SISTEMAS DE DETECCIÓN DE INTRUSOS

DOCENTE:
MTRO. SERGIO SENTECAL GUERRERO

ASIGNATURA:
SEGURIDAD EN REDES

EQUIPO 51:
JORGE EDUARDO GONZÁLEZ BARRERA
ROMMEL GARCÍA VEGA

Ciudad de México, a 27 de junio de 2022.

 Asignatura Datos del alumno Fecha
Jorge Eduardo González Barrera
Seguridad de Redes 27 junio 2022
Rommel García Vega

ANÁLISIS.
El presente documento tiene como finalidad el reforzar los conocimientos del alumno
relativos a mecanismos de defensa de redes y el uso de sistemas de detección de intrusos.
Un cortafuegos FW con tres interfaces interconecta tres segmentos de red: la red interna
de la empresa, la DMZ y el acceso a Internet. Dentro de la DMZ se encuentra un servidor
WEB (DMZA). Además, tienes acceso a uno de los equipos de la red local (INTA) y a otro en
Internet (EXTA) que te permite tener una visión de la red desde el exterior y por último se
deberá de realizar el llenado de la tabla solicitada con las reglas de iptables.
Se ha decidido hacer uso de una Defensa en Profundidad y añadir un Sistemas de
Detección de Intrusos (IDS) a la red, haciendo uso de Snort.

PREPARACIÓN TÉCNICA.
Para esta práctica se hará uso de los siguientes componentes:

Hardware:
Procesador: Intel Core i3-1005G1 CPU 1.20 GHz 1.19 GHz.
Memoria RAM: 8.00 GB.
Disco Duro: 1024 GB.

Software:
Sistema Operativo: Windows 10 Home de 64 bits.
Máquina Virtual: VMware Workstation 16 Player.
KVM: NETinVM.

Para descargar la máquina virtual VMware Workstation 16 Player, abriremos el

navegador y nos dirigimos a la página oficial de vmware:
https://www.vmware.com/mx/products/workstation-player/workstation-player-
evaluation.html, en la cual descargaremos la versión para Windows y una vez concluida la
descarga procederemos a realizar la instalación de esta, así como la descarga de la imagen de
la máquina virtual NETinVM, la cual haremos uso de la siguiente liga
https://informatica.uv.es/~carlos/docencia/netinvm/ y elegiremos la opción del 15 de julio
de 2020, una vez concluida la descarga, obtendremos un archivo de tipo .ZIP, el cual lo

Actividad: Mecanismos de Defensa en Redes 1

 Asignatura Datos del alumno Fecha
Jorge Eduardo González Barrera
Seguridad de Redes 27 junio 2022
Rommel García Vega

descomprimiremos para poder hacer uso de un archivo .ISO el cual será carga en VMware y
nos aparecerá de la siguiente manera y para iniciarla daremos doble clic y podremos observar
la virtualización de Debian GNU/Linux.

Se solicita que realicemos el cambio en las políticas del cortafuego a permisivas para
evitar el bloqueo de las pruebas, por lo que haremos uso de los siguientes comandos:
iptables -L: para verificar las reglas que tiene el iptables.
iptables -F: para eliminar todas las reglas que tenga el iptables.

Actividad: Mecanismos de Defensa en Redes 2

 Asignatura Datos del alumno Fecha
Jorge Eduardo González Barrera
Seguridad de Redes 27 junio 2022
Rommel García Vega

Daremos las reglas permisivas en el iptables con los siguientes comandos:

iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables -A INPUT -j ACCEPT

Para la instalación del Snort se realizará de la siguiente manera:

1. Creamos una carpeta para guardar los archivos que se descargaran del snort con
el comando mkdir /Fuentes_Snort
2. Nos ubicaremos en la carpeta creada con el siguiente comando cd
/Fuentes_Snort
3. Para descargas los archivos necesarios para la instalación del snort usaremos el
comando wget https://www.snort.org/downloads/snort/daq-
2.0.7.tar.gz y wget https://www.snort.org/downloads/snort/snort-
2.9.20.tar.gz
4. Una vez descargados los archivos procederemos a descomprimirlos con el
comando tar xvzf daq-2.0.7.tar.gz y tar xvzf snort-2.9.20.tar.gz
5. Una vez hecho lo anterior encontraremos en nuestra carpeta Fuentes_Snort,
cuatro archivos, los cuales son los dos archivos descargados comprimidos y las
dos carpetas de estos descomprimidos.

