• No se han encontrado resultados

Propuesta de Implementación de un IDS en la ESIME Zacatenco.

PRUEBAS Y PROPUESTA DE IMPLANTACIÓN

3.6 Propuesta de Implementación de un IDS en la ESIME Zacatenco.

La implantación de un Sistema de Detección de Intrusos(IDS), en la Escuela Superior de Ingeniería Mecánica y Eléctrica, Unidad Zacatenco, se llevaría a acabo con la finalidad de resolver varias problemáticas con las que se cuentan actualmente en este centro de estudios, considerando dentro de las medidas necesarias una política de seguridad. Esta política se basará en monitoreos realizados en diferentes puntos estratégicos de la red escolar, en esta política se deben aprobar las principales iniciativas para incrementar la seguridad de la información, proponer las responsabilidades generales en materia de seguridad y promover la difusión y apoyo a la seguridad de la información dentro del organismo.

La propuesta de implementación se divide en tres partes: 1º. Monitoreo individual

2º. Monitoreo en conjunto

3º. Monitoreo en base a resultados

Monitoreo individual: En esta opción se pretende monitorear varios puntos en red de manera individual, y es en primera instancia para conocer la actividad en algunos puntos específicos, que son segmentos conflictivos dentro de la red.

Monitoreo en conjunto: Esta sería la opción principal, de un monitoreo en red y consta de la instalación de un sistema de detección de intrusos el cual tendrá varios sensores de análisis distribuidos en diferentes puntos o equipos de la red, cuya misión será entregar a un equipo administrador un informe detallado de la actividad presente en dichos puntos, con lo que se tendrá la información del comportamiento general de toda la red y se podrá llevar un registro global de las ocurrencias.

Monitoreo en base a resultados: Se realizan modificaciones si son necesarias en la configuración del IDS, cambios de acuerdo a los registros obtenidos, se pueden proponer reglas especiales si se observan continuamente incidencias no deseadas en la red, con lo cuál se busca mejorar la seguridad y desempeño del IDS.

La propuesta de la implantación en su etapa de monitoreo individual, plantea dentro de los lugares estratégicos para colocar los sensores, dos sitios principales para ver el comportamiento de la red, el Site de la unidad informática de la ESIME, donde se encuentra la salida hacia la red institucional del instituto y el Site del Edificio 3, donde se encuentra control escolar para vigilar la actividad presente, ya que este punto ha sufrido ataques como la modificación de datos en su pagina principal.

Una vez montado este sistema en los puntos clave, se deja trabajar al IDS por ciertos periodo de tiempo, para obtener los registros de lo monitoreado y posteriormente presentar reportes semanales del análisis de los datos presentes en la red.

Fibra óptica Labs. pesados Servidores Unidad Informática, 2 FTP, MODUL Site Edif1 Site Edif2 Site Edif 3 Site Edif 4 Site Edif 5 Comunicaciones Electrotécnia SEPI

Site Edif 5 3er IDS

Snort

NOTA: Además se recomienda instalar Snort en segmentos conflictivos que se tengan en la escuela.

IDS Snort IDS Snort

Fibra óptica

Servidor Unidad Informatica, 2 FTP, MODUL

Site Edif1 Site Edif2

Site Edif 3

Site Edif 4

Site Edif 5

Servidor labs. pesados ICA

Servidor comunicacionesServidor Electrotécnia

Servidor SEPI

Figura 3.22 Topología general de la red de ESIME Zacatenco.

En la imagen se muestra como esta constituída la red institucional de ESIME Zacatenco, esto nos ayuda a entender mejor donde colocar los sensores, cabe resaltar que dos lugares dentro de la red considerados de riesgo se encuentran; uno en la unidad de Informática y otro en el Edificio 3, ya que en estos puntos existen centros de computo, en los cuales se brinda servicio a Internet y el público en general tiene acceso a la red, y otro punto es en el Edificio 1.

A continuación se muestran las características de los equipos sensores adecuadas o recomendadas para realizar el monitoreo en los equipos sensores.

