PDF de programación - Utilización de Sistemas de Detección de Intrusos como Elemento de Seguridad Perimetral

Utilización de Sistemas de Detección de Intrusos como

Elemento de Seguridad Perimetral



INGENIERO EN INFORMÁTICA

Universidad de Almería

Autor: María Isabel Giménez García

Tutores: Julio Gómez López y Nicolás Padilla Soriano



Almería, 2008



© Maria Isabel Giménez y Julio Gómez
http://www.adminso.es





© Maria Isabel Giménez y Julio Gómez
http://www.adminso.es





Quisiera dedicar unas palabras de agradecimiento a todas aquellas
personas que han contribuido a que la realización de este proyecto haya
sido posible. Especialmente:

A los profesores Julio Gómez y Nicolás Padilla, como tutores del
proyecto, por
la dedicación, atención y predisposición que han
demostrado en todo momento, así como por su calidad profesional y por
su cercanía personal.

A mis compañeros, por los momentos que hemos vivido día a día y
que siempre permanecerán en mi recuerdo, en especial a Lara, María del
Mar y Gloria.

Y por supuesto a las personas que han estado siempre conmigo y me
han apoyado incondicionalmente especialmente: a mi madre, a mi
hermano José, a Sonia y a Roberto. Y también quisiera dedicárselo con
un cariño especial a mi padre y a mi abuela, porque a pesar de ya no estar
conmigo, siempre estarán en mi corazón dándome fuerzas.



© Maria Isabel Giménez y Julio Gómez
http://www.adminso.es





ÍÍNNDDIICCEE

ÍÍNNDDIICCEE ______________________________________________________VII

OOBBJJEETTIIVVOOSS DDEELL PPRROOYYEECCTTOO __________________________________ XIII

CCAAPPÍÍTTUULLOO 11

IINNTTRROODDUUCCCCIIÓÓNN AA LLOOSS IIDDSS________________________ 1

1

Introducción a la seguridad informática _____________________________ 1

2 Sistemas de Detección de Intrusos __________________________________ 3

3 Funciones de un IDS _____________________________________________ 6

4 Tipos de Sistema de Detección de Intrusos (IDS) ______________________ 7

4.1

4.2

4.3

4.4

Tipos de IDS en función del enfoque ____________________________________7

Tipos de IDS en función del origen de los datos __________________________14

Tipos de IDS en función de su estructura________________________________17

Tipos de IDS en función de su comportamiento___________________________19

5 Tipos de Sistemas de Prevención de Intrusos (IPS) ___________________ 20

5.1

5.2

5.3

IPS de filtrado de paquetes ___________________________________________21

IPS de bloqueo de IP _______________________________________________24

IPS mediante decepción _____________________________________________25

6 Minería de datos________________________________________________ 27

7 Resumen de IDS ________________________________________________ 28

8 Los sistemas de Detección de Intrusos en la Actualidad________________ 33

8.1

8.2

8.3

8.4

8.5

Sistemas Cisco ____________________________________________________33

Internet Security Systems (ISS) _______________________________________34

Symantec ________________________________________________________35

Enterasys ________________________________________________________35

Snort ____________________________________________________________36

CCAAPPÍÍTTUULLOO 22 SSNNOORRTT _________________________________________ 37

1

Introducción ___________________________________________________ 37

© Maria Isabel Giménez y Julio Gómez
http://www.adminso.es

VIII Utilización de Sistemas de Detección de Intrusos como Elemento de Seguridad Perimetral



