Sistema de detección de intrusos

(IDS)

JUAN CAMILO RESTREPO

VANESSA GOMEZ DEOSSA
JUAN CAMILO MUÑOZ
CRISTIAN CAMILO SEPULVEDA
ALENADER JAVIER HENAO
MARVIN SANTIAGO

ADMINISTRACION DE REDES DE COMPUTADORES

INSTRUCTOR:
FERNADO QUINTERO

Servicio Nacional de Aprendizaje SENA

Regional Antioquia
Centro de Servicios y Gestión Empresarial.
2010

1
 INDICÉ

Introducción 3
Instalación 4
Configuración 8
Administración y prueba 10
Conclusiones 21

2
 introducción

La implementación de un sistema que alerte posibles una posible amenaza de

intrusión y asi poder detectar aquellas personas que desean hacerle daño a
nuestra organisacion es importante en el entorno de nuestra entidad por que al
pasar de el tiempo y de la tecnología hay un posible grado de riesgo de que un
posible intruso acceda a nuestra organización y así pueda afectar la integridad
disponibilidad de nuestra información por esta razón la entidad UNIARIES a
tomado la decisión de aplicar reglas según las políticas implantadas en nuestra
entidad.

3
 IDS
sistema de detección de intrusos
instalación
El primer paso que vamos a realizar para implementar nuestro sistema de detección de
intrusos es utilizar el cd o la imagen de zentyal. Escogemos el lenguaje de instalación.

Como nuestro idioma es español puede estar en nuestra zona que es colombia entonces

elegimos nuestra región.

4
Probamos nuestro teclado.

Escogemos nuestro país para así escoger el origen de nuestro teclado.

Escogemos la distribución de nuestro teclado es importante escoger la distribución

correspondiente a nuestra zona.

5
Esperamos a que analice nuestro cd.

Le damos un nombre a nuestra maquina en nuestro caso vamos a dar el nombre de nuestro
grupo de trabajo.

Como nosotros montamos la maquina del ids en una maquina virtual dejamos el particionado
igual a como lo configuramos.

En la siguiente imagen lo que nos tocara configurar es el nombre de usuario y su contraseña

es importante resaltar que debe ser una contraseña la cual sea fácil para nosotros recordar
pues de esta depende que podamos iniciar sesión en nuestro equipo.

El usuario que nosotros escogimos fue el mas apropiado el cual fue el nombre de nuestra
entidad

6
=aries

y la contraseña dimos una contraseña básica sin ningún carácter pues es solo de practica

como escogimos una contraseña débil y sin caracteres nos aparecerá el siguiente pantallazo
lo cual nos pide que confirmemos que queremos esta contraseña.

Ya por ultimo reiniciamos pues ya esta lista nuestro proceso de instalación.

7
Configuraron
vamos a abrir nuestra herramienta de trabajo en el explorador con la direcion local o con
localhost. Y nos pedirá ingresar usuario y contraseña.

vamos a instalar nuestro UTM que es una suite de aplicaciones que serán esenciales para la
implementación de nuestro sistema

podemos ver los componentes del UTM

8
esto no es lo único que podemos instalar en nuestro equipo servidor pues también hay
opciones como recursos básicos de oficina.

Buscamos y seleccionamos los componentes que vamos a instalar en nuestro equipo.

Damos click en install y nos saldrá una advertencia de si estamos de acuerdo en instalar lo
que seleccionamos.

Vemos que empieza la descarga y solo nos queda esperar unos minutos para que instale los
componentes.

9
Esperamos y configuramos la interfaz de eth0 podemos darle una dirección de red estática o
solo le podemos dar una configuración de ip dinámica escogiendo la opción dhcp.

Administracion
A continuación podemos ver en la margen izquierda de la imagen todo el menu para el
correcto funcionamiento de nuestro sistema solo configuramos e instalamos lo que
necesitemos en este caso solo vamos a configurar la red como lo son las puertas de enlace
las direcciones ip etc.

10
En el siguiente paso que vamos a realizar vamos a especificar las direcciones de nuestra
puerta de enlace esto se hace para que a la hora de ver la red tome en cuenta todo lo que
entra y sale de ella.

