Está en la página 1de 22

SEGURIDAD INFORMTICA I

LABORATORIO N 02

IDS (Sistema de Deteccin de Intrusos)

CODIGO DEL CURSO: R66513

Alumno(s): Eduardo Alarcon Casanova


Marcos Nina Aquino Nota

Grupo: G Ciclo: V
Requiere No
Excelente Bueno Puntaje
Criterio de Evaluacin mejora acept.
(4pts) (3pts) Logrado
(2pts) (0pts)
Instala y personaliza un IDS, actualiza las firmas
y prepara la base de datos
Instala, configura y personaliza el software de
monitoreo Web para un IDS
Utiliza herramientas diversas para simular
ataques que sern detectados
Trabaja con un Live CD para simulacin de
ataques a detectar
Es puntual y redacta el informe adecuadamente

REDES Y COMUNICACIONES DE DATOS


PROGRAMA DE FORMACIN REGULAR
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 2 de 22

I.- OBJETIVOS:
Auditar el trfico de la red.
Analizar y detectar trfico malicioso.

II.- SEGURIDAD:
Advertencia:
En este laboratorio est prohibida la manipulacin del
hardware, conexiones elctricas o de red; as como la
ingestin de alimentos o bebidas.

III.- FUNDAMENTO TERICO:


Debe revisar el fundamento terico en la separata del curso y en las diapositivas de la sesin de teora.

IV.- NORMAS EMPLEADAS:


No aplica

V.- RECURSOS:
En este laboratorio cada alumno trabajar con un equipo con Windows XP.
Este equipo debe tener instalado el programa VMware Workstation para la definicin y administracin de
los equipos virtuales.
Los equipos virtuales preparados para el desarrollo del laboratorio.

VI.- METODOLOGA PARA EL DESARROLLO DE LA TAREA:


El desarrollo del laboratorio es individual.

VII.- PROCEDIMIENTO:
IMPORTANTE: Todos los equipos deben ser conectados a la red VMnet2.

PARTE 1
Activaremos y configuraremos el IDS. Los programas a usar se encuentra en la mquina virtual en el directorio
/soft

MQUINA VIRTUAL IDS


1. (IDS) Prepare una Mquina Virtual Centos SERVER:
Descomprima el archivo Linux IDS PCC.rar
Renombre la carpeta y el equipo virtual a IDS.
Inicie la mquina virtual (Usuario = root, Contrasea = tecsup).
La mquina virtual est configurada con los siguientes datos: IP: 192.168.90.115. Si aparece un
nuevo dispositivo detectado, seleccione: Ninguna modificacin

Nota: Las dependencias se encuentran en los CDS de CENTOS (ya fueron instaladas). Las dependencias
(programas) a tener instalado previamente en el IDS son: mysql mysql-bench mysql-server mysql-devel
mysqlclient10 php-mysql httpd gcc pcre-devel php-gd gd mod_ssl glib2-devel gcc-c++

INSTALACIN
2. (IDS) Instalacin del SNORT:
Abra una ventana Terminal y ejecute los siguientes comandos (pueden tardar unos minutos):

cd /soft
tar zxvf snort-2.6.1.4.tar.gz
cd snort-2.6.1.4
./configure --with-mysql --enable-dynamicplugin
make
make install
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 3 de 22

fig. 1 Comando make install -comando de instalacin del paquete

Cree un usuario y grupo snort:


groupadd snort
useradd g snort snort s /sbin/nologin

fig. 2 Creacin del grupo y adhesin de un usuario SNORT

Cree los siguientes directorios:


mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort
Copie la configuracin:
cp /soft/snort-2.6.1.4/etc/* /etc/snort

fig. 3 Creacin de carpetas de configuracion y copeo de archivo a snort

FIRMAS
3. (IDS) Se actualizarn las firmas:
Ejecute los siguientes comandos:
cd /soft
cp snortrules-snapshot-CURRENT.tar.gz /etc/snort
cd /etc/snort
tar zxvf snortrules-snapshot-CURRENT.tar.gz
Observe la creacin del directorio rules y vea la relacin de los tipos de ataques que puede
inspeccionar:
cd rules
ls

