Capítulo 11: Monitoreo

de la seguridad

Raul Bareño Gutierrez

MATERIA: Seguridad Informatica.

 Capítulo 11: Secciones y objetivos
▪ 11.1 Tecnologías y protocolos
• Explicar cómo las tecnologías de seguridad afectan el monitoreo de la seguridad.
• Explicar el comportamiento de los protocolos de red comunes en el contexto de monitoreo de la seguridad.
• Explicar cómo afectan las tecnologías de seguridad a la capacidad de supervisar protocolos de red comunes.

▪ 11.2 Archivos de registros

• Explicar qué tipos de archivos de registros se emplean para el monitoreo de la seguridad.
• Describir los tipos de datos empleados en el monitoreo de seguridad.
• Describir los elementos de un archivo de registro de un terminal.
• Describir los elementos de un archivo de registro de un dispositivo de red.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 2
11.1 Tecnologías y protocolos

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 3
 Monitoreo de protocolos comunes
Syslog y NTP
▪ Syslog y el protocolo de tiempo de red (NTP) son esenciales para el trabajo del analista.
• Syslog se usa para registrar mensajes de eventos provenientes de terminales y dispositivos de red.
• Los servidores suelen escuchar en el puerto UDP 514.

• Los servidores syslog pueden ser el objetivo de actores de amenazas.

• Los hackers pueden bloquear la transferencia de datos, manipular los datos de registro o manipular el
software que crea y transmite los mensajes de registro.

• Mejoras proporcionadas por syslog-ng (última generación).

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 4
 Monitoreo de protocolos comunes
NTP
▪ Los mensajes de syslog suelen recibir la
marca de hora mediante el protocolo de
tiempo de red (NTP). en el puerto UDP 123.

▪ Las marcas de hora son esenciales para la

detección de un ataque.

▪ Los actores de amenazas pueden intentar atacar

NTP para dañar la información horaria utilizada
para correlacionar los eventos registrados de la
red.

▪ Utilizan sistemas NTP para dirigir ataques DDoS.

▪ http://www.inm.gov.co/servicios/hora-legal/
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 5
 Monitoreo de protocolos comunes
DNS
▪ Muchos tipos de malware usan el DNS.
▪ Los atacantes encapsulan distintos protocolos de red en el DNS para evadir los dispositivos de seguridad.
▪ Hay malware que emplea DNS para comunicarse con servidores de comando y control (CnC) y para
exfiltrar datos de tráfico disfrazados de consultas de DNS normales.
▪ El malware podría codificar datos robados como una parte del subdominio de una búsqueda de DNS en
un dominio donde el servidor de nombres esté bajo control de un atacante.
▪ Las consultas de DNS para nombres de dominio generados aleatoriamente o subdominios
extremadamente largos que aparecen aleatorios se deben considerar sospechosas, especialmente
si su aparición provoca aumentos excesivos de utilización de la red.

Exfiltración de datos
mediante DNS

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 6
 Monitoreo de protocolos comunes
HTTP y HTTPS
▪ Toda la información que se lleva en HTTP se transmite como texto sin formato desde la
PC de origen hasta el destino en Internet. no protege los datos de modificación o
intercepción.
▪ Las amenazas basadas en la Web consisten de secuencias de comandos de malware que
han sido colocadas en servidores web que cargan iFrames para dirigir a los navegadores
a servidores infectados.
• Durante la inyección de iFrames, un agente ataca un servidor web y planta código malicioso que genera
un iFrame invisible en una página web comúnmente visitada.
• Cuando se carga el iFrame, se descarga el malware.

