Módulo 15: Monitoreo de red y

sus herramientas
Materiales del Instructor

CyberOps Associate v1.0

Materiales del instructor – Módulo 15: Guía de planificación.
Esta presentación en PowerPoint se divide en dos partes:
• Guía de planificación para el instructor
• Información para ayudarlo a familiarizarse con el módulo.
• Ayuda didáctica
• Presentación de la clase del instructor
• Diapositivas opcionales que puede utilizar en el aula
• Comienza en la diapositiva n.º 8
Nota: Elimine la Guía de planificación de esta presentación antes de compartirla con otras personas.
Para obtener ayuda y recursos adicionales, diríjase a la Página principal del instructor y a los recursos del curso para
este curso. También puede visitar el sitio de desarrollo profesional en www.netacad.com, la página oficial de
Facebook de Cisco Networking Academy, o el grupo de Facebook exclusivo para instructores.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 2
¿Qué esperar en este módulo?
Para facilitar el aprendizaje, las siguientes características dentro de la GUI pueden ser incluidas en
este módulo:

Característica Descripción

Prueba por tema en línea para ayudar a los aprendices a medir la

Verifique su aprendizaje comprensión del contenido.
Actividad de Packet Actividades de simulación y modelado diseñadas para explorar, adquirir,
Tracer reforzar y ampliar habilidades.
Estos se encuentran en la página Recursos del instructor. Las actividades de
Actividades de clase clase están diseñadas para facilitar el aprendizaje, la discusión en clase y la
colaboración.
Auto-evaluaciones que integran conceptos y habilidades aprendidas a lo largo
Cuestionarios de módulo de los temas presentados en el módulo.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 3
Verificar el Aprendizaje

• Las actividades de "Verifique su aprendizaje" están diseñadas para permitir que los estudiantes
determinen si están entendiendo el contenido y puedan continuar, o si es necesario un repaso
personal.
• Las actividades de "Verifique su aprendizaje" no afectan las calificaciones de los estudiantes.

• No hay diapositivas separadas para estas actividades en el PPT. Se enumeran en el área de notas
de la diapositiva que aparece antes de estas actividades.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 4
Módulo 15: Actividades
¿Que actividades están asociadas con este módulo?

Página Actividad Tipo Nombre de la actividad ¿Opcional?

15.0.3 Actividad de Clase ¿Qué está sucediendo? Recomendado
Verifique su aprendizaje Identificación de herramientas de
15.2.6 Recomendado
monitoreo de red
Actividad de Packet Tracer Generar archivos de registro de la
15.2.7 Recomendado
actividad de la red

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 5
Módulo 15: Mejores prácticas
Antes de enseñar el Módulo 15, el instructor debe:
• Revisar las actividades y evaluaciones de este módulo.
• Tratar de incluir la mayor cantidad de preguntas que sean posibles, con el fin de mantener a
los estudiantes concentrados durante la presentación.
Tema 15.1
• Lanzar preguntas abiertas a los aprendices:
• ¿Cuál es la importancia de mantener las redes seguras y protegidas?
• ¿Cuáles son las diferentes herramientas o dispositivos utilizados para la protección de la
red?
• Dibujar en la pizarra un ejemplo de red con un TAP en la pizarra para demostrar a los
aprendices un ejemplo de Red Tap.
• Discutir sobre la importancia de la técnica de duplicación de puertos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 6
Módulo 15: Mejores prácticas
Tema 15.2
• Mecionar las herramientas utilizadas para la supervisión de la seguridad de red.

• Diferenciar entre SIEM y SOAR.

• Discutir los sistemas SIEM con los aprendices en la clase.

• Definir Netflow.

• Ayudar a los aprendices en la actividad de Packet Tracer en caso de que se queden

atascados en algún lugar y explicarles lo necesario para que puedan continuar con la
actividad.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 7
Módulo 15: Monitoreo de red y
sus herramientas
CyberOps Associate v1.0
Objetivos del módulo
Título del módulo: Monitoreo de red y sus herramientas

Objetivo del módulo: Explicar el monitoreo del tráfico de red.

Título del tema Objetivo del tema

Introducción al monitoreo de la
Explicar la importancia del monitoreo de red.
red
Introducción a las herramientas
Explicar cómo se realiza el monitoreo de la red.
de monitoreo de red

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 9
15.1 Introducción al
monitoreo de la red

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 10
Monitoreo de red y sus herramientas
Topología de seguridad de red
• Para mitigar las amenazas, todas las redes deben de ser seguras y estar protegidas de la mejor manera.

