PDF de programación - Estudio de una plataforma de detección de intrusos Open Source

Imágen de pdf Estudio de una plataforma de detección de intrusos Open Source

Estudio de una plataforma de detección de intrusos Open Sourcegráfica de visualizaciones

Publicado el 28 de Enero del 2020
282 visualizaciones desde el 28 de Enero del 2020
11,3 MB
63 paginas
Creado hace 10a (15/07/2009)
UNIVERSITAT POLIT`ECTICA DE CATALUNYA

Estudio de una plataforma de detección

de intrusos Open Source

per

Alan Alberto Ramírez García

Projecte Final de Carrera

a la

Escola T`ecnica Superior d’Enginyeria de Telecomunicació de Barcelona

Departament d’Enginyeria Telem`atica

Juliol de 2009

Agradecimientos

He de expresar mi gratitud e ilimitada admiración a mis padres, Óscar y María Teresa, y
a mis hermanos, por su comprensión, perseverancia y persistencia durante el desarrollo
de este trabajo pero en especial, por las muchas otras cosas más que vivimos y que
compartiremos. . .

Asimismo, manifestar agradecimiento a mis compañeros y grandes amigos, los cuales
han dado soporte moral e incluso, a veces, ayudas invaluables para la finalización de mi
proyecto, desde antes y para siempre, a Gianfranco, a Manuel, a Franco, a Juan Manuel,
inexorablemente a Lisset, a Jon, a Cristhian; a Gustavo; al Marc, al Jordi Palmés y al
Jordi Jaldo, al Alessandro, al Enric, por supuesto a Carlos Jiménez; a Milagros; a mi
camarada Krishna. . .

También manifestar mi inmensa gratitud y aprecio a Enriqueta, Julián y María Dolores,
por ser, no sólo durante el tiempo que ha durado este trabajo sino, siempre, afectuosos
conmigo y considerarme parte de la formidable familia que son. . .

Además, agradecer especialmente al doctor Carlos Silva y a mi director José Luis Muñoz
por haber confiado en mí y tolerarme a pesar de todo.

En general, a todos los que de una forma u otra desearon, expresa o tácitamente, lo
mejor de este proyecto. . .

i

Índice general

Agradecimientos

Lista de Figuras

1. Introducción

1.1. Motivación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2. Objetivos
1.2.1. Generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2.2. Específicos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3. Descripción de los contenidos . . . . . . . . . . . . . . . . . . . . . . . . .

I

V

1
1
2
2
2
2

2. Marco Teórico

4
4
2.1. Código abierto u Open Source . . . . . . . . . . . . . . . . . . . . . . . . .
4
2.2. Seguridad informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
2.3. Ataques de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
2.3.1. Denegación de servicios o DOS . . . . . . . . . . . . . . . . . . . .
6
2.3.2. Denegación de servicios distribuida o DDOS . . . . . . . . . . . . .
6
2.3.3. Scanning
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
2.3.4. Sniffing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
2.3.5. Ataques de autentificación . . . . . . . . . . . . . . . . . . . . . . .
7
IP Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.5.1.
7
. . . . . . . . . . . . . . . . . . . . . . . .
2.3.5.2. DNS Spoofing
8
. . . . . . . . . . . . . . . . . . . . . . . .
2.3.5.3. ARP Spoofing
8
2.3.5.4. SMTP Spoofing y Spamming . . . . . . . . . . . . . . . .
8
2.4. Métodos de defensa tradicionales . . . . . . . . . . . . . . . . . . . . . . .
8
2.4.1. Firewalls y proxies . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
2.4.2. Redes privadas virtuales . . . . . . . . . . . . . . . . . . . . . . . .
2.4.3. Listas de acceso o ACL . . . . . . . . . . . . . . . . . . . . . . . .
9
2.4.4. Sistemas de detección y prevención de intrusos . . . . . . . . . . . 10
2.5. Virtualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
. . . . . . . . . . . . . . . . . . . . . . . . 10
. . . . . . . . . . . . . . . . . . . . . . . . 10
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2.5.1. Sistema anfitrión o host
2.5.2. Sistema operativo guest
2.5.3. Máquina virtual

3. Sistemas de Detección de Intrusos y Snort

12

ii

Contenido

iii

3.3.1.
3.3.2.
3.3.3.

. . . . . . . . . . . . . . . . . . . . . . 12
3.1. Sistemas de Detección de Intrusos
3.2. Arquitectura general
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.3. Clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
IDS basado en host . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
IDS basado en red . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Implementación de IDSs . . . . . . . . . . . . . . . . . . . . . . . . 13
3.4. Snort como IDS basado en red . . . . . . . . . . . . . . . . . . . . . . . . 15
3.4.1. Características . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.4.2. Arquitectura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.4.2.1. Sniffer de paquetes . . . . . . . . . . . . . . . . . . . . . . 16
3.4.2.2. Decodificadores
. . . . . . . . . . . . . . . . . . . . . . . 17
3.4.2.3. Preprocesadores . . . . . . . . . . . . . . . . . . . . . . . 17
3.4.2.4. Motor de detección . . . . . . . . . . . . . . . . . . . . . 18
3.4.2.5. Mecanismo de registro (logging) y alerta
. . . . . . . . . 18
. . . . . . . . . . . . . . 18
3.4.2.6. Procesadores de salida (output)
3.4.3. Configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.4.3.1. Fichero de configuración . . . . . . . . . . . . . . . . . . 19
3.4.3.2. Fichero de referencias . . . . . . . . . . . . . . . . . . . . 19
3.4.4. Reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.4.4.1. Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.4.4.2. Metodología en la composición de reglas . . . . . . . . . . 20
3.4.4.3. Estructura . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.4.4.4. Configuración y escritura . . . . . . . . . . . . . . . . . . 22

