PARAMETRIZACION DE UN IDS BAJO LA NORMA 27001-2013 EN EL

DEPARTAMENTO DE SISTEMAS DE LA INSTITUCION DE EDUCACION

SUPERIOR ITFIP

GERMAN RICARDO HERNANDEZ CARDOSO

KEVIN ORLANDO GUTIERREZ

INSTITUCIÓN DE EDUCACIÓN SUPERIOR ITFIP

INGENIERIA Y CIENCIAS AGROINDUSTRIALES
TECNOLOGIA EN GESTION INFORMATICA
ESPINAL -TOLIMA
2019

I
 PARAMETRIZACION DE UN IDS BAJO LA NORMA 27001-2013 EN EL
DEPARTAMENTO DE SISTEMAS DE LA INSTITUCION DE EDUCACION
SUPERIOR ITFIP

PRESENTADO POR:
GERMAN RICARDO HERNANDEZ CARDOSO
KEVIN ORLANDO GUTIERREZ

ING ANGELA YUSELY PRECIADO BARRETO

DIRECTOR DEL PROYECTO

ING MARIO PADILLA

ASESOR DEL PROYECTO

TRABAJO DE GRADO PRESENTADO PARA OPTAR EL TÍTULO DE

TEGONOLO EN GESTION INFORMATICA

INSTITUCIÓN DE EDUCACIÓN SUPERIOR ITFIP

INGENIERIA Y CIENCIAS AGROINDUSTRIALES
TECNOLOGIA EN GESTION INFORMATICA
ESPINAL -TOLIMA
2019

II
 NOTA DE ACEPTACIÓN

______________________________
______________________________
______________________________
______________________________
______________________________
Firma del Presidente del jurado

______________________________
Firma del jurado

______________________________

Firma del jurado

III
 DEDICATORIA

En primer lugar agradecer a DIOS por darnos salud, inteligencia, sabiduría,

entendimiento y la capacidad para ejercer el proyecto, debido a los obstáculos que
se presenten siempre contamos con personas que nos brindan su apoyo
incondicional como lo es mi familia que son participes de una u otra manera para
estar cumpliendo con los objetivos planteados desde el inicio de mi carrera. Los
docentes que con su conocimiento y experiencia guían cada uno de los pasos en
este camino como aprendiz que llevo con paciencia y dedicación.

IV
 CONTENIDO

Pág.
ABSTRACT..............................................................................................................12
INTRODUCCION.....................................................................................................13
1. CAPITULO 1.......................................................................................................14
1.1 PLANTEAMIENTO DEL PROBLEMA............................................................14
1.2 FORMULACION DEL PROBLEMA...................................................................16
1.3 ALCANCES Y LIMITACIONES........................................................................17
1.3.1 ALCANCES.................................................................................................17
1.3.2 LIMITACIONES...........................................................................................17
2. OBJETIVOS.........................................................................................................18
2.1 OBJETIVO GENERAL...................................................................................18
2.2 OBJETIVOS ESPECIFICOS........................................................................18
3. JUSTIFICACION..................................................................................................19
4. CAPITULO 2........................................................................................................20
4.1 MARCO TEORICO........................................................................................20
4.2 ANTECEDENTES HISTORICOS................................................................20
4.4 ANTECEDENTES LEGALES.......................................................................22
4.5 ANTECEDENTES INVESTIGATIVOS..............................................................24
4.5.1 TITULO: IMPLANTACIÓN DE UN SISTEMA DE DETECCIÓN DE
INTRUSOS EN LA UNIVERSIDAD DE VALENCIA............................................24
4.5.2 TITULO: DISEÑO Y CONFIGURACIÓN DE UN IDS EN UN SISTEMAS
DE CONTROL INDUSTRIAL...............................................................................25
4.5.3 TITULO: SEGURIDAD EN SISTEMAS INFORMÁTICOS DETECCIÓN DE
INTRUSIÓN..........................................................................................................26
4.5.4 TITULO: IMPLEMENTACIÓN DE UN SISTEMA DE PREVENCIÓN DE
INTRUSOS EN LA VLAN DE SERVIDORES DE LA EMPRESA SONDA DE
COLOMBIA S.A....................................................................................................27

V
5. MARCO CONCEPTUAL......................................................................................28
6. MARCO TEGNOLOGICO....................................................................................31
6.1. SNORT 2.9.7:................................................................................................31
6.2 FIREWALL/NIDS:...........................................................................................31
6.3 MYSQL...........................................................................................................31
6.4 UBUNTU........................................................................................................31
7. DISEÑO METODOLÓGICO................................................................................32
7.1 TIPO DE INVESTIGACION:..........................................................................32
7.2 INVESTIGACION PROYECTIVA...................................................................34
7.3 POBLACIÓN..................................................................................................34
8. INSTRUMENTO DE RECOLECCIÓN DE DATOS.............................................35
8.1 INSTRUMENTO DE EVALUACIÓN..............................................................36
9. ANÁLISIS E INTERPRETACIÓN DE DATOS.....................................................37
9.1Clasificación de activos según MAGERIT......................................................37
9.2 EVALUACIÓN DE NIVEL DE SEGURIDAD DE ACTIVOS...........................41
10. ANALISIS E RESULTADOS..........................................................................42
11. CONCLUSIONES..............................................................................................43
12. TRABAJOS FUTUROS.....................................................................................44
12. REFERENCIAS BIBLIOGRAFICAS..................................................................45

VI
 TABLA DE ILUSTRACIONES

Ilustración 1 metodología cualitativa Hernández, Fernández, Baptista................31

VII
 RESUMEN
En el presente documento se plasmará un breve resumen del proyecto que tiene
como título “PARAMETRIZACION DE UN IDS BAJO LA NORMA 27001-2013 EN
EL DEPARTAMENTO DE SISTEMAS DE LA INSTITUCION DE EDUCACION
SUPERIOR ITFIP”: Un IDS o Sistema de Detección de Intrusos,  es una
herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos
en un determinado sistema informático o red informática, en busca de intentos de
comprometer la seguridad de dicho sistema. De este modo se implementara bajo
la norma establecida de acuerdo a los diferentes parámetros que requieran la
herramienta a utilizar. Existen diferentes tipos de IDS, para este proyecto se
utilizara SNORT , dicha herramienta será instalada bajo un software libre (Ubuntu
19.10) para lograr los objetivos trazados de poder monitorizar y escanear el
departamento de sistemas de la institución que se encuentra bajo diferentes
vulnerabilidades que tienen como consecuencia daños irreversibles que conllevan
a diferentes problemáticas, de suma importancia como lo es la falta de seguridad
interna dentro del sistema de información del ITFIP.

PALABRAS CLAVE:
 IDS
 SNORT
 IDS
 UBUNTU
 SOTFWARE LIBRE
 PARAMETRIZACION
 SEGURIDAD
.

VIII
 ABSTRACT

This document will include a brief summary of the project entitled

“PARAMETRIZATION OF AN IDS UNDER THE STANDARD 27001-2013 IN THE
DEPARTMENT OF SYSTEMS OF THE INSTITUTION OF HIGHER EDUCATION
ITFIP”: An IDS or Intrusion Detection System is a security tool that tries to detect
or monitor the events that occur in a certain computer system or computer network,
in search of attempts to compromise the security of said system. In this way it will
be implemented under the norm established according to the different parameters
that require the tool to be used. There are different types of IDS, for this project
SNORT will be used, this tool will be installed under free software ( Ubuntu 19.10)
to achieve the objectives set to be able to monitor and scan the system department
of the institution that is under different vulnerabilities that have as a consequence
irreversible damages that lead to different problems, of great importance such as
the lack of internal security within the ITFIP information system.