• La red requiere una infraestructura de seguridad constituida de firewalls, Sistema de Detección de

Intrusiones (IDS, siglas en inglés), Sistema de Prevención de Intrusiones (IPS, siglas en inglés), y
software de seguridad de punto terminal (endpoint security).
• Estos métodos y tecnologías se utilizan para automatizar el monitoreo en la red, crear alertas de
seguridad o incluso bloquear automáticamente dispositivos ofensivos cuando algo sale mal.
• Para redes grandes, debe de añadirse una capa adicional de protección.

• Los dispositivos como firewalls e IPS funcionan según reglas pre-configuradas, monitorean el tráfico, y lo
comparan con las reglas configuradas. Si hay una coincidencia, el tráfico se maneja según la regla.
• Una parte importante del trabajo del analista de ciberseguridad es revisar todas las alertas generadas por
dispositivos de red y determinar la validez de las mismas.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 11
Monitoreo de red y sus herramientas
Métodos de monitoreo de red
• El funcionamiento diario de una red se compone de flujo de tráfico, uso de ancho de banda y
acceso a los recursos. Juntos, estos patrones identifican el comportamiento normal de una
red.
• Para determinar el comportamiento normal de una red, el monitoreo de red debe de ser
implementado.
• Las herramientas como IDS, analizadores de paquetes, SNMP, NetFlow y otras se utilizan
para el monitoreo de red.
• Hay dos métodos comunes utilizados para capturar tráfico y enviarlo los dispositivos de
monitoreo de la red:
• Los taps de red, aveces llamados "Test Access points" (TAP)
• La duplicación de tráfico mediante Switch Port Analizer (SPAN) o cualquier otra
duplicación de puertos.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 12
Monitoreo de red y sus herramientas
Taps de red
• Un tap de red es un dispositivo de división pasiva
implementado en el cableado de la red (en línea) entre
la red y un dispositivo de interés.
• Un tap reenvía todo el tráfico, incluidos los errores de
capa física, a un dispositivo de análisis, al mismo tiempo
que permite que el tráfico llegue a su destino previsto.
• Observe cómo el tap envía simultáneamente el flujo de
datos de transmisión (TX) del router interno y el flujo de
datos de recepción (RX) al router interno en canales
separados y exclusivos.
Implementación de un TAP en una red de
• Esto garantiza que todos los datos lleguen al dispositivo muestra
de monitoreo en tiempo real.
• Los Taps son a prueba de fallos, lo que significa que el
tráfico entre el firewall y el router interno no se ve
afectado.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 13
Monitoreo de red y sus herramientas
Duplicación de tráfico y "SPAN"
• La captura de datos para la supervisión
de la red requiere la captura de todo el Terminología
Descripción
de "SPAN"
tráfico.
Tráfico de
• Se deben emplear técnicas especiales, Tráfico que ingresa al switch
ingreso
como la duplicación de puertos, para
Tráfico de
evitar la segmentación de red impuesta Tráfico que sale del switch
egreso
por los switches de la red.
Los puentes de origen se monitorean
• La duplicación de puertos permite que Puerto (SPAN) a medida que el tráfico que ingresa
de origen en ellos se replica (refleja) en los
un switch copie tramas de uno o varios puertos de destino.
puertos a un Switch Port Analyzer
Un puerto que refleja los puertos de
(SPAN) conectado a un dispositivo de origen. Los puertos SPAN de destino
análisis. Puerto (SPAN)
suelen conectarse a dispositivos de
de destino
análisis, como un analizador de
• La tabla identifica y describe la paquetes o un IDS.
terminología de SPAN.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 14
Monitoreo de red y sus herramientas
Duplicación de tráfico y SPAN
• La asociación entre los puertos de origen y un
puerto de destino recibe el nombre de sesión de
SPAN.
• En una sola sesión, es posible monitorear uno o
varios puertos.
• En algunos switches Cisco, el tráfico de la sesión se
puede copiar a más de un puerto de destino.
• Una VLAN (LAN Virtual) de origen puede ser
especificada para que todos los puertos de la VLAN
se conviertan en fuentes de tráfico de SPAN.
• Nota: Existe una variación de SPAN con el nombre
Un switch interconectando dos hosts y duplicando el
de Remote Switched Port Analyzer (RSPAN), la cual tráfico a un IDS y a un servidor de gestión de red.
permite que un administrador de red utilice la
flexibilidad de las VLAN para monitorear el tráfico en
switches remotos. © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 15
15.2 Introducción a las
herramientas de monitoreo
de la red

