Security Onion se basa en Ubuntu e incluye multitud de herramientas para

auditar la seguridad a nivel de redes. La gran variedad de paquetes

recopilados en esta distro nos ayudará en las tareas cotidianas, sin tener
que instalar apps adicionales. Entre los paquetes encontramos desde
sistemas de detección de intrusos, escáneres, monitores de eventos de red,
sniffers, herramientas de análisis forense, etc:

• Snort
• Suricata
• Squert
• Sguil
• Wireshark
• NetworkMiner
• Bro
• Xplico
• Y un largo etc.

IDS = Un sistema de detección de intrusiones (o IDS de sus siglas

en inglés Intrusion Detection System) es un programa de detección de
accesos no autorizados a un computador o a una red.
Sguil = es una colección de componentes de software gratuitos para el
monitoreo de seguridad de red y el análisis de alertas IDS basado en
eventos. El cliente sguil está escrito en Tcl / Tk y puede ejecutarse en
cualquier sistema operativo que lo admita.
Suricata = es un sistema de detección de intrusos basado en código abierto
y un sistema de prevención de intrusos. Fue desarrollado por la Open
Security Foundation. Se lanzó una versión beta en diciembre de 2009, y la
primera versión estándar siguió en julio de 2010.
Kibana = es un panel de visualización de datos de código abierto para
Elasticsearch. Proporciona capacidades de visualización sobre el contenido
indexado en un clúster Elasticsearch. Los usuarios pueden crear gráficos de
barras, líneas y dispersión, o gráficos circulares y mapas sobre grandes
volúmenes de datos.
CyberChef es una herramienta basada en web que nos permitirá analizar y
decodificar datos fácilmente, sin necesidad de utilizar múltiples
herramientas ni utilizar lenguajes de programación para realizar diferentes
acciones. CyberChef está orientado a un público más técnico que realiza
habitualmente ciertas operaciones con datos, pero también es ideal para
estudiantes y gente no técnica para aprender diferentes métodos de cifrado
de datos, por ejemplo.
NetworkMiner es una herramienta forense de análisis de redes para
Windows (posible emulación en GNU/Linux con Wine). El propósito de
NetworkMiner es recolectar información (como evidencia forense) sobre los
hosts de la red en vez de recoger información concerniente al tráfico de la
red.
 A. Instalar Security Onion como servidor
standalone
Paso 1: Para instalar security onion debemos de configurar varios parámetros
primeros. Lo primero es que nuestra maquina virtual debe contar con la
capacidad de 4gb de ram y 2 nucleos activos. Tambien utilizaremos 2 tarjetas de
red: una NAT y otra Host-Only. Ya por último nos quedaría montar nuestra
imagen ISO y comenzar con la instalación.

Paso 2: Una vez se inicie nuestra imagen abrimos el instalador.

Paso 3: Nos desplegará una casilla con varios pasos concernientes a las
preferencias de la instalación. Primero seleccionamos el idioma.

No seleccionamos que descargue actualizaciones de terceros.

Seleccionaremos la primera opción para que ocupe todo el disco.
 Configuramos nuestra ubicación.

Crearemos un usuario y una contraseña que nos servirá para acceder al sistema.
 Una vez acabe la instalación reiniciamos el sistema.

Una vez reiniciemos podremos acceder al sistema con el usuario y la contraseña

que creamos anteriormente.
 B. Configurar IDS
Paso 1: La primera vez que accedamos a Security Onion deberemos de
configurar las interfaces de red y alguna otra cosa más. Ejecutamos el setup
que tenemos en pantalla.

Accedemos con la clave que creamos

 Continuamos para configurar los siguientes servicios.

Presionamos sí para configurar nuestras interfaces de red.

Seleccionamos la interfaz NAT.

 Dejaremos que se le asigne una IP mediante DHCP.

Luego pasamos a configurar la interfaz sniffing, que vendría siendo la interfaz

Host-Only.

Seleccionamos la tarjeta de red.

 Presionamos sí para aplicar todos los cambios.