KEY WORDS:
• SNORT
• IDS
• UBUNTU
• FREE SOTFWARE
• PARAMETRIZATION
•SECURITY

9
 INTRODUCCION

Entre los años 80 hubo un adelanto tecnológico con grandes posibilidades en

cuanto a la comunicación y negocio, pero al mismo tiempo produjo una gran
disminución por parte de la seguridad de la información, al exponer equipos a
ataques en redes, intrusos o virus malévolos. Hoy en día la seguridad de la
información se ha convertido en una prioridad u objetivo principal, desde siempre
la información se ha considerado valiosa en una organización, por los conocidos
riesgos, que se pueden tener por la pérdida de información.

El presente proyecto se documenta la elaboración y la parametrización un IDS

bajo la norma ISO 27001-2013, en el departamento de sistemas de la institución
de educación superior ITFIP que se llevara a cabo para mitigar una a una las
falencias y vulnerabilidades de seguridad que se encuentran dentro de la
institución. Nos basamos en la ejecución de la herramienta detectora llamada
SNORT el cual será ejecutado bajo una serie de parámetros en un software libre.
[ CITATION FerPM \l 9226 ] .

Dentro de la metodología de investigación se aplica un análisis cualitativo que nos

revela que características se tendrán en cuenta y con qué calidad de proceso
adecuado se ejecutara su debida recolección de información. Para la
parametrización del IDS se implementara la metodología MARGEDIT, que ofrece
un método sistemático para la gestión de riesgos de la información y también es
una de las más utilizadas y está reconocida internacionalmente.

10
 1. CAPITULO 1

1.1 PLANTEAMIENTO DEL PROBLEMA

En los últimos años, la seguridad de redes ha sido un tema muy discutido, que
aumentan año tras año. El problema inicia con acciones de usuarios, internos y
externos, mal intencionados, que buscan hacer que no estén disponibles los
servicios, redes y sistemas de empresas de todas las ramas de actuación. Para
evitar esta situación, se implementan numerosas estrategias de defensa, como
firewalls, uso masivo de criptografía, redes privadas virtuales, entre otros,
buscando mantener la seguridad de las infraestructuras y el secreto de las
comunicaciones realizadas a través de Internet.[ CITATION wil17 \l 9226 ]

La cantidad de intentos de accesos no autorizados a la información que existe en

Internet ha crecido durante estos últimos años. Según el Computer Security
Institute, un 70% de las organizaciones anunciaron al menos un incidente de
seguridad durante 2000, frente a un 42% anunciado en 1996. [ CITATION Mig15 \l
9226 ]La mayoría de los expertos piensa que estos números están muy por debajo
de la tasa real, puesto que muchas organizaciones evitan dar a conocer sus
incidentes y muchas otras ni siquiera los detectan.

Entre los métodos comúnmente utilizados, se destaca la detección de intrusión, o

IDS (Intrusión Detección System). Con eso, podemos recopilar y utilizar
información de los diversos tipos de ataques conocidos en pro de la defensa de
toda infraestructura, además de poder identificar puntos o intentos de ataque,
permitiendo no sólo el registro sino la mejora continua del ambiente de seguridad.
[ CITATION wil17 \l 9226 ].

Por lo consiguiente el proyecto se enfoca en traer un beneficio al sistema donde

se realiza la parametrización de detección de intrusos (Intrusion Detection System-
IDS) que permite salvaguardar los recursos informáticos de la institución de
educación .superior – ITFIP, generalmente de la dependencia de sistemas, debido

11
a que allí se administra gran parte de la información de la organización velando
por la integridad, disponibilidad, confidencialidad y seguridad , con el fin de
mitigar las amenazas y vulnerabilidades que se podrían presentar en el
departamento de sistemas de la institución ITFIP del Espinal - Tolima.

Al realizar la parametrización el IDS nos permite identificar usuarios maliciosos

y crackers en los sistemas no actualizados, sistemas infectados con troyanos y
redes ejecutando servicios inseguros. De igual forma por medio de alarmas se
notificara a los administradores y a los miembros del equipo de seguridad que ha
ocurrido una entrada ilegal para que así estos puedan responder en tiempo real a
la amenaza.

1. 2 FORMULACION DEL PROBLEMA

¿De qué manera se puede mitigar la vulnerabilidad de los ataques de intrusos en

los sistemas de información desarrollados en el departamento de sistemas que se
encuentra dentro de la institución ITFIP?

1.3 ALCANCES Y LIMITACIONES

1.3.1 Alcances
Identificar los riesgos en el proyecto de implementación de un sistema de
prevención de intrusos en el departamento de sistemas en la Institución de
educación superior ITFIP bajo la norma ISO 27001-2013 el cual permita registrar,
alertar y responder ante cualquier anomalía previamente definida con patrones
que correspondan a ataques, barridos, intentos de aprovechar alguna
vulnerabilidad, Todo esto en tiempo real.

12
1.3.2 Limitaciones

 Hardware con características medianamente limitadas, el cual sirve para la

ejecución del programa, pero no es lo que realmente se puede obtener ya que
no se cuenta con la disponibilidad amplia de un hardware completo para un
óptimo funcionamiento de la PARAMETRIZACION DE UN IDS.

 Existen gran cantidad de parámetros en los sistemas de detección de intrusos-

IDS y abarcar cada uno de ellos es una tarea demasiado extensa en un
tiempo limitado, por lo que se trata de alcanzar lo más posible pero no se
asegura alcanzar la cobertura total.

13
 2. OBJETIVOS

2.1 OBJETIVO GENERAL

Parametrizar un IDS bajo la norma ISO/IEC 27001:2013 en la Institución de

Educación Superior – ITFIP del Espinal Tolima.

2.2 OBJETIVOS ESPECIFICOS

 Proponer mediante un documento políticas y lineamientos de seguridad de

información, de acuerdo con el análisis realizado, basados en la norma ISO
27001:2013.

 Examinar la situación actual de la red de datos en busca de

vulnerabilidades o intrusos

 Consultar el sistema operativo de arquitectura abierta mas adecuado para

la instalación del IDS.

 Instalar el sistema operativo de arquitectura abierta como lo es UBUNTU

19.10 para la ejecución del IDS

 Examinar cual es el IDS mas opcionado para la correcta implementación,

ejecución, funcionamiento y lograr adecuar el sistema operativo que se
requiera.

 Efectuar adecuaciones del sistema operativo de arquitectura abierta

(Ubuntu 19.10) para una correcta instalación del (IDS SNORT)

14
 Actualizar paquetes o librerías que se requieran para la instalación del IDS
SNORT en el sistema operativo ya elegido.

 Establecer los parámetros en el IDS SNORT que se requieren de acuerdo

a la norma ISO 27001-2013 para la ejecución

15
 3. JUSTIFICACION

La tecnología se encuentra avanzando de manera exponencial, esto se puede

evidenciar a gran medida gracias a las nuevas tendencias de secuestro de redes
informáticas, las cuales permiten extraer información crucial de un sistema de
información o una entidad pública.[ CITATION Min19 \l 9226 ] Encontramos
nuevas tendencias en el área de la seguridad informática para la fácil protección
de los datos y paquetes de información que circulan por una red.

