Skip to content
SecForge
LAB · SERIE

Lab 05 — ve los paquetes, no solo los logs.

Los logs de host te dicen qué pasó en una máquina. Un IDS te dice qué cruzó el cable. Añade Suricata, apúntalo a tu propio tráfico y lee las alertas.

30 de junio de 20269 min de lectura

El Lab 03 te dio visibilidad basada en host con un SIEM; el Lab 04 segmentó la red. Este laboratorio añade el tercer tipo de visión: la detección de red. Un IDS (sistema de detección de intrusiones) inspecciona los paquetes a medida que pasan y los compara con firmas de tráfico malicioso conocido. Vas a instalar Suricata, un IDS gratuito y de código abierto, y a verlo marcar la actividad que generes contra tu propio objetivo DVWA del Lab 02.

Dónde ejecutarlo

En un laboratorio, la ubicación útil más sencilla es ejecutar Suricata en una VM de monitorización que pueda ver el tráfico hacia tus objetivos: bien en la máquina pfSense del Lab 04, bien en una VM dedicada cuya interfaz esté observando el segmento de objetivos. No necesitas un tap de red; para aprender, ejecutar Suricata directamente en el camino que toma el tráfico es suficiente.

Instala Suricata y sus reglas

# en la vm de monitorización (Ubuntu/Debian)
sudo apt update && sudo apt install -y suricata

# descarga y activa el conjunto de reglas ET Open
sudo suricata-update
sudo systemctl restart suricata

suricata-update descarga el conjunto de reglas Emerging Threats (ET) Open: un extenso conjunto gratuito de firmas comunitarias para ataques conocidos y patrones sospechosos. Confirma que Suricata está observando la interfaz correcta revisando en /etc/suricata/suricata.yaml el adaptador de tu segmento de objetivos y, después, reinícialo.

Genera tráfico que valga la pena detectar

Ahora haz algo de ruido, todo ello contra tu propio host DVWA del Lab 02:

TécnicaCómo hacerlo
Un escaneo de puertosDesde tu VM de analista, ejecuta nmap contra la máquina DVWA. Los escaneos son una de las cosas que un IDS marca de forma más fiable.
Un patrón de ataque web conocidoUsa los propios ejercicios de inyección SQL o XSS de DVWA. Muchas reglas de ET Open coinciden con las firmas de petición que estos producen.
Un user-agent sospechosoDescarga una página de DVWA con una herramienta cuyo user-agent por defecto esté en la lista de bloqueo de ET (algunos escáneres se anuncian a sí mismos). Es una forma sencilla de disparar una regla a voluntad.

Lee las alertas

Suricata escribe las alertas en /var/log/suricata/fast.log (una línea por alerta) y un JSON más rico en eve.json. Sigue el fichero sencillo mientras generas tráfico:

sudo tail -f /var/log/suricata/fast.log

Cada línea nombra la regla que coincidió, una clasificación y el origen y el destino. Correlaciona lo que ves ahí con lo que registró tu SIEM Wazuh del Lab 03 en el lado del host: el mismo evento, visto desde dos puntos de vista. Esa es toda la idea de la defensa en profundidad hecha realidad sobre hardware que tú controlas.

IDS frente a IPS, y los falsos positivos

Dos cosas vale la pena entender una vez que las alertas empiezan a fluir. Primero, un IDS detecta: observa e informa. Su pariente cercano, el IPS (sistema de prevención de intrusiones), se sitúa en línea y puede bloquear el tráfico que coincida con una regla. Suricata puede funcionar en cualquiera de los dos modos; empezaste en modo IDS porque en un laboratorio de aprendizaje quieres verlo todo, no descartarlo en silencio. Pasar a la prevención en línea es un paso posterior y deliberado, una vez que confíes en tus reglas.

Segundo, verás alertas que no provocaste tú, y esa es la verdadera lección. El conjunto de reglas ET Open es amplio, así que el tráfico normal del laboratorio a veces coincide con una firma. Aprender a distinguir una detección genuina de un falso positivo es la habilidad más valiosa que enseña un IDS. Lee la regla que se disparó, mira el paquete con el que coincidió y decide: ¿real o ruido? Los analistas dedican una gran parte de su tiempo exactamente a ese juicio, y tu laboratorio es el lugar más seguro posible para empezar a desarrollarlo.

Un hábito práctico: cuando se dispara una regla que sabes que es benigna en tu laboratorio, no la ignores sin más; anota por qué es benigna. Ese razonamiento es lo que documentarías al afinar un conjunto de reglas en un entorno real, y practicarlo aquí hace que la versión de producción sea rutinaria.

Has construido un laboratorio de verdad

Con cinco laboratorios a tus espaldas, tienes una máquina atacante, una red segmentada, un objetivo vulnerable, detección basada en host y detección basada en red: un entorno de seguridad en miniatura pero genuino. Cada técnica que quieras aprender en el futuro tiene ya un lugar seguro donde ejecutarse. Tanto si profundizas en la ingeniería de detección del blue team como en el oficio del red team a partir de aquí, el entorno está listo y la regla nunca cambia: todo se queda dentro del laboratorio que tú posees. Esa es la recompensa de construirlo capa a capa.

Legalidad y alcance. Cada escaneo, inyección y sondeo de esta serie se dirige a máquinas que tú construiste, dentro de un laboratorio privado que tú controlas. Ejecutar estas técnicas contra sistemas, sitios o redes que no te pertenezcan —o para los que no tengas autorización explícita por escrito para probar— es ilegal en la mayoría de las jurisdicciones. El laboratorio existe precisamente para que nunca tengas que hacerlo.