Ataque de HTTP por

inyección de iFrame

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 7
 Monitoreo de protocolos comunes
HTTP y HTTPS
▪ HTTPS suma una capa de encriptación al protocolo HTTP mediante Secure
Socket Layer (SSL/TLS). HSTS
• SSL hace que los datos HTTP sean ilegibles cuando dejan la PC de origen y
hasta que llegan al servidor.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 8
 Monitoreo de protocolos comunes
HTTP y HTTPS
▪ El tráfico HTTPS cifrado complica el monitoreo de seguridad de la red.
▪ HTTPS agrega complejidad a las capturas de paquetes.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 9
 Monitoreo de protocolos comunes
Protocolos de correo electrónico
▪ Los protocolos de E-mail como SMTP, POP3 e IMAP pueden usarse para diseminar
malware, exfiltrar datos u ofrecer canales a servidores de CnC de malware.
• El SMTP envía datos desde un host hacia un servidor de correo y entre servidores de correo, y no
siempre es monitoreado.

• IMAP y POP3 se utilizan para descargar mensajes de E-mail de un servidor de E-mail a una PC de host,
y pueden ser responsables de introducir malware en el host. El monitoreo de la seguridad puede
identificar cuándo ingresa un archivo adjunto con malware en la red y qué host se infecta primero.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 10
 Monitoreo de protocolos comunes
ICMP
▪ ICMP puede utilizarse para crear una serie de tipos de ataques.
• Puede emplearse para identificar los hosts de una red o la estructura de una red,
y determinar los sistemas operativos utilizados en la red.
• Puede usarse como vehículo para varios tipos de ataques DoS.
• Puede utilizarse para exfiltración de datos a través del tráfico ICMP desde dentro
de la red.
• Tunelización de ICMP: el malware utiliza paquetes ICMP diseñados para transferir
archivos de hosts infectados a los actores de amenazas.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 11
 Las tecnologías de seguridad
ACL
▪ pueden ofrecer una falsa sensación de seguridad.
• Los atacantes pueden determinar qué IP, protocolos y puertos se permiten en las
(ACL) mediante el escaneo de puertos, las pruebas de penetración y otras
formas de reconocimiento.
• Los atacantes pueden crear paquetes que usan IP de origen falso o las
aplicaciones pueden establecer conexiones en puertos arbitrarios.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 12
 Tecnologías de seguridad
NAT y PAT
▪ NAT y PAT pueden complicar el monitoreo de la seguridad.
• Se asignan varias IP a una o más direcciones públicas visibles en
Internet.
• Ocultan las direcciones IP individuales presentes dentro de la red.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 13
 Tecnologías de seguridad
Cifrado, encapsulamiento y tunelización
▪ Cifrado
• Impide que los analistas lean el contenido del tráfico.
• Parte de red privada virtual (VPN) y HTTPS.
▪ Conexión virtual de punto a punto entre un host interno y los dispositivos del actor de
amenazas.
• El malware puede establecer un túnel cifrado que transita por un protocolo común y
de confianza, y utilizarlo para exfiltrar datos desde la red.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 14
 Tecnologías de seguridad
Conexión de red entre pares y Tor
▪ Actividad de redes entre pares
• Puede sortear las protecciones de firewall y es un medio habitual para propagar malware.
• Existen tres tipos de aplicaciones entre pares: compartir archivos, compartir procesador y mensajería instantánea.
• No se deben permitir aplicaciones P2P de intercambio de archivos en redes corporativas.

▪ Tor es una plataforma de software y red de hosts entre pares que funcionan como routers de Internet en la red de
Tor.
• Permite que los usuarios naveguen por Internet de forma anónima mediante un navegador especial.
• Puede usarse para ocultar la identidad de los actores de amenazas y se emplea en organizaciones criminales.
Funcionamiento
P2P de Tor

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 15
 Tecnologías de seguridad
Balance de carga
▪ Refiere a la distribución del tráfico entre dispositivos o rutas de redes para no sobrecargar
los recursos de redes.
• Algunos métodos de equilibrio de carga emplean DNS para enviar tráfico a los recursos con el mismo
nombre de dominio pero varias direcciones IP.
• Esto puede hacer que una transacción de Internet se represente con varias direcciones IP en los
paquetes entrantes.
• Esto puede hacer que aparezcan características sospechosas en las capturas de paquetes.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 16
11.2 Archivos de registro

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 17
 Tipos de datos de seguridad
Datos de alertas
▪ Los datos de alertas consisten de mensajes
generados por IPS o IDS ante tráfico que
viola una regla o coincide con la firma de
un ataque conocido.

