo he 00:04:16
descubierto y he mirado, en las ventajas, como ya he dicho antes, es una herramienta de código 00:04:23
abierto. Esto quiere decir que siempre tendremos a nuestra disposición el código para modificarlo, 00:04:30
para distribuirlo y demás. Esta herramienta está distribuida bajo la licencia GNU GPL. Por lo tanto, 00:04:37
sí que es de código abierto y se puede modificar el código, por así decirlo. Actualizado. Esto 00:04:43
quiere decir que esta herramienta, como está llevada por la comunidad de seguridad informática 00:04:51
libre, por así decirlo, es un nombre que su sigla en inglés es OIFP, si no me equivoco. Podemos estar 00:05:01
seguros de que siempre va a estar actualizada. De hecho, la última versión que la acabamos de 00:05:13
utilizar salió ahora en octubre. Vemos que sí que está actualizada. Bien integrado y 00:05:18
multiplataforma. Quiere decir esto que se puede instalar en cualquier sistema operativo. Linux, 00:05:23
Windows, Mac, FreeBSD. Un montón de sistemas donde se puede instalar. Y bien integrado. Esto quiere 00:05:29
decir que, aparte de que se adapta a nuestro sistema, también se integra con herramientas 00:05:37
externas. Sobre todo con herramientas que permiten el análisis de sus alertas. Eso lo veremos un poco 00:05:43
más adelante en la demostración. Y puede actuar en modo IDS e IPS. O sea, puede actuar solamente en 00:05:51
un modo o en los dos modos. Una de las ventajas que sí que he estado mirando y que sí que he 00:05:58
descubierto es que, aunque sea fácil configurarla en un entorno pequeño, o sea, en un entorno no tan 00:06:04
grande, cuando se quiere instalar en un entorno empresarial mucho más grande, puede ser que sí 00:06:10
que tenga una configuración mucho más compleja. Porque hay que configurar parámetros de redes, 00:06:17
de IP. Un montón de cosas que sí que puede ser la configuración bastante compleja. Otra de las 00:06:24
ventajas que sí que he visto es que, si no se tiene suficiente conocimiento a la hora de la 00:06:30
creación de reglas, esto puede producir que la herramienta nos dé falsos positivos. Por lo tanto, 00:06:35
hay que tener un buen conocimiento de la sintaxis de las reglas para evitar esos posibles positivos. 00:06:41
Y hablando de las reglas, sí que si llegamos a configurar una regla que sea compleja a la 00:06:48
hora de recibir algún tipo de ataque, algún tipo de tráfico malintencionado, esa regla, al estar 00:06:59
ejecutándose, puede ser que sí que tenga alto consumo en la CPU y en la memoria. Esas son más o 00:07:06
menos las ventajas y las desventajas. Entonces, como he dicho antes, sí que actúa en dos modos. Uno, 00:07:14
el IDS o modo pasivo, que en sus siglas en inglés es Intrusion Detection System. Básicamente, 00:07:20
en este modo, Suricata es un mero observador. Él va a revisar todo el tráfico que entra y sale y si 00:07:25
ve que hay algún tipo de paquetes o de tráfico malintencionado, simplemente lo que va a hacer 00:07:34
es generar una alerta. Ahí no entra a actuar. Aquí podemos ver que sí que está de mero observador. 00:07:44
Ahora, en el modo activo o el modo IPS, que es Intrusion Prevention System, aquí sí que ya 00:07:54
entra de forma activa. Su principal función es, de manera activa, prevenir cualquier tipo de amenaza 00:07:59
o cualquier tipo de patrón malicioso que venga a nuestra red. Por lo tanto, aquí sí que ya es de 00:08:13
manera activa o proactiva, por así decirlo. Como he mencionado antes, Suricata sí que usa 00:08:22
una serie de patrones o reglas, que es donde le decimos cómo va a actuar. Por lo tanto, aquí sí 00:08:29
que tenemos una regla de ejemplo, donde lo rojo, que vemos aquí, es el tipo de acción. Puede ser 00:08:34
alerta, rechazo, demás. Lo verde es el encabezado, donde se encuentra el protocolo, la dirección IP, 00:08:40
el puerto y el sentido de la conexión. Y lo amarillo es las opciones. Si queremos dar un 00:08:47
mensaje, si queremos darle una identificación, una revisión y demás. Aquí abajo sí que son reglas 00:08:54
que yo he hecho. Es una regla básica, la primera, de cualquier tipo de paquete que se mueva por 00:09:02
nuestra red que lo detecte. Y la de abajo es bloquear cualquier tipo de conexión. En este 00:09:08
caso, es bloquear la conexión a la web de nuestro instituto. Content quiere decir que en la carga 00:09:13
útil del paquete, si hay una cadena que concuerda con Ignacio o Yacuría, lo bloqueen. Eso sí que 00:09:21
lo veremos más adelante en la demostración. Este va a ser nuestro entorno de pruebas muy básico. 00:09:29
Es una máquina virtual Ubuntu, donde está instalada nuestra herramienta y está conectada 00:09:34
