proyectounidad5
Páginas: 14 (3349 palabras)
Publicado: 14 de diciembre de 2013
INSTALACIÓN, CONFIGURACIÓN Y FUNCIONAMIENTO
DEL IDS SNORT
DANIEL SEBASTIAN TORRES VARGAS
Código: 1150214
Trabajo presentado como parte del segundo previo
Profesor:
Jean Polo Cequeda Olago
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
FACULTAD DE INGENIERIAS
INGENIERIA DE SISTEMAS
SAN JOSÉ DE CÚCUTA
2012
INTRODUCCIÓN
El presente documento trata acerca de un Sistema deDetección de Intrusos (IDS, siglas en
Inglés) llamado Snort desarrollado por SourceFire. Para llegar a hablar de dicho sistema se
definirá lo que es un IDS primeramente. A continuación, se hablará de lo que es Snort, como
funciona y todos los aspectos básicos del mismo.
Como requerimiento de la entrega de éste informe, se explicará detalladamente el proceso
de instalación y configuración de Snort,al mismo tiempo que se ilustrarán ejemplos de
algunos de los comandos que éste sistema IDS tiene como funcionalidades.
1. ¿QUÉ ES UN IDS?
Cortafuegos vs IDS
Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un
sistema o en una red, considerando intrusión a toda actividad no autorizada o no que no
debería ocurrir en ese sistema. Según estadefinición, muchos podrían pensar que ese
trabajo ya se realiza mediante los cortafuegos o firewalls.
La principal diferencia, es que un cortafuegos es una herramienta basada en la aplicación de
un sistema de restricciones y excepciones sujeta a muchos tipos de ataques, desde los
ataques “tunneling”(saltos de barrera) a los ataques basados en las aplicaciones. Los
cortafuegos filtran los paquetes ypermiten su paso o los bloquean por medio de una tabla de
decisiones basadas en el protocolo de red utilizado. Las reglas verifican contra una base de
datos que determina si está permitido un protocolo determinado y permite o no el paso del
paquete basándose en atributos tales como las direcciones de origen y de destino, el número
de puerto, etc... Esto se convierte en un problema cuando unatacante enmascara el tráfico
que debería ser analizado por el cortafuegos o utiliza un programa para comunicarse
directamente con una aplicación remota. Estos aspectos se escapan a las funcionalidades
previstas en el diseño inicial de los cortafuegos. Es aquí dónde entran los IDS, ya que estos
son capaces de detectar cuando ocurren estos fallos.
Definición
Un sistema de detección de intrusos(o IDS de sus siglas en inglés Intrusion Detection
System) es un programa usado para detectar accesos no autorizados a un computador o a
una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que
usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo
del IDS puede obtener datos externos(generalmente sobre el tráfico de red). El IDS detecta,
gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o
falsas alarmas.
Algunas de las características deseables para un IDS son:
•
Deben estar continuamente en ejecución con un mínimo de supervisión.
•
Se deben recuperar de las posibles caídas o problemas con la red.
•
Debe poderse analizar élmismo y detectar si ha sido modificado por un atacante.
•
Debe utilizar los mínimos recursos posibles.
•
Debe estar configurado acorde con la política de seguridad seguida por la
organización.
•
Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.
Funcionamiento
El funcionamiento de estas herramientas se basa en el análisis pormenorizado deltráfico de
red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o
comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes
malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el
contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz
de...
DEL IDS SNORT
DANIEL SEBASTIAN TORRES VARGAS
Código: 1150214
Trabajo presentado como parte del segundo previo
Profesor:
Jean Polo Cequeda Olago
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
FACULTAD DE INGENIERIAS
INGENIERIA DE SISTEMAS
SAN JOSÉ DE CÚCUTA
2012
INTRODUCCIÓN
El presente documento trata acerca de un Sistema deDetección de Intrusos (IDS, siglas en
Inglés) llamado Snort desarrollado por SourceFire. Para llegar a hablar de dicho sistema se
definirá lo que es un IDS primeramente. A continuación, se hablará de lo que es Snort, como
funciona y todos los aspectos básicos del mismo.
Como requerimiento de la entrega de éste informe, se explicará detalladamente el proceso
de instalación y configuración de Snort,al mismo tiempo que se ilustrarán ejemplos de
algunos de los comandos que éste sistema IDS tiene como funcionalidades.
1. ¿QUÉ ES UN IDS?
Cortafuegos vs IDS
Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un
sistema o en una red, considerando intrusión a toda actividad no autorizada o no que no
debería ocurrir en ese sistema. Según estadefinición, muchos podrían pensar que ese
trabajo ya se realiza mediante los cortafuegos o firewalls.
La principal diferencia, es que un cortafuegos es una herramienta basada en la aplicación de
un sistema de restricciones y excepciones sujeta a muchos tipos de ataques, desde los
ataques “tunneling”(saltos de barrera) a los ataques basados en las aplicaciones. Los
cortafuegos filtran los paquetes ypermiten su paso o los bloquean por medio de una tabla de
decisiones basadas en el protocolo de red utilizado. Las reglas verifican contra una base de
datos que determina si está permitido un protocolo determinado y permite o no el paso del
paquete basándose en atributos tales como las direcciones de origen y de destino, el número
de puerto, etc... Esto se convierte en un problema cuando unatacante enmascara el tráfico
que debería ser analizado por el cortafuegos o utiliza un programa para comunicarse
directamente con una aplicación remota. Estos aspectos se escapan a las funcionalidades
previstas en el diseño inicial de los cortafuegos. Es aquí dónde entran los IDS, ya que estos
son capaces de detectar cuando ocurren estos fallos.
Definición
Un sistema de detección de intrusos(o IDS de sus siglas en inglés Intrusion Detection
System) es un programa usado para detectar accesos no autorizados a un computador o a
una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que
usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo
del IDS puede obtener datos externos(generalmente sobre el tráfico de red). El IDS detecta,
gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o
falsas alarmas.
Algunas de las características deseables para un IDS son:
•
Deben estar continuamente en ejecución con un mínimo de supervisión.
•
Se deben recuperar de las posibles caídas o problemas con la red.
•
Debe poderse analizar élmismo y detectar si ha sido modificado por un atacante.
•
Debe utilizar los mínimos recursos posibles.
•
Debe estar configurado acorde con la política de seguridad seguida por la
organización.
•
Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.
Funcionamiento
El funcionamiento de estas herramientas se basa en el análisis pormenorizado deltráfico de
red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o
comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes
malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el
contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz
de...
Leer documento completo
Regístrate para leer el documento completo.