PDF de programación - Diseño y Optimización de un Sistema de Detección de Intrusos Híbrido

Diseño y Optimización de un Sistema de Detección

de Intrusos Híbrido



INGENIERO EN INFORMÁTICA

Universidad de Almería

Autor: Carlos Jiménez Galindo

Tutores: Julio Gómez López y Consolación Gil Montoya



Almería, 2009

© Carlos Jiménez y Julio Gómez
http://www.adminso.es





Tanto la memoria de este trabajo como el software desarrollado se distribuyen

bajo la licencia GNU GPL v3.


La Licencia Pública General GNU (GNU GPL) es una licencia libre, sin derechos para

software y otro tipo de trabajos.


Las licencias para la mayoría del software y otros trabajos prácticos están destinadas a
suprimir la libertad de compartir y modificar esos trabajos. Por el contrario, la Licencia Pública
General GNU persigue garantizar su libertad para compartir y modificar todas las versiones de
un programa y asegurar que permanecerá como software libre para todos sus usuarios.


Cuando hablamos de software libre, nos referimos a libertad, no a precio. Las Licencias
Públicas Generales están destinadas a garantizar la libertad de distribuir copias de software libre
(y cobrar por ello si quiere), a recibir el código fuente o poder conseguirlo si así lo desea, a
modificar el software o usar parte del mismo en nuevos programas libres, y a saber que puede
hacer estas cosas.


Para obtener más información sobre las licencias y sus términos puede consultar:

http://www.gnu.org/licenses/gpl.html (Licencia original en inglés)

http://www.viti.es/gnu/licenses/gpl.html (Traducción de la licencia al castellano)



© Carlos Jiménez y Julio Gómez
http://www.adminso.es





En estas primeras líneas me gustaría destacar la importancia de ciertas personas que han

hecho posible la realización de este proyecto:

En primer lugar agradecer el apoyo constante, el tiempo empleado, los conocimientos
compartidos y la calidad personal a los tutores de este proyecto Julio Gómez López y
Consolación Gil Montoya. Sin olvidarme de mi tercer tutor no oficial, Francisco Gil Montoya,
gran persona e investigador.

A mis compañeros de carrera en general y en particular a Jesús Camacho Rodríguez,
Andrés Aranda Andújar, Francisco José Méndez Cirera y María Isabel Giménez García con los
que he pasado momentos de todo tipo y de los que destaco por encima de todo la amistad que
compartimos. Resulta curioso que una carrera a la que algunos se resisten en atribuirle
“competencias”, te encuentres a gente tan competente. Agradecer también a María del Mar
Alcaraz Ríos su infinita paciencia y comprensión.

A mis amigos, Luis, Koeman, Jorge , Molo, Fernando Giménez y Paco López. Siempre

ahí.

A mi hermana Marina y mi hermano Alejandro, ejemplos a seguir en mi vida. Y como

no, a los padres de la criatura , Joaquín y Esperanza, sencillamente por ser como son.



Gracias a todos



© Carlos Jiménez y Julio Gómez
http://www.adminso.es





“Mientras cada individuo puede ser un enigma insoluble,
un conjunto de ellos se comporta con exactitud matemática”

-Sherlock Holmes



© Carlos Jiménez y Julio Gómez
http://www.adminso.es





ÍNDICE

OObbjjeettiivvooss ddeell pprrooyyeeccttoo __________________________________________ XIII

