Herramientas de Seguridad
Content
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 1
Tabla de contenido
1. Resumen: ........................................................................................................................................................ 3
2. Introducción: ................................................................................................................................................. 3
3. Justificación: .................................................................................................................................................. 4
4. Marco Teórico: ............................................................................................................................................. 5
4.1. Seguridad informática: ......................................................................................................................... 5
4.2. Principios de Seguridad Informática: ............................................................................................ 5
4.3. Factores de Riesgo: ................................................................................................................................ 6
4.4. ¿Qué es un IDS? ....................................................................................................................................... 6
4.5. Cortafuegos vs IDS: ................................................................................................................................ 7
4.6. Funcionamiento: ..................................................................................................................................... 7
4.7. Tipos de IDS: ............................................................................................................................................. 8
4.7.1. Clasificación por situación: ............................................................................................................ 8
4.7.2. Clasificación según los modelos de detecciones:.................................................................. 9
4.7.3. Clasificación según su naturaleza: ............................................................................................ 10
5. Objetivos ....................................................................................................................................................... 11
5.1. Objetivo general .................................................................................................................................... 11
5.2. Objetivos específicos ........................................................................................................................... 11
6. Desarrollo de las herramientas: .......................................................................................................... 11
6.1. Snort: ......................................................................................................................................................... 11
6.1.1. Historia: ............................................................................................................................................... 11
6.1.2. Definición:........................................................................................................................................... 11
6.1.3. Caracteriasticas importantes: .................................................................................................... 12
6.1.4. Funcionamiento ............................................................................................................................... 13
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 2
6.1.4.1. Funcionamiento del motor de Snort ................................................................................... 13
6.1.5. Comandos de Snort ......................................................................................................................... 14
6.1.6. Instalación IDS Snort para Windows ....................................................................................... 15
6.2. Fping .......................................................................................................................................................... 18
6.2.1. Características .................................................................................................................................. 18
6.2.2. Opciones .............................................................................................................................................. 19
7. Conclusiones ............................................................................................................................................. 19
8. Referencias .................................................................................................................................................. 20
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 3
1. Resumen:
El presente documento trata acerca de herramientas de seguridad tales como Snort
desarrollado por SourceFire, y fping.
Para llegar a hablar de dichas herramientas primero se definirá lo que es un IDS. A
continuación, se hablará de lo que es Snort, como funciona y todos los aspectos básicos
del mismo y así también de fping.
2. Introducción:
Se entiende por seguridad informática [1] al conjunto de normas, procedimientos y
herramientas, que tienen como objetivo garantizar la disponibilidad, integridad,
confidencialidad y buen uso de la información que reside en un sistema de información.
Cada día más y más personas mal intencionadas intentan tener acceso a los datos de
nuestros ordenadores. El acceso no autorizado a una red informática o a los equipos que
en ella se encuentran pueden ocasionar en la gran mayoría de los casos graves problemas.
Uno de las posibles consecuencias de una intrusión es la pérdida de datos. Es un hecho
frecuente y ocasiona muchos trastornos, sobre todo si no estamos al día de las copias de
seguridad. Y aunque estemos al día, no siempre es posible recuperar la totalidad de los
datos.
Otro de los problemas más dañinos es el robo de información sensible y confidencial. La
divulgación de la información que posee una empresa sobre sus clientes puede acarrear
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 4
demandas millonarias contra esta, o un ejemplo más cercano es el de nuestras contraseñas
de las cuentas de correo por las que intercambiamos información con otros.
Con la constante evolución de las computadoras es fundamental saber que recursos
necesitar para obtener seguridad en los sistemas de información.
3. Justificación:
Como la inseguridad se da en muchas maneras en nuestro entorno social, en las redes no
es la excepción. Las organizaciones, empresas, universidades, etc. buscan tener la mayor
seguridad en sus esquemas, para no tener perdidas en su economía, de su privacidad y de
su confidencialidad.
Para no tener que preocuparse demás, esto se puede hacer simplemente si se tiene una
buena planeación, organización y prevención de lo que realmente se requiere para la
infraestructura que queremos proteger.