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 16
Introducción al monitoreo de red y sus herramientas
Herramientas de monitoreo de seguridad de red
• Algunas herramientas comunes que son
utilizadas para el monitoreo de la seguridad
en la red son:
• Analizadores de protocolos de red (por
ejemplo, Wireshark y Tcpdump)
• NetFlow

• Security Information and Event

Management (SIEM)
• Es común que los analistas de confíen en los
archivos de registro y el Protocolo Simple de
Administración de Red (SNMP, siglas en
inglés) para detectar el comportamiento
normal de la red.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 17
Introducción al monitoreo de red y sus herramientas
Analizadores de protocolos de red
• Los analizadores de protocolos de red (o aplicaciones
“packet sniffer”) son programas utilizados para
capturar el tráfico.
• Los analizadores de protocolos muestran lo que está
sucediendo en la red a través de una interfaz gráfica
de usuario.
• Los analizadores de protocolos de red no son
utilizados únicamente para los análisis de seguridad,
sino que también resultan muy útiles para la solución
de problemas de red, el desarrollo de software y
protocolos, y también la capacitación del personal.
• Como se muestra en la figura, Wireshark se utiliza en
entornos de Windows, Linux y Mac OS. Es una
herramienta muy útil para aprender sobre
comunicaciones de protocolo de red.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 18
Introducción al monitoreo de red y sus herramientas
Analizadores de protocolos de red
• Las tramas capturadas por Wireshark se guardan en un archivo PCAP que contiene información
sobre la trama, la interfaz, la longitud del paquete, las marcas de tiempo y todos los archivos
binarios enviados a través de la red.
• Wireshark puede abrir archivos que contengan tráfico capturado desde otro software, como
tcpdump .
• En la pantalla de comandos de la imagen, se muestra un ejemplo de una captura de paquetes ping
de tcpdump

• Nota: windump es una variante de tcpdump de Microsoft Windows, y tshark es una herramienta de línea de comandos de
Wireshark similar a tcpdump.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 19
Introducción al monitoreo de red y sus herramientas
NetFlow
• NetFlow es una tecnología de Cisco IOS que proporciona estadísticas 24/7 sobre los
paquetes que atraviesan un router o switch multicapa de Cisco.
• NetFlow es el estándar para recopilar datos operacionales de IP en redes IP.

• NetFlow puede utilizarse para el monitoreo de red y de seguridad, la planificación de redes y

el análisis de tráfico. Ofrece un registro de revisión completo de la información básica de
todo el flujo de IP reenviado en un dispositivo.
• Aunque NetFlow almacena información de flujo en una caché local en el dispositivo, siempre
debe estar configurado para reenviar los datos a un recopilador de NetFlow, el cual
almacena los datos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 20
Introducción al monitoreo de red y sus herramientas
NetFlow
• NetFlow puede monitorear la conexión de aplicaciones
mediante el seguimiento de bytes y conteo de paquetes
para el flujo de una aplicación.
• Inserta las estadísticas en un servidor externo
denominado “recopilador NetFlow.”
• Los recopiladores de NetFlow, como Cisco StealthWatch,
también pueden realizar funciones avanzadas, entre ellas:
• Unión de flujos (flow stitching): Agrupa entradas
individuales en flujos.
• De-duplicación de flujos (flow deduplication): Filtra
las entradas duplicadas que provienen de varios PC1 conectado a PC2 mediante HTTPS
clientes de NetFlow.
• Agrupación de NAT (NAT stitching) - Simplifica los
flujos con entradas NAT.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 21
Introducción al monitoreo de red y sus herramientas
SIEM y SOAR
SIEM
• Security Information and Event Management (SIEM) es una tecnología utilizada en las
organizaciones empresariales para proporcionar informes en tiempo real y análisis a largo
plazo de eventos de seguridad.
• Los sistemas SIEM incluye las siguientes funciones esenciales:
• Análisis forense: La capacidad de buscar "logs" y registros de eventos de las fuentes y
proporcionar información completa para el análisis forense.
• Correlación: Examina "logs" y eventos de diferentes sistemas o aplicaciones, lo que
acelera la detección de las amenazas de seguridad y la capacidad de reacción ante ellas.
• Agregación: Esta función reduce el volumen de datos de eventos mediante la
consolidación de registros de eventos duplicados.
• Informes: Permiten ver los datos sobre eventos correlacionados y acumulados mediante
monitoreo en tiempo real y resúmenes a largo plazo.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 22
Introducción al monitoreo de red y sus herramientas
SIEM y SOAR
• SIEM brinda detalles sobre el origen de actividad sospechosa:
• Información del usuario, como nombre de usuario, estado de autenticación y ubicación.
• Información del dispositivo, como fabricante, modelo, versión del sistema operativo,
dirección MAC, método de conexión a la red y ubicación.
• Información de cumplimiento de normativas, por ejemplo, si el dispositivo cumple con la
política de seguridad, si tiene los archivos de antivirus actualizados y si se aplicaron los
parches de sistema operativo más recientes.
SOAR
• Security Orchestration, Automation, and Response (SOAR), mejora a SIEM.