Por otra parte, la norma ISO 27001 en su versión del año 2013, como se aprecia
en la siguiente cita:” ISO 27001 es una norma internacional que permite el
aseguramiento, la confidencialidad e integridad de los datos y de la información,
así como de los sistemas que la procesan.” 1, se puede aclarar que lo mencionado
anteriormente tanto la metodología MAGERIT y la ISO 27001 se complementan de
manera idónea para trabajar, puesto que, permiten establecer una ventaja entre
otros sectores del mismo campo.

En la Institución de Educación Superior ITFIP, en su sede principal ubicada en El

Espinal – Tolima, específicamente en la dependencia de sistemas, oficina en la
cual reposa la información del personal estudiantil, administrativos, funcionarios
entre otros; se evidencia la ausencia de un sistema de detección de intrusos,
método, que permite proteger y prever cualquier daño al mismo.[ CITATION
Dep19 \l 9226 ] Esta se puede almacenar de manera física o digital, dichos datos
corresponden a uno de los elementos más importantes para la institución, puesto
que en ellos reposan datos cruciales para su subsistencia.

Uno de los principales motivadores que influyeron a la hora de llevar a cabo el

diseño de este proyecto, es establecer que la Universidad pueda contar con una
herramienta que les permita tomar decisiones en tiempo real ante posible
1
ASTIVIA Tecnologías Avanzadas S.L.L... Sistemas de Gestión de Riesgos y Seguridad. ISO
27001 – Software ISO 27001 de Sistemas de Gestión. [en línea], 2018 [revisado 13 septiembre
2018]. Disponible en Internet: https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/

16
vulneración de su información, de igual forma el proyecto permitirá disminuir las
probabilidades de ataques a los recursos informáticos. 2 posteriormente realizar
ajustes en materia de seguridad en la infraestructura y tomar decisiones
operacionales y administrativas. Otro factor importante a la hora de diseñar y
adoptar un Sistema de detección de intrusos es que el costo en su implementación
es menor al costo que se genera cuando ocurre un siniestro causado por un
ingreso no autorizado a los recursos de la red.

2
GARZON PADILLA, Gilberto [en línea]. Propuesta para la implementación de un sistema de
detección de intrusos (IDS) en la dirección general sede central del instituto nacional penitenciario y
carcelario INPEC“PIDSINPEC, 75 p: Proyecto de Grado (Especialista en seguridad informática.

17
 4. CAPITULO 2

4.1 MARCO TEORICO

4.2 ANTECEDENTES HISTORICOS

Teniendo en cuenta proyectos relacionados donde han planteado situaciones o

casos similares a la problemática expuesta en este proyecto, se describe a
continuación alguna de las soluciones planteadas para tenerlas como referencias.[
CITATION Már19 \l 9226 ]

La ingeniera Vanessa Gonzales Márquez planteo un modelo de Detector de

Intrusos Basado en Sistema[ CITATION Már19 \l 9226 ] Experto en el Instituto
Politécnico Nacional de México, en el cual se permita la toma de un equipo de
cómputo que se encuentre afectado por código malicioso y aislarlo del resto de la
red, para así evitar que se vea comprometida la seguridad del resto de equipos.
Para la solución a este inconveniente, se utilizó la herramienta Fira, enlazada con
un módulo de alertas que envía la información de las maquinas que se encuentran
comprometidas, a través de una lista de direcciones ip.

En la Universidad de Valencia en España,[CITATION imp19 \l 9226 ] Emilio José

Mira Alfaro realizo la Implantación de un Sistema de Detección de Intrusos en la
troncal de un nodo regional de universidades que tuviera un tráfico significativo.
Para esto se realizó la puesta en marcha de un sistema automático que realizara
la tarea del envío de correos electrónicos con un informe de las alertas de
intrusiones diarias al administrador de sistemas. El administrador debía tomar la
decisión de responder a la máquina que alertas debía responder a la red de origen
y cuáles no. Para finalizar la maquina debía enviar las alarmas a las direcciones
de correo establecidas en las instrucciones del administrador.

Por ultimo en la Universidad Nacional de Trujillo en Perú, se desarrolló un Sistema

de Prevención de Intrusos para mejorar la seguridad de los servidores ejecutado

18
por José Antonio Díaz Díaz y Juan Diego Salcedo Salazar,[ CITATION des17 \l
9226 ] quienes a través del proyecto muestra el proceso realizado, para la correcta
puesta en marcha de un sistema de detección de intrusos bajo software libre.
Dicho sistema brinda la posibilidad de crear un historial y a la vez informa en
tiempo real sobre posibles intrusiones o violaciones de seguridad de los
servidores, por parte de usuarios no permitidos o personal malintencionadas, a
través de la configuración de reglas adaptadas a las necesidades propias de la
oficina de sistemas e informática de la Universidad.

4.3 ANTECEDENTES HISTORICOS

Con el desarrollo de la ciencia en el último siglo se ha dado un impulso

sobresaliente en nuevos avances tecnológicos, lo que ha llevado, que diferentes
empresas se adapten a ello. Debido a esto, la manera de guardar la información
también ha cambiado. Con un mundo digital como el de hoy en día la mayoría de
las organizaciones tienen archivos que almacenar de forma digital (QUINTERO
HERRERA, 2018). Según ComputerWeekly.com “el almacenamiento de datos
se ha convertido en unas de las partidas de TI que crecen más rápido”.

Desafortunadamente todo esto ha llevado a que se genere el robo de información,

a través de códigos maliciosos que vulneran los sistemas donde se encuentra
almacenada los datos. En Colombia se calcula que al mes, se registran alrededor
de 187 denuncias por robos informáticos, la cifra de usuarios afectados paso de
600.000 en el primer semestre de 2018 a mas de 940.000 en el mismo periodo del
2019 según la empresa de ciberseguridad Karpersky. (Tiempo, 2019)

Los más afectados por el robo de información son las organizaciones por el alto
volumen de información que manejan, algunas empresas atenido que permitir la
conexión a la intranet de la oficina desde la casa, debido a la comodidad para sus
empleados. Desafortunadamente, esto comprometen a los sistemas de entrada y
los atacantes también tienen accesos a datos de la organización. La incorporación

19
de cortafuegos y redes privadas virtuales (VPNS) para permitir de forma segura
que los usuarios externos puedan conectarse de una forma más segura. Con una
configuración correcta un cortafuegos puede reducir que las redes estén
expuestas, sin embargo los atacantes están en constante evolución y con ellas
nuevas técnicas como troyanos, gusanos y escaneo silenciosos que atraviesan a
estos mediante protocolos permitidos como HTTP, ICMP o DNS. (Mira Alfaro,
2019)

4.4 ANTECEDENTES LEGALES

Ley 1581 del 17 de octubre 2012

De protección de los datos personales sancionada siguiendo los lineamientos
establecidos por el Congreso de la República y la Sentencia C-748 de 2011 de la
Corte Constitucional.3
Ley 1273 de 2009 de la protección de la información y de los datos
 Capítulo 1: De los atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos;
 Capítulo 2: De los atentados informáticos y otras infracciones.
 Ley 1341 de 2009 de 30 de julio
Por la cual se definen Principios y conceptos sobre la sociedad de la
información y la organización de las Tecnologías de la Información y las
Comunicaciones (TIC).