Actividad: Mecanismos de Defensa en Redes 3

 Asignatura Datos del alumno Fecha
Jorge Eduardo González Barrera
Seguridad de Redes 27 junio 2022
Rommel García Vega

6. Como siguiente punto abriremos cualquiera de las dos carpetas: cd daq-2.0.7/

y/o cd snort-2.9.20/
7. Procederemos a la instalación con el siguiente comando el cual debe usarse en ambas
carpetas: ./configure && make && make install
8. finalizamos haciendo uso del comando snort -d -c /etc/snort/Pruebas-Snort.conf -i
eth1 -k none iniciaremos el snort.

Actividad: Mecanismos de Defensa en Redes 4

 Asignatura Datos del alumno Fecha
Jorge Eduardo González Barrera
Seguridad de Redes 27 junio 2022
Rommel García Vega

Como siguiente herramienta solicitada, es que creemos un fichero en donde se guardaran las reglas
por lo que haremos la copia de snort.conf a Pruebas-Snort.conf con el comando cp.

PROBLEMAS PRESENTADOS.
Para el uso de la máquina virtual VMware así como el NETinVM, ya no se tuvo
problemas, pues con la practica pasada, se pudo conocer un poco de esto e interactuar con la
terminal y los comandos, por lo que para esta práctica no se tuvo problema en este punto.
Para el tema del IDS y snort, se tuvo que realizar investigación tanto de lo que es el
Sistema de Detección de Intrusos, así como las ventajas que nos puede ofrecer el snort en
comparación con otros sistemas de su tipo.
Como punto personal, me pareció más compleja esta práctica en razón a todos los
comandos utilizados, principalmente para las reglas creadas de detección, pues aunque en
ocasiones la regla estaba bien, no nos daba el resultado requerido y se tenía que volver a
verificar el proceso completo.

Actividad: Mecanismos de Defensa en Redes 5

 Asignatura Datos del alumno Fecha
Jorge Eduardo González Barrera
Seguridad de Redes 27 junio 2022
Rommel García Vega

DESARROLLO.
Example ha quedado muy satisfecha con tu último trabajo y ha decidido llamarte de
nuevo. Parece que tu recomendación sobre que un cortafuegos no es suficiente por sí solo hoy
en día para proteger una red adecuadamente no ha caído en saco roto. En Example ha gustado
la idea de Defensa en Profundidad que les explicaste y han decidido empezar a desarrollarla
añadiendo un sistema de detección de intrusos (IDS) a su arquitectura. La solución escogida
ha sido Snort.
Decides que la mejor localización para el IDS es el cortafuegos FW; a continuación, se
enlista las configuraciones realizadas:

1. Para facilitar la creación de reglas y mejorar su entendimiento decides crear algunas

variables. Defines una variable para la red local (RED_LOCAL), otra para la
DMZ (RED_DMZ) y otra para todo lo que no sea ni red local ni DMZ
(RED_EXTERNA).
Configuraremos el snort con el comando: pico Pruebas-Snort.conf y agregaremos las
variables antes mencionadas:
ipvar WEB_SERV 10.5.1.10
ipvar RED_LOCAL 10.5.2.0/24
ipvar RED_DMZ 10.5.1.0/24
ipvar RED_EXTERNA ¡$RED_LOCAL,!$RED_DMZ

Actividad: Mecanismos de Defensa en Redes 6

 Asignatura Datos del alumno Fecha
Jorge Eduardo González Barrera
Seguridad de Redes 27 junio 2022
Rommel García Vega

Una vez guardado los cambios hacemos uso del comando snort -T -c
/etc/snort/Pruebas-Snort.conf, para comprobar que las modificaciones sean correctas.
para los siguientes tres puntos necesitaremos que el snort este iniciado, por lo que
usaremos el comando (solo cambiando entre eth0, eth1 o eth2):
snort -d -c /etc/snort/Pruebas-Snort.conf -i eth1 -k none

Actividad: Mecanismos de Defensa en Redes 7

 Asignatura Datos del alumno Fecha
Jorge Eduardo González Barrera
Seguridad de Redes 27 junio 2022
Rommel García Vega

2. En Example están preocupados porque creen que alguien ha estado atacando su

servidor WEB e intentando descargarse el fichero pass.html. Decides añadir una
regla que detecte el patrón GET pass.html en la parte de datos de todos los
paquetes HTTP (puerto 80) dirigidos al servidor WEB. Cuando se detecte
el patrón indicado la regla lanzará una alerta con el mensaje Detectado
Ataque HTTP.
Se creará la siguiente regla: alert tcp any any -> $WEB_SERV 80 (content:"GET /pass.html";
sid:1000001; msg:"Detectando Ataque HTTP."; rev: 0;)

Actividad: Mecanismos de Defensa en Redes 8

 Asignatura Datos del alumno Fecha
Jorge Eduardo González Barrera
Seguridad de Redes 27 junio 2022
Rommel García Vega

