Universidad Centroamericana Facultad de Ciencia, Tecnologa y Ambiente Ingeniera en Sistemas y Tecnologas de la Informacin Tema Propuesta de implementacin de un sistema de deteccin

de intrusos en una red de rea local utilizando plataformas de software libre.

Integrantes
Arlen del Carmen Mndez Soza Jorge Ariel Pereira Olivas Francisco Joshua Robles Chamorro

Tutor MSc. Carlos A. Leal Saballos

Fecha: 12 de agosto de 2011

Objetivos General Realizar una propuesta de implementacin de un sistema de deteccin de intrusos que sea aplicable en cualquier Red de rea Local.

Objetivos especficos Recopilar informacin sobre los sistemas de deteccin de intrusos y su utilidad en la red. Seleccionar entre las alternativas disponibles, un sistema de deteccin de intrusos que sea eficaz, de bajo costo y amigable para el usuario. Dar a conocer las ventajas del uso del software libre como sistemas de seguridad en redes y sistemas de informacin.

Hiptesis Actualmente la seguridad de redes de las empresas se ve invadida por intrusos, es decir, por personas ajenas que no estn autorizadas a acceder y obtener informacin. Si se analiza a profundidad las medidas de proteccin de los datos, aun se encuentran vulnerabilidades en los sistemas, por tal razn es necesario implementar un sistema de deteccin de intrusos seguro, confiable, potente y de bajo costo. Resumen La seguridad informtica es un arma fundamental en estos das, debido a los recientes ataques y el acceso de husmeadores a varios sitios de internet nacionales e internacionales y servidores de empresas de prestigio, por estas razones se propone la implementacin del Sistema de Deteccin de Intrusos Snort el cual, adems de ser un software de libre distribucin, es una potente herramienta contra los accesos no autorizados y amenazas de ataque. Este gran instrumento cuenta adems con dos tipos de configuraciones: una de host, para seguridad informtica, y la otra de servidor, para seguridad de redes. La diferencia entre ambas radica en el alcance de cada una, la configuracin de host abarca solamente un elemento de la red en cambio la configuracin de servidor toma en cuenta a todos los elementos que se encuentren conectados a la red. Esta ultima seria de mucha ayuda a grandes empresas que poseen informacin muy valiosa que cuidar, en cambio la primera est dirigida mayormente para PYMES.

Se aaden tambin un entorno amigable, porque cuenta con una interfaz grfica de fcil operacin, el modo sniffer que se encarga del monitoreo del trafico de la red y la entrega de reportes, estos se guardan para futuros anlisis y tambin pueden ser utilizados para tomar medidas de seguridad en una red vulnerable. Introduccin Los sistemas de deteccin de intrusos son una revolucin en seguridad informtica. A travs de ellos se provee confianza al sitio donde la informacin se encuentra alojada. Existen muchos tipos de sistemas de seguridad, unos gratuitos otros bajo licencia de pago, algunos efectivos otros no tanto, cada uno de ellos con grandes caractersticas. Sin embargo, se encuentra uno que rene las caractersticas fundamentales para mantener alejados a los oportunistas que se aprovechan de las debilidades para obtener acceso a sitios a los cuales no les est permitido entrar: Snort es el sistema de Deteccin de intrusos que rene las caractersticas de confiabilidad, robustez, adaptabilidad y especialmente que es gratuito. Es por estas razones que es seleccionado como el Sistema de Deteccin de Intrusos ms efectivo para combatir ataques.

Marco Terico
Seguridad Informtica Segn Tanenbaum (2003), los trminos seguridad y proteccin se emplean de manera distinta. La seguridad tiene muchas facetas, tres de las ms importantes son la naturaleza de las amenazas, la naturaleza de los intrusos y prdida accidental de datos. Amenazas Desde una perspectiva de seguridad, los sistemas de computacin tienen tres metas generales, con sus respectivas amenazas. La primera, la confidencialidad de los datos, tiene que ver con mantener en secreto los datos que no deben ser accesibles o vistos por otros usuarios. De manera ms especfica, si el dueo de ciertos datos ha decidido que solo debe proporcionarse a ciertas personas y a nadie ms, el sistema debe garantizar que los datos no se proporcionaran a personas no autorizadas. Como mnimo, el dueo deber poder especificar quien puede ver qu, y el sistema deber hacer que se respeten esas especificaciones.

