Buenas noches profesor y compañeros

El motivo por el cual escribo en este foro, es para hacerles saber el cambio en la herramienta de
servidor proxy, ya que la anterior no prestaba tantos recursos para satisfacer la necesidad de la
problemática de la actividad propuesta para la asignatura; La nueva herramienta proxy será
Privoxy , el cual permite realizar filtrado de contenido,  equivalencia de cargas, administrar cookies,
controlar acceso y bloquear anuncios y otros elementos indeseados de internet, este servidor proxy
es compatible tanto para  sistemas aislados como para multiusuarios, maneja una licencia GNU y
se ejecuta sobre SO como Linux, Windows, Mac OS,Beos y varias versiones de Unix.
Comparto links de interés respecto al tema.
https://www.privoxy.org/
https://es.wikipedia.org/wiki/Privoxy
Cordialmente,
Daniel Bernal Hernández

Cordial Saludo estimad@s compañer@s y tutor,

 
Teniendo en cuenta el sistema de detección de intrusos que escogí, el cual es SURICATA,
relaciono algunas de las vulnerabilidades que se han descubierto en esta herramienta.
 
Estas vulnerabilidades están documentadas en la página de CVE - Vulnerabilidades y
exposiciones comunes.
 
CVE-2019-18625: En la herramienta Suricata en su versión 5.0.0. Es posible evitar las firmas
basada en TCP al falsificar una sesión TCP cerrada utilizando un servidor malicioso de un atacante.
CVE-2019-1010251: Suricata en versiones anteriores a la 4.1.2 se ve afectada por Denegación de
servicio, omisión de detección de DNS. Ya que atacante puede evadir una detección de firma con
un paquete de red que este diseñe para vulnerar un sistema.
CVE-2019-10054: Suricata en la versión 4.1.3, La función process_reply_record_v3 carece de una
verificación para la longitud de reply.data. Provoca un acceso no válido a la memoria y el programa
se bloquea dentro del archivo nfs.
 
Como podemos darnos cuenta, aunque existen herramientas que nos facilitan los procesos de
vigilancia automatizados como los son los IDS para implementar en la seguridad de un sistema
informático, es de importancia tener en cuenta que dicha herramienta cuente con las ultimas
actualizaciones para evitar que se pueda vulnerar cualquier parche de seguridad.
Estas son algunas de las vulnerabilidades que detalle de acuerdo con la página de CVE -
Vulnerabilidades y exposiciones comunes. Para obtener más información podemos dirigirnos
directamente a su página oficial adjunta en las referencias.
 
Referencias:
CVE Vulnerabilidades y exposiciones comunes. Disponible en: https://cve.mitre.org/index.html
CVE-2019-18625. Disponible en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18625.
CVE-2019-1010251. Disponible en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-
1010251.
CVE-2019-10054. Disponible en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10054.
 
Muchas gracias y quedo atento a cualquier novedad.
 
Cordialmente,
Yeison Raul Rodriguez Baquero

Buenas noches compañeros y profesor

 
En esta ocasión hago participación en el foro con el fin de dar a conocer las herramientas de IDS y
Proxy las cuales escogí para el desarrollo de la guía para la fase 4 de la asignatura.
 
La herramienta para la detección de intrusos es Security onion,  la cual es una distribución de
Linux, una de las ventajas de esta suit es que se compone de muchas herramientas de IDS como
los son Snort, Suricata, Bro, Sguil,Squert, ELSA, y muchas otras más, lo cual indica que es una
herramienta muy completa para utilizar en este tipo de actividades.
Para el servidor proxy escogi proxysite.com el cual sirve para bloquear la publicidad además de
permitir controlar scrips y cookies, conservando siempre el anonimato, este proxy permite el acceso
a todos los sitios web.
Comparto links para consulta.
 
Cordialmente,
 
Daniel Bernal Hernández
https://www.proxysite.com/
https://www.redeszone.net/tutoriales/seguridad/security-onion-linux-auditorias-
redes/#:~:text=Security%20Onion%20es%20la%20suite%20m%C3%A1s%20completa,-Lorena
%20Fern%C3%A1ndez&text=Hoy%20en%20RedesZone%20os%20vamos,y%20gesti%C3%B3n
%20de%20los%20logs.
 

