IES San Andrs

Sistemas deteccin
de intrusos
Alberto Mayo Vega
Contenido

1. Objetivos del Proyecto ..........................................................................................................................3

2. Introduccin a los Sistemas de Deteccin de Intrusos ..........................................................................4
2.1 Que es un IDS ..............................................................................................................................4
2.2 Tipos de IDS.................................................................................................................................4
2.3 Funciones principales de un IDS ..................................................................................................5
2.4 Mecanismos de deteccin de un ataque de un IDS .......................................................................5
2.5 Colocacin de un IDS en la Red .................................................................................................5
2.6 Ventajas y desventajas de un IDS ................................................................................................7
3. Sistema de Deteccin de Intrusos SNORT ............................................................................................7
3.1 Que es SNORT ..............................................................................................................................7
3.2 Instalacin y Configuracin de SNORT .......................................................................................8
3.3 Reglas de SNORT .......................................................................................................................14
4. Deteccin de Intrusos con AirSnare ....................................................................................................15
5. Conclusin ..........................................................................................................................................18
6. Bibliografia .........................................................................................................................................18

2
 1. Objetivos del Proyecto____________________________________________

Uno de los principales objetivos del presente proyecto, gira en torno a mostrar
los aspectos que motivan la investigacin en la seguridad informtica y
ms concretamente en el campo de los sistemas de deteccin de intrusos (IDS).

Para ello, en primer lugar se debe destacar la importancia primordial que

debe darse a la proteccin de los sistemas y de los entornos de red y ms
teniendo en cuenta el incremento masivo de los ataques que se est
produciendo en la actualidad. Mantener los recursos de informacin y
telecomunicaciones protegidos contra extraos o intrusos, es una de las
principales prioridades para cualquier organizacin.

Sacar una conclusin sobre importancia de tener un buen Sistema de Deteccin

de Intrusos.

3
 2. Introduccin a los Sistemas de Deteccin de Intrusos__________

2.1 Que es un IDS_________________________________________________

Los sistemas de deteccin de intrusos o IDS (Intrusion Detection System) son

programas que monitorizan la actividad del sistema con el fin de detectar accesos o
acciones no autorizados a una mquina o a una red.

A la hora de implantar un sistema de deteccin de intrusos se deben tener en

cuenta dos posibilidades, hardware o software (siendo posible una combinacin
de los dos) La opcin de optar por hardware es ms usual cuando el trfico de red
es muy alto.

2.2 Tipos de IDS__________________________________________________

Atendiendo al mbito de actuacin podemos diferenciar entre HIDS y NIDS

HIDS Host Intrusion Detection System: Est basado en el propio

host donde est instalado, busca actividad sospechosa en la propia
mquina analizando el sistema constantemente.

NIDS Network Instrusion Detection System: Est basado en una red,

busca actividad sospechosa analizando el trfico de red (Includo el trfico
local)

Si atendemos a la naturaleza de los IDS distinguiremos entre:

Sistemas pasivos: Cuando detectan una actividad similar a una accin o

acceso no autorizado lo registra en una base de datos. El objetivo
principal de estos sistemas es el anlisis del trfico para obtener
informacin de la comunicacin presente en la red.

Sistemas activos: Cuando detectan una actividad similar a una accin

o acceso no autorizado el sistema responde bloqueando la posible
intrusin y guardndolo en la base de datos.

4
 2.3 Funciones principales de un IDS_ _________________________

Registrar indicadores de actividad de intrusos.

Activar las alertas correspondientes.

Puede buscar ataques provenientes de fuera de la red.

Monitorear las actividades desde la red interna.

Buscar actividades anmalas

Configurarse para atacar automticamente a los sospechosos.

Recoger informacin para anlisis de anomalas en tiempo real.

2.4 Mecanismos de deteccin de un ataque de un IDS____

Un IDS usa alguna de las dos siguientes tcnicas para determinar que un ataque se
encuentra en curso:

Patrn. Un IDS basado en patrones, analiza paquetes en la red, y los

compara con patrones de ataques conocidos, y preconfigurados.

Heurstica. Determina actividad normal de red, como protocolos, puertos y

dispositivos que generalmente se interconectan, y alerta a un administrador
o usuario cuando este vara de aquel considerado como normal,
clasificndolo como anmalo.

