Uso de herramientas gratuitas para la detección de intrusos y prevención de ataques informáticos
Aprenda cómo se pueden utilizar las herramientas de prevención de intrusos para prevenir ataques de hackers.
A estas alturas, lo más probable es que ya haya recibido llamadas de todos los proveedores de sistemas de seguridad de redes informándole de sus últimos productos o herramientas de detección y prevención de ataques, y asegurándole que hacen de todo, desde liquidar virus a reconfigurar sus cortafuegos. Desgraciadamente, la mayoría de estos sistemas cuestan una pequeña fortuna. ¿Qué puede hacer un administrador de seguridad con limitaciones de presupuesto cuando necesita algún tipo de sistema de alerta, especialmente cuando todavía le quedan meses hasta el próximo año fiscal? Existen varias herramientas de detección de intrusos en la red que pueden ayudarlo a estar bien informado cuando los hackers llamen a su puerta.
En primer lugar, es esencial tener instalada una herramienta que analice el tráfico en la red y, muy especialmente, en su perímetro. Snort es, con mucho, el principal software gratuito disponible en el mercado, aunque también hay versiones comerciales a la venta. Snort puede configurarse para monitorizar todo el tráfico de la red. Normalmente, lo que se hace es replicar el tráfico entrante de Internet a uno o más switch-ports (en terminología de Cisco, se analizará (SPAN) el tráfico que llega a puerto), donde estará funcionando una computadora equipada con Snort. Lo único que le costará a usted plata es la computadora propiamente dicha, la cual puede operar con Linux o Windows. A menudo, es suficiente con una PC de reserva que tenga un disco duro de tamaño decente. Snort permite verter el tráfico sospechoso en archivos de registro, después de lo cual usted puede instalar una de las varias herramientas gratuitas disponibles. Éstas inspeccionarán los log files y le enviarán un correo o un mensaje a su celular cuando detecten tráfico indeseado.
En segundo lugar, usted debería tener alguna forma de analizar los registros de seguridad del sistema. Según avanza desde el perímetro de la red, compruebe que el enrutador de frontera está configurado para enviar mensajes syslog a un servidor al que usted tenga acceso desde dentro de la red. Algunos cortafuegos también pueden enviar mensajes syslog, los cuales pueden apuntarse hacia el mismo servidor interno. Asimismo, asegúrese de que es posible acceder a los servidores de su zona desmilitarizada (DMZ) desde dentro o configure sus registros de eventos para que apunten a un servidor interno.
Efectuar estos cambios de configuración en enrutadores, cortafuegos y servidores no es tan difícil como parece y normalmente basta con unos pocos comandos o clics del ratón.
Una vez tenemos acceso a todos los archivos de registro, es hora de instalar la herramienta gratuita o de programarla usted mismo. En caso de que desee escribir su propia herramienta de alerta, hay herramientas gratuitas de scripting, como Batch o Perl, que puede utilizar para ejecutar comandos de análisis como “find” en Windows o “grep” de Linux. Esto puede ayudarle a detectar actividades sospechosas en los archivos de registro de Snort y del servidor, y en los registros de seguridad del router y los firewalls. Con un programa gratuito de email, como Blat, se pueden enviar las entradas de registros a un pager, teléfono celular o una dirección de correo electrónico.
Evidentemente, esto no es más que un curso acelerado para crear un sistema de alerta a costo muy bajo, pero le sorprenderá lo bien que este sistema le puede alertar de eventos potencialmente maliciosos, como escaneos de puertos o intentos fallidos de log in.
Acerca del autor. Vernon Habersetzer es presidente de la compañía i.e.security, especializada en consultoría y seminarios sobre seguridad. Habersetzer tiene siete años de experiencia en las trincheras de la seguridad, en entornos relacionados con la sanidad y el consumo.
TÉCNICAS Y TÁCTICAS DE PIRATERÍA INFORMÁTICA
Introducción: tácticas de ataque de los hackers
Cómo prevenir la piratería informática
Fingerprinting y probing de sistemas por parte de los hackers
Uso de herramientas gratuitas para la detección de intrusos
Evite las amenazas físicas a la seguridad
Puntos débiles en los sistemas de autenticación
Mejore su proceso de solicitud de acceso
Tácticas de ingeniería social para los ataques informáticos
Proteja los puntos de acceso remotos
Fundamentos de la seguridad de sistemas wireless
Cómo saber si hemos sufrido el ataque de un hacker
Investigue más sobre Seguridad de la información
-
¿Cómo probar un firewall? Una guía de tres pasos para evaluar firewalls
-
¿Cómo identificar tráfico de ataques DDoS en la red empresarial?
-
Controles de seguridad de la información para la prevención de exfiltración de datos
-
“La seguridad debe ser simple, inteligente y estar en todas partes", dice Cisco