Sistemas de Detección de Intrusos - Parte I

Introducción La detección de intrusiones es el proceso de monitorizar redes de ordenadores y sistemas en busca de violaciones de políticas de seguridad. Estos sistemas están compuestos básicamente por tres elementos funcionales: Una Fuente de Información que proporciona eventos de sistema. Un Motor de análisis que busca evidencias de intrusiones. Un Mecanismo de respuesta que actúa según los resultados del motor de análisis. Los IDS realizan dos tareas fundamentales: la prevención y la reacción. La prevención de las actividades de intrusos se realiza a través de herramientas que escuchan el tráfico en la red o en una computadora. Estos programas identifican el ataque aplicando el reconocimiento de patrones (normas) o técnicas inteligentes. Esta labor, permite informar de los intentos de  ataques o de actividades sospechosas de manera inmediata. El método reactivo se garantiza utilizando programas que básicamente realizan el análisis de archivos de logs en los sistemas. Se trata de detectar  patrones de intrusión en las trazas de los servicios red o en el comportamiento del sistema. Figura 1: esquema general de un IDS: Arquitectura de los IDS Los sistemas de detección de intrusos que hay en la actualidad tienen cada uno una arquitectura y comportamiento diferente uno del otro, pero pese a ello es posible generar un esquema que contenga módulos comunes en la arquitectura de cada IDS. Un sistema de detección de intrusos siempre tiene su elemento central, un sensor (motor de análisis) que se encarga de la detección de intrusiones. Este sensor contiene los mecanismos de toma de decisiones con respecto a las intrusiones. Estos reciben los datos en bruto a partir de tres principales fuentes de información: La base de Datos de conocimiento del IDS, los Logs de Sistema y de auditoría. Figura 2: Arquitectura General de un IDS Proceso de detección de intrusos en los IDS Las tareas que lleva a cabo un Sistema detector de Intruso, se la puede resumir en cuatro etapas o fases, la prevención, monitorización, detección y respuesta, descritas a continuación: Figura 3: Proceso de Detección de Intrusos Soluciones de seguridad Open Source En los últimos años las herramientas de seguridad han tenido un gran desarrollo tecnológico en las distintas aéreas como los Firewall, Monitores de seguridad, Analizadores de Vulnerabilidades, IDS, IPS entre otros, y resulta difícil obtener información con un grado de abstracción que permita su revisión y gestión de una manera práctica. Ante esta necesidad se creó OSSIM un proyecto de código abierto, que integra un conjunto de soluciones de seguridad de código abierto, entre ellas la de detección de intrusos con Snort, que es el que se analizara más adelante. Figura 4:Open Source SIEM Diseño de una Red de Pruebas Para poder analizar y estudiar el desempeño y funcionamiento del las soluciones de seguridad que se instalaran, en este caso AlienVault Open Source SIEM (OSSIM). Se montara el siguiente esquema de red, el cual ofrece el ambiente básico para realizar las pruebas respectivas de detección de intrusiones, las cuales serán generadas desde una terminal atacante, las mismas deberán ser detectadas con el IDS Snort que viene integrado en el sistema OSSIM, en la siguiente figura se observa el esquema de red que se implementara para los propósitos mencionados. Figura 5: Diseño de Red para Pruebas Documentación del Proyecto Documento Completo [PDF][1.3 MB] Sistemad de Detección de Intrusos - Parte II