Documentos de Académico
Documentos de Profesional
Documentos de Cultura
I
PARAMETRIZACION DE UN IDS BAJO LA NORMA 27001-2013 EN EL
DEPARTAMENTO DE SISTEMAS DE LA INSTITUCION DE EDUCACION
SUPERIOR ITFIP
PRESENTADO POR:
GERMAN RICARDO HERNANDEZ CARDOSO
KEVIN ORLANDO GUTIERREZ
II
NOTA DE ACEPTACIÓN
______________________________
______________________________
______________________________
______________________________
______________________________
Firma del Presidente del jurado
______________________________
Firma del jurado
______________________________
III
DEDICATORIA
IV
CONTENIDO
Pág.
ABSTRACT..............................................................................................................12
INTRODUCCION.....................................................................................................13
1. CAPITULO 1.......................................................................................................14
1.1 PLANTEAMIENTO DEL PROBLEMA............................................................14
1.2 FORMULACION DEL PROBLEMA...................................................................16
1.3 ALCANCES Y LIMITACIONES........................................................................17
1.3.1 ALCANCES.................................................................................................17
1.3.2 LIMITACIONES...........................................................................................17
2. OBJETIVOS.........................................................................................................18
2.1 OBJETIVO GENERAL...................................................................................18
2.2 OBJETIVOS ESPECIFICOS........................................................................18
3. JUSTIFICACION..................................................................................................19
4. CAPITULO 2........................................................................................................20
4.1 MARCO TEORICO........................................................................................20
4.2 ANTECEDENTES HISTORICOS................................................................20
4.4 ANTECEDENTES LEGALES.......................................................................22
4.5 ANTECEDENTES INVESTIGATIVOS..............................................................24
4.5.1 TITULO: IMPLANTACIÓN DE UN SISTEMA DE DETECCIÓN DE
INTRUSOS EN LA UNIVERSIDAD DE VALENCIA............................................24
4.5.2 TITULO: DISEÑO Y CONFIGURACIÓN DE UN IDS EN UN SISTEMAS
DE CONTROL INDUSTRIAL...............................................................................25
4.5.3 TITULO: SEGURIDAD EN SISTEMAS INFORMÁTICOS DETECCIÓN DE
INTRUSIÓN..........................................................................................................26
4.5.4 TITULO: IMPLEMENTACIÓN DE UN SISTEMA DE PREVENCIÓN DE
INTRUSOS EN LA VLAN DE SERVIDORES DE LA EMPRESA SONDA DE
COLOMBIA S.A....................................................................................................27
V
5. MARCO CONCEPTUAL......................................................................................28
6. MARCO TEGNOLOGICO....................................................................................31
6.1. SNORT 2.9.7:................................................................................................31
6.2 FIREWALL/NIDS:...........................................................................................31
6.3 MYSQL...........................................................................................................31
6.4 UBUNTU........................................................................................................31
7. DISEÑO METODOLÓGICO................................................................................32
7.1 TIPO DE INVESTIGACION:..........................................................................32
7.2 INVESTIGACION PROYECTIVA...................................................................34
7.3 POBLACIÓN..................................................................................................34
8. INSTRUMENTO DE RECOLECCIÓN DE DATOS.............................................35
8.1 INSTRUMENTO DE EVALUACIÓN..............................................................36
9. ANÁLISIS E INTERPRETACIÓN DE DATOS.....................................................37
9.1Clasificación de activos según MAGERIT......................................................37
9.2 EVALUACIÓN DE NIVEL DE SEGURIDAD DE ACTIVOS...........................41
10. ANALISIS E RESULTADOS..........................................................................42
11. CONCLUSIONES..............................................................................................43
12. TRABAJOS FUTUROS.....................................................................................44
12. REFERENCIAS BIBLIOGRAFICAS..................................................................45
VI
TABLA DE ILUSTRACIONES
VII
RESUMEN
En el presente documento se plasmará un breve resumen del proyecto que tiene
como título “PARAMETRIZACION DE UN IDS BAJO LA NORMA 27001-2013 EN
EL DEPARTAMENTO DE SISTEMAS DE LA INSTITUCION DE EDUCACION
SUPERIOR ITFIP”: Un IDS o Sistema de Detección de Intrusos, es una
herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos
en un determinado sistema informático o red informática, en busca de intentos de
comprometer la seguridad de dicho sistema. De este modo se implementara bajo
la norma establecida de acuerdo a los diferentes parámetros que requieran la
herramienta a utilizar. Existen diferentes tipos de IDS, para este proyecto se
utilizara SNORT , dicha herramienta será instalada bajo un software libre (Ubuntu
19.10) para lograr los objetivos trazados de poder monitorizar y escanear el
departamento de sistemas de la institución que se encuentra bajo diferentes
vulnerabilidades que tienen como consecuencia daños irreversibles que conllevan
a diferentes problemáticas, de suma importancia como lo es la falta de seguridad
interna dentro del sistema de información del ITFIP.