Ley estatutaria 1266 del 31 de diciembre de 2008

Por la cual se dictan las disposiciones generales del hábeas data y se regula el
manejo de la información contenida en bases de datos personales, en especial la

3
http://www.defensoria.gov.co/public/Normograma%202013_html/Normas/Ley_1581_2012.pdf
17 días del mes de octubre de 2012. JUAN MANUEL SANTOS CALDERÓN La Ministra de Justicia
y del Derecho, RUTH STELLA CORREA PALACIO. El Ministro de Hacienda y Crédito Público,
MAURICIO CÁRDENAS SANTA MARÍA. El Ministro de Comercio, Industria y Turismo, SERGIO
DIAZ-GRANADOS GUIDA. El Ministro de Tecnologías, de la Información y las Comunicaciones,
DIEGO MOLANO VEGA https://www.habitatbogota.gov.co/transparencia/marco-
legal/normatividad/ley-1273-2009

20
financiera, crediticia, comercial, de servicios y la proveniente de terceros países y
se dictan otras disposiciones.

Decreto 1727 de 2009 Por el cual se determina la forma en la cual los operadores
de los Bancos de Datos de Información Financiera, Crediticia, Comercial, de
Servicios y la proveniente de terceros países, deben presentar la información de
los titulares de la información.
Decreto 2952 de 2010 Por el cual se reglamentan los artículos 12 y 13 de la Ley
1266 de 2008. Para conocer más sobre este Decreto.[ CITATION DEF12 \l 9226 ]
Decreto 886 de 2014 Por el cual se reglamenta el artículo de la Ley 1581 de
2012, relativo al Registro Nacional de Bases de Datos.[ CITATION DEF12 \l 9226 ]
4.5 ANTECEDENTES INVESTIGATIVOS
4.5.1 TITULO: IMPLANTACIÓN DE UN SISTEMA DE DETECCIÓN DE
INTRUSOS EN LA UNIVERSIDAD DE VALENCIA.

AÑO: Noviembre 2002 VALENCIA ESPAÑA

OBJETIVO GENERAL: Se quería lanzar una experiencia piloto basada en la

implantación de un IDS en el troncal de un nodo regional que no tuviese tráfico
excesivamente grande pero que fuese significativo al mismo tiempo.

Quedaban por tanto excluidos los nodos de Madrid y Cataluña, siendo los
candidatos los de Andalucía y la Comunidad Valenciana.

Por unas causas u otras, las universidades españolas carecen en general de

mecanismos de seguridad que hagan frente al aumento del número de ataques
que se producen en Internet. Es más, es inviable la instalación de firewalls que
limiten el acceso por defecto dejando abiertos solo los servicios necesarios, por lo
que su configuración sería la de ’permitir por defecto’ y filtrar solo los servicios
problemáticos por razones administrativas (correo y web, por ejemplo). Esta tarea
se puede realizar en el propio router de entrada y no necesita de hardware
específico como el firewall.

21
Una solución que se le puede dar al problema de la falta de seguridad y que
encaja con lo anterior es la instalación de sistemas pasivos que alerten a los
administradores en el momento en el que se produzca un ataque. El administrador
será conocedor del ataque y dependiendo de la gravedad de éste podrá decidir si
avisa al CERT asociado (en nuestro caso CERT-ES) y/o al responsable de la red
origen del ataque, o no.

Para facilitar esta tarea a los administradores, RedIRIS propuso el desarrollo de un

programa que automatizase el anuncio de alertas al CERT por medio del correo
electrónico. El sistema de detección de intrusos se encargaría de elaborar cada
día un informe con todas las alarmas producidas durante ese día y enviarlo por
correo electrónico al administrador de seguridad. El administrador respondería ese
e-mail a la máquina con información adicional de qué alertas debían ser enviadas
al CERT y/o al responsable de la red origen del ataque, y cuales no. Por último, la
máquina sería la encargada de enviar las alarmas seleccionadas a la dirección de
correo adecuada.4

RedIRIS proporcionó el hardware necesario consistente en una máquina VA-Linux

modelo 2230 FullOn y una tarjeta ATM de FORE Systems modelo PCA-200E.

4.5.2 TITULO: DISEÑO Y CONFIGURACIÓN DE UN IDS EN UN SISTEMAS DE

CONTROL INDUSTRIAL

AÑO: Noviembre 2017

OBJETIVO GENERAL: Actualmente, existe una estrecha relación entre la

información y tecnología usada en las empresas. Con el tiempo han ido surgiendo
y evolucionando nuevas técnicas que permiten el acceso de manera ilegítima por
medio de vulnerabilidades encontradas en las redes OT. Como respuesta a estas
vulnerabilidades, se han desarrollado arquitecturas, técnicas y sistemas que
detectan y previenen estos accesos indebidos. Así aparecen los IDS, con la
función principal de detectar anomalías y usos indebidos (inicialmente pensados

4
file:///E:/ARCHIVOS%20DE%20PROYECTOS%20IDS/PROYECTOS%20IDS/ids-uv.pdf
Enterasys Networks, Inc.: “Intrusion Detection Solutions”, http://www.enterasys. com/ids/, 2002

22
para el mundo IT). Las actuales amenazas contra las redes OT, hacen que se
implemente el uso de estas herramientas en redes industriales, examinando
detalladamente los protocolos y transmisiones que circulan por la red. Ante la
dificultad que supone para los IDS reaccionar frente a las alertas de intrusión, se
desarrollaron los IPS que se encargan de reaccionar activamente a las intrusiones
detectadas por el IDS. Hoy en día, los términos IDS e IPS se utilizan de modo
indistinto y los equipamientos son idénticos, cambiando el modo de
funcionamiento simplemente dependiendo del tipo de despliegue y de unos pocos
parámetros de configuración. Para avanzar más en la tecnología de defensa
aparecen los sistemas SIEM, que no dependen de una sola fuente de información
– como podría ser un IDS / IPS –. Además de centralizar la información, son
capaces de relacionar (el verbo correlar se suele utilizar en este contexto en TI y
se usará frecuentemente en este documento) eventos de diferentes fuentes para
generar alertas personalizadas. Estos dispositivos aportarán la inteligencia
necesaria para ir reduciendo paulatinamente el número de falsos positivos. Existe
una cierta ventaja en el uso de estos sistemas que combinan diferentes tipos de
aprendizajes y gestión, debido a que en las redes industriales los eventos
almacenados suelen presentar una menor variabilidad que en el mundo IT. Por
este motivo, pueden resultar más efectivos y detectar un menor número de falsos
positivos.5

4.5.3 TITULO: SEGURIDAD EN SISTEMAS INFORMÁTICOS DETECCIÓN DE

INTRUSIÓN

AÑO: 2009

OBJETIVO GENERAL: Sistemas de Detección de Intrusión monitoriza de un

modo automático todos los eventos que ocurren en una red, un host, en una
aplicación... en busca de señales que puedan indicar la existencia de problemas
de seguridad. ‣ Problema típico con un firewall: He sufrido un ataque en uno de

5
La presente publicación pertenece a INCIBE (Instituto Nacional de Ciberseguridad) y está bajo
una licencia Reconocimiento-No comercial 3.0 España de Creative Commons la Texto completo
licencia: http://creativecommons.org/licenses/by-nc-sa/3.0/es/.