• SOAR ayuda a los equipos de seguridad a investigar incidentes de seguridad y a agregar

una recopilación de datos mejorada y una serie de funcionalidades que ayudan en la
respuesta a incidentes de seguridad.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 23
Introducción al monitoreo de red y sus herramientas
SIEM y SOAR
• Soluciones proporcionadas por SOAR:
• Proporciona herramientas de gestión de casos que permiten al personal de ciberseguridad
investigar incidentes, integrando de manera frecuente inteligencia contra amenazas en la
plataforma de seguridad de red.
• Utilizar inteligencia artificial para detectar incidentes que ayuden en su análisis y respuesta
• Automatiza investigaciones y procedimientos de respuesta a incidentes complejos, que
son tareas potencialmente intensas laboralmente, realizadas por el personal de un Security
Operations Center (SOC) mediante la ejecución de run books.
• Ofrece dashboards e informes para documentar la respuesta a incidentes con el fin de
mejorar los indicadores clave de rendimiento de SOC y puede mejorar la seguridad de la
red de las organizaciones.
• SOAR ayuda a los analistas a responder a la amenaza.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 24
Introducción al monitoreo de red y sus herramientas
Sistemas SIEM
• Un producto de código abierto llamado Security Onion incluye el conjunto ELK para la
funcionalidad SIEM.
• ELK es el acrónimo correspondiente para tres productos de Elastic:
• Elasticsearch: Motor de búsqueda fulltext orientado a documentos.
• Logstash: Sistema de procesamiento pipeline que conecta "entradas" a "salidas" con
"filtros" opcionales en medio
• Kibana: Dashboard en el navegador que proporciona vistas analíticas de datos y de
búsqueda para Elasticsearch.
Nota: SolarWinds Security Event Manager y Splunk Enterprise Security son dos sistemas
patentados de SIEM populares utilizados por los SOC.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 25
Introducción al monitoreo de red y sus herramientas
Packet Tracer: Registrar la actividad de la red
En esta actividad de Packet Tracer, realizaremos lo siguiente:
• Interceptar credenciales utilizando un dispositivo analizador de protocolos, mientras se
observa una sesión de FTP. El dispositivo analizador de protocolos también interceptará
un intercambio de mensajes Syslog.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 26
15.3 Resumen de Monitoreo
de red y sus herramientas

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 27
Resumen de herramientas y supervisión de red
¿Qué aprendimos en este módulo?
• Para mitigar las amenazas, todas las redes deben protegerse utilizando un enfoque de
defensa en profundidad.
• Esto requiere una infraestructura de seguridad que consiste de firewalls, IDS, IPS y software
de seguridad de punto terminal (endpoint security)
• Un analista de ciberseguridad debe revisar todas las alertas generadas por los dispositivos
de red y validarlas.
• Herramientas como IDS, analizadores de paquetes, SNMP, NetFlow, entre otras son
utilizadas para determinar el comportamiento normal de una red.
• Dos métodos comunes que se utilizan para capturar tráfico y enviarlo a dispositivos de
monitoreo de red son los taps de red y la duplicación de tráfico mediante Switch Port
Analyzer (SPAN) u otra duplicación de puertos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 28
Resumen de herramientas y supervisión de red
¿Qué aprendí en este módulo?
• Las herramientas comunes que se utilizan para el monitoreo de seguridad de red son:
analizadores de protocolos de red (Wireshark y Tcpdump), NetFlow y SIEM.
• Los analizadores de protocolos de red (o “packet sniffer”) son programas utilizados para
capturar el tráfico.
• NetFlow es una tecnología de Cisco IOS que proporciona estadísticas 24/7 sobre los
paquetes que atraviesan un router o switch multicapa de Cisco. Puede utilizarse para el
monitoreo de red y seguridad, la planificación de redes y el análisis de tráfico.
• SIEM es una tecnología que se utiliza para proporcionar informes en tiempo real y análisis de
largo plazo sobre eventos de seguridad.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 29