https://isc.sans.org/portascii.html?port=8247&start=2008-12-22&end=2009-01-21
En el 2006, JaCkSecurity tuvo el privilegio de participar y asistir al I Simposio de Redes y Comunicaciones de Datos, organizado por la institución educativa TECSUP. En aquella ocasión Johannes B. Ullrich Ph.D, en su ponencia magistral, nos dejó una importante lección para quienes monitorean su red perimétrica, con sus IDS (alertas) y Firewalls (logs).
Johannes, quien es el creador original del sistema DSHIELD (un sistema empleado por el Internet Storm Center, entidad que es parte de The SANS Institute), nos enseñó que debíamos contrastar los eventos TOP de tráfico por puerto registrados en DSHIELD o ISC con los de nuestras redes.
Al contrastar lo observado en DSHIELD con los registros de nuestras redes, podíamos (señalaba Johannes) determinar si una incidencia hacia un puerto local nuestro era producto de ataque masivo (no dirigido a nosotros) o un ataque directo, es decir uno que sólo busca trasgredir nuestra red. Ello ayudaría a un analista de detección de intrusos reconocer qué eventos locales deben ser los más relevantes para analizar.
Toda vez que DSHIELD registra puertos de creciente global, nosotros podríamos aislarnos imaginariamente de los eventos con dichos puertos para ver el resto de alarmas de nuestro IDS o Firewall perimetral. No obstante, recientemente, otro miembro de ISC hizo otra observación también válida, luego de recibir reportes de incremento importante en el puerto UDP/8247 (producto de la Inauguración del presidente Obama): Sería muy sencillo para un intruso ocultar sus acciones en este puerto, si decidimos simplemente ignorarla.
Lo escrito anteriormente amerita un resumen de ideas, antes de provocar la confusión en el público, y es que ambos argumentos son totalmente válidos, lo importante es el orden con que se tome. Para rapidez en la lectura de sus registros de eventos de IDS, sea que en tiempo real (casi) o no, la propuesta de Johannes es la primordial, puesto que nos permitirá concentrarnos en lo que más nos importa: es decir, nuestra red, la joya de la corona. Luego de revisar todos los eventos elevados diferentes a los globales (como los arrojados por DSHIELD), procedemos a revisar ese evento global en nuestra red y a indagar si tiene correlación lo más exacta posible, por ejemplo, el pattern de 1043 bytes.
El monitoreo de red es una labor permanente. Para los más expertos, lo anterior podría hacerse en simultáneo o a la inversa. Si desea ser asesorado en esta actividad de seguridad, no dude en ponerse contacto con nosotros, gustosos le atenderemos.
jaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría