Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 87 vistas

    Informe Suricata

    Cargado por

    ivanel zeledon
    El documento describe el funcionamiento del servicio Suricata en una red local para ofrecer protección contra intrusos. Suricata es un software de código abierto que funciona como un sistema de detección e prevención de intrusos (IDS/IPS) en tiempo real. El documento explica cómo se instaló y configuró Suricata, los objetivos de su uso, conceptos teóricos sobre redes y monitoreo de redes, y muestra capturas de pantalla que demuestran cómo Suricata detectó y bloqueó diferentes ataques a la red.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Informe Suricata

    Cargado por

    ivanel zeledon
    87 vistas12 páginas
    El documento describe el funcionamiento del servicio Suricata en una red local para ofrecer protección contra intrusos. Suricata es un software de código abierto que funciona como un sistema de detección e prevención de intrusos (IDS/IPS) en tiempo real. El documento explica cómo se instaló y configuró Suricata, los objetivos de su uso, conceptos teóricos sobre redes y monitoreo de redes, y muestra capturas de pantalla que demuestran cómo Suricata detectó y bloqueó diferentes ataques a la red.

    Título original

    Informe suricata

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento describe el funcionamiento del servicio Suricata en una red local para ofrecer protección contra intrusos. Suricata es un software de código abierto que funciona como un sistema de detección e prevención de intrusos (IDS/IPS) en tiempo real. El documento explica cómo se instaló y configuró Suricata, los objetivos de su uso, conceptos teóricos sobre redes y monitoreo de redes, y muestra capturas de pantalla que demuestran cómo Suricata detectó y bloqueó diferentes ataques a la red.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    87 vistas12 páginas

    Informe Suricata

    Cargado por

    ivanel zeledon
    El documento describe el funcionamiento del servicio Suricata en una red local para ofrecer protección contra intrusos. Suricata es un software de código abierto que funciona como un sistema de detección e prevención de intrusos (IDS/IPS) en tiempo real. El documento explica cómo se instaló y configuró Suricata, los objetivos de su uso, conceptos teóricos sobre redes y monitoreo de redes, y muestra capturas de pantalla que demuestran cómo Suricata detectó y bloqueó diferentes ataques a la red.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 12

    Universidad Nacional De Ingeniería

    Facultad De Electrotecnia y Computación (FEC)

    UNIVERSIDAD NACIONAL DE INGENIERÍA

    ESTUDIANTE: GEORGILIS IVANELLY ZELEDÓN VALENZUELA


    CARNÉ:2017-1111U

    Docente: Ing. Julio Ronaldo Gaitán

    ASIGNATURA: REDES DE COMPUTADORA S Servicio: suricata


    2
    Introducción

    El servicio que se realizó durante el semestre fue suricata, este open source es el
    encargado de evitar que intrusos ingresen a la red, realizando una función de protección
    y de monitoreo de red en tiempo real a través de Open Information security information
    Foundation (OISF), que es una organización encargada de crear servicios de seguridad
    en calidad de open source.

    Suricata en esta topología será vital para evitar que intrusos ingresen a la red debido a la
    ausencia de firewall y de medidas de seguridad internas es necesario por lo menos
    poseer medidas de seguridad externas y un medio de monitoreo en ausencia de Nagios
    para esta red local realizada con direccionamiento estático y enrutamiento dinámico
    como en este caso sería RIP v2.

    Durante el semestre se estudiaron los diversos protocolos que se encuentran en una red
    computacional como en este caso serían: UDP, TCP, IP, telnet y SSH, sin embargo, los
    de seguridad no se estudiaron por lo tanto este proyecto lo hace más atractivo para
    futuras topologías.

    Suricata utiliza las aplicaciones de IDS e IPS , el primero es un sistema de detección de


    intrusos y el segundo es el encargado de prevenir a los intrusos, IDS lo único que hace
    es reportar cuando un intruso fuerza la entrada a la red este será detectado y emitirá una
    alerta para el sistema de seguridad de la topología como lo es un firewall o un sistema
    de protección de red, mientras que el IPS es el encargado de prevenir a los intrusos, este
    es un software que protege a las topologías de red de intrusos realizando la función de
    firewall y de UTM (Gestión unificada de amenazas1).

    1
    En español en su idioma original que sería el inglés (Unified Threat Management)
    Objetivos

    Objetivo General

    Demostrar el funcionamiento del servicio de suricata en una red local, con el fin de
    ofrecer una barrera de protección contra intrusos y bloqueo de algunos servicios.

    Objetivos Específicos

    Registrar los mensajes y alertas de suricata en la red de prueba.