En vista que la información, es el factor primordial por el cual muchos usuarios
malintencionados hacen actos ilícitos, de los cuales utilizan diferentes métodos que
muchos de nosotros ni siquiera nos habíamos imaginado, con tal de conseguir la valiosa
información, aunque por otro lado también hay quienes no están de acuerdo con la
monopolización que hacen algunas empresas, entonces lo que buscan es hacer notar de
dichas fallas que pueden tener sus productos, dando las posibilidad de conocer otros
mercados que puedan contener mejor seguridad, y mejores precios, pero como siempre,
los más afectados son aquellos que no tienen nada que ver con todo lo que pase, y es por
ello que las "víctimas" tienen que recurrir y confiar en los diferentes productos.
Y para que se puedan tomar medidas preventivas es importante que nos preguntemos
¿contra qué nos defendemos?, ¿Por qué nos defendemos?, y ¿con que nos podemos
defender?
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 5
4. Marco Teórico:
4.1. Seguridad informática:
La seguridad informática es [2] la disciplina que se ocupa de diseñar las normas,
procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y
confiables, para el procesamiento de datos en sistemas informáticos.
Consiste en asegurar que los recursos del sistema de información (material informático
o programas) de una organización sean utilizados de la manera que se decidió y que el
acceso a la información allí contenida, así como su modificación, sólo sea posible a las
personas que se encuentren acreditadas y dentro de los límites de su autorización.
4.2. Principios de Seguridad Informática:
Para lograr sus objetivos la seguridad informática se fundamenta en tres principios, que
debe cumplir todo sistema informático:
Confidencialidad: Se refiere a la privacidad de los elementos de información
almacenados y procesados en un sistema informático, basándose en este principio,
las herramientas de seguridad informática deben proteger el sistema de
invasiones y accesos por parte de personas o programas no autorizados. Este
principio es particularmente importante en sistemas distribuidos, es decir,
aquellos en los que los usuarios, computadores y datos residen en localidades
diferentes, pero están física y lógicamente interconectados.
Integridad: Se refiere a la validez y consistencia de los elementos de información
almacenados y procesador en un sistema informático. Basándose en este principio,
las herramientas de seguridad informática deben asegurar que los procesos de
actualización estén bien sincronizados y no se dupliquen, de forma que todos los
elementos del sistema manipulen adecuadamente los mismos datos. Este principio
es importante en sistemas descentralizados, es decir, aquellos en los que
diferentes usuarios, computadores y procesos comparten la misma información.
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 6
Disponibilidad: Se refiere a la continuidad de acceso a los elementos de
información almacenados y procesados en un sistema informático. Basándose en
este principio, las herramientas de seguridad informática deber reforzar la
permanencia del sistema informático, en condiciones de actividad adecuadas para
que los usuarios accedan a los datos con la frecuencia y dedicación que requieran,
este principio es importante en sistemas informáticos cuyos compromiso con el
usuario, es prestar servicio permanente.
4.3. Factores de Riesgo:
Ambientales/Físicos: Son los factores externos, lluvias, inundaciones,
terremotos, tormentas, rayos, humedad, calor entre otros.
Tecnológicos: Tales como fallas de hardware y/o software, fallas en el aire
acondicionado, falla en el servicio eléctrico, ataque por virus informático,
etc.
Humanos: Por ejemplo hurto, adulteración, fraude, modificación,
revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación,
robo de contraseñas, alteraciones etc.
4.4. ¿Qué es un IDS?
Un sistema de detección de intrusos [3] (o IDS de sus siglas en inglés Intrusion Detection
System) es un programa usado para detectar accesos no autorizados a un computador o a
una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que
usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo
del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS
detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de
ataques o falsas alarmas.
Algunas de las características deseables para un IDS son:
Deben estar continuamente en ejecución con un mínimo de supervisión.
Se deben recuperar de las posibles caídas o problemas con la red.
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 7
Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante.
Debe utilizar los mínimos recursos posibles.
Debe estar configurado acorde con la política de seguridad seguida por la
organización.
Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente
actualizable.
4.5. Cortafuegos vs IDS:
Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un
sistema o en una red, considerando intrusión a toda actividad no autorizada o no que no
debería ocurrir en ese sistema. Según esta definición, muchos podrían pensar que ese
trabajo ya se realiza mediante los cortafuegos o firewalls.
La principal diferencia, es que un cortafuegos [4] es una herramienta basada en la
aplicación de un sistema de restricciones y excepciones sujeta a muchos tipos de ataques,
desde los ataques “tunneling”(saltos de barrera) a los ataques basados en las aplicaciones.
Los cortafuegos filtran los paquetes y permiten su paso o los bloquean por medio de una
tabla de decisiones basadas en el protocolo de red utilizado. Las reglas verifican contra
una base de datos que determina si está permitido un protocolo determinado y permite o
no el paso del paquete basándose en atributos tales como las direcciones de origen y de
destino, el número de puerto, etc... Esto se convierte en un problema cuando un atacante
enmascara el tráfico que debería ser analizado por el cortafuegos o utiliza un programa
para comunicarse directamente con una aplicación remota. Estos aspectos se escapan a las
funcionalidades previstas en el diseño inicial de los cortafuegos. Es aquí donde entran los
IDS, ya que estos son capaces de detectar cuando ocurren estos fallos.
4.6. Funcionamiento:
El funcionamiento de estas herramientas se basa en el análisis detallado del tráfico de
red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o
comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 8
malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el
contenido y su comportamiento.
Normalmente ésta herramienta se integra con un firewall. El detector de intrusos es
incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un
dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una
herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del
firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser
bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos. Dichas
firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre
el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del
mismo.
4.7. Tipos de IDS:
Existen varios tipos de IDS, clasificados según el tipo de situación física, del tipo de
detección que posee o de su naturaleza y reacción cuando detecta un posible ataque.
4.7.1. Clasificación por situación:
Según la función del software IDS, estos pueden ser:
-NIDS (Network Intrusion Detection System)
-HIDS (Host Intrusion Detection System)
Los NIDS analizan el tráfico de la red completa, examinando los paquetes individualmente,
comprendiendo todas las diferentes opciones que pueden coexistir dentro de un paquete
de red y detectando paquetes armados maliciosamente y diseñados para no ser detectados
por los cortafuegos. Pueden buscar cual es el programa en particular del servidor de web
al que se está accediendo y con qué opciones y producir alertas cuando un atacante intenta
explotar algún fallo en este programa.
Los NIDS tienen dos componentes:
Un sensor: situado en un segmento de la red, la monitoriza en busca de tráfico
sospechoso.
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 9
Una consola: recibe las alarmas del sensor o sensores y dependiendo de la
configuración reacciona a las alarmas recibidas.
Las principales ventajas del NIDS son:
Detectan accesos no deseados a la red.
No necesitan instalar software adicional en los servidores en producción.
Fácil instalación y actualización por que se ejecutan en un sistema dedicado.
Como principales desventajas se encuentran:
Examinan el tráfico de la red en el segmento en el cual se conecta, pero no puede
detectar un ataque en diferentes segmentos de la red. La solución más sencilla es
colocar diversos sensores.
Pueden generar tráfico en la red.
Ataques con sesiones encriptadas son difíciles de detectar.
En cambio, los HIDS analizan el tráfico sobre un servidor o un PC, se preocupan de lo que
está sucediendo en cada host y son capaces de detectar situaciones como los intentos
fallidos de acceso o modificaciones en archivos considerados críticos.
Las ventajas que aporta el HIDS son:
Herramienta potente, registra comandos utilizados, ficheros abiertos,...
Tiende a tener menor número de falsos-positivos que los NIDS, entendiendo
falsos-positivos a los paquetes etiquetados como posibles ataques cuando no lo
son.
Menor riesgo en las respuestas activas que los IDS de red.
Los inconvenientes son:
Requiere instalación en la máquina local que se quiere proteger, lo que supone una
carga adicional para el sistema.
Tienden a confiar en las capacidades de auditoría y logging de la máquina en sí.
