Asignatura Datos del alumno Fecha

Seguridad en Redes y Apellidos: Soto Bustamante

Análisis Inteligente de
Amenazas Nombre: Wilson Santiago

Actividad: Sistema de detección de intrusos

Objetivos

Reforzar los conocimientos del alumno relativos a mecanismos de defensa de redes

y el uso de sistemas de detección de intrusos.

Descripción

Preparación del entorno: el entorno es el mismo que el utilizado en la actividad

anterior, «Mecanismo de defensa en redes». Ante cualquier duda, se recomienda
revisar el apartado «Preparación del Entorno» de dicha actividad.

Otras herramientas útiles

Con el objetivo de comprobar que las reglas que os pediremos en la actividad son
correctas, podéis hacer uso de algunas herramientas dentro del entorno de
NETinVM.

La primera recomendación es que temporalmente cambiéis la política del

cortafuegos (iptables) a una política permisiva para aseguraros de que no está
bloqueando vuestras pruebas.
© Universidad Internacional de La Rioja (UNIR)

La segunda es que creéis un fichero de configuración específico para vuestras reglas

(por ejemplo, pruebas-snort.conf) y ejecutéis Snort para que monitorice cada uno de
los interfaces del cortafuegos, tal y como se muestra en el siguiente gráfico.

1
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos: Soto Bustamante
Análisis Inteligente de
Amenazas Nombre: Wilson Santiago

Figura 1. Ejecución de Snort. Fuente: elaboración propia.

Finalmente, de nuevo os recomendamos utilizar el comando netcat, tanto para crear

peticiones como para simular servicios (cuando estos no estén desplegados en la
arquitectura). La sintaxis de netcat es muy sencilla. Por ejemplo:

„ Para crear un servicio que escuche en el puerto 80 TCP: nc -l -p 80

„ Para crear un servicio que escuche en el puerto 53 UDP: nc -lu -p 53
„ Para comunicarse con un servicio que escucha en el puerto 80 TCP: nc [IP o
nombre del host] 80
„ Para comunicarse con un servicio que escucha en el puerto 53 UDP: nc -u [IP
o nombre del host] 53
© Universidad Internacional de La Rioja (UNIR)

El siguiente gráfico muestra un ejemplo de una comunicación desde exta con el

servidor web en dmza y como Snort en fw muestra una alerta al detectar uno de los
patrones buscado (GET /pass.html).

2
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos: Soto Bustamante
Análisis Inteligente de
Amenazas Nombre: Wilson Santiago

Figura 2. Alerta de Snort. Fuente: elaboración propia.

Desarrollo de la actividad

Example ha quedado muy satisfecha con tu último trabajo y ha decidido llamarte de

nuevo. Parece que tu recomendación sobre que un cortafuegos no es suficiente por
sí solo hoy en día para proteger una red adecuadamente no ha caído en saco roto. En
© Universidad Internacional de La Rioja (UNIR)

Example ha gustado la idea de Defensa en Profundidad que les explicaste y han

decidido empezar a desarrollarla añadiendo un sistema de detección de intrusos (IDS)
a su arquitectura. La solución escogida ha sido Snort.

3
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos: Soto Bustamante
Análisis Inteligente de
Amenazas Nombre: Wilson Santiago

Tras una reunión donde te explican todos los detalles, dibujas un gráfico de la
arquitectura. No ha cambiado respecto a tu último trabajo para ellos.

Figura 3. Gráfico de la arquitectura a proteger. Fuente: elaboración propia.

Un cortafuegos FW con tres interfaces interconecta tres segmentos de red: la red

interna de la empresa, la DMZ y el acceso a Internet. Dentro de la DMZ se encuentra
un servidor WEB (DMZA). Además, tienes acceso a uno de los equipos de la red local
(INTA) y a otro en Internet (EXTA) que te permite tener una visión de la red desde el
exterior.
© Universidad Internacional de La Rioja (UNIR)

Decides que la mejor localización para el IDS es el cortafuegos FW y te pones manos

a la obra:

4
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos: Soto Bustamante
Análisis Inteligente de
Amenazas Nombre: Wilson Santiago

