LinuxParty

Otros artículos más modernos... también:

• Configuración con Ejemplos de Snort para Windows, detección de intrusiones

1. Introducción & contexto moderno

Snort sigue siendo una de las herramientas más usadas como Sistema de Detección / Prevención de Intrusos (IDS / IPS). (snort.org)

En su versión más reciente (Snort 3) se han introducido mejoras arquitectónicas: soporte multihilo, nuevo sistema de reglas y configuración, mejor rendimiento y mayor modularidad. (snort.org)

Aunque en entornos profesionales lo más habitual es usar Snort en sistemas Linux o appliances dedicados, también puede desplegarse en Windows para pruebas, entornos mixtos o sensores locales. (letsdefend.io)

Este artículo te guiará por un proceso actualizado de instalación y configuración en Windows (10 / 11 / versiones recientes de servidor), con las mejores prácticas a 2025.

2. Requisitos previos

Antes de comenzar, asegúrate de:

• Tener permisos de administrador en la máquina Windows.
• Sistema operativo compatible: Windows 10, 11 o versiones servidor modernas.
• Controladores de captura de paquetes (Npcap preferido).
• Tener conexión a internet para descargar reglas y actualizaciones.

Npcap vs WinPcap

WinPcap fue la biblioteca clásica usada durante mucho tiempo para capturar paquetes en Windows, pero su desarrollo está obsoleto.
Hoy la recomendación universal es usar Npcap, que es compatible con el API de WinPcap y está en activo desarrollo. (letsdefend.io)

Durante la instalación de Npcap, selecciona el modo “WinPcap API-compatible” (si está disponible) para asegurar compatibilidad con herramientas que esperan la ABI de WinPcap. (letsdefend.io)

Otros requisitos

• Visual C++ Redistributable (las versiones modernas de Snort lo requieren). (letsdefend.io)
• Espacio en disco suficiente para almacenar reglas, logs y submódulos.
• Si vas a integrarlo con dashboards o SIEM, debes contar con red / acceso a servidor de logs.

Una de las primeras acciones que lleva a cabo un intruso, una vez ingresa a un sistema, es instalar un rootkit, el cual facilita el control de la máquina desde ese momento en adelante. Dichas herramientas presentan un gran riesgo para los administradores y, por tanto, es de vital importancia conocer sus alcances, funcionamiento y los mecanismos que existen para detectarlos.

Los Rootkits fueron descubiertos a mediados de los '90. En aquella época, los administradores de sistema del sistema operativo Unix de SUN comenzaron a ver un comportamiento extraño en el servidor, la falta de espacio de disco, ciclos extra en la CPU y las conexiones de red que no se mostraba con el comando netstat.

Linux trae un firewall basado en host llamado Netfilter. Según el sitio oficial del proyecto:

netfilter es un conjunto de ganchos dentro del kernel de Linux que permite a los módulos del kernel registrar las funciones de devolución de llamada con la pila de red. Una función de devolución de llamada registrada se llama de nuevo para cada paquete que atraviesa el gancho respectivo dentro de la pila de red.

Este firewall basado en Linux es controlado por el programa llamado iptables para controlar de filtrado para IPv4 e ip6tables adminitrando el filtrado para IPv6.

Ejemplo de Reglas iptables

• La mayor parte de las acciones enumeradas en este artículo están escritos con la suposición de que serán ejecutados por el usuario root desde la bash shell  o cualquier otro shell moderna. No escriba los comandos en un sistema remoto, ya que podrá llegar a desconectar su acceso.
• Para fines de demostración he usado RHEL 6.x, pero el siguiente comando debería funcionar con cualquier distribución Linux moderno.
• Esto no es un tutorial sobre cómo configurar iptables. Es una hoja de trucos rápido a los comandos de iptables comunes.

Dos comandos fáciles y rápidos de ejecutar para detener los ataques de negación de servicio desde máquinas zombies. El primer comando sirve para que nuestro servidor bote todos los paquetes de cierta longitud.

Hola Comunidad, después de un corto tiempo de inactividad les hablaré sobre el módulo de mod_security y el módulo mod_evasive para el servicio de apache (servicio web)en GNU/Linux CentOS y prevenir así los ataques de tipo DDOS.

Antes de todo instale el servidor web Apache;

yum -y install httpd

Posteriormente configure para que el servicio para que se inicie en el momento de arrancar el servidor;

Se inicia el servicio Web;

service httpd start

Cuando Microsoft deja de ofrecer actualizaciones de seguridad para un sistema operativo, seguir usándolo conectado a Internet es como dejar la puerta de tu casa abierta… y con un cartel de “pase gratis” para cualquiera.

Windows XP es un caso emblemático: dejó de recibir parches en 2014, pero aún hoy sigue apareciendo en algunos equipos antiguos. Eric Parker, creador de contenido tecnológico, decidió demostrar de forma práctica qué ocurre si ponemos en línea un sistema tan obsoleto y sin ninguna barrera de protección.

El resultado no sorprende a los expertos en ciberseguridad: en apenas 10 minutos, el equipo estaba completamente comprometido.

Cómo se preparó el experimento

Parker configuró una máquina virtual con Windows XP Service Pack 3 en un servidor Proxmox. Para asegurarse de que el sistema quedara tan expuesto como en los primeros años 2000:

• Desactivó el cortafuegos de Windows XP.
• Eliminó la protección NAT, otorgando al equipo una IP pública directa.
• No aplicó ningún parche desde la instalación original.

En otras palabras: la máquina quedó totalmente desnuda frente a Internet.

🔐 Generadores de Contraseñas Aleatorias: Cómo Crear Claves Seguras Sin Complicarte

En el mundo Linux (y en cualquier entorno serio), una de las prácticas de seguridad más importantes es usar contraseñas robustas y aleatorias. Ya sea para proteger un servidor SSH, cifrar una base de datos, acceder a un panel web o crear cuentas de usuario, la calidad de la contraseña marca la diferencia entre un sistema seguro y uno vulnerable.

Sin embargo, muchos usuarios aún caen en el error de usar combinaciones predecibles como 123456, admin123, o incluso nombres propios. Y no, cambiar letras por números (p4ssw0rd) ya no es suficiente.

No subestimes el poder de una buena contraseña. Dedicar 10 segundos a generarla puede ahorrarte días (o semanas) de problemas de seguridad.

Si aún estás usando contraseñas débiles o repetidas en múltiples servicios, hoy es un buen día para empezar a cambiarlas. Y con herramientas como las anteriores, no hay excusa.

🔧 ¿Qué es una contraseña segura?

Una contraseña segura debe cumplir con algunas de estas condiciones:

• Tener al menos 12–16 caracteres
• Incluir letras mayúsculas y minúsculas
• Contener números y símbolos
• No tener palabras del diccionario
• Ser completamente impredecible

🧰 Herramientas Web para Generar Contraseñas Aleatorias

Un lector anónimo cita un informe de TechCrunch: El navegador DuckDuckGo, centrado en la privacidad, está implementando una nueva configuración que permite a los usuarios filtrar las imágenes generadas por IA en los resultados de búsqueda. La compañía afirma que esta función responde a los comentarios de los usuarios que indicaron que las imágenes generadas por IA pueden dificultar la búsqueda.