PALABRAS CLAVE:
IDS
SNORT
IDS
UBUNTU
SOTFWARE LIBRE
PARAMETRIZACION
SEGURIDAD
.
VIII
ABSTRACT
KEY WORDS:
• SNORT
• IDS
• UBUNTU
• FREE SOTFWARE
• PARAMETRIZATION
•SECURITY
9
INTRODUCCION
10
1. CAPITULO 1
En los últimos años, la seguridad de redes ha sido un tema muy discutido, que
aumentan año tras año. El problema inicia con acciones de usuarios, internos y
externos, mal intencionados, que buscan hacer que no estén disponibles los
servicios, redes y sistemas de empresas de todas las ramas de actuación. Para
evitar esta situación, se implementan numerosas estrategias de defensa, como
firewalls, uso masivo de criptografía, redes privadas virtuales, entre otros,
buscando mantener la seguridad de las infraestructuras y el secreto de las
comunicaciones realizadas a través de Internet.[ CITATION wil17 \l 9226 ]
11
a que allí se administra gran parte de la información de la organización velando
por la integridad, disponibilidad, confidencialidad y seguridad , con el fin de
mitigar las amenazas y vulnerabilidades que se podrían presentar en el
departamento de sistemas de la institución ITFIP del Espinal - Tolima.
1.3.1 Alcances
Identificar los riesgos en el proyecto de implementación de un sistema de
prevención de intrusos en el departamento de sistemas en la Institución de
educación superior ITFIP bajo la norma ISO 27001-2013 el cual permita registrar,
alertar y responder ante cualquier anomalía previamente definida con patrones
que correspondan a ataques, barridos, intentos de aprovechar alguna
vulnerabilidad, Todo esto en tiempo real.
12
1.3.2 Limitaciones
13
2. OBJETIVOS
14
Actualizar paquetes o librerías que se requieran para la instalación del IDS
SNORT en el sistema operativo ya elegido.
15
3. JUSTIFICACION
Por otra parte, la norma ISO 27001 en su versión del año 2013, como se aprecia
en la siguiente cita:” ISO 27001 es una norma internacional que permite el
aseguramiento, la confidencialidad e integridad de los datos y de la información,
así como de los sistemas que la procesan.” 1, se puede aclarar que lo mencionado
anteriormente tanto la metodología MAGERIT y la ISO 27001 se complementan de
manera idónea para trabajar, puesto que, permiten establecer una ventaja entre
otros sectores del mismo campo.
16
vulneración de su información, de igual forma el proyecto permitirá disminuir las
probabilidades de ataques a los recursos informáticos. 2 posteriormente realizar
ajustes en materia de seguridad en la infraestructura y tomar decisiones
operacionales y administrativas. Otro factor importante a la hora de diseñar y
adoptar un Sistema de detección de intrusos es que el costo en su implementación
es menor al costo que se genera cuando ocurre un siniestro causado por un
ingreso no autorizado a los recursos de la red.
2
GARZON PADILLA, Gilberto [en línea]. Propuesta para la implementación de un sistema de
detección de intrusos (IDS) en la dirección general sede central del instituto nacional penitenciario y
carcelario INPEC“PIDSINPEC, 75 p: Proyecto de Grado (Especialista en seguridad informática.
17
4. CAPITULO 2
18
por José Antonio Díaz Díaz y Juan Diego Salcedo Salazar,[ CITATION des17 \l
9226 ] quienes a través del proyecto muestra el proceso realizado, para la correcta
puesta en marcha de un sistema de detección de intrusos bajo software libre.
