Sistema de detección de intrusos
1 recomendación167 vistas
El IDS (Sistema de detección de intrusos) mejora la seguridad al auditar y vigilar los sistemas, detectando posibles ataques e informando sobre ellos. La principal diferencia con las IPS es que las IDS solo informan mientras que las IPS también toman acciones para frenar ataques. Ambos sistemas escuchan el tráfico de red y revisan patrones sospechosos para generar reportes. Suricata es un popular software de IDS de código abierto que se puede instalar y configurar fácilmente en Linux.
Sistema de detección de intrusos
- 1. SISTEMA DE DETECCIÓN DE INTRUSOS (IDS) Programa de detección de accesos no autorizados a un computador o red. Suele poseer sensores virtuales (por ejemplo, sniffer de red) con lo que el núcleo IDS puede obtener datos externos (generalmente sobre el tráfico de red), El IDS detecta gracias a estos sensores. *sniffer: Analizador de protocolos, es un programa que captura tramas de una red de computadoras FUNCIONAMIENTO: - Se basa en el análisis detallado del tráfico de red, el IDS no solo analiza qué tipo de tráfico es, sino que también revisa su contenido y comportamiento. - Esta herramienta normalmente está integrada en el firewall. - El IDS dispone de una base de datos de ataques conocidos. TIPOS DE IDS - HIDS: Actúa cuando los intrusos dejan “rastro” durante el intento de ataque a un equipo, estas “rastros” son detectados por el HIDS y se genera un reporte. - NIDS: Está basado en la red, detectando ataques a todo el segmento de red. Su interfaz debe funcionar rápidamente capturando todo el tráfico de red. IDS VS IPS Las IPS protege las redes de manera proactiva mientras que las IDS protege las redes de manera reactiva. Es decir, en las IPS, el sensor detecta una posible intrusión, almacena la información y manda una señal de alerta que se almacena en una base de daos. Las IDS responde a la actividad sospechosa reprogramando el firewall para que bloquee el tráfico que proviene de la red del atacante. IDS VS FIREWALL NO, LOS MEJORES ALIDOS SI El firewall generalmente examina exteriormente por intrusiones para evitar que estas ocurran, limita el acceso entre redes para prevenir la
- 2. intrusión, pero no determina si el ataque puede estar ocurriendo internamente. Las IDS evalúa la intrusión cuando ésta actúa y genera una alarma, se ´puede convertir en una herramienta muy poderosa si es que se une la inteligencia del IDS con el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar paquetes y puedan ser bloqueados antes de penetrar a una red IPS (Sistema de prevención de intrusos) Software que ejerce el control de acceso en una red informática para proteger los sistemas computacionales de ataques y abusos. Presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de accesos basados en los contenidos de tráfico, en lugar de las direcciones IP o puertos. FUNCIONAMIENTO: - Monitorea el tráfico de red y/o actividades del sistema. No solo identifica el problema, sino intenta detener esta actividad (principal diferencia con las IDS) - Puede alertar al administrador ante de detección de alguna actividad maliciosa (igual que las IDS) pero es de actividad exclusiva de las IPS establecer políticas de seguridad ante un ataque. Es decir, las IPS protege las redes de manera proactiva mientras que las IDS protege las redes de manera reactiva. - Graba información histórica y genera reportes. CLASIFICACIÓN - Basado en red LAN (NIPS): Monitorean la red en busca de tráfico de red sospechoso al analizar la actividad del protocolo LAN - Basados en red Wireless (WIPS): Lo mismo, pero al nivel de protocolo inalámbrico. - Análisis en comportamiento de red (NBA): Identifican amenazas de tráfico inusual (como las violaciones de políticas de red)
- 3. - Basados en host (HIPS): Se efectúa mediante la instalación de paquetes de software que monitorean un host único en busca de una actividad sospechosa. IDS – IPS EN IPTABLES En Linux, mediante las Iptables se pueden generar políticas (reglas), en este caso, las Iptables hacen filtración de paquetes. IDS e IPS son términos demasiados amplios para usar en este contexto. Algunas (minoría) funcionalidades de Iptables redundan en las funciones de IDS e IPS, la mayoría de las funcionalidades de IDS o IPS están fuera de lo que Iptables puede hacer. RESUMEN EL IDS (Sistema de detección de intrusos), mejora la capacidad de auditoría y vigilancia de la seguridad informática de los sistemas de los clientes. La principal diferencia con las IPS es que las IDS informan, mientras las IPS toma acciones para frenar el posible ataque. Las funcionalidades de esos sistemas de seguridad son similares, primero cambia el modo de funcionamiento de la NIC en modo rápido (promiscuo) para escuchar todo el tráfico de red, luego revisa éste tráfico en busca de patrones de bits ya conocidos como sospechosos y generan un reporte relacionado a la detección.
- 4. Los softwares más conocidos en el mercado tenemos: - SNORT (Sourcefire): Mayor aplicación mundial - OSSEC (Open Source Security) - SURICATA (Distribución Linux) - EASYIDS (Seguridad de red: CentOS, MYSQL, NTOP, BASE) - SMOOTH-SEC (Distribución Linux) - PATRIOT NG (Para Windows) - TRIPWIRE (IDS basado en host más aclamado para Linux) - LIDS (Linux Instrusion Detection System): Es un parche del kernel, instrumento de administración, vigila la modificación de ficheros, incluso en del superusuario (modo suroot) APLICACIÓN EN LINUX SOFTWARE: SURICATA - Procesa gran cantidad de paquetes de manera simultánea - Aparte de los protocolos IP, TCP, UDP e ICMP, tiene palabras claves para otros protocolos como FTP, HTTP, TLS, SMB. De esta forma, se puede escribir reglas independientemente del protocolo que se utilice, ésta es detectada automáticamente. - Los registros se almacenan en /vat/log/suricata/stat.log - Vuelca todas las peticiones HTTP en el archivo /var/log/http.log - Soporta redes IPv6
- 5. INSTALACIÓN Y CONFIGURACIÓN DE SURICATA Instalaremos el Suricata Las reglas de Suricata se guardan por defecto en el archivo: /etc/suricata/rules/ El RunMode predeterminado utilizado por Suricata es autofp (Autoequilibrio). Y ejecutaremos Suricata
- 6. BIBLIOGRAFÍA Suricata: Instalación y configuración en Linux http://www.linux-party.com/26-hackers/9548-como-instalar- suricata-sistema-de-deteccion-de-intrusos-en-linux Miguel Pajuelo Villanueva Agosto 2017