Sistema de Detección de Intrusos (IDS). Snort

Actividades[pic 1]

Trabajo: Sistema de Detección de Intrusos (IDS). Snort

INTRODUCCIÓN

Snort es un Sistema de Detección de Intrusos (IDS) basado en red (IDSN). Dispone de un lenguaje de creación de reglas en el que se pueden definir los patrones que se utilizarán a hora de monitorizar el sistema. Además, ofrece una serie de reglas y filtros ya predefinidos que se pueden ajustar durante su instalación y configuración.

Se trata de un sistema basado en red que monitoriza todo un dominio de colisión y funciona detectando usos indebidos. Estos usos indebidos (o sospechosos) se reflejan en una base de datos formada por patrones de ataques. Dicha base de datos se puede descargar también desde la propia página web de Snort, donde además se pueden generar bases de patrones "a medida" de diferentes entornos (por ejemplo, ataques contra servidores web, intentos de negaciones de servicio, exploits...).

IDS

Un Sistema de Detección de Intrusos (IDS) es una herramienta de seguridad que trata de detectar y monitorizar cualquier intento de comprometer la seguridad en un sistema o una red. Se pueden definir previamente una serie de reglas que impliquen una actividad sospechosa en dicho sistema o red y generar una alerta en consecuencia.

Los IDS incrementan la seguridad de nuestro sistema o red y, aunque no están diseñados para detener un determinado ataque, si que se pueden configurar para responder activamente al mismo. 

DESARROLLO

Un servidor en el que se encuentra instalado Snort está monitorizando todo el tráfico de la subred 172.16.0.0 con máscara 255.255.0.0. En adelante nos vamos a referir a esta subred como subred_A. El alumno debe escribir las reglas de Snort que permitan registrar los siguientes eventos:

1. La palabra GET se utiliza en el protocolo HTTP para indicar un recurso a descargar y aparece siempre al inicio de los mensajes. Introduce una regla en snort que detecte el patrón «GET» en la parte de datos de todos los paquetes TCP que abandonan la subred_A y van a una dirección que no forma parte de la subred_A. Cuando se detecte el patrón indicado la regla debe lanzar una alerta con el mensaje «Detectado GET».

[pic 2]

1. Introduce una regla que intente buscar la palabra «HTTP» entre los caracteres 4 y 40 de la parte de datos de cualquier paquete TCP con origen en la subred_A y van a una dirección que no forma parte de la subred_A. En el fichero de log, el registro debe contener el mensaje «Detectado HTTP».

[pic 3]

1. Crea dos reglas para detectar cuando alguien está intentando acceder a una máquina situada en la subred_A cuya dirección IP es 172.16.1.3 al puerto 137 y los protocolos tanto UDP como TCP. Cuando se detecte el patrón indicado la regla debe lanzar una alerta con el mensaje «Intento de acceso al puerto 137 y el protocolo <TCP|UDP>».

[pic 4]

1. Configura una única regla de Snort que permita capturar las contraseñas utilizadas (comando PASS) al conectarse a servicios de transferencia de ficheros (FTP) o de consulta de correo (POP3) desde la máquina con dirección IP 172.16.1.3 situada en la subred_A. Cuando se detecte el patrón indicado la regla debe lanzar una alerta con el mensaje «Detectada una contraseña».

[pic 5]

CONCLUSIÓN

En este trabajo se ve el uso de snort para detectar tráfico no deseado en un entorno de red simplificado: muestra la instalación del aplicativo principal y de snort como herramienta de detección de intrusos; muestra la configuración necesaria de snort para detectar una serie de ataques previamente definidos. Es necesario hacer hincapié en que snort únicamente detecta patrones: no es capaz de detectar ataques para los que no tenga una regla de detección configurada. Un interesante ejercicio sería repetir el proyecto con un IDS de detección de anomalías, capaz de detectar intrusos para los que no tiene un patrón preestablecido, o con un IPS, capaz de reaccionar ante los intrusos detectados.

...