Las direcciones que se agregaron anteriormente corresponden a las puertas de enlace de

cada uno de las redes que tenemos podemos ver que le dimos un nombre el cual es el
nombre de la red, estos nombre son LAN: red de área local DMZ: zona desmilitarizada donde
tendremos algunos servicios y la WAN.

Observamos el estado de los módulos para ver cual tenemos activo y si no lo activamos.

11
Vamos ingresar en sistema y configuramos el usuario y la contraseña pues si deseamos
cambiar las que tenemos en el momento que iniciamos la instalación. También podemos
seleccionar el idioma.

En la configuración de red vamos especificar nuestras tres interfaces por la cual el ids va a
escuchar ejemplo las interfaces por la que el ids va a tener encenta el trafico.

12
Estas interfaces corresponden a las interfaces de la red ejemplo la LAN damos una dirección
ip correspondiente a esta podemos darcela por dhcp o simplemente estática.

Vamos a ver la configuración de los registros en este vamos a dar el tiempo que tenemos
para que caduque o limpie los registros. Pudiendo seleccionar así por días por meses etc.

13
ejemplo si configuramos el ids podemos decidir cuando queremos que estos datos se
purguen o se limpien todos los registros de lo que el ids va almacenando.

Como muchos de nosotros sabemos podemos configurar un ids para que todas los registros
o todas las alertas lleguen a un administrador esto se hace para que la persona encargada
de la seguridad en la empresa este en conocimiento de lo que esta pasando en ella.

Seleccionamos la opción de correo electrónico. Y configuramos las opciones que allí nos dan
como lo es el emisor y el comentario que le queremos dar a este.

14
Ingresamos desde la opción del menú IDS. Podemos ver las interfaces que estan destinadas
para este y también hay una pestaña donde podemos ver las reglas estas reglas las veremos
mas adelante.

Las reglas que este tiene las podemos configurar a nuestro gusto. La entidad UNIARIES se
enfoco en tomar en cuenta según sus políticas tomar en cuenta todo para que los usuarios
que están en constante uso a ella cumplan las políticas anteriormente mencionadas. Una de
ellas es el ingreso a sistemas de mensajería instantánea o a sitios pornográficos también el
escaneo de puertos realizado por personas ajenas a la entidad o el uso de icmp.

Activamos las demás reglas unas de ellas son sobre el uso de shellcode y también del uso
de exploit ataques de DoS

15
16
ahora que ya tenemos conocimiento sobre esta herramienta y un poco de su configuración y
reglas vamos a dedicar un espacio corto a hacer las diferentes pruebas hacia este probando
cada regla que le implementamos uno de estos es que genere las alertas de icmp del chat
etc.

17
hacemos ping entre maquinas locales en nuestra red privada que se supone que ya están
configuradas.

Podemos observar las diferente alarmas que fueron capturadas inmediata mente cuando
tratamos de hacer ping.

18
Otro que puede ser considerado como un ataque es el es nmap pues nmap es un scaner de
red.Miramos los registros

19
vamos a intentar ingresar a un servicio de comunicación instantánea y miramos haber si nos
genera algún reporte pues así fue la configuraron según sus reglas.

En los registros podemos observar por que puerto se conecto este usuario a que horas etc
esto nos quiere decir que nuestro ids esta funcionando perfectamente tanto en nuestras
redes locales como en la gran WAN. Nos muestra en la imagen los puertos por los que están
conectados el messenger.

20
 Conclusión

Damos por concluido con esta implementación que el sistema de

detección de intrusos es importante para darnos cuenta de todos los
sucesos que ocurren en la nuestra red, mediante la generación de
alarmas según las reglas que implementamos. Muchas de estas
alarmas pueden ser falsas es decir puede generar falsos positivos
pero siempre es importante analizar todo lo que nos alerte nuestro
sistema para la entidad UNIARIES y para su grupo de trabajo fue muy
productivo la implementación de este sistema porque así se llega a
un grado de aprendizaje al que se adquieren conocimientos muy
importantes.

21