IES San Andrés

Sistemas detección de intrusos

Alberto Mayo Vega

2

Contenido

1. Objetivos del Proyecto ..........................................................................................................................3

2. Introducción a los Sistemas de Detección de Intrusos ..........................................................................4

2.1 Que es un IDS ..............................................................................................................................4

2.2 Tipos de IDS .................................................................................................................................4

2.3 Funciones principales de un IDS ..................................................................................................5

2.4 Mecanismos de detección de un ataque de un IDS .......................................................................5

2.5 Colocación de un IDS en la Red .................................................................................................5

2.6 Ventajas y desventajas de un IDS ................................................................................................7

3. Sistema de Detección de Intrusos SNORT ............................................................................................7

3.1 Que es SNORT ..............................................................................................................................7

3.2 Instalación y Configuración de SNORT .......................................................................................8

3.3 Reglas de SNORT ....................................................................................................................... 14

4. Detección de Intrusos con AirSnare .................................................................................................... 15

5. Conclusión .......................................................................................................................................... 18

6. Bibliografia ......................................................................................................................................... 18

3

1. Objetivos del Proyecto____________________________________________

Uno de los principales objetivos del presente proyecto, gira en torno a mostrar

los aspectos que motivan la investigación en la seguridad informática y

más concretamente en el campo de los sistemas de detección de intrusos (IDS).

Para ello, en primer lugar se debe destacar la importancia primordial que

debe darse a la protección de los sistemas y de los entornos de red y más

teniendo en cuenta el incremento masivo de los ataques que se está

produciendo en la actualidad. Mantener los recursos de información y

telecomunicaciones protegidos contra extraños o intrusos, es una de las

principales prioridades para cualquier organización.

Sacar una conclusión sobre importancia de tener un buen Sistema de Detección

de Intrusos.

4

2. Introducción a los Sistemas de Detección de Intrusos__________

2.1 Que es un IDS_________________________________________________

Los sistemas de detección de intrusos o IDS (Intrusion Detection System) son

programas que monitorizan la actividad del sistema con el fin de detectar accesos o

acciones no autorizados a una máquina o a una red.

A la hora de implantar un sistema de detección de intrusos se deben tener en

cuenta dos posibilidades, hardware o software (siendo posible una combinación

de los dos) La opción de optar por hardware es más usual cuando el tráfico de red

es muy alto.

2.2 Tipos de IDS__________________________________________________

Atendiendo al ámbito de actuación podemos diferenciar entre HIDS y NIDS

HIDS – Host Intrusion Detection System: Está basado en el propio

host donde está instalado, busca actividad sospechosa en la propia

máquina analizando el sistema constantemente.

NIDS – Network Instrusion Detection System: Está basado en una red,

busca actividad sospechosa analizando el tráfico de red (Incluído el tráfico

local)

Si atendemos a la naturaleza de los IDS distinguiremos entre:

Sistemas pasivos: Cuando detectan una actividad similar a una acción o

acceso no autorizado lo registra en una base de datos. El objetivo

principal de estos sistemas es el análisis del tráfico para obtener

información de la comunicación presente en la red.

Sistemas activos: Cuando detectan una actividad similar a una acción

o acceso no autorizado el sistema responde bloqueando la posible

intrusión y guardándolo en la base de datos.

5

2.3 Funciones principales de un IDS_ _________________________

Registrar indicadores de actividad de intrusos.

Activar las alertas correspondientes.

Puede buscar ataques provenientes de fuera de la red.

Monitorear las actividades desde la red interna.

Buscar actividades anómalas

Configurarse para atacar automáticamente a los sospechosos.

Recoger información para análisis de anomalías en tiempo real.

2.4 Mecanismos de detección de un ataque de un IDS____

Un IDS usa alguna de las dos siguientes técnicas para determinar que un ataque se

encuentra en curso:

Patrón. Un IDS basado en patrones, analiza paquetes en la red, y los

compara con patrones de ataques conocidos, y preconfigurados.

Heurística. Determina actividad normal de red, como protocolos, puertos y

dispositivos que generalmente se interconectan, y alerta a un administrador

o usuario cuando este varía de aquel considerado como normal,

clasificándolo como anómalo.