3. Tras algunas pruebas te das cuenta de que tu regla anterior solo funcionará si la
descarga del fichero indicado se lleva a cabo sin incluir una ruta previa. Decides
añadir una nueva regla que busque la cadena pass.html entre los
caracteres 5 y 261 de la parte de datos de todos los paquetes HTTP (puerto
80) dirigidos al servidor WEB. Cuando se detecte el patrón indicado la
regla lanzará una alerta con el mensaje Detectado Intento de Acceso al
fichero pass.html.
Se creará la siguiente regla: alert tcp any any -> $RED_DMZ 80 (content:"pass.html";
offset:5; depth:261; msg:"Detectando Intento de Acceso al Fichero pass.html.";
sid:1000002;)

Actividad: Mecanismos de Defensa en Redes 9

 Asignatura Datos del alumno Fecha
Jorge Eduardo González Barrera
Seguridad de Redes 27 junio 2022
Rommel García Vega

4. El administrador de red de Example está preocupado porque parece que algunos

trabajadores están utilizando servicios no protegidos en Internet que podrían exponer
sus contraseñas. Decides añadir una regla de Snort que detecte el envío de
contraseñas en claro (comando PASS) desde la red local al conectarse a
servicios de transferencia de ficheros (FTP) o de consulta de correo
(POP3) en máquinas de Internet. Cuando se detecte el patrón indicado la
regla lanzará una alerta con el mensaje Detectado uso de contraseñas en
claro.
Se creará la siguiente regla: alert tcp $RED_LOCAL any -> $RED_EXTERNA 21,110
(msg:"Detectando Uso de Contraseña en Claro."; pcre:"/^PASS\s..$/smi"; sid:1000005;
rev:5;)

Actividad: Mecanismos de Defensa en Redes 10

 Asignatura Datos del alumno Fecha
Jorge Eduardo González Barrera
Seguridad de Redes 27 junio 2022
Rommel García Vega

RESULTADOS.

Acción Regla
ipvar WEB_SERV 10.5.1.10

1. Definir una variable para el servidor WEB ipvar RED_LOCAL 10.5.2.0/24

(WEB_SERV), otra para la red interna
(RED_LOCAL), otra para la DMZ (RED_DMZ) y
otra para todo lo que no sea ni red interna ni DMZ ipvar RED_DMZ 10.5.1.0/24
(RED_EXTERNA).
ipvar RED_EXTERNA
¡$RED_LOCAL,!$RED_DMZ
2. Añadir una regla que detecte el patrón GET
alert tcp any any ->
pass.html en la parte de datos de todos los
$WEB_SERV 80 (content:"GET
paquetes HTTP (puerto 80) dirigidos al servidor
/pass.html"; sid:1000001;
WEB. Cuando se detecte el patrón indicado la regla
msg:"Detectando Ataque
lanzará una alerta con el mensaje Detectado
HTTP."; rev: 0;)
Ataque HTTP.
3. Añadir una nueva regla que busque la cadena
alert tcp any any -> $RED_DMZ
pass.html entre los caracteres 5 y 261 de la parte de
80 (content:"pass.html";
datos de todos los paquetes HTTP (puerto 80)
offset:5; depth:261;
dirigidos al servidor WEB. Cuando se detecte el
msg:"Detectando Intento de
patrón indicado la regla lanzará una alerta con el
Acceso al Fichero pass.html.";
mensaje Detectado Intento de Acceso al fichero
sid:1000002;)
pass.html.
4. Añadir una regla de Snort que detecte el envío
de contraseñas en claro (comando PASS) desde la alert tcp $RED_LOCAL any ->
red interna al conectarse a servicios de $RED_EXTERNA 21,110
transferencia de ficheros (FTP) o de consulta de (msg:"Detectando Uso de
correo (POP3) en máquinas de Internet. Cuando se Contraseña en Claro.";
detecte el patrón indicado la regla lanzará una pcre:"/^PASS\s..$/smi";
alerta con el mensaje Detectado uso de sid:1000005; rev:5;)
contraseñas en claro.

CONCLUSIONES.
Una vez finalizada la practica coincidimos que un sistema de detección de intrusos
(IDS), es necesario dentro de las organizaciones pues nos ayudan a poder detectar esos
intentos de acceso no deseados o no autorizados, a nuestra red o algún equipo en específico,
lo cual, si se diera este acceso, nos daríamos cuenta de que nuestros sistemas de seguridad,
no son los adecuados para la organización y nuestros activos, quedarían expuestos a algún
tipo de extracción y con ello consecuencias y pérdidas.
Teniendo en cuenta la actividad pasada junto con esta, llegamos a la conclusión, que
el firewall, sigue siendo un punto relevante dentro de nuestra red, pues es el que gestiona
toda la entrada y salida de información, así como el analizar el tráfico que existe en la red y

Actividad: Mecanismos de Defensa en Redes 11

 Asignatura Datos del alumno Fecha
Jorge Eduardo González Barrera
Seguridad de Redes 27 junio 2022
Rommel García Vega

verificando los posibles ataques, haciendo comparativas con ataques conocidos o

sospechosos, al igual que la revisión de los paquetes y sus contenidos.
La práctica es interesante, pues nos enseña a cómo tratar de mitigar o evitar ataques a
nuestra red haciendo uso de nuestro cortafuego y el sistema snort ayudando de esta manera
a que la organización, evite o minimice las pérdidas de información en esos ataques, lo cual,
si lo manejamos en perdidas monetarias, podrían llegar a ser exorbitantes y demasiadas
complicaciones.
En esta actividad ganamos un poco más de conocimiento sobre la seguridad que
podemos implementar en nuestras redes con ayuda del cortafuegos y el IDS, de la misma
manera se continúa aprendiendo sobre el uso de VMware, NETinVM, la terminal Linux y el
uso de comandos.
Diversas herramientas como Snort o Suricata por mencionar algunas, utilizadas como
Sistemas de Detección de Intrusos (IDS), son de gran utilidad para las organizaciones para tener
visibilidad de posibles ataques o intentos de intrusión, como se vio en la práctica se implementan
diversas reglas que ayuden a los encargados de la red y de la seguridad a tener alertas especificas en
caso de que algún incidente se presente en la red; la finalidad del IDS es configurar diversas alertas
para avisar de los ataques, pero también se puede tener alertas de tráfico interno, que no son seguros,
como la alerta configurada para avisar cuando se utilizan protocolos sin cifrado, por lo cual el usuario
y la contraseña viajan en texto claro, como lo es para el protocolo de FTP y POP3.

REFERENCIAS.
• (2022). Anexo: Puertos de Red. Wikipedia. Sitio Web:
https://es.wikipedia.org/wiki/Anexo:Puertos_de_red. Recuperado el 20 de junio de
2022.
• Oskar Andreasson. (2003). Tutorial de IPtables 1.1.19es. Sitio Web:
https://www.frozentux.net/iptables-tutorial/spanish/chunkyhtml/index.html.
Recuperado el 26 de junio de 2022.
• (2014). Iptables, Herramienta para controlar el Tráfico de un Servidor. Acens
Technologies. Sitio Web: https://www.acens.com/wp-
content/images/2014/07/wp-acens-iptables.pdf. Recuperado el 21 de junio de 2022.

Actividad: Mecanismos de Defensa en Redes 12

 Asignatura Datos del alumno Fecha
Jorge Eduardo González Barrera
Seguridad de Redes 27 junio 2022
Rommel García Vega

• Protocolo de Red – TCP, UDP, TCP/IP, IP, HTTP y sus Diferencias. Programador
Clic. Sitio Web: https://programmerclick.com/article/34871886359/. Recuperado
el 22 de junio de 2022.
• Yenisleidy Fernández R. & Karen García P. (diciembre, 2011). Virtualización. Revista
Digital de las Tecnologías de la Información y las Comunicaciones TELEM@TICA,
10 No. 3, 13. Recuperado el 22 de junio de 2022.
• Seguridad informática - Introducción a NETinVM, (septiembre, 2020). Docutils.
Sitio Web: https://informatica.uv.es/~carlos/docencia/netinvm/es/netinvm-
intro/netinvm-intro.html. Recuperado el 22 de junio de 2022.
• Rubén Ramiro (2020). Reglas SNORT , detección de intrusos y uso no autorizado.
CIBERSEGURIDAD .BLOG. Sitio Web: https://ciberseguridad.blog/reglas-snort-
deteccion-de-intrusos-y-uso-no-autorizado/. Recuperado el 26 de junio de 2022.
• Snort Sources. Sitio Web: https://www.snort.org/downloads. Recuperado el 25 de
junio de 2022.
• (2002). Sistema de Detección de Intrusos. Sitio Web:
https://www.rediris.es/cert/doc/unixsec/node26.html. Recuperado el 26 de junio
de 2022.
• Carlos Perez & David Perez (2020). NETinVM. A tool for teaching and learning about
systems, networks and securit. Sitio WEB:
https://informatica.uv.es/~carlos/docencia/netinvm/netinvm.html. Recuperado el
27 de junio del 2022.

Actividad: Mecanismos de Defensa en Redes 13