Docente
Mariano Romero
Ingeniero de Sistemas
Distancia UNAD.
3
Nota de aceptación
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
4
CONTENIDO
pág
INTRODUCCIÓN ...................................................................................................11
1. EL PROBLEMA DE INVESTIGACIÓN ..........................................................13
1.1. DESCRIPCIÓN .........................................................................................13
1.2. FORMULACIÓN DEL PROBLEMA. ..........................................................14
1.3. SUBPREGUNTAS ....................................................................................14
2. OBJETIVOS ..................................................................................................15
2.1. OBJETIVO GENERAL ..............................................................................15
2.2. OBJETIVOS ESPECÍFICOS .....................................................................15
2.3. JUSTIFICACIÓN .......................................................................................16
2.4. ALCANCE Y DELIMITACIÓN DEL PROYECTO ......................................18
3. MARCO DE REFERENCIA ...........................................................................19
3.1. ANTECEDENTES DEL PROBLEMA ........................................................19
3.2. MARCO TEÓRICO CONCEPTUAL ..........................................................21
3.2.1. Arquitectura genérica de un IDS.. .............................................................21
3.2.2. Tipos de IDS en función del enfoque.. ......................................................22
3.2.3. Tipos de IDS en función del origen de los datos. ......................................23
3.2.4. Tipos de IDS en función de su estructura.. ...............................................24
3.2.5. Tipos de IDS en Función de su Comportamiento.. ...................................25
3.2.6. Introducción a Snort.. ................................................................................26
3.2.7. Características técnicas. ...........................................................................27
3.2.8. Arquitectura de Snort. ...............................................................................27
3.2.9. Modos de alerta de Snort. .........................................................................29
3.2.10. Pasos configuración Snort. ....................................................................30
3.2.11. Creación de reglas de detección. . ........................................................33
3.2.12. Activo.. ...................................................................................................35
3.2.13. Amenaza.. .............................................................................................35
3.2.14. Ids.. ........................................................................................................35
3.2.15. Snort.. ....................................................................................................35
5
3.2.16. Mysql.. ...................................................................................................36
3.2.17. Fichero...................................................................................................36
3.2.18. Tcp.........................................................................................................36
3.2.19. Logs.. .....................................................................................................36
3.2.20. Puertos de red. ......................................................................................36
3.2.21. Linux.. ....................................................................................................36
3.2.22. Ip............................................................................................................36
3.2.23. Sniffer.. ..................................................................................................36
3.3. MARCO DE CONTEXTO ..........................................................................37
3.4. MARCO LEGAL ........................................................................................38
3.4.1. Ley 1273 de 2009. ....................................................................................38
3.4.2. Ley Estatutaria 1266 del 31 de diciembre de 2008, art 3°, lit. e, f, g y h y
Sentencia C-1011/08. ............................................................................................39
3.4.3. Convenio sobre la ciberdelincuencia Budapest.. ......................................40
3.4.4. Ley 527 de 1999. ......................................................................................40
3.4.5. Ley 734 de 2002. ......................................................................................40
3.4.6. Ley 842 de 2003. ......................................................................................40
3.4.7. Ley 1581 de 2012. ....................................................................................40
3.4.8. Ley 1712 de 2014. ....................................................................................40
4. METODOLOGÍA ...........................................................................................41
4.1. TIPO DE INVESTIGACIÓN ......................................................................41
4.2. DISEÑO DE INVESTIGACIÓN .................................................................41
4.3. POBLACIÓN .............................................................................................41
4.4. MUESTRA ................................................................................................41
4.5. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN
43
4.5.1. Técnica de recolección de datos...............................................................43
4.5.2. Instrumentos de recolección de datos.. ....................................................43
4.6. TECNICA DE PROCESAMIENTO DE DATOS.........................................43
5. RESULTADOS ..............................................................................................46
5.1. IDENTIFICACION Y CLASIFICACION DE ACTIVOS CRITICOS DE LA
ORGANIZACIÓN. ..................................................................................................46
5.2. EVALUACION DEL NIVEL DE SEGURIDAD DE LOS ACTIVOS
INFORMATICOS CRITICOS DE LA ORGANIZACIÓN..........................................49
6
5.3. DESCRIPCION DE LAS FORMAS EN QUE TRABAJA SNORT (MODO
SNIFFER, PACKET LOGGER, MODO NIDS O MODO INLINE) COMO SISTEMA
DE DETECCIÓN DE INTRUSOS EN UNA ORGANIZACIÓN. ..............................50
5.3.1. Modo Sniffer..............................................................................................50
5.3.2. Modo Packet Logger.. ...............................................................................51
5.3.3. Modo Nids.................................................................................................51
5.4. DISEÑO DE LA INFRAESTRUCTURA NECESARIA PARA EL BUEN
FUNCIONAMIENTO DEL SISTEMA DE DETECCIÓN DE INTRUSOS – IDS
SNORT EN LA UNISINU. ......................................................................................52
5.4.1. Software.. ..................................................................................................52
5.4.2. Hardware. .................................................................................................53
5.4.3. Descripción diagrama de red.. ..................................................................54
6. DISCUSIÓN DE RESULTADOS ...................................................................58
7. CONCLUSIONES .........................................................................................60
7. RECOMENDACIONES ......................................................................................61
8. BIBLIOGRAFÍA ..................................................................................................62
7
LISTA DE TABLAS
pág.
Tabla 1. Identificación de activos ...........................................................................46
Tabla 2. Valoración de los activos……………………………………………….…….48
Tabla 3. Resultado valoración de activos...............................................................49
Tabla 4. Evaluación del nivel de seguridad de los activos .....................................49
8
LISTA DE CUADROS
pág.
Cuadro 1. Calculo muestra ....................................................................................42
9
LISTADO DE ILUSTRACIONES
pág.
Ilustración 1. Origen de ataques hacia Colombia ...................................................13
Ilustración 2. Topología sede UNISINU .................................................................18
Ilustración 3. Arquitectura de un IDS. ....................................................................22
Ilustración 4. Esquema de Snort ............................................................................29
Ilustración 5. Arquitecturas de red para despliegue de Snort.................................35
Ilustración 6. Fórmula para cálculo de la muestra poblaciones finitas. ..................42
Ilustración 7. Salida de comando SNORT..............................................................52
Ilustración 8. Diagrama de red sede Santillana UNISINU ......................................54
10
INTRODUCCIÓN
misma.
apoyo que permite a las personas, empresas y el estado realizar actividades del día
a día de una manera más rápida y optima, pero esta trae implícita una serie de
Por otra parte, la protección y custodia de los datos personales contenidos en las
de una entidad que proteja datos personales y maneje información sensible trae
prestados, pérdida de credibilidad, pérdida de imagen institucional etc. por ende con
11
Diego Gonzales Gómez 1 Define los IDS como el fruto de la aplicación del
redes.
información que transita por la red de datos e identifica los posibles ataques que se
firewall y routers.
1
GONZÁLEZ GÓMEZ, Diego [en línea]. Sistema de Detección de Instrucciones. 2010. [Citado 5,
mayo, 2017]. Disponible en: <http://derecho-internet.org/docs/ids.pdf>. p.86.
2
GIMÉNEZ GARCÍA, María Isabel [en línea]. Utilización de Sistemas de Detección de Intrusos
como Elemento de Seguridad Perimetral. Almería, 262 h: Universidad de Almería, 2008. [Citado 10,
abril, 2017]. Disponible en: <http://www.adminso.es/recursos/Proyectos/PFC/PFC_marisa.pdf>. p.3.
12
1. EL PROBLEMA DE INVESTIGACIÓN
1.1. DESCRIPCIÓN
país vienen de otros continentes, así mismo una serie de capacitaciones sobre
Fuente: www.digitalattackmap.com.
13
Existen varios riesgos que puede sufrir la Universidad tales como ataques de
Abuso de privilegios por parte de los administradores de los servidores que tienen
acceso a la información.
ayudará a disminuir los tiempos de respuesta frente a los ataques de seguridad que
1.3. SUBPREGUNTAS
¿Qué método o forma de trabajar tiene SNORT para que le sea más útil a la
¿Qué clase de infraestructura tecnológica debe ser la más apropiada para que el
14
2. OBJETIVOS
organización.
• Describir las formas en que trabaja SNORT (Modo Sniffer, Packet Logger,
organización.
15
2.3. JUSTIFICACIÓN
Para la Universidad del SINÚ es muy importante el diseño de este proyecto porque
Las personas que se beneficiarán con la implementación de este proyecto serán los
Uno de los principales beneficios de este proyecto es que los estudiantes y personal
ataque ya sea de DDOS, SQL inyección, XSS, suplantación de identidad, entre otros
diseño de este proyecto, es establecer que la Universidad pueda contar con una
herramienta que les permita tomar decisiones en tiempo real ante posible
Este diseño del Sistema de detección de intrusos – IDS SNORT hace que la
Cuente con un sistema IDS capaz de registrar en tiempo real cada uno de los
16
Controle y garantice la seguridad de la información dentro de la entidad.
Analice la información generada por el IDS SNORT para saber que tendencias o
administrativas.
17
2.4. ALCANCE Y DELIMITACIÓN DEL PROYECTO
la sede.
18
3. MARCO DE REFERENCIA
Para llevar a cabo este trabajo se tiene en cuenta un referente conceptual que es
muy importante para lograr el éxito del mismo. Un elemento importante, es el IDS:
que permite vigilar cada uno de los paquetes que se están enviando y recibiendo a
universidad, por ende este genera unos efectos tanto en los procesos
Así las cosas, la universidad actualmente no cuenta con un sistema que permita en
tiempo real establecer si se está llevando a cabo un intento de ataque a los sistemas
19
Emilio Mira3 desarrollo un proyecto titulado con el nombre “Implantación de un
2001 cuya idea principal de este proyecto era instalar un IDS en una de las troncales
Otro proyecto que se tomó como referencia fue el elaborado por Anthony González4
en la Red WIFI del Laboratorio G de la Universidad Simón Bolívar sede litoral”. Fue
3
MIRA ALFARO, Emilio José [en línea]. Implantación de un Sistema de Detección de Intrusos en la
Universidad de Valencia. Valencia, 142 p: Proyecto Final (Ingeniería Informática) Universidad de
Valencia. [Citado 10, abril, 2017]. Disponible en: http://rediris.es/cert/doc/pdf/ids-uv.pdf.
4
GONZÁLEZ DA SILVA, Anthony Rafael [en línea]. Implementar un Sistema de Detención de
Intruso (IDS) en la Red Wifi del Laboratorio G de la Universidad Simón Bolívar sede litoral. Informe
final de pasantías. Universidad Simón Bolívar, Coordinación de tecnología eléctrica y electrónica.
20010. 161 p. [Citado 15, mayo, 2017]. Disponible en: <https://e-
archivo.uc3m.es/bitstream/handle/10016/5929/PFC_Beatriz_Martinez_Santos.pdf?sequencDe=1>.
5
GARZON PADILLA, Gilberto [en línea]. Propuesta para la implementación de un sistema de
detección de intrusos (IDS) en la dirección general sede central del instituto nacional penitenciario
y carcelario INPEC“PIDSINPEC, 75 p: Proyecto de Grado (Especialista en seguridad informática)
Universidad Nacional Abierta y a Distancia. [Citado 20, noviembre, 2017]. Disponible en:
http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/3494/3/86057594.pdf.
20
sede central del instituto nacional penitenciario y carcelario INPEC“PIDSINPEC”, ya
intrusos capaz de detectar un ataque mediante el análisis del payload del tráfico de
red. Una de las ventajas que ofrece este sistema es que es capaz de detectar un
código malicioso al momento que este viaja sobre la red de datos, mientras que los
características. Cada cual se diferencia el uno del otro dependiendo del monitoreo
6
MARTÍNEZ PUENTES, Javier [en línea]. Sistemas inteligentes de detección de intrusos, 119 p:
Proyecto de Grado (Master en investigación informática) universidad complutense de Madrid.
[Citado 20, noviembre, 2017]. Disponible en: http://eprints.ucm.es/13504/1/MA_2011-15.pdf
7
GIMÉNEZ. Op. cit., p. 7.
21
Ilustración 3. Arquitectura de un IDS.
Detección de
NIDS Centralizados Activos
Anomalias
Hibridos Hibridos
Fuente: El autor.
detección de intrusos.
3.2.2. Tipos de IDS en función del enfoque. Dentro de este existe dos grupos de
IDS: los que se basan en normas, los cuales detectan el uso indebido del sistema y
22
3.2.2.1. Detección de anomalías. Consiste en el comportamiento que los
usuarios tienen dentro de la red, permitiéndole establecer patrones de tal forma que
sistema en cuestión.
actividades que se llevan a cabo dentro del sistema y los compara con una base de
datos firmas guardas con anterioridad. Cuando se encuentra una coincidencia con
3.2.3. Tipos de IDS en función del origen de los datos. Con respecto a lo anterior,
existen tres tipos de IDS: los basados en host, basados en red y los híbridos, a
23
3.2.3.1. HIDS: Host-based Intrusion Detection Systems. Este IDS tiene la tarea
de identificar cada una de las amenazas e intrusiones a nivel de host local, es decir,
hospedados.
Según María Giménez8 este tipo de IDS se encargan monitorizar un gran volumen
de eventos y actividades dentro del sistema con una gran fidelidad, pudiendo
dice que este tipo de IDS se encarga de monitorear y responder ante eventos
generados, pero la diferencia con el HIDS es que protegen la red local donde se
forma promiscua, le permite capturar todos los paquetes que circulan por la red para
su análisis.
distribuidos.
3.2.4.1. Distribuidos (DIDS). Según María Giménez10 este tipo de IDS como su
8
Ibíd., p. 14-15.
9
Ibíd., p. 15-17.
10
Ibíd., p. 17-18.
24
repartidos en diferentes equipos y puntos de red, los cuales se comunican con un
correlacionan los datos con el fin de tener una visión mucho más amplia del sistema
lleva el control de todo el proceso. Una de las ventajas con respecto al distribuido
los IDS pasivos (Escuchan el trafico pero solamente previenen ataques) e y los IDS
11
Ibíd., p. 18-19.
12
Ibíd., p. 19-20.
25
3.2.5.1. Pasivos (IDS). Como dice María Giménez13 Este tipo de sistemas solo
solucionar el evento.
3.2.5.2. Activos (IPS). Como dice María Giménez14 Este tipo de sistemas
que se encarga de registrar todo el tráfico que circula tanto dentro como fuera de un
Por otra parte Northcutt S, Kohlenberg T, Esler J, Beale J, Baker A17 define a Snort
como un IDS de red que registra y analiza todo el tráfico en tiempo real.
13
Ibíd., p. 19.
14
Ibíd., p. 19-20.
15
MARTÍNEZ SANTOS, Beatriz [en línea]. Stella, una honeypot virtual de alta interacción para
Windows XP. Proyecto Final (Ingeniería de telecomunicación). Madrid. Universidad Carlos III de
Madrid. 2009 [Citado 15, mayo, 2017]. P 45. Disponible en: <https://e-
archivo.uc3m.es/bitstream/handle/10016/5929/PFC_Beatriz_Martinez_Santos.pdf?sequencDe=1>.
16
TANASE, Mattew. Sniffers: What They Are and How to Protect Yourself [en línea]. [Citado 20 de
junio de 2017]< https://www.symantec.com/connect/articles/sniffers-what-they-are-and-how-protect-
yourself >.
17
NORTHCUTT, Stephen; KOHLENBERG, Toby; ESLER, Joel; BEALE, Jay y BAKER, Andrew R.
[en línea]. Snort Intrusion Detection and Prevention Toolkit. Burlington, MA : Syngress. 2007.
[Citado 5, mayo, 2017]. P 34. Disponible en:
<http://bibliotecavirtual.unad.edu.co:2051/login.aspx?direct=true&db=nlebk&AN=214744&lang=es&
site=eds-live&ebv=EB&ppid=pp_Cover>.
18
MARTINEZ. Op. cit., p. 45
26
permite analizar y monitorear distintos host dentro de una red, generando una serie
de alertas de los posibles ataques llevados a cabo en contra del sistema. Este
software se puede integrar con MYSQL para gestionar mejor los registros
FlexResp si existe una conexión que esté generando tráfico malicioso, la destruye
respuestas a estos19.
19
MENDOZA, Jaime [en línea]. Conociendo SNORT. 2010. [Citado 10, abril, 2017]. p 12.
Disponible en:
<https://www.owasp.org/images/d/df/OWASP_PRESENTACION_SNORT_JIMR.pdf>.
27
Módulo de captura del tráfico: Permite la captura de los paquetes que viajan por la
Decodificador: Se encarga de tomar los paquetes que están viajando por la red y
Motor de Detección: Se encarga del análisis de los paquetes con base en unas
amenazas20.
20
GÓMEZ LÓPEZ, Julio. Optimización de sistemas de detección de intrusos en red utilizando
técnicas computacionales avanzadas. Universidad de Almería. 2009. p 22
28
Ilustración 4. Esquema de Snort
Fuente: http://www.adminso.es/images/d/d0/Pfc_Carlos_cap3.pdf.
3.2.9. Modos de alerta de Snort. Este software Snort trae consigo 4 tipos de alertas
Formato Syslog:
Formato alert_Fast:
Formato alert_smb:
Formato alert_unixsock:
alert_unixsock.
output alert_unixsock.21
3.2.10. Pasos configuración Snort. Para poder trabajar con Snort se deben
realizar una serie de pasos para poder ponerlo en marcha, esta configuración se
21
GIMÉNEZ. Op. cit., p. 56-58.
30
Se crea el directorio de trabajo de snort:
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort
Agregar el usuario
adduser snort
touch /etc/sysconfig/snort
cp /usr/local/bin/snort /usr/sbin
Ficheros de configuración.
cp /root/snort-2.8.0.1/etc/snort.conf /etc/snort/
cp /root/snort-2.8.0.1/etc/unicode.map /etc/snort/
cp /root/snort-2.8.0.1/rpm/snortd /etc/init.d/
31
chmod 755 /etc/init.d/snortd
Firmas:
cp /etc/snort/rules/*.config /etc/snort
Preprocesadores:
mkdir /etc/snort/preproc_rules
cp /root/snort-2.8.0.1/preproc_rules/* /etc/snort/preproc_rules/
Se debe especificar cuáles son las redes o red sobre la cual actuara
Snort.
22
Ibíd., p. 70-72.
32
3.2.11. Creación de reglas de detección. Julio Gómez23 define las reglas o
firmas como patrones que se buscan dentro de los paquetes de datos. Las reglas o
patrones Snort son utilizadas por el motor de detección para comparar los paquetes
recibidos y generar las alertas en caso de existir coincidencia entre el contenido del
paquete y las firmas. El archivo utilizado para añadir o eliminar clases enteras de
3.2.11.1. Estructura de una regla. Las reglas en Snort son unas instrucciones
dentro del fichero de reglas, que se deben escriben en una sola línea, en caso
msg “Virus-Infección”;)
La sección opciones: trae dentro los mensajes información útil para tomar la
decisión.
23
GÓMEZ. Op. cit., p. 25-40.
33
3.2.11.2. Cabecera de una regla. La cabecera es la encargada de identificar el
regla:
<puerto destino> .
Snort para tomar una decisión. Se definen 4 tipos de reglas, las cuales se
describirán a continuación:
24
Ibíd., p. 25-40.
34
Ilustración 5. Arquitecturas de red para despliegue de Snort.
Fuente: El autor.
3.2.14. Ids. Es un sistema que posee unos sensores que permiten detectar un
unas reglas que utilizan firmas que permiten identificar los ataques o tráfico no
convencionales.
25
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information technology —
Security techniques — Information security management systems — Overview and vocabulary.
ISO. 2001. ISO/IEC 2016. 28 p.
35
3.2.16. Mysql. Es un motor de base de datos relacional que permite almacenar
computadores y de telecomunicaciones.
3.2.20. Puertos de red. Son las puertas lógicas del sistema operativo utilizado
por una aplicación para proveer los servicios, por ejemplo para FTP se utiliza el
puerto 21.
3.2.21. Linux. Sistema operativo que permite realizar tareas, administrar los
3.2.22. Ip. Es una dirección lógica que identifica un host en una red y a través
3.2.23. Sniffer. Es un sistema que husmea el tráfico que va hacia una red o
36
3.3. MARCO DE CONTEXTO
26
UNIVERSIDAD DEL SINU: Para el año 1974, el Dr. Elías Bechara Zainúm funda
del Sinú con el único propósito de contribuir al cambio de la región y los alrededores.
“Es deber de la Universidad del Sinú, procurar la formación integral de las personas
del ser humano con el mismo, con la sociedad y su ambiente creando una sociedad
“Seremos una Universidad con una estructura docente, administrativa y planta física
26
UNIVERSIDAD DEL SINU. Reseña Histórica [en línea]. [citado en 5 de octubre de 2017].
http://www.unisinucartagena.edu.co/index.php/resena-historica.
27
UNIVERSIDAD DEL SINU. Misión y Visión [en línea]. [citado en 5 de octubre de 2017].
http://www.unisinucartagena.edu.co/index.php/mision-y-vision.
37
Los objetivos estratégicos de la sede son:
En este sentido los ejes que integran la etapa de formulación estratégica, para este
conocimientos.
• Eje 5. Internacionalización.
28
COLOMBIA. CONGRESO DE LA REPUBLICA. Ley 1273 (5, enero, 2009). por la cual se dictan
las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en
bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la
proveniente de terceros países y se dictan otras disposiciones.. Diario Oficial. Bogotá. 2009. 4 p.
38
3.4.2. Ley Estatutaria 1266 del 31 de diciembre de 2008, art 3°, lit. e, f, g y h y
determinables o que puedan asociarse con una persona natural o jurídica. Los datos
privados;
f) Dato público. Es el dato calificado como tal según los mandatos de la ley o de la
conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en
29
COLOMBIA. CONGRESO DE LA REPUBLICA. Ley 1266 (31, diciembre, 2008). Por la cual se
dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información
39
3.4.3. Convenio sobre la ciberdelincuencia Budapest. Tratado europeo # 185 con el
objetivo de aplicar con carácter prioritario una política penal común con objeto de
La investigación será aplicada ya que esta es una actividad que tiene por finalidad
algunas variables y escenarios para ver cómo se comportaba el IDS ante distintos
eventos.
4.3. POBLACIÓN
4.4. MUESTRA
36
HERNÁNDEZ SAMPIERI, Roberto [en línea]. Metodología de la Investigación. Mexico D.F. Mc
Graw Hill. 2014.
41
Ilustración 6.Fórmula para cálculo de la muestra poblaciones finitas.
Fuente: https://investigacionpediahr.files.wordpress.com/2011/01/formula-para-
cc3a1lculo-de-la-muestra-poblaciones-finitas-var-categorica.pdf.
n 10 95 1,96
N 12 97 2,24
Za 1,96 99 2,576
p 5
q 0,95 95 1,96
d 5
Fuente: El autor.
42
4.5. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN
técnica de tabulación.
Esta técnica consiste en determinar si existe una relación entre dos variables
cuantitativas diferentes y cuan fuerte es esa relación entre las variables. Se suele
usar cuando se piensa que las variables tienen una evolución similar.
numeración a las distintas opciones que pretenden tener las respuestas a las
resultados.
43
FORMATO DE ENTREVISTA
UNIVERSIDAD DEL SINU - SEDE SANTILLANA
Nombre: Fecha:
Edad: Estado Civil:
Cargo que desempeña: Estudiante de:
División / Facultad:
Tipo de Vinculación:
PREGUNTA 1.
universidad?
SI
NO
PREGUNTA 2.
SI
NO
44
PREGUNTA 3.
1. SI
2. NO
PREGUNTA 4.
Existen logs que permitan registrar el tráfico entrante y saliente de la red interna y
1. SI
2. NO
PREGUNTA 5.
1. SI
2. NO
45
5. RESULTADOS
ORGANIZACIÓN.
Fuente: El Autor.
46
En la tabla anterior se encontraron unos activos informáticos con los siguientes
roles:
• Servidor Proxy
• Servidor de red
• Servidor de Correo
• Servidor de Huellas
sistemas operativos como son: Windows 2008 Server, Quirón Cliente, Quiron.Net,
trabajo.
47
Se realizó la valoración y clasificación de activos utilizando la metodología
Tipo de
Valor
activo Disposición
Nombre de activo Descripción o rol Responsable C I D Activ
MAGERI Final
o
T
Servidor DELL Optiplex Jefe de Centro de
HW Servidor Proxy
75 sistemas computo 1 2 4 7
Servidor DELL Optiplex Jefe de Centro de
HW Servidor de Red
GX 520 sistemas computo 3 3 4 10
Servidor Power Edge Jefe de Centro de
HW Servidor de Correo
1900 (Linux) sistemas computo 3 2 4 9
Servidor de Base de Jefe de Centro de
Servidor IBM X25 series HW
datos sistemas computo 4 4 5 13
Servidor DELL Optiplex Jefe de Centro de
HW Servidor Web
170L sistemas computo 3 2 3 8
Servidor JANUS Dig Gen Jefe de Centro de
HW Servidor Huellas
Core Duo sistemas computo 3 2 3 8
Jefe de Centro de
Windows 2008 Server SW
sistemas computo 4 3 2 9
Servidor de manejo Jefe de Centro de
Quiron Cliente SW
académico sistemas computo 4 4 5 13
Aplicación web para
estudiantes, Jefe de Centro de
Quiron.Net SW
Docentes y sistemas computo
funcionarios 3 4 3 10
Aplicación virtual
para estudiantes, Jefe de Centro de
Quiron Campus SW
docentes y sistemas computo
funcionarios. 3 3 3 9
Jefe de Centro de
Comodín SW Software contable
sistemas computo 3 4 4 11
Jefe de Centro de
Tesorero SW Software de caja
sistemas computo 1 4 4 9
Software de Cartera Jefe de Centro de
Prisma SW
e inventario sistemas computo 2 4 3 9
Jefe de Centro de
Nomina SW Software de Nomina
sistemas computo 3 4 3 10
Software de control Jefe de Centro de
ISIS SW
Bibliográfico sistemas computo 2 3 3 8
Fuente: El Autor.
48
Quirón Cliente y el software de Comodín, los cuales se van a proteger por el gran
Fuente: El Autor.
Fuente: El Autor.
49
En la evaluación realizada se evidencia que los activos críticos no poseen sistemas
de protección de seguridad como son Firewall, IPS, IDS y WAF (Web Application
Firewall) por lo cual se determina que su nivel de seguridad es bajo y se considera
indispensable la implementación de un sistema de detección de intrusos IDS.
5.3.1. Modo Sniffer. Captura el tráfico del host o red y lo visualiza en pantalla a
través de su plugin. Luego que finaliza, visualiza una estadística del tráfico. Para
snort -v o snort – dev en una terminal. Este modo crea un brigde o puente
transparente entre dos segmentos de red. Esto significa que Snort tiene dos
escuchará el tráfico en cada interfaz. Cuando llega un paquete a una interfaz, Snort
lo inspecciona de acuerdo con sus reglas, luego lo suelta o lo envía a la otra interfaz
sin ninguna modificación. Debido a esto, los dos segmentos de red que manejan
a IPTABLES la petición para que interrumpa el tráfico de esa sesión. Para este
modo se debe configurar la tarjeta de red en modo promiscuo en cada bridge que
sea utilizado.
50
5.3.2. Modo Packet Logger. Al igual que el MODO SNIFFER captura el tráfico del
host o la red, pero adicional guarda los datos en unos logs para luego analizarlos.
donde se guardará.
5.3.3. Modo Nids. Este modo de operación es más completo y configurable. Permite
que el usuario configura. Este método, además de registrar los logs, almacena los
parámetro -c así:
Definitivamente la mejor opción es la tercera MODO NIDS ya que cumple con los
comando.
51
Ilustración 7. Salida de comando SNORT.
Fuente: http://www.maestrosdelweb.com/snort/.
SNORT EN LA UNISINU.
Para el diseño del sistema IDS SNORT se hace necesario contar con la
la implementación.
5.4.1. Software. El sistema operativo para este diseño es Ubuntu Server 16.04.3
PULLED PORK, el plugin que está compuesto por el PHP y el presentador Apache,
con el fin de capturar el tráfico de los activos a ser monitoreados se hace necesario
instalada en una maquina física con al menos 4 tarjetas de red de alta velocidad de
al menos 1mbps, discos duros de estado sólido con capacidad mínima de 1 Tera en
Red: esta solución se instalará en la misma subred de los servidores para que
estadísticas.
53
Ilustración 8. Diagrama de red sede Santillana UNISINU.
Fuente: El autor.
Firewall Perimetral. Este firewall tiene habilitado las características de UTM como
son proxy, filtro web, control de aplicaciones, Inspección SSL, políticas o reglas para
controlar y restringir el tráfico, este firewall tendrá habilitada una política para darle
salida a internet al servidor SNORT que le permitirá actualizar las reglas. Por otro
lado, a través de este firewall los usuarios y otros dispositivos tendrán salida hacia
Switch de Core. Este dispositivo de red administrará las VLAN de todas las subredes
54
Switch de Borde de usuarios. Este Switch permitirá el acceso de los usuarios a
internet a través del Core y el Firewall y también el acceso a los servidores de base
Servidores. Estos son los activos informáticos más críticos de la sede Santillana
como son: el servidor de base de datos, el software Quirón Cliente y el software de
Comodín. Adicional está conectado el servidor SNORT que realizara el monitoreo
con su sistema IDS sobre los más activos críticos.
alert icmp any any -> $HOME_NET any (msg:"ICMP test detected"; GID:1;
sid:10000001; rev:001; classtype:icmp-event;)
56
Dentro de las configuraciones que debe tener el sistema IDS está la habilitación de
notificaciones en tiempo real, al momento de la detección del ataque o
comportamiento anómalo, el administrador de la red recibirá un correo donde se le
está informando el incidente de seguridad, por otro lado, también tendrá una interfaz
web o pluging de salida que le permitirá monitorear en modo grafico los eventos,
alertos y estadísticas que la herramienta almacena en una base de datos.
57
6. DISCUSIÓN DE RESULTADOS
universidad del Sinú. Lo que se pretendió fue estudiar cual era la mejor forma para
configurar el IDS SNORT, así como también cual era la infraestructura necesaria
para el buen funcionamiento del software. Por otro lado se pretendió realizar una
calificación y evaluación de los activos, con el fin de encontrar cuales eran los más
los ataques informáticos, son mucho más sofisticados su tipología muy variada y en
muchos casos las actividades maliciosas pasan desapercibidos por los sistemas de
más avanzadas para burlar cualquier tipo de salvaguarda del que se disponga
Garzón; el IDS SNORT permite generar alertas en tiempo real, evitando que un
todos los autores buscan el mismo fin proteger los activos .críticos dentro de la
organización
Por otro lado Javier Martínez afirma que su proyecto se diferencia de los otros
porque este es capaz de detectar un código malicioso al momento que este viaja
58
sobre la red de datos, si bien es cierto que para el momento de la investigación era
algo innovador en ese momento es una característica que trae el IDS SNORT dentro
Por otro lado, los resultados obtenidos en esta investigación se pueden tomar como
base para diseñar un sistema de detección de intrusos dentro de una entidad, con
59
7. CONCLUSIONES
necesaria su implementación.
En la evaluación del nivel de seguridad que mostró la alta vulnerabilidad que tienen
los activos críticos, lo anterior indica que se debe reforzar la seguridad de los activos
más críticos.
60
7. RECOMENDACIONES
Luego de realizar el diseño del sistema de detección de intrusos IDS, se tienen las
de la sede Santillana.
61
8. BIBLIOGRAFÍA
62
GARZON PADILLA, Gilberto [en línea]. Propuesta para la implementación de un
sistema de detección de intrusos (IDS) en la dirección general sede central del
instituto nacional penitenciario y carcelario INPEC“PIDSINPEC, 75 p: Proyecto de
Grado (Especialista en seguridad informática) Universidad Nacional Abierta y a
Distancia. [Citado 20, noviembre, 2017]. Disponible en:
http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/3494/3/86057
594.pdf.
MARTÍNEZ SANTOS, Beatriz [en línea]. Stella, una honeypot virtual de alta
interacción para Windows XP. Proyecto Final (Ingeniería de telecomunicación).
Madrid. Universidad Carlos III de Madrid. 2009. 161 p. [Citado 15, mayo, 2017].
63
Disponible en: <https://e-
archivo.uc3m.es/bitstream/handle/10016/5929/PFC_Beatriz_Martinez_Santos.pdf?
sequencDe=1>.
MENDOZA, Jaime [en línea]. Conociendo SNORT. 2010. 32 p. [Citado 10, abril,
2017]. Disponible en:
<https://www.owasp.org/images/d/df/OWASP_PRESENTACION_SNORT_JIMR.p
df>.
TANASE, Mattew. Sniffers: What They Are and How to Protect Yourself [en línea].
[Citado 20 de junio de 2017]. Disponible en:
<https://www.symantec.com/connect/articles/sniffers-what-they-are-and-how-
protect-yourself>.
64