Sistema de deteccin de intrusos (IDS)

JUAN CAMILO RESTREPO VANESSA GOMEZ DEOSSA JUAN CAMILO MUOZ CRISTIAN CAMILO SEPULVEDA ALENADER JAVIER HENAO MARVIN SANTIAGO

ADMINISTRACION DE REDES DE COMPUTADORES

INSTRUCTOR: FERNADO QUINTERO

Servicio Nacional de Aprendizaje SENA Regional Antioquia Centro de Servicios y Gestin Empresarial. 2010

1

INDICIntroduccin Instalacin Configuracin Administracin y prueba Conclusiones 3 4 8 10 21

2

introduccinLa implementacin de un sistema que alerte posibles una posible amenaza de intrusin y asi poder detectar aquellas personas que desean hacerle dao a nuestra organisacion es importante en el entorno de nuestra entidad por que al pasar de el tiempo y de la tecnologa hay un posible grado de riesgo de que un posible intruso acceda a nuestra organizacin y as pueda afectar la integridad disponibilidad de nuestra informacin por esta razn la entidad UNIARIES a tomado la decisin de aplicar reglas segn las polticas implantadas en nuestra entidad.

3

IDS sistema de deteccin de intrusos instalacinEl primer paso que vamos a realizar para implementar nuestro sistema de deteccin de intrusos es utilizar el cd o la imagen de zentyal. Escogemos el lenguaje de instalacin.

Como nuestro idioma es espaol puede estar en nuestra zona que es colombia entonces

elegimos nuestra regin.

4

Probamos nuestro teclado.

Escogemos nuestro pas para as escoger el origen de nuestro teclado.

Escogemos la distribucin de nuestro teclado es importante escoger la distribucin correspondiente a nuestra zona.

5

Esperamos a que analice nuestro cd.

Le damos un nombre a nuestra maquina en nuestro caso vamos a dar el nombre de nuestro grupo de trabajo.

Como nosotros montamos la maquina del ids en una maquina virtual dejamos el particionado igual a como lo configuramos.

En la siguiente imagen lo que nos tocara configurar es el nombre de usuario y su contrasea es importante resaltar que debe ser una contrasea la cual sea fcil para nosotros recordar pues de esta depende que podamos iniciar sesin en nuestro equipo. El usuario que nosotros escogimos fue el mas apropiado el cual fue el nombre de nuestra entidad 6

=aries

y la contrasea dimos una contrasea bsica sin ningn carcter pues es solo de practica

como escogimos una contrasea dbil y sin caracteres nos aparecer el siguiente pantallazo lo cual nos pide que confirmemos que queremos esta contrasea.

Ya por ultimo reiniciamos pues ya esta lista nuestro proceso de instalacin.

7

Configuraronvamos a abrir nuestra herramienta de trabajo en el explorador con la direcion local o con localhost. Y nos pedir ingresar usuario y contrasea.

vamos a instalar nuestro UTM que es una suite de aplicaciones que sern esenciales para la implementacin de nuestro sistema

podemos ver los componentes del UTM

8

esto no es lo nico que podemos instalar en nuestro equipo servidor pues tambin hay opciones como recursos bsicos de oficina. Buscamos y seleccionamos los componentes que vamos a instalar en nuestro equipo.

Damos click en install y nos saldr una advertencia de si estamos de acuerdo en instalar lo que seleccionamos.

Vemos que empieza la descarga y solo nos queda esperar unos minutos para que instale los componentes.

9

Esperamos y configuramos la interfaz de eth0 podemos darle una direccin de red esttica o solo le podemos dar una configuracin de ip dinmica escogiendo la opcin dhcp.

AdministracionA continuacin podemos ver en la margen izquierda de la imagen todo el menu para el correcto funcionamiento de nuestro sistema solo configuramos e instalamos lo que necesitemos en este caso solo vamos a configurar la red como lo son las puertas de enlace las direcciones ip etc.

10

En el siguiente paso que vamos a realizar vamos a especificar las direcciones de nuestra puerta de enlace esto se hace para que a la hora de ver la red tome en cuenta todo lo que entra y sale de ella.

Las direcciones que se agregaron anteriormente corresponden a las puertas de enlace de cada uno de las redes que tenemos podemos ver que le dimos un nombre el cual es el nombre de la red, estos nombre son LAN: red de rea local DMZ: zona desmilitarizada donde tendremos algunos servicios y la WAN. Observamos el estado de los mdulos para ver cual tenemos activo y si no lo activamos.

11

Vamos ingresar en sistema y configuramos el usuario y la contrasea pues si deseamos cambiar las que tenemos en el momento que iniciamos la instalacin. Tambin podemos seleccionar el idioma.

En la configuracin de red vamos especificar nuestras tres interfaces por la cual el ids va a escuchar ejemplo las interfaces por la que el ids va a tener encenta el trafico.

12

Estas interfaces corresponden a las interfaces de la red ejemplo la LAN damos una direccin ip correspondiente a esta podemos darcela por dhcp o simplemente esttica.

Vamos a ver la configuracin de los registros en este vamos a dar el tiempo que tenemos para que caduque o limpie los registros. Pudiendo seleccionar as por das por meses etc.

13

ejemplo si configuramos el ids podemos decidir cuando queremos que estos datos se purguen o se limpien todos los registros de lo que el ids va almacenando.

Como muchos de nosotros sabemos podemos configurar un ids para que todas los registros o todas las alertas lleguen a un administrador esto se hace para que la persona encargada de la seguridad en la empresa este en conocimiento de lo que esta pasando en ella.

Seleccionamos la opcin de correo electrnico. Y configuramos las opciones que all nos dan como lo es el emisor y el comentario que le queremos dar a este.

14

Ingresamos desde la opcin del men IDS. Podemos ver las interfaces que estan destinadas para este y tambin hay una pestaa donde podemos ver las reglas estas reglas las veremos mas adelante.

Las reglas que este tiene las podemos configurar a nuestro gusto. La entidad UNIARIES se enfoco en tomar en cuenta segn sus polticas tomar en cuenta todo para que los usuarios que estn en constante uso a ella cumplan las polticas anteriormente mencionadas. Una de ellas es el ingreso a sistemas de mensajera instantnea o a sitios pornogrficos tambin el escaneo de puertos realizado por personas ajenas a la entidad o el uso de icmp.

Activamos las dems reglas unas de ellas son sobre el uso de shellcode y tambin del uso de exploit ataques de DoS 15

16

ahora que ya tenemos conocimiento sobre esta herramienta y un poco de su configuracin y reglas vamos a dedicar un espacio corto a hacer las diferentes pruebas hacia este probando cada regla que le implementamos uno de estos es que genere las alertas de icmp del chat etc.

17

hacemos ping entre maquinas locales en nuestra red privada que se supone que ya estn configuradas.

Podemos observar las diferente alarmas que fueron capturadas inmediata mente cuando tratamos de hacer ping.

18

Otro que puede ser considerado como un ataque es el es nmap pues nmap es un scaner de red.Miramos los registros

19

vamos a intentar ingresar a un servicio de comunicacin instantnea y miramos haber si nos genera algn reporte pues as fue la configuraron segn sus reglas.

En los registros podemos observar por que puerto se conecto este usuario a que horas etc esto nos quiere decir que nuestro ids esta funcionando perfectamente tanto en nuestras redes locales como en la gran WAN. Nos muestra en la imagen los puertos por los que estn conectados el messenger.

20

Conclusin Damos por concluido con esta implementacin que el sistema de deteccin de intrusos es importante para darnos cuenta de todos los sucesos que ocurren en la nuestra red, mediante la generacin de alarmas segn las reglas que implementamos. Muchas de estas alarmas pueden ser falsas es decir puede generar falsos positivos pero siempre es importante analizar todo lo que nos alerte nuestro sistema para la entidad UNIARIES y para su grupo de trabajo fue muy productivo la implementacin de este sistema porque as se llega a un grado de aprendizaje al que se adquieren conocimientos muy importantes.

21