▪ Un IDS de red (NIDS), como Snort, viene

configurado con reglas para ataques
conocidos.

▪ Snort genera las alertas y es posible

leerlas y buscarlas con aplicaciones
como Sguil, que forman parte del
conjunto Security Onion de herramientas
de NSM.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 18
 Tipos de datos de seguridad
Datos de sesiones y de transacciones
▪ Los datos de sesiones son el registro de una conversación entre terminales de red.
• Incluyen un ID de sesión, la cantidad de datos transferidos por el origen y el destino, e información
relativa a la duración de la sesión.
• Bro es una herramienta de monitoreo de seguridad de la red.

▪ Los datos de transacciones son los mensajes intercambiados

durante las sesiones de redes.
• Pueden verse en las transcripciones de capturas de paquetes.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 19
 Tipos de datos de seguridad
Captura completa de paquetes
▪ La captura completa de paquetes contiene todo el material de las conversaciones, incluidos los
mensajes de texto o E-mail, el HTML de las páginas web y los archivos que ingresan a la red o salen.

Cisco Prime
Network Analysis
Module –
Captura completa
de paquetes

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 20
 Tipos de datos de seguridad
Datos estadísticos
▪ Están relacionados con el tráfico de red.
• Se obtienen mediante el análisis de otros tipos de datos de
redes.
• Permiten sacar conclusiones para describir o predecir el
comportamiento de redes.
• El comportamiento normal de las redes se puede
comparar con el tráfico actual para detectar anomalías. IA

▪ Cisco Cognitive Threat Analytics es una herramienta

de NSM.
• Es capaz de encontrar actividad maliciosa que ha evitado
los controles de seguridad o que ingresó por canales no
monitoreados (incluidos medios extraíbles) y está
funcionando dentro del entorno de una organización.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 21
 Registros de terminales
Registros de host
▪ La protección contra intrusiones basada en host (HIDS) se ejecuta en hosts individuales.
• HIDS no solo detecta las intrusiones, sino que, al igual que los firewalls ejecutados en hosts, también las puede prevenir.
• Crea registros y los guarda en el host.
• Los registros de hosts con Microsoft Windows se pueden ver de forma local mediante el Visor de eventos.
• El Visor de eventos lleva cuatro tipos de registros: de aplicaciones, de sistema, de configuraciones y de seguridad.

Tipos de
evento de
registro
de host de
Windows

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 22
 Registros de terminales
Syslog
▪ Muchos tipos de dispositivos de red pueden configurarse para registrar eventos en los
servidores de syslog.
• Protocolo entre cliente y servidor
• Los mensajes de syslog constan de tres partes: PRI (prioridad), ENCABEZADO y MSG (texto de
mensajes).
• PRI consta de dos elementos: el recurso y la gravedad del mensaje.
• El recurso consta de categorías amplias de fuentes que generaron el mensaje, como el sistema, el proceso o la aplicación,
y envía mensajes al registro de archivos correspondiente.
• La gravedad es un valor de 0 a 7 que define la gravedad del mensaje.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 23
Registros de terminales
Syslog

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 24
 Registros de terminales
Registros del servidor
▪ Son una fuente esencial de información para el monitoreo de la seguridad de la red.
• Los servidores web y de E-mail llevan registros de acceso y errores.
• El servidor proxy DNS registra todas las consultas y respuestas de DNS de la red.

• Los registros de proxy DNS pueden identificar los hosts que visitaron sitios web peligrosos, los hechos
de exfiltración de datos de DNS y las conexiones a servidores de CnC de malware.

