Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Tarea 2 - Sistema de Detección de Intrusos

    Cargado por

    Cristian Cano
    58 vistas12 páginas
    Intrusos

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Intrusos

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    58 vistas12 páginas

    Tarea 2 - Sistema de Detección de Intrusos

    Cargado por

    Cristian Cano
    Intrusos

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 12

    26-6-2022 Sistema de

    Detección de
    Intrusos

    Herbert Cristian Cano Girón


    SEGURIDAD DE REDES UNIR
    Asignatura Datos del alumno Fecha
    Apellidos: Cano Girón
    Seguridad en Redes 26 de junio del 2022
    Nombre: Herbert Cristian

    Índice
    I. Introducción ............................................................................................. 2
    II. Objetivos ................................................................................................. 2
    III. Liberación de Firewall para Corrida de Regalas de IDS .......................... 3
    A. Revisión de reglas configuradas en iptables ........................................ 3
    B. Liberar firewall a una política permisiva en iptables.............................. 3
    IV. Instalación IDS Snort ............................................................................... 4
    A. Actualización del sistema con el comando apt-get update ................... 4
    B. Upgrade del sistema Debian con el comando apt-get upgrade -y ........ 4
    C. Instalación IDS Snort con el commando apt-get install snort ................ 4
    V. Habilitación de Servidor FTP en dmzb .................................................... 5
    VI. Configuración Reglas IDS Snort .............................................................. 6
    A. Punto 1 – Definición de variables para IDS Snort ................................. 6
    B. Punto 2 – Regla de detección en paquetes HTTP ................................ 6
    C. Prueba Punto 2 regla de detección en paquetes HTML ....................... 7
    D. Punto 3 – Regla de detección de pass.html en cadena de texto .......... 7
    E. Prueba Punto 3 regla de pass.html en cadena de texto ....................... 8
    F. Punto 4 – Regla de Detección “Pass” en FTP y POP3 ......................... 8
    G. Prueba Punto 4 regla de detección “Pass” en FTP y POP3 ................. 9
    VII. Tabla de Reglas en IDS Snort ............................................................... 10
    VIII. Conclusión ............................................................................................ 11

    © Universidad Internacional de La Rioja (UNIR


    Asignatura Datos del alumno Fecha
    Apellidos: Cano Girón
    Seguridad en Redes 26 de junio del 2022
    Nombre: Herbert Cristian

    I. Introducción

    De la configuración de la infraestructura depende en gran medida la


    seguridad de una red, un elemento que provee gran ayuda a los administradores
    para la identificación de amenazas es el IDS (Intrusion Detection System), este
    sistema se configura a partir de reglas específicas para monitoreo de acuerdo a
    las necesidades de la compañía, por este medio se pueden detectar actividades
    sospechosas gracias a los alertamientos que brinda, es importante destacar que
    el sistema es tan bueno como las reglas de configuración que se implementan el
    él.
    Para que el proceso de seguridad sea eficaz, existe una combinación
    entre el equipo y el administrador, es importante realizar revisiones periódicas a
    los mensajes que estos equipos pueden mostrar, ya que de no revisarse
    oportunamente podría ser muy tarde para tomar acciones ante ataques. A
    continuación, mostraremos las reglas implementadas en el IDS SNORT, de
    acuerdo con el ejercicio de seguridad, para obtener los mensajes que indican
    prevención ante ataques.

    II. Objetivos

    Entender, probar y reforzar los conocimientos sobre la configuración de


    seguridad en redes utilizando un IDS Snort.

    Entender como el funcionamiento de las configuraciones de reglas puede


    ayudar a identificar y realizar acciones correctivas ante posibles ataques.

    Implementar un ambiente que garantiza tranquilidad a la administración


    mediante la configuración de reglas en IDS y como estas son eficaces en la
    identificación de eventos en la red.

    © Universidad Internacional de La Rioja (UNIR


    Asignatura Datos del alumno Fecha
    Apellidos: Cano Girón
    Seguridad en Redes 26 de junio del 2022
    Nombre: Herbert Cristian

    III. Liberación de Firewall para Corrida de Regalas de IDS

    A. Revisión de reglas configuradas en iptables

    B. Liberar firewall a una política permisiva en iptables

    © Universidad Internacional de La Rioja (UNIR


    Asignatura Datos del alumno Fecha
    Apellidos: Cano Girón
    Seguridad en Redes 26 de junio del 2022
    Nombre: Herbert Cristian

    IV. Instalación IDS Snort


    A. Actualización del sistema con el comando apt-get update

    B. Upgrade del sistema Debian con el comando apt-get upgrade -y

    C. Instalación IDS Snort con el commando apt-get install snort

    © Universidad Internacional de La Rioja (UNIR


    Asignatura Datos del alumno Fecha
    Apellidos: Cano Girón
    Seguridad en Redes 26 de junio del 2022
    Nombre: Herbert Cristian

    V. Habilitación de Servidor FTP en dmzb

    © Universidad Internacional de La Rioja (UNIR


    Asignatura Datos del alumno Fecha
    Apellidos: Cano Girón
    Seguridad en Redes 26 de junio del 2022
    Nombre: Herbert Cristian

    VI. Configuración Reglas IDS Snort

    A. Punto 1 – Definición de variables para IDS Snort

    Se creó archivo pruebas-snort.conf con las variables definidas, el


    ejercicio solicita tres variables, sin embargo, la tabla indica cuatro.

