Monitoriza la seguridad de tu red doméstica o profesional con Zeek

Monitoriza la seguridad de tu red doméstica o profesional con Zeek

Lorena Fernández

Hoy en día, es necesario tener un control completo acerca de los potenciales problemas de red, especialmente si hablamos de la seguridad. Así también, tener un panorama global sobre los mismos: las causas, los impactos en las tareas diarias y las soluciones que se podrían aplicar. Los tiempos que corren, obligan a que la conectividad sea confiable y proporcione protección ante las múltiples amenazas. A esto último hay que agregar el hecho de que el trabajo desde casa está en auge, y todos quienes ponen en práctica el teletrabajo deben estar protegidos.

La seguridad en redes y su gestión van evolucionando favorablemente gracias a herramientas que lo hacen todo mucho más fácil y práctico. Atrás quedaron los días en que múltiples soluciones muy costosas y difíciles de usar, no daban la respuesta deseada. Los ciberataques cada vez dan menos tregua y las redes tienen que contar con un auténtico escudo protector.

Zeek se presenta como una herramienta de apoyo a la gestión de respuesta ante incidentes de seguridad. Funciona complementando herramientas signature-based (basado en firmas) para poder encontrar y realizar seguimiento de eventos de red complejos. Se caracteriza por proporcionar respuestas rápidas, además de que utiliza múltiples flujos y protocolos. No sólo ayuda a identificar los eventos de seguridad, sino también apunta a facilitar la resolución de problemas.

Monitorización en detalle de las redes mediante logs

Un archivo de log es de gran ayuda a la hora de realizar análisis de problemas de red de todo tipo, incluyendo aquellos eventos que comprometen su integridad en materia de seguridad. Zeek saca muy buen provecho de esto, ofreciendo un archivo que resume una buena parte de los logs que puede generar, en base a varios protocolos. Algunos de los protocolos que podemos citar son:

  • DHCP
  • DNS
  • FTP
  • HTTP
  • SNMP
  • SMTP
  • SSL y muchos más

Más arriba vemos una captura de todos los campos que contiene el log de las conexiones DNS. Es posible ver que cada campo detalla el tipo de dato que se podrá visualizar y una breve descripción informativa. Citemos unos cuantos campos como ejemplos:

  • trans_id: un número único generado para identificar el log generado.
  • rcode: valor del código de respuesta DNS.
  • rejected: este es un campo de valor booleano (verdadero o falso) que nos dice si la petición de conexión DNS fue rechazada o no.

Un aspecto que, a nivel general, se comenta respecto a los logs es que son extensos y complicados de entender. Mediante este material de apoyo, podrás comprender mejor el contenido de los logs y lograr el control de los eventos de seguridad.

Scripts de monitorización

Otra facilidad más que podemos destacar de Zeek es que es posible contar con algunos scripts pre-configurados y listos para utilizar. Los mismos sirven para ejecutar actividades propias de monitoreo de redes, las cuales son utilizadas con frecuencia, por lo que ahorrarás tiempo.

Uno de los scripts que podemos destacar es el que corresponde al HTTP Stalling Detector. Este sirve para la detección de ataques DDoS de tipo HTTP Stalling, para tener una idea, este tipo de DDoS se aprovecha de una de los errores más relevantes de un servidor web.

La misma consiste en no poder determinar si un cliente remoto está conectado al servidor a través de un enlace de conexión lenta. O bien, si el mismo cliente está enviando datos sin control alguno a muy lenta velocidad. En consecuencia, el servidor web no puede generar un timeout para anular esa conexión después de cierto tiempo, o simplemente terminarla. Si un servidor web tiene una capacidad limitada, se puede ver fácilmente afectada por este tipo de ataques.

Si quieres aprovechar este u otros scripts, debes ingresar al portal oficial de la compañía Corelight, la cual respalda a Zeek, para acceder a los mismos mediante su repositorio oficial de Github. En el mismo sitio también se encuentran disponibles otros recursos para ayudarte a comenzar a usar la herramienta.

Curiosidad sobre Zeek

Cuando escuchas o dices la palabra «Bro», ¿en qué te hace pensar? ¿Te suena la palabra «Bromance» o «Bro Culture»? Como hemos comentado, el programa Zeek, anteriormente, se denominaba Bro. Sin embargo, el significado de la palabra «Bro», en la jerga popular, se aplica a contextos que poco o nada tienen que ver con el foco de esta solución de seguridad informática. Esto es así hasta el punto de que la compañía que desarrolla esta solución se ha topado con riesgos de que los potenciales o actuales clientes puedan tener concepciones erróneas respecto al propósito original en que se había quedado dicha solución.

En consecuencia, mediante una decisión tomada por el equipo de liderazgo, se ha decidido que el cambio de nombre. Zeek, de hecho, es un nombre que ya existía en las mentes del primer grupo de personas que había comenzado a trabajar con el proyecto. Por lo que no han demorado demasiado en poder encontrar un nombre sustituto.

Cómo descargar Zeek

Accede a este enlace para obtener todas las descargas que necesitas. Contarás con el código fuente de la versión estable actual, así como la versión anterior que contará con soporte hasta el mes de octubre de este año. En definitiva, obtendrás la documentación necesaria para tener el soporte necesario, además de una comunidad activa que contribuye frecuentemente para que Zeek continúe mejorando.

Si no estás seguro acerca de optar o no por esta herramienta, cuentan con una aplicación en línea que te permite probar algunas funcionalidades básicas en tiempo real. Al ingresar a este enlace, no necesitarás de alguna cuenta para probar. Contarás con una breve explicación de cada unidad y un espacio para poder probar los comandos y códigos.