Documentos de Académico
Documentos de Profesional
Documentos de Cultura
OCTUBRE 2017
Introducción.
Un IDS es una herramienta de seguridad que intenta detectar o monitorizar los eventos
ocurridos en un determinado sistema informático en busca de intentos de comprometer
la seguridad de dicho sistema.
Desafíos de IDS
En la prensa especializada, cada vez resuena más el término <B>IPS</B> (Sistema de
prevención de intrusiones) que viene a sustituir al IDS "tradicional" o para hacer una
distinción entre ellos.
El IPS es un sistema de prevención/protección para defenderse de las intrusiones y no
sólo para reconocerlas e informar sobre ellas, como hacen la mayoría de los IDS. Existen
dos características principales que distinguen a un IDS (de red) de un IPS (de red):
El IPS se sitúa en línea dentro de la red IPS y no sólo escucha pasivamente a la
red como un IDS (tradicionalmente colocado como un rastreador de puertos en
la red).
Un IPS tiene la habilidad de bloquear inmediatamente las intrusiones, sin
importar el protocolo de transporte utilizado y sin reconfigurar un dispositivo
externo. El IPS puede filtrar y bloquear paquetes en modo nativo (utilizando
técnicas como la caída de una conexión, la caída de paquetes ofensivos o el
bloqueo de un intruso).
Mientras que los sistemas de detección de intrusos basados en red operan bajo todo un
dominio de colisión, los basados en maquina realizan su función protegiendo un único
sistema; de una forma similar a como actúa un escudo antivirus residente en el sistema
operativo, el IDS es un proceso que trabaja en background (o que despierta
periódicamente) buscando patrones que puedan denotar un intento de intrusión o mala
utilización y alertando o tomando las medidas oportunas en caso de que uno de estos
intentos sea detectado.
3. Introducción a Snort.
El sistema que se ha elegido para el desarrollo del proyecto ha sido Snort [SNO04]. Snort
(www.snort.org) es un sistema de detección de intrusiones basado en red (NIDS). Su
funcionamiento es similar al de un sniffer ya que monitoriza todo el tráfico de la red en
búsqueda de cualquier tipo de intrusión. Implementa un motor de detección de ataques
y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía
previamente definida como patrones. Snort está disponible bajo licencia GPL, es gratuito
y funciona bajo plataformas Windows, GNU/Linux y Mac OS. Es uno de los más usados y
dispone de una gran cantidad de filtros o patrones ya predefinidos, y actualizaciones
constantes. La primera versión de Snort (Snort-0.96), surgió en Diciembre de 1998. Su
autor fue Marty Roesch. La primera aproximación de Snort fue APE, un programa para
Linux escrito en Noviembre de 1998, por Marty Roesch. Este programa tenía carencias
como la falta de capacidad para trabajar en múltiples sistemas operativos o la de
mostrar todos los tipos de paquetes del mismo modo. Fue en Diciembre de 1998,
cuando Marty Roesch creó la primera versión de Snort (Snort-0.96), que ya estaba
desarrollada con libcap, lo que la dotaba de una gran portabilidad. Esta primera versión
era sólo un sniffer de paquetes y no tenía las capacidades reales de un IDS/IPS. Sin
embargo, a partir de aquí, se han ido sucediendo numerosas versiones de Snort que han
hecho de esta herramienta una de las más importantes en la seguridad software.
Snort (http://www.snort.org/) está disponible bajo licencia GPL, gratuito y funciona bajo
plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una gran
cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante
casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de
los distintos boletines de seguridad.
4. Características técnicas.
Características de IDS
Cualquier sistema de detección de intrusos debería, sea cual sea el mecanismo en que
esté basado, debería contar con las siguientes características:
Debe funcionar continuamente sin supervisión humana. El sistema debe ser lo
suficientemente fiable para poder ser ejecutado en background dentro del
equipo que está siendo observado. Sin embargo, no debe ser una "caja negra"
(debe ser examinable desde el exterior).
Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a
una caída del sistema.
En relación con el punto anterior, debe ser resistente a perturbaciones. El
sistema puede monitorizarse a sí mismo para asegurarse de que no ha sido
perturbado.
Debe imponer mínima sobrecarga sobre el sistema. Un sistema que relentiza la
máquina, simplemente no será utilizado.
Debe observar desviaciones sobre el comportamiento estándar.
Debe ser fácilmente adaptable al sistema ya instalado. Cada sistema tiene un
patrón de funcionamiento diferente y el mecanismo de defensa debe adaptarse
de manera sencilla a esos patrones.
Debe hacer frente a los cambios de comportamiento del sistema según se
añaden nuevas aplicaciones al mismo.
Debe ser difícil de "engañar".
Fortalezas de IDS
Debilidades de IDS
Inconvenientes de IDS
La alta tasa de falsas alarmas dado que no es posible cubrir todo el ámbito del
comportamiento de un sistema de información durante la fase de aprendizaje.
El comportamiento puede cambiar con el tiempo, haciendo necesario un re-
entrenamiento periódico del perfil, lo que da lugar a la no disponibilidad del
sistema o la generación de falsas alarmas adicionales.
El sistema puede sufrir ataques durante la fase de aprendizaje, con lo que el
perfil de comportamiento contendrá un comportamiento intrusivo el cual no
será considerado anómalo
Antes de iniciar la instalación y configuración de Snort es importante conocer los
elementos que lo componen. Tal y como muestra la figura 3-1, los elementos que
componen el esquema básico de su arquitectura son:
• Motor de Detección. Analiza los paquetes en base a las reglas definidas para detectar
los ataques. 42 Diseño y optimización de un sistema de detección de intrusos híbrido
• Plugins de detección. Partes del software que son compilados con Snort y se usan para
modificar el motor de detección.
• Plugins de salida. Permiten definir qué, cómo y dónde se guardan las alertas y los
correspondientes paquetes de red que las generaron. Pueden ser archivos de texto,
bases de datos, servidor syslog, etc.
6. Arquitectura de Snort.