Sistema de detección de intrusos(IDS)

JUAN CAMILO RESTREPOVANESSA GOMEZ DEOSSA

JUAN CAMILO MUÑOZCRISTIAN CAMILO SEPULVEDA

ALENADER JAVIER HENAOMARVIN SANTIAGO

ADMINISTRACION DE REDES DE COMPUTADORES

INSTRUCTOR:FERNADO QUINTERO

Servicio Nacional de Aprendizaje SENARegional Antioquia

Centro de Servicios y Gestión Empresarial.2010

1

INDICÉ

Introducción 3 Instalación 4Configuración 8Administración y prueba 10Conclusiones 21

2

introducción

La implementación de un sistema que alerte posibles una posible amenaza de intrusión y asi poder detectar aquellas personas que desean hacerle daño a nuestra organisacion es importante en el entorno de nuestra entidad por que al pasar de el tiempo y de la tecnología hay un posible grado de riesgo de que un posible intruso acceda a nuestra organización y así pueda afectar la integridad disponibilidad de nuestra información por esta razón la entidad UNIARIES a tomado la decisión de aplicar reglas según las políticas implantadas en nuestra entidad.

3

IDSsistema de detección de intrusos

instalación

El primer paso que vamos a realizar para implementar nuestro sistema de detección de intrusos es utilizar el cd o la imagen de zentyal. Escogemos el lenguaje de instalación.

Como nuestro idioma es español puede estar en nuestra zona que es colombia entonces

elegimos nuestra región.

4

Probamos nuestro teclado.

Escogemos nuestro país para así escoger el origen de nuestro teclado.

Escogemos la distribución de nuestro teclado es importante escoger la distribución correspondiente a nuestra zona.

5

Esperamos a que analice nuestro cd.

Le damos un nombre a nuestra maquina en nuestro caso vamos a dar el nombre de nuestro grupo de trabajo.

Como nosotros montamos la maquina del ids en una maquina virtual dejamos el particionado igual a como lo configuramos.

En la siguiente imagen lo que nos tocara configurar es el nombre de usuario y su contraseña es importante resaltar que debe ser una contraseña la cual sea fácil para nosotros recordar pues de esta depende que podamos iniciar sesión en nuestro equipo.

El usuario que nosotros escogimos fue el mas apropiado el cual fue el nombre de nuestra entidad

6

=aries

y la contraseña dimos una contraseña básica sin ningún carácter pues es solo de practica

como escogimos una contraseña débil y sin caracteres nos aparecerá el siguiente pantallazo lo cual nos pide que confirmemos que queremos esta contraseña.

Ya por ultimo reiniciamos pues ya esta lista nuestro proceso de instalación.

7

Configuraron

vamos a abrir nuestra herramienta de trabajo en el explorador con la direcion local o con localhost. Y nos pedirá ingresar usuario y contraseña.

vamos a instalar nuestro UTM que es una suite de aplicaciones que serán esenciales para la implementación de nuestro sistema

podemos ver los componentes del UTM

8

esto no es lo único que podemos instalar en nuestro equipo servidor pues también hay opciones como recursos básicos de oficina.

Buscamos y seleccionamos los componentes que vamos a instalar en nuestro equipo.

Damos click en install y nos saldrá una advertencia de si estamos de acuerdo en instalar lo que seleccionamos.

Vemos que empieza la descarga y solo nos queda esperar unos minutos para que instale los componentes.

9

Esperamos y configuramos la interfaz de eth0 podemos darle una dirección de red estática o solo le podemos dar una configuración de ip dinámica escogiendo la opción dhcp.

Administracion

A continuación podemos ver en la margen izquierda de la imagen todo el menu para el correcto funcionamiento de nuestro sistema solo configuramos e instalamos lo que necesitemos en este caso solo vamos a configurar la red como lo son las puertas de enlace las direcciones ip etc.

10

En el siguiente paso que vamos a realizar vamos a especificar las direcciones de nuestra puerta de enlace esto se hace para que a la hora de ver la red tome en cuenta todo lo que entra y sale de ella.

