Saltar navegación

Defensa Proyecto ASIR Vivian Gennifer Quesada Lozada

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 18 de enero de 2024 por Seyan M.

10 visualizaciones

Defensa Proyecto ASIR Vivian Gennifer Quesada Lozada

Más información Transcripción

Descargar la transcripción

Buenos días, Vivian. Hoy, día 18 de enero a las 9.05, estamos convocados a través de 00:00:00
la Jefatura del Departamento para la defensa del módulo profesional de proyecto de ciclo 00:00:07
formativo de grado superior de Administración y Sistemas Informáticos en Red. 00:00:11
Informo que esta grabación se usará en el entorno cerrado de Educamadrid con fines educativos 00:00:15
y solo estará a disposición de los profesores evaluadores, en el aula virtual, para llevar 00:00:20
a cabo la devaluación y la calificación de la defensa del proyecto. 00:00:24
En el aula virtual del proyecto, habéis sido informados de los criterios y la rúbrica 00:00:27
de calificación. El orden de la presentación del proyecto es el siguiente. 15 minutos máximo 00:00:31
para defender el proyecto y 5 minutos para preguntas por parte del tribunal. Dicho esto, 00:00:36
tu tiempo de exposición comienza a partir de este momento. Adelante y mucha suerte. 00:00:41
Gracias. Bueno, mi proyecto ha consistido en la implantación de un SIEM y lo he realizado 00:00:45
a través de un laboratorio. Elegí la temática de la ciberseguridad, ya que es uno de los 00:00:54
sectores de la informática que ha tenido más crecimiento en los últimos años. Y 00:01:01
esto está directamente relacionado con que la información es el activo más importante 00:01:07
de las empresas y de las instituciones gubernamentales hoy en día. Los principales objetivos de 00:01:14
mi proyecto eran montar las máquinas virtuales que me permitirían desarrollar el laboratorio. 00:01:21
Por un lado, configuraría el Honeycomb. Luego, instalé y configure Suricata como IDS. Instalé 00:01:30
Splunk como SIEM. Configuré el envío de logs del IDS al SIEM. Monitoricé la infraestructura 00:01:42
que creé. Y, por último, el objetivo final era poder identificar y analizar comportamientos 00:01:54
anómalos o maliciosos. Para desarrollar el laboratorio, nos basamos en la topología 00:02:05
lógica que os he dejado la imagen en la presentación. Para la realización, monté cuatro máquinas 00:02:14
virtuales usando sistemas operativos Linux, ya que son sistemas operativos open source 00:02:23
de fácil utilización y que, además, tienen gran soporte, ya que son muy utilizados por 00:02:33
la comunidad. Para la máquina del ciberatacante, utilicé Kali Linux, ya que es uno de los 00:02:41
softwares más utilizados en ciberseguridad y, además, incluye gran cantidad de herramientas 00:02:51
ya preinstaladas, lo que lo hace muy versátil y fácil de usar. Para las otras tres máquinas, 00:03:00
también utilicé Linux y, en este caso, fue Ubuntu, también porque presenta muchas facilidades 00:03:07
a la hora del uso. Configuré una red interna 192.168.1.0-24 y, a partir de ahí, ya se 00:03:16
configuraron las demás máquinas. El servidor Honeyput es el que tiene un rol de señuelo 00:03:30
y nos permite recopilar información sobre la identidad y los métodos utilizados por 00:03:42
los ciberdelincuentes. Se han configurado dentro de esta máquina los servicios de Apache 00:03:48
y OpenSSH. Es también una de las herramientas que más se utilizan en la ciberseguridad 00:03:55
hoy en día. Por otro lado, el IDS, que para él utilice el software Suricata, que es un 00:04:04
sistema de detección de intrusos, nos permite examinar el tráfico en tiempo real e identificar 00:04:12
patrones maliciosos y alertar para que así se pueda actuar sobre las posibles amenazas. 00:04:21
Este software nos permite, a través de reglas, poder definir y personalizar las reglas para 00:04:32
utilizar patrones de amenazas ya conocidas. También incluye análisis de protocolos, 00:04:43
inspección de contenidos, decodificación de protocolos y captura de archivos. En esta 00:04:56
máquina tuve que configurar, además, en la tarjeta de red el modo promiscuo para que 00:05:03
nos permitiera ver el tráfico que circulaba por toda la red y no solo el que va dirigido 00:05:10
a esa tarjeta. También en esta máquina se instaló el complemento forwarder de Splunk 00:05:15
que facilitaría el envío de los logs desde esa máquina IDS hasta la máquina que configuraríamos 00:05:25
como SIEM. El SIEM, que son las siglas Security Information and Event Manager, es una herramienta 00:05:33
ampliamente utilizada en los centros de operaciones de seguridad. Nos permite monitorizar en tiempo 00:05:48
real la actividad de los sistemas informáticos, lo que facilita detectar y dar una respuesta 00:05:56
temprana a los incidentes de seguridad. Principalmente las herramientas SIEM ofrecen las siguientes 00:06:02
funciones. Por un lado, administración de registros, es decir, que recopilan gran cantidad 00:06:10
de datos, los almacenan en un solo lugar, los organizan y permiten determinar si existen 00:06:17
signos de amenaza, ataque o vulneración. Por otro lado, correlación a los eventos, 00:06:26
es decir, que los clasifica, clasifica los datos para identificar si existen relaciones 00:06:32
o patrones con el fin de alertar sobre potenciales amenazas. Por último, permite la supervisión 00:06:40
de los incidentes y la respuesta a ellos, es decir, que nos proporciona alertas y auditorías 00:06:49
y todas las actividades que están relacionadas con un incidente. Los SIEM ofrecen ventajas 00:06:56
tales como que nos permite una vista centralizada de las amenazas potenciales, nos permite la 00:07:07
identificación y respuesta en tiempo real, además de que nos permite detectar tendencias 00:07:14
y patrones para detectar los que no son habituales. Y todo ello nos ayuda a redirigir la actuación 00:07:21
del personal cualificado para poder resolver las incidencias. El hecho de hacer una buena 00:07:29
implantación del SIEM hace que tareas tediosas a la hora de recoger datos y almacenarlos 00:07:37
se hagan mucho más fáciles y así los analistas no tengan que centrarse en eso y puedan disponer 00:07:49
de más tiempo para lo que es realmente analizar los incidentes y mejorar las respuestas que 00:07:58
se dan a ellos. En esta máquina se habilitó el puerto 9997 para poder recibir los logs 00:08:05
que nos enviaría el forwarder. ¿Por qué elegimos Splunk? Pues Splunk es una plataforma 00:08:15
de análisis de datos que no solamente se utiliza para ciberseguridad. Splunk nació 00:08:25
como una herramienta de análisis de gran cantidad de datos en tiempo real. Es una herramienta 00:08:31
en la que no importa el formato en el que vengan los logs. Ella procesa los datos y 00:08:38
nos permite hacer búsquedas en los momentos en los que nosotros tengamos la necesidad 00:08:44
de acceder a esos datos, ya sea para hacer búsquedas sobre eventos de seguridad o también 00:08:51
permite hacer búsquedas sobre cómo se comportan ventas en las empresas, gran cantidad de búsquedas, 00:08:59
no solamente se utiliza en ciberseguridad. También nos permite usar tableros de visualización 00:09:09
donde los equipos de seguridad pueden ver lo que está pasando en la red y acceden a 00:09:17
ello de una manera fácil y visual, lo que les permite también monitorear de manera 00:09:24
fácil todo lo que ocurre en nuestra red, ya sean eventos relacionados con la seguridad 00:09:32
o simplemente con el rendimiento de los equipos o con el comportamiento de los usuarios para 00:09:38
dentro de ello detectar anomalías o posibles amenazas. Además Splunk permite integrar 00:09:44
complementos que nos ayudan a cubrir estas necesidades. Dependiendo de las necesidades 00:09:54
que nosotros queramos cubrir, podemos instalar unos u otros complementos que nos ayudarán 00:10:05
en la tarea de recopilar los datos y poder estudiarlos en el momento en el que los necesitemos. 00:10:11
También debo destacar que Splunk es una de las herramientas 100 más utilizadas por 00:10:18
las empresas actualmente. Por otro lado, teníamos la máquina del ciberatacante que estaba alojada 00:10:22
como ya he dicho en un Kali Linux y se utilizó para replicar dos ataques. Por un lado se 00:10:32
hizo un ataque de escaneo de puertos en el que se analizan automáticamente los puertos 00:10:39
de una máquina que está conectada a una red para identificar cuáles están abiertos, 00:10:45
cuáles están cerrados o si cuentan con algún protocolo de seguridad. Este ataque se hizo 00:10:50
a través de un comando NMA al IP del Honeyput y en la captura de la presentación se puede 00:10:59
observar que nos devolvió la información de que estaban abiertos los puertos 22 y 00:11:07
80 que son los que habíamos habilitado previamente para los servicios de Apache y OpenSSH. Por 00:11:15
otro lado, se replicó un ataque de fuerza bruta o diccionario que es el intento de descifrar 00:11:24
una contraseña o las contraseñas y los nombres del usuario. Para replicar este ataque 00:11:31
se utilizó Hydra, que es una herramienta software que está diseñada para realizar 00:11:38
este tipo de ataques y también es ampliamente utilizada en el mundo del hacking, del pentesting 00:11:46
y todo este tema. Por último, en las últimas capturas podemos ver la información en el 00:11:56
SIEM, en Splunk. Como ya hemos dicho, el SIEM nos permite realizar búsquedas de los datos 00:12:10
recogidos y así poder analizar los incidentes de seguridad. En las últimas tres capturas 00:12:18
podemos observar cómo los datos de los ciberataques replicados se pueden ver a través de Splunk, 00:12:25
tanto de manera más gráfica como también podemos ver información de los logs sin tratar. 00:12:35
Podemos ver tanto la parte gráfica como la parte del log en sí mismo, lo cual nos permite 00:12:46
dependiendo de las necesidades que tengamos, ver la información que nos interesa o trabajar 00:12:55
para poder mejorar nuestras actividades y nuestra manera de que podamos resolver las 00:13:03
alertas en menos tiempo o podamos configurar nuevamente alertas o podamos ver y reestructurar 00:13:16
para que nos sea más fácil actuar ante las amenazas lo más pronto posible. 00:13:38
Por último, las conclusiones que puedo dar son que se consiguió cumplir con los objetivos 00:13:47
marcados, pude montar las máquinas, pude hacer las instalaciones y configuraciones 00:14:00
de los software para que las diferentes máquinas cumpliesen los roles establecidos dentro de la red 00:14:08
y se consiguió monitorizar la infraestructura y ver cómo el SIEM recoge los datos y finalmente 00:14:17
nos los muestra. Me ha resultado muy interesante poder realizar este proyecto ya que he aprendido 00:14:26
mucho sobre el funcionamiento de las herramientas. Ha sido complicado porque es un poco prueba 00:14:39
y error, pero creo que el campo de la ciberseguridad es muy interesante y también es muy importante 00:14:46
hacer una buena gestión de nuestra seguridad para que los datos confidenciales no estén 00:14:57
en peligro de ser robados. 00:15:05
Subido por:
Seyan M.
Licencia:
Todos los derechos reservados
Visualizaciones:
10
Fecha:
18 de enero de 2024 - 9:56
Visibilidad:
Clave
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
15′ 21″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
348.11 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid