Académique Documents
Professionnel Documents
Culture Documents
LINUX
Fuentes Edison, Marcos Ruiz, Caicedo Julio, Erazo Cristian, Tapia Ramiro
UNIVERSIDAD TÉCNICA DEL NORTE FICA-CIERCOM
Tabla de contenido
A. TÍTULO DE LA PRÁCTICA .................................................................................................................. 2
B. INTRODUCCIÓN ............................................................................................................................... 2
C. OBJETIVO DE LA PRÁCTICA .............................................................................................................. 3
General: ........................................................................................................................................... 3
Específicos: ...................................................................................................................................... 3
D. METODOLOGÍA ............................................................................................................................... 3
Marco Teórico ................................................................................................................................. 3
Metodología a seguir ...................................................................................................................... 4
E. RECURSOS MATERIALES Y EQUIPO .................................................................................................. 5
F. DESCRIPCIÓN DEL DESARROLLO DE LA PRÁCTICA............................................................................ 5
Instalación del servidor SNORT en Ubuntu ............................................................................. 5
Configuración como IDS/IPS ...................................................................................................... 6
G. EVALUACIÓN .............................................................................................................................. 8
Snort como un SNIFFER............................................................................................................. 8
Pruebas denegando protocolo ICMP ............................................................................................ 10
Pruebas denegando protocolo HTTP puerto 80............................................................................ 11
Pruebas denegando protocolo FTP puerto 21 .............................................................................. 12
Prueba denegando protocolo SSH puerto 22 ............................................................................... 13
Prueba denegando protocolo TELNET puerto 23.......................................................................... 15
H. BIBLIOGRAFÍA................................................................................................................................ 16
I. RESULTADOS Y CONCLUSIONES...................................................................................................... 17
Conclusiones: ................................................................................................................................ 17
GUIA DE PRACTICA DE LABORATORIO
No. de Práctica:
A. TÍTULO DE LA PRÁCTICA
SNORT COMO IDS/IPS EN LINUX
B. INTRODUCCIÓN
Las herramientas de análisis de tráfico son más o menos sencillas de instalar y
configurar; pero la complicación viene a la hora de interpretar los resultados. Para
sacar el máximo partido a estas herramientas se necesitan muchos conocimientos
de base y una amplia experiencia en protocolos de comunicaciones.
Hay un segundo problema: aunque dispongamos de personal tan cualificado, no es
humanamente posible revisar una a una todas las conversaciones que ocurren a
diario en una red normal. Sobre todo porque la mayoría son interacciones normales,
libres de toda sospecha. Los expertos hay que reservarlos para los casos difíciles.
Para solucionar ambos problemas existen los sistemas IDS/IPS (Intrusion Detection
System/ Intrusion Prevention System). Los IDS detectan los ataques y los IPS
actúan contra ellos. Tenemos dos tipos de IDS/IPS:
La respuesta de un IPS puede ser impedir que ese paquete y los siguientes de esa
conexión lleguen a su destino. En los más avanzados se puede configurar que
permitan que el paquete llegue, pero adecuadamente modificado para que no
prospere el ataque.
La inteligencia de estas herramientas suele residir en un conjunto de reglas que se
cargan en el programa desde un fichero de configuración. Las reglas son elaboradas
por expertos en seguridad que, cuando han identificado un nuevo tipo de ataque,
escriben la regla que permitirá al IDS detectarlo.
C. OBJETIVO DE LA PRÁCTICA
General:
• Configurar la herramienta Snort como un IDS/IPS para detectar ataques en
un entorno LAN.
Específicos:
• Instalar Ubuntu en dos máquinas virtuales para realizar las configuraciones
necesarias.
• Crear reglas para que snort funcione como IPS.
• Analizar el funcionamiento de snort como una herramienta de seguridad.
D. METODOLOGÍA
Marco Teórico
El lenguaje usado por Snort es flexible y potente, basado en una serie de normas
que serán las que nos sirvan de guía para la escritura de las reglas.
Uso de preprocesadores
Las reglas Snort (Snort Rules) deben ser escritas en una sola línea, de lo contrario
habrá que usar el carácter de escape:
Metodología a seguir
Topología de la Red utilizada para la práctica.
Como se observa en la figura los servicios que se integran en la figura son los más
comunes en una red y para probar la eficacia de un IDS/IPS se proseguirá a denegar
cada uno de los servicos y verificar la funcionalidad de la herramienta snort.
1 SERVIDOR IDS/IPS
G. EVALUACIÓN
Snort como un SNIFFER
Los ficheros de configuración están en el directorio /etc/snort, y los ficheros de log
en /var/log/snort. La herramienta admite varios modos de funcionamiento.
Puede ser un simple sniffer ejecutando:
# snort –i eth1
Desde este momento estamos capturando paquetes de la interfaz eth1. Por
ejemplo, si entramos en el Ubuntu Desktop y hacemos un ping al Ubuntu Server,
veremos los paquetes echo. Por cada paquete aparece la fecha de la captura (con
mucha precisión), la IP origen e IP destino del paquete, el tipo de protocolo (en este
caso, ICMP) y detalles del protocolo (ECHO, ECHO REPLY).
Una vez capturados, Snort pasa los paquetes por varias etapas de procesamiento.
Primero los decodifica para identificar el protocolo que siguen. Después aplica un
preprocesamiento que deja la información lista para el analizador. Finalmente,
genera el resultado del análisis.
Pruebas denegando protocolo ICMP
- Para realizar el sistema de detección de intrusos así como también el sistema
de prevención de intrusos mediante el protocolo ICMP, procedemos a dar la
Alerta colocando icmp en lugar del protocolo tcp, para ello nos ingresamos a
la configuración de reglas mediante el siguiente comando: gedit
/etc/snort/rules/local.rules.
De la misma manera procedemos a colocar un mensaje “ICMP
DETECTADO”, cuando se establezca la conexión.
Se muestra la configuración para generar alertas cuando se inicie sección por ssh.
Muestra la alerta generada cuando se ingresa al escririo de manera remota por el protoloco telnet.
H. BIBLIOGRAFÍA
Roesch, M. (1999, November). Snort: Lightweight intrusion detection for networks.
In Lisa (Vol. 99, No. 1, pp. 229-238).
Coit, C. J., Staniford, S., & McAlerney, J. (2001). Towards faster string matching
for intrusion detection or exceeding the speed of snort. In DARPA Information
Survivability Conference & Exposition II, 2001. DISCEX'01. Proceedings (Vol. 1,
pp. 367-373). IEEE.
Caswell, B., & Beale, J. (2004). Snort 2.1 intrusion detection. Syngress.
Patton, S., Yurcik, W., & Doss, D. (2001, October). An Achilles’ heel in signature-
based IDS: Squealing false positives in SNORT. In Proceedings of RAID (Vol. 2001).
Buendía, J. F. (2013). Sseguridad Informática. Madrid: Mc Graw Hill Education.
Ayuso, J. G. (2012). Protocolos criptográficos y seguridad en redes. México: Rialpa
S.A.
Aguirre, J. R. (2006). Libro Electrónico de Seguridad Información y Criptografía.
Madrid-España.
Alulema, D. (Junio de 2008). Estudio y Diseño de un Sistema de Seguridad
Perimetral. Quito.
I. RESULTADOS Y CONCLUSIONES
Conclusiones:
La herramienta Snort permite establecer sistemas de detección de intrusos y
prevención de intrusos, constituyendo a la empresa u organización una seguridad
básica en la red. De esta manera se puede identificar y bloquear servicios no
autorizados en la red.