CCAAPPÍÍTTUULLOO 11

IInnttrroodduucccciióónn aa llooss IIDDSS ____________________________ 1

1

Introducción a la seguridad informática______________________________ 1

2 Sistemas de Detección de Intrusos___________________________________ 2

3 Funciones de un IDS ______________________________________________ 4

4 Tipos de Sistema de Detección de Intrusos (IDS)_______________________ 5

4.1 Tipos de IDS en función del enfoque _____________________________________5

4.2 Tipos de IDS en función del origen de los datos ____________________________7

4.3 Tipos de IDS en función de su estructura __________________________________9

4.4 Tipos de IDS en función de su comportamiento ____________________________10

5 Resumen de IDS ________________________________________________ 11

6 Los sistemas de Detección de Intrusos en la actualidad ________________ 15

6.1 Sistemas Cisco _____________________________________________________15

6.2

Internet Security Systems (ISS) ________________________________________16

6.3 Symantec__________________________________________________________17

6.4 Enterasys__________________________________________________________17

6.5 Snort _____________________________________________________________18

CCAAPPÍÍTTUULLOO 22

EEll mmoottoorr ddee ddeetteecccciióónn ____________________________ 19

1

Introducción ___________________________________________________ 19

2 Estrategias de análisis____________________________________________ 20

2.1 Detección de Anomalías ______________________________________________20

2.2 Detección de uso indebido ____________________________________________21

2.3 Sistemas híbridos ___________________________________________________21

3 Evaluación de los IDS ____________________________________________ 22

© Carlos Jiménez y Julio Gómez
http://www.adminso.es

Diseño y optimización de un sistema de detección de intrusos híbrido

X



4 Técnicas de detección de anomalías_________________________________ 24

4.1 Sistemas Basados en Conocimiento _____________________________________24

4.2 Sistemas Basados en Métodos Estadísticos _______________________________24

4.3 Sistemas Basados en Aprendizaje Automático _____________________________24

5 Técnicas de Detección de uso indebido ______________________________ 25

5.1 Sistemas Expertos ___________________________________________________25

5.2 Detección de Firmas _________________________________________________25

5.3 Análisis de Extracción de Estados ______________________________________26

6

Inteligencia Artificial y los IDS ____________________________________ 26

6.1 La minería de datos y los IDS__________________________________________27

6.2 Técnicas de Inteligencia Artificial ______________________________________28

CCAAPPÍÍTTUULLOO 33

SSnnoorrtt__________________________________________ 41

1

Introducción ___________________________________________________ 41

2 Elementos de Snort ______________________________________________ 41

2.1 Módulo de captura de datos ___________________________________________42

2.2 Decodificador ______________________________________________________43

2.3 Preprocesadores ____________________________________________________44

2.4 Reglas (Rules)______________________________________________________45

2.5 El motor de detección ________________________________________________48

2.6 Módulos de salida ___________________________________________________50

3 Plugins de Snort ________________________________________________ 50

4 Sistemas que utilizan Snort _______________________________________ 51

CCAAPPÍÍTTUULLOO 44

IInnssttaallaacciióónn yy ccoonnffiigguurraacciióónn ddee SSnnoorrtt ________________ 55

1

Introducción ___________________________________________________ 55

2 Deshabilitar firewall y selinux _____________________________________ 56

3

4

Instalación automática ___________________________________________ 56

Instalación y compilación manual __________________________________ 57

5 Configuración __________________________________________________ 58

6 Modos de ejecución ______________________________________________ 60

© Carlos Jiménez y Julio Gómez
http://www.adminso.es



Índice

XI

7 BASE como Front-end ___________________________________________ 62

7.1

Instalación de Apache ________________________________________________62

7.2

Instalación de PHP __________________________________________________62

7.3

Instalación de MySQL _______________________________________________63

7.4 BASE ____________________________________________________________64

CCAAPPÍÍTTUULLOO 55

SSnnoorrtt hhííbbrriiddoo ___________________________________ 69

1

Introducción ___________________________________________________ 69

2 Estructura interna de Snort _______________________________________ 70

2.1 Motor de Detección__________________________________________________70

2.2 Procesamiento de un paquete __________________________________________72

3 Estado del Arte Sistemas Híbridos _________________________________ 81

3.1 Aproximación basada en Snort de un IDS híbrido __________________________81

3.2 Construyendo un modelo de minería para Snort____________________________82

3.3 Detección y resumen de nuevos ataques usando minería de datos ______________83

3.4 Detectando lo desconocido con Snort y SPADE ___________________________84

4 Esquema propuesto______________________________________________ 84

5 Detección de anomalías___________________________________________ 85

5.1 Esquema general del sistema __________________________________________86

5.2 Modelo Entidad-Relación _____________________________________________91

5.3 Preprocesador ______________________________________________________94

5.4 WEB _____________________________________________________________98

5.5 Resultados y pruebas________________________________________________104

6 Detección de patrones ___________________________________________ 109

6.1 Algoritmos de matchstring y Snort _____________________________________111

6.2

Implementación en Snort de la versión Aho-Corasick ______________________115

6.3 Optimización del algoritmo Aho-Corasick _______________________________117

CCoonncclluussiioonneess _________________________________________________ 127

TTRRAABBAAJJOO FFUUTTUURROO___________________________________________ 1