23
mis servidores, el atacante ha conseguido ser root. Intento reconstruir lo que ha
pasado. Examino los logs del firewall en busca de pistas de lo que ha pasado Los
logs del firewall contienen los paquetes que han filtrado... eso son los ataques que
no han conseguido pasar.6

4.5.4 TITULO: IMPLEMENTACIÓN DE UN SISTEMA DE PREVENCIÓN DE

INTRUSOS EN LA VLAN DE SERVIDORES DE LA EMPRESA SONDA DE
COLOMBIA S.A.

AÑO: 2019

OBJETIVO GENERAL: La realización del siguiente proyecto pretende conocer la

estructura y aplicación de los (IDS) sistemas de protección de intrusos para la
implementación en la red de servidores de la empresa Sonda De Colombia S.A., la
cual al ser una empresa de outsourcing de tecnología que ofrece servicios de
seguridad debe estar al margen en el conocimiento e implementación de este tipo
de herramientas.

En la propuesta de Implementación de un sistema de detección de intrusos en la

vlan de servidores de la empresa Sonda de Colombia S. A. las herramientas que
se van a revisar deben ser de licencia GNU GPL, basadas en Linux dado que son
herramientas que pueden ser susceptibles a modificación y parametrización
acorde a las necesidades del proyecto. 7

6
https://www.tlm.unavarra.es/pluginfile.php/11611/mod_resource/content/0/clases/08_SSI-
monitorizacion1.pdf Área de Ingeniería Telemática Dpto. Automática y Computación
http://www.tlm.unavarra.es/ NETWORK INTRUSION DETECTION An Analyst´s Handbook (2nd
Edition) New Riders Stephen Northcutt, Judy Novak ISBN: 0735710082 Snort 2.1 Intrusion
Detection, Second Edition By Jay Beale, ISBN: 1931836043
7
file:///E:/ARCHIVOS%20DE%20PROYECTOS%20IDS/PROYECTOS%20IDS/00005169.pdf
RED IRIS. VILLALON HUERTA, Antonio. Seguridad en Unix y Redes, Sistemas de detección de
intrusos [en línea]. [s.l.] 2008. Disponible en: <https://www.rediris.es/cert/doc/unixsec/node26.html

24
25
 5. MARCO CONCEPTUAL
SISTEMA DE DETECCIÓN DE INTRUSOS O IDS (intrusion Detection System)

Es un programa de detección de accesos no autorizados a un computador o a una

red. Actúa como un sensor o sniffer , conectado a la red informática privada de
una empresa o en un servidor público de internet, su funcionamiento se basa en
capturar todo el tráfico de datos en la que se encuentra, Una vez capturado, el IDS
analiza si existen anomalías o indicios de un ataque.

Los IDS permiten el despliegue de respuestas a las violaciones de seguridad dado

que debe ser capaz de distinguir entre un acceso normal al sistema y un intento de
vulnerar de algún modo dichos servicios generando alertas en situaciones que
sean considerados como eventos de intrusión en los sistemas de información.
Los IDS han ganado aceptación en la infraestructura de seguridad ya que las
razones para usar este software con llevan a disuadir individuos hostiles.

Una característica fundamental y principal es detectar cuando un atacante ha

intentado penetrar en un sistema explotando un fallo no corregido. De esta forma,
podríamos avisar al administrador para que llevara a cabo un backup del sistema
inmediatamente, evitando así que se pierda información valiosa.

Cuando un individuo ataca un sistema, lo hace típicamente en fases predecibles.

En la primera fase, el atacante hace pruebas y examina el sistema o red en busca
de un punto de entrada óptimo. En sistemas o redes que no disponen de un IDS,
el atacante es libre de examinar el sistema con un riesgo mínimo de ser detectado.
Esto le facilita la búsqueda de un punto débil en nuestra red. 8

SNORT. Es un IDS o Sistema de detección de intrusiones basado en red.

Implementa un motor de detección de Ataques y barrido de puertos que permite

8
Sheyla Leacock Lic. en Desarrollo de Software / Téc. en Ingeniería con especialización
Creado 10 Apr 2018 | https://backtrackacademy.com/articulo/que-es-un-sistemas-de-
deteccion-y-prevencion-de-intrusos-ids

26
registrar, alertar y responder ante cualquier anomalía previamente definida como
alguna vulnerabilidad, análisis de protocolos, etc. conocidos. Todo esto en tiempo
real. Snort Está disponible bajo licencia GPL, gratuito y funciona bajo
plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una
gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones
constantes, La colocación de Snort en nuestra red puede realizarse según el
tráfico quieren vigilar: paquetes que entran, paquetes salientes, dentro
del Firewall, fuera del Firewall entre otros.

FIREWALL. Un firewall (llamado también «cortafuego»), es un sistema que

permite proteger a una computadora o una red de computadoras de las
intrusiones que provienen de una tercera red (expresamente de Internet). El
firewall es un sistema que permite filtrar los paquetes de datos que andan por la
red. Se trata de un «puente angosto» que filtra, al menos, el tráfico entre la red
interna y externa.

UBUNTU. Es una distribución Linux que ofrece un sistema

operativo predominantemente enfocado a ordenadores de escritorio aunque
también proporciona soporte para servidores .Basada en Debian GNU/Linux,
Ubuntu concentra su objetivo en la facilidad de uso, la libertad de uso, los
lanzamientos regulares (cada 6 meses) y la facilidad en la instalación. Ubuntu es
patrocinado por Canonical Ltd., una empresa privada fundada y financiada por
el empresario sudafricano Mark Shuttleworth.

SOFTWARE LIBRE. Definición de software libre estipula los criterios que se

tienen que cumplir para que un programa sea considerado libre. De vez en cuando
modificamos esta definición para clarificarla o para resolver problemas sobre

27
cuestiones delicadas. Más abajo en esta página, en la sección Historial, se puede
consultar la lista de modificaciones que afectan la definición de software libre.

El «Open source» (Código abierto) es algo distinto: su filosofía es diferente y está

basada en otros valores. Su definición práctica también es diferente, pero de
hecho casi todos los programas de código abierto son libres.

ATACANTE INFORMATICO. Un ataque informático se puede describir como una

actividad hostil contra un sistema, un instrumento, una aplicación o un elemento
que tenga un componente informático. Es una actividad que aspira a conseguir un
beneficio para el atacante a costa del atacado. Existen diferentes tipologías de
ataque informático que dependen de los objetivos que se quieren alcanzar, de los
escenarios tecnológicos y de contexto.

Existen ataques que impiden el funcionamiento de un sistema, ataques que

apuntan a sus redes principales, otros que aspiran a conquistar datos personales
que están en un sistema o pertenecen a una empresa y los de ciberactivismo que
sostienen causas o campañas de información y comunicación. Entre los ataques
más difundidos, en los últimos tiempos, están los ataques con finalidad económica
y los flujos de datos, llamados “Man-In-The-Middle” (“ataque de intermediario”): la
finalidad de estos ataques es un sitio web popular o una base de datos para robar
datos de tipo financiero. Las personas que actúan un ataque informático, en
solitario o en grupo, se llaman “Hackers”.

SEGURIDAD. Seguridad es un conjunto de sistemas, medios organizativos,

medios humanos y acciones dispuestas para eliminar, reducir o controlar los
riesgos y amenazas que puedan afectar a una persona a una entidad a una
instalación o a un objeto. La seguridad proporciona las condiciones para afrontar
el peligro, en síntesis, seguridad es la minimización del riesgo.