2.5 Colocación de un IDS en la Red __________________________

Para tener un funcionamiento adecuado en un sistema de detección de intrusos

(IDS) es necesario considerar el lugar de colocación del IDS ya sea antes o después

los cortafuegos o Firewall.

6

IDS después de un Firewall

Dada esta colocación del IDS se facilita su desempeño puesto que el sistema cuenta

con un filtro (Firewall) que anticipa posibles amenazas. Por otra parte se reduce así

la cantidad de paquetes a procesar.

IDS antes del firewall

Si colocamos un IDS antes del Firewall, el IDS no contara con un filtro primario de

paquetes y datos. En un ambiente real, un IDS este método es vulnerable ante

ciertas amenazas y ataques debido a la gran cantidad de tráfico que viaja a través

de la red.

Conclusión

Vistas ambas posibilidades concluimos que la mejor opción para la colocación de

un IDS, es después del Firewall.

7

2.6 Ventajas y desventajas de un IDS_________________________

Ventajas.

- Los IDSs basados en detección de anomalías detectan comportamientos

inusuales. De esta forma tienen la capacidad de detectar ataques para los

cuales no tienen un conocimiento específico.

- Los detectores de anomalías pueden producir información que puede ser

utilizada para definir firmas o reglas en la detección de abusos.

Desventajas.

- La detección de anomalías produce un gran número de falsas alarmas

debido a los comportamientos no predecibles de usuarios y redes.

3. Sistema de Detección de Intrusos SNORT_________________________

3.1 Que es SNORT_________________________________________________

El sistema que se ha elegido para el desarrollo del proyecto ha sido Snort.

Snort (www.snort.org) es un sistema de detección de intrusiones basado en red

(NIDS).

Está disponible bajo licencia GPL, es gratuito y funciona bajo plataformas

Windows, GNU/Linux y Mac OS. Es uno de los más usados y dispone de una gran

cantidad de filtros o patrones ya predefinidos, y actualizaciones constantes.

Snort tiene una base de datos de ataques que se está actualizando constantemente

y a la cual se puede añadir o actualizar a través de la Internet.

8

3.2 Instalación y Configuración de SNORT___________________

La instalación se realizó una distribución Linux (Ubuntu 15.04) por medio de la

terminal de línea de comandos.

Se siguieron los siguientes pasos:

1. Abrir una terminal

2. Damos permisos de superusuario con el comando sudo su

Introducimos el comando de instalación de paquete sudo apt-get install snort

3. A continuación pedirá la siguiente opción de configuración

9

En este paso pide la dirección de red local (la cual va a ser la que se estará

monitoreando). En este punto puede haber 3 opciones de configuración:

Si es una única dirección se colocará con máscara de subred /32

Si es un bloque de 256 IPs se utilizará la máscara /24

Si es una red más amplia se utilizará la máscara /16

4. Una vez finalizado el proceso de instalación se puede realizar la configuración

completa por medio del comando dpkg-reconfigure snort

Lo cual hará que se pidan las configuraciones, que serán guardadas en el archivo

/etc/snort/snort.debian.conf

5. La siguiente ventana nos preguntará que opción de arranque se deseamos configurar:

10

6. Después viene una ventana de explicación de lo que será el próximo requisito a

pedir, la interfaz de red que se escaneará.

Para saber que interfaz que utilizamos, recurrimos al comando desde otro terminal

abierto /sbin/route –n

Este comando nos devuelve información sobre nuestra red y la interfaz que

estamos usando eth0, que será la que pongamos en la siguiente ventana.

11

7. En la siguiente opción se escribe la interfaz obtenida en la anterior instrucción

8. Ahora se deberá escribir la dirección de red que se desea escanear

12

9. Opción de habilitar o deshabilitar el “Modo promiscuo” En este caso lo deshabilitaremos para que no escanee toda la red

10. La siguiente ventana nos preguntara si deseamos recibir resúmenes electrónicos por correo de las alertas encontradas.

13

11. Se especifica el correo electrónico en que se desea recibir los resúmenes diarios

12. Finalmente se nos ordenara que reiniciemos SNORT para acabar con la instalación.

Reiniciaremos SNORT con el siguiente comando /etc/init.d/snort restart

Queda totalmente instalado SNORT

14

3.3 Reglas de SNORT_____________________________________________

Las reglas o firmas son patrones que buscan dentro de los paquetes de datos. Las

reglas de SNORT son utilizadas por el motor de detección para comparar los

paquetes recibidos y generar las alertas en caso de existir coincidencias entre

el contenido de los paquetes y las firmas.

Aunque los conjuntos de reglas estándar incluidos en SNORT proporcionan una

protección adecuada contra ataques conocidos, tenemos la opción de diseñar

nuestras propias reglas personalizadas para obtener un rendimiento del IDS más

personalizado.

Además de las reglas estándar incluidas por defecto en el IDS podemos también

descargar más reglas a través de la página

https://www.snort.org/downloads/#rule-downloads

Yo he descargado como muestra una regla que informa de cuando un usuario ha

accedido a una página no aconsejada, en este caso Facebook, hay reglas que

permiten impedir el acceso a ciertas páginas pero son para usuarios que han

pagado por esas reglas

15

4. Detección de Intrusos con AirSnare_______________________________

Este software de Detección de Intrusos es un software libre y gratuito y de uso sencillo. La principal tarea de este sistema aparte de detectar la actividad anormal existente en nuestra red es la de permitir o denegar la conexión a nuestra red WIFI solo a los equipos que nosotros queramos. La instalación es muy sencilla (http://home.comcast.net/~jay.deboer/airsnare), se abre un asistente de instalación y solo tenemos que ir aceptando y dándole a siguiente, puesto que toda la instalación es por defecto. Una vez descargado e instalado, lo iniciamos y seleccionamos la interfaz de

red con la que queremos empezar la monitorización. Pulsamos sobre el botón

izquierdo del ratón y, luego, sobre Start. Después de unos momentos, nos avisa

mediante voz y con mensajes en la pantalla de cada una de las direcciones MAC

que encuentra en la red.

16

Al principio, va a tomar a todas las direcciones MAC detectadas como desconocidas.

No obstante, nosotros mismos comprobamos cuáles verdaderamente pertenecen a

los ordenadores y periféricos permitidos, seleccionándolas y pulsando sobre el

botón izquierdo del ratón. Al elegir la opción add to Trusted, las direcciones

pasarán a la lista de direcciones amigas.

17

Una vez que tengamos dentro de las direcciones amigas a todos nuestros

dispositivos, solo resta dejar escuchando al software para ver si localiza algún

intruso real. Si esto se produce, nos alertará mediante voz y, además, nos

dejara un registro en una parte de la ventana principal.

El software tiene muchas más posibilidades, entre ellas, la de enviarnos un correo

electrónico cada vez que se produzca un evento extraño, con lo que podemos, por

ejemplo, estar monitorizando nuestra red doméstica incluso mientras estemos en

la oficina. Para ello, debemos seguir la ruta Options/Options/AirMail y rellenar

los campos relacionados con la cuenta de correo que queremos usar para enviar el

correo de alarma (smtp, puerto, usuario y contraseña), así como las direcciones

de e-mail a las que queremos que sea enviado. No debemos olvidar activar el

servicio señalando la opción Send E-mail on Alert dentro del menú que

reza Options.

18

5. Conclusión_____________________________________________________________

Hemos visto una visión general de lo que es un IDS, de su funcionamiento así como

de la eficacia de los mismos.

Podemos concluir en que hay una gran variedad de sistemas de detección de

intrusos que se pueden usar, y que cumplen una función primordial para la

seguridad de nuestros equipos y de nuestros sistemas, recobrando así la

importancia de tener un sistema seguro.

6. Bibliografia____________________________________________________________

http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos http://es.kioskea.net/contents/162-sistema-de-deteccion-de-intrusiones-ids http://www.monografias.com/trabajos11/intru/intru.shtml http://html.rincondelvago.com/sistema-de-deteccion-de-intrusos.html http://www.maestrosdelweb.com/snort/ http://team.daboweb.com/fentlinux/manuales/escaneos_snort.pdf http://snort.malavida.com/manuales/ http://rafasec.blogspot.com.es/2008/03/instalacin-y-configuracin-de-snort-en.html http://es.slideshare.net/AndrsGonzlezSurez/andrs-gonzlez-surez-instalacin-y-configuracin-de-snort