Asignatura Datos del alumno Fecha

Hernández Peña 10 de enero de
Seguridad en Redes
Alejandro 2022

Sistema de detección de intrusos

Autor: Alejandro Hernández Peña

Asignatura: Seguridad en Redes

Profesor de Asignatura: José Alfredo Torres Solano

Institución:
Institución:  UNIR México | Universidad Internacional de La Rioja en México

 
Ciudad de México 10 enero 2022
   R
   I
   N
   U
   a
   j
   o
   i
   R
   a
   L
   e
   a
   n
   o
   i
   c
   a
   n
   r
   e
   t
   n
   I 
   a
   i
   s
   r
   e
   v
   i
   n
   U Tema 1. Actividades 
Actividades  1
 

Asignatura Datos del alumno Fecha

Hernández Peña 10 de enero de
Seguridad en Redes
Alejandro 2022

Introducción
Objetivos

Reforzar los conocimientos del alumno relativos a mecanismos de defensa de redes y el

uso de sistemas de detección de intrusos.

Complementos a la documentación
Presentación y ajuste de la fecha del entorno de virtualización según la guía

“COMPLEMENTO A LOS REQUERIMIENTOS PARA LA DOCUMENTACIÓN DE LAS

ACCIONES REALIZADAS
REALIZADAS PARA EL CUMPLIMIENTO DE LAS ACTIVIDADES DEFINIDAS PARA
LA MATERIA”. 

Configuración del tiempo según requerimiento

 
   R
   I
   N
   U
   a
   j
   o
   i
   R
   a
   L
   e
   a
   n
   o
   i
   c
   a
   n
   r
   e
   t
   n
   I 
   a
   i
   s
   r
   e
   v
   i
   n
   U Tema 1. Actividades 
Actividades  2
 

Asignatura Datos del alumno Fecha

Hernández Peña 10 de enero de
Seguridad en Redes
Alejandro 2022

Configuración del Prompt

 
   R
   I
   N
   U
   a
   j
   o
   i
   R
   a
   L
   e
   a
   n
   o
   i
   c
   a
   n
   r
   e
   t
   n
   I
 
   a
   i
   s
   r
   e
   v
   i
   n
   U Tema 1. Actividades 
Actividades  3
 

Asignatura Datos del alumno Fecha

Hernández Peña 10 de enero de
Seguridad en Redes
Alejandro 2022

Desarrollo
Preparación del entorno: en el entorno es el mismo que el utilizado en la actividad anterior
«Mecanismo de defensa en redes». Ante cualquier duda, se recomienda revisar el apartado
«Preparación del Entorno» de dicha actividad.

Example ha quedado muy satisfecha con tu último trabajo y ha decidido llamarte de nuevo. Parece
que tu recomendación sobre que un cortafuegos no es suficiente por sí solo hoy en día para
 proteger una red adecuadamente no ha caído en saco roto. En Example ha gustado la idea de

Defensa en Profundidad  que
 que les explicaste y han decidido empezar a desarrollarla añadiendo un
sistema de detección de intrusos (IDS) a su arquitectura. La solución escogida ha sido Snort.

Tras una reunión donde te explican todos los detalles dibujas un gráfico de la arquitectura. No ha
cambiado respecto a tu último trabajo para ellos.

Figura 3. Gráfico de la arquitectura a proteger.

Un cortafuegos FW con tres interfaces interconecta tres segmentos de red: la red interna de la
 
   R
   I empresa, la DMZ y el acceso a Internet. Dentro de la DMZ se encuentra un servidor WEB ( DMZA).
   N
   U
   a
   j acceso a uno de los equipos de la red local ( INTA) y a otro en Internet (EXTA) que
Además, tienes acceso
   o
   i
   R
   a
   L te permite tener una visión de la red desde el exterior.
   e
   a
   n
   o
   i
   c
   a
   n Decides que la mejor localización para el IDS es el cortafuegos FW y te pones manos a la obra:
   r
   e
   t
   n
   I
 
   a
   i
   s
   r
   e
   v
   i
   n
   U Tema 1. Actividades 
Actividades  4
 

Asignatura Datos del alumno Fecha

Hernández Peña 10 de enero de
Seguridad en Redes
Alejandro 2022

1.  Para facilitar la creación de reglas y mejorar su entendimiento decides crear algunas
variables. Defines una variable para la red local (RED_LOCAL), otra para la DMZ (RED_DMZ)
y otra para todo lo que no sea ni red local ni DMZ (RED_EXTERNA). 
2.  En Example están preocupados porque creen que alguien ha estado atacando su servidor WEB
e intentando descargarse el fichero pass.html . Decides añadir una regla que detecte el patrón
GET pass.html   en la parte de datos de todos los paquetes HTTP (puerto 80) dirigidos al

servidor WEB. Cuando se detecte el patrón indicado la regla lanzará una alerta con el
mensaje Detectado Ataque HTTP .
3.  Tras algunas pruebas te das cuenta de que tu regla anterior solo funcionará si la descarga del
fichero indicado se lleva a cabo sin incluir una ruta previa. Decides añadir una nueva regla que
busque la cadena  pass.html   entre
entre los caracteres 5 y 261 de la parte de datos de todos los
paquetes HTTP (puerto 80) dirigidos al servidor WEB. Cuando se detecte el patrón indicado

la regla lanzará una alerta con el mensaje Detectado Intento de Acceso al fichero pass.html . 
4.  El administrador de red de Example está preocupado porque parece que algunos trabajadores
están utilizando servicios no protegidos en Internet que podrían exponer sus contraseñas.
Decides añadir una regla de Snort  que
  que detecte el envío de contraseñas en claro (comando
PASS) desde la red local al conectarse a servicios de transferencia de ficheros (FTP) o de
consulta de correo (POP3) en máquinas de Internet. Cuando se detecte el patrón indicado la
regla lanzará una alerta con el mensaje Detectado uso de contraseñas en claro. 

Entrega y extensión de la actividad

act ividad

Ya has configurado el IDS con las reglas adecuadas, has comprobado que todo sea correcto y crees
que has terminado el trabajo…, pero no es así. El responsable de seguridad de Example es de la

vieja escuela y quiere todas las reglas documentadas. Además, es muy quisquilloso y solo aceptará
la documentación si se la entregas en un formato concreto. Debes rellenar la tabla 1 solo con las

  reglas de Snort  que
 que deberían aplicarse para llevar a cabo las acciones solicitadas
solicitadas,, generar un PDF
   R
   I
   N y hacer entrega de este a través de la plataforma facilitada dentr o del plazo establecido… ¡Suerte! 
   U
   a
   j
   o
   i
   R
   a
   L
   e
   a
   n
   o
   i
   c
   a
   n
   r
   e
   t
   n
   I 
   a
   i
   s
   r
   e
   v
   i
   n
   U Tema 1. Actividades 
Actividades  5
 

Asignatura Datos del alumno Fecha

Hernández Peña 10 de enero de
Seguridad en Redes
Alejandro 2022

Tabla de configuraciones
Acción Regla
1. Definir una variable para el servidor •   ipvar WEB_SERV [10.5.1.10]
WEB (WEB_SERV), otra para la red
•   ipvar RED_LOCAL [10.5.2.0/24]
interna (RED_LOCAL), otra para la DMZ
(RED_DMZ) y otra para todo lo que no
•   ipvar RED_DMZ [10.5.1.0/24]
sea ni red interna ni DMZ •   ipvar RED_EXTERNA
RED_EXTERNA
(RED_EXTERNA). [!$RED_LOCAL,!$RED_DMZ]  
2. Añadir una regla que detecte el patrón
GET pass.html en la parte de datos de
todos los paquetes HTTP (puerto 80) •   alert tcp any any -> 10.5.1.10  80
dirigidos al servidor WEB. Cuando se (content: ”GET pass.html”;msg:”  Se
detecte el patrón indicado la regla ha detectado ataque HTTP”; sid:1;)
lanzará una alerta con el mensaje
Detectado Ataque HTTP.
3. Añadir una nueva regla que busque la
cadena pass.html entre los caracteres 5 y
261 de la parte de datos de todos los •
  alert tep any any -> 10.5.1.10 80 (msg
paquetes HTTP (puerto 80) dirigidos al “Detectado Intento de Acceso al fichero
servidor WEB. Cuando se detecte el pass”;
patrón indicado la regla lanzará una content:”pass.html”;offaet:5;depth:261;)
alerta con el mensaje Detectado Intento
de Acceso al fichero pass.html.
4. Añadir una regla de Snort que detecte
el envío de contraseñas en claro
(comando PASS) desde la red interna al
•   alert tcp $RED_LOCAL any ->
conectarse a servicios de transferencia
$RED_EXTERNA [21.110]
de ficheros (FTP) o de consulta de correo
corr eo
(msg:”Detectado uso de contraseñas en
(POP3) en máquinas de Internet. Cuando
claro”;content:”PASS”;)
se detecte el patrón indicado la regla
lanzará una alerta con el mensaje
Detectado uso de contraseñas en claro.

 
   R
   I
   N
   U
   a
   j
   o
   i
   R
   a
   L
   e
   a
   n
   o
   i
   c
   a
   n
   r
   e
   t
   n
   I 
   a
   i
   s
   r
   e
   v
   i
   n
   U Tema 1. Actividades 
Actividades  6
 

Asignatura Datos del alumno Fecha

Hernández Peña 10 de enero de
Seguridad en Redes
Alejandro 2022

Referencias
Carlos Perez & David Perez. (2020-09-04). A tool for teaching and learning about
systems, networks and security. 2020-09-04, de informatica Sitio web:
https://informati
https://informatica.uv.es/~carlos/docen
ca.uv.es/~carlos/docencia/netinvm/index.htm
cia/netinvm/index.htmll 

 
   R
   I
   N
   U
   a
   j
   o
   i
   R
   a
   L
   e
   a
   n
   o
   i
   c
   a
   n
   r
   e
   t
   n
   I 
   a
   i
   s
   r
   e
   v
   i
   n
   U Tema 1. Actividades 
Actividades  7