Dicho sistema brinda la posibilidad de crear un historial y a la vez informa en
tiempo real sobre posibles intrusiones o violaciones de seguridad de los
servidores, por parte de usuarios no permitidos o personal malintencionadas, a
través de la configuración de reglas adaptadas a las necesidades propias de la
oficina de sistemas e informática de la Universidad.
Los más afectados por el robo de información son las organizaciones por el alto
volumen de información que manejan, algunas empresas atenido que permitir la
conexión a la intranet de la oficina desde la casa, debido a la comodidad para sus
empleados. Desafortunadamente, esto comprometen a los sistemas de entrada y
los atacantes también tienen accesos a datos de la organización. La incorporación
19
de cortafuegos y redes privadas virtuales (VPNS) para permitir de forma segura
que los usuarios externos puedan conectarse de una forma más segura. Con una
configuración correcta un cortafuegos puede reducir que las redes estén
expuestas, sin embargo los atacantes están en constante evolución y con ellas
nuevas técnicas como troyanos, gusanos y escaneo silenciosos que atraviesan a
estos mediante protocolos permitidos como HTTP, ICMP o DNS. (Mira Alfaro,
2019)
3
http://www.defensoria.gov.co/public/Normograma%202013_html/Normas/Ley_1581_2012.pdf
17 días del mes de octubre de 2012. JUAN MANUEL SANTOS CALDERÓN La Ministra de Justicia
y del Derecho, RUTH STELLA CORREA PALACIO. El Ministro de Hacienda y Crédito Público,
MAURICIO CÁRDENAS SANTA MARÍA. El Ministro de Comercio, Industria y Turismo, SERGIO
DIAZ-GRANADOS GUIDA. El Ministro de Tecnologías, de la Información y las Comunicaciones,
DIEGO MOLANO VEGA https://www.habitatbogota.gov.co/transparencia/marco-
legal/normatividad/ley-1273-2009
20
financiera, crediticia, comercial, de servicios y la proveniente de terceros países y
se dictan otras disposiciones.
Decreto 1727 de 2009 Por el cual se determina la forma en la cual los operadores
de los Bancos de Datos de Información Financiera, Crediticia, Comercial, de
Servicios y la proveniente de terceros países, deben presentar la información de
los titulares de la información.
Decreto 2952 de 2010 Por el cual se reglamentan los artículos 12 y 13 de la Ley
1266 de 2008. Para conocer más sobre este Decreto.[ CITATION DEF12 \l 9226 ]
Decreto 886 de 2014 Por el cual se reglamenta el artículo de la Ley 1581 de
2012, relativo al Registro Nacional de Bases de Datos.[ CITATION DEF12 \l 9226 ]
4.5 ANTECEDENTES INVESTIGATIVOS
4.5.1 TITULO: IMPLANTACIÓN DE UN SISTEMA DE DETECCIÓN DE
INTRUSOS EN LA UNIVERSIDAD DE VALENCIA.
Quedaban por tanto excluidos los nodos de Madrid y Cataluña, siendo los
candidatos los de Andalucía y la Comunidad Valenciana.
21
Una solución que se le puede dar al problema de la falta de seguridad y que
encaja con lo anterior es la instalación de sistemas pasivos que alerten a los
administradores en el momento en el que se produzca un ataque. El administrador
será conocedor del ataque y dependiendo de la gravedad de éste podrá decidir si
avisa al CERT asociado (en nuestro caso CERT-ES) y/o al responsable de la red
origen del ataque, o no.