Cordial Saludo estimad@s compañer@s y tutor,

 
Teniendo en cuenta la herramienta que escogí, a continuación, hago un pequeño énfasis de las
características y ventajas que un IDS como SURICATA puede ofrecer.
Este IDS implementa al conocido como los contratos (lenguajes de firmas) para que coincida con
las amenazas que actualmente existe y pueden afectar los sistemas informáticos. Por esta razón,
analizara para detectar todo tipo de irregularidad en el tráfico de red.
Adicionalmente, su alto rendimiento es de gran importancia ya que este puede analizar una alta
cantidad de GIGABITS en el trafico de una red. Ya que este, para realizar los procesos se basa en
una arquitectura de multihilos, lo cual ayuda al rendimiento de esta herramienta por que su
desarrollo esta basado en una arquitectura escalable.
Otra de sus características, es que este IDS detectara automáticamente el protocolo HTTP en
cualquier puerto donde este ejecutando dichos procesos que están intentando comunicar con la red
que se está protegiendo, incluso puede guardar registros de los certificados SSL, TLS para su
respectivo análisis.
Por último, esta herramienta cuenta con una gran documentación por parte de la comunidad
desarrolladora, la cual nos podrá facilitar su uso e implementación en cualquier organización.
 
Suricata. Open Source IDS / IPS / NSM engine. Disponible en: https://suricata-ids.org/features/.
Suricata Docs. Disponible en: https://suricata-ids.org/docs/.
 
Muchas gracias y quedo atento a cualquier novedad.
 
Cordialmente,
Yeison Raul Rodriguez Baquero
Cordial Saludo estimad@s compañer@s y tutora,
 
Teniendo en cuenta sobre la implementación que se debe realizar, para un sistema de detección de
intrusos en una red, se debe tener claro algunas de las formas o técnicas que los delincuentes
informáticos usan para evadir estos sistemas.
Fragmentación: Con este tipo de técnica, suelen hacer el envío de paquetes segmentados que
permite al delincuente informático mantener un perfil bajo, evitando que el sistema de detección
para detectar la firma del ataque.
Evitar valores predeterminados: Cuando se utilizan los programas como gestores de bases de
datos, servidores proxy, servidor SSH y otros puertos de aplicaciones que se conocen en el
mercado, estás manejan un p predeterminado, por tal motivo un puerto utilizado por un protocolo no
siempre proporciona una indicación del protocolo que se está transportando. Si un atacante lo había
reconfigurado para usar un puerto diferente, es posible que el IDS no pueda detectar la presencia
de un troyano.
Falsificación de direcciones: Los delincuentes informáticos pueden ocultar la fuente del ataque
utilizando servidores proxy mal protegidos o configurados para rechazar un ataque. Si la fuente es
falsificada y devuelta por un servidor, hace que sea muy difícil de detectar. Algunas herramientas
que existen en la actualidad son usadas para este tipo técnica, ya que pueden hacer uso de sus
características y enfocarse en realizar acciones maliciosas. Nmap es un claro ejemplo de esto,
porque con esta herramienta se puede realizar la evasión de un firewall en la seguridad de una red
y hacer falsificaciones.
 
What is a Intrusion Detection System?. Disponible
en: https://www.barracuda.com/glossary/intrusion-detection-system#:~:text=An%20intrusion
%20detection%20system%20(IDS,information%20and%20event%20management%20system.
 
Evasión de cortafuegos/IDS y falsificación con nmap. Disponible en: https://nmap.org/man/es/man-
bypass-firewalls-ids.html.
 
Muchas gracias y quedo atento a cualquier novedad.
 
Cordialmente,
Yeison Raul Rodriguez Baquero
Cordial Saludo estimad@s compañer@s y tutora,
 
A continuación, realizo algunas aclaraciones sobre los conceptos básicos que se deben tener en
cuenta para implementar un IDS, Sistema de detección de intrusos.
 
IDS: Como su nombre lo indica es un programa encargado de detectar actividades maliciosas en
una red, toca la información que este sistema logre analizar como maliciosa debe darla a conocer al
administrador del sistema, para que este deba realizar la configuraciones y procesos de acuerdo
con su protocolo de seguridad.
 
NIDS: Es un sistema que analiza el tráfico entrante de la red. Sistemas de detección de intrusos en
la red
HIDS: Es un sistema que monitorea archivos importantes del sistema operativo. Sistemas de
detección de intrusos basados en host.
 
Teniendo en cuenta estos conceptos, los IDS son de gran importancia en los entornos
empresariales, ya que ayudan a mitigar un riesgo en tiempo real, esto quiere decir que ayuda a
tomar las acciones debidas en el momento en que esta ocurriendo un ataque. Un IDS actúa como
una tecnología de protección adaptable para la seguridad del sistema después de que fallan las
tecnologías tradicionales. Los ataques cibernéticos solo se volverán más sofisticados, por lo que es
importante que las tecnologías de protección se adapten junto con sus amenazas.
 
Para obtener más información adjunto referencia.
 
Intrusion Detection System (IDS). Disponible
en: https://searchsecurity.techtarget.com/definition/intrusion-detection-system.
 