28
SNIFFER. Un sniffer es una aplicación especial para redes informáticas, que
permite como tal capturar los paquetes que viajan por una red. Pero profundizando
podemos decir también que un sniffer puede capturar paquetes dependiendo de la
topología de. Los sniffers de red pueden tomar copias instantáneas de los datos
sin redirigirlos ni alterarlos. Algunos sniffers funcionan sólo con paquetes TCP/IP,
pero las herramientas más sofisticadas pueden funcionar con muchos otros
protocolos de red y a niveles inferiores, incluyendo tramas Ethernet. Hace años,
los sniffers eran herramientas utilizadas exclusivamente por ingenieros de redes
profesionales. Hoy en día, sin embargo, con las aplicaciones de software
disponibles gratuitamente en la web, también son populares entre los hackers de
Internet y la gente simplemente curiosa por las redes.

Los sniffers de red a veces se denominan sondas de red, sniffers inalámbricos,

sniffers Ethernet, sniffers de paquetes, analizadores de paquetes o simplemente
snoops.

FIREWALL. Un firewall es un dispositivo de seguridad de la red que monitorea el

tráfico de red -entrante y saliente- y decide si permite o bloquea tráfico específico
en función de un conjunto definido de reglas de seguridad.

Los firewalls han constituido una primera línea de defensa en seguridad de la red
durante más de 25 años. Establecen una barrera entre las redes internas
protegidas y controladas en las que se puede confiar y redes externas que no son
de confianza, como Internet. Un firewall puede ser hardware, software o ambos

29
 6. MARCO TECNOLOGICO

Se proporciona una visión global de las tecnologías más representativas utilizadas

en este proyecto, resaltando aquellas partes principalmente implicadas en el
desarrollo del mismo.

6.1. SNORT 2.9.7: Snort es un Sistema de Detección de Intrusos (IDS) basado en

red (IDSN) open source. Cuenta con un lenguaje de creación de reglas en el que se
pueden definir los patrones que se utilizarán a la hora de monitorizar el sistema.
Además, ofrece una serie de reglas y filtros ya predefinidos que se pueden ajustar

30
durante su instalación y configuración para que se adapte lo máximo posible a lo que
deseamos.9

6.2 FIREWALL/NIDS: Otra opción es usar una única máquina que haga las
funciones de firewall y de NIDS a la vez.

6.3 MYSQL: MySQL es un sistema de gestión de bases de datos relacionales de

código abierto (RDBMS, por sus siglas en inglés) con un modelo cliente-
servidor. RDBMS es un software o servicio utilizado para crear y administrar bases
de datos basadas en un modelo relacional. 

Al momento de instalar Snort y Mysql directamente desde las fuentes, bastará con
ejecutar el comando: yum install snort O yum install snort-mysql .El snort para que
almacene las alertas en mysql descargará los paquetes compilados de snort y
10
mysql y las dependencias necesarias (libpcap, pcre..).

6.4 UBUNTU: 11Es una de las distribuciones Linux que existen en la actualidad, a

lo largo de los años ha tenido un impresionante desarrollo y aceptación por parte
de la comunidad amante del software libre en todo el mundo. Ubuntu es un mundo
distinto si somos usuarios de Windows, lo bueno que podemos resaltar de este
sistema operativo es su estabilidad y robustez. En pocas palabras todo lo que tu
haces en Microsoft Windows de igual forma lo podrás hacer en Ubuntu utilizando
otras herramientas (programas). Este sistema operativo de libre
distribución cuenta con muchas versiones las cuales se pueden descargar
directamente desde su sitio web gratis.

9
Daniel Ortego Delgado el 21 de Marzo de 2017 https://openwebinars.net/blog/que-es-snort/
10  mayo 13th, 2019Gustavo B. https://www.hostinger.co/tutoriales/que-es-mysql/
11
https://www.vix.com/es/btg/tech/13022/que-es-ubuntu vix.

31
 7. DISEÑO METODOLÓGICO

7.1 TIPO DE INVESTIGACION

Este proyecto de investigación fue orientado para el fortalecimiento de la

seguridad en la dependencia de sistemas de la institución, buscando como
Soluciones a reportes de intrusos y utilizando herramientas como el IDS que
pueda ser utilizado como escudo de protección ante posibles amenazas que
surjan en un futuro cercano y en donde estas puedan atentar contra la integridad
de la información que se maneja en el lugar.

Por medio del avance de una investigación de campo, se busca interpretar la

problemática que actualmente se exhibe en los sistemas de información
transaccionales y a su vez tratar de presentar una solución apoyada tanto en la
tecnología como en la norma ISO 27001 del 2013, ejecutando el sistema detector
de intrusos (IDS-SNORT)12

Como consecuencia a la solución que se pretende plantear, se comenzó una

investigación exploratoria13, la cual permite inspeccionar a cerca de un tema en
particular y así beneficiarse de una mejor interpretación del problema en
aplicación. Así que, de acuerdo con lo anterior, el segundo paso a seguir es
realizar una investigación bibliográfica 14, técnica que se efectuó por medio de
búsquedas del argumento en investigación, a través de repositorios libres, Google
Escolar, manuales de procedimientos, reglamentos y normas basados en la norma
ISO 27001. En donde los resultados obtenidos se inspeccionaron, criticaron e

12
13
Gross, M. (2010). Conozca 3 tipos de investigación: Descriptiva, Exploratoria y Explicativa.
Pensamiento Imaginativo. Blog. Recuperado el 02 de febrero del 2017. Disponible en:
http://manuelgross. bligoo. com/conozca-3-tipos-de-investigaciondescriptivaexploratoria-y-
explicativa.
14
Arias, F. G. (2012). El Proyecto de Investigación. Introducción a la metodología científica. 5ta:
Fidias G. Arias Odón. Pág. 60

32
interpretaron. Todo este suceso, se forma por medio de las fuentes segundarias y
acarrean a poder obtener nuevos conocimientos sobre el tema investigado.

15

Ilustración 1 metodología cualitativa Hernández, Fernández, Baptista.

15
Hernandez, R. Fernández, C. Baptista, P. Metodología de la investigación. Mexico,2006, 4
edición. Mc Graw Hill

33
7.2 INVESTIGACION PROYECTIVA

Jacqueline Hurtado define la investigación proyectiva como “Una propuesta que

debe estar fundamentada en un proceso sistemático de búsqueda e indagación
que recorre los estadios descriptivo, analítico, comparativo, explicativo y
predictivo”16.

Se utilizó el estadio descriptivo que va “Dirigido a identificar cuáles son las

necesidades que deben llenar la propuesta y exige indagar hasta qué punto es
requerido el invento, programa o diseño que se intenta proponer, y cuáles son las
necesidades que se van a resolver”17.

7.3 POBLACIÓN

“La población o universo se refiere a la totalidad de individuos (personas o

instituciones) involucrados en la investigación, o podemos decir que es el conjunto
para el cuál serán válidas las conclusiones que se obtengan” 18.

Para el proyecto se tomaría como población a los trabajadores que ejercen en el

departamento de sistemas de la institución ITFIP, los cuales serían
aproximadamente 5 Trabajadores que son los encargados del monitoreo
respectivo de la plataforma y los que darán aviso a las diferentes alertas de
posibles intrusos.