4
file:///E:/ARCHIVOS%20DE%20PROYECTOS%20IDS/PROYECTOS%20IDS/ids-uv.pdf
Enterasys Networks, Inc.: “Intrusion Detection Solutions”, http://www.enterasys. com/ids/, 2002
22
para el mundo IT). Las actuales amenazas contra las redes OT, hacen que se
implemente el uso de estas herramientas en redes industriales, examinando
detalladamente los protocolos y transmisiones que circulan por la red. Ante la
dificultad que supone para los IDS reaccionar frente a las alertas de intrusión, se
desarrollaron los IPS que se encargan de reaccionar activamente a las intrusiones
detectadas por el IDS. Hoy en día, los términos IDS e IPS se utilizan de modo
indistinto y los equipamientos son idénticos, cambiando el modo de
funcionamiento simplemente dependiendo del tipo de despliegue y de unos pocos
parámetros de configuración. Para avanzar más en la tecnología de defensa
aparecen los sistemas SIEM, que no dependen de una sola fuente de información
– como podría ser un IDS / IPS –. Además de centralizar la información, son
capaces de relacionar (el verbo correlar se suele utilizar en este contexto en TI y
se usará frecuentemente en este documento) eventos de diferentes fuentes para
generar alertas personalizadas. Estos dispositivos aportarán la inteligencia
necesaria para ir reduciendo paulatinamente el número de falsos positivos. Existe
una cierta ventaja en el uso de estos sistemas que combinan diferentes tipos de
aprendizajes y gestión, debido a que en las redes industriales los eventos
almacenados suelen presentar una menor variabilidad que en el mundo IT. Por
este motivo, pueden resultar más efectivos y detectar un menor número de falsos
positivos.5
AÑO: 2009
5
La presente publicación pertenece a INCIBE (Instituto Nacional de Ciberseguridad) y está bajo
una licencia Reconocimiento-No comercial 3.0 España de Creative Commons la Texto completo
licencia: http://creativecommons.org/licenses/by-nc-sa/3.0/es/.
23
mis servidores, el atacante ha conseguido ser root. Intento reconstruir lo que ha
pasado. Examino los logs del firewall en busca de pistas de lo que ha pasado Los
logs del firewall contienen los paquetes que han filtrado... eso son los ataques que
no han conseguido pasar.6
AÑO: 2019
6
https://www.tlm.unavarra.es/pluginfile.php/11611/mod_resource/content/0/clases/08_SSI-
monitorizacion1.pdf Área de Ingeniería Telemática Dpto. Automática y Computación
http://www.tlm.unavarra.es/ NETWORK INTRUSION DETECTION An Analyst´s Handbook (2nd
Edition) New Riders Stephen Northcutt, Judy Novak ISBN: 0735710082 Snort 2.1 Intrusion
Detection, Second Edition By Jay Beale, ISBN: 1931836043
7
file:///E:/ARCHIVOS%20DE%20PROYECTOS%20IDS/PROYECTOS%20IDS/00005169.pdf
RED IRIS. VILLALON HUERTA, Antonio. Seguridad en Unix y Redes, Sistemas de detección de
intrusos [en línea]. [s.l.] 2008. Disponible en: <https://www.rediris.es/cert/doc/unixsec/node26.html
24
25
5. MARCO CONCEPTUAL
SISTEMA DE DETECCIÓN DE INTRUSOS O IDS (intrusion Detection System)
8
Sheyla Leacock Lic. en Desarrollo de Software / Téc. en Ingeniería con especialización
Creado 10 Apr 2018 | https://backtrackacademy.com/articulo/que-es-un-sistemas-de-
deteccion-y-prevencion-de-intrusos-ids
26
registrar, alertar y responder ante cualquier anomalía previamente definida como
alguna vulnerabilidad, análisis de protocolos, etc. conocidos. Todo esto en tiempo
real. Snort Está disponible bajo licencia GPL, gratuito y funciona bajo
plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una
gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones
constantes, La colocación de Snort en nuestra red puede realizarse según el
tráfico quieren vigilar: paquetes que entran, paquetes salientes, dentro
del Firewall, fuera del Firewall entre otros.
27
cuestiones delicadas. Más abajo en esta página, en la sección Historial, se puede
consultar la lista de modificaciones que afectan la definición de software libre.
28
SNIFFER. Un sniffer es una aplicación especial para redes informáticas, que
permite como tal capturar los paquetes que viajan por una red. Pero profundizando
podemos decir también que un sniffer puede capturar paquetes dependiendo de la
topología de. Los sniffers de red pueden tomar copias instantáneas de los datos
sin redirigirlos ni alterarlos. Algunos sniffers funcionan sólo con paquetes TCP/IP,
pero las herramientas más sofisticadas pueden funcionar con muchos otros
protocolos de red y a niveles inferiores, incluyendo tramas Ethernet. Hace años,
los sniffers eran herramientas utilizadas exclusivamente por ingenieros de redes
profesionales. Hoy en día, sin embargo, con las aplicaciones de software
disponibles gratuitamente en la web, también son populares entre los hackers de
Internet y la gente simplemente curiosa por las redes.