Registros de servidor web

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 25
 Registros de terminales
Archivos de registro de acceso del servidor
▪ Los archivos de registro del
servidor web Apache
registran las solicitudes de
recursos que hacen los
clientes al servidor.

• Dos formatos de registros

• Formato de registro común (CLF)

• Formato de registro combinado, que

es CLF más los campos Referencia
y Agente de usuario.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 26
 Registros de terminales
Registros de acceso de IIS
▪ Microsoft IIS crea archivos de registro de acceso que se pueden ver desde el servidor con el
Visor de eventos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 27
 Registros de terminales
SIEM y recopilación de registros
▪ Tecnología de administración de información y eventos de seguridad (SIEM)
• Ofrece informes en tiempo real y análisis de largo plazo sobre eventos de seguridad.
• Funciones: recopilación de registros, normalización, correlación, agregación, informes y cumplimiento.
• Un ejemplo de SIEM popular es Splunk.

Componentes
SIEM

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 28
 Registros de red
TCPdump
▪ La herramienta de la línea de comandos tcpdump es un analizador de
paquetes conocido.

• Presenta las capturas de paquetes en tiempo real, o las graba en un archivo.

• Captura datos detallados sobre los protocolos y el contenido de los paquetes.

• Wireshark es una GUI diseñada sobre la base de la funcionalidad tcpdump.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 29
 Registros de redes
NetFlow
▪ Es un protocolo empleado para
resolver problemas de redes y
para contabilidad basada en
sesiones.
• Ofrece contabilidad de tráfico de
redes, facturación de redes según el
uso, planificación de redes,
seguridad, recursos de monitoreo de
denegación de servicio, y monitoreo
de redes.
• Brinda información sobre usuarios de
redes, aplicaciones, tiempos máximos
de uso y routing de tráfico.
• Recopila metadatos, o datos sobre el
flujo, no los datos del flujo propiamente
dichos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 30
 Registros de redes
Visibilidad y control de aplicaciones
▪ Sistema Application Visibility and Control (AVC) de Cisco
• Combina varias tecnologías para reconocer, analizar y controlar más de 1000 aplicaciones.
• Las aplicaciones pueden ser de voz y video, de correo electrónico, de uso compartido de archivos, de
juegos, de conexión entre pares y de nube, entre otras.
• Más información que al solo monitorear los puertos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 31
 Registros de red
Registros de filtros de contenido
▪ Dispositivos que ofrecen
filtrado de contenido
• Cisco Email Security Appliance
(ESA)
• Cisco Web Security Appliance
(WSA)
▪ Brindan una amplia gama de
funcionalidades para el
monitoreo de la seguridad. Hay
registros disponibles para
muchas de estas
funcionalidades.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 32
 Registros de redes
Registro desde dispositivos
▪ Los dispositivos Cisco pueden configurarse para que envíen eventos y alertas a
plataformas de administración de seguridad mediante SNMP o syslog.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 33
 Registros de redes
Registros de proxy
▪ Los servidores proxy contienen registros valiosos que son una fuente principal de
datos para el monitoreo de seguridad de la red.
• Los servidores proxy solicitan recursos y los envían al cliente.
• Genere registros de todas las solicitudes y respuestas.
• Pueden analizarse para determinar qué hosts hacen las solicitudes y si los destinos son seguros o
podrían ser maliciosos, y para entender mejor qué tipos de recursos se descargan.
▪ Los proxies web proporcionan datos que ayudan a determinar si las respuestas de la web se
generaron en respuesta a solicitudes legítimas o solo parecen ser respuestas.

