La monitorización de seguridad de la red es una práctica que ha ido creciendo a lo largo del tiempo sobre todo en grandes empresas, debido a que es importante conocer los eventos que suceden en la red local, ya que es en donde se puede detectar cualquier actividad anormal.
El monitoreo de red (Network Security Monitoring, NSM) consiste en aplicar una metodolgía[1] detectar las intrusiones que ocurren dentro de una red, ayudados de un conjunto de herramientas[2].
Para realizar NSM es muy importante el análisis de la información recabada por las herramientas, ya que para los casos de intrusiones el tiempo de detección debe ser corto, y no se debe desperdiciar tiempo[3].
Metodología
El NSM consiste en la recolección, análisis, y escalación de eventos[4].
- Recolección: La recolección se lleva a cabo con herramientas, que capturan paquetes, analizan metadatos y proveen de alertas, estas pueden ser IDS, sniffers, etc.
- Análisis: El análisis es realizado por personas, ayudadas de herramientas que muestran la información recolectada en un formato fácil de entender.
- Escalación: Es reportar los hallazgos a las personas responsables de tomar decisiones.
- Respuesta a Incidentes: Son las acciones que se deben de realizar cuando se detecta un incidente.
Herramientas
Existe una gran variedad de herramientas que se utilizan en NSM, una de las más completas es Security Onion[5], que más que una herramienta es una distribución de Linux que tiene preinstaladas una colección de herramientas gratuitas, con una fácil configuración.
Recoleción
Algunas de las herramientas que incluye para la recolección son:
Snort o Suricata: IDSs basados en firmas.
[1] http://www.vorant.com/files/nsm_with_sguil.pdf
[2] L. Todd Heberlein, Network Security Monitor, http://seclab.cs.ucdavis.edu/papers/NSM-final.pdf
[3] http://www.vorant.com/files/nsm_with_sguil.pdf
[4] Richard Bejtlich, Tao of Network Security Monitoring, The: Beyond Intrusion Detection
[5] https://security-onion-solutions.github.io/security-onion/