16
Hurtado, J. Metodología de la investigación holística. Caracas,2000, Sypal. 3 edición
17
Ibid (22)
18
Guffante,T.Guffante,F y Cháves,P. Investigación científica-El proyecto de investigación. Enero
2016

34
 8. INSTRUMENTO DE RECOLECCIÓN DE DATOS

El instrumento que se utilizó en este proyecto fue la encuesta y entrevista que

permite la recolección de la información necesaria de la muestra estudiada. La
encuesta fue diseñada con el objetivo de identificar la percepción de los
funcionarios del área de Sistemas de la Universidad acerca de la situación actual
de la seguridad informática en la institución y sus antecedentes. Se realizó a 15
funcionarios el día 5 de Septiembre de 2019. Instrumentos de recolección de
datos.

Para el proyecto la técnica de análisis de datos que se va a utilizar es la llamada

análisis de correlaciones basada en la técnica de tabulación. Esta técnica consiste
en determinar si existe una relación entre dos variables cualitativas diferentes y
cuan fuerte es esa relación entre las variables. Se suele usar cuando se piensa
que las variables tienen una evolución similar.

8.1 INSTRUMENTO DE EVALUACIÓN

A continuación, responda las siguientes preguntas relacionadas con la seguridad

de
la información que ud maneja o es relacionada con los sistemas de información de
la universidad a los cuales usted accede.

Esta información es de carácter reservado.

PREGUNTA 1.
Ud ha sufrido o ha sido víctima de robo de información en esta sede de la
Universidad?
SI
NO

35
PREGUNTA 2.
Existen controles al acceder a los sistemas de información de la Universidad que
Permiten controlar el acceso, la copia o fuga de la información?
SI
NO

PREGUNTA 3.
Existe alguna herramienta de seguridad perimetral de protección de la información
en la universidad?
1. SI
2. NO

PREGUNTA 4.
Existen logs que permitan registrar el tráfico entrante y saliente de la red interna
del departamento de sistemas de la universidad?

1. SI
2. NO

36
 9. ANÁLISIS E INTERPRETACIÓN DE DATOS

Se realizó la valoración y clasificación de activos utilizando la metodología

MAGERIT como se muestra a continuación:

9.1Clasificación de activos según MAGERIT.

Códig Nombre Nombre Descripció Código Nombre Función
o grupo de del n Consecu de activo
grupo activo activo tivo ITFIP
de MAGERI ITFIP
activo T
MAGE
RIT
Esenciales
[vr] datos Documen En este I-DU Inventario Poseer el
vitales tos de la activo se de contenido
organizac almacén a usuarios crucial, en
ión el registro el cual,
de los llegado el
usuarios momento
de la parte de caída
administrati accidental
va. u
Este activo E-ORG estructura ocasionad
almacén a organizaci a del
cada una onal sistema,
de las se pueda
dependenc corregir de
ias que manera
tiene la eficiente,
institución. permitiénd
Este activo I-DC Inventario ose así
guarda el de optimizar
registro de contratos el tiempo
los de
contratos. respuesta.

37
 Este activo R-DA Registro
lleva un de
registro de actividade
las s
actividades
que se
realizan.
Este activo R-ME Registro
lleva el Mantenimi
registro de ento
los equipos
mantenimi
entos
realizados.
Este activo R-AE Registro
guarda el de la
registro de arquitectur
la a de los
arquitectur equipos
a de los
equipos
que
requieren.
[servic Servicios Servicios Este activo S-EC Soporte Se
e] ofrecidos ofrece el equipos encarga
de todas servicio de de del
las soporte de computo mantenimi
dependen equipos de ento
cias del cómputo. correctivo
ITFIP Este activo S-PV Soporte y
ofrece el de preventivo
servicio de plataforma de todos
brindarle s virtuales los
soporte a equipos
las administra
plataforma tivos de la
s virtuales. institución
y a las
plataforma
s virtuales.
Arquitectura del sistema
[ip] punto de VLAN Este activo VLAN- Vlan de Su función
intercone es la red ADMON administra principal
virtual de ción es separar

38
xión administrac de manera
ión para ordenada
poder y optima
comunicars cada una
e entre de las
ellos. dependen
Este activo VLAN- Vlan de cias que
es la red FINAN financiera se
virtual de someten a
financiera los
para poder servicios
comunicars de
e entre sistemas,
ellos. permitiénd
Este activo VLAN- Vlan de oles así,
es la red TESO tesorería trabajar de
virtual de manera
tesorería más
para poder cercana
comunicars entre sus
e entre propios
ellos. núcleos.
Este activo VLAN- Vlan de
es la red EST estudiante
virtual de s
estudiantes
para poder
comunicars
e entre
ellos.
Este activo V-WIFI Vlan de
es la red wifi
virtual de
WIFI para
poder
brindar
soporte en
caso de
algún
daño.
Este activo VLAN- Vlan de
es la red CONF configurac
virtual de ión
configuraci

39
 ón para
poder
configurar
equipos de
manera
remota.

Arquitectura del sistema

Este activo es la red virtual de administración VLAN- Vlan de
para poder comunicarse entre ellos. ADMON administración

Este activo es la red virtual de financiera para VLAN- Vlan de financiera

poder comunicarse entre ellos. FINAN
Este activo es la red virtual de tesorería para VLAN- Vlan de tesorería
poder comunicarse entre ellos. TESO
Este activo es la red virtual de estudiantes VLAN- Vlan de
para poder comunicarse entre ellos. EST estudiantes
Este activo es la red virtual de WIFI para V-WIFI Vlan de wifi
poder brindar soporte en caso de algún daño.
Este activo es la red virtual de configuración VLAN- Vlan de
para poder configurar equipos de manera CONF configuración
remota.
Este activo es la red virtual de sistemas para VLAN-SIS Vlan de sistemas
poder comunicarse entre ellos.
Este activo es la red virtual de RYCA para VLAN- Vlan de registro y
poder comunicarse entre ellos. RYCA control

Este activo es la red virtual de almacén para VLAN- Vlan de almacén

poder comunicarse entre ellos. ALMA

Este activo es la red virtual de Talento VLAN- Vlan de talento

Humano para poder comunicarse entre ellos. TALEN humano

9.2 EVALUACIÓN DE NIVEL DE SEGURIDAD DE ACTIVOS

NOMBRE DESCRIPCION FIREWAL IDS WAF ANTIVIRUS NIVEL DE

40
 DEL L SEGURIDA
ACTIVO D
COMPUTA ADMINISTRACI NO NO SI BAJO
DOR TODO ON DE
EN UNO PLATAFORMA
INTEL C
COMPUTA SOFTWARE DE NO NO NO SI BAJO
DOR IMAC MANEJO
INTEL ACADÉMICO
CORE I5
COMPUTA SOFTWARE NO NO NO SI BAJO
DOR IMAC CONTABLE
INTEL
CORE I5

Fuente: el autor

En la evaluación realizada se evidencia que los activos críticos no poseen

sistemas de protección de seguridad como son Firewall, IDS y WAF (firewall de
aplicaciones web), por lo cual se determina que su nivel de seguridad es bajo y se
considera indispensable la implementación de un sistema de detección de intrusos
IDS.

10. ANALISIS Y RESULTADOS

Esta investigación Lo que se pretendió fue estudiar y analizar uno de los pasos
de parametrizacion de un IDS SNORT, así como también cual era la

41
infraestructura necesaria para el buen funcionamiento de la herramienta
ejecutable. Por otro lado se pretendió realizar una calificación y evaluación de los
activos, con el fin de encontrar cuales eran los más importantes dentro de la
institución. También, se identificaron aquellas fallas de seguridad internas
podemos inferir que actualmente los ataques informáticos, son mucho más
sofisticados su tipología muy variada y en muchos casos las actividades
maliciosas pasan desapercibidos por los sistemas de detección de intrusos. Los
ciberdelincuentes utilizan técnicas de hacking cada vez más avanzadas para
burlar cualquier tipo de salvaguarda los datos informáticos.

