Skip to main content

Detectar intrusiones de red

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

  • Identificar la importancia del monitoreo integral de la seguridad de red.
  • Describir los métodos de detección y prevención de intrusiones.
  • Explicar la importancia de las pruebas de adversarios.

Implementar el monitoreo integral de la seguridad de red

Imagine a un rey durmiendo en la cama en su castillo. El rey tiene muchos enemigos que desean invadir su reino, pero tras fortificar el castillo con un muro sólido y una amplia fosa, el rey duerme tranquilo por las noches. También dispuso de un guardia para custodiar la puerta principal del castillo y arqueros para patrullar el muro delantero. Sin embargo, una noche mientras el rey dormía, su hijo escapó por una puerta pequeña en la parte posterior del castillo y cruzó un puente para visitar a una princesa del poblado vecino. Dejó la puerta trasera sin llave. Un vagabundo que pasaba vio lo que el príncipe había hecho y entró al castillo sin ser detectado. El príncipe había dejado varias de sus joyas sobre la repisa de la chimenea y el vagabundo escapó con todas ellas. 

Una imagen de un castillo con altos muros y una fosa, pero alguien entra por una gran grieta en el muro del castillo.

Esta historia ilustra la importancia del monitoreo integral. Al igual que el vagabundo, los hackers intentan explotar el eslabón más débil de la cadena de seguridad de una organización. Confiar en las sólidas defensas perimetrales de la red para su protección no es suficiente. Es fundamental supervisar todos los puntos de entrada y salida, emplear una defensa profunda (una serie de mecanismos de defensa en capas para proteger la información y los datos valiosos) y el monitoreo entre las conexiones de red, y limitar la capacidad de un hacker de ingresar, realizar cambios y extraer recursos preciados. Los ingenieros de seguridad de red recopilan datos de monitoreo, los analizan y derivan los indicios de intrusión. Su intención es monitorear toda la red, pero esto puede ser difícil en las organizaciones grandes. 

Como ayuda para estas tareas, los ingenieros usan herramientas tecnológicas centralizadas a fin de detectar cuando un hardware no autorizado se conecta a la red y recibir alertas sobre esto. Estas herramientas se conocen como control de acceso de red (NAC). Un NAC autentica las conexiones con un sistema de administración de identidades y acceso. Puede aceptar o denegar el acceso en función de un conjunto de parámetros y políticas. Por ejemplo, si un invitado intenta iniciar sesión en la red de una compañía, un NAC puede enrutarlo a un portal de registro y autenticación separado para evitar que el usuario obtenga acceso anónimo a los recursos confidenciales de la compañía.

Los ingenieros de seguridad de red también cuentan con un sistema de administración de eventos e información de seguridad (SIEM) como ayuda para monitorear el tráfico de red. Un SIEM cumple las siguientes funciones:

  • Combina las salidas de varias fuentes para proporcionar alertas que dirigen la atención del ingeniero de seguridad de red a la actividad de red anormal.
  • Agrega registros (apuntes de transacciones y eventos) de los sistemas de prevención y detección de intrusiones (conocidos como IDPS y que analizaremos más adelante), cortafuegos y otros dispositivos en la red.
  • Ayuda a los ingenieros a monitorear el flujo de red del tráfico de protocolo de Internet o IP (el flujo de datos a través de Internet) y realizar una inspección profunda de paquetes (es decir, interceptar los paquetes de datos para poder analizarlos).
  • Combina esta información con la inteligencia de amenazas (la información sobre atacantes y vulnerabilidades conocidas) para ayudar a los ingenieros a analizar datos y detectar intrusiones.
  • Permite que los ingenieros implementen una defensa profunda mediante la puesta en marcha del monitoreo en toda la red, no solo en el perímetro.

En la siguiente sección, se examina una de estas herramientas, IDPS.

Usar la prevención y detección de intrusiones

La prevención y la detección de intrusiones se pueden implementar por separado o en conjunto. Si bien ambas proporcionan funciones de monitoreo, es útil revisar las diferencias. 

Los sistemas de detección de intrusiones (IDS) monitorean las señales de posibles incidentes, como un malware que está invadiendo la red. El IDS informa al ingeniero de seguridad de red sobre algo fuera de lugar a través de alertas. El IDS se puede implementar en hardware o software, pero generalmente funciona fuera de banda. Esto significa que el sistema queda fuera de la ruta de datos y utiliza copias de los paquetes de datos o datos de muestra para detectar las intrusiones, en lugar de inspeccionar cada paquete en la red. Piense en la seguridad de un evento deportivo como un partido de fútbol. El IDS es como el guardia de seguridad parado a un costado que mira a las personas y pide refuerzos por radio cuando un sospechoso intenta entrar al evento.

Los sistemas de prevención de intrusiones (IPS) van un paso más allá de los IDS. No solo detectan, sino que también detienen los incidentes. Estos sistemas responden a los flujos de datos y los controlan. Por ejemplo, si el IPS identifica un paquete de datos como malicioso, puede descartarlo y evitar que se entregue a su destinatario. También puede bloquear las direcciones IP en infracción incluidas en una lista de bloqueo. Por lo general, el IPS funciona detrás de un cortafuegos y brinda protección complementaria incorporada. 

La protección incorporada implica que el dispositivo recibe paquetes de datos y los reenvía a su destino previsto si son normales o los descarta si son maliciosos. Esto se parece a la función de la persona que controla las entradas de un partido de fútbol e impide el ingreso de personas con entradas falsificadas. 

