Zeek: Herramienta de seguridad de red de código abierto
Continuando con nuestra serie de artículos sobre las existentes y útiles aplicaciones y sistemas (herramientas de software) del ámbito de la seguridad informática, que además suelen ser libres, abiertas y gratuitas, hoy abordaremos una conocida como «Zeek». La cual, es conocida por ser una excelente herramienta de monitoreo de seguridad de red de código abierto.
Posiblemente, algunos la hayan podido conocer y usar años atrás (hasta el 2018), bajo su anterior nombre, es decir, Bro. Sobre todo, por qué dicho software cuenta con una larga historia de uso (1990/2023) en el mundo del código abierto y la seguridad digital. Por lo que hoy, vamos a explorarla para contribuir con su difusión y empleo, por parte de los Linuxeros y demás profesionales TI.
Pero, antes de empezar este interesante post sobre la herramienta de seguridad de red de código abierto «Zeek», les recomendamos la anterior publicación relacionada, para su posterior lectura:
Zeek: Una herramienta de monitoreo de seguridad de red
¿Qué es Zeek?
Explorando y analizando su sitio web oficial, podemos extraer los siguientes puntos importantes sobre dicha herramienta de software:
- Es una plataforma de software de código abierto que proporciona registros de transacciones compactos y de alta fidelidad, contenido de archivos y resultados totalmente personalizados para los analistas, desde la oficina doméstica más pequeña hasta las redes comerciales y de investigación más grandes y rápidas.
- Ayuda a las organizaciones a comprender cómo se utiliza su red, respaldando las misiones de seguridad, rendimiento, auditoría y capacidad. Gracias a su lenguaje de programación optimizado para la red, su vibrante comunidad de código abierto y su huella global, Zeek proporciona los datos y los conocimientos necesarios para enfrentar los desafíos de red más difíciles de la actualidad, en los entornos informáticos empresariales, en la nube e industriales.
- Posee un licenciamiento bajo la licencia permisiva BSD. Siendo, la sede del proyecto Zeek el Instituto Internacional de Ciencias de la Computación (ICSI) en Berkeley, CA. El cual, es una organización sin fines de lucro.
- No es un dispositivo de seguridad activo, como un firewall o un sistema de prevención de intrusiones. Más bien, puede entenderse como un “sensor” sobre una plataforma de hardware, software, virtual o en la nube, que observa silenciosa y discretamente el tráfico de la red. Para así, interpretar lo que ve y crear registros de transacciones dentro de archivos con resultados personalizables; cuyos contenidos que sean gestionables fácilmente de forma manual o automatizada.
Zeek es un poderoso Framework deanálisis de tráfico de red y el monitoreo de seguridad que es muy diferente del típico IDS que quizás conozca. Además, es desarrollado en GitHub por su comunidad. En la actualidad, como resultado de innumerables contribuciones, Zeek es utilizado operativamente en todo el mundo por importantes empresas e instituciones educativas y científicas por igual para proteger su infraestructura cibernética. Zeek en GitHub
Características
Entre sus principales características se pueden mencionar las siguientes:
- Realiza análisis en profundidad: Gracias a que incluye analizadores para muchos protocolos, lo que permite un análisis semántico de alto nivel en la capa de aplicación.
- Es adaptable y flexible: Debido al uso de su lenguaje de secuencias de comandos específicos del dominio de Zeek, el cual le permite diseñar y ejecutar políticas de monitoreo específicas para un determinado sitio, y lo hace no estar restringido a ningún enfoque de detección en particular.
- Es muy eficiente: Por lo que, sin mayores problemas, puede ser usado sobre redes de alto rendimiento y en una variedad de sitios grandes.
- Es muy robusto: Ya que, mantiene un extenso estado de capa de aplicación sobre la red que supervisa y proporciona un archivo de alto nivel de la actividad de una red.
- Se mantiene moderno, bien actualizado y fácil de instalar: Por ello, su última versión estable es la versión 5.20, la cual ha sido liberada el día 02 de febrero de 2023, e incluye útiles cambios y nuevas funcionalidades. Y es fácilmente instalable utilizando las siguientes instrucciones de instalación.
Zeek es un analizador de tráfico de red pasivo y de código abierto, usado por muchos como monitor de seguridad de la red (NSM) para respaldar las investigaciones de actividades sospechosas o maliciosas. Además, es extremadamente útil, ya que admite una amplia gama de tareas de análisis de tráfico más allá del dominio de la seguridad, incluidas la medición del rendimiento y la resolución de problemas. Documentación oficial
Resumen
En resumen, esperamos que esta publicación relacionada con el flexible, abierto y gratuito software de seguridad de red de código abierto para Linux/Unix llamado «Zeek», les permita a muchos, el poder realizar los necesarios análisis del tráfico de red de sus plataformas, aprovechando el enfoque particular en el monitoreo de seguridad semántica a escala que ofrece dicho software.
Por último, si conoces o has usado dicha herramienta de software, no dejes de aportar tu opinión sobre el tema de hoy, vía comentarios. Y, si te ha gustado esta publicación, no dejes de compartirla con otros. Además, recuerda visitar nuestra página de inicio en «DesdeLinux» para explorar más noticias, y unirte a nuestro canal oficial de Telegram de DesdeLinux, o este grupo para más información sobre el tema de hoy.