    Examinar a través de Kali-Linux su nivel de defensa ante amenazas.
    Indicar protocolos que intervienen en las vulnerabilidades de la red y bloquearlos.
    Analizar los resultados obtenidos en cada ataque que se realice.
    Marco Teórico

    I- Introducción

    A. Definición del servicio Suricata

    Suricata es un motor de monitoreo de seguridad de red, IPS e IDS de red de alto


    rendimiento. Es de código abierto y es propiedad de una fundación sin fines de lucro
    administrada por la comunidad, la Open Information Security Foundation (OISF).
    Suricata es desarrollado por la OISF.

    B. Requisitos de Instalación

    Se ejecuta en una versión reciente de Ubuntu, ya que se puede utilizar el PPA oficial
    para la instalación.

    Pasos de instalación:

    sudo add-apt-repository ppa: oisf / suricata-stable


    actualización de sudo apt
    sudo apt instalar suricata jq

    Se agrega el repositorio de PPA dedicado y, después de actualizar el índice, se puede


    instalar Suricata. Recomendamos instalar la herramienta jq en este momento, ya que
    ayudará a mostrar información de la salida EVE JSON de Suricata.

    Después de instalar Suricata, puede verificar qué versión de Suricata tiene en ejecución
    y con qué opciones, así como el estado del servicio:

    sudo suricata --build-info


    sudo systemctl status suricata

    C. Usos del servicio Suricata

    Los protocolos más comunes son reconocidos automáticamente por Suricata, tanto http,
    https, ftp, smtp, pop3 y otros, permitiendo así que podamos configurar reglas para los
    permisos y el filtrado del tráfico que entra y sale, además controlamos el puerto por el
    que se accede a cada protocolo.

    Otro de los servicios que brinda es la identificación Archivo, sumas de verificación


    MD5 y control de archivos comprimidos. Suricata puede identificar que tipos de archivo
    están transfiriéndose o accediéndose en la red. Si queremos acceder a un archivo, esta
    tarea hará que Suricata cree un archivo en el disco con formato de metadatos que
    describe la situación y la tarea realizada. La suma de verificación MD5 sirve para
    determinar que el archivo de metadatos que guarda la información de las tareas
    realizadas no ha sido modificado.

    II- Configuración

    Ilustración 1. Ingreso al modo super usuario

    Ilustración 2. Proceso de instalación de suricata

    Ilustración 3. Localización de archivo Raíz suricata

    Ilustración 4. Versión activa suricata

    Ilustración 5. Verificación de arranque Suricata

    Ilustración 6. Directorio Suricata

    Ilustración 7. Pasos de Suricata

    Ilustración 8. Comando para modificar tablas

    Ilustración 9. Directorio Reglas


    Ilustración 12. Primera prueba Facebook

    Ilustración 13. Configuración de detección de fishing


    Ilustración 14. Reglas Finales

    Ilustración 15. Instalación de Suricata como IPS

    Ilustración 16. Primera prueba Kali (Ping)


    Ilustración 17. Segunda prueba Facebook, Suricata como IPS

    Ilustración 18. Ingreso de super Usuario con -i

    Ilustración 19. Prueba Kali con UDP a Suricata

    Ilustración 20. Prueba Ping con Kali, hacia Suricata modo IPS

    Con las imágenes anteriores se pudieron observar la instalación básica de suricata, en


    cual consiste en crear reglas para proteger a la red de los principales ataques
    informáticos, como lo son: Escaneo de puertos, ping para localizar equipos activos y
    escaneo a través de banderas de una red antes de continuar con la comparación puntual
    de como usar suricata como IPS y otra como IDS, se realizará un breve resumen de
    como se constituye la capa de red y como esta desempeña un papel vital en toda
    topología informática.
    III- Capa de red

    A. Concepto

    “La capa de red se encarga de llevar los paquetes todo el camino, desde el origen hasta
    el destino. Para llegar al destino tal vez sea necesario realizar muchos saltos en el
    camino por enrutadores intermedios. Esta función ciertamente contrasta con la de la
    capa de enlace de datos, cuya única meta es mover tramas de un extremo del cable al
    otro. Por lo tanto, la capa de red es la capa más baja que maneja la transmisión de
    extremo a extremo” (Tannenbaum,2012).

    Para lograr sus objetivos, la capa de red debe conocer la topología de la red (es decir, el
    conjunto de todos los enrutadores y enlaces) y elegir las rutas apropiadas incluso para
    redes más grandes. También debe tener cuidado al escoger las rutas para no sobrecargar
    algunas de las líneas de comunicación y los enrutadores, y dejar inactivos a otros. Por
    último, cuando el origen y el destino están en redes diferentes, ocurren nuevos
    problemas. La capa de red es la encargada de solucionarlos. En este capítulo
    estudiaremos todos estos temas y los ilustraremos, principalmente mediante el uso de
    Internet y su protocolo de capa de red, IP.

