Sistemas de Detección de Intrusos (IDS)

IES San Andrés
Sistemas detección
de intrusos
Alberto Mayo Vega

2
Contenido
1. Objetivos del Proyecto ..........................................................................................................................3
2. Introducción a los Sistemas de Detección de Intrusos ..........................................................................4
2.1 Que es un IDS ..............................................................................................................................4
2.2 Tipos de IDS.................................................................................................................................4
2.3 Funciones principales de un IDS..................................................................................................5
2.4 Mecanismos de detección de un ataque de un IDS.......................................................................5
2.5 Colocación de un IDS en la Red .................................................................................................5
2.6 Ventajas y desventajas de un IDS ................................................................................................7
3. Sistema de Detección de Intrusos SNORT ............................................................................................7
3.1 Que es SNORT..............................................................................................................................7
3.2 Instalación y Configuración de SNORT.......................................................................................8
3.3 Reglas de SNORT.......................................................................................................................14
4. Detección de Intrusos con AirSnare....................................................................................................15
5. Conclusión ..........................................................................................................................................18
6. Bibliografia .........................................................................................................................................18

3
1. Objetivos del Proyecto____________________________________________
 Uno de los principales objetivos del presente proyecto, gira en torno a mostrar
los aspectos que motivan la investigación en la seguridad informática y
más concretamente en el campo de los sistemas de detección de intrusos (IDS).
 Para ello, en primer lugar se debe destacar la importancia primordial que
debe darse a la protección de los sistemas y de los entornos de red y más
teniendo en cuenta el incremento masivo de los ataques que se está
produciendo en la actualidad. Mantener los recursos de información y
telecomunicaciones protegidos contra extraños o intrusos, es una de las
principales prioridades para cualquier organización.
 Sacar una conclusión sobre importancia de tener un buen Sistema de Detección
de Intrusos.

4
2. Introducción a los Sistemas de Detección de Intrusos__________
2.1 Que es un IDS_________________________________________________
Los sistemas de detección de intrusos o IDS (Intrusion Detection System) son
programas que monitorizan la actividad del sistema con el fin de detectar accesos o
acciones no autorizados a una máquina o a una red.
A la hora de implantar un sistema de detección de intrusos se deben tener en
cuenta dos posibilidades, hardware o software (siendo posible una combinación
de los dos) La opción de optar por hardware es más usual cuando el tráfico de red
es muy alto.
2.2 Tipos de IDS__________________________________________________
Atendiendo al ámbito de actuación podemos diferenciar entre HIDS y NIDS
 HIDS – Host Intrusion Detection System: Está basado en el propio
host donde está instalado, busca actividad sospechosa en la propia
máquina analizando el sistema constantemente.
 NIDS – Network Instrusion Detection System: Está basado en una red,
busca actividad sospechosa analizando el tráfico de red (Incluído el tráfico
local)
Si atendemos a la naturaleza de los IDS distinguiremos entre:
 Sistemas pasivos: Cuando detectan una actividad similar a una acción o
acceso no autorizado lo registra en una base de datos. El objetivo
principal de estos sistemas es el análisis del tráfico para obtener
información de la comunicación presente en la red.
 Sistemas activos: Cuando detectan una actividad similar a una acción
o acceso no autorizado el sistema responde bloqueando la posible
intrusión y guardándolo en la base de datos.

5
2.3 Funciones principales de un IDS_ _________________________
 Registrar indicadores de actividad de intrusos.
 Activar las alertas correspondientes.
 Puede buscar ataques provenientes de fuera de la red.
 Monitorear las actividades desde la red interna.
 Buscar actividades anómalas
 Configurarse para atacar automáticamente a los sospechosos.
 Recoger información para análisis de anomalías en tiempo real.
2.4 Mecanismos de detección de un ataque de un IDS____
Un IDS usa alguna de las dos siguientes técnicas para determinar que un ataque se
encuentra en curso:
 Patrón. Un IDS basado en patrones, analiza paquetes en la red, y los
compara con patrones de ataques conocidos, y preconfigurados.
 Heurística. Determina actividad normal de red, como protocolos, puertos y
dispositivos que generalmente se interconectan, y alerta a un administrador
o usuario cuando este varía de aquel considerado como normal,
clasificándolo como anómalo.
2.5 Colocación de un IDS en la Red __________________________
Para tener un funcionamiento adecuado en un sistema de detección de intrusos
(IDS) es necesario considerar el lugar de colocación del IDS ya sea antes o después
los cortafuegos o Firewall.