Los firewalls han constituido una primera línea de defensa en seguridad de la red
durante más de 25 años. Establecen una barrera entre las redes internas
protegidas y controladas en las que se puede confiar y redes externas que no son
de confianza, como Internet. Un firewall puede ser hardware, software o ambos
29
6. MARCO TECNOLOGICO
30
durante su instalación y configuración para que se adapte lo máximo posible a lo que
deseamos.9
6.2 FIREWALL/NIDS: Otra opción es usar una única máquina que haga las
funciones de firewall y de NIDS a la vez.
Al momento de instalar Snort y Mysql directamente desde las fuentes, bastará con
ejecutar el comando: yum install snort O yum install snort-mysql .El snort para que
almacene las alertas en mysql descargará los paquetes compilados de snort y
10
mysql y las dependencias necesarias (libpcap, pcre..).
9
Daniel Ortego Delgado el 21 de Marzo de 2017 https://openwebinars.net/blog/que-es-snort/
10 mayo 13th, 2019Gustavo B. https://www.hostinger.co/tutoriales/que-es-mysql/
11
https://www.vix.com/es/btg/tech/13022/que-es-ubuntu vix.
31
7. DISEÑO METODOLÓGICO
12
13
Gross, M. (2010). Conozca 3 tipos de investigación: Descriptiva, Exploratoria y Explicativa.
Pensamiento Imaginativo. Blog. Recuperado el 02 de febrero del 2017. Disponible en:
http://manuelgross. bligoo. com/conozca-3-tipos-de-investigaciondescriptivaexploratoria-y-
explicativa.
14
Arias, F. G. (2012). El Proyecto de Investigación. Introducción a la metodología científica. 5ta:
Fidias G. Arias Odón. Pág. 60
32
interpretaron. Todo este suceso, se forma por medio de las fuentes segundarias y
acarrean a poder obtener nuevos conocimientos sobre el tema investigado.
15
15
Hernandez, R. Fernández, C. Baptista, P. Metodología de la investigación. Mexico,2006, 4
edición. Mc Graw Hill
33
7.2 INVESTIGACION PROYECTIVA
7.3 POBLACIÓN
16
Hurtado, J. Metodología de la investigación holística. Caracas,2000, Sypal. 3 edición
17
Ibid (22)
18
Guffante,T.Guffante,F y Cháves,P. Investigación científica-El proyecto de investigación. Enero
2016
34
8. INSTRUMENTO DE RECOLECCIÓN DE DATOS
PREGUNTA 1.
Ud ha sufrido o ha sido víctima de robo de información en esta sede de la
Universidad?
SI
NO
35
PREGUNTA 2.
Existen controles al acceder a los sistemas de información de la Universidad que
Permiten controlar el acceso, la copia o fuga de la información?
SI
NO
PREGUNTA 3.
Existe alguna herramienta de seguridad perimetral de protección de la información
en la universidad?
1. SI
2. NO
PREGUNTA 4.
Existen logs que permitan registrar el tráfico entrante y saliente de la red interna
del departamento de sistemas de la universidad?
1. SI
2. NO
36
9. ANÁLISIS E INTERPRETACIÓN DE DATOS
37
Este activo R-DA Registro
lleva un de
registro de actividade
las s
actividades
que se
realizan.
Este activo R-ME Registro
lleva el Mantenimi
registro de ento
los equipos
mantenimi
entos
realizados.
Este activo R-AE Registro
guarda el de la
registro de arquitectur
la a de los
arquitectur equipos
a de los
equipos
que
requieren.
[servic Servicios Servicios Este activo S-EC Soporte Se
e] ofrecidos ofrece el equipos encarga
de todas servicio de de del
las soporte de computo mantenimi
dependen equipos de ento
cias del cómputo. correctivo
ITFIP Este activo S-PV Soporte y
ofrece el de preventivo
servicio de plataforma de todos
brindarle s virtuales los
soporte a equipos
las administra
plataforma tivos de la
s virtuales. institución
y a las
plataforma
s virtuales.
