Velay López Angel Mosiah Seguridad Informática

Tarea 7 : Investigación .Herramientas de Detección de Intrusos

Objetivos :
• Conocer diferentes herramientas para la detección de intrusos
• Conocer las características de las herramientas elegidas
• Desarrollar una comparación de pros y contras de las herramientas elegidas

Introducción

Actualmente,existen muchos Sistemas de Detección de Intrusiones (IDS), que van desde sistemas
antivirus hasta sistemas jerárquicos, que monitorizan el tráfico de la red. Los más comunes son los
siguientes:
•NIDS : Los sistemas de detección de intrusiones de red se colocan en puntos estratégicos de la
red para supervisar el tráfico entrante y saliente de todos los dispositivos de la red. Pero la
exploración de todo el tráfico podría conducir a la creación de cuellos de botella, lo que afecta a
la velocidad general de la red.

•HIDS : Los sistemas de detección de intrusiones del host se ejecutan en máquinas o

dispositivos separados de la red y proporcionan salvaguardias a la red general contra amenazas
procedentes del exterior.

•IDS basados en firmas : Los IDS basados en firmas supervisan todos los paquetes de la red y
los comparan con la base de datos de firmas, que son patrones de ataque preconfigurados y
predeterminados. Funcionan de forma similar al software antivirus.

•IDS basados en anomalías : Estos IDS monitorean el tráfico de red y lo comparan con una línea
de base establecida. La línea base determina lo que se considera normal para la red en términos
de ancho de banda, protocolos, puertos y otros dispositivos, y el IDS alerta al administrador de
todo tipo de actividad inusual.

•IDS Pasivo : Este sistema IDS realiza el sencillo trabajo de detección y alerta. Simplemente
alerta al administrador de cualquier tipo de amenaza y bloquea la actividad en cuestión como
medida preventiva.

•Identificación reactiva : detecta actividad malintencionada, alerta al administrador de las

amenazas y también responde a esas amenazas.
 Snort

Todo un veterano cuando se trata de análisis de paquetes. La primera versión vió la luz allá por 1998.
Cabe mencionar que en aquel momento no se contempló como IDS puro, pero fue evolucionando hasta
ese punto poco a poco.

Desde entonces se ha ido convirtiendo en un estandar para sistemas de detección de intrusiones,

eventualmente IPS (Intrusion Prevention System) gracias al trabajo de la comunidad. Sistemas como el
de AlienVault lo integran para el análisis de riesgos.

Entre sus ventajas, podemos destacar varios aspectos. Uno de los más evidentes es su longevidad y la
buena salud del proyecto, algo que nos permite implementarlo sin preocuparnos por el futuro. También
destaca el gran apoyo de la comunidad Snort y por tanto el hecho de ser una herramienta muy probada.

Como desventajas solo podemos decir que Snort no cuenta por defecto con un GUI o interfaz gráfica
de usuario por defecto, por tanto no es tan fácil de administrar como otras. Sin embargo, existen
herramientas opensource para compensarlo, como Snorby o Squil, así que no es un problema
realmente.
Suricata

Podríamos decir que la única razón para no utilizar Snort es estar utilizando Suricata. Aunque se trata
de una herramienta IDS de arquitectura distinta, se comporta de la misma manera que Snort y usa las
mismas firmas. De hecho, es capaz de funcionar sobre Snort, formando un poderoso tándem.

A continuación enumeraré algunos de los puntos clave de este sistema de detección de intrusiones
avanzado:

•Multi-hilo: Snort se ejecuta en modo uni-hilo y por tanto solo puede aprovechar un núcleo de la CPU
al mismo tiempo. Suricata aprovecha los procesadores multi-núcleo y multi-threading. Existen
benchmarks que demuestran una considerable diferencia de rendimiento.

•Aceleración mediante hardware: es posible utilizar tarjetas gráficas para inspecionar tráfico de red.

•Extracción de ficheros: si alguien se descarga malware en nuestro entorno, es posible capturarlo y

estudiarlo desde Suricata.
•LuaJIT: nos proporcionará el poder que nos falta mediante scripting, pudiendo combinar varias
reglas, para buscar elementos con mayor eficiencia.