4. Implementación del Escenario

23
4.1. Herramientas de propósitos generales . . . . . . . . . . . . . . . . . . . . . 23
4.1.1. Network mapper o nmap . . . . . . . . . . . . . . . . . . . . . . . 23
4.1.1.1. Características . . . . . . . . . . . . . . . . . . . . . . . . 23
4.1.2. Wireshark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.1.2.1. Características . . . . . . . . . . . . . . . . . . . . . . . . 25
4.1.3. Scapy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.1.3.1. Características . . . . . . . . . . . . . . . . . . . . . . . . 25
4.1.3.2. Comandos y funciones . . . . . . . . . . . . . . . . . . . . 26
4.1.3.3. Funciones genéricas . . . . . . . . . . . . . . . . . . . . . 26
4.1.4. Base analisys and secutiry engine o BASE . . . . . . . . . . . . . . 26
4.2. Herramientas de virtualización . . . . . . . . . . . . . . . . . . . . . . . . 27
4.2.1. VirtualBox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.2.1.1. Características . . . . . . . . . . . . . . . . . . . . . . . . 27
Implementación del escenario . . . . . . . . . . . . . . . . . . . . . . . . . 29
Instalación y configuración de VirtualBox . . . . . . . . . . . . . . 29
4.3.1.
4.3.1.1.
Instalación . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.3.2. Creación y configuración de máquinas virtuales . . . . . . . . . . . 30
4.3.3.
. . . . . . 31
4.3.4. Configuración de Snort + BASE para el escenario . . . . . . . . . 33
Instalación y preconfiguración de mysql y snort-mysql . . 33
4.3.4.1.
4.3.4.2. Configuración vía Web . . . . . . . . . . . . . . . . . . . 37
4.3.4.3. Clonación y backup de discos duros en VirtualBox . . . . 39

Instalación de herramientas y programas de uso general

4.3.

Contenido

iv

4.3.4.4. Asignación de propiedades de red en las VMs . . . . . . . 40
4.3.5. Escenario de pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . 41

5. Ejecución de Pruebas y Análisis de Resultados

42
5.1. Escaneos con nmap y scapy . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5.1.1. Escaneo nmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.1.2. Escaneo con Scapy . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5.2. Alteración en los ttls de paquetes ICMP fragmentados . . . . . . . . . . . 48
5.3. Detección de actividad específica . . . . . . . . . . . . . . . . . . . . . . . 50

6. Conclusiones

54

Índice de figuras

Implementación paralela de Firewall, DMZ e IDS . . . . . . . . . . . . . . 14
3.1.
3.2. Vulneración de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.3. Arquitectura de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.4. Arquitectura de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.5. Estructura de la cabecera de la regla en Snort . . . . . . . . . . . . . . . . 21
. . . . . . . . . . . . . . . 22
3.6. Ejemplo de composición de una regla en Snort

4.1. Técnicas de escaneos en nmap . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.2. Listado de elementos de un paquete IP en Scapy a través de la función ls
27
4.3. Diagrama de un escenario de congifuración Snort+BASE . . . . . . . . . 28
4.4. Diagrama de un escenario distribuido de Snort
. . . . . . . . . . . . . . . 28
Instalación de VirtualBox . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.5.
4.6. Compilación del módulo de kernel vboxdrv . . . . . . . . . . . . . . . . . 31
4.7. Creación del grupo de usuarios de VirtualBox . . . . . . . . . . . . . . . . 31
4.8.
Inicio del New Vitual Machine Wizard . . . . . . . . . . . . . . . . . . . . 32
4.9. Selección del SSOO y del nombre de la VM . . . . . . . . . . . . . . . . . 32
4.10. Asignación de la RAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.11. Inicio del Create New Virtual Disk . . . . . . . . . . . . . . . . . . . . . . 33
4.12. Elección del tipo de imagen . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.13. Elección del nombre y tamaño del nuevo disco virtual
. . . . . . . . . . . 34
4.14. Creación de un nuevo disco virtual - Sumario . . . . . . . . . . . . . . . . 35
4.15. Creación de una máquina virtual en VB . . . . . . . . . . . . . . . . . . . 35
4.16. Definición d
  • Links de descarga
http://lwp-l.com/pdf17192

Comentarios de: Estudio de una plataforma de detección de intrusos Open Source (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad