Académique Documents
Professionnel Documents
Culture Documents
Sistemas deteccin
de intrusos
Alberto Mayo Vega
Contenido
2
1. Objetivos del Proyecto____________________________________________
Uno de los principales objetivos del presente proyecto, gira en torno a mostrar
los aspectos que motivan la investigacin en la seguridad informtica y
ms concretamente en el campo de los sistemas de deteccin de intrusos (IDS).
3
2. Introduccin a los Sistemas de Deteccin de Intrusos__________
4
2.3 Funciones principales de un IDS_ _________________________
Un IDS usa alguna de las dos siguientes tcnicas para determinar que un ataque se
encuentra en curso:
5
IDS despus de un Firewall
Dada esta colocacin del IDS se facilita su desempeo puesto que el sistema cuenta
con un filtro (Firewall) que anticipa posibles amenazas. Por otra parte se reduce as
la cantidad de paquetes a procesar.
Si colocamos un IDS antes del Firewall, el IDS no contara con un filtro primario de
paquetes y datos. En un ambiente real, un IDS este mtodo es vulnerable ante
ciertas amenazas y ataques debido a la gran cantidad de trfico que viaja a travs
de la red.
Conclusin
Vistas ambas posibilidades concluimos que la mejor opcin para la colocacin de
un IDS, es despus del Firewall.
6
2.6 Ventajas y desventajas de un IDS_________________________
Ventajas.
- Los IDSs basados en deteccin de anomalas detectan comportamientos
inusuales. De esta forma tienen la capacidad de detectar ataques para los
cuales no tienen un conocimiento especfico.
Desventajas.
- La deteccin de anomalas produce un gran nmero de falsas alarmas
debido a los comportamientos no predecibles de usuarios y redes.
7
3.2 Instalacin y Configuracin de SNORT___________________
La instalacin se realiz una distribucin Linux (Ubuntu 15.04) por medio de la
terminal de lnea de comandos.
Se siguieron los siguientes pasos:
8
En este paso pide la direccin de red local (la cual va a ser la que se estar
monitoreando). En este punto puede haber 3 opciones de configuracin:
Lo cual har que se pidan las configuraciones, que sern guardadas en el archivo
/etc/snort/snort.debian.conf
9
6. Despus viene una ventana de explicacin de lo que ser el prximo requisito a
pedir, la interfaz de red que se escanear.
Para saber que interfaz que utilizamos, recurrimos al comando desde otro terminal
abierto /sbin/route n
Este comando nos devuelve informacin sobre nuestra red y la interfaz que
estamos usando eth0, que ser la que pongamos en la siguiente ventana.
10
7. En la siguiente opcin se escribe la interfaz obtenida en la anterior instruccin
11
9. Opcin de habilitar o deshabilitar el Modo promiscuo En este caso lo
deshabilitaremos para que no escanee toda la red
12
11. Se especifica el correo electrnico en que se desea recibir los resmenes diarios
12. Finalmente se nos ordenara que reiniciemos SNORT para acabar con la
instalacin.
13
3.3 Reglas de SNORT_____________________________________________
Las reglas o firmas son patrones que buscan dentro de los paquetes de datos. Las
reglas de SNORT son utilizadas por el motor de deteccin para comparar los
paquetes recibidos y generar las alertas en caso de existir coincidencias entre
el contenido de los paquetes y las firmas.
Adems de las reglas estndar incluidas por defecto en el IDS podemos tambin
descargar ms reglas a travs de la pgina
https://www.snort.org/downloads/#rule-downloads
14
4. Deteccin de Intrusos con AirSnare_______________________________
Este software de Deteccin de Intrusos es un software libre y gratuito y de uso
sencillo.
15
Al principio, va a tomar a todas las direcciones MAC detectadas como desconocidas.
16
Una vez que tengamos dentro de las direcciones amigas a todos nuestros
dispositivos, solo resta dejar escuchando al software para ver si localiza algn
intruso real. Si esto se produce, nos alertar mediante voz y, adems, nos
dejara un registro en una parte de la ventana principal.
El software tiene muchas ms posibilidades, entre ellas, la de enviarnos un correo
electrnico cada vez que se produzca un evento extrao, con lo que podemos, por
ejemplo, estar monitorizando nuestra red domstica incluso mientras estemos en
la oficina. Para ello, debemos seguir la ruta Options/Options/AirMail y rellenar
los campos relacionados con la cuenta de correo que queremos usar para enviar el
correo de alarma (smtp, puerto, usuario y contrasea), as como las direcciones
de e-mail a las que queremos que sea enviado. No debemos olvidar activar el
servicio sealando la opcin Send E-mail on Alert dentro del men que
reza Options.
17
5. Conclusin_____________________________________________________________
6. Bibliografia____________________________________________________________
http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos
http://es.kioskea.net/contents/162-sistema-de-deteccion-de-intrusiones-ids
http://www.monografias.com/trabajos11/intru/intru.shtml
http://html.rincondelvago.com/sistema-de-deteccion-de-intrusos.html
http://www.maestrosdelweb.com/snort/
http://team.daboweb.com/fentlinux/manuales/escaneos_snort.pdf
http://snort.malavida.com/manuales/
http://rafasec.blogspot.com.es/2008/03/instalacin-y-configuracin-de-snort-en.html
http://es.slideshare.net/AndrsGonzlezSurez/andrs-gonzlez-surez-instalacin-y-configuracin-de-
snort
18