Sistema Detector de Intrusos en un entorno virtual con EasyIDS
uallcamInforme12 de Noviembre de 2018
5.162 Palabras (21 Páginas)224 Visitas
UNIVERSIDAD NACIONAL DEL ALTIPLANO
FACULTAD DE INGENIERIA MECANICA ELECTRICA ELECTRONICA Y SISTEMAS
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
[pic 1]
“Sistema Detector de Intrusos en un entorno virtual con EasyIDS”
ALUMNO:
W.R. MEDINA RAMOS
Puno – Perú
2014
- Contenido
RESUMEN 4
INTRODUCCIÓN 1
1 MARCO TEORICO 1
1.1 Sistemas de detección de intrusos 1
1.2 Tipos de IDS 1
1.2.1 Hids (Host Ids): 1
1.2.2 Nids (Net Ids): 2
1.3 Arquitectura de un IDS 2
1.4 Snort 2
2 Marco conceptual 4
2.1 Sistema Detector de Intrusos (IDS) 4
2.2 ARPwatch 4
2.3 NTop 5
2.4 CRON server 5
2.5 NTP server 5
2.6 MySQL 5
2.6.1 Uso de MySQL 5
2.6.2 Características de MySQL 6
2.7 APACHE (Acrónimo de "a patchy server"). 6
2.7.1 Características de Apache 6
2.7.2 Uso de Apache 6
2.8 DHCP 7
2.9 SSH (Secure SHell) 7
2.10 Stunnel 7
2.11 Iptable 8
2.12 EasyIDS 8
2.13 Servidor Web 8
3 DESCRIPCION DE ACTIVIDADES REALIZADAS 9
3.1 Instalación y configuraciones previas. 9
3.2 Pruebas y resultados 17
4 Discusión 29
5 Recomendaciones 30
6 Bibliografía 31
RESUMEN
El presente documento trata acerca de un Sistema de Detección de Intrusos (IDS, siglas en inglés). EasyIDS es un sistema de Detección de Intrusos, montado sobre el Sistema Operativo CentOS, el cual integra varias herramientas de monitoreo y administración bajo una interfaz web.
EasyIDS usa como motor un sniffer llamado Snort desarrollado por SourceFire. Para llegar a hablar de dicho sistema se definirá lo que es Snort primeramente. A continuación, se hablará de lo que es un IDS, como funciona y todos los aspectos básicos del mismo.
En éste informe, se explicará el proceso de instalación y configuración de EasyIDS, al mismo tiempo que se ilustrarán ejemplos que éste sistema IDS tiene como funcionalidades.
INTRODUCCIÓN
Uno de los sistemas más conocidos e importantes para la protección de las redes y sistemas informáticos son los Sistemas Detectores de Intrusos (IDS). Los IDS analizan los eventos de un sistema o el tráfico que pasa por una red para detectar comportamiento sospechoso o anómalo y lanzar alarmas que permitan al administrador evitar o responder a los ataques.
Actualmente, los IDS más conocidos y utilizados usan detección basada en firmas, es decir comparan los datos que analizan con patrones de ataques ya conocidos. El principal problema de estos sistemas es que solo detectan ataques conocidos, un problema cada vez mayor debido al crecimiento del número de nuevos ataques y a la proliferación de programas que permiten a todo tipo de usuarios, sin grandes conocimientos, intentar acceder a un sistema de forma fraudulenta.
El proyecto realizado consigue aunar todas las ventajas de la detección basada en firmas, gracias a la utilización del motor de Snort, y la detección basada en anomalías, con la creación de patrones del tráfico normal de la red. Debido a esto, supone una buena opción a la hora de proteger una red o sistema informático.
La implementación de un sistema de detención de intrusos, es una extensión de la seguridad para una organización y que a su vez consiste en detectar actividades inapropiadas o incorrectas desde el exterior-interior de un sistema informático.
La decisión de la elaboración del trabajo con EasyIDS basado en Snort, es que este es un sistema IDS basado en red (NIDS). El cual, tiene como característica analizar y capturar paquetes en busca de alertas, registro y cualquier anomalía que presente la red, con la finalidad de evitar las vulnerabilidades que presente dicha información de la organización.
MARCO TEORICO
Sistemas de detección de intrusos
El primer objetivo marcado era la adquisición de conocimientos básicos sobre los IDS, es decir funcionamiento, tipos, técnicas, etc. Una vez analizados los principales tipos y técnicas actuales para la detección de intrusiones se decidió usar un NIDS basado en anomalías para compensar la dificultad de Snort en detectar nuevos ataques.
Después de definir el tipo de IDS se determinó el tipo de ataques para el cual estaría destinado. Para esto, se comenzó la documentación sobre los principales tipos de ataques y las técnicas que había para detectarlos y evitarlos. Durante este aprendizaje, se observó que la detección de código malicioso basándose en anomalías era un campo poco estudiado y con pocos sistemas desarrollados, sobretodo de código libre.
A continuación, la investigación se centró en las diferentes técnicas y prototipos que estaban destinados a la detección de código malicioso. Esta parte de la documentación fue la más difícil debido al poco material que había y la poca colaboración de los creadores de los principales artículos.
El estudio de Snort tuvo como objetivo comprender el funcionamiento del programa así como estudiar el funcionamiento de las reglas y las alarmas.
Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.
Dentro de sus funciones aplican.
- Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa. No están diseñados para detener un ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos.
- Los IDS: aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos.
Tipos de IDS
Hids (Host Ids):
Protege contra un único Servidor, PC o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determinando de esta manera qué procesos y usuarios se involucran en una determinada acción. Obtienen información del sistema como ficheros, logs, recursos, etc., para su posterior análisis en busca de posibles incidencias.
Nids (Net Ids):
Protege un sistema basado en red. Actúan sobre una red capturando y analizando paquetes de red, es decir, son sniffers del tráfico de red. Luego analizan los paquetes capturados, buscando patrones que supongan algún tipo de ataque. Bien ubicados, pueden analizar grandes redes y su impacto en el tráfico suele ser pequeño.
Actúan mediante la utilización de un dispositivo de red configurado en modo promiscuo (analizan, “ven” todos los paquetes que circulan por un segmento de red aunque estos nos vayan dirigidos a un determinado equipo). Analizan el tráfico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.
Arquitectura de un IDS
Normalmente formada por:
- La fuente de recogida de datos. Estas fuentes pueden ser un log, dispositivo de red, o como en el caso de los IDS basados en host, el propio sistema.
- Reglas que contienen los datos y patrones para detectar anomalías de seguridad en el sistema.
- Filtros que comparan los datos sniffers de la red o de logs con los patrones almacenados en las reglas.
- Detectores de eventos anormales en el tráfico de red.
- Dispositivo generador de informes y alarmas. En algunos casos con la sofisticación suficiente como para enviar alertas vía mail, o SMS.
Snort
Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.
...