1. Temario
• ¿Qué es un centro de monitoreo de redes?
• ¿Para que sirve?.
• ¿Qué se necesita para instalar un centro
de monitoreo de redes?.
• Herramientas para un CM.
• Suricata
• Maltrail
• Elasticsearch.
• Logstash.
• Kibana.
• Observium.
2. Temario
• Csirt
• ¿Qué es un CSIRT?
• ¿Para que sirve?
• ¿Cómo lo creo?
• Planificación.
• Ejecución.
• Cierre.
• MISP (Ricardo Monreal)
6. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Sistema operativo: Debian 9
Url descarga:
https://www.debian.org/CD/http-ftp/
apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev build-essential
autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev
zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config
libnetfilter-queue-dev
apt-get install apt-transport-https software-properties-common wget
apt-get install curl
apt-get install openjdk-8-jdk
apt-get install screen
apt-get install htop
7. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Suricata es un motor de detección de amenazas de red
gratuito, de código abierto, maduro, rápido y robusto.
El motor Suricata es capaz de detección de intrusión en
tiempo real (IDS), prevención de intrusión en línea (IPS),
monitoreo de seguridad de red (NSM) y procesamiento
de pcap fuera de línea.
https://suricata-ids.org/
8. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Instalación y configuración:
apt-get install suricata
nano /etc/oinkmaster.conf
url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules
nano /etc/suricata/suricata.yaml
HOME_NET: "[10.0.0.0/24]“
suricata -c /etc/suricata/suricata.yaml -i interface_monitorear (ocupar
SCREEN)
tail -f /var/log/suricata/http.log
9. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Prueba correcta ejecución:
tail -f /var/log/suricata/http.log
10. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Maltrail es un sistema de detección de tráfico
malicioso, que utiliza listas públicas (negras) que
contienen rastros maliciosos y / o generalmente
sospechosos, junto con rastros estáticos compilados a
partir de varios informes de AV y listas personalizadas
definidas por el usuario, donde el rastro puede ser
cualquier cosa del nombre del dominio
https://github.com/stamparm/maltrail
11. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Instalación y configuración:
apt-get install git python-pcapy
git clone https://github.com/stamparm/maltrail.git
cd maltrail
python sensor.py
Python server.py
12. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Elasticsearch es un servidor de búsqueda basado en
Lucene. Provee un motor de búsqueda de texto
completo, distribuido y con capacidad de multi-
tenencia con una interfaz web RESTful y con
documentos JSON. Elasticsearch está desarrollado en
Java y está publicado como código abierto bajo las
condiciones de la licencia Apache.
https://es.wikipedia.org/wiki/Elasticsearch
13. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Instalación y configuración:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | tee -a
/etc/apt/sources.list.d/elastic-6.x.list
apt-get update
apt-get install elasticsearch
nano /etc/elasticsearch/elasticsearch.yml ---> #network.host: 192.168.0.1
// modificar ip server
systemctl restart elasticsearch
systemctl enable elasticsearch
14. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Prueba correcta ejecución:
15. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Logstash es una herramienta para la
administración de logs. Esta herramienta se
puede utilizar para recolectar, parsear y guardar
los logs para futuras búsquedas.2 La aplicación
se encuentra basada en jRuby y requiere de Java
Virtual Machine para correr. Como corre en JVM
puede ser ejecutada en cualquier Sistema
Operativo que corra JVM (Linux, Mac OS X,
Windows).3
https://es.wikipedia.org/wiki/Logstash
16. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Instalación y configuración:
apt-get install logstash
nano /etc/logstash/conf.d/suricata_eve.conf
17. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Instalación y configuración:
18. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Instalación y configuración:
systemctl enable logstash.service
systemctl start logstash.service
tail -f /var/log/logstash/logstash-plain.log
[2017-08-01T22:13:03,572][INFO ][logstash.agent ] Successfully started
Logstash API endpoint {:port=>9600}
19. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Kibana es un complemento de visualización de
datos de código abierto para Elasticsearch.
Proporciona capacidades de visualización sobre
el contenido indexado en un clúster de
Elasticsearch. Los usuarios pueden crear
diagramas de barras, líneas y dispersión, o
gráficos circulares y mapas sobre grandes
volúmenes de datos.
20. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Instalación y configuración:
apt-get install kibana
nano /etc/kibana/kibana.yml
server.host: "localhost" --> modificar
elasticsearch.hosts: [http://ipserver:9200]
systemctl restart kibana
systemctl enable kibana
http://ipserver:5601
22. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Observium es una plataforma de monitoreo de
red de autodescubrimiento de bajo
mantenimiento que admite una amplia gama de
tipos de dispositivos, plataformas y sistemas
operativos como Cisco, Windows, Linux, HP,
Juniper, Dell, FreeBSD, Brocade, Netscaler,
NetApp y muchos más. Observium se enfoca en
proporcionar una interfaz hermosa y potente
pero simple e intuitiva para la salud y el estado
de su red.
23. HERRAMIENTAS DE UN CENTRO DE
MONITOREO DE REDES
Instalación y configuración:
https://docs.observium.org/install_debian/
26. Estado del arte
• Fuente: Estudio sobre el estado de la ciberseguridad en la industria
en Chile 2017
27. ¿Qué es un CSIRT?
Un equipo de respuesta a incidentes en
seguridad informática (CSIRT por sus siglas en
inglés) es una organización cuyo propósito
principal consiste en brindar servicios de
respuesta a incidentes de seguridad informática
a una comunidad en particular.
29. ¿Para qué sirve un CSIRT?
La finalidad de prevenir, gestionar y responder a incidentes
de seguridad de la información. Estos equipos suelen estar
conformados por especialistas multidisciplinarios que actúan
según procedimientos y políticas predefinidas, de manera
que respondan, en forma rápida y efectiva, a incidentes de
seguridad, además de
coadyuvar a mitigar el riesgo de los ataques cibernéticos.
30. ¿Cómo lo creo?
• Etapas para la creación de un CSIRT:
• PLANIFICACIÓN.
• EJECUCIÓN.
• CIERRE.
* https://www.sites.oas.org/cyber/Documents/2016%20-%20Buenas%20Practicas%20CSIRT.pdf.
32. EJECUCIÓN
• SELECCIÓN DE RECURSOS
HUMANOS.
• REQUISITOS DE FORMACIÓN.
• INSTALACIÓN E
INFRAESTRUCTURA.
• POLÍTICAS Y PROCEDIMIENTOS
* https://www.sites.oas.org/cyber/Documents/2016%20-%20Buenas%20Practicas%20CSIRT.pdf.
33. CIERRE
• Listado de interesados
• Documentos legales y constitución CSIRT
• Instalación física, contratos, etc.
• Recurso humano.
• Manual de operaciones con políticas y
procedimientos.
• Infraestructura tecnológica y los respectivos
contratos de soportes
* https://www.sites.oas.org/cyber/Documents/2016%20-%20Buenas%20Practicas%20CSIRT.pdf.
• Documentación cierre de proyecto:
34. SEGURIDAD DE LA INFORMACIÓN
Gracias!
Carlos Montoya
Carlos.Montoya@whilolab.org