Saltar navegación

DEFENSA PROYECTO SERGIO ARTURO ECHAIZ

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 25 de mayo de 2025 por Pedro Jose M.

2 visualizaciones

Más información Transcripción

Descargar la transcripción

Buenos días, hoy día 15 de mayo a las 12 de la mañana. 00:00:01
Estamos convocados a través de Jefatura de Departamento para la defensa del módulo profesional de proyecto del ciclo formativo de grado superior de ASIR 00:00:06
y te informo que esta defensa está siendo grabada y que esta grabación se usará en el entorno cerrado de EducaMadrid con fines educativos 00:00:14
Y solo estará a disposición de los profesores evaluadores en el aula virtual para llevar a cabo la evaluación y la calificación de esta defensa del proyecto. 00:00:22
En el aula virtual de proyectos habéis sido informados de los criterios y rúbrica de calificación y el orden de presentación del proyecto es el siguiente. 00:00:32
15 minutos máximo para defender el proyecto y 15 minutos máximo para preguntas por parte del tribunal al terminar. 00:00:41
Dicho esto, tu tiempo de exposición comienza a partir de este momento 00:00:47
Adelante y mucha suerte 00:00:53
Son 23, tendrías hasta y 38 00:00:55
Genial, pues este es un proyecto de implementación 00:00:59
De una solución de seguridad open source 00:01:05
Enfocada para pymes o también para entidades públicas 00:01:07
De pequeño y mediano envergadura 00:01:12
Bueno, básicamente este proyecto, aparte de ese enfoque, el objetivo es implementar una infraestructura de seguridad perimetral que sea open source o al menos todos los elementos fundamentales sean de software libre, accesibles y escalables, especialmente orientada, pues como he comentado, a las pymes, a las pequeñas y medianas empresas. 00:01:14
A lo largo de las próximas diapositivas iré explicando de forma muy genérica todo lo que se ha visto en el documento del proyecto, donde se encuentran todos los detalles de la solución. 00:01:37
Y por último, pues esto es una base fundamental para el despliegue de la seguridad en pequeñas pymes, pero también se puede escalar con otro tipo de soluciones cerradas, como de fabricantes, como también se puede obtener una complejidad mayor. 00:01:51
Dicho esto, la siguiente diapositiva, introducción al proyecto, ciberseguridad en alza, como todos sabemos la ciberseguridad es un aspecto importante, como la inteligencia artificial, el Big Data y también tecnologías de nube y automatización, pues el objetivo de este proyecto fundamentalmente ha sido asegurar esa parte perimetral, aunque la seguridad en sí es una seguridad tanto horizontal como vertical. 00:02:11
Soluciones o person se han utilizado en este proyecto, sobre todo porque no dispone, o mejor dicho, no aplica un coste por la compra del desarrollo o la compra de la solución de software, pero sin embargo sirve del mantenimiento, la puesta en marcha de la solución. 00:02:37
Simulación, pues unos pequeños escenarios de simulación se han incluido amenazas reales y frecuentes, soluciones o personas accesibles. 00:02:58
Esas soluciones que vamos a ver aquí son totalmente accesibles y se pueden utilizar tanto en un entorno de laboratorio, como explico más adelante, como he mencionado, en un entorno real. 00:03:06
Y formación técnica aplicada. 00:03:16
A continuación, pues tenemos objetivos de proyecto, metas técnicas de seguridad y práctica. 00:03:18
Aquí básicamente vemos lo que vendría es un diseño de arquitectura segura, que es la arquitectura de perimetral segura tradicional, DMZ, red interna y red externa. He seguido esas líneas para este proyecto. 00:03:24
e implementación segura activa pues básicamente utilizando herramientas de open source he usado 00:03:38
ipt y vos como una solución de como la solución de firework es nor como la solución de ids también 00:03:44
podría trabajar con mi pc y la solución el acá en las que sirve lo que estás aquí para la defensa 00:03:51
completa y luego finalmente activas y documentación que incluidas en el proyecto 00:03:59
La metodología utilizada para el proyecto ha sido utilizada la de DevSecOps, una metodología que aplica en los entornos actuales y también metodologías como Agile, y a continuación vemos los puntos importantes, integración de seguridad continua, división en fases y corrección de emprended files. 00:04:05
Estos son los tres puntos más importantes del enfoque de EPSICOps. Pero si damos una visión más profunda, nos quedamos en el segundo punto, que vendría a ser como una especie de rueda, en la cual estas fases que enunciaré entran en un ciclo continuo. 00:04:27
Sería análisis, diseño, despliegue, pruebas y documentación bien definidas. 00:04:43
Pues aquí en número, el análisis y el conjunto de requisitos, muy importante este paso. 00:04:48
Tanto el análisis como el diseño lo he comentado en el proyecto. 00:04:56
Y luego el despliegue, esta parte es la que conlleva más horas de trabajo. 00:05:00
Instalación, configuración de todos los elementos de la solución del proyecto. 00:05:06
pruebas, pues como un elemento 00:05:10
adicional he añadido pruebas 00:05:13
porque digo como un elemento adicional 00:05:15
porque se puede entregar 00:05:17
un tipo de seguridad 00:05:19
adicionalmente con unas 00:05:21
con un proyecto aparte 00:05:23
o incluido a este relacionado 00:05:25
con el Pentest 00:05:27
es decir, simulando ataques a la solución 00:05:29
entregada, ataques 00:05:31
y validación, esto se podría incluir 00:05:33
inclusive un 00:05:35
proyecto de los resultados 00:05:36
tanto ejecutivo como técnico, adicionalmente al proyecto de seguridad pedímetra. 00:05:39
Y finalmente, la documentación, muy importante. 00:05:45
Aquí vemos, pues ya entramos en detalle en cada uno de los elementos. 00:05:49
El primero es el IP tables, pues básicamente se pueden realizar tanto las políticas de tráfico, 00:05:52
hablando de políticas de capa 3, capa 4, inclusive de aplicación. 00:05:59
Políticas NAT, para el NATEO, para la traducción de direcciones de privadas a públicas, 00:06:04
por escasez de diseñamiento IP público, IPv4. 00:06:08
Bueno, aquí añado un diagrama de bloques importante de lo que vendría a ser el funcionamiento 00:06:12
de lo que vendría a ser tanto las políticas IP tables de NAT como también de acceso. 00:06:20
No me voy a entrar en detenimiento en esto. 00:06:26
Si tienes preguntas luego, Pedro, de estas imágenes, me lo dices y lo comento. 00:06:30
Vale, perfecto. 00:06:35
Aquí vemos el IDS, igualmente las características o las funciones principales del IDS, del SNOR mejor dicho, es trabajar como IDS o como IPS. 00:06:36
En este proyecto lo he utilizado para trabajar como IDS. La diferencia entre IDS es un dispositivo pasivo, detecta patrones, lo compara con su base de datos 00:06:50
Y si detecta unos patrones anómalos, salta una alerta. Y esta la envía a nuestro sistema de LK. O IPS, pues directamente es un dispositivo activo. Lo que hace es que si detecta un patrón anómalo, lo detiene en línea. 00:07:05
Pues aquí tres puntos importantes. Análisis del tráfico, alertas configurables, integración con CIE. Muy importante. Alertas de tráfico, ya lo he comentado. Si detecta algún patrón que machea con su base de datos de firmas, salta una alerta. 00:07:23
O si ese sería un patrón fijo o estático. Y si es dinámico, si es un patrón que puede ser a lo mejor un malware enviado en varios paquetes comprimidos, también lo puede detectar. 00:07:39
Es un patrón dinámico. Alertas configurables. Se pueden configurar las alertas. Básicamente se puede realizar un formateo de cuál es el formato de alerta que se va a enviar al sistema LK. 00:07:55
y luego finalmente la integración con el sistema LK 00:08:09
que ha sido lo más difícil de este proyecto 00:08:12
sinceramente 00:08:14
CIEM y LK 00:08:15
pues aquí tenemos la solución 00:08:18
de CIEM para este proyecto 00:08:19
donde se va a centralizar 00:08:22
y se va a realizar un análisis avanzado de los eventos 00:08:23
de seguridad, básicamente tenemos 00:08:26
los logs que son los datos RAW 00:08:28
los datos crudos 00:08:29
luego tenemos bits 00:08:32
file bits que sería pues 00:08:33
una 00:08:35
un paquete que se puede instalar en el IDS para poder formatear esos logs que vienen en RAW 00:08:36
y poder enviárselo a Logstash para una mejor interpretación de los datos. 00:08:46
Y luego, posteriormente, tenemos Logstash, que sería para el procesamiento de los datos que recibe 00:08:50
por parte del sensor, en este caso IDS, pero podría ser también de diferentes elementos de red. 00:08:56
Esto realmente puede 00:09:02
Colectar 00:09:04
Información de routers, switches 00:09:07
APs, etc. 00:09:09
Luego tenemos el siguiente servicio 00:09:11
Que sería el Elasticsearch 00:09:13
Que sería para el almacenamiento de dichos 00:09:14
Datos y finalmente para la 00:09:17
Visualización de dichos datos 00:09:19
En un dashboard, tenemos el Kibana 00:09:21
Que también lo mostraré al final de esta presentación 00:09:23
Si hay tiempo 00:09:25
El servidor web Docker, que en este caso 00:09:26
Hemos utilizado la imagen 00:09:28
dv w ha utilizado para que se pueda realizar ataques aunque la profundidad de los ataques 00:09:31
es súper es superficial no es profunda vale pero igualmente utilizar esta imagen muy conocida 00:09:39
dentro del entorno del pente este bueno básicamente está alojado en la dm z y ahí es donde se realizarán 00:09:44
los para el entorno de prueba herramienta de pentesting pues aquí en número varias pero como 00:09:53
mencionado las básicamente las pruebas que haré son de con n map para que sea un poco más realista 00:09:58
el pente stick pero al servicio y cmp ssh http y si da tiempo pues al php o sql cuáles son en el 00:10:05
map open bus meta exploit framework y burt switch vale aquí lo pongo pues para que se utiliza cada 00:10:16
una de ellas en el map para el escaneo de puerto detección de unidades en rey servidores en la que 00:10:23
utilizaremos meter ploy desarrollado de ejecución de exploit para comprobar debilidades y bruce 00:10:27
suite como un proxy para capturar traje paquetes de http https y lo pueden manipular etcétera y 00:10:32
bueno llega a juntar unas unas pruebas depende de pen testing muy muy utilizadas requerimiento 00:10:39
hardware pues básicamente no me voy a entretener mucho aquí tenemos dos columnas de las cuales es 00:10:45
un requerimiento para un laboratorio que propuesto mínimo y otro recomendado que sería pues ya para 00:10:51
puesta en un escenario real software exactamente lo mismo vale el requerimiento de prueba y el 00:10:56
rendimiento corporativo hay que ser sincero como a mí a nivel de hogar pues he utilizado pues he 00:11:05
intentado utilizar en un entorno de prueba pero muchas veces ha ido por no cumplió al 100% porque 00:11:12
bueno hay una limitación de hardware que tengo vale pero igualmente ha funcionado perfectamente 00:11:19
Planificación de proyecto. Aquí hay una planificación que he realizado con unas notas muy importantes que lo puse en el proyecto a tener en cuenta, que es la fase de análisis, planificación y diseño. 00:11:23
Porque si estas dos fases no están bien estructuradas, no están bien recopiladas, si no se recopila información, no se hace un análisis de lo que se requiere para la PYME en concreto o para la entidad pública, no se hace una buena planificación y, posteriormente, no se hará un buen diseño de red, pues todo lo demás, básicamente, no será correcto, no funcionará correctamente. 00:11:37
Esas dos fases son sumamente importantes. Y luego, como una segunda fase importante, sería la parte de la implementación, instalación e integración. Serían esas dos intermedias que he puesto ahí, después de la de diseño de red, instalación y configuración e implementación. 00:12:06
¿Cuál es el desafío aquí? El desafío no es tanto el implementar, configurar y poner en marcha los servicios de forma individual, sino es integrarlo. Finalmente, como punto adicional que he comentado antes, pruebas de seguridad, pentesting y la documentación final. 00:12:23
A continuación, el diagrama de GAN, en este caso, con lo que hemos visto en la diapositiva anterior, con cada una de esas fases y en bloques, que representaría el tiempo que dura cada una de esas fases. 00:12:42
Flujo de comunicaciones. Aquí, básicamente, he querido mencionar cuál es el flujo de comunicación en este proyecto. 00:12:55
Por eso aquí lo menciono, que hay tres zonas bien definidas externas de MFETA y LAN. 00:13:05
Aquí a continuación, pues, creé un diagrama de bloques donde se puede ver perfectamente cada una de esas zonas, 00:13:13
pero también se puede ver ese flujo de comunicación, donde va cada, pues bueno, desde la zona externa, 00:13:19
pues el pentester o un usuario externo legítimo, pues apuntaría al IP table, que sería el firewall, 00:13:25
El SNOR realizaría su trabajo de detección de anomalías y finalmente el tráfico del usuario o el malicioso iría a la DMZ, donde hay un servidor que ha instalado Ubuntu, pero dentro hay un Docker instalado y en la cual está arrancando una imagen, la imagen de DVWA. 00:13:30
Y el LK estaría en la red interna, que es el que obtendría los logs del IDS, de todos los eventos que están surgiendo. Tráfico de externo a DMZ, de DMZ a externo y básicamente eso. 00:13:47
Aquí un diseño lógico del laboratorio que tengo y creo que se explica de forma un poco más visual lo que hemos visto antes. 00:14:04
instalación y configuración pues aquí tenemos la instalación por el dios el viento ip lo que vendría 00:14:19
a ser el plan del ids voy a por las partes más importantes vemos aquí pues el home net pues la 00:14:28
definición de las redes vale acá hay una definición de redes donde pongo pues la 10 0 que sería la 00:14:34
dmz luego los demás repuesto como como en realmente como en y porque bueno al final estamos o estoy 00:14:40
detectando el tráfico entre externa y DMZ, entre esas dos únicamente. Se podría añadir otras si 00:14:48
quisiéramos y podríamos definir, pues, HomeNet, DMZ, LAN, o mejor dicho, sí, podremos definir 00:14:54
como esas. Siguiente. Vale, esto es importante, las reglas. Aquí están las reglas que he creado 00:15:02
y he creado otras más. Pues, básicamente, esto está enfocado para un servidor web, ¿vale? Porque 00:15:12
Yo realmente en el entorno laboratorio he creado dos servidores web, uno DVWA como docker y otro servidor web como si fuera otro servidor web adicional, pero sin docker, es decir, un servidor instalado en una máquina virtual. 00:15:18
Entonces, bueno, las reglas básicamente a partir del millón se tienen que definir para que sean reglas que no solapen con las reglas por defecto del IDS Snore. 00:15:34
Y bueno, aquí está regla de ICMP para el tráfico PIN, tanto de entrada como de salida, de la DMZ al exterior y del exterior a la DMZ, de SSH apuntando al servidor de la DMZ y también un tráfico de PHP, PHP MyAdmin, que es cuando entras al portal de PHP Bansal. 00:15:48
Y esta pues apuntando también a la DMZ, a la del exterior. 00:16:08
y pt y vos pues básicamente aquí he configurado para poder que el ipt y vos realice la traducción 00:16:11
de direcciones entre la dm z y el exterior así la comunicación en ambos sí que es cierto que 00:16:24
al ser un entorno de laboratorio he tenido que configurar rutas estáticas en el exterior para 00:16:29
Lo que vendría a ser para mí el exterior, en mi equipo de Parrot o de Kali Linux, que en este caso, como lo menciona en el diagrama, para que pueda apuntar al IP tables y regir el tráfico hacia la DMZ, ¿vale? Porque no conoce dónde se encuentra la red de la DMZ. 00:16:35
Entonces, en el IP tables, habilitando el routing, ahí lo he puesto, con eso se habilita el routing. Finalmente, bueno, aquí vemos… 00:16:52
Ha cumplido el tiempo, tienes un minutito para terminar, ¿vale? 00:17:02
Ah, vale, pues aquí tenemos ya el entorno de SIEM. Básicamente, aquí vemos todos los servicios que están ejecutándose. En el Docker vemos la configuración Docker que es muy utilizada para entornos de prueba. Lo hemos utilizado y creo que he hablado bastante y extendidamente de ello. Una imagen Docker con diferentes servicios. 00:17:04
aquí bueno y aquí lo único que hago es mostrar que el servicio está ejecutándose vale y está 00:17:26
arrancando aquí igualmente pues lo podemos ver descarga ejecución de la imagen hacemos un pool 00:17:34
y descargamos la imagen la última que el de w de w a y bueno aquí se puede mostrar cómo se accede 00:17:39
mediante web a la imagen vale sin ningún problema creación de índice esto muy importante porque aquí 00:17:48
pues básicamente es el nuestro sistema de motivación y prevalidación 100 donde se crean 00:17:53
índices y donde luego se crean contadores métricas y vertical bar es decir para el 00:17:59
tráfico métrica dice mp y para el tráfico de ssh y la de php historiogramas en todo 00:18:04
es que básicamente es pues contándonos todo el proceso y en monitoreación y pruebas pues 00:18:11
aquí ya pruebas de pentesting que se realiza que básicamente pues esta parte se explica bastante 00:18:19
bien pero aquí vemos cómo realmente se ve el tráfico dice mp de salida de la dm z hacia la 00:18:26
si no me equivoco si de la dm z hacia el exterior tráfico de entrada y cmp tráfico ssh y de php 00:18:33
mayan es decir con esto validamos la integración de todo el sistema del sistema de seguridad y 00:18:40
Y, posteriormente, pues que el IDS puede enviar las alertas al sistema LK y, finalmente, el LK, mediante el Kibana, puede mostrar este dashboard con esta información. 00:18:45
Vale, ahí ya está. 00:19:00
Y el ratito. 00:19:02
Pues te voy a hacer cinco preguntas para respuesta corta, máximo un minuto cada uno, simplemente para saber un poquito de autoría del proyecto, etc. 00:19:04
Y bueno, una de las primeras preguntas que te voy a hacer es esta. ¿Qué ventajas encontraste al usar Snore como IDS frente a otras soluciones como Suricata, ZEC y por qué lo has integrado con el LK? 00:19:13
Vale, básicamente el Snore porque es una solución que lo encuentras en cualquier distribución de Linux 00:19:30
De Linux es una bastante también, tiene una mayor trayectoria que el Suricata 00:19:37
Aunque sí que es cierto que el Suricata es una distribución que se utiliza últimamente en varios equipos de open source 00:19:43
Pero yo decidí IP Table por sentirme más cómodo y ser una herramienta donde personalmente he trabajado ya muchos años con ella 00:19:49
Entonces creo que el IP tables como una primera entrada para una solución de FIWARE es recomendable. Si luego queremos algo más sofisticado, pues podríamos ir a un solicitado. 00:19:59
¿Y por qué las integran con el Open Source? 00:20:12
