Publicado el 16 de Enero del 2017
1.373 visualizaciones desde el 16 de Enero del 2017
7,3 MB
307 paginas
Creado hace 13a (22/02/2011)
Utilización de Sistemas de Detección de Intrusos como
Elemento de Seguridad Perimetral
INGENIERO EN INFORMÁTICA
Universidad de Almería
Autor: María Isabel Giménez García
Tutores: Julio Gómez López y Nicolás Padilla Soriano
Almería, 2008
© Maria Isabel Giménez y Julio Gómez
http://www.adminso.es
© Maria Isabel Giménez y Julio Gómez
http://www.adminso.es
Quisiera dedicar unas palabras de agradecimiento a todas aquellas
personas que han contribuido a que la realización de este proyecto haya
sido posible. Especialmente:
A los profesores Julio Gómez y Nicolás Padilla, como tutores del
proyecto, por
la dedicación, atención y predisposición que han
demostrado en todo momento, así como por su calidad profesional y por
su cercanía personal.
A mis compañeros, por los momentos que hemos vivido día a día y
que siempre permanecerán en mi recuerdo, en especial a Lara, María del
Mar y Gloria.
Y por supuesto a las personas que han estado siempre conmigo y me
han apoyado incondicionalmente especialmente: a mi madre, a mi
hermano José, a Sonia y a Roberto. Y también quisiera dedicárselo con
un cariño especial a mi padre y a mi abuela, porque a pesar de ya no estar
conmigo, siempre estarán en mi corazón dándome fuerzas.
© Maria Isabel Giménez y Julio Gómez
http://www.adminso.es
ÍÍNNDDIICCEE
ÍÍNNDDIICCEE ______________________________________________________VII
OOBBJJEETTIIVVOOSS DDEELL PPRROOYYEECCTTOO __________________________________ XIII
CCAAPPÍÍTTUULLOO 11
IINNTTRROODDUUCCCCIIÓÓNN AA LLOOSS IIDDSS________________________ 1
1
Introducción a la seguridad informática _____________________________ 1
2 Sistemas de Detección de Intrusos __________________________________ 3
3 Funciones de un IDS _____________________________________________ 6
4 Tipos de Sistema de Detección de Intrusos (IDS) ______________________ 7
4.1
4.2
4.3
4.4
Tipos de IDS en función del enfoque ____________________________________7
Tipos de IDS en función del origen de los datos __________________________14
Tipos de IDS en función de su estructura________________________________17
Tipos de IDS en función de su comportamiento___________________________19
5 Tipos de Sistemas de Prevención de Intrusos (IPS) ___________________ 20
5.1
5.2
5.3
IPS de filtrado de paquetes ___________________________________________21
IPS de bloqueo de IP _______________________________________________24
IPS mediante decepción _____________________________________________25
6 Minería de datos________________________________________________ 27
7 Resumen de IDS ________________________________________________ 28
8 Los sistemas de Detección de Intrusos en la Actualidad________________ 33
8.1
8.2
8.3
8.4
8.5
Sistemas Cisco ____________________________________________________33
Internet Security Systems (ISS) _______________________________________34
Symantec ________________________________________________________35
Enterasys ________________________________________________________35
Snort ____________________________________________________________36
CCAAPPÍÍTTUULLOO 22 SSNNOORRTT _________________________________________ 37
1
Introducción ___________________________________________________ 37
© Maria Isabel Giménez y Julio Gómez
http://www.adminso.es
VIII Utilización de Sistemas de Detección de Intrusos como Elemento de Seguridad Perimetral
2 Elementos del sistema ___________________________________________ 37
2.1 Módulo de captura de datos __________________________________________38
2.2
2.3
2.4
2.5
Decodificador _____________________________________________________39
Preprocesadores ___________________________________________________40
Reglas (Rules) ____________________________________________________44
El motor de detección_______________________________________________54
2.6 Módulos de salida__________________________________________________56
3 Plugins de Snort ________________________________________________ 59
4 Sistemas que utilizan Snort _______________________________________ 60
CCAAPPÍÍTTUULLOO 33
IINNSSTTAALLAACCIIÓÓNN YY CCOONNFFIIGGUURRAACCIIÓÓNN _______________ 65
1 Esquemas de Red con Snort ______________________________________ 65
1.1
1.2
1.3
1.4
1.5
Delante del firewall ________________________________________________65
Detrás del firewall _________________________________________________65
Combinación de los dos casos anteriores ________________________________67
Firewall / NIDS ___________________________________________________67
Combinaciones avanzadas ___________________________________________67
2 Deshabilitar firewall y selinux_____________________________________ 67
3
4
Instalación automática___________________________________________ 68
Instalación y compilación manual__________________________________ 68
5 Configuración __________________________________________________ 70
6 Modos de ejecución _____________________________________________ 72
6.1
6.2
6.3
6.4
Sniffer Mode______________________________________________________73
Packet Logger Mode________________________________________________74
Network Intrusión Detection System (NIDS)_____________________________75
Inline Mode ______________________________________________________75
7 Frontends _____________________________________________________ 75
7.1
7.2
7.3
Instalación de Apache_______________________________________________76
Instalación de PHP _________________________________________________76
Instalación de MySQL ______________________________________________77
© Maria Isabel Giménez y Julio Gómez
http://www.adminso.es
Índice
IX
7.4
Instalación de Frontends_____________________________________________78
8 OSSIM_______________________________________________________ 111
8.1
8.2
8.3
8.4
8.5
8.6
8.7
Introducción _____________________________________________________111
Características de OSSIM___________________________________________112
Funcionalidad ____________________________________________________112
Arquitectura _____________________________________________________114
Flujo de los datos _________________________________________________115
Componentes ____________________________________________________116
Instalación de OSSIM______________________________________________117
9 Configuración avanzada de Snort_________________________________ 137
9.1
9.2
Inicio automática de los servicios_____________________________________141
Actualización automática (oinkmaster) ________________________________142
9.3 Monitorización del sistema (PmGraph) ________________________________143
9.4
9.5
SPADE _________________________________________________________145
Frag3___________________________________________________________148
CCAAPPÍÍTTUULLOO 44 BBEENNCCHHMMAARRKKSS _________________________________ 151
1
Introducción __________________________________________________ 151
1.1
Evaluación del IDS________________________________________________151
1.2 Herramientas para el aprendizaje y evaluación __________________________154
2
IDSWakeup___________________________________________________ 155
2.1
2.2
2.3
Instalación ______________________________________________________156
Ejecución _______________________________________________________157
Pruebas realizadas ________________________________________________158
3 Sneeze _______________________________________________________ 159
3.1
3.2
3.3
Instalación ______________________________________________________160
Ejecución _______________________________________________________160
Pruebas realizadas ________________________________________________161
4 STICK _______________________________________________________ 163
4.1
Instalación ______________________________________________________163
© Maria Isabel Giménez y Julio Gómez
http://www.adminso.es
X
Utilización de Sistemas de Detección de Intrusos como Elemento de Seguridad Perimetral
4.2
4.3
Ejecución _______________________________________________________163
Pruebas realizadas ________________________________________________165
5 Ftester _______________________________________________________ 166
5.1
5.2
5.3
Instalación ______________________________________________________167
Ejecución _______________________________________________________169
Pruebas realizadas ________________________________________________170
6 Dataset DARPA _______________________________________________ 178
6.1
6.2
6.3
6.4
Introducción _____________________________________________________178
DataSets ________________________________________________________178
Formato General de los Dataset DARPA _______________________________183
Pruebas realizadas ________________________________________________183
7 Resumen de los Benchmarks_____________________________________ 205
8 Herramientas polivalentes_______________________________________ 206
CCAAPPÍÍTTUULLOO 55 PPUUEESSTTAA EENN MMAARRCCHHAA DDEE UUNN IIDDSS EENN LLAA UUAALL _____ 211
1
Introducción __________________________________________________ 211
2 Estructura ____________________________________________________ 212
3 Configuración _________________________________________________ 214
3.1
3.2
3.3
3.4
3.5
Configuración de la Red y del Switch _________________________________214
Configuración del IDS _____________________________________________216
Configuración de Perfstats y Oinkmaster _______________________________220
Configuración de los servicios _________________________________
Comentarios de: Utilización de Sistemas de Detección de Intrusos como Elemento de Seguridad Perimetral (0)
No hay comentarios