Revista Nexos Científicos ISSN: 2773-7489

Julio –Diciembre 2019 pp. 20-27 Correo: editor@istvidanueva.edu.ec

Volumen 3, Número 2 URL: http://nexoscientificos.vidanueva.edu.ec/index.php/ojs/index

Fecha de recepción: septiembre 2019 Fecha de aceptación: octubre 2019

INTRODUCCIÓN

De manera general, se puede describir la relación

entre amenazas, vulnerabilidad y control de la

siguiente manera: una amenaza puede ser bloqueada

aplicando un control a una vulnerabilidad.

(Kaufman, Perlman et al. 2002).

Los sistemas de protección convencionales como

los firewalls y antivirus, entre otros, empiezan a ser

insuficientes ante la gran variedad de ataques que

día a día son cada vez más devastadores (Cheswick,

1. Estudiante de 8vo Sistemas Informáticos, galodiaz@gmail.com

Bellovin et al. 2003), esto muestra que es necesario

crear una nueva línea de defensa que les evite a los

administradores la tarea de estar pendientes en todo

momento de su red.

Los atacantes están evolucionando y aparecen

nuevas técnicas como los Troyanos, gusanos y

escaneos silenciosos que atraviesan los cortafuegos

mediante protocolos permitidos como HTTP, ICMP

o DNS. Los atacantes buscan vulnerabilidades en

los pocos servicios que el cortafuego permite y

Detección de Intrusos con la Plataforma

Open Source Snort

Galo Manuel Diaz

Universidad Tecnológica Israel-Ciencias de la Ingeniería –Carrera de Sistemas, Quito, Ecuador, galodiaz@gmail.com

Resumen: En el campo de las Tecnologías de la Información la seguridad de los sistemas es uno de

los factores más importantes a tener en cuenta. Sin una buena estrategia de seguridad, una de las partes

más importantes y a la vez más vulnerables del sistema, los datos, podrían verse seriamente

amenazados. Entre los componentes que ayudan a los administradores en las tareas de seguridad se

encuentran los Sistemas de Detección de Intrusiones (IDS). Actualmente existen varios programas

mediante los cuales se puede implementar un IDS, entre los que se destaca el Snort; este es un software

muy flexible que ofrece la posibilidad de almacenar sus bitácoras tanto como en archivo de texto o en

una base de datos. Este trabajo está enfocado en analizar y evaluar el desempeño del Snort como un

IDS; para ello se llevan a cabo una serie de pruebas que consisten en escaneos desde diversas

localizaciones mediante la utilización de herramientas como GFI Languard y Nmap.

Palabras clave: Tecnología, Software, Snort.

Intruder Detection With The Platform

Open Source Snort

Abstract: In the field of Information Technology, the security of systems is one of the most important

factors to consider. Without a good security strategy, one of the most important and most vulnerable

parts of the system, data, could be seriously threatened. Components that help administrators with

security tasks include Intrusion Detection Systems (IDS). Currently there are several programs

through which an IDS can be implemented, among which the Snort stands out; This is a very flexible

software that offers the possibility of storing your logs both as a text file or in a database. This work

is focused on analyzing and evaluating the performance of the Snort as an IDS; For this, a series of

tests are carried out, consisting of scans from various locations using tools such as GFI Languard and

Nmap.

Keywords: Technology, Server, Linux, Radius

Revista Nexos Científicos ISSN: 2773-7489

Julio –Diciembre 2019 pp. 20-27 Correo: editor@istvidanueva.edu.ec

Volumen 3, Número 2 URL: http://nexoscientificos.vidanueva.edu.ec/index.php/ojs/index

Fecha de recepción: septiembre 2019 Fecha de aceptación: octubre 2019

enmascaran sus ataques dentro de estos protocolos,

quedando la red expuesta de nuevo.

Una buena forma de mejorar la seguridad de la red

es la instalación de mecanismos de detección,

capaces de avisar al administrador de la red en el

momento en que se produzcan estos ataques (casi en

tiempo real).

En esta línea, surgen los sistemas de detección de

intrusos, como uno de los campos más investigados

en los últimos años.

La Detección de Intrusos es uno de los métodos

utilizados para proporcionar seguridad a una red de

ordenadores; es la comprobación, a través del

proceso de monitoreo, que un ordenador, una red o

un sistema completo con varias subredes funcionan

correctamente desde el punto de vista de las

políticas de seguridad definidas por la organización.

(Vigo 2005).

La elección del Snort se basa en que ha alcanzado

un estado de madurez y desarrollo, donde su

funcionalidad permite despliegues exitosos; por otra

parte, su gran difusión a lo largo del mundo (más de

3, 000,000 de descargas y de 150,000 usuarios

activos según (Scott, Wolfe et al. 2004)) permite

tener una comunidad de usuarios lo suficientemente

amplia como para advertir de nuevas amenazas y

vulnerabilidades, y para generar y compartir reglas.

En Snort, además, disponen de un amplio rango de

herramientas y programas para su análisis, como,

por ejemplo, BASE, Snortlog, Snortreport,

Snortsam, etc. (Staff 2005).

2. METODOLOGÍA

Para la instalación y configuración del Snort e

implementación como IDS; se ilustran los

principales pasos a seguir y se configuran los

elementos esenciales tales como: la red a la cual se

desea proteger, las reglas y preprocesadores a

utilizar, así como el formato que se desea que sea

guardada la información recopilada en el fichero de

salida.

2.1 Herramientas auxiliares para el

funcionamiento del NIDS

Para la realización de esta investigación se realiza la

instalación de una máquina virtual mediante el

VMware con la última distribución de Ubuntu, la

cual presenta la versión 2.9.6.0 del Snort en su

gestor de paquetes disponible para esta distribución,

aunque si se desea usar la versión más actual se

puede descargar desde la página Web oficial

(http:\\www.snort.org). La forma más sencilla es

instalarlo directamente a través del gestor de

paquetes debido a que de forma manual su

instalación es más compleja y consta de muchos

pasos.

En esta investigación, Snort registra la información

de las alertas en una base de datos mysql,

denominada Snort. La elección de Mysql radica en

que es el gestor de base de datos Open Source más

popular, que permite dar la posibilidad de crear y

configurar usuarios, asignando a cada uno de ellos

permisos diferentes (Harper, 2004). Además, da la

opción de exportar e importar datos fácilmente,

incluso una base de datos completa.

Esta información que brinda Snort y que es

almacenada en Mysql, es posible acceder a ella de

forma ordenada y sencilla a través de la aplicación

Web escrita en Php denominada BASE (del inglés

Basic Analysis and Security Engine). BASE es el

sucesor de otro sistema denominado ACID (del

inglés Analysis Console for Instruction Databases),

surge debido a la dificultad de analizar los cientos

de alertas que se generan en redes con alto tráfico.

Entre las facilidades que ofrece BASE, y que se

convirtieron en los aspectos considerados para su

uso en el proyecto, se tiene la opción de hacer

búsquedas de alertas específicas ya sean por IP

fuente/destino, por fecha, por ataque, por protocolo,

realizar informes, gráficas, y permite además

observar de una forma gráfica los paquetes

capturados y la generación de gráficas estadísticas.

Apt-get install apache2 php5

libapache2-mod-php5

Apt-get install mysql-server mysql-

client php5-mysql

Apt-get install phpmyadmin

Apt-get install Snort-mysql