4.7.2. Clasificación según los modelos de detecciones:
Los dos tipos de detecciones que pueden realizar los IDS son:
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 10
Detección del mal uso.
Detección del uso anómalo.
La detección del mal uso involucra la verificación sobre tipos ilegales de tráfico de red,
por ejemplo, combinaciones dentro de un paquete que no se podrían dar legítimamente.
Este tipo de detección puede incluir los intentos de un usuario por ejecutar programas sin
permiso (por ejemplo, “sniffers”). Los modelos de detección basado en el mal uso se
implementan observando cómo se pueden explotar los puntos débiles de los sistemas,
describiéndolos mediante unos patrones o una secuencia de eventos o datos (“firma”) que
serán interpretados por el IDS.
En cambio, la detección de actividades anómalas se apoya en estadísticas tras comprender
cuál es el tráfico “normal” en la red del que no lo es. Un claro ejemplo de actividad anómala
sería la detección de tráfico fuera de horario de oficina o el acceso repetitivo desde una
máquina remota (rastreo de puertos). Este modelo de detección se realiza detectando
cambios en los patrones de utilización o comportamiento del sistema. Esto se consigue
realizando un modelo estadístico que contenga una métrica definida y compararlo con los
datos reales analizados en busca de desviaciones estadísticas significantes.
4.7.3. Clasificación según su naturaleza:
Un tercer y último tipo básico de clasificación sería respecto a la reacción del IDS frente a
un posible ataque:
Pasivos: Los IDS pasivos detectan una posible violación de la seguridad, registran
la información y genera una alerta.
Reactivos. Los IDS reactivos están diseñados para responder ante una actividad
ilegal, por ejemplo, sacando al usuario del sistema o mediante la reprogramación
del cortafuegos para impedir el tráfico desde una fuente hostil.
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 11
5. Objetivos
5.1. Objetivo general
Explicar el funcionamiento de las diferentes herramientas de seguridad informática.
5.2. Objetivos específicos
Analizar los conceptos de seguridad requeridos para los diferentes casos.
Demostrar la protección del tráfico de Red inalámbrico.
Explicar la configuración o funcionamiento de las diferentes herramientas de
Seguridad.
6. Desarrollo de las herramientas:
6.1. Snort:
6.1.1. Historia:
Snort se desarrolló en 1998 bajo el nombre de APE por Marty Roesch. En ese año contaba
con mil seiscientas líneas de código y su utilidad era la de analizar conexiones de red a
través de un cable modem y como debugger para las aplicaciones de red. Más tarde se
desarrolló el primer analizador de firmas para Snort, que fue implementado en 1999. A
partir de entonces se comenzó a usar como un IDS.
En diciembre de 1999 apareció la versión 1.5, en la que su autor decidió una nueva
arquitectura basada en plugins, que se mantiene todavía. Actualmente se compone de más
de setenta y cinco mil líneas de código y una arquitectura que poco tiene que ver con el
diseño original.
6.1.2. Definición:
Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza
todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de
almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 12
abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de
puertos que permite registrar, alertar y responder ante cualquier anomalía previamente
definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo
real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Este IDS
implementa un lenguaje de creación de reglas flexibles, potente y sencillo. Durante su
instalación ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP,
ataques web, CGI, Nmap...
Puede funcionar como sniffer (podemos ver en consola y en tiempo real qué ocurre en
nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo
los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso
NIDS). Cuando un paquete coincide con algún patrón establecido en las reglas de
configuración, se logea. Así se sabe cuándo, de dónde y cómo se produjo el ataque. Aún
cuando tcpdump es considerada una herramienta de auditoría muy útil, no se considera
un verdadero IDS puesto que no analiza ni señala paquetes por anomalías. Tcpdump
imprime toda la información de paquetes a la salida en pantalla o a un archivo de registro
sin ningún tipo de análisis. Un verdadero IDS analiza los paquetes, marca las
transmisiones que sean potencialmente maliciosas y las almacena en un registro
formateado, así, Snort utiliza la biblioteca estándar libcap y tcpdump como registro de
paquetes en el fondo.