Meta Confidencialidad de los datos Integridad de los datos Disponibilidad del sistema

Amenaza Revelacin de los datos Alteracin de los datos Negacin del servicio

Tabla#1: Metas de seguridad y sus amenazas

La segunda meta, es la integridad de los datos, implica que los usuarios no autorizados no pueden modificar ningn dato sin permisos del usuario que los creo. Esto teniendo en cuenta que la modificacin no solo consiste en alterarlos sino tambin eliminar y aadir datos. La tercera meta es disponibilidad del sistema, esto implica que nadie podr alterar el sistema de modo que no pueda usarse. Tales ataques de negacin del servicio cada vez ms comunes. Intrusos Los intrusos actan de dos maneras. Los intrusos pasivos solo quieren leer archivos que no estn autorizados leer. Los intrusos activos tienen peores intenciones; quieren efectuar cambios no autorizados a los datos. Perdidas accidental de datos Adems de las amenazas provenientes de intrusos mal intencionados, es posible perder por accidenta datos valiosos. Entre las causas ms comunes de la perdida de datos estn: 1. Actos fortuitos: Incendios, inundaciones, terremotos, guerras, motines o ratas que roen cintas o disquetes. 2. Errores de hardware o software: fallas del CPU, discos o cintas ilegibles, errores de telecomunicaciones, errores de programacin. 3. Errores humanos: captura incorrecta de datos, montaje de una cinta o disco equivocado, ejecucin del programa equivocado, extravi de un disco o una cinta, o alguna otra equivocacin. Seguridad de Redes La seguridad de redes se encarga de mantener a salvo los recursos y la informacin con que se cuenta en la red, a travs de procedimientos basados en una poltica de privacidad que permita el control de lo actuado. (ArCERT) En otras palabras, se encarga de la salvedad de los recursos con los que la red cuenta. A diferencia de la seguridad informtica que se encarga solamente de un host dentro de una red.

Dado que se est tratando con conceptos que pueden tener mltiples interpretaciones, parece prudente acordar ciertos significados especficos. Por tanto, se recurren a algunas definiciones, todas ellas extradas del diccionario Espasa Calpe. Seguridad: es calidad de seguro, y seguro est definido como libre de riesgo. Informacin: es accin y efecto de informar. Informar: es dar noticia de una cosa. Redes: es el conjunto sistemtico de caos o de hilos conductores o de vas de comunicacin o de agencias y servicios o recursos para determinado fin. Uniendo todas estas definiciones, se puede establecer qu se entiende por Seguridad de Redes como el mantener la provisin de informacin libre de riesgo y brindar servicios para un determinado fin. Sistema de deteccin de intrusos (IDS) Los sistemas de deteccin de intrusos son para la monitorizacin y anlisis de las actividades de los usuarios. De esta forma se puede saber que servicios usan los usuarios, e incluso espiar el contenido, en busca de contenidos anmalos. Con respecto a algunos mbitos de utilidad se encuentran: Auditoria de configuraciones y vulnerabilidades de determinados sistemas. Mediante la deteccin de trfico, se pueden descubrir sistemas que tienen servicios habilitados (como el NETBIOS, que genera gran cantidad de trfico) cuando en realidad no deberan tenerlos.

Adems, se puede mirar activamente el trafico en busca de debilidades conocidas de los servicios de red, protegiendo dichos servicios ante una infeccin sigilosa (en el peor de los casos, aunque no se pueda evitar la infeccin, por lo menos es conocida por el usuario). Asegurar la integridad de los sistemas crticos. El anlisis de trfico permite detectar si un determinado sistema ha sido atacado (o est intentando ser atacado). De esta forma podemos estar seguros (en la medida de las posibilidades del IDS) de que los sistemas estn libres de ataques (con el Firewall solo se puede asegurar que tipo de trafico no pasa, pero no se sabe nada del trafico que se permite). Anlisis estadstico de ataques. Dado que la comparacin de ataques contra una base de datos es algo limitado, existen herramientas heursticas de bsqueda de patrones de ataques, exactamente igual que hacen los antivirus, que complementan su base de datos de virus con algunos heursticos de bsqueda. Casi todos los IDS implementan este tipo de tcnicas, para que complementen a la bsqueda de firmas, pero los que realmente estn consiguiendo resultados sorprendentes son aquellos basados en redes neuronales.

Anlisis de trfico anormal. Si se observa una conexin a las 4 am, se puede pensar que est ocurriendo algo extrao. Un anlisis detallado de dicho trafico puede revelar una maquina comprometida o un usuario con su password (contrasea) al descubierto.

Software libre Se conoce como software libre tal como se indica a un software gratuito. Es la denominacin del software que respeta la libertad de los usuarios sobre su producto adquirido y, por tanto, una vez obtenido puede ser usado, copiado, estudiado, modificado y redistribuido libremente. Segn la Free Software Foundation, el software libre se refiere a la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar, modificar el software y distribuirlo modificado. Snort Es un sniffer capaz de actuar como sistema de deteccin de intrusos en redes de trfico moderado; su facilidad de configuracin, su adaptabilidad, sus requerimientos mnimos (funciona en diferentes Unices, incluyendo un simple PC con Linux, Solaris o cualquier BSD gratuito), y sobre todo su precio (se trata de un software completamente gratuito). (IDS en la red: SNORT, 2003) Caractersticas de Snort

Snort es una herramienta de deteccin de intrusiones open source (Cdigo abierto) que puede usarse para monitorear redes TCP/IP y detectar una amplia variedad de trfico sospechoso as como ataques externos. Es utilizado para detectar una gran cantidad de ataques como ser buffer overflows, escaneo de puertos, ataques CGI, denegaciones de servicios, etc. Puede funcionar como sniffer (al estilo tcpdump), como detector de intrusos monitorizando todo un dominio de colisin y como packet logger registrando los paquetes que circulan por la red. Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida. Provee al administrador de una gran cantidad de datos para tomar la decisin correcta al momento que se lleva a cabo la actividad sospechosa. Es un detector liviano de intrusiones ya que puede ser instalado en los host sin interrumpir la actividad normal de los equipos. Implementa un lenguaje de creacin de reglas flexibles y sencillas. Cuando un paquete coincide con algn patrn establecido en las reglas de configuracin se guarda en un log. De esa forma se sabe cundo, dnde y cmo se produjo el ataque.

Conclusiones Snort es un sistema de deteccin de intrusos altamente confiable y configurable. Un sistema de deteccin de intrusos se puede instalar en cualquier red de rea local. El software libre es una buena opcin para implementacin de determinado sistema. El software libre es una ventaja econmica para las empresas que decidan implementar un IDS en su LAN (Red de rea Local).

Bibliografa
ArCERT. (s.f.). Manual de Seguridad de Redes. Recuperado el 11 de Agosto de 2011, de http://www.arcert.gov.ar/webs/manual/manual_de_seguridad.pdf Free Software Foundation. (2009 de Diciembre de 09). http://www.gnu.org. Recuperado el 2011 de Agosto de 13 IDS en la red: SNORT. (08 de Agosto de 2003). Recuperado el 09 de Agosto de 2011, de http://www.ibiblio.org/pub/Linux/docs/LuCaS/Manuales-LuCAS/doc-unixsec/unixsechtml/node290.html Tanenbaum, A. S. (2003). Sistemas Operativos Modernos. Mexico: Pearson Educacion. Tomasi, W. (2003). Sistemas de Comunicaciones Electronicas. Mexico: Pearson Educacion. Vizcanio, L. M. (s.f.). Introduccion a Sistemas IDS. Recuperado el 09 de Agosto de 2011, de pmartinez.files.wordpress.com/2007/07/analisis_snort.pdf

Anexos