Arquitectura del sistema
[ip] punto de VLAN Este activo VLAN- Vlan de Su función
intercone es la red ADMON administra principal
virtual de ción es separar
38
xión administrac de manera
ión para ordenada
poder y optima
comunicars cada una
e entre de las
ellos. dependen
Este activo VLAN- Vlan de cias que
es la red FINAN financiera se
virtual de someten a
financiera los
para poder servicios
comunicars de
e entre sistemas,
ellos. permitiénd
Este activo VLAN- Vlan de oles así,
es la red TESO tesorería trabajar de
virtual de manera
tesorería más
para poder cercana
comunicars entre sus
e entre propios
ellos. núcleos.
Este activo VLAN- Vlan de
es la red EST estudiante
virtual de s
estudiantes
para poder
comunicars
e entre
ellos.
Este activo V-WIFI Vlan de
es la red wifi
virtual de
WIFI para
poder
brindar
soporte en
caso de
algún
daño.
Este activo VLAN- Vlan de
es la red CONF configurac
virtual de ión
configuraci
39
ón para
poder
configurar
equipos de
manera
remota.
40
DEL L SEGURIDA
ACTIVO D
COMPUTA ADMINISTRACI NO NO SI BAJO
DOR TODO ON DE
EN UNO PLATAFORMA
INTEL C
COMPUTA SOFTWARE DE NO NO NO SI BAJO
DOR IMAC MANEJO
INTEL ACADÉMICO
CORE I5
COMPUTA SOFTWARE NO NO NO SI BAJO
DOR IMAC CONTABLE
INTEL
CORE I5
Fuente: el autor
Esta investigación Lo que se pretendió fue estudiar y analizar uno de los pasos
de parametrizacion de un IDS SNORT, así como también cual era la
41
infraestructura necesaria para el buen funcionamiento de la herramienta
ejecutable. Por otro lado se pretendió realizar una calificación y evaluación de los
activos, con el fin de encontrar cuales eran los más importantes dentro de la
institución. También, se identificaron aquellas fallas de seguridad internas
podemos inferir que actualmente los ataques informáticos, son mucho más
sofisticados su tipología muy variada y en muchos casos las actividades
maliciosas pasan desapercibidos por los sistemas de detección de intrusos. Los
ciberdelincuentes utilizan técnicas de hacking cada vez más avanzadas para
burlar cualquier tipo de salvaguarda los datos informáticos.
El IDS SNORT permite generar alertas en tiempo real, evitando que un atacante
ingrese a nuestros sistemas y se vean comprometidos. Cabe destacar que
objetivo es lograr proteger los activos críticos dentro de la institución en tiempo
real
Por otro lado, los resultados obtenidos en esta investigación se pueden tomar
como base para diseñar un sistema de detección de intrusos dentro de una
entidad, con el fin de mitigar y contrarrestar los riesgos informáticos a los que se
encuentran expuestos día a día.
42
CONCLUSIONES
43
44
12. TRABAJOS FUTUROS
45
46
REFERENCIAS BIBLIOGRAFICAS
https://sites.google.com/site/convivenciacddigital/seguridad-informa
47
GRANADOS GUIDA. http://www.defensoria.gov.co/public/Normograma
%202013_html/Normas/Ley_1581_2012.pdf
file:///E:/ARCHIVOS%20DE%20PROYECTOS%20IDS/PROYECTOS
%20IDS/00005169.p
RED IRIS. VILLALON HUERTA, Antonio. Seguridad en Unix y Redes,
Sistemas de detección de intrusos [en línea]. [s.l.] 2008. Disponible en:
<https://www.rediris.es/cert/doc/unixsec/node26.html
48
Sheyla Leacock Lic. en Desarrollo de Software / Téc. en Ingeniería con
especialización Creado 10 Apr 2018 |
https://backtrackacademy.com/articulo/que-es-un-sistemas-de-deteccion-y-
prevencion-de-intrusos-ids.
https://www.gnu.org/philosophy/free-sw.es.html
49
https://tecnonautas.net/que-es-un-sniffer-de-red-y-como-funciona/
https://www.cisco.com/c/es_mx/products/security/firewalls/what-is-a-fire
50