6.1.3. Caracteriasticas importantes:
Snort (http://www.snort.org/) está disponible bajo licencia GPL[5], gratuito y funciona
bajo plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una gran
cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante
casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los
distintos boletines de seguridad.
La característica más apreciada de Snort, además de su funcionalidad, es su subsistema
flexible de firmas de ataques. Snort tiene una base de datos de ataques que se está
actualizando constantemente y a la cual se puede añadir o actualizar a través del internet.
Los usuarios pueden crear 'firmas' basadas en las características de los nuevos ataques de
red y enviarlas a la lista de correo de firmas de Snort, para que así todos los usuarios de
Snort se puedan beneficiar. Esta ética de comunidad y compartir ha convertido a Snort en
uno de los IDSes basados en red más populares, actualizados y robustos.
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 13
6.1.4. Funcionamiento
En la versión de Windows, es necesario instalar WinPcap. Este software consiste en un
driver que extiende el sistema operativo para permitir un acceso de bajo nivel a la red y
una librería que facilita a las aplicaciones acceder a la capa de enlace saltándose la pila de
protocolos.
Snort puede funcionar en:
Modo sniffer, en el que se motoriza por pantalla en tiempo real toda la actividad en
la red en que Snort es configurado.
Modo packet logger (registro de paquetes), en el que se almacena en un sistema de
log toda la actividad de la red en que se ha configurado Snort para un posterior
análisis.
Modo IDS, en el que se motoriza por pantalla o en un sistema basado en log, toda la
actividad de la red a través de un fichero de configuración en el que se especifican
las reglas y patrones a filtrar para estudiar los posibles ataques.
Una vez hemos instalado correctamente el programa y lo ponemos en funcionamiento,
debemos introducir en la base de patrones de ataques los que queremos utilizar para
detectar actividades sospechosas contra nuestra red.
6.1.4.1. Funcionamiento del motor de Snort
El motor de Snort se divide en los siguientes componentes:
Decodificador del paquete, toma los paquetes de diferentes tipos de interfaces
de red, y prepara el paquete para ser preprocesado o enviado al motor de
detección.
Los preprocesadores, son componentes o plugins que pueden ser usados con
Snort para arreglar, rearmar o modificar datos, antes que el motor de detección
haga alguna operación para encontrar si el paquete está siendo enviado por un
intruso. Algunos preprocesadores realizan detección buscando anomalías en las
cabeceras de los paquetes y generando alertas. Son muy importantes porque
preparan los datos para ser analizados contra reglas en el motor de detección.
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 14
Motor de detección (Comparación contra firmas), es el responsable de detectar
si alguna actividad de intrusión existe en un paquete. El motor utiliza las reglas
que han sido definidas para este propósito. Las reglas (o cadenas) son macheadas
contra todos los paquetes. Si un paquete machea una regla, la acción configurada
en la misma es ejecutada.
Loggin y sistema de alerta, se encarga de loguear o generar una alerta pero esto
es dependiendo que detecte el motor dentro de un paquete, los logs son
almacenados en archivos de texto, archivos con formato tcpdump u otro formato.
Los Plugins de salida toman la salida del sistema de alerta y permiten
almacenarlas en distintos formatos o reaccionar antes el mismo. Por ejemplo:
enviar emails, traps SNMP, syslog, insertar en una base de datos, etc. Plugins de
salida:
- Bases de datos (MySql, Postgres, etc)
- Syslog
- XML
- Traps SNMP
- Mensajes SMB
6.1.5. Comandos de Snort
Los siguientes [6] son los comandos imprescindibles que se pueden utilizar en Snort para
obtener las diferentes funcionalidades:
Snort -W
El parámetro -W, es el primero que deberemos ejecutar en nuestro ordenador para
conocer las interfaces físicas o virtuales de las que dispone nuestro ordenador, para más
tarde saber cual usar. Este comando nos sacara una lista de las interface con su nombre, y
descripción.
