PDF de programación - IDS

Curso: Sistemas Operativos II
Plataforma: Linux



IDS

Cuando se desea dotar de seguridad a nuestra red, se hace necesaria la instalación y
configuración de una herramienta que nos brinde la seguridad requerida, para este caso es la
configuración de un Sistema de Detección de Intrusos el cual es utilizado para monitorear la red en
donde se especifican un rango de direcciones donde se verifica a intrusos que no tienen los
permisos de acceder al sistema, el IDS solo da una alerta sobre cualquier actividad maliciosa en la
red.



Universidad de San Carlos de Guatemala
Universidad de San Carlos de Guatemala
Facultad de Ingeniería
Facultad de Ingeniería
Escuela de Ciencias y Sistemas
Escuela de Ciencias y Sistemas



INDICE



TEMA



No. PAGINA



Introducción ……………………………………………………………………
……………………………………………………………………

3



Objetivos

……………………………………………………………………
……………………………………………………………………

4



Marco Teórico ……………………………………………………………………
……………………………………………………………………

5



Configuración …………………………………………………………………...
…………………………………………………………………...

7



Conclusiones ……………………………………………………………………
……………………………………………………………………

11



Bibliografía ……………………………………………………………………
……………………………………………………………………

12



Recomendaciones

………………………………………………………….
………………………………………………………….

13



2

Universidad de San Carlos de Guatemala
Universidad de San Carlos de Guatemala
Facultad de Ingeniería
Facultad de Ingeniería
Escuela de Ciencias y Sistemas
Escuela de Ciencias y Sistemas



INTRODUCCION
INTRODUCCION



Debido al alto incremento de usuarios que cada día hacen uso de las redes informáticas
Debido al alto incremento de usuarios que cada día hacen uso
redes informáticas

surgen cada día nuevas amenazas, para ello es necesaria una herramienta que nos provea una
surgen cada día nuevas amenazas, para ello es necesaria una herramienta que nos provea una
surgen cada día nuevas amenazas, para ello es necesaria una herramienta que nos provea una

detección de intrusos como lo es el IDS, el cual

como lo es el IDS, el cual es el proceso de monitorear computadoras o

es el proceso de monitorear computadoras o redes,

para detectar entradas no autorizadas,

izadas, actividad o modificación de archivos.



Por ende un IDS puede tambié

n IDS puede también ser usado para monitorear trafico, así puede

uede detectar si

un sistema esta siendo un objetivo de un ataque de red como un DoS (denial of service).
un sistema esta siendo un objetivo de un ataque de red como un
DoS (denial of service).



Como toda herramienta posee ventajas y desventajas, dentro de una de las limitantes es
Como toda herramienta posee ventajas y de
sventajas, dentro de una de las limitantes es

que este genera únicamente alertas y no puede realizar acciones por si solo, como su nombre lo
que este genera únicamente alertas y no puede realizar acciones por si solo, como su nombre lo
que este genera únicamente alertas y no puede realizar acciones por si solo, como su nombre lo

indica es un sistema de detección que además de ser un detector de intrusos nos da la posibilidad
indica es un sistema de detección que además
un detector de intrusos nos da la posibilidad

de usarlo como un Sniffer y poder capturar una serie de paquetes que se mueven en la red
Sniffer y poder capturar una serie de paquetes que se mueven en la red
Sniffer y poder capturar una serie de paquetes que se mueven en la red

especificada al instalar un IDS, como por ejemplo SNORT.
especificada al instalar un IDS, como por ejemplo SNORT.



3

Universidad de San Carlos de Guatemala
Universidad de San Carlos de Guatemala
Facultad de Ingeniería
Facultad de Ingeniería
Escuela de Ciencias y Sistemas
Escuela de Ciencias y Sistemas



OBJETIVOS



General:


• Configurar correctamente un IDS para proteger una red de intrusos.
Configurar correctamente un IDS para proteger una red de intrusos.



Específicos:


•

Instalar y Configurar IDS SNORT

Configurar IDS SNORT.



• Aprender la sintaxis y funcionalidad del IDS
Aprender la sintaxis y funcionalidad del IDS.



• Configurar el SNORT para detectar in

Configurar el SNORT para detectar intrusos en la red.



4

Universidad de San Carlos de Guatemala
Universidad de San Carlos de Guatemala
Facultad de Ingeniería
Facultad de Ingeniería
Escuela de Ciencias y Sistemas
Escuela de Ciencias y Sistemas



IDS:

Historia:


Un sistema de detección de intrusos surge por la necesidad de proteger nuestras redes y
Un sistema de detección de intrusos
surge por la necesidad de proteger nuestras redes y

de proveer de funcionalidad de alertas en cuanto a amenazas se refiere, este e

funcionalidad de alertas en cuanto a amenazas se refiere, este es un programa
s un programa

usado para poder monitoriar y detectar accesos sin autorización a una PC específica o a una red,
usado para poder monitoriar y detectar accesos sin autorización a una PC específica o a una red,
usado para poder monitoriar y detectar accesos sin autorización a una PC específica o a una red,

donde estos ataques generalmente son hecho por hackers.
donde estos ataques generalmente son hecho por hackers.



El IDS provee una serie de sensores vir

de sensores virtuales, entre ellos un snifer, monitoreando el
tuales, entre ellos un snifer, monitoreando el

tráfico, el IDS detecta anomalías y puede detectar la presencia de ataques informando con
anomalías y puede detectar la presencia de ataques informando con
anomalías y puede detectar la presencia de ataques informando con

distintos tipos de alarma al administrador de la red.
administrador de la red.



Funcionamiento:



[ 1 ]

El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico
El funcionamiento de es
tas herramientas se basa en el análisis pormenorizado del tráfico

de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o
de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o
de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o

comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados,
comportamientos sospechosos, como puede ser el
, paquetes malformados,

etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su
etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su
etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su
comportamiento.

Normalmente esta herramienta se integra con un firewall. El detector de intrusos es
Normalmente esta herramienta se integra con un
. El detector de intrusos es

incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un
incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un
incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un

dispositivo de puerta de enlace con funcionalidad de

con funcionalidad de firewall, convirtiéndose en una herramienta
, convirtiéndose en una herramienta

muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del
muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall

firewall, al ser el

punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar
punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar
punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar

en la red.

Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.

Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento,
firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento,
firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento,

y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento
y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento
y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento

del mismo.



5

Universidad de San Carlos de Guatemala
Universidad de San Carlos de Guatemala
Facultad de Ingeniería
Facultad de Ingeniería
Escuela de Ciencias y Sistemas
Escuela de Ciencias y Sistemas



Tipos de IDS:
Los principales tipos de IDS, son los que
Los principales tipos de IDS, son los que a continuación listamos:

[ 2 ]

un IDS basado en red, detectando ataques a todo el segmento de la red. Su
el segmento de la red. Su


HIDS (HostIDS): un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no
un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no
un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no
promiscuo. La ventaja es que la carga de procesado es mucho menor.
promiscuo. La ventaja es que la carga de procesado es mucho menor.


NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo
interfaz debe funcionar en modo pr