PC propuesta para implantación de IDS

Procesador: Intel XEON Doble Núcleo 3040, 2 MB Caché, 1.86 GHz, 1066 MHz FSB

Memoria: DIMM 1GB, DDR2, 667 MHz (2x512 MB)

Disco Duro: 250 GB SATA., 7200 RPM

Tarjeta de Red Ethernet: Gigabit Intel®PRO 1000PF

Dispositivo Óptico: Combo de unidad CDRW/DVD IDE 48X

Costo: $12,000.00 M/N

Tabla 3.2 Características de propuesta para equipo de monitoreo

Una etapa para mejorar aún más la red escolar, es programar ciertas tareas en nuestro IDS Snort, para que al cumplir con ciertos parámetros obtenidos de los paquetes de red, efectúe algunas actividades de seguridad informática.

En el archivo snort.conf ubicado /etc/snort se le indica a la aplicación que acepte conexiones del sistema donde se ejecuta.

Con estas medidas podemos asegurar que la estabilidad de la red mejorará considerablemente y se podrán atacar diferentes anomalías que se llegaran a suscitar en torno a la red de la ESIME Zacatenco e identificar el origen de los ataques.

CONCLUSIONES

Con el presente trabajo de investigación utilizando un software en código abierto; se obtuvieron avances sustanciales en el conocimiento acera del funcionamiento del IDS Snort, como un sistema que detecta acciones de usuarios maliciosos, debido a los reportes obtenidos, donde se observó la manera en como lanza los registros para lo cuál se deja una propuesta para que se pueda implementar en la ESIME Zacatenco

El monitorear, encontrar y analizar ataques en una red de datos nos permite poder diseñar una red más segura con herramientas como son Firewall, Listas de Control de Acceso, Políticas para usuarios y empleados además de poder mejorar configuraciones en equipos de comunicación y servidores

Las herramientas de software libre, nos permiten la implementación de una gran cantidad de servicios sin necesidad de pagar licencias pero se recomienda siempre dimensionar correctamente el equipo de computo donde se implementaran estas soluciones basándonos en la cantidad de usuarios y servicios que se vayan a implementar.

El software libre también nos permite ahorros significativos al no tener que pagar licencias a fabricantes, que en el caso de fabricantes de IDS sus costos son hasta de cientos de miles de pesos.

BIBLIOGRAFÍA

[1] CHESWICK William R. Bellovin Stephen M. 1995. FIREWALLS AND INTERNET SECURITY. REPELLING THE WILY HACKER. Addison-Wesley Publishing Company.

[2] MOLINA Robles Francisco José. 2005. INSTALACIÓN Y MANTENIMIENTO DE SERVICIOS DE REDES LOCALES. Alfaomega grupo editor, S.A. de C.V. México. [3] MOLINA Robles Francisco José. 2004. SEGURIDAD EN REDES INFORMÁTICAS.

Capítulo 11. REDES DE ÁREA LOCAL. Alfaomega grupo editor, S.A. de C.V. México.

[4] PTACEK T. Newman T. INSERTION, EVASIÓN AND DENIAL OF SERVICE: ELUDING NETWORK INTRUSIÓN DETECTION. http://www.snort.org/docs/. [5] RAYA Cabrera José Luis. Raya López Elena. 2005. REDES LOCALES. 3ª Edición.

Alfaomega grupo editor, S.A. de C.V. México.

[6] RICH Amy (Sun). ANALYZING SNORT DATA WITH THE BASIC ANALYSIS AND SECURITY ENGINE (BASE). http://www.snort.org/docs/.

[7] ROESCH Martin. Green Chris. Sourcefire, Inc. 2008. SNORTUSERS MANUAL 2.3.3

THE SNORT PROJECT.

http://www.snort.org/docs/snort_manual/snort_manual.html

[8] VACCA John R. 1997. INTERNET SECURITY SECRETS. (Los Secretos de la Seguridad en Internet). Ediciones Anaya Multimedia. Madrid, España.

[9] VOSSEN J.P. SNORT TECHNICAL GUIDE. Disponible en http://www.snort.org/docs/. http://www.enterasys.com/products/ http://www.cisco.com/ http://www.stonesoft.com http://howtoforge.com/intrusion-detection-with-snort-mysql-apache2-on-ubuntu-7.10- updated http://es.wikipedia.org/wiki/ http://www.idg.es/Comunicaciones/articulo.asp?id=184258

APÉNDICE A

Sistema de Monitoreo y Detección