Los ingenieros de seguridad de red deben llevar a cabo un monitoreo suficiente como para proteger la red y, al mismo tiempo, garantizar que los datos legítimos lleguen a su destinatario previsto con un impacto mínimo sobre el rendimiento. Al analizar y bloquear proactivamente los paquetes sospechosos, el IPS tiene el potencial de generar problemas de latencia o descartar paquetes legítimos por error. La implementación apropiada de IDPS requiere un equilibrio entre los riesgos de seguridad y las necesidades de negocio. La presencia de un guardia de seguridad que controla las entradas y permite el acceso en un evento deportivo puede parecer un incordio, pero cumple una función importante al garantizar que solo las personas autorizadas ingresen y el evento sea seguro. 

Los ingenieros de seguridad de red también utilizan una tecnología llamada gestión unificada de amenazas (UTM). Esta tecnología integra un rango de características como cortafuegos (para bloquear tipos específicos de tráfico de red no permitidos), antivirus y sistemas IDPS. La tecnología de UTM va un paso más allá de un cortafuegos tradicional, el cual bloquea tipos específicos de tráfico, dado que inspecciona paquetes de datos. Un sistema UTM puede tener sentido especialmente en las organizaciones pequeñas, ya que agrupa funcionalidades en una sola pila de seguridad. Así, no es necesario administrar cortafuegos, dispositivos IPS, antivirus/malware y otras funciones por separado. 

Comprobación de conocimientos

¿Listo para revisar lo que aprendió? La comprobación de conocimientos a continuación no está puntuada; solo es una forma sencilla de hacerse una prueba. Para comenzar, arrastre la función en la columna izquierda a la categoría coincidente a la derecha. Cuando termine de hacer coincidir todos los elementos, haga clic en Enviar para comprobar su trabajo. Si desea empezar desde el principio, haga clic en Restablecer.

¡Excelente trabajo! Avancemos a la manera en que las pruebas de adversarios se ajustan a la estrategia de seguridad de una organización.

Usar pruebas de adversarios

Generalmente, los ingenieros de seguridad de red forman parte de un equipo azul; es decir, los profesionales de seguridad que administran la red, protegen sus activos y usuarios, y detectan intrusiones a diario. Si bien estos profesionales se enfocan en el trabajo diario de proteger la red, una compañía puede emplear otros equipos para probar la seguridad de la red desde el punto de vista de un adversario. Estos equipos pueden ser internos de la compañía o incorporados como terceros. Los servicios que brindan pueden incluir pruebas de penetración y formación de equipos rojos, los cuales se describen detalladamente a continuación.

Durante una prueba de penetración, un equipo de profesionales de seguridad identifica las vulnerabilidades y los riesgos asociados con un sistema en la red. El equipo examina la red desde una perspectiva externa para detectar y explotar vulnerabilidades con el fin de obtener acceso no autorizado, realizar cambios para aumentar sus privilegios y filtrar datos confidenciales. 

Por lo general, las pruebas de penetración se centran en evaluar la seguridad de un sistema de alto valor específico. Al final de esta prueba, el equipo proporciona un informe con los pasos que se realizaron, incluido lo que se pudo explotar, y una lista de puntos débiles en la seguridad, sugerencias de mitigación y plazos. Posteriormente, el equipo azul utiliza estas recomendaciones para mejorar la seguridad del sistema y buscar vulnerabilidades similares en otros sistemas de la red.

La implicación del equipo rojo es más amplia que las pruebas de penetración. El equipo rojo no solo pone a prueba la seguridad tradicional del sistema, sino que también lleva a cabo un ataque de alcance completo en varias capas para medir la resistencia de las personas y los procesos de la organización frente a un ataque. Mientras que un equipo de pruebas de penetración puede enviar un email de phishing o ejecutar un análisis para detectar una vulnerabilidad crítica en un sistema orientado al público, un miembro del equipo rojo puede entregar una unidad USB infectada con malware a un recepcionista o conectar un dispositivo fraudulento a un puerto no seguro del edificio. Al final de la implicación, el equipo rojo proporciona un resumen en el cual se incluyen actualizaciones recomendadas para las políticas y los procedimientos o alguna capacitación, además de correcciones técnicas.

Estas pruebas de adversarios son un componente importante del arsenal de seguridad. Si bien las funciones como los análisis de vulnerabilidad ayudan al equipo azul a detectar los puntos débiles en la seguridad y aplicar parches, las pruebas de adversarios revisan la seguridad de los sistemas, las redes y las organizaciones desde una perspectiva externa. Puede convocarse a un ingeniero de seguridad de red para proporcionar información sobre la red o los sistemas a uno de estos equipos antes de la implicación, o para corregir los puntos débiles detectados y recomendar mejoras de seguridad adicionales. Estas implicaciones son una excelente manera de alertar a la dirección sobre las mejoras necesarias y lograr su aceptación sobre la implementación de soluciones a través de los hallazgos validados de terceros.

Resumen

Ya aprendió sobre la importancia de un monitoreo integral de la seguridad de red para detectar intrusiones y conoció las herramientas comunes que utilizan los ingenieros de seguridad de red para alcanzar este objetivo. ¿Cuáles son las responsabilidades de un ingeniero de seguridad de red al responder a una intrusión detectada? Lo descubrirá en el siguiente módulo. ¿Le interesa obtener más información relacionada con la ciberseguridad? Consulte el Centro de aprendizaje sobre ciberseguridad en Trailhead. 

Recursos

Comparta sus comentarios de Trailhead en la Ayuda de Salesforce.

Nos encantaría saber más sobre su experiencia con Trailhead. Ahora puede acceder al nuevo formulario de comentarios en cualquier momento en el sitio de Ayuda de Salesforce.

Más información Continuar a Compartir comentarios