Opiniones | Opinions | Editoriales | Editorials

Cómo detectar intrusos y prevenir ataques con herramientas gratuitas

 
Picture of System Administrator
Cómo detectar intrusos y prevenir ataques con herramientas gratuitas
by System Administrator - Thursday, 31 July 2014, 2:37 PM
Colaboradores y Partners

Cómo detectar intrusos y prevenir ataques con herramientas gratuitas

Por Vernon Habersetzer, colaborador

A estas alturas, lo más probable es que ya haya recibido llamadas de todos los proveedores de sistemas de seguridad de redes informándole de sus últimos productos o herramientas de detección y prevención de ataques, y asegurándole que hacen de todo, desde liquidar virus hasta reconfigurar su firewall (cortafuegos). Desgraciadamente, la mayoría de estos sistemas cuestan una pequeña fortuna. ¿Qué puede hacer un administrador de seguridad con limitaciones de presupuesto cuando necesita algún tipo de sistema de alerta, especialmente cuando todavía faltan meses hasta el próximo año fiscal? Existen varias herramientas de detección de intrusos en la red que pueden ayudarlo a estar bien protegido cuando los hackers llamen a su puerta.

En primer lugar, es esencial tener instalada una herramienta que analice el tráfico en la redy, muy especialmente, en su perímetro. Snort es, con mucho, el principal software gratuito disponible en el mercado, aunque también hay versiones comerciales a la venta. Snort puede configurarse para monitorear todo el tráfico de la red.

Normalmente, lo que se hace es replicar el tráfico entrante de internet a uno o más switch-ports (en terminología de Cisco, se analizará el tráfico que llega a puerto), donde estará funcionando una computadora equipada con Snort. Lo único que le costará a usted es la computadora propiamente dicha, la cual puede operar con Linux o Windows. A menudo, es suficiente con una PC de reserva que tenga un disco duro de tamaño decente. Snort permite verter el tráfico sospechoso en archivos de registro, después de lo cual usted puede instalar una de las varias herramientas gratuitas disponibles. Éstas inspeccionarán los log files y le enviarán un correo o un mensaje a su celular cuando detecten tráfico indeseado.

En segundo lugar, usted debería tener alguna forma de analizar los registros de seguridad del sistema. Conforme avance desde el perímetro de la red, compruebe que el enrutador de frontera está configurado para enviar mensajes syslog a un servidor al que usted tenga acceso desde el interior de la red. Algunos firewalls también pueden enviar mensajessyslog, los cuales pueden apuntarse hacia el mismo servidor interno. Asimismo, asegúrese de que es posible acceder a los servidores de su zona desmilitarizada (DMZ) desde adentro o configure sus registros de eventos para que apunten a un servidor interno.

Efectuar estos cambios de configuración en ruteadores, firewalls y servidores no es tan difícil como parece y normalmente basta con unos pocos comandos o clics del ratón.

 

Una vez que se tenga acceso a todos los archivos de registro, es hora de instalar la herramienta gratuita o de programarla usted mismo. En caso de que desee escribir su propia herramienta de alerta, hay herramientas gratuitas de scripting, como Batch o Perl, que puede utilizar para ejecutar comandos de análisis como “find” en Windows o “grep” de Linux. Esto puede ayudarle a detectar actividades sospechosas en los archivos de registro de Snort y del servidor, y en los registros de seguridad del ruteador y los firewalls. Con un programa gratuito de email, como Blat, se pueden enviar las entradas de registros a un pager, teléfono celular o una dirección de correo electrónico.

Evidentemente, esto no es más que un curso acelerado para crear un sistema de alerta a costo muy bajo, pero le sorprenderá lo bien que este sistema le puede alertar de eventos potencialmente maliciosos, como escaneos de puertos o intentos fallidos de log in.

Acerca del autor. Vernon Habersetzer es presidente de la compañía i.e.security, especializada en consultoría y seminarios sobre seguridad. Habersetzer tiene siete años de experiencia en las trincheras de la seguridad, en entornos relacionados con la sanidad y el consumo.

Link: http://searchdatacenter.techtarget.com/

Más:

696 words