Monitoreo de red y sus herramientas

Topología de seguridad de la red

"Todos los sistemas de red son objetivos" es una expresión frecuente para describir el panorama actual de la seguridad informática. Por ende, para mitigar las amenazas, todas las redes deben ser protegidas y aseguradas de manera óptima.

Esto requiere una estrategia de defensa en profundidad, lo cual implica utilizar métodos probados y una infraestructura de seguridad compuesta por firewalls, Sistemas de Detección de Intrusiones (IDS), Sistemas de Prevención de Intrusiones (IPS) y software de seguridad para dispositivos finales (endpoint security). Estos métodos y tecnologías se emplean para automatizar la vigilancia de la red, generar alertas de seguridad e incluso bloquear dispositivos ofensivos de manera automática ante cualquier irregularidad.

No obstante, para redes de gran envergadura, es necesario añadir una capa adicional de protección. Los dispositivos como firewalls e IPS operan según reglas preconfiguradas. Monitorizan el tráfico y lo contrastan con las reglas configuradas. 

Métodos de monitoreo de la red

Taps de Red

Un tap de red es comúnmente un dispositivo pasivo de división que se instala en el cableado de una red, ubicado entre un dispositivo de interés y la propia red. Su función consiste en redirigir todo el tráfico, incluso los errores de capa física, hacia un dispositivo de análisis, mientras asegura que el tráfico alcance su destino original sin interrupciones. 

Este garantiza que el flujo de datos entre firewall y el router interno mantengan su integridad.

Duplicación de tráfico y SPAN

Dado que la captura completa de datos mediante monitoreo requiere capturar todo el tráfico, es necesario emplear técnicas especiales para evitar la segmentación de red impuesta por los switches. Una de estas técnicas es la duplicación de puertos. Esta técnica, compatible con varios switches empresariales, permite que un switch copie tramas recibidas en uno o más puertos y las envíe a un puerto "Switched Port Analyzer" (SPAN), conectado a un dispositivo de análisis.

Terminología SPAN

• Tráfico de ingreso: Tráfico que ingresa al switch
• Tráfico de egreso: Tráfico que sale del switch
• Puerto (SPAN) de origen: Los puentes de origen se monitorean a medida que el tráfico que ingresa en ellos se duplica (refleja) en los puertos de destino.
• Puerto (SPAN) de destino: Un puerto que refleja los puertos de origen. Los puertos SPAN de destino suelen conectarse a dispositivos de análisis, como un analizador de paquetes o un IDS.

La relación entre los puertos de origen y un puerto de destino se denomina sesión de SPAN. Una sola sesión puede monitorear uno o varios puertos. En ciertos switches Cisco, el tráfico de la sesión puede ser copiado a más de un puerto de destino. También es posible especificar una VLAN de origen, en la cual todos los puertos de dicha VLAN se convierten en fuentes de tráfico de SPAN. Cada sesión de SPAN puede tener puertos o VLAN como orígenes, pero no se permite combinar ambas opciones.

Herramientas de monitoreo de seguridad de la red

Algunas herramientas comunes que son utilizadas para el monitoreo de seguridad de la red son:

• Analizadores de protocolo de red
• NetFlow
• Sistemas "Security Information and Event Management" (SIEM)

Analizadores de protocolo de red

Los analizadores de protocolo de red son programas que capturan el tráfico y muestran la actividad en la red mediante una interfaz gráfica. Estas herramientas permiten a los analistas visualizar los intercambios de red hasta el nivel de paquetes, lo que resulta especialmente útil para detectar malware y ataques en tiempo real.

Estos analizadores no solo se emplean para la seguridad, sino también para resolver problemas, desarrollar software y protocolos, y capacitar al personal. Por ejemplo, en informática forense, los analistas pueden reconstruir incidentes basándose en capturas de paquetes relevantes.

Wireshark es una popular herramienta para el análisis de protocolos de red, disponible en Windows, Linux y macOS, de código abierto y ampliamente utilizada para aprender sobre las comunicaciones en redes. Conocer estas herramientas es esencial para los analistas de ciberseguridad.

Netflow

NetFlow, una tecnología incorporada en el sistema operativo Cisco IOS, proporciona estadísticas en tiempo real sobre el tráfico de paquetes en routers o switches Cisco. Se ha convertido en el estándar para recopilar datos operativos de IP en redes IP y ha ampliado su compatibilidad a plataformas no-Cisco. También existe una variante llamada IP Flow Information Export (IPFIX), que es un protocolo estándar del IETF.

NetFlow tiene diversas aplicaciones, desde monitorear y asegurar la red hasta planificar y analizar el tráfico. Ofrece un registro detallado con información básica de cada flujo de IP, incluyendo direcciones IP de origen y destino, horarios de comunicación y cantidad de datos transferidos. Aunque no captura el contenido real del flujo, su funcionalidad se asemeja a una factura telefónica, que muestra detalles de llamadas sin revelar el contenido de las conversaciones.

Para aprovechar NetFlow, es necesario configurarlo para enviar datos a un recopilador. Además, existen herramientas de terceros disponibles para el análisis de datos de NetFlow.

SIEM

Es una tecnología utilizada en las organizaciones empresariales para proporcionar informes en tiempo real y análisis a largo plazo de eventos de seguridad.

El sistema SIEM incluye las siguientes funciones esenciales:

• Análisis de informática forense: Permite realizar búsquedas de logs y de registros de eventos generados en múltiples fuentes en toda la organización. Proporciona información más completa para el análisis de informática forense.
• Correlación: Examina registros y eventos de diferentes sistemas o aplicaciones, lo que acelera la detección de las amenazas de seguridad y la capacidad de reacción ante ellas.
• Agregación: Esta función reduce el volumen de los datos de eventos mediante la consolidación de registros de eventos duplicados.
• Informes: Permiten ver los datos sobre eventos correlacionados y acumulados mediante monitoreo en tiempo real y resúmenes a largo plazo.

SIEM brinda detalles sobre el origen de actividad sospechosa:

• Información del usuario, como nombre de usuario, estado de autenticación y ubicación.
• Información del dispositivo, como fabricante, modelo, versión del Sistema Operativo, dirección MAC, método de conexión a la red y ubicación.
• Información de cumplimiento de normativas, por ejemplo, si el dispositivo cumple con la política de seguridad, si tiene los archivos de antivirus actualizados y si se aplicaron los parches del Sistema Operativo más recientes.

SOAR

Soluciones proporcionadas por SOAR:

• Proporciona herramientas de gestión de casos que permiten al personal de ciberseguridad estudiar e investigar incidentes, integrando frecuentemente inteligencia de amenazas (threat intelligence) en la plataforma de seguridad de la red.
• Utiliza la inteligencia artificial para detectar incidentes y ayudar en el análisis y la respuesta de incidentes.
• Automatiza investigaciones y procedimientos de respuesta a incidentes complejos, que son tareas potencialmente intensas laboralmente, realizadas por el personal de un "security operations center" (SOC) mediante la ejecución de run books. Estos son "Playbooks" que realizan acciones como acceder y analizar datos relevantes, tomar medidas para aislar sistemas comprometidos y estudiar amenazas para validar alertas y ejecutar una respuesta a incidentes.
• Ofrece Paneles e informes para documentar la respuesta a incidentes con el fin de mejorar los indicadores clave de rendimiento del SOC y puede mejorar en gran medida la seguridad de red de las organizaciones.