6
 IDS después de un Firewall
Dada esta colocación del IDS se facilita su desempeño puesto que el sistema cuenta
con un filtro (Firewall) que anticipa posibles amenazas. Por otra parte se reduce así
la cantidad de paquetes a procesar.
 IDS antes del firewall
Si colocamos un IDS antes del Firewall, el IDS no contara con un filtro primario de
paquetes y datos. En un ambiente real, un IDS este método es vulnerable ante
ciertas amenazas y ataques debido a la gran cantidad de tráfico que viaja a través
de la red.
 Conclusión
Vistas ambas posibilidades concluimos que la mejor opción para la colocación de
un IDS, es después del Firewall.

7
2.6 Ventajas y desventajas de un IDS_________________________
 Ventajas.
- Los IDSs basados en detección de anomalías detectan comportamientos
inusuales. De esta forma tienen la capacidad de detectar ataques para los
cuales no tienen un conocimiento específico.
- Los detectores de anomalías pueden producir información que puede ser
utilizada para definir firmas o reglas en la detección de abusos.
 Desventajas.
- La detección de anomalías produce un gran número de falsas alarmas
debido a los comportamientos no predecibles de usuarios y redes.
3. Sistema de Detección de Intrusos SNORT_________________________
3.1 Que es SNORT_________________________________________________
El sistema que se ha elegido para el desarrollo del proyecto ha sido Snort.
Snort (www.snort.org) es un sistema de detección de intrusiones basado en red
(NIDS).
Está disponible bajo licencia GPL, es gratuito y funciona bajo plataformas
Windows, GNU/Linux y Mac OS. Es uno de los más usados y dispone de una gran
cantidad de filtros o patrones ya predefinidos, y actualizaciones constantes.
Snort tiene una base de datos de ataques que se está actualizando constantemente
y a la cual se puede añadir o actualizar a través de la Internet.

8
3.2 Instalación y Configuración de SNORT___________________
La instalación se realizó una distribución Linux (Ubuntu 15.04) por medio de la
terminal de línea de comandos.
Se siguieron los siguientes pasos:
1. Abrir una terminal
2. Damos permisos de superusuario con el comando  sudo su
Introducimos el comando de instalación de paquete  sudo apt-get install snort
3. A continuación pedirá la siguiente opción de configuración

9
En este paso pide la dirección de red local (la cual va a ser la que se estará
monitoreando). En este punto puede haber 3 opciones de configuración:
 Si es una única dirección se colocará con máscara de subred /32
 Si es un bloque de 256 IPs se utilizará la máscara /24
 Si es una red más amplia se utilizará la máscara /16
4. Una vez finalizado el proceso de instalación se puede realizar la configuración
completa por medio del comando  dpkg-reconfigure snort
Lo cual hará que se pidan las configuraciones, que serán guardadas en el archivo
/etc/snort/snort.debian.conf
5. La siguiente ventana nos preguntará que opción de arranque se deseamos
configurar:

10
6. Después viene una ventana de explicación de lo que será el próximo requisito a
pedir, la interfaz de red que se escaneará.
Para saber que interfaz que utilizamos, recurrimos al comando desde otro terminal
abierto  /sbin/route –n
Este comando nos devuelve información sobre nuestra red y la interfaz que
estamos usando  eth0, que será la que pongamos en la siguiente ventana.

11
7. En la siguiente opción se escribe la interfaz obtenida en la anterior instrucción
8. Ahora se deberá escribir la dirección de red que se desea escanear

12
9. Opción de habilitar o deshabilitar el “Modo promiscuo”  En este caso lo
deshabilitaremos para que no escanee toda la red
10. La siguiente ventana nos preguntara si deseamos recibir resúmenes
electrónicos por correo de las alertas encontradas.