Nota: El archivo snortrules se ha obtenido del enlace http://www.snort.org/pub-bin/downloads.cgi en la


seccin Sourcefire VRT Certified Rules - The Official Snort Ruleset (unregistered user release)
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 4 de 22

fig. 4 listado de reglas descargados de snort

PERSONALIZACIN
4. (IDS) Personalice el archivo snort.conf:

Abra el archivo de configuracin de snort:

cd /etc/snort
vi snort.conf

Ubique las siguientes variables y modifique las lneas respectivas. Use las lneas no comentadas del
archivo y no es preciso que agregue los comentarios (#):

# Declarando la red a monitorear


var HOME_NET 192.168.90.0/24

# Indicando la ruta de las firmas


var RULE_PATH /etc/snort/rules

fig. 5 configuracion de en archivo /etc/snort

Busque la primera lneas que haga referencia a la configuracin de base de datos (output database),
qutele el comentario y modifquela como se muestra a continuacin (no es preciso que agregue la lnea
de comentario):

# Base de datos a guardar la deteccin de trfico


output database: log, mysql, user=snort password=tecsup dbname=snort host=localhost

Termine la edicin del archivo guardando los cambios.


Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 5 de 22

fig. 6 configuracion de en archivo /etc/snort

Nota: En el directorio /soft se encuentra un archivo preconfigurado snort.conf que puede usarlo para
reemplazar al original.

BASE DE DATOS PARA SNORT

5. (IDS) Cree la estructura de la Base de Datos para SNORT:


Active el servicio de Base de Datos
service mysqld restart

Enve el archivo base.txt preparado con los usuarios y permisos para la base de datos:
mysql u root < /soft/base.txt

Vea la creacin de una tabla SNORT:


mysql p
Enter Password: tecsup
mysql> show databases;
mysql> exit;

fig. 7 ingreso al servicio MSQL

Inserte la estructura de la base de datos de SNORT logs (Alerta)

mysql u root p < /soft/snort-2.6.1.4/schemas/create_mysql snort


Enter Password: tecsup

fig. 8 insercin de estructura log

Compruebe la creacin de las tablas:


mysql p
Enter Password: tecsup
mysql> use snort
mysql> show tables;
mysql> exit;
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 6 de 22

fig. 9 comprobacin de tablas

Active la base de datos:


service mysqld restart
chkconfig mysqld on

fig. 10 Activacin de snort

PARTE 2
Instalaremos una consola WEB (BASE) de monitoreo del IDS, que nos permitir visualizar el trfico malicioso.

Nota: La instalacin de libreras (Image_Canvas-alpha Image_Color Image_Graph-alpha Numbers_Roman)


ya se ha realizado con el comando:
pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman

INSTALACION DEL BASE


6. (IDS) Instale el programa BASE:
cd /soft
cp adodb494.tgz /var/www
cd /var/www
tar zxvf adodb494.tgz

cd /soft
cp base-1.2.6.tar.gz /var/www/html
cd /var/www/html
tar zxvf base-1.2.6.tar.gz
mv base-1.2.6 base
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 7 de 22

fig. 11 Instalacin de Base Datos

CONFIGURACIN DEL BASE


7. (IDS) Personalizando el archivo base_conf.php:

Mtodo AUTOMTICO (se tiene un archivo preparado):


cd /soft
cp base_conf.php /var/www/html/base/

Mtodo MANUAL:
cd /var/www/html/base
cp base_conf.php.dist base_conf.php
vi base_conf.php

$BASE_Language = spanish;
$BASE_urlpath = /base;
$DBlib_path = /var/www/adodb;

$DBtype = mysql;
$alert_dbname = snort;
$alert_host = localhost;
$alert_port = ;
$alert_user = snort;
$alert_password = tecsup;

$colored_alerts = 1;

fig. 12 CONFIGURACIN DEL BASE

PERSONALIZACIN DEL BASE

10. (IDS) Personalizando Base de Datos de BASE:


Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 8 de 22

Active el servicio Apache:


service httpd restart
Acceda a BASE va el navegador usando la pgina http://192.168.90.115/base/
Haga clic en pagina de configuracin, luego en Create BASE AG
Cierre el navegador y vuelva a ingresar a http://192.168.90.115/base/

fig. 13 PERSONALIZACIN DEL BASE

fig. 14 PERSONALIZACIN DEL BASE

Mueva el directorio de FIRMAS:


mv /etc/snort/doc/signatures /var/www/html/base/
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 9 de 22

PARTE 3

Activaremos el SNORT y realizaremos el monitoreo

SCRIPT DE ACTIVACIN

8. (IDS) Activacin del SCRIPT:


Aplique permisos y copie el archivo al directorio /etc/init.d:
cd /soft
chmod 755 snort
cp snort /etc/init.d
chkconfig snort on

Active el servicio de SNORT:


service snort start

fig. 15 Activacin del servicio Snor

MONITOREO
9. (IDS) Puede hacerse por consola o por Web:
Por CONSOLA: En una ventana de Consola adicional, mantenga el monitoreo de snort:
tail f /var/log/snort/alert
Por Web: ingrese a la pgina http://127.0.0.1/base/
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 10 de 22

PARTE 4
Activaremos las mquinas virtuales VW (Vctima Windows 2000) y I1 (Intruso Windows XP).

MQUINA VIRTUAL VW
10. (VW) Prepare una Mquina Virtual Windows 2000 Server:
Descomprima el archivo Windows 2000 VW.rar
Renombre la carpeta y el equipo virtual a VW.
Inicie la mquina virtual (use la opcin Keep y no olvide conectarla a la red VMnet2).
La mquina virtual est configurada con los siguientes datos (usuario = Administrador, contrasea =
tecsup):
Nombre: vw.labo.com.pe
Dominio: labo
IP: 192.168.90.114
DNS: 127.0.0.1

11. (VW) Instale el Terminal Server:


Ingrese al Panel de control > Agregar o quitar programas > Agregar o quitar componentes de
Windows.
Active la casilla Servicios de Terminal Server y haga clic en Siguiente.
Seleccione la opcin Modo de administracin remoto y haga clic en Siguiente y complete el asistente
(los archivos necesarios para completar la instalacin estn en la carpeta C:\i386).
Reinicie cuando se solicite.

12. (VW) Configure una pgina WEB (el IIS ya est instalado):
Cree el archivo c:\inetpub\wwwroot\default.htm (asegrese de asignar bien la extensin de
archivo)
Agregue el contenido siguiente al archivo creado:
Hola Mundo Windows
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 11 de 22

fig. 16 Windows server 2000

13. (VW) Cambie la clave al Administrador:


Ingrese a la herramienta Usuarios y equipos de Active Directory.
Modifique la contrasea al siguiente usuario:

Usuario Contrasea
Administrador orange

MQUINA VIRTUAL I1

14. (I1) Prepare una Mquina Virtual Windows XP:


Descomprima el archivo Windows XP I1.rar
Renombre la carpeta y el equipo virtual a I1.
Inicie la mquina virtual (use la opcin Keep y no olvide conectarla a la red VMnet2).
La mquina virtual est configurada con los siguientes datos:
Nombre: i1.labo.com.pe
IP: 192.168.90.110

ACCESO A LOS SERVICIOS

15. (I1) Acceda a los servicios de VW:

Visite la pgina WEB: http://192.168.90.114


Acceda va Escritorio Remoto (ejecute el comando mstsc):
Equipo: 192.168.90.114
Usuario: Administrador
Contrasea: orange
Cierre la sesin en la ventana de Escritorio Remoto.
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 12 de 22

fig. 17 Servicio web corriendo

PARTE 5
Se usarn varios programas en I1. Estos programas estn en el directorio E:\soft de la misma mquina virtual.

INSTALACIN DE HERRAMIENTAS:
16. (I1) Instale el Sniffer Wireshark y el NMAP:
Ejecute wireshark-setup-0.99.5.exe y complete el asistente con las opciones predeterminadas.

fig. 18 Instalacin de Sniffer Wireshark

Descomprima el archivo nmap-4.20-win32.zip

17. (I1) Haga las pruebas usando el NMAP:


Abra una ventana Smbolo del sistema.
Ubquese en el directorio del nmap y ejecute:
nmap -sS O 192.168.90.114

fig. 19 Pruebas en nmap -sS O 192.168.90.114

DETECCIN
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 13 de 22

18. (IDS) Vea la deteccin del ataque en el monitoreo de CONSOLA y WEB (en la seccin Trfico de
Exploracin de Puertos):

fig. 20 deteccin del ataque en el monitoreo de CONSOLA

fig. 21 Analisis Web

PARTE 6
Al haber averiguado que se tiene el puerto de Terminal Server, ahora aplicaremos un crackeador Online de
Password (TSGRINDER)