con la otra máquina Kali Linux, que va a simular la máquina atacante. Aquí tenemos el Windows 00:09:42
Anfitrión, que es el principal, donde está instalada la herramienta VirtualBox. Vamos a 00:09:50
la demostración, que es muy rápida. Vamos a las máquinas virtuales. Aquí las tengo. Vamos a acceder. 00:09:58
Una vez que se inicia el sistema, la herramienta ya se encuentra en ejecución. Para confirmarlo, 00:10:08
vamos a mirarlo. Primero, vamos a pedir o vamos a iniciar en modo administrador. 00:10:19
Entonces, para comprobar el estado actual del servicio o de funcionamiento de Surikata, 00:10:27
vamos a comprobarlo. Aquí vemos que se encuentra corriendo y se encuentra en estado IPS. Por lo 00:10:35
tanto, sí que se encuentra de manera proactiva. Entonces, vamos a revisar brevemente las reglas. 00:10:43
Voy a buscar las reglas, que las tengo por aquí. 00:10:53
Aquí las tengo. Están en este archivo. Básicamente, aquí son las reglas de prueba 00:11:08
que yo he hecho. Aquí están en el modo IDS, que una de ellas va a ser detectar cualquier 00:11:14
paquete que entre o salga de nuestro equipo. Y esta va a ser también una regla que detecte 00:11:21
cualquier tipo de conexión SSH entrante. Y ya, por último, como he mencionado, vamos 00:11:28
también a detectar si desde esta máquina se intenta conectar a la página web de nuestro 00:11:33
instituto. Entonces, ya están activas, ya las guardamos. Por lo tanto, vamos a poner 00:11:38
en funcionamiento la herramienta con el siguiente comando. Así que tail es para que muestre los 00:11:46
registros del log que genera la herramienta, menos f para que lo muestre en tiempo real, 00:11:54
y le decimos la ubicación del log, que estaría en esta ubicación. 00:11:59
Entonces, ya aquí está. Vamos a simular un ping desde una máquina maliciosa, 00:12:05
que en este caso sería Kali Linux. Como ya tenemos la dirección IP, que es la que termina 00:12:15
por 54, vamos a intentar hacer un ping a nuestra máquina. Aquí lo está haciendo. Por lo tanto, 00:12:23
vamos a ver si nuestra herramienta lo detecta. Y aquí podemos ver la hora, 00:12:32
el mensaje que le hemos dado, el número de identificador que le hemos puesto. No hemos 00:12:39
puesto ningún tipo de clasificación. La prioridad por defecto es la 3, el protocolo, la dirección 00:12:45
de origen, con sentido a la dirección de destino, que es la nuestra, la que termina por 54. Entonces, 00:12:51
aquí vemos que sí que lo detecta. Vamos a hacer otra prueba rápidamente de una conexión SSH y 00:13:02
vemos si la detecta. Ya aquí se ha intentado conectar, o si quiere intentar conectar, 00:13:09
ya que vemos que lo ha detectado. Así que vemos que la hora también, la de destino y demás. Aquí 00:13:14
vemos el protocolo importante, el TCP y demás. Y ya por último, vamos a detectar si cuando nos 00:13:22
intentamos conectar a la página web del instituto, nos la detecta. Por lo tanto, 00:13:31
ya aquí lo tengo. Así que nos intentamos conectar, conecta. Por lo tanto, veamos si 00:13:37
nuestra herramienta lo ha mirado. Y aquí está. Conexión al instituto Ignacio Ayacuría detectada, 00:13:43
con la IP de destino, de origen, perdón, con la IP de destino. Por lo tanto, vemos que su 00:13:50
parte IDS sí que funciona correctamente. Y ya para ir ya finalizando, así que vamos a ver su 00:13:57
parte IDIPS. Por lo tanto, vamos a modificar otra vez el archivo de reglas. Aquí están las reglas 00:14:05
comentadas. Así que sencillamente vamos a descomentarlas. Esto lo que va a hacer es que 00:14:14
va a bloquear cualquier tipo de paquete ICMP que venga. Cualquier tipo de ping y demás. 00:14:19
Este lo que va a hacer, va a bloquear cualquier tipo de conexión SSH, con la opción Drop. 00:14:25
Muy importante. Y esto lo que va a hacer es bloquear la conexión a la página web de nuestro 00:14:33
instituto. Guardamos, cerramos y hacemos un reinicio de la herramienta. Sería básicamente 00:14:40
con este comando. Lo reiniciamos, limpiamos la pantalla, limpiamos el log en pantalla del 00:14:51
archivo de logs y lo volvemos a ejecutar. Vamos a ver ahora. Vamos a intentar hacer 00:15:06
un ping nuevamente. Aquí vemos que no estamos recibiendo ningún tipo de respuesta. Vamos a 00:15:20
ver si Zurikata tiene algo que ver. Y aquí lo vemos. Aquí vemos un drop a la fecha de hoy y 00:15:30
demás. Y con el siguiente mensaje. Está bloqueada. Entonces aquí podemos comprobar que pone 100% de 00:15:36
paquetes perdidos. Hacemos lo mismo con la conexión SSH. Vamos a ver. No hace nada. Cuando antes 00:15:44