Muchas gracias y quedo atento a cualquier novedad.
 
Cordialmente,
Yeison Raul Rodriguez Baquero

Buenas noches compañeros y tutor,

 
De acuerdo a la actividad indicada en la Guía doy a conocer la información recolectada sobre el IDS
escogido:
 
OSSEC
Es una herramienta multiplataforma que contiene distintas características y funcionalidades, esto
con el fin de realizar detección de intrusos en host, algunas de las actividades que se pueden
realizar con esta herramienta son:

 Análisis de registros
 Verificación de integridad
 Monitoreo de registro de Windows
 Detección de rootkits
 Alertas en tiempo real
 Respuesta activa.

 
Requisitos de cumplimiento
Esta herramienta permite el cumplimiento de requisitos específicos como lo son PCI e HIPAA,
adicional permite la detección y alerta de cambios no autorizados en el sistema de archivos,
comportamientos del tipo malicioso en archivos de registro y aplicaciones personalizadas.
 
Alertas en tiempo real y configurables
OSSEC brinda una configuración de incidentes, es decir que permite priorizar las incidencias
críticas, esto optimiza las alertas del sistema, brindando así a los administradores de sistema, la
posibilidad de mantenerse actualizados, ya que este también cuenta con una integración de smtp,
sms y syslog.
 
Integración con la infraestructura actual
OSSEC es una herramienta que también actúa en función de la economía, ya que esta permite
realizar integraciones con la infraestructura actual, es decir que no desecha inversiones realizadas
anteriormente, esto representa un plus para los compradores, ya que no tienen casi perdidas
económicas al momento de implementar.
 
Bibliografia
ossec. (20 de 06 de 2020). OSSEC Documentation. Obtenido de ossec: https://www.ossec.net/docs/
 
Gracias.
Buenas noches compañeros y profesor
En esta ocasión hago este aporte en el foro, con el fin de tocar el tema del estado de las redes wifi,
el cual se encuentra en los recursos educativos de la asignatura, en este contenido  se maneja
varios protocolos los cuales dependerán de la necesidad para su elección que se vienen manejado
desde hace varios años atrás, las tecnologías más relevantes que se manejan son MMDS la cual
tiene una cobertura de 30 km con una velocidad de trasmisión de datos de 27 Mbps (ascendente),
LMDS el cual tiene una cobertura de 4 km a una velocidad de 500 Mbps, la IEEE 802.11ª tiene una
cobertura de 30 km a una velocidad de 54 Mbps, IEEE 802.11b tiene una cobertura de 300 km,
Bluetooth tiene una cobertura de 10 – 100 m a una velocidad de 1 Mbps, IrDA (infrarrojo) tiene una
cobertura de 1m con una velocidad de 16 Mbps, tomando como referencia las tecnologías
anteriormente nombradas, podemos deducir que entre más distancia de cobertura tenga, menor
será la velocidad de trasmisión de datos según la tecnología a usar. La tecnología que presta un
mejor servicio de cobertura y velocidad es IEEE 802.16x conocido como WiMAX , es un tipo de red
metropolitana inalámbrica precedida al wifi, con la diferencia que tiene más banda ancha y mejor
cobertura, una de las ventajas de este tipo de tecnología es que pretende introducir los servicios
inalámbricos en las partes rurales donde no se tiene cobertura, esto atreves de antenas de
distribución ubicadas hasta a 50 km del usuario final con una velocidad de 75Mbps, esto beneficiara
por ejemplo, aldeas lejanas la cuales no cuenten con una infraestructura de telecomunicaciones o
cableada.
 
Comparto links de interés sobre el tema.
 
Cordialmente,
http://bibing.us.es/proyectos/abreproy/70218/fichero/2.Tecnolog%C3%ADas+Inal
%C3%A1mbricas.pdf
https://ebookcentral-proquest-com.bibliotecavirtual.unad.edu.co/lib/unadsp/reader.action?
docID=3202370&ppg=1
 http://biblioteca.usac.edu.gt/tesis/08/08_0365_CS.pdf

Buenas noches compañeros:

A continuación les comparto junto a mi investigación como realizare la respectiva Implementación
de un sistema de identificación y gestión de ataques para la empresa Digital Covers
 
Se relaciona la  propuesta como alternativa de implementación de un sistema de identificación y
gestión de ataques, propuesta que se basa en el uso de software libre y que tendrá como parte
critica los siguientes puntos: 

 Segmentación de redes
 Firewall
 Proxy
 IDS e IPS

Se hará la instalación de un servidor Linux (Ubuntu server ) que se desempeñe como  firewall en la
red de digital covers con el software Arno´siptables Firewall, como sistema de detección de Intrusos
se eligió la herramienta Snort y  para la administración de este IDS el uso de BASE (Basic Analysis
and Security Engine ) que es una interfaz web desarrollada en PHP que permite gestionar de una
forma fácil y cómoda las bases de datos de seguridad generadas por IDS y firewall