    B. Servicios heredados

    Servicios proporcionados a la capa de transporte

    La capa de red proporciona servicios a la capa de transporte en la interfaz entre la capa de red y de
    transporte. Una pregunta importante es qué tipo de servicios proporciona precisamente la capa de red
    a la capa de transporte. Hay que diseñar los servicios de manera cuidadosa, con los siguientes
    objetivos en mente:

    1. Los servicios deben ser independientes de la tecnología del enrutador.


    2. La capa de transporte debe estar aislada de la cantidad, tipo y topología de los enrutadores
    presentes.
    3. Las direcciones de red disponibles para la capa de transporte deben usar un plan de numeración
    uniforme, incluso a través de redes LAN y WAN.

    Implementación del servicio sin conexión

    Puesto que ya vimos las dos clases de servicios que la capa de red puede proporcionar a
    sus usuarios, es tiempo de analizar el funcionamiento interno de esta capa. Se pueden
    realizar dos formas de organización distintas, dependiendo del tipo de servicio ofrecido.
    Si se ofrece el servicio sin conexión, los paquetes se transmiten por separado en la red y
    se enrutan de manera independiente. No se necesita una configuración por adelantado.
    En este contexto, por lo general los paquetes se conocen como datagramas
    (en analogía con los telegramas) y la red se conoce como red de datagramas.

    Si se utiliza el servicio orientado a conexión, hay que establecer una ruta del enrutador
    de origen al enrutador de destino antes de poder enviar cualquier paquete de datos. Esta
    conexión se conoce como VC (circuito virtual), en analogía con los circuitos físicos
    establecidos por el sistema telefónico, y la red se denomina red de circuitos virtuales. En
    esta sección examinaremos las redes de datagramas; en la siguiente analizaremos las
    redes de circuitos virtuales.

    IV- Sistema de monitoreo

    A- Concepto
    El Protocolo simple de administración de redes (SNMP, Simple Network Management
    Protocol) está ubicado en la capa siete del modelo OSI, facilita la administración de los
    equipos en la red, permite a los administradores supervisar, encontrar y resolver
    problemas de una manera más fácil y cómoda.

    Los sistemas SNMP están basados por los 4


    elementos:
    • Estación de administración: típicamente son dispositivos o computadoras de
    trabajo corriendo un software de administración.
    • Equipos o nodos administrados: cualquier equipo que contenga un MIB
    y ejecute un agente SNMP.
    • Información de administración: MIB (Management Information Base).
    • Protocolo de administración: SNMP (Simple Network Management Protocol):
    protocolo de la capa de Aplicación de la suite de protocolos de internet, que aprueba
    comunicarse con los funcionarios de información, para, a través de estos, leer y/o
    modificar el estado de los OIDs que son los identificadores de objetos de una MIB.

    El protocolo SNMP tiene 3 versiones las cuales son: version1 “SNMP v1”, versión 2
    “SNMP v2” y versión 3 “SNMP v3”. SNMPv1 y SNMPv2c ofrecen características de
    seguridad mínima.

    Específicamente, SNMPv1 y SNMPv2c no pueden autenticar el origen de un mensaje


    de administración ni proporcionar cifrado. Agrega métodos para garantizar la
    transmisión segura de datos importantes entre los dispositivos
    Administrados.

    B- Usos

    servicio IDS basado en reglas para controlar el tráfico de red y proporcionar alertas al
    administrador del sistema cuando se producen eventos sospechosos, es muy útil para
    que acompañado por otros sistemas de seguridad de red permita proteger nuestros datos
    de accesos indebidos.

    Suricata cuenta con la funcionalidad y opciones de bibliotecas que pueden añadirse


    mediante plugins para incorporarse como monitor o API en otras aplicaciones.

    V- Conclusión

    Suricata es un servicio muy versátil debido a sus múltiples funciones, aunque en la


    presentación nos centraremos en el modo IPS, que es el sistema encargado de proteger a
    la topología de ataques informáticos en el caso de simular los ataques se utilizó el
    sistema operativo Kali que es una distribución de Linux especializada en forzar un
    ingreso a las redes, con esto suricata emite una alerta cada ataque para dificultar el
    acceso del intruso a la red.

    De igual forma se observa que suricata es fácil de instalar y versátil de usar sin
    descuidar su gran potencial como medio de protección que nos ayuda a adentrarnos al
    mundo de la ciberseguridad área demandad hoy en día, debido a la digitalización de las
    tareas y medios es necesario de hacerlo de forma segura, eficiente y escalable.

    También podría gustarte