▪ OpenDNS ofrece un servicio de DNS en el host que amplía la capacidad de DNS para incluir
mejoras de seguridad.
• Superproxy de DNS
• Aplica inteligencia de amenazas en tiempo real para administrar el acceso a DNS y la seguridad de los
registros de DNS.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 34
 Registros de redes
IPS de próxima generación
▪ Los dispositivos de Cisco IPS de próxima generación amplían la
seguridad de la red para la capa de aplicación y mucho más.
• Ofrece más funcionalidades que generaciones anteriores de dispositivos de
seguridad de redes.
• Incluye tableros de informes con recursos interactivos para brindar rápido
información muy específica sin necesidad de SIEM u otros correlacionadores de
eventos.
• Use FirePOWER Services para consolidar varias capas de seguridad en una
misma plataforma.
• FirePOWER Services incluye visibilidad y control de aplicaciones, filtrado de
URL basado en categorías y reputación, y Advanced Malware Protection (AMP).

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 35
 Registros de red
IPS de próxima generación

▪ Los eventos de
NGIPS comunes
incluyen los
siguientes:
• Evento de conexión
• Evento de intrusión
• Evento de host o terminal
• Evento de detección de
red
• Evento de Netflow

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 36
11.3 Resumen del capítulo

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 37
 Resumen
▪ Las tecnologías de seguridad y los archivos de registros empleados para monitorear la seguridad.

▪ Algunos de los protocolos comunes que se monitorean son syslog, NTP, DNS, HTTP y HTTPS, SMTP, POP3, IMAP y ICMP.

▪ Algunas tecnologías utilizadas comúnmente afectan el monitoreo de la seguridad, como las ACL, NAT y PAT, la encriptación,
los túneles, las redes entre pares, TOR y el equilibrio de carga.

▪ Existen varios tipos de datos de seguridad, como los de alertas, los de sesiones y transacciones, las capturas completas de
paquetes y los datos estadísticos.

▪ Las terminales crean registros. Los registros de hosts con Microsoft Windows se pueden ver de forma local mediante el
Visor de eventos. El Visor de eventos tiene cuatro tipos de archivos de registro:
• Registros de aplicaciones: contienen eventos registrados por varias aplicaciones.
• Registros de sistema: incluyen eventos relativos al funcionamiento de controladores, procesos y hardware.
• Registros de configuraciones: registran información sobre la instalación de software, incluidas las actualizaciones de
Windows.
• Registros de seguridad: registran eventos relativos a la seguridad, como los intentos de inicio de sesión y las operaciones
relacionadas con el acceso a archivos u objetos y su administración.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 38
 Resumen
▪ Syslog incluye especificaciones para formatos de mensajes, una estructura de aplicación cliente-servidor y
un protocolo de red.

▪ Los servidores de aplicaciones de red, como los servidores web y de correo electrónico, llevan registros de
acceso y errores.

▪ Los registros de acceso al servidor web de Apache registran las solicitudes de recursos hechas por
clientes al servidor.

▪ Microsoft IIS crea registros de acceso que pueden consultarse desde el servidor mediante el Visor de
eventos.

▪ SIEM combina las funciones esenciales de las herramientas de administración de eventos de seguridad
(SEM) y administración de información de seguridad (SIM) para brindar una perspectiva integral de las
redes empresariales.

▪ Tcpdump es un analizador de paquetes que presenta capturas de paquetes en tiempo real. Wireshark es
una GUI basada en la funcionalidad tcpdump.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 39
 Resumen
▪ NetFlow ofrece contabilidad de tráfico de redes, facturación de redes según el uso, planificación de redes,
seguridad, recursos de monitoreo de denegación de servicio, y monitoreo de redes.

▪ El sistema Cisco Application Visibility and Control (AVC) combina varias tecnologías para reconocer,
analizar y controlar más de 1000 aplicaciones de red.

▪ Cisco ESA y WSA brindan una amplia gama de funcionalidades para el monitoreo de la seguridad, como
los registros.

▪ Los dispositivos de seguridad Cisco pueden configurarse para que envíen eventos y alertas a plataformas
de administración de seguridad mediante SNMP o syslog.

▪ Los servidores proxy generan registros de todas las solicitudes y respuestas.

▪ IPS de próxima generación ofrece más funcionalidades que generaciones anteriores de dispositivos de
seguridad de redes, como servicios basados en el contenido.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 40