2.5 Colocacin de un IDS en la Red __________________________

Para tener un funcionamiento adecuado en un sistema de deteccin de intrusos

(IDS) es necesario considerar el lugar de colocacin del IDS ya sea antes o despus
los cortafuegos o Firewall.

5
 IDS despus de un Firewall

Dada esta colocacin del IDS se facilita su desempeo puesto que el sistema cuenta
con un filtro (Firewall) que anticipa posibles amenazas. Por otra parte se reduce as
la cantidad de paquetes a procesar.

IDS antes del firewall

Si colocamos un IDS antes del Firewall, el IDS no contara con un filtro primario de
paquetes y datos. En un ambiente real, un IDS este mtodo es vulnerable ante
ciertas amenazas y ataques debido a la gran cantidad de trfico que viaja a travs
de la red.

Conclusin
Vistas ambas posibilidades concluimos que la mejor opcin para la colocacin de
un IDS, es despus del Firewall.

6
 2.6 Ventajas y desventajas de un IDS_________________________

Ventajas.
- Los IDSs basados en deteccin de anomalas detectan comportamientos
inusuales. De esta forma tienen la capacidad de detectar ataques para los
cuales no tienen un conocimiento especfico.

- Los detectores de anomalas pueden producir informacin que puede ser

utilizada para definir firmas o reglas en la deteccin de abusos.

Desventajas.
- La deteccin de anomalas produce un gran nmero de falsas alarmas
debido a los comportamientos no predecibles de usuarios y redes.

3. Sistema de Deteccin de Intrusos SNORT_________________________

3.1 Que es SNORT_________________________________________________

El sistema que se ha elegido para el desarrollo del proyecto ha sido Snort.

Snort (www.snort.org) es un sistema de deteccin de intrusiones basado en red
(NIDS).

Est disponible bajo licencia GPL, es gratuito y funciona bajo plataformas

Windows, GNU/Linux y Mac OS. Es uno de los ms usados y dispone de una gran
cantidad de filtros o patrones ya predefinidos, y actualizaciones constantes.
Snort tiene una base de datos de ataques que se est actualizando constantemente
y a la cual se puede aadir o actualizar a travs de la Internet.

7
 3.2 Instalacin y Configuracin de SNORT___________________
La instalacin se realiz una distribucin Linux (Ubuntu 15.04) por medio de la
terminal de lnea de comandos.
Se siguieron los siguientes pasos:

1. Abrir una terminal

2. Damos permisos de superusuario con el comando sudo su

Introducimos el comando de instalacin de paquete sudo apt-get install snort

3. A continuacin pedir la siguiente opcin de configuracin

8
En este paso pide la direccin de red local (la cual va a ser la que se estar
monitoreando). En este punto puede haber 3 opciones de configuracin:

Si es una nica direccin se colocar con mscara de subred /32

Si es un bloque de 256 IPs se utilizar la mscara /24

Si es una red ms amplia se utilizar la mscara /16

4. Una vez finalizado el proceso de instalacin se puede realizar la configuracin

completa por medio del comando dpkg-reconfigure snort

Lo cual har que se pidan las configuraciones, que sern guardadas en el archivo
/etc/snort/snort.debian.conf

5. La siguiente ventana nos preguntar que opcin de arranque se deseamos

configurar:

9
6. Despus viene una ventana de explicacin de lo que ser el prximo requisito a
pedir, la interfaz de red que se escanear.

Para saber que interfaz que utilizamos, recurrimos al comando desde otro terminal
abierto /sbin/route n

Este comando nos devuelve informacin sobre nuestra red y la interfaz que
estamos usando eth0, que ser la que pongamos en la siguiente ventana.

10
7. En la siguiente opcin se escribe la interfaz obtenida en la anterior instruccin

8. Ahora se deber escribir la direccin de red que se desea escanear

11
9. Opcin de habilitar o deshabilitar el Modo promiscuo En este caso lo
deshabilitaremos para que no escanee toda la red

10. La siguiente ventana nos preguntara si deseamos recibir resmenes

electrnicos por correo de las alertas encontradas.

12
11. Se especifica el correo electrnico en que se desea recibir los resmenes diarios

12. Finalmente se nos ordenara que reiniciemos SNORT para acabar con la
instalacin.

Reiniciaremos SNORT con el siguiente comando /etc/init.d/snort restart

Queda totalmente instalado SNORT

13
 3.3 Reglas de SNORT_____________________________________________

Las reglas o firmas son patrones que buscan dentro de los paquetes de datos. Las
reglas de SNORT son utilizadas por el motor de deteccin para comparar los
paquetes recibidos y generar las alertas en caso de existir coincidencias entre
el contenido de los paquetes y las firmas.