El IDS SNORT permite generar alertas en tiempo real, evitando que un atacante
ingrese a nuestros sistemas y se vean comprometidos. Cabe destacar que
objetivo es lograr proteger los activos críticos dentro de la institución en tiempo
real

Por otro lado, los resultados obtenidos en esta investigación se pueden tomar
como base para diseñar un sistema de detección de intrusos dentro de una
entidad, con el fin de mitigar y contrarrestar los riesgos informáticos a los que se
encuentran expuestos día a día.

Es necesario que se continúe investigando sobre cómo evolucionan los diferentes

ataques informáticos y las vulnerabilidades a las cuales nos encontramos
expuestos, así como también los diferentes salvaguardas existentes para
contrarrestar y mitigar el impacto de que ocurra algún siniestro.

42
 CONCLUSIONES

El proyecto se llevó a cabo con la finalidad de realizar e implementar un sistema

de detección de intrusos IDS –SNORT para la institución ITFIP en donde se
lograron obtener unos resultados que permitieron determinar que es factible y
necesaria su implementación. Luego de identificar y valorar los activos
informáticos más críticos del departamento de sistemas en la institución, se
evidenció que por su nivel de criticidad es indispensable proteger los sistemas
informáticos y elementos de red.

En la evaluación del nivel de seguridad que mostró la alta vulnerabilidad que

tienen los activos críticos, lo anterior indica que se debe reforzar la seguridad de
los activos más críticos. De acuerdo a los modos de parametrización del IDS-
SNORT bajo la norma ISO 27003-2013 se debe usar el modo NIDS por tener
más visibilidad y ser más integral En la infraestructura diseñada, se debe realizar
las configuraciones y arquitecturas recomendadas para obtener un resultado
óptimo en la implementación.

43
44
 12. TRABAJOS FUTUROS

 Se proponen una serie de mejoras para la aplicación desarrollada y ofrecer un

servicio más completo y útil.

 Poder monitorizar el rendimiento de diferentes interfaces de Snort.

 Generación de informes semanales con los datos más relevantes de la
semana.
 Añadir una opción para subir un fichero con datos estadísticos de Snort
 Notificar, vía correo electrónico, cuando se detecte algún valor anómalo,
superior o inferior al valor normal del dato.

45
46
 REFERENCIAS BIBLIOGRAFICAS

 [ CITATION FerPM \l 9226 ] https://www.welivesecurity.com/la-

es/2014/01/13/primeros-pasos-implementacion-ids-snort/

 [ CITATION wil17 \l 9226 ] https://www.welivesecurity.com/la-es/2015/05/18/que-

es-como-trabaja-csirt-respuesta-incidentes/

 https://sites.google.com/site/convivenciacddigital/seguridad-informa

 [ CITATION Min19 \l 9226 ] https://estrategia.gobiernoenlinea.gov.co/623/w3-

propertyvalue-7702.html

 ASTIVIA Tecnologías Avanzadas S.L.L... Sistemas de Gestión de Riesgos y

Seguridad. ISO 27001 – Software ISO 27001 de Sistemas de Gestión. [en
línea], 2018 [revisado 13 septiembre 2018]. Disponible en Internet:
https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001

 GARZON PADILLA, Gilberto [en línea]. Propuesta para la implementación

de un sistema de detección de intrusos (IDS) en la dirección general sede
central del instituto nacional penitenciario y carcelario INPEC“PIDSINPEC,
75 p: Proyecto de Grado (Especialista en seguridad informática).

 17 días del mes de octubre de 2012. JUAN MANUEL SANTOS CALDERÓN

La Ministra de Justicia y del Derecho, RUTH STELLA CORREA PALACIO.
El Ministro de Hacienda y Crédito Público, MAURICIO CÁRDENAS SANTA
MARÍA. El Ministro de Comercio, Industria y Turismo, SERGIO DIAZ-

47
 GRANADOS GUIDA. http://www.defensoria.gov.co/public/Normograma
%202013_html/Normas/Ley_1581_2012.pdf

 El Ministro de Tecnologías, de la Información y las Comunicaciones, DIEGO

MOLANO VEGA https://www.habitatbogota.gov.co/transparencia/marco-
legal/normatividad/ley-1273-2009

 Enterasys Networks, Inc.: “Intrusion Detection Solutions”,

http://www.enterasys. com/ids/, 2002 file:///E:/ARCHIVOS%20DE
%20PROYECTOS%20IDS/PROYECTOS%20IDS/ids-uv.pdf

 Área de Ingeniería Telemática Dpto. Automática y Computación

http://www.tlm.unavarra.es/ NETWORK INTRUSION DETECTION An
Analyst´s Handbook (2nd Edition) New Riders Stephen Northcutt, Judy
Novak ISBN: 0735710082 Snort 2.1 Intrusion Detection, Second Edition By
Jay Beale, ISBN:
1931836043https://www.tlm.unavarra.es/pluginfile.php/11611/mod_resource
/content/0/clases/08_SSI-monitorizacion1.pdf

 file:///E:/ARCHIVOS%20DE%20PROYECTOS%20IDS/PROYECTOS
%20IDS/00005169.p
RED IRIS. VILLALON HUERTA, Antonio. Seguridad en Unix y Redes,
Sistemas de detección de intrusos [en línea]. [s.l.] 2008. Disponible en:
<https://www.rediris.es/cert/doc/unixsec/node26.html

48
 Sheyla Leacock Lic. en Desarrollo de Software / Téc. en Ingeniería con
especialización Creado 10 Apr 2018 |
https://backtrackacademy.com/articulo/que-es-un-sistemas-de-deteccion-y-
prevencion-de-intrusos-ids.

 Daniel Ortego Delgado el 21 de Marzo de 2017

https://openwebinars.net/blog/que-es-snort/ mayo 13th, 2019 Gustavo B.
https://www.hostinger.co/tutoriales/quemysql/https://www.vix.com/es/btg/tec
h/13022/que-es-ubuntu vix.

 Gross, M. (2010). Conozca 3 tipos de investigación: Descriptiva,

Exploratoria y Explicativa. Pensamiento Imaginativo. Blog. Recuperado el
02 de febrero del 2017. Disponible en: http://manuelgross. bligoo.
com/conozca-3-tipos-de-investigaciondescriptivaexploratoria-y-explicativa.

 Arias, F. G. (2012). El Proyecto de Investigación. Introducción a la

metodología científica. 5ta: Fidias G. Arias Odón. Pág. 60

 Hernández, R. Fernández, C. Baptista, P. Metodología de la investigación.

México, 2006, 4 edición. Mc Graw Hill

 Hurtado, J. Metodología de la investigación holística. Caracas, 2000, Sypal.

3 edicion Ibid (22).

 Guffante, T. Guffante, F y Cháves, P. Investigación científica-El proyecto de

investigación. Enero 2016 http://creativecommons.org/licenses/by-nc-sa/3.

 https://www.gnu.org/philosophy/free-sw.es.html

49
 https://tecnonautas.net/que-es-un-sniffer-de-red-y-como-funciona/

 https://www.cisco.com/c/es_mx/products/security/firewalls/what-is-a-fire

50