UNIVERSIDAD FRANCISCO GAVIDIA

Docente: Carlos Ernesto Carbajal Cabrejo

Anteproyecto Implementación de IDS de red

Asignatura: Redes en Plataforma Linux

Grupo Clase: 01

Nombre de Grupo: TuxSV

% de
N° Carnet Apellidos, Nombres
Participación
1 MA102018 Martinez Aguilar, Josue Benjamin 100
2 GP100217 Gómez Posadas, Juan Daniel 100
3 LO100415 Lemus Orellana, Bryan Willian 100
4 LS100618 López Sánchez, German Emilio 100
5 LR100511 Landaverde Rivera, Julio Cesar 0

Fecha de Entrega: viernes 3 de febrero del 2023

OBJETIVOS

Objetivo General:

El objetivo del presente ante proyecto consiste en explorar e implementar una herramienta
que permita detectar actividad maliciosa y violaciones mediante el análisis del tráfico de la
red existente. La disponibilidad de este tipo de herramientas en una red privada/domestica
permitirá reducir el riesgo de incidentes, que podría optar por adoptar este tipo de
dispositivos para mejorar la Confidencialidad, Integridad y Disponibilidad de los activos

Objetivo Especifico:

 Explorar e Investigar los diferentes tipos de IDS que pueden interesar en el

contexto de una red privada
 Investigar la forma de implementar un sistema de IDS de bajo coste para una red
privada/doméstica y uso para el entorno
INTRODUCCION

En el mundo digital de hoy, la seguridad de la información y la protección de los sistemas

de información son desafíos críticos. Una de las medidas más importantes para garantizar
la seguridad de la red es la implementación de un sistema de detección de intrusos (IDS).
Un IDS es un sistema que monitorea el tráfico de red y alerta a los administradores de
seguridad sobre posibles intrusos o actividades malintencionadas. Sin embargo, a
menudo se encuentra que los administradores de seguridad tienen una carga de trabajo
significativa y pueden no estar disponibles para supervisar continuamente las alertas
generadas por el IDS.

Este trabajo de investigación tiene como objetivo abordar esta problemática al

implementar una configuración de alertas por correo electrónico en una IDS de red. De
esta manera, los administradores de seguridad recibirán alertas automatizadas por correo
electrónico en caso de posibles intrusiones o actividades malintencionadas, lo que les
permitirá responder de manera eficiente y efectiva. Al resolver esta necesidad, se espera
mejorar la seguridad de la red y proteger la información confidencial de los usuarios.
MARCO TEÓRICO

IDS de Red.
Es un sistema de detección y prevención de intrusos que de acuerdo a parámetros de
comportamiento de la red, rechaza o permite el tráfico de datos de información para
prevenir posibles amenazas o ataques a los cuales la organización se encuentra
expuesta, también muestra las estadísticas y realiza informes correspondientes en cuanto
a los reportes de las alertas de los eventos de seguridad generados y accesos no
autorizados, permitiendo así a los administradores del sistema de información realizar la
toma de decisiones adecuada para salvaguardar los activos de información de la
organización.
Función de un IDS: Determinar los riesgos, los cuales se encuentra expuesta nuestra red
mediante parámetro de comportamiento, gráfico y estadístico, para que el administrador
del sistema de información tome las medidas necesarias para prevenir las amenazas
existentes.

En el modo de prevención de intrusos analiza la información de la red y por medio de su

base de datos de amenazas actualizada, puede actuar rechazando las conexiones poco
seguras para evitar diferentes tipos de ataques que pueden afectar la disponibilidad,
integridad, o confidencialidad de la información.

Tipos:

 HIDS: Trabaja únicamente en el Equipo que se instala.

  NIDS: ES orientado a redes, opera modo Snifer.
 DIDS: Sistema de detección de intrusos de red donde distribuye los sensores en
diferentes nodos o equipos

Características:

 Debe ser autónomo.

 Tolerancia a fallos.
 Monitorearse así mismo.
 No ser una carga extra para el sistema.
 Determinar cambios de comportamiento.
 Adaptabilidad.
 Ser confiable.

Arquitectura de un IDS
La arquitectura de un IDS, está formada por:
 Recolección de datos.
 Reglas para detectar patrones anormales de seguridad en el sistema.
 Filtros para comparar los datos interceptados de la red o de Logs con los patrones
que contienen las reglas.
 Detectores de eventos anormales en el tráfico de red.
 Generador de informes y alarmas.
 SNORT: Es uno de los sistemas de detección y prevención de intrusos más
importantes y populares del momento, es software libre y puede almacenar
bitácoras en Mysql, proviene de un programa basado en Linux creado en 1998
llamado APE, el cual era muy limitado y básico, de ahí partió la base para el
desarrollo de este sistema de prevención y detección de intrusos. Snort es un
IDS/IPS, Rápido, Flexible, Confiable y potente, posee una gran cantidad de reglas
para Backdoors, Ataques de denegación de servicio, Ataques Web, Nmap, que se
actualizan mediante internet
 BASE: (Basic Analysis and Security Engine) Utilidad web basada en PHP cuyo
objetivo es realizar una gestión fácil, amigable, segura y cómoda, de las bases de
datos que generan diferentes tipos de Sistemas de prevención de intrusos,
Cortafuegos, y sistemas de monitoreo de red.
METODOLOGIA

Plan de trabajo:
 Investigación y análisis de requisitos: Identificar los requisitos y objetivos del
proyecto, incluyendo la infraestructura de red existente y los requisitos de
seguridad.
 Selección del IDS: Investigar y comparar diferentes soluciones de IDS disponibles
en el mercado y elegir el que mejor se adapte a los requisitos del proyecto.
 Configuración y pruebas: Configurar el IDS seleccionado y realizar pruebas en un
entorno de prueba controlado antes de implementarlo en la red en producción.
 Integración con el sistema de correo: Configurar el sistema de correo para recibir
alertas en caso de detectar una amenaza.
 Implementación en producción: Implementar el IDS y su integración con el sistema
de correo en la red en producción.
 Monitoreo y mantenimiento: Realizar un seguimiento continuo y mantener el IDS
actualizado y configurado adecuadamente.