sí que salía que se intentaba conectar. Y aquí vemos que la ha bloqueado. Así que aquí, conexión 00:15:52
bloqueada desde la red externa. Y de origen con destino. Y ya por último, vamos a comprobar 00:15:57
nuevamente si nos deja seguir navegando en la página del instituto. Así que vamos a refrescar 00:16:06
y vamos a ver si nos deja navegar por ella. Así de primera, sí que vemos que sí que está tardando. 00:16:12
Vemos que sí que tenemos internet. Por ejemplo, YouTube. Vemos que entra. Wikipedia. Vemos que 00:16:19
entra. Por lo tanto, sí que entra. Por lo tanto, vamos a ver si Zurikata ha tenido algo que ver. 00:16:28
Por lo menos que aquí lo vemos. Conexión a la web del instituto bloqueada. Por lo tanto, 00:16:36
ha bloqueado cualquier tipo de conexión a esa página web. Por lo tanto, sí que vemos que la 00:16:41
herramienta ahora mismo sí que está funcionando correctamente. Vale, pues sí que sería la 00:16:46
demostración. Y bueno, si ya me queda algo de tiempo, sería de manera informativa mostrar cómo 00:16:55
una herramienta externa nos permite analizar con mejor detalle todas estas alertas que nos ha 00:17:03
generado Zurikata. Esto es muy rápido. Es sencillamente buscar la herramienta, nos la 00:17:11
descargamos y la descomprimimos. Así que la tengo aquí. Le damos a esto. Accedemos. 00:17:16
Y la ejecutamos. Así que la ejecutamos con este comando. 00:17:28
Y le indicamos el 00:17:37
fichero de log que está en esta ubicación. 00:17:41
Bueno, así que en este caso sería EVE, perdón. 00:17:48
Y aquí comienza a cargar todos los eventos. Veis que pone aquí 1% o 2%. Esto sí que va a 00:17:53
tardar un montón. Por lo tanto, sí que ya me he anticipado. Y cuando acaba, se va a abrir una 00:18:00
ventana en el navegador con la siguiente imagen. Salen aquí todas las alertas que hemos generado. 00:18:05
Así que esta es una herramienta que nos permite realizar un análisis en mayor profundidad y con 00:18:12
más detalle. Así que, por ejemplo, si le damos a cualquier alerta, nos abriría una ventana como 00:18:18
esta. Y aquí vemos el protocolo, los paquetes y demás. Así que eso es de manera informativa que 00:18:23
sí que se puede hacer, que se integra muy bien con otras herramientas. Por lo tanto, esta ha sido 00:18:34
la pequeña demostración. Aquí comprobamos que es una herramienta robusta, que sí que funciona 00:18:39
bien cuando se configura bien. Por lo tanto, sí que es bastante fiable a mi criterio. 00:18:47
Por lo tanto, ya podemos cerrar aquí y volvemos a la presentación. 00:18:55
Pues nada, eso sí que sería todo. Así que sería la demostración del proyecto. Y si ahora tenéis algún tipo de 00:19:05
pregunta, estoy dispuesto a responderlas. 00:19:13
Muchas gracias, Juan Carlos. Mira, te voy a dar una pregunta. 00:19:18
Dime. 00:19:22
¿Por qué no has podido poner algún tipo de regla más complicada sobre los dominios o las listas de 00:19:25
control de acceso de usuarios o de la entrada a directorios de la máquina? 00:19:32
Mira, sí que tengo aquí una regla de ejemplo. No la he mostrado porque sí que puede generar algún tipo de falso 00:19:39
positivo. Así que, como he dicho, si no está bien configurada, puede generar algún tipo de falso positivo. 00:19:50
Vamos a buscarla, que la tengo aquí abajo. Esta es una prueba, es una regla contra el mapeo de puertos. 00:19:58
Básicamente escanea todos los puertos posibles y si ve que hay movimiento de paquetes sobre esos puertos, lo bloquea. 00:20:06
Pero claro, al no estar muy bien hecha, por así decirlo, puede ser que genere algún tipo de falso positivo 00:20:22
cuando, por ejemplo, se quiere conectar mediante SSH, que es el puerto 22. Entonces, sí que es más que nada por la 00:20:36
complejidad de las reglas. Así que también he hecho pruebas con indicar que esta máquina sea parte de la red interna 00:20:44
o externa. Así que también aquí he hecho pruebas. Pero bueno, sí que son pruebas que he hecho anteriormente 00:20:56
y que ahora mismo están aquí para enseñarlas, nada más. 00:21:04
Muy bien, perfecto. Pues muchas gracias de nuevo, Juan Carlos, y damos por terminada la defensa de tu proyecto. 00:21:11
Perfecto. Muchas gracias a vosotros. 00:21:21
Idioma/s:
es
Autor/es:
Pablo Arribas Melero
Subido por:
Pablo A.
Licencia:
Dominio público
Visualizaciones:
11
Fecha:
17 de enero de 2024 - 18:03
Visibilidad:
Clave
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Descripción ampliada:
Grabación con fines educativos a disposición de los profesores evaluadores
Duración:
21′ 26″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
183.09 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid