PDF de programación - Estudio de técnicas y herramientas para la prevención y detección de intrusiones a nivel de aplicación en la red de datos de la Unach

UNIVERSIDAD NACIONAL DE CHIMBORAZO

FACULTAD DE INGENIERÍA

ESCUELA DE INGENIERÍA EN SISTEMAS Y COMPUTACIÓN

“Trabajo de grado previo a la obtención del Título de Ingeniero en



Sistemas y Computación”



Título:

ESTUDIO DE TÉCNICAS Y HERRAMIENTAS PARA LA PREVENCIÓN Y

DETECCIÓN DE INTRUSIONES A NIVEL DE APLICACIÓN EN LA RED

DE DATOS DE LA UNACH



Autora:

Nelly Janeth Yuquilema Heredia



Directora:

Ing. Pamela Buñay



Riobamba – Ecuador

2016







II





DERECHO DE AUTORÍA

La responsabilidad del contenido de este

trabajo

investigativo, corresponde exclusivamente a Nelly

Autora Heredia y como director de tesis a Ing. Pamela

Buñay. Los derechos de autoría pertenecen a

la

Universidad Nacional de Chimborazo.



III





AGRADECIMIENTO



Agradezco a Dios, por cada día de vida.

Agradezco a la Universidad Nacional de Chimborazo, a la Facultad de

Ingeniería, escuela de Sistemas y Computación por el aporte en mi

formación profesional.

De manera especial todos los profesores por su orientación.

A mi familia por siempre brindarme su apoyo y sobre todo un

sentimiento de gratitud a mi abuelita Celina quien con amor y

comprensión me ha acompañado en esta larga travesía.



IV







DEDICATORIA



A mi familia.

A mi hermana.



V







DERECHO DE AUTORÍA ................................................................................... iii

AGRADECIMIENTO ........................................................................................... iv

DEDICATORIA ..................................................................................................... v

RESUMEN ............................................................................................................ xii

SUMARY ............................................................................................................. xiii

INTRODUCCIÓN .................................................................................................. 1

CAPÍTULO I

MARCO REFERENCIAL

1.1. TÍTULO DEL PROYECTO ........................................................................ 2

1.2. PROBLEMATIZACIÓN ............................................................................. 2

1.2.1.

IDENTIFICACIÓN Y DESCRIPCIÓN DEL PROBLEMA ................... 2

1.2.2. ANÁLISIS CRÍTICO ............................................................................... 3

1.2.3.

PROGNOSIS ............................................................................................ 3

1.2.4. DELIMITACIÓN ..................................................................................... 4

1.2.5.

FORMULACIÓN DEL PROBLEMA ..................................................... 4

1.2.6. HIPÓTESIS .............................................................................................. 4

1.2.7.

Identificación De Variables ...................................................................... 4

1.3. OBJETIVOS ................................................................................................ 4

1.4.

JUSTIFICACIÓN ........................................................................................ 5

CAPÍTULO II

FUNDAMENTACIÓN TEÓRICA

2.1.

Introducción ................................................................................................. 7

2.2.

Introducción a la seguridad de la información ............................................ 7

2.3.

Introducción a las intrusiones....................................................................... 8

2.3.1. Concepto de intrusiòn ............................................................................... 8

2.3.2.

Impacto de los intrusiones ........................................................................ 9

2.3.3. Tipos de intrusiones ................................................................................ 10

2.3.3.1.

Sondas (vigilancia y exploración)....................................................... 10

2.3.3.2. Denegación de servicio (denial of service) ......................................... 10

2.3.3.3.

Remotos a local (r2l)........................................................................... 14

2.3.3.4. Usuario como root (u2r) ..................................................................... 14

2.3.4.

Intrusiones desde de punto de vista de la procedencia ........................... 14

2.4. DETECCIÓN Y PREVENCIÓN DE INTRUSIONES ............................. 15



VI





2.4.1.

Sistemas para detección y prevención de intrusiones............................. 16

2.4.2. Arquitectura de un IDPS ........................................................................ 16

2.4.3. Técnicas de análisis de los IDPS ............................................................ 17

2.4.3.1. Uso indebido ....................................................................................... 17

2.4.3.2. Anomalías ........................................................................................... 18

2.4.4.

IDPS según la localización del sensor .................................................... 19

2.4.4.1

Tiempo real (in-line) ........................................................................... 19

2.4.4.2

Fuera de tiempo (off-line) ................................................................... 19

SISTEMAS PARA LA DETECCIÓN PREVENCIÓN DE

2.4.5.
INTRUSIONES BASADOS EN RED (NIDPS) .................................................. 20

CAPÍTULO III

ANÁLISIS DE LAS TECNICAS Y DESCRIPCIÓN DE HERRAMIENTAS

nIDPS DE OPEN SOURCE

3.1. ESTUDIO DE LAS TÉCNICAS DE ANÁLISIS ...................................... 22

3.1.1. Determinación y descripción de las técnicas a comparar ...................... 22

3.1.1.1

Técnica de análisis: uso indebido ....................................................... 22

3.1.1.2

Técnica de análisis: anomalías ............................................................ 23

3.1.2.

Indicador de evaluación .......................................................................... 23

3.1.3. Descripción del criterios de evaluación y sus parámetros ...................... 23

3.1.4.

Ponderación de evaluación ..................................................................... 25

3.1.5. Desarrollo comparativo .......................................................................... 26

3.1.5.1. Desarrollo de evaluación del Indicador 1: características generales para
definir técnicas de análisis .................................................................................... 26

3.1.6. Resultados de la evaluación del Indicador 1 .......................................... 26

3.1.7.

Selección del tipo de técnica .................................................................. 27

3.2. DESCRIPCIÓN DE HERRAMIENTAS PARA LA DETECCIÓN Y
PREVENCIÓN ..................................................................................................... 28

5.5.1. Determinación de las herramientas nIDPS open source a comparar ...... 28

5.5.2. Descripción de las herramientas nIDPS open source ............................. 29

3.2.2.1

Snort .................................................................................................... 29

3.2.2.1.1 Arquitectura básica ............................................................................. 30

3.2.2.1.2 Ventajas .............................................................................................. 32

3.2.2.1.3 Debilidades ......................................................................................... 32

3.2.2.2

Suricata ............................................................................................... 33

3.2.2.2.1 Características ..................................................................................... 34



VII





3.2.2.2.2 Arquitectura básica ............................................................................. 34

3.2.2.2.3 Ventajas .............................................................................................. 35

3.2.2.2.4 Debilidades ......................................................................................... 35

CAPÍTULO IV

ANÁLISIS DE REQUERIMIENTOS Y SITUACIÓN ACTUAL DE LA UNACH

4.1.

Introducción ............................................................................................... 37

4.2. Situación actual de la UNACH .................................................................. 37

4.3. Topología lógica de la red .......................................................................... 38

4.4. Descripción de la red de datos ................................................................... 39

4.5. Determinación de la ubicación del nIDPS ................................................. 41

4.6. Requerimientos .......................................................................................... 42

4.6.1. Con respecto al hardware ....................................................................... 42

4.6.2. Con respecto al sistema base .................................................................. 42

4.6.3. Con respecto a las interfaces de red ....................................................... 42

4.6.4. Con respecto a herramientas adicionales ................................................ 43

CAPÍTULO V

METODOLOGÍA

5.1. TIPO DE ESTUDIO .................................................................................. 45

5.1.1.

Según el objeto de estudio ........................