Adaptación Del Ids/Ips
Páginas: 20 (4925 palabras)
Publicado: 5 de noviembre de 2012
Adaptación del IDS/IPS Suricata para que se pueda convertir en una solución empresarial.
Juan Astudillo Herrera [1], Fernando Ortiz Flores (2), Alberto Jiménez Macías (3), Alfonso Aranda (4) Facultad de Ingeniería en Electricidad y Computación (FIEC) Escuela Superior Politécnica del Litoral (ESPOL) Campus Gustavo Galindo, Km 30.5 vía Perimetral Apartado 09-01-5863. Guayaquil, Ecuadorjuanastu@espol.edu.ec (1), fermaort@espol.edu.ec (2), albjimen@espol.edu.ec (3), jaranda@espol.edu.ec (4)
Resumen
Los Sistemas de Prevención y Detención de Intrusos (IPS/IDS) proporcionan un nivel adicional de seguridad en las redes de datos previniendo vulnerabilidades que los firewall simplemente no pueden. La mayoría de estos sistemas son pagados y costosos, por lo que resultan muy difíciles deimplementar en pequeñas y medianas empresas. Suricata es un motor IPS/IDS de código abierto bajo licencia GPLv2 relativamente nuevo pero con muy buenas características siendo la más importante su arquitectura multi-hilos. El objetivo principal del proyecto es montar una solución IPS/IDS empresarial con Suricata como motor de detección. En primer lugar se definió el estado de arte del proyecto Suricata yse estudió los requerimientos necesarios para diseñar una solución IPS/IDS de uso empresarial que no se quede tan atrás con relación a soluciones comerciales existentes. Se adaptó un módulo de detección de anomalías para poder detectar amenazas que por su método de atacar son difíciles de identificar mediante reglas, como por ejemplo: gusanos y ataques de denegación de servicio. Se sometió alSuricata a pruebas de estrés para determinar su alcance y limitaciones. Finalmente se desarrolló una interfaz web para administración del IPS/IDS. Al final del documento se proponen mejoras futuras a la solución actual. Palabras Clave: Anomalías, Suricata, IDS, IPS.
Abstract
Intrusion Prevention and Detection systems provide and additional level of security in networks preventing fromvulnerabilities than firewalls cannot. Most of these systems are paid and expensive and because of that there are difficulties in their implementation in small and medium companies. Suricata is an open source IPS/IDS engine with GPLv2 license, relatively new but with very good features being the most important of all, its multi-threading architecture. The main objective of this project is to implementate anEnterprise IPS/IDS with Suricata as its detection engine. First we defined the state of art of the project Suricata y we studied the requirements to design an enterprise solution that don’t stay behind existent commercials IPS/IDS solutions. We adapted an anomaly detection engine to detect network menaces that because of the nature of their attack the get hard to detect with pattern and rules, forinstance: worms and DOS attacks. Suricata was stressed tested to determinate its limitation. Finally we developed a web front-end for administration of the IPS/IDS. At the end of this document we propose future improvements for the actual work. Key Words: Anomaly, Suricata, IDS, IPS, Security, Network, Information, Ourmon.
1. Introducción
Los IDS/IPS actualmente constituye una herramientaindispensable para la seguridad de la red de una empresa ya sea pequeña, mediana o grande. Suricata es un proyecto joven de código abierto que promete ser un IDS/IPS tan efectivo como los productos con licencia. Por esta razón, y dado que Suricata trabaja actualmente de acuerdo a los avances tecnológicos actuales, se planteó contribuir con dos aspectos fundamentales faltantes: una interfaz deadministración, que facilite su gestión como solución empresarial, y un módulo de detección de anomalías.
simulación de tráfico y medición para un completo análisis tanto del motor, como de los recursos que son utilizados por el servidor que lo aloja. Otro objetivo fue el de desarrollar un módulo de detección de anomalías y autoaprendizaje, debido a la limitante de no conocer a tiempo real la...
Juan Astudillo Herrera [1], Fernando Ortiz Flores (2), Alberto Jiménez Macías (3), Alfonso Aranda (4) Facultad de Ingeniería en Electricidad y Computación (FIEC) Escuela Superior Politécnica del Litoral (ESPOL) Campus Gustavo Galindo, Km 30.5 vía Perimetral Apartado 09-01-5863. Guayaquil, Ecuadorjuanastu@espol.edu.ec (1), fermaort@espol.edu.ec (2), albjimen@espol.edu.ec (3), jaranda@espol.edu.ec (4)
Resumen
Los Sistemas de Prevención y Detención de Intrusos (IPS/IDS) proporcionan un nivel adicional de seguridad en las redes de datos previniendo vulnerabilidades que los firewall simplemente no pueden. La mayoría de estos sistemas son pagados y costosos, por lo que resultan muy difíciles deimplementar en pequeñas y medianas empresas. Suricata es un motor IPS/IDS de código abierto bajo licencia GPLv2 relativamente nuevo pero con muy buenas características siendo la más importante su arquitectura multi-hilos. El objetivo principal del proyecto es montar una solución IPS/IDS empresarial con Suricata como motor de detección. En primer lugar se definió el estado de arte del proyecto Suricata yse estudió los requerimientos necesarios para diseñar una solución IPS/IDS de uso empresarial que no se quede tan atrás con relación a soluciones comerciales existentes. Se adaptó un módulo de detección de anomalías para poder detectar amenazas que por su método de atacar son difíciles de identificar mediante reglas, como por ejemplo: gusanos y ataques de denegación de servicio. Se sometió alSuricata a pruebas de estrés para determinar su alcance y limitaciones. Finalmente se desarrolló una interfaz web para administración del IPS/IDS. Al final del documento se proponen mejoras futuras a la solución actual. Palabras Clave: Anomalías, Suricata, IDS, IPS.
Abstract
Intrusion Prevention and Detection systems provide and additional level of security in networks preventing fromvulnerabilities than firewalls cannot. Most of these systems are paid and expensive and because of that there are difficulties in their implementation in small and medium companies. Suricata is an open source IPS/IDS engine with GPLv2 license, relatively new but with very good features being the most important of all, its multi-threading architecture. The main objective of this project is to implementate anEnterprise IPS/IDS with Suricata as its detection engine. First we defined the state of art of the project Suricata y we studied the requirements to design an enterprise solution that don’t stay behind existent commercials IPS/IDS solutions. We adapted an anomaly detection engine to detect network menaces that because of the nature of their attack the get hard to detect with pattern and rules, forinstance: worms and DOS attacks. Suricata was stressed tested to determinate its limitation. Finally we developed a web front-end for administration of the IPS/IDS. At the end of this document we propose future improvements for the actual work. Key Words: Anomaly, Suricata, IDS, IPS, Security, Network, Information, Ourmon.
1. Introducción
Los IDS/IPS actualmente constituye una herramientaindispensable para la seguridad de la red de una empresa ya sea pequeña, mediana o grande. Suricata es un proyecto joven de código abierto que promete ser un IDS/IPS tan efectivo como los productos con licencia. Por esta razón, y dado que Suricata trabaja actualmente de acuerdo a los avances tecnológicos actuales, se planteó contribuir con dos aspectos fundamentales faltantes: una interfaz deadministración, que facilite su gestión como solución empresarial, y un módulo de detección de anomalías.
simulación de tráfico y medición para un completo análisis tanto del motor, como de los recursos que son utilizados por el servidor que lo aloja. Otro objetivo fue el de desarrollar un módulo de detección de anomalías y autoaprendizaje, debido a la limitante de no conocer a tiempo real la...
Leer documento completo
Regístrate para leer el documento completo.