13
11. Se especifica el correo electrónico en que se desea recibir los resúmenes diarios
12. Finalmente se nos ordenara que reiniciemos SNORT para acabar con la
instalación.
Reiniciaremos SNORT con el siguiente comando  /etc/init.d/snort restart
Queda totalmente instalado SNORT

14
3.3 Reglas de SNORT_____________________________________________
Las reglas o firmas son patrones que buscan dentro de los paquetes de datos. Las
reglas de SNORT son utilizadas por el motor de detección para comparar los
paquetes recibidos y generar las alertas en caso de existir coincidencias entre
el contenido de los paquetes y las firmas.
Aunque los conjuntos de reglas estándar incluidos en SNORT proporcionan una
protección adecuada contra ataques conocidos, tenemos la opción de diseñar
nuestras propias reglas personalizadas para obtener un rendimiento del IDS más
personalizado.
Además de las reglas estándar incluidas por defecto en el IDS podemos también
descargar más reglas a través de la página 
https://www.snort.org/downloads/#rule-downloads
Yo he descargado como muestra una regla que informa de cuando un usuario ha
accedido a una página no aconsejada, en este caso Facebook, hay reglas que
permiten impedir el acceso a ciertas páginas pero son para usuarios que han
pagado por esas reglas

15
4. Detección de Intrusos con AirSnare_______________________________
Este software de Detección de Intrusos es un software libre y gratuito y de uso
sencillo.
La principal tarea de este sistema aparte de detectar la actividad anormal
existente en nuestra red es la de permitir o denegar la conexión a nuestra red
WIFI solo a los equipos que nosotros queramos.
La instalación es muy sencilla (http://home.comcast.net/~jay.deboer/airsnare), se
abre un asistente de instalación y solo tenemos que ir aceptando y dándole a
siguiente, puesto que toda la instalación es por defecto.
Una vez descargado e instalado, lo iniciamos y seleccionamos la interfaz de
red con la que queremos empezar la monitorización. Pulsamos sobre el botón
izquierdo del ratón y, luego, sobre Start. Después de unos momentos, nos avisa
mediante voz y con mensajes en la pantalla de cada una de las direcciones MAC
que encuentra en la red.

16
Al principio, va a tomar a todas las direcciones MAC detectadas como desconocidas.
No obstante, nosotros mismos comprobamos cuáles verdaderamente pertenecen a
los ordenadores y periféricos permitidos, seleccionándolas y pulsando sobre el
botón izquierdo del ratón. Al elegir la opción add to Trusted, las direcciones
pasarán a la lista de direcciones amigas.

17
Una vez que tengamos dentro de las direcciones amigas a todos nuestros
dispositivos, solo resta dejar escuchando al software para ver si localiza algún
intruso real. Si esto se produce, nos alertará mediante voz y, además, nos
dejara un registro en una parte de la ventana principal.
El software tiene muchas más posibilidades, entre ellas, la de enviarnos un correo
electrónico cada vez que se produzca un evento extraño, con lo que podemos, por
ejemplo, estar monitorizando nuestra red doméstica incluso mientras estemos en
la oficina. Para ello, debemos seguir la ruta Options/Options/AirMail y rellenar
los campos relacionados con la cuenta de correo que queremos usar para enviar el
correo de alarma (smtp, puerto, usuario y contraseña), así como las direcciones
de e-mail a las que queremos que sea enviado. No debemos olvidar activar el
servicio señalando la opción Send E-mail on Alert dentro del menú que
reza Options.

18
5. Conclusión_____________________________________________________________
Hemos visto una visión general de lo que es un IDS, de su funcionamiento así como
de la eficacia de los mismos.
Podemos concluir en que hay una gran variedad de sistemas de detección de
intrusos que se pueden usar, y que cumplen una función primordial para la
seguridad de nuestros equipos y de nuestros sistemas, recobrando así la
importancia de tener un sistema seguro.
6. Bibliografia____________________________________________________________
http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos
http://es.kioskea.net/contents/162-sistema-de-deteccion-de-intrusiones-ids
http://www.monografias.com/trabajos11/intru/intru.shtml
http://html.rincondelvago.com/sistema-de-deteccion-de-intrusos.html
http://www.maestrosdelweb.com/snort/
http://team.daboweb.com/fentlinux/manuales/escaneos_snort.pdf
http://snort.malavida.com/manuales/
http://rafasec.blogspot.com.es/2008/03/instalacin-y-configuracin-de-snort-en.html
http://es.slideshare.net/AndrsGonzlezSurez/andrs-gonzlez-surez-instalacin-y-configuracin-de-
snort

Sistemas de Detección de Intrusos (IDS)

Más contenido relacionado

La actualidad más candente

Destacado

Similar a Sistemas de Detección de Intrusos (IDS)

Último

Sistemas de Detección de Intrusos (IDS)