PASSWORD ONLINE
19. (I1) Use el programa Tsgrinder:
Descomprima el archivo tsgrinder-2.03.zip.
En la ventana Smbolo del sistema, ingrese al directorio del TSGRINDER y ejecute:
tsgrinder b u administrador 192.168.90.114
Comenzar a aparecer ventanas de Terminal Server, no presionar nada hasta que aparezca que ha
tenido xito o luego de unos intentos
Cierre sesin si el intento fue exitoso o presione CTRL + C para cancelar los intentos de descifrado de
contrasea.
Reinicie el equipo I1.
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 14 de 22

fig. 22 PASSWORD ONLINE

20. (IDS) Vea la deteccin del ataque en el monitoreo de CONSOLA y WEB (en la seccin: TCP)

fig. 23 deteccin del ataque en el monitoreo

fig. 24 deteccin del ataque en el monitoreo

21. (VW) Al usuario Administrador cmbiele la clave:


Usuario Contrasea
Administrador tecsup
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 15 de 22

PARTE 7
Verificacin de vulnerabilidades del Servidor Windows 2000 com NESSUS. Nessus es un scanner de
vulnerabilidades que est compuesto de un software Server y Cliente.

INSTALACIN DE NESSUS
22. (I1) Instale el Nessu Server:
Ejecute el archivo Nessus-3.0.5.exe
Complete el asistente con las opciones predeterminadas hasta que aparezca el cuadro de dilogo
Question (hacer clic en No).
Espere que se complete la instalacin (puede tardar unos minutos).


fig. 25 INSTALACIN DE NESSUS

23. (I1) Genere cuentas de administracin del NESSUS:


Ingrese a Inicio > Todos los programas > Tenable Network Security > Nessus > User Management.
Haga clic en Add User y defina:
User: admin
Password: tecsup
Haga clic en OK al terminar y cierre el programa User Management.

24. (I1) Descomprima el software Nessus Client:


Descomprima el archivo: Nessuswx-1.4.5d.zip
Cree la carpeta E:\NessusDB

c
25. (I1) Revise las vulnerabilidades de VL:
En el Explorador, ingrese a la carpeta donde descomprimi el archivo Nessuswx-1.4.5d.zip.
Haga doble clic en el programa: NessuWX
En la ficha Settings, en el cuadro Database directory, escriba (o busque) la ruta E:\NessusDB y haga
clic en Aceptar.
Ingrese al men Communications > Connect.
En el cuadro Login, ingrese el usuario creado admin y haga clic en Connect.
En la ventana New Server Certificate, haga clic en Accept Once.
Ingrese la contrasea asignada tecsup y haga clic en OK.
Ingrese al men Session > New.
En la ventana New Session, escriba VL y haga clic en Create.
En la ventana Session Properties VL, en la ficha Targets, haga clic en Add.
En la ventana Add Target, en el cuadro Host name or IP address, escriba 192.168.90.114 y haga clic
en OK.
Haga clic en Aceptar.
Haga clic secundario en VL y seleccione Execute.
En la ventana Execute Session, haga clic en Execute. Espere a que terminen todas las pruebas (debe
llegar al 100%).
Cuando termine, haga clic en Preview.
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 16 de 22

En la ventana View Session Results, verifique los resultados y cuando termine, cierre la ventana.
Haga clic en Close y luego en Exit.

fig. 26 INSTALACIN DE NESSUS

DETECCIN DE LA REVISIN DE VULNERABILIDADES


26. (IDS) Vea la deteccin del ataque en el monitoreo de CONSOLA y WEB.
En la seccin TCP (debe haber varias pginas de detecciones):

En la seccin UDP:

En la seccin Trafico de Exploracin de Puertos:

Apague la mquina virtual I1.

fig. 27 DETECCIN DE LA REVISIN DE VULNERABILIDADES


Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 17 de 22

fig. 28 DETECCIN DE LA REVISIN DE VULNERABILIDADES

PARTE 8
Explotaremos la vulnerabilidad MS03-026 del Servidor Windows 2000. Para esta accin usaremos una
Distribucin de Linux LIVE (BACKTRACK), que incorpora varios exploits, incluido el exploit MS03-026.