Aunque los conjuntos de reglas estndar incluidos en SNORT proporcionan una

proteccin adecuada contra ataques conocidos, tenemos la opcin de disear
nuestras propias reglas personalizadas para obtener un rendimiento del IDS ms
personalizado.

Adems de las reglas estndar incluidas por defecto en el IDS podemos tambin
descargar ms reglas a travs de la pgina
https://www.snort.org/downloads/#rule-downloads

Yo he descargado como muestra una regla que informa de cuando un usuario ha

accedido a una pgina no aconsejada, en este caso Facebook, hay reglas que
permiten impedir el acceso a ciertas pginas pero son para usuarios que han
pagado por esas reglas

14
 4. Deteccin de Intrusos con AirSnare_______________________________
Este software de Deteccin de Intrusos es un software libre y gratuito y de uso
sencillo.

La principal tarea de este sistema aparte de detectar la actividad anormal

existente en nuestra red es la de permitir o denegar la conexin a nuestra red
WIFI solo a los equipos que nosotros queramos.

La instalacin es muy sencilla (http://home.comcast.net/~jay.deboer/airsnare), se

abre un asistente de instalacin y solo tenemos que ir aceptando y dndole a
siguiente, puesto que toda la instalacin es por defecto.

Una vez descargado e instalado, lo iniciamos y seleccionamos la interfaz de

red con la que queremos empezar la monitorizacin. Pulsamos sobre el botn
izquierdo del ratn y, luego, sobre Start. Despus de unos momentos, nos avisa
mediante voz y con mensajes en la pantalla de cada una de las direcciones MAC
que encuentra en la red.

15
Al principio, va a tomar a todas las direcciones MAC detectadas como desconocidas.

No obstante, nosotros mismos comprobamos cules verdaderamente pertenecen a

los ordenadores y perifricos permitidos, seleccionndolas y pulsando sobre el
botn izquierdo del ratn. Al elegir la opcin add to Trusted, las direcciones
pasarn a la lista de direcciones amigas.

16
Una vez que tengamos dentro de las direcciones amigas a todos nuestros
dispositivos, solo resta dejar escuchando al software para ver si localiza algn
intruso real. Si esto se produce, nos alertar mediante voz y, adems, nos
dejara un registro en una parte de la ventana principal.
El software tiene muchas ms posibilidades, entre ellas, la de enviarnos un correo
electrnico cada vez que se produzca un evento extrao, con lo que podemos, por
ejemplo, estar monitorizando nuestra red domstica incluso mientras estemos en
la oficina. Para ello, debemos seguir la ruta Options/Options/AirMail y rellenar
los campos relacionados con la cuenta de correo que queremos usar para enviar el
correo de alarma (smtp, puerto, usuario y contrasea), as como las direcciones
de e-mail a las que queremos que sea enviado. No debemos olvidar activar el
servicio sealando la opcin Send E-mail on Alert dentro del men que
reza Options.

17
 5. Conclusin_____________________________________________________________

Hemos visto una visin general de lo que es un IDS, de su funcionamiento as como

de la eficacia de los mismos.

Podemos concluir en que hay una gran variedad de sistemas de deteccin de

intrusos que se pueden usar, y que cumplen una funcin primordial para la
seguridad de nuestros equipos y de nuestros sistemas, recobrando as la
importancia de tener un sistema seguro.

6. Bibliografia____________________________________________________________
http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos
http://es.kioskea.net/contents/162-sistema-de-deteccion-de-intrusiones-ids
http://www.monografias.com/trabajos11/intru/intru.shtml
http://html.rincondelvago.com/sistema-de-deteccion-de-intrusos.html
http://www.maestrosdelweb.com/snort/
http://team.daboweb.com/fentlinux/manuales/escaneos_snort.pdf
http://snort.malavida.com/manuales/
http://rafasec.blogspot.com.es/2008/03/instalacin-y-configuracin-de-snort-en.html
http://es.slideshare.net/AndrsGonzlezSurez/andrs-gonzlez-surez-instalacin-y-configuracin-de-
snort

18