    B. Punto 2 – Regla de detección en paquetes HTTP

    © Universidad Internacional de La Rioja (UNIR


    Asignatura Datos del alumno Fecha
    Apellidos: Cano Girón
    Seguridad en Redes 26 de junio del 2022
    Nombre: Herbert Cristian

    C. Prueba Punto 2 regla de detección en paquetes HTML

    D. Punto 3 – Regla de detección de pass.html en cadena de texto

    © Universidad Internacional de La Rioja (UNIR


    Asignatura Datos del alumno Fecha
    Apellidos: Cano Girón
    Seguridad en Redes 26 de junio del 2022
    Nombre: Herbert Cristian

    E. Prueba Punto 3 regla de pass.html en cadena de texto

    F. Punto 4 – Regla de Detección “Pass” en FTP y POP3

    © Universidad Internacional de La Rioja (UNIR


    Asignatura Datos del alumno Fecha
    Apellidos: Cano Girón
    Seguridad en Redes 26 de junio del 2022
    Nombre: Herbert Cristian

    G. Prueba Punto 4 regla de detección “Pass” en FTP y POP3

    © Universidad Internacional de La Rioja (UNIR


    Asignatura Datos del alumno Fecha
    Apellidos: Cano Girón
    Seguridad en Redes 26 de junio del 2022
    Nombre: Herbert Cristian

    VII. Tabla de Reglas en IDS Snort

    Acción Regla
    ipvar WEB_SERV [10.5.1.10]
    1. Definir una variable para el servidor
    WEB (WEB_SERV), otra para la red
    ipvar RED_LOCAL [10.5.2.0/24]
    interna (RED_LOCAL), otra para la DMZ
    (RED_DMZ) y otra para todo lo que no
    ipvar RED_DMZ [10.5.1.0/24]
    sea ni red interna ni DMZ
    (RED_EXTERNA).
    ipvar RED_EXTERNA [10.5.0.0/24]
    2. Añadir una regla que detecte el patrón
    GET pass.html en la parte de datos de
    alert tcp any any -> $WEB_SERV
    todos los paquetes HTTP (puerto 80)
    80 (msg:"Se Detecto Un Ataque
    dirigidos al servidor WEB. Cuando se
    HTTP"; content:"GET pass.html";
    detecte el patrón indicado la regla
    nocase; sid:10002;)
    lanzará una alerta con el mensaje
    Detectado Ataque HTTP.
    3. Añadir una nueva regla que busque la
    cadena pass.html entre los caracteres 5 y
    alert tcp any any -> $WEB_SERV
    261 de la parte de datos de todos los
    80 (msg:"Se Detecto Un Intento de
    paquetes HTTP (puerto 80) dirigidos al
    Acceso al Fichero pass.html";
    servidor WEB. Cuando se detecte el
    content:"pass.html"; offset:5;
    patrón indicado la regla lanzará una
    depth:261; s$
    alerta con el mensaje Detectado Intento
    de Acceso al fichero pass.html.
    4. Añadir una regla de Snort que detecte
    el envío de contraseñas en claro
    (comando PASS) desde la red interna al
    alert tcp $RED_LOCAL any -> any
    conectarse a servicios de transferencia
    [21,110] (pcre:"/PASS/i";msg:"Se
    de ficheros (FTP) o de consulta de correo
    Detecto Uso de Contrasenas en
    (POP3) en máquinas de Internet. Cuando
    Claro";sid:100004)
    se detecte el patrón indicado la regla
    lanzará una alerta con el mensaje
    Detectado uso de contraseñas en claro.
    Tabla 1. Reglas Snort.

    © Universidad Internacional de La Rioja (UNIR


    Asignatura Datos del alumno Fecha
    Apellidos: Cano Girón
    Seguridad en Redes 26 de junio del 2022
    Nombre: Herbert Cristian

    VIII. Conclusión

    La efectividad en la detección de eventos de un IDS depende de las reglas


    configuradas y necesidades de la compañía, así como el grado de aprendizaje
    de su administrador, con el tiempo surgen nuevos eventos que deben ser
    atendidos y configurados, un proceso de evolución en la creación de nuevas
    reglas, que permita obtener en el tiempo los resultados deseados y ser una
    herramienta eficaz para la detección de amenazas

    © Universidad Internacional de La Rioja (UNIR

    También podría gustarte