Uno porque es el open source, otro porque también he trabajado con LK y otro porque para tener unos dashboards, unos contadores y poder, luego se puede hacer un análisis sobre esos contadores, no hace falta una licencia. 00:20:17
Básicamente todo es open source y ya tenemos un dashboard con la contabilidad de todo ese tráfico que nos envía el IDS. Básicamente es eso. No hay una licencia, no aplicamos ningún tipo de, no hay ninguna limitación para poder tener un dashboard con ese tipo de... 00:20:35
¿Cómo diseñaste la segmentación de red entre las zonas WAN, DMZ y LAN y qué función cumple cada una en la seguridad perimetral que propones? 00:20:49
Bueno, esta segmentación ha sido básicamente utilizada como una segmentación tradicional. No es nada compleja. No tiene redundancia, no tiene… Por ejemplo, el tráfico se podría complicar muchísimo más. 00:20:58
Pero mi decisión fue para mostrar en una zona tradicional con elementos muy accesibles para cualquiera y con un presupuesto muy bajito se puede tener una zona perimetral segura. ¿Por qué utilicé la DMZ? Pues por la DMZ básicamente para realizar las pruebas con ese servidor en Docker y donde teníamos esa zona vigilada donde se podría realizar la prueba. 00:21:14
La WAN, pues básicamente cualquier conexión desde el firewall puede ser directa a internet o puede ser mediante un router, que sería lo más común. Y luego la LAN, lo he ubicado en el LK, debido a que el LK es un sistema crítico de monitoreo en SIEM y lo más común es ponerlo en una zona asegurada, que en este caso sería la zona de internet. 00:21:39
Y te voy a hacer una última pregunta. Si tuvieras que escalar esta solución en una empresa con más tráfico, más servicios, ¿qué cambios incrementarías para la seguridad? 00:22:03
Bueno, primero estamos hablando que estoy en un entorno laboratorio, entonces el primer paso es adquirir elementos hardware y aquí hay a lo mejor una propuesta interesante porque es algo que se está desarrollando o hay un negocio respecto a esto que sería adquirir elementos open source, 00:22:17
que podría ser, por ejemplo, un Raspberry, uno de estos dispositivos que realmente no tienen ningún tipo de software cerrado 00:22:39
y luego sobre ese elemento hardware instalar o desplegar tu software, como podría ser un Suricata, podría ser un LK, etc. 00:22:50
Que vendría a ser que se le llame un OPC Home, ¿vale? Entonces, enfocándonos en entornos de PINE, de pequeñas empresas, medianas y pequeñas empresas, adquiriría un hardware open source, montaría sobre ese hardware open source las soluciones que comento aquí, o otras, como en el caso que comentaste, su licata, y luego, pues, ya se le podría añadir, pues, alta disponibilidad, por ejemplo, en vez de tener un IDS, tendríamos dos IDFs, 00:22:59
Luego otras líneas de defensa, no solamente la tradicional de tres zonas, sino hablaríamos pues una línea adicional poniendo unos routers adicionales como una primera línea de defensa, luego por detrás dos firewalls con alta disponibilidad y luego por detrás de esos firewalls podríamos utilizar otros dos firewalls en la zona interna, ¿vale? 00:23:28
Y luego los IDS dependiendo, se puede poner en la zona de meseta, también se puede poner en la zona interna y la zona externa como unas líneas adicionales de seguridad. Se puede hacer más complejos. 00:23:51
Perfecto, pues nada, con esto concluye y vamos a ver, voy a finalizar la... 00:24:02
Etiquetas:
Redes locales
Subido por:
Pedro Jose M.
Licencia:
Todos los derechos reservados
Visualizaciones:
2
Fecha:
25 de mayo de 2025 - 12:36
Visibilidad:
Clave
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
24′ 08″
Relación de aspecto:
1.78:1
Resolución:
1420x796 píxeles
Tamaño:
56.16 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid