1. Sistemas IDS
Introducción
Un IDS es un dispositivo que busca patrones de firmas de ataques conocidos en la
actividad de red o de un sistema informático.
En cuanto a seguridad perimetral se refiere, los IDS de red o NIDS son los más útiles.
Analizan el tráfico de red en bruto en busca de patrones de ataque a diferentes niveles
de la pila de red. Además, un diseño de IDS basado en red presenta una serie de
ventajas con respecto a uno basado en host:
1. Según configures la arquitectura de red, con un único sistema de análisis se puede
proteger a toda la organización. No es necesario instalar un IDS en cada sistema, sino
analizar el tráfico de red dirigido a ellos.
2. El análisis es en tiempo real, por lo que un atacante no puede borrar evidencias, como
en IDS de host, que hacen análisis periódicos de ficheros de logs para detectar
amenazas.
Un NIDS tiene ciertas limitaciones con respecto a un HIDS. Por ejemplo, no pueden
detectar repetidos intentos de hacerse root en un equipo, o un acceso a una shell
de root. En definitiva, no están diseñados para monitorizar la actividad dentro de un
host, sino para analizar el tráfico que a éste le llega o envía.
Un ataque puede ser detectado por 3 motivos:
• Por que determinados paquetes de tráfico de red coincida con un patrón de un ataque
conocido ( GET /../../../cmd.exe)
• Porque haya una actividad de red distinta de la normal en comparación con una línea
base de actividad.
• Por acciones repetitivas de una frecuencia anormal.
Cómo se comporta un IDS ante un supuesto ataque:
• Logueando la actividad.
• Bloqueando el tráfico.
• De forma reactiva.
Cómo y donde implementar un NIDS
• En un sistema dedicado ubicado en el Gateway de una organización.
• En un sistema dedicado que reciba determinado tráfico redirigido por el Gateway de una
organización
• En un sistema conectado a los diferentes segmentos físicos de red con la posibilidad de
recibir todo el tráfico de esos segmentos. Esto puede hacerse de 3 formas:
• Si los segmentos físicos de red están en un hub.
• Si conectamos el sistema IDS a un switch que permita el port mirroring.
• Haciendo pasar el tráfico saliente de un firewall por un TAP, donde estará conectado
el sistema IDS (http://www.criticaltap.com). Un TAP es un replicador de
información, que desvía físicamente el tráfico saliente de un dispositivo a otro que
actúa como puente transparente.
Instalación y configuración de Snort
• Instalar Snort compilado contra mysql:./configure --prefix=... --with-mysql --enable-
dinamycplugin. IMPORTANTE: tener instaladas las libpcap y libpcap-devel, pcre, pcre-
devel.
• Probar que snort arranca y escanea la red: snort -evi eth0
2. • Descargarse el repositorio de reglas bajo suscripción (el más actualizado posible).
• Instalar las reglas en el directorio de snort
• Configurar snort mediante la edición del fichero snort.conf. Algunas variables de entrno
fundamentales:
• HOME_NET: Es la red local. Contra la que queremos analizar posibles ataques.
• EXTERNAL_NET: Red desde la que nos pueden atacar.
• DNS_SERVERS, SMTP_SERVERS, HTTP_SERVERS....
• RULE_PATH: Directorio donde se encuentran las reglas de escaneo.
• Antes de arrancar snort, si no lo hemos configurado para almacenar las alertas en una
base de datos, es necesario crear el directorio /var/log/snort, donde snort va a dejar las
alertas en el fichero alerts.
• Finalmente arrancar snort en modo daemon:
snort -Ddc /tools/snort/etc/snort.conf