ESCUELA INDUSTRIAL SUPERIOR

“PEDRO DOMINGO MURILLO”INFORMATICA INDUSTRIAL

sort

ESTUDIANTES:

DAIANA YOSELI GERONIMO COLQUE JHONY CRISTIAN MAMANI LIMACHI

DOCENTE:

ING. Hugo Choque

MATERIA:

GSR 600

IDSUn Sistema Snort como IPS (Intrusion Prevention System)es un sistema que permite prevenir las intrusiones. Se trata de un tipo de sistema que per- mite ir paso a paso m´as all´a de los IDS, ya que puede bloquear determinados tipos de ataques antes de que estos tengan ´exito.

Cuando Snort trabaja para la prevenci´on de intrusos como filtro integrado, todo el tr´afico debe pasar a trav´es del sistema con Snort antes de que llegue a la red interna.Si el tr´afico dispara una regla de Snort, se desechan los paquetes que la acti- varon.La prevenci´on de intrusiones puede impedir el acceso a los sistemas debido a falsos positivos, o ralentizar la red en caso de que haya m´as tr´afico del que el sensor de Snort fuese capaz de manejar.Para el modo integrado, tendremos que an˜adir enable-inline a la hora de hacer la configuraci´on.Si se dispone de un cortafuegos basado en iptables, podemos configurar Snort para modificar reglas din´amicamente.

Si pretendemos instalar un Snort como IPS, primero probaremos el servidor en modo IDS hasta haber ajustado bien la configuraci´on y haber reducido el nu´mero de falsos positivos.Una vez satisfechos con la configuraci´on, ya podemos dejar que Snort asuma su nuevo rol de sistema de prevencion. Un IDS es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema inform´atico o red inform´atica en busca de intentos de comprometer la seguridad de dicho sistema.

Los IDS buscan patrones previamente definidos que impliquen cualquier ti- po de actividad sospechosa o maliciosa sobre nuestra red o host.

Los IDS aportan a nuestra seguridad una capacidad de prevenci´on y de alerta anticipada ante cualquier actividad sospechosa. No est´an disen˜ados para de- tener un ataque, aunque s´ı pueden generar ciertos tipos de respuesta ante ´estos.

Los IDS aumentan la seguridad de nuestro sistema, vigilan el tr´afico de nues- tra red, examinan los paquetes analiz´andolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el an´alisis de nuestra red, barrido de puertos, etc.

Snort est´a disponible bajo licencia GPL, gratuito y funciona bajo platafor- mas Windows y UNIX/Linux. Es uno de los m´as usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, ası como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a trav´es de los distintos boletines de seguridad.

Este IDS implementa un lenguaje de creaci´on de reglas flexibles, potente y sencillo. Durante su instalaci´on ya nos provee de cientos de filtros o reglas pa- ra backdoor, ddos, finger, ftp, ataques web, CGI, escaneos NmaP.

Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu´e ocu- rre en nuestra red, todo nuestro tr´afico), registro de paquetes (permite guardar en un archivo los logs para su posterior an´alisis, un an´alisis offline) o como un IDS normal (en este caso NIDS).

Componentes de los IDS.

Estos se suelen componer de tres componentes fundamentales.Origen de la informaci´on:Desde donde se suministra la informaci´on usada para determinar donde un intruso ha intentado penetrar. Esos or ıgenes pueden pue- den ser de diferente nivel de monitoreo del sistema, de la red, del host o de las aplicaciones.An´alisis:Organiza los eventos derivados del origen de la informaci´on como intentos de intrusi´on o que ha tenido una intrusion efectiva.Respuesta:Acciones que el sistema puede tomar para detectar/eliminar las intrusiones. Estas acciones pueden ser activas (intervenciones au- tom´aticas) o pasivas (informes).

OBJETIVOSAprender sobre la instalaci´on y funcionamiento de Snort, crear reglas que nos ayuden a proteger nuestros sistemas de informaci´on ante posibles intrusio- nes.

Instalar Snort bajo la plataforma linux en Ubuntu 16.04 y ponerlo en fun- cionamiento.

Crear algunas reglas en el IDS Snort para observar el funcionamiento.

Configurar Snort para detectar cualquier tipo de intrusi´on por escaneo de puer- tos y analizar la intrusi´on por parte del software NMAPInterfaz eth0 que viene por defecto, damos aceptar.

Nuevamente solicitara la red que se desea monitorear.

En la instalaci´on preguntaran si se desea recibir las notificaciones de correo electr´onico. Se selecciona la opci´on que se desea y se pulsa la tecla enter.

Si confirmo que se desea recibir las notificaciones por correo electr´oni- co se solicitara que digite el correo electr´onico al cual se enviaran las notificaciones.

Despu´es preguntara el nu´mero m´ınimo de alertas que deben existir para enviar el informe por correo electr´onico. Se debe pulsar aceptar para continuar.

La consola mostrara que snort ha terminado de configurar y que su reini- cio para aplicar los cambios es correcto.

Instalacion de snort Intalaci´on de snort por medio de consola

La consola pedir´a una configuraci´on para la instalaci´on del software. Se debe digitar

la tecla s y presionar enter para continuarEn el proceso de instalaci´on snort solicita la direcci´on IP o el conjunto de las direcciones IP que se desea monitorear.

Se realiza una reconfiguraci´on del snort, este se hace para configurar unos para metros adicionales aplicando el siguiente comando.

Se configura para que esnort arranque desde el inicio.

Se realiza un escaneo general de la red para confirmar el funcionamiento correcto de snort, esto se realiza por medio del comando v el cual per- mite que snort solo muestre un resumen de cada notificaci´on y con el par´ametro i se indica la interfaz de red que se va a monitorear, en este caso la eth0.

Snort se iniciara y mostrara en la pantalla las diferentes notificaciones para las diferentes novedades que se presenten durante la ejecuci´on del sofware.

Se pulsa control-c para terminar el an´alisis y snort mostrara un resumen de la monitorizaci´on.

Snort permite configurara nuestras propias reglas, las cuales se incluir´an dentro de la configuraci´on de snort para que muestre notificaciones cuan- do estas reglas sean violadas.Para ello ingresamos al directorio donde est´an almacenados los archivos que almacenan las reglas predefinidas por snort. /etc/snort/rules

Se crea nuestro propio archivo para almacenar nuestras reglas el cual debe tener una extensi´on .rules

Redactamos nuestras propias reglas. En este caso se defini´o reglas para detectar escaneos realizados por el software nmapSe ubica nuevamente la ruta del archivo de configuraci´on de snort para incluir nuestro archivo de reglas en su configuraci´on.

se ubica en el final del archivo el segmento donde snort define los archivos de reglas a continuaci´on se incluye el archivo de reglas que se ha creado.

se realiza un escaneo por medio de nmap desde Windows para revisar que la configuraci´on de snort est´a funcionando. Para ello se debe iniciar el snort por medio del comando: snort -c snort.conf A console i eth0.

Se le est´a diciendo a snort que se inicie cargando el archivo de configu- raci´on y muestre las notificaciones en la consola para las novedades que se presenten en la interfaz eth0. Se debe pulsar enter para iniciar snort.

Snort queda en espera de sucesos que se presenten para mostrar en pan- talla.

En windows realizamos un escaneo con nmap a la m´aquina de Ubun- tu donde se configura el snort a trav´es de la IP que en este caso es 192.168.1.7.

La direcci´on IP de la maquina Windows donde se realiza el escaneo es 192.168.1.2.

Se revisa la consola de Ubuntu donde se inici´o snort para verificar si se notifico acerca del escaneo con nmap desde Windows.

En los cuadros marcados se observa que detecto el escaneo, el primero con las reglas que se define y el segundo con las reglas por defecto de snort. Igualmente se visualiza la ip que realizo el escaneo 192.168.1.2 que corresponde a la ip de la m´aquina de Window

RECOMENDACIONESMuchos incidentes de seguridad ocurren debido a que los administradores no implementan medidas que contabilicen ataques, o que reconozcan riesgos potenciales como hackers o personal interno infiltrado. En este sentido se re- comienda enterarse de la existencia de sistemas como Snort que podr ıan ser de gran ayuda a la hora de detectar amenazas en la red.

Los Routers proveen un gran nu´mero de servicios de red que permite a los usuarios mantener procesos y conectividad de red, algunos de estos servicios podrıan ser restringidos o deshabilitados para prevenir posibles problemas de seguridad

CONCLUSIONESAprendimos a instalar, configurar y crear reglas en Snort instalado en Ubuntu 16.04, el cual es una potente herramienta de administraci´on de red.

Es de gran ayuda contar con sistemas como Snort para mantener la seguri- dad en una red, pero es importante aclarar que los riesgos de seguridad no se pueden eliminar o prevenir completamente.

Encontrar amenazas de seguridad es importante para eliminarlas y de esta manera que los diferentes procesos que se llevan en las organizaciones se reali- cen o sean llevados de la mejor manera, en este sentido la confiabilidad se incrementa y se obtiene as´ı margenes de ´exito altos.