Snort-v -i interface
Usando -v -i interface, podremos empezar a usar snort como sniffer, ya que para esta
función, no importa que tengamos mal configurado los ficheros de configuración. Con la
opción -v, nos mostrara todos los paquetes capturados de forma extendida o verbose, y
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 15
con el parámetro –i interface le indicaremos en que interface tiene que escuchar. Recuerda
que para saber el valor de interface tienes que usar snort -W. En nuestro caso el comando
quedará:
snort -v -i 4 (windows)
snort -v -i eth0 (linux)
snort -T -c ruta_completa_fichero_snort.conf
Con el parametro -T -c ruta_completa_fichero_configuración, snort nos mostrará un
reporte del estado de nuestro fichero de configuración, recorriéndolo completamente
incluido todas las reglas para detectar los fallos que puedan existir.
snort -c ruta_completa_fichero_snort.conf -i interface
Una vez que tengamos todo en orden, este será el parámetro a aplicar para poner snort en
funcionamiento como sistema de intrusión IDS. Este comando nos servirá tanto para
windows como para Linux.
Para establecer a Snort como servicio o daemon en Windows o Linux:
snort /SERVICE /INSTALL -c ruta_completa_fichero_snort.conf -i interface (Para
Windows)
Nos permitirá colocar snort como servicio en un sistema windows para que arranque al
comienzo del sistema.
snort -D -c ruta_completa_fichero_snort.conf -i interface (Para Linux)
Nos permitirá colocar snort como un daemon en un sistema linux para que arranque al
comienzo del sistema.
6.1.6. Instalación IDS Snort para Windows
Para instalar snort en un sistema windows necesitamos seguir los siguientes pasos:
Descargamos una copia de Winpcap.exe de www.winpcap.org.
Después de instalar Win-Pcap, reiniciar el sistema.
Descargar la última versión de Snort paraWindows de la página: www.snort.org. e
instalar
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 16
Durante la instalación real, Snort crea una estructura de directorio en C: \
Snort que se parece a esto:
· C:\snort\bin directorio donde se encuentra el ejecutable de la
herramienta
· C: \ snort \ contrib
· C: \snort \ doc documentación de la herramienta
· C: \snort \ etc directorio principal para los archivos de configuración
· C: \snort \ log
· C: \snort\ rules juegos de reglas
Los ficheros más importantes son:
etc/snort.conf: archivo de configuración principal.
etc/classification.config: información sobre la priorización de las reglas,
incluyendo un nombre clasificatorio y una pequeña descripción.
etc/gen-msg.map: incluye correspondencia entre un identificador de elemento
generador de un evento y su descripción.
etc/reference.config: define las URL asociadas a las referencias de más
información que suelen indicarse junto a las reglas de detección.
etc/sid-msg.map: hace corresponder el identificador de una alerta (Snort ID, SID)
con su mensaje descriptivo.
etc/threshold.conf: configuración de umbrales límite que permiten la reducción
de alarmas por repetición de eventos.
etc/unicode.map: correspondencias de formato entre diferentes tipos de código.
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 17
Una vez que está instalado Snort, debemos continuar con la configuración
Lo primero que tenemos que hacer es acceder a la carpeta C:\Snort\etc en este directorio
encontraremos un fichero llamado snort.conf, que es el fichero de configuración que
utilizaremos para configurar Snort.
Accedemos al fichero con un editor de texto que no corrompa el formato original del
archivo (notepad o wordpad). En la parte final donde hay una serie de “includes” con tipos
de reglas, que en función de que tengan delante el signo almohadilla, “#”, o no, se incluirán
en la revisión de los paquetes.
Para ello vamos a utilizar notepad++
Antes de todo descargamos las reglas y sobre escribimos todos los ficheros… Uno de ellos
es snort.conf, ficheros que vamos a modificar ahora.
Quitamos la # a las siguientes líneas y las dejamos de la siguiente forma:
# decoder and preprocessor event rules
include $PREPROC_RULE_PATH/preprocessor.rules
include $PREPROC_RULE_PATH/decoder.rules
include $PREPROC_RULE_PATH/sensitive-data.rules
Con esto, las reglas descargadas ya están operativas.
En el archivo snort.conf, cambiar por:
var RULE_PATH c:\snort\rules
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 18
var SO_RULE_PATH c:\snort\so_rules
var PREPROC_RULE_PATH c:\snort\rules\preproc_rules
Buscamos la declaración include classification.config y realizamos el siguiente
cambioComentamos el primero y añadimos el segundo…
# include classification.config
include c:\snort\etc\classification.config
Buscamos la declaración include reference.config y cambiarlo para incluir
c:\snort\etc\reference.configComentamos el primero y añadimos el segundo…
# include reference.configinclude c:\snort\etc\reference.config
Y finalmente guardamos el archivo
6.2. Fping
6.2.1. Características
Fping [7]es una utilidad que realiza un ping original (tal y como sueles hacerlo desde DOS
o la línea de comando) pero con múltiples funciones extras, proporcionando í mucha más
información y detalles. Fping usa solicitud de eco ICMP para ver cuántos equipos o host
están vivos
El objetivo de los creadores de FPing es acercarse a los antiguos Ping que se realizaban en
plataformas Unix repletos de gráficas e información, así te permite (entre otras cosas)
opciones de personalización, ajustar tiempos entre los pings, comprobar en múltiples y
distintos servidores desde una sola línea de ejecución, realizar pings continuos
ininterrumpidos, asociar un sonido a cada acción del Ping (por ejemplo que no responda),
asociar nombre a determinadas IP, etc.
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 19
6.2.2. Opciones
Uso: fping (opciones) (objetivos)
-a mostrar los objetivos que están vivos
-A mostrar los objetivos dela dirección
-b n cantidad de datos ping para enviar, en bytes (por defecto 56)
B-f establece factor de backoff exponencial f
-cn numero de pings para enviar a cada objetivo (Default1)
-Cn mismo informe los resultados de as-c en formato detallado
-e muestra el tiempo que transcurrió por paquetes devueltos
-g genera una lista de objetivos (sólo si no se especifica-f)
-i n muestra el intervalo entre el envío de paquetes de ping (en milisegundos)
(por defecto 25)
-l envía pings para siempre
-m ping a múltiples interfaces de host de destino
-n mostrar los objetivos por nombre (-d es equivalente)
-p n hace un intervalo entre paquetes ping a un objetivo (en milisegundos)
-qn quieto (no muestrar per-target/per-ping en resultados)
-Q n igual-q, pero muestra el resumen de cada n segundos
-r n número de intentos (por defecto 3)
-s imprimir las estadísticas finales
S-addr conjunto dirección de origen
-tn indica un objetivo individual de tiempo de espera inicial (en milisegundos)
(por defecto 500)
-u objetivos demuestran que son inalcanzables o irreconocibles o no contestan
-v Muestra la versión
7. Conclusiones
El gran crecimiento que se tiene de las redes de computadoras ha sido mucho y por
ello es que la seguridad también ha crecido a la par, día a día se trata buscar la
mejor forma para estar protegidos, pero al mismo tiempo, en cuanto sale algún
software o hardware, algunas personas, mejor conocidas como piratas
informáticos, encuentran esos puntos débiles, que usando su ingenio, crean
programas para destapar esas debilidades que existen en ellas. A pesar de todo
HERRAMIENTAS DE SEGURIDAD INFORMÁTICA
REDES INALÁMBRICAS 20
esto, también hay herramientas de seguridad como los firewalls, los sistemas de
protección como la criptografía, que se van actualizando y tapan esos huecos que
podían tener en sus versiones o generaciones anteriores, pero en si hay
muchísimas herramientas de las cuales se pueden conseguir y usar.
8. Referencias
[1],[2]http://www.monografias.com/trabajos82/la-seguridad-informatica/la-
seguridad-informatica.shtml
[3],[4]http://seguridadinformaticaufps.wikispaces.com/file/view/1150214.pdf/3
53879870/1150214.pdf
[5]http://www.uaeh.edu.mx/docencia/Tesis/icbi/licenciatura/documentos/Segu
ridad%20en%20redes.pdf
[6]http://www.ivanfl.com/jrvilda/?id=71
[7]http://codenameaika.blogspot.com/2013/05/laboratorio-fping_9756.html