Las direcciones que se agregaron anteriormente corresponden a las puertas de enlace de cada uno de las redes que tenemos podemos ver que le dimos un nombre el cual es el nombre de la red, estos nombre son LAN: red de área local DMZ: zona desmilitarizada donde tendremos algunos servicios y la WAN.

Observamos el estado de los módulos para ver cual tenemos activo y si no lo activamos.

11

Vamos ingresar en sistema y configuramos el usuario y la contraseña pues si deseamos cambiar las que tenemos en el momento que iniciamos la instalación. También podemos seleccionar el idioma.

En la configuración de red vamos especificar nuestras tres interfaces por la cual el ids va a escuchar ejemplo las interfaces por la que el ids va a tener encenta el trafico.

12

Estas interfaces corresponden a las interfaces de la red ejemplo la LAN damos una dirección ip correspondiente a esta podemos darcela por dhcp o simplemente estática.

Vamos a ver la configuración de los registros en este vamos a dar el tiempo que tenemos para que caduque o limpie los registros. Pudiendo seleccionar así por días por meses etc.

13

ejemplo si configuramos el ids podemos decidir cuando queremos que estos datos se purguen o se limpien todos los registros de lo que el ids va almacenando.

Como muchos de nosotros sabemos podemos configurar un ids para que todas los registros o todas las alertas lleguen a un administrador esto se hace para que la persona encargada de la seguridad en la empresa este en conocimiento de lo que esta pasando en ella.

Seleccionamos la opción de correo electrónico. Y configuramos las opciones que allí nos dan como lo es el emisor y el comentario que le queremos dar a este.

14

Ingresamos desde la opción del menú IDS. Podemos ver las interfaces que estan destinadas para este y también hay una pestaña donde podemos ver las reglas estas reglas las veremos mas adelante.

Las reglas que este tiene las podemos configurar a nuestro gusto. La entidad UNIARIES se enfoco en tomar en cuenta según sus políticas tomar en cuenta todo para que los usuarios que están en constante uso a ella cumplan las políticas anteriormente mencionadas. Una de ellas es el ingreso a sistemas de mensajería instantánea o a sitios pornográficos también el escaneo de puertos realizado por personas ajenas a la entidad o el uso de icmp.

Activamos las demás reglas unas de ellas son sobre el uso de shellcode y también del uso de exploit ataques de DoS

15

16

ahora que ya tenemos conocimiento sobre esta herramienta y un poco de su configuración y reglas vamos a dedicar un espacio corto a hacer las diferentes pruebas hacia este probando cada regla que le implementamos uno de estos es que genere las alertas de icmp del chat etc.

17

hacemos ping entre maquinas locales en nuestra red privada que se supone que ya están configuradas.

Podemos observar las diferente alarmas que fueron capturadas inmediata mente cuando tratamos de hacer ping.

18

Otro que puede ser considerado como un ataque es el es nmap pues nmap es un scaner de red.Miramos los registros

19

vamos a intentar ingresar a un servicio de comunicación instantánea y miramos haber si nos genera algún reporte pues así fue la configuraron según sus reglas.

En los registros podemos observar por que puerto se conecto este usuario a que horas etc esto nos quiere decir que nuestro ids esta funcionando perfectamente tanto en nuestras redes locales como en la gran WAN. Nos muestra en la imagen los puertos por los que están conectados el messenger.

20

Conclusión

Damos por concluido con esta implementación que el sistema de detección de intrusos es importante para darnos cuenta de todos los sucesos que ocurren en la nuestra red, mediante la generación de alarmas según las reglas que implementamos. Muchas de estas alarmas pueden ser falsas es decir puede generar falsos positivos pero siempre es importante analizar todo lo que nos alerte nuestro sistema para la entidad UNIARIES y para su grupo de trabajo fue muy productivo la implementación de este sistema porque así se llega a un grado de aprendizaje al que se adquieren conocimientos muy importantes.

21