Reiniciamos nuestro sistema para aplicar los cambios.

Una vez reinicie volveremos a ejecutar el setup para finalizar la configuración de

algunas aplicaciones.
 Omitimos la configuración de las tarjetas de red.

Configuramos nuestro Security Onion en el modo evaluación ya que solo la

utilizaremos para uso personales.

Seleccionamos la tarjeta de red que vamos a monitorear.

Creamos un usuario que nos servirá para poder acceder a las herramientas que
usaremos más adelante.

También configuramos una contraseña.

Aceptamos los cambios.

Ya podemos observar cuales herramientas se han configurado y que el proceso
se ha completado.

Por último, como buena práctica vamos a realizar una actualización de los
paquetes del sistema. Para esto vamos a nuestra consola y escribimos el
comando mostrado en la imagen, luego presionamos enter para empezar el
proceso.
 C. Realizar demostración con Sguil
Paso 1: Procederemos a ejecutar la herramienta sguil que se nos ha creado en el
escritorio.

Paso 2: Nos logueamos con el usuario y la contraseña que creamos

anteriormente.
Seleccionamos las dos tarjetas de red que poseemos e iniciamos sguil.

La primera vez que ejecutemos sguil se verá de la siguiente manera.

Como ya sabemos que sguil detecta la actividad sospechosa que se encuentra en
la red, con el simple hecho de ejecutar una maquina virtual de Kali linux el
programa sguil nos lo detecta como una actividad inusual.

Al volver a la herramienta nos damos cuenta como Kali ha sido detectado como
actividad sospechosa.
Podremos ver más información acerca de esta alerta habilitando las casillas de
Packet Files y Show rules.

También poseemos herramientas que podemos utilizar con Sguil como

Wireshark y NetworkMiner.
 D. Detallar el funcionamiento de CyberChef
Paso 1: ejecutamos la herramienta Cyberchef que tenemos en la pantalla de
inicio. Al abrirse se verá de la siguiente manera.

Paso 2: Vamos a escribir un texto de ejemplo en la casilla superior derecha en

el área de Input el cual estaremos convirtiendo más adelante.
Paso 3: En la sección de la izquiera buscaremos la opción de To Base64 y lo
arrastramos a Recipe. Si nos fijamos en el área de Output nuestro texto de
ejemplo se ha encriptado.

Si también añadimos la opción To hex para convertirlo a formato Hexadecimal,

vemos como este se convierte.
Paso 4: Ahora vamos a hacer el proceso de forma inversa. Vamos a copiar el
resultado en Hex que tenemos y lo pegaremos en el área de input.

Paso 5: Si vamos a la casilla izquierda y ahora buscamos la opción From Hex,

podremos ver como el resultado vuelve a ser Base64.
Paso 6: Si, por último, agregamos la opción from Base64, podremos ver como
se ha descodificado nuestro texto.

Paso 7: También podemos probar más opciones como el obtener información

importante de un correo enviado a tu cuenta de Gmail. Para esto accedemos a
nuestro Gmail y vamos a cualquier mensaje que hayamos recibido, en las
opciones del mensaje presionaremos mostrar original.
Paso 8: Copiamos el texto que aparezca allí.

Paso 9: Al volver a Cyberchef y pegar la información que acabamos de copiar,

buscaremos la opción de Extract mail address y la agregaremos a Recipe. Al
realizar esto podremos observar como en la sección Output nos filtra los
correos electrónicos de este mensaje.
Paso 10: También podríamos filtrar las direcciones IPv4 con las opciones
mostradas en la imagen.

E. Realizar demostración de NetworkMiner

Paso 1: Ejecutando sguil y en cualquiera de las alertas presionamos clic
derecho y luego damos clic en NetworkMiner.
Nos abrirá un recuadro como el siguiente.

Aquí observamos los datos de la maquina Kali que detecto sguil al principio
juego con más información acerca del sistema. También tendríamos la
posibilidad de ver más información como Files, mensajes, etc…