Métodos y técnicas:

 Análisis de requisitos: Entrevistas con los stakeholders, revisión de documentos y

análisis de la infraestructura de red existente.
 Selección del IDS: Comparación de soluciones disponibles en el mercado y
evaluación de las características y funcionalidades de cada uno.
 Configuración y pruebas: Utilización de herramientas de prueba y monitoreo para
evaluar la configuración y el rendimiento del IDS.
 Integración con el sistema de correo: Configuración de reglas y alertas para recibir
notificaciones por correo en caso de detectar una amenaza.
 Implementación en producción: Instalación y configuración del IDS en la red en
producción.

Recursos necesarios:
  IDS: Software de detección de intrusiones seleccionado.
 Servidor de correo: Para recibir alertas y notificaciones.
 Infraestructura de red: Para implementar el IDS en la red en producción.
 Personal técnico: Con experiencia en seguridad de la información y configuración
de sistemas de detección de intrusiones.
 Presupuesto: Para adquirir el software de IDS y cubrir los costos de
implementación y mantenimiento.

Diseño de la investigación:
 Población: La población será la red de la organización que se va a proteger con el
IDS.
 Muestra: La muestra será la subred que se utilizará para realizar pruebas antes de
la implementación en red

Técnicas e instrumentos de recolección de datos:

 Análisis de logs: Análisis de los registros generados por el IDS y el sistema de
correo para identificar posibles intrusiones o amenazas.
 Encuestas y entrevistas: Realización de encuestas y entrevistas con los
stakeholders para recopilar información sobre los requisitos y expectativas del
proyecto.
 Monitoreo en tiempo real: Monitoreo continuo del rendimiento y la efectividad del
IDS.

Plan de análisis:
 Análisis de datos: Análisis de los registros generados por el IDS y el sistema de
correo para identificar posibles intrusiones o amenazas.
 Evaluación de la efectividad: Evaluación de la efectividad del IDS en la detección y
prevención de intrusiones y amenazas.
 Análisis de encuestas y entrevistas: Análisis de los resultados de las encuestas y
entrevistas para evaluar la satisfacción y expectativas de los stakeholders.
 Monitoreo continuo: Monitoreo continuo del rendimiento y la efectividad del IDS
para identificar posibles mejoras.
 Informe de resultados: Preparación de un informe con los resultados del análisis y
las conclusiones para presentar a los stakeholders.
RESULTADOS

Gracias a los resultados de nuestra investigación sabemos que los sistemas IDS son de
las herramientas más esenciales para la protección de la información interna que se
almacena y se mueve dentro de las empresas, ya que permite ver lo que está sucediendo
en la red en tiempo real y en base a la información recopilada, poder reconocer
modificaciones en el comportamiento de la red.

Al igual que sabemos gracias a los datos presentados por el INCIBE (Instituto de
Ciberseguridad Español) que los IDS que implementan una configuración de alertas por
correo electrónico son los IDS que presentan una mejora en la eficiencia y efectividad de
la detección de intrusiones en la red, comparándose con los sistemas IDS que no incluyen
esta configuración de alertas.

Además, una IDS con una configuración de alertas por correo electrónico puede ayudar a
reducir el número de falsas alarmas generadas por la IDS, ya que permite a los
administradores validar y evaluar las alertas antes de tomar medidas. Esto contribuye a
una detección más precisa de intrusiones y a una respuesta más eficiente ante una
amenaza de seguridad.
CONCLUSIONES

 De acuerdo con el análisis de los diferentes IDS en el mercado, concluimos que es

una de las mejores herramientas para mejorar la seguridad en una red
privada/domestica

 Linux en sus diferentes distribuciones, nos ofrece herramientas por un bajo costo,
que nos permiten aumentar y mantener la seguridad en nuestras organizaciones y
en un uso doméstico, estando a la vanguardia de nuevas tecnologías y a los retos
en cuanto a vulnerabilidades y amenazas que se presentan.
BIBLIOGRAFIA

 Anderson, R. (2003). Security engineering: A guide to building dependable

distributed systems. John Wiley & Sons.
 Tanenbaum, A. S., & Woodhull, A. (2017). Operating systems: Design and
implementation (Vol. 3). Pearson.
 Kumar, A., & Stavrou, A. (2015). Intrusion detection systems: A review. Journal of
Network and Computer Applications, 42, 1-14.
 Chhabra, H., & Kaur, S. (2018). A review on intrusion detection systems. Journal of
Network and Computer Applications, 113, 44-55.
 Alharbi, A. S., & Aljohani, N. (2015). Intrusion detection systems: A survey of
techniques, applications and challenges. Journal of Network and Computer
Applications, 57, 167-181.