2 Elementos del sistema ___________________________________________ 37

2.1 Módulo de captura de datos __________________________________________38

2.2

2.3

2.4

2.5

Decodificador _____________________________________________________39

Preprocesadores ___________________________________________________40

Reglas (Rules) ____________________________________________________44

El motor de detección_______________________________________________54

2.6 Módulos de salida__________________________________________________56

3 Plugins de Snort ________________________________________________ 59

4 Sistemas que utilizan Snort _______________________________________ 60

CCAAPPÍÍTTUULLOO 33

IINNSSTTAALLAACCIIÓÓNN YY CCOONNFFIIGGUURRAACCIIÓÓNN _______________ 65

1 Esquemas de Red con Snort ______________________________________ 65

1.1

1.2

1.3

1.4

1.5

Delante del firewall ________________________________________________65

Detrás del firewall _________________________________________________65

Combinación de los dos casos anteriores ________________________________67

Firewall / NIDS ___________________________________________________67

Combinaciones avanzadas ___________________________________________67

2 Deshabilitar firewall y selinux_____________________________________ 67

3

4

Instalación automática___________________________________________ 68

Instalación y compilación manual__________________________________ 68

5 Configuración __________________________________________________ 70

6 Modos de ejecución _____________________________________________ 72

6.1

6.2

6.3

6.4

Sniffer Mode______________________________________________________73

Packet Logger Mode________________________________________________74

Network Intrusión Detection System (NIDS)_____________________________75

Inline Mode ______________________________________________________75

7 Frontends _____________________________________________________ 75

7.1

7.2

7.3

Instalación de Apache_______________________________________________76

Instalación de PHP _________________________________________________76

Instalación de MySQL ______________________________________________77

© Maria Isabel Giménez y Julio Gómez
http://www.adminso.es



Índice

IX

7.4

Instalación de Frontends_____________________________________________78

8 OSSIM_______________________________________________________ 111

8.1

8.2

8.3

8.4

8.5

8.6

8.7

Introducción _____________________________________________________111

Características de OSSIM___________________________________________112

Funcionalidad ____________________________________________________112

Arquitectura _____________________________________________________114

Flujo de los datos _________________________________________________115

Componentes ____________________________________________________116

Instalación de OSSIM______________________________________________117

9 Configuración avanzada de Snort_________________________________ 137

9.1

9.2

Inicio automática de los servicios_____________________________________141

Actualización automática (oinkmaster) ________________________________142

9.3 Monitorización del sistema (PmGraph) ________________________________143

9.4

9.5

SPADE _________________________________________________________145

Frag3___________________________________________________________148

CCAAPPÍÍTTUULLOO 44 BBEENNCCHHMMAARRKKSS _________________________________ 151

1

Introducción __________________________________________________ 151

1.1

Evaluación del IDS________________________________________________151

1.2 Herramientas para el aprendizaje y evaluación __________________________154

2

IDSWakeup___________________________________________________ 155

2.1

2.2

2.3

Instalación ______________________________________________________156

Ejecución _______________________________________________________157

Pruebas realizadas ________________________________________________158

3 Sneeze _______________________________________________________ 159

3.1

3.2

3.3

Instalación ______________________________________________________160

Ejecución _______________________________________________________160

Pruebas realizadas ________________________________________________161

4 STICK _______________________________________________________ 163

4.1

Instalación ______________________________________________________163

© Maria Isabel Giménez y Julio Gómez
http://www.adminso.es

X



Utilización de Sistemas de Detección de Intrusos como Elemento de Seguridad Perimetral

4.2

4.3

Ejecución _______________________________________________________163

Pruebas realizadas ________________________________________________165

5 Ftester _______________________________________________________ 166

5.1

5.2

5.3

Instalación ______________________________________________________167

Ejecución _______________________________________________________169

Pruebas realizadas ________________________________________________170

6 Dataset DARPA _______________________________________________ 178

6.1

6.2

6.3

6.4

Introducción _____________________________________________________178

DataSets ________________________________________________________178

Formato General de los Dataset DARPA _______________________________183

Pruebas realizadas ________________________________________________183

7 Resumen de los Benchmarks_____________________________________ 205

8 Herramientas polivalentes_______________________________________ 206

CCAAPPÍÍTTUULLOO 55 PPUUEESSTTAA EENN MMAARRCCHHAA DDEE UUNN IIDDSS EENN LLAA UUAALL _____ 211

1

Introducción __________________________________________________ 211

2 Estructura ____________________________________________________ 212

3 Configuración _________________________________________________ 214

3.1

3.2

3.3

3.4

3.5

Configuración de la Red y del Switch _________________________________214

Configuración del IDS _____________________________________________216

Configuración de Perfstats y Oinkmaster _______________________________220

Configuración de los servicios _________________________________