Nota: El BACKTRACK es un LIVE CD, para correrlo en una mquina virtual, tendremos que generar un perfil
de mquina virtual.

CREACIN DE MQUINA VIRTUAL


27. (I2) En el VMWARE, defina una nueva mquina virtual con las siguientes caractersticas:

Opcin Valor
Virtual machine configuration Custom
Virtual machine format New Workstation 5
Guest operating system Linux, Other Linux 2.6.x kernel
Virtual machine name I2
Location En la unidad D, en una carpeta correspondiente al
curso
Memory 208MB
Network connection Use host-only networking
I/O adapter types SCSI Adapters, BusLogic
Disk Create a new virtual disk
Virtual disk type SCSI
Disk capacity 8GB
Disk file (predeterminado)

28. (I2) Modifique la mquina virtual definida:

Opcin Valor
Red VMnet2
CD-ROM CD-ROM (configurar la imagen ISO del Live CD provista por el
instructor)
USB Controller, Audio Quitarlos

PERSONALIZACIN DE LA MQUINA VIRTUAL


29. (I2) Inicie y personalice la mquina virtual:
Escoja la primera opcin del men y presione INTRO.
Cuando cargue, inicie sesin con el usuario root y la contrasea toor
Abra una consola (segundo icono de la esquina inferior derecha) y ejecute el siguiente comando para
configurar la direccin IP:
ifconfig eth0 192.168.90.111
Pruebe si tiene comunicacin con el equipo IDS (haciendo ping a 192.168.90.115).
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 18 de 22

30. (I2) Personalice la sesin de Backtrack:


Haga clic secundario en la bandera US (esquina inferior derecha) y seleccione Configure.
En la lista, seleccione la opcin Latin American, haga clic en Add, luego en OK. Ya est agregada la
opcin a la lista de configuraciones activas.
Haga clic secundario nuevamente en US y seleccione la opcin Latin American.

EJECUCIN DEL METAEXPLOIT


31. (I2) Realice el ataque:
Haga clic en el men principal (K en la esquina inferior izquierda) > Backtrack > Penetration >
Framework Version 2 > Framework2-MsfWeb (se muestra una consola indicando: Metasploit
Framework Web Interface (127.0.0.1:55555) que debe mantener abierta).
Abra el navegador Firefox (esquina inferior izquierda junto al icono de monitor).
Ingrese la direccin: http://127.0.0.1:55555
(Exploits) En la lista, busque y haga clic en la opcin Microsoft RPC DCOM MS03-026
(Target) En la siguiente pgina Web, haga clic en 0 Windows NT SP3-6a/2K/XP/2K3 English ALL
(default)
(Payload) En la siguiente pgina Web, haga clic en Win32_reverse
Ingrese los siguientes datos:
o RHOST Required ADDR: 192.168.90.114 (es el equipo remoto VW)
o LHOST Required ADDR: 192.168.90.111 (es la IP del equipo local)
Haga clic en Exploit.
Si se tiene xito, el Exploit aparecer en una lnea con la palabra session N donde N representa un
valor numrico. En caso de que el sistema se encuentre actualizado con el parche de seguridad, se
muestra la lnea FAULT con el cdigo 0x000000005.
Haga clic en session N.

fig. 29 EJECUCIN DEL METAEXPLOIT

DETECCIN DEL ATAQUE


32. (IDS) Vea la deteccin del ataque en el monitoreo de CONSOLA y WEB en la seccin TCP:
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 19 de 22

fig. 30

DETECCIN DEL ATAQUE

PARTE 9
Activaremos que el SNORT enve la alerta a una cuenta de correo local llamada auditor. El programa
PIGSENTRY generar el correo. Para visualizar el correo usaremos el WEBMAIL de LINUX SQUIERREMAIL

ACTIVACIN DEL CORREO


33. (IDS) Personalizando la recepcin de correos:
Creando una cuenta de usuario (use la contrasea auditor):
adduser auditor
passwd auditor
Active servicio de correo:
service sendmail start
service dovecot start
Compruebe el acceso al correo y a la cuenta ingresando a la direccin http://192.168.90.115/webmail con
el usuario auditor y la contrasea auditor (definidos en los pasos previos).

CAPTURA DE ALERTAS
34. (IDS) Capturaremos las alertas del IDS para enviarla al correo:
Abra una nueva ventana de consola y ejecute los siguientes comandos:
cd /soft
chmod 775 pigsentry
/soft/pigsentry -l /var/log/snort/alert -m auditor@localhost
El pigsentry quedar en espera. No cierre esta ventana de consola.

35. Haga unos ajustes para volver a realizar el ataque:


Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 20 de 22

(VW) Reinicie la mquina VW


(I2) Reinicie la mquina I2 y realice nuevamente el ataque del METAEXPLOIT hasta obtener la
Session N.

CONSULTA DE ALERTA
36. (IDS) Refresque el navegador de la cuenta auditor. Encontrar un correo similar al siguiente:

fig. 31 CONSULTA DE ALERTA

fig. 32 CONSULTA DE ALERTA

PARTE 10 (NO REALIZARLA)


Instalaremos un reportador que resume las alertas generadas por el SNORT.

INSTALACIN

37. (IDS) Instale el reportador snortreport:

cd /soft
tar zxvf snortreport-1.3.1.tar.gz
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 21 de 22

mv snortreport-1.3.1 /var/www/html/snortreport

38. (IDS) Edite el archivo srconf.php para indicar la base de datos a conectarse:
Ejecute los comandos:

cd /var/www/html/snortreport
vi srconf.php
Edite las lneas resaltadas:

$server = localhost;
$user = snort;
$pass = tecsup;
$dbname = snort;

$dbtype= mysql;

define(JPGRAPH_PATH, /var/www/jpgraph/src/);
define(NMAP_PATH, /usr/bin/nmap v);

39. (IDS) Instale la librera JPGRAPH (El archivo indicado no se encuentra disponible en la mquina virtual):
cd /soft
tar zxvf jpgraph-1.20.tar.gz
mv jpgraph-1.20 /var/www/jpgraph

CONSULTA

40. (IDS) En una ventana de navegador acceda a la direccin http://192.168.90.115/snortreport/

Enlace sobre Reglas de Snort:


http://packetstormsecurity.nl/papers/IDS/snort_rules.htm
Nro. DD-106
Laboratorio de Seguridad Informtica I Pgina 22 de 22

VIII.- OBSERVACIONES

En Linux necesitamos de tres componentes para poder implementar el IDS, estos son el Snort, un
servidor de base de datos MYSQL y un motor de anlisis bsico y seguridad (BASE), que ser
administrado va web.

Para la administracin va web de BASE debemos de tener instalado un servidor web, en este laboratorio
contamos con el apache.

Cuando creamos la base de datos Snort y el usuario, debemos verificar que este usuario posea los
privilegios de un administrador.

Cuando configuramos el Snort debemos de especificar una red a monitorear, tambin es posible
monitorear direccin ip de un host especfico.

Con el Snort iniciado podremos ver cmo van apareciendo alertas en el BASE.

Se guardan los detalles de la alerta en una base de datos central, incluyendo informacin como el
registro de fecha, la direccin IP del intruso, la direccin IP del destino, el protocolo utilizado y la carga
til.

IX.- CONCLUSIONES

La consola web BASE de monitoreo del IDS, nos permitir detectar y visualizar el trfico malicioso,
adems solicitar la informacin a los registros almacenados en la base de datos.

Utilizamos un IDS con respuesta pasiva, ya que nos generaba eventos y obtenamos las alertas, mas no
realizamos acciones para contrarrestar los ataques.

Snort nos proporciona informacin detallada acerca del monitoreo de la red, como son estadsticas e
informacin de los ataques.

Snort se encarga de analizar todos los paquetes que transitan por nuestra red, una vez capturados los
paquetes, compara su estructura con las reglas de seguridad, en caso de que haya coincidencia, pasa a
registrarlo en la base de datos.

Los capturas de las alertas pueden ser utilizadas de distintas manera, como por ejemplo enviando via
correo a un determinado usuario.

Existen muchos IDS en el mercado, desde software con un alto coste econmico a ofertas totalmente
gratuitas y capaces. Lo que hay que tener en cuenta es quin se encargar del soporte del IDS y si esta lo
suficientemente capacitado para actualizar la base de datos del IDS y conocer todos los tipos de ataques y
sus variaciones.

Aunque todo esto implique complicaciones, la utilizacin de IDS en las organizaciones debera estar
integrado en la poltica de seguridad de las mismas, en completa coordinacin con los dems recursos
como los cortafuegos.