Sistema Detector de Intrusos en un entorno virtual con EasyIDS
Enviado por uallcam • 12 de Noviembre de 2018 • Informe • 5.162 Palabras (21 Páginas) • 202 Visitas
UNIVERSIDAD NACIONAL DEL ALTIPLANO
FACULTAD DE INGENIERIA MECANICA ELECTRICA ELECTRONICA Y SISTEMAS
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
[pic 1]
“Sistema Detector de Intrusos en un entorno virtual con EasyIDS”
ALUMNO:
W.R. MEDINA RAMOS
Puno – Perú
2014
- Contenido
RESUMEN 4
INTRODUCCIÓN 1
1 MARCO TEORICO 1
1.1 Sistemas de detección de intrusos 1
1.2 Tipos de IDS 1
1.2.1 Hids (Host Ids): 1
1.2.2 Nids (Net Ids): 2
1.3 Arquitectura de un IDS 2
1.4 Snort 2
2 Marco conceptual 4
2.1 Sistema Detector de Intrusos (IDS) 4
2.2 ARPwatch 4
2.3 NTop 5
2.4 CRON server 5
2.5 NTP server 5
2.6 MySQL 5
2.6.1 Uso de MySQL 5
2.6.2 Características de MySQL 6
2.7 APACHE (Acrónimo de "a patchy server"). 6
2.7.1 Características de Apache 6
2.7.2 Uso de Apache 6
2.8 DHCP 7
2.9 SSH (Secure SHell) 7
2.10 Stunnel 7
2.11 Iptable 8
2.12 EasyIDS 8
2.13 Servidor Web 8
3 DESCRIPCION DE ACTIVIDADES REALIZADAS 9
3.1 Instalación y configuraciones previas. 9
3.2 Pruebas y resultados 17
4 Discusión 29
5 Recomendaciones 30
6 Bibliografía 31
RESUMEN
El presente documento trata acerca de un Sistema de Detección de Intrusos (IDS, siglas en inglés). EasyIDS es un sistema de Detección de Intrusos, montado sobre el Sistema Operativo CentOS, el cual integra varias herramientas de monitoreo y administración bajo una interfaz web.
EasyIDS usa como motor un sniffer llamado Snort desarrollado por SourceFire. Para llegar a hablar de dicho sistema se definirá lo que es Snort primeramente. A continuación, se hablará de lo que es un IDS, como funciona y todos los aspectos básicos del mismo.
En éste informe, se explicará el proceso de instalación y configuración de EasyIDS, al mismo tiempo que se ilustrarán ejemplos que éste sistema IDS tiene como funcionalidades.
INTRODUCCIÓN
Uno de los sistemas más conocidos e importantes para la protección de las redes y sistemas informáticos son los Sistemas Detectores de Intrusos (IDS). Los IDS analizan los eventos de un sistema o el tráfico que pasa por una red para detectar comportamiento sospechoso o anómalo y lanzar alarmas que permitan al administrador evitar o responder a los ataques.
Actualmente, los IDS más conocidos y utilizados usan detección basada en firmas, es decir comparan los datos que analizan con patrones de ataques ya conocidos. El principal problema de estos sistemas es que solo detectan ataques conocidos, un problema cada vez mayor debido al crecimiento del número de nuevos ataques y a la proliferación de programas que permiten a todo tipo de usuarios, sin grandes conocimientos, intentar acceder a un sistema de forma fraudulenta.
El proyecto realizado consigue aunar todas las ventajas de la detección basada en firmas, gracias a la utilización del motor de Snort, y la detección basada en anomalías, con la creación de patrones del tráfico normal de la red. Debido a esto, supone una buena opción a la hora de proteger una red o sistema informático.
La implementación de un sistema de detención de intrusos, es una extensión de la seguridad para una organización y que a su vez consiste en detectar actividades inapropiadas o incorrectas desde el exterior-interior de un sistema informático.
La decisión de la elaboración del trabajo con EasyIDS basado en Snort, es que este es un sistema IDS basado en red (NIDS). El cual, tiene como característica analizar y capturar paquetes en busca de alertas, registro y cualquier anomalía que presente la red, con la finalidad de evitar las vulnerabilidades que presente dicha información de la organización.
MARCO TEORICO
Sistemas de detección de intrusos
El primer objetivo marcado era la adquisición de conocimientos básicos sobre los IDS, es decir funcionamiento, tipos, técnicas, etc. Una vez analizados los principales tipos y técnicas actuales para la detección de intrusiones se decidió usar un NIDS basado en anomalías para compensar la dificultad de Snort en detectar nuevos ataques.
Después de definir el tipo de IDS se determinó el tipo de ataques para el cual estaría destinado. Para esto, se comenzó la documentación sobre los principales tipos de ataques y las técnicas que había para detectarlos y evitarlos. Durante este aprendizaje, se observó que la detección de código malicioso basándose en anomalías era un campo poco estudiado y con pocos sistemas desarrollados, sobretodo de código libre.
...