1. Para facilitar la creación de reglas y mejorar su entendimiento, decides crear

algunas variables. Defines una variable para la red local (RED_LOCAL), otra para el
servidor Web (SERV_WEB) otra para la DMZ (RED_DMZ) y otra para todo lo que
no sea ni red local ni DMZ (RED_EXTERNA).
2. En Example están preocupados porque creen que alguien ha estado atacando su
servidor WEB e intentando descargarse el fichero pass.html. Decides atacar este
problema por partes. Primero vas a añadir una regla que detecte el método GET
en los 3 primeros caracteres de todos los paquetes HTTP (puerto 80) dirigidos al
servidor WEB. Cuando se detecte el patrón indicado la regla, lanzará una alerta
con el mensaje Detectado Metodo GET.
3. Ahora que has comprobado que detectas adecuadamente el uso del método GET,
modificas la regla anterior para detectar la búsqueda del archivo pass.html en
la parte de la URL de la petición. Decides modificar la regla anterior para que, tras
detectar el patrón GET, se busque la cadena pass.html entre los caracteres 5 y
261 de la parte de datos de todos los paquetes HTTP (puerto 80) dirigidos al
servidor WEB. Cuando se detecte el patrón indicado la regla lanzará una alerta con
el mensaje Detectado Intento de Acceso al fichero pass.html.
4. El administrador de red de Example está preocupado porque parece que algunos
trabajadores están utilizando servicios no protegidos en Internet que podrían
exponer sus contraseñas. Decides añadir una regla de Snort que detecte el envío
de contraseñas en claro (comando PASS) desde la red local al conectarse a
servicios de transferencia de ficheros (FTP) o de consulta de correo (POP3) en
máquinas de Internet. Cuando se detecte el patrón indicado, la regla lanzará una
alerta con el mensaje Detectado uso de contraseñas en claro.
© Universidad Internacional de La Rioja (UNIR)

Entrega y extensión de la actividad

Ya has configurado el IDS con las reglas adecuadas, has comprobado que todo sea
correcto y crees que has terminado el trabajo, pero no es así. El responsable de

5
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos: Soto Bustamante
Análisis Inteligente de
Amenazas Nombre: Wilson Santiago

seguridad de Example es de la vieja escuela y quiere todas las reglas documentadas.

Además, es muy quisquilloso y solo aceptará la documentación si se la entregas en
un formato concreto. Debes rellenar la tabla 1 solo con las reglas de Snort que
deberían aplicarse para llevar a cabo las acciones solicitadas, generar un PDF y hacer
entrega de este a través de la plataforma facilitada dentro del plazo establecido.
¡Suerte!

Notas:

„ Todas las acciones deben llevarse a cabo con una única regla (a excepción de la
acción 1 para la que se requiere la definición de tres variables).
„ La evaluación de la práctica se llevará a cabo únicamente evaluando la tabla de
reglas que entreguéis.
„ Utilizad las variables definidas en el primer punto en el resto de los apartados,
siempre que sea posible.
„ Utilizad los puertos conocidos asociados a los protocolos:
https://es.wikipedia.org/wiki/Anexo:Puertos_de_red

Acción Regla
1. Definir una variable para la red local (RED_LOCAL), ipvar RED_LOCAL 10.5.2.0/24
otra para el servidor Web (SERV_WEB) otra para la ipvar SERV_WEB 10.5.1.10
DMZ (RED_DMZ) y otra para todo lo que no sea ni red ipvar RED_DMZ 10.5.1.0/24ip
local ni DMZ (RED_EXTERNA). var RED_EXTERNA any
2. Añadir una regla que detecte el método GET en los 3
alert tcp any any -> $SERV_WEB 80
primeros caracteres de todos los paquetes HTTP
(msg:"Detectado Metodo GET";
(puerto 80) dirigidos al servidor WEB. Cuando se
content:"GET"; depth:3;
detecte el patrón indicado la regla lanzará una alerta
sid:1000001;)
con el mensaje Detectado Metodo GET.
© Universidad Internacional de La Rioja (UNIR)

3. Modificar la regla anterior para que, tras detectar el

alert tcp any any -> $SERV_WEB 80
patrón GET, busque la cadena pass.html entre los
(msg:"Detectado Intento de Acceso
caracteres 5 y 261 de la parte de datos de todos los
al fichero pass.html";
paquetes HTTP (puerto 80) dirigidos al servidor WEB.
content:"GET"; depth:3;
Cuando se detecte el patrón indicado la regla lanzará
content:"pass.html";offset:4;
una alerta con el mensaje Detectado Intento de Acceso
depth:257; sid:1000002;)
al fichero pass.html.

6
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos: Soto Bustamante
Análisis Inteligente de
Amenazas Nombre: Wilson Santiago

4. Añadir una regla de Snort que detecte el envío de

alert tcp $RED_LOCAL any ->
contraseñas en claro (comando PASS) desde la red
$RED_EXTERNA [21,110]
interna al conectarse a servicios de transferencia de
(msg:"Detectado uso de
ficheros (FTP) o de consulta de correo (POP3) en
contraseñas en claro";
máquinas de Internet. Cuando se detecte el patrón
content:"PASS"; nocase;
indicado la regla lanzará una alerta con el mensaje
sid:1000003;)
Detectado uso de contraseñas en claro.

Rúbrica

Sistemas de Puntuación
Peso
detección de Descripción máxima
%
intrusos (puntos)
Criterio 1 Cada Variable vale 0.75 puntos 2.5 25%
Criterio 2 Cada Regla vale 2.5 puntos 7.5 75%
Criterio 3 Se resta 0.75 por cada fallo u omisión de
un parámetro
Criterio 4 Tres o más fallos en una regla hacen que
esa regla puntúe 0
10 100 %
© Universidad Internacional de La Rioja (UNIR)

7
Actividades