Nagios Como IDS
Páginas: 6 (1319 palabras)
Publicado: 23 de septiembre de 2014
República Bolivariana de Venezuela
Ministerio del Poder Popular para la Educación.
Universidad Simón Bolívar.
Diplomado de Seguridad Linux (ISEIT).
Usando Nagios3 como IDS
Profesor: Ricardo Strusberg
Alumno: Gabriel Alejandro Arcos T.
C.I:19671229
Caracas, 12 de Agosto de 2014
Introducción.
La presente investigación se refiere al tema de los IDS, Intrusion Detection System oSistema de
detección de intrusos el cual es un programa usado para detectar accesos no autorizados a un
computador, Tema fundamental del Diplomado de Seguridad Linux de la Universidad Simón Bolívar. Y
donde presentaremos el caso “Usando Nagios como IDS”. Nagios es una herramienta ampliamente
polifacética de monitoreo de redes y estatus de servicios, por lo que podemos adaptarla para funcionarcomo detector de amenazas en una red, específicamente como detector de Rootkits, programas que se
alojan en un equipo y ejecutan tareas por lo general para husmear y extraer información relevante de un
host, como contraseñas, usuarios, documentos, etc..
Este tema fue seleccionado para investigar debido a que anteriormente ya he trabajado con la
herramienta Nagios y parece muy interesante conocerlas otras bondades que ofrece y el nivel de
escalabilidad que puede presentarnos.
Para la puesta en marcha del informe se procedió a investigar acerca de que alternativas existían para
adaptar a Nagios como IDS consiguiendo como mejor opción el uso de un Plugins de Nagios conocido
como check_by_ssh,para ejecutar comando remotos desde la central Nagios. Posteriormente pusimos
en practica loevaluado y se llevo a cabo una serie de pruebas sobre algunos servidores en una red de
laboratorio.
Desarrollo.
Usando Nagios3 como IDS.
Nagios es un sistema de monitorización de redes ampliamente utilizado, de código abierto, que vigila
los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento
de los mismos no sea el deseado. Entre suscaracterísticas principales figuran la monitorización de
servicios de red (smtp, pop3, http, snmp), la monitorización de los recursos de sistemas hardware
(carga del procesador, uso de los discos, memoria, estado de los puertos...), independencia de sistemas
operativos, posibilidad de monitorización remota mediante túneles SSL cifrados, SSH o la
participación de un agente llamado NRPE el cual debeestar corriendo en un host remoto y es el
encargado de enviar la información del mismo al servidor central nagios, y la posibilidad de programar
plugins específicos para nuevos sistemas.
Se trata de un software que proporciona una gran versatilidad para consultar prácticamente cualquier
parámetro de interés de un sistema, y genera alertas, que pueden ser recibidas por los responsablescorrespondientes mediante (entre otros medios) correo electrónico y mensajes SMS, cuando estos
parámetros exceden de los márgenes definidos por el administrador de red.
Siguiendo la temática del Diplomado de Seguridad de la Universidad Simón Bolívar, se decidió
implementar a Nagios3 como IDS mediante la monitorización de rootkits los cuales son programas en
el sistema operativo que se encuentranocultos y ejecutan programas con privilegios de superusuario
root de modo que su finalidad elemental es la de mantener el acceso abierto a intrusos externos (El
mismo que pudo insertar el rootkit en el host), manteniendo puertos abiertos, programas activos, robo
de claves de registro o puertas traseras que le permitan al mismo acceder a dicho host infectado cuando
así lo requiera para tomar oadulterar información de su interés.
Nagios tiene la virtud de tener a su disponibilidad un amplio repertorio de plugins o extensiones que
permiten examinar diferentes servicio y hacen escalable las características de monitorización del
mismo. Para este caso vamos a utilizar el plugins “check_by_ssh” combinado con el comando para
chequeo de rootkits “chkrootkits”.
Plugins check_by_ssh....
Ministerio del Poder Popular para la Educación.
Universidad Simón Bolívar.
Diplomado de Seguridad Linux (ISEIT).
Usando Nagios3 como IDS
Profesor: Ricardo Strusberg
Alumno: Gabriel Alejandro Arcos T.
C.I:19671229
Caracas, 12 de Agosto de 2014
Introducción.
La presente investigación se refiere al tema de los IDS, Intrusion Detection System oSistema de
detección de intrusos el cual es un programa usado para detectar accesos no autorizados a un
computador, Tema fundamental del Diplomado de Seguridad Linux de la Universidad Simón Bolívar. Y
donde presentaremos el caso “Usando Nagios como IDS”. Nagios es una herramienta ampliamente
polifacética de monitoreo de redes y estatus de servicios, por lo que podemos adaptarla para funcionarcomo detector de amenazas en una red, específicamente como detector de Rootkits, programas que se
alojan en un equipo y ejecutan tareas por lo general para husmear y extraer información relevante de un
host, como contraseñas, usuarios, documentos, etc..
Este tema fue seleccionado para investigar debido a que anteriormente ya he trabajado con la
herramienta Nagios y parece muy interesante conocerlas otras bondades que ofrece y el nivel de
escalabilidad que puede presentarnos.
Para la puesta en marcha del informe se procedió a investigar acerca de que alternativas existían para
adaptar a Nagios como IDS consiguiendo como mejor opción el uso de un Plugins de Nagios conocido
como check_by_ssh,para ejecutar comando remotos desde la central Nagios. Posteriormente pusimos
en practica loevaluado y se llevo a cabo una serie de pruebas sobre algunos servidores en una red de
laboratorio.
Desarrollo.
Usando Nagios3 como IDS.
Nagios es un sistema de monitorización de redes ampliamente utilizado, de código abierto, que vigila
los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento
de los mismos no sea el deseado. Entre suscaracterísticas principales figuran la monitorización de
servicios de red (smtp, pop3, http, snmp), la monitorización de los recursos de sistemas hardware
(carga del procesador, uso de los discos, memoria, estado de los puertos...), independencia de sistemas
operativos, posibilidad de monitorización remota mediante túneles SSL cifrados, SSH o la
participación de un agente llamado NRPE el cual debeestar corriendo en un host remoto y es el
encargado de enviar la información del mismo al servidor central nagios, y la posibilidad de programar
plugins específicos para nuevos sistemas.
Se trata de un software que proporciona una gran versatilidad para consultar prácticamente cualquier
parámetro de interés de un sistema, y genera alertas, que pueden ser recibidas por los responsablescorrespondientes mediante (entre otros medios) correo electrónico y mensajes SMS, cuando estos
parámetros exceden de los márgenes definidos por el administrador de red.
Siguiendo la temática del Diplomado de Seguridad de la Universidad Simón Bolívar, se decidió
implementar a Nagios3 como IDS mediante la monitorización de rootkits los cuales son programas en
el sistema operativo que se encuentranocultos y ejecutan programas con privilegios de superusuario
root de modo que su finalidad elemental es la de mantener el acceso abierto a intrusos externos (El
mismo que pudo insertar el rootkit en el host), manteniendo puertos abiertos, programas activos, robo
de claves de registro o puertas traseras que le permitan al mismo acceder a dicho host infectado cuando
así lo requiera para tomar oadulterar información de su interés.
Nagios tiene la virtud de tener a su disponibilidad un amplio repertorio de plugins o extensiones que
permiten examinar diferentes servicio y hacen escalable las características de monitorización del
mismo. Para este caso vamos a utilizar el plugins “check_by_ssh” combinado con el comando para
chequeo de rootkits “chkrootkits”.
Plugins check_by_ssh....
Leer documento completo
Regístrate para leer el documento completo.