Dado las ventajas del proxy inversos y entre ellas nombrando la seguridad, el balanceo de cargas,
la aceleración de los procesos, se optó por usar esta herramienta, su administración se
realizará a través del servidor http NGINX
 
 
Buenas Noches Compañeros:
 
A continuación aporte sobre sistemas de detección de intrusos
Miguel Lederkremer en su guía “Redes Informáticas Avanzado” nos da una aproximación de los que
es un IDS, por sus siglas en inglés (Intrusion Detection System), el sistema de detección de
Intrusos, es un sistema que registra y monitorea las actividades de un servidor o hasta de una red,
buscando con ello detectar anomalías, comportamientos extraños o posibles ataques, como una
petición de escaneo de puertos o paquetes mal formados que pueden ser indicios de ataques.
INCIBE dentro de su guia de “diseño y configuración de IPS” nos indica que la información critica
para el funcionamiento de un IDS es, el histórico de eventos, la configuración del sistema y los
procesos activos del sistema (reglas).
 Dentro de sus tareas podemos tener en cuenta que previene por medio de herramientas de
escucha de tráfico en una red o sensores, identifica los ataques reconociendo patrones,
y reacciona a estos patrones mediante trazas que serán reportadas a un administrador

TIPOS DE IDS
IDS Pasivos
Este tipo de sistemas almacena las diferentes anomalías detectadas en un log para su análisis
offline, esto implica que, si se llegara a copiar de manera ilícita una base de datos, quedaría un
registro del proceso, pero el daño ya se habría realizado, se usa con frecuencia durante auditorias
ya que se puede deducir problemas de seguridad que se podrían corregir y prevenir en un nuevo
ataque.

IDS Reactivo
Este tipo de sistemas interactúa para evitar el daño, es decir que el IDS está en capacidad de
responder ante una posible actividad sospechosa, lo hace a través de la reprogramación del firewall
para que este bloquee el trafico que proviene de la red del atacante, se denomina también como
IPS (Intrusion Prevention System), determina a través de puertos, protocolos, dispositivos de
conexión y ancho de banda cuando un computador funciona normalmente, de presentarse alguna
anomalía informa al administrador para que se tomen las medidas correspondientes ( metodología
heurística), también existe una metodología basada en patrones en donde cada análisis se compara
con ataques de su base de datos permitiendo establecer si existe normalidad o un comportamiento
sospechoso en la red. (Lederkremer, 2020)

HIDS (Host Intrusion Detection System)

Fue el primer IDS desarrollado en la industria de la seguridad informática, protege solo al servidor
(HOST), escanea archivos, recursos del sistema, deferentes logs, procesos y estudia cada usuario
y los procesos realizados (copiar, modificar o eliminar un archivo) para después realizar un reporte
de dicho escaneo

Detección de anomalías
 Se basan en el aprendizaje de actividades para mas adelante poder clasificar los comportamientos
anormales, dado que dependen de la calidad del aprendizaje son propensos a que se presenten
falsos positivos, las técnicas de aprendizaje pueden ser (INCIBE, 2017):

 Sistemas basados en conocimiento: Se basa en el uso de reglas

 Sistemas basados en métodos estadísticos: Se basa en el comportamiento del usuario
 Sistemas basados en aprendizaje automático: Busca mejorar la deteccion y reducción de
falsos positivos, se basa en el aprendizaje automático y la capacidad de incluir características
de nuevos ataques

Detección de usos incorrectos

Comparar las actividades que suceden en la red con una base de datos de firma de ataque,
generan la alarma cuando hay coincidencias de proceso en la base, se pueden presentar tres
variables

 Sistemas Expertos: Conocimiento codificado mediante reglas condición y acción, si se

cumplen todas las condiciones se aplica la acción o regla.
 Detección de firmas: Compara las firmas almacenadas con los eventos que ocurren en el
sistema

Análisis de transacción de estado: cada taque es una secuencia de transacciones, cuando se

alcanza un estado de transacciones se envía una alarma
 

Bibliografia
INCIBE. (01 de Noviembre de 2017). Diseño y Configuración de IPS, IDS y SIEM en Sistemas de
Control Industrial. Obtenido de https://www.incibe-
cert.es/sites/default/files/contenidos/guias/doc/certsi_diseno_configuracion_ips_ids_siem_en_sci.pdf
Lederkremer, M. (2020). Redes Informaticas Avanzadas . Buenos Aires: RedUsers.