•Más que paquetes: Suricata no solo es capaz de analizar paquetes, también puede revisar los
certificados TLS/SSL, peticiones DNS, solicitudes HTTP…

Dadas sus fortalezas, no extraña que siga siendo una de las herramientas de detección de intrusiones
más populares.

Bro
A veces llamado Bro-IDS o simplemente Bro, este sistema es algo distinto de los dos anteriores. En
cierto modo, Bro es tanto un IDS basado en anomalías como en firmas. El tráfico capturado generará
una serie de eventos. Por ejemplo, un evento podría ser un inicio de sesión de usuario a un FTP,
conexión a servicio web o casi cualquier cosa.

El verdadero punto fuerte de Bro es el Intérprete de Políticas Script. Con su propio lenguaje de
adminsitración (Bro-Script) nos ofrece posibilidades muy interesantes.

Si alguna vez has querido automatizar parte de tus tareas de análisis y recolección de datos, esta es la
herramienta que buscas. Por poner un ejemplo de su versatilidad, con Bro podríamos descargar ficheros
encontrados en nuestro entorno, remitirlos para un análisis de malware, notificar si se encuentra un
problema y después introducir en la lista negra la fuente del mismo. Como colofón, incluso podríamos
apagar el equipo remoto del usuario que lo descargó.

En caso de no ser un analista con cierta experiencia, podrías acusar una curva de aprendizaje bastante
fuerte y quizá deberías fijarte antes en otra herramienta como Suricata o Snort. Sin embargo, en caso
contrario te interesa bastante, porque además es capaz de detectar más patrones de actividad que la
mayoría de IDS.

Kismet (Wireless)
Del mismo modo que Snort se convirtió en el estandar para análisis de intrusiones en red, Kismet se ha
ido convirtiendo en una referencia para IDS wireless. Un IDS Wireless tiene menos que ver con la
carga de paquetes en sí, y más con los eventos que suceden en la red.

WIDS encontrará, por ejemplo, Puntos de acceso falsos o simulados (Rogue AP) que incluso podrían
ser creados sin maldad por un empleado de la empresa, abriendo una brecha en la red. En cualquier
caso, si nuestra red dispone de repetidores y puntos de acceso WiFi, es ideal para evitar intentos de
suplantación de nuestra SSID/Mac y por tanto, evitrar ataques MiTM

Conclusiones
• En este proyecto, se ha pretendido mostrar la importancia de la seguridad y de la protección de
intrusiones en los sistemas y en las redes. Como se ha visto, son muchos los sistemas de
 detección de intrusos existentes, tanto comerciales, como de libre distribución que ofrecen
soluciones para la seguridad de distintos esquemas de red. Siendo este un sector en auge y
necesario para los entornos empresariales. De entre las soluciones de detección de intrusos, se
ha escogido Snort, un sistema de libre distribución, ya que por sus características es
considerado uno de los principales detectores de intrusos.
• Esto se debe a su motor de detección, a su versatilidad en distintos entornos de red, a la cantidad
de software complementario, análisis de logs, opciones de configuración, etc. Además consta de
gran cantidad de filtros o patrones predefinidos y de constantes actualizaciones.
• Asimismo, hay que destacar la ventaja que representa el uso de herramientas de software libre,
ya que proporciona numerosas posibilidades y es muy importante el apoyo que se encuentra en
los distintos medios como foros, páginas webs, etc. Si bien el software libre también tiene la
desventaja de que en numerosas ocasiones, hay mucha información poco fiable y por ello, hay
que consultar muchas fuentes y cerciorarse de que la información obtenida es la adecuada.

Bibliografía
• https://protegermipc.net/2017/02/22/mejores-ids-opensource-deteccion-de-intrusiones/
• https://www.segu-info.com.ar/proteccion/deteccion.htm
• http://catarina.udlap.mx/u_dl_a/tales/documentos/lem/martinez_l_ma/capitulo2.pdf
• https://openwebinars.net/blog/las-8-mejores-herramientas-open-source-de-deteccion-de-
intrusion/