Intrusos informaticos, prevencion y normas de seguridad informatica
“Sistema de Prevención de Intrusos para mejorar la ... · Capítulo I. PLAN DE INVESTIGACION,...
60
Escuela Académico-Profesional De Informática Facultad De Ciencias Físicas Y Matemáticas Universidad Nacional De Trujillo “Sistema de Prevención de Intrusos para mejorar la seguridad de los servidores de la Universidad Nacional de Trujillo” Plan de Proyecto de Trabajo de Graduación Díaz Díaz, José Antonio. Salcedo Salazar, Juan Diego.
Transcript of “Sistema de Prevención de Intrusos para mejorar la ... · Capítulo I. PLAN DE INVESTIGACION,...
Escuela Académico-Profesional De Informática
Facultad De Ciencias Físicas Y Matemáticas
Universidad Nacional De Trujillo
“Sistema de Prevención de Intrusos para
mejorar la seguridad de los servidores de
la Universidad Nacional de Trujillo”
Plan de Proyecto de Trabajo de Graduación
Díaz Díaz, José Antonio. Salcedo Salazar, Juan Diego.
i
Presentación
Señores Miembros del Jurado:
En cumplimiento a las normas vigentes del Reglamento de Grados y Títulos de la
Facultad de Ciencias Físicas y Matemáticas, carrera de Informática de la Universidad
Nacional de Trujillo tenemos a bien poner a vuestra consideración el presente trabajo de
investigación intitulado:
“Sistema de Prevención de Intrusos para mejorar la seguridad de los servidores de
la Universidad Nacional de Trujillo”
Con la culminación de este trabajo de investigación se espera cumplir las exigencias
formuladas en toda la investigación, agradeciéndoles por anticipado las sugerencias y
apreciaciones que se hiciera al respecto.
Trujillo, Noviembre del 2014
-----------------------------------------------
DIAZ DIAZ JOSE ANTONIO
------------------------------------------------
SALCEDO SALAZAR JUAN DIEGO
ii
Resumen
El tema del presente trabajo, proponemos es Sistema de Prevención de Intrusos para
mejorar la seguridad de los servidores de la Universidad Nacional de Trujillo.
La oficina de sistemas e informática es el ente encargado de las redes y equipos
servidores que mantienen la información de sistemas y datos de la Universidad Nacional de
Trujillo. Por tal motivo, en el presente trabajo de investigación se describe los pasos
necesarios para la implementación de un sistema de prevención de intrusos basados en
software libre, el cual permite mantener un historial e información en tiempo real, sobre
posibles intentos de accesos o intentos de vulnerabilidad de los servidores por parte de
usuarios no autorizados, mediante la configuración de reglas que se adapten a las
necesidades reales de la oficina de sistemas e informática.
Para cumplir con el objetivo planteado, el presente proyecto se encuentra estructurado de
seis capítulos que se detallan a continuación:
Capítulo I. PLAN DE INVESTIGACION, como su nombre lo indica el plan de
investigación, aquí podemos encontrar la formulación del problema, la realidad
problemática, los antecedentes, el lugar donde se realizara pondrá en funcionamiento el
sistema.
Capítulo II. MARCO TEORICO, nos detalla los términos y definiciones importantes,
en el proyecto.
Capítulo III. MATERIALES Y METODOS, se enfoca en los diferentes tipos de
instrumentos usados para hacer la recolección de datos, el tipo de investigación, la
metodología seguida, también nos presenta la variable dependiente, independiente, la
población y muestra.
Capítulo IV. RESULTADOS, presenta el análisis de resultados junto con la
interpretación de ellos.
Capítulo V. REFERENCIAS BIBLIOGRAFICAS, aquí se presenta los distintos
artículos científicos, libros, enlaces web, aquellos revisados y estudiados, que junto con los
conocimientos adquiridos a través de la carrera hicieron posible la realización del presente
proyecto.
iii
Índice general
Presentación ......................................................................................................................................... i
Resumen .............................................................................................................................................. ii
Índice general ....................................................................................................................................iii
Índice de cuadros ............................................................................................................................... vi
Índice de figuras ............................................................................................................................... vii
Plan de investigación ......................................................................................................................... 1
1.1. Realidad Problemática ...................................................................................................... 1
1.2. Título Tentativo ................................................................................................................. 2
1.3. Autores ............................................................................................................................... 2
1.4. Asesor ................................................................................................................................. 2
1.5. Lugar de ejecución del proyecto ...................................................................................... 2
1.6. Antecedentes ...................................................................................................................... 2
1.6.1. Sistema inteligente de detección de intrusos. .......................................................... 2
1.6.2. Estudio e implementación de una Metodología de Prevención de Intrusos para
redes LAN. ................................................................................................................................. 3
1.6.3. Sistema Preventor de Intrusos para la Escuela Superior de Ingeniería Mecánica
y Eléctrica de Zacatenco. .......................................................................................................... 3
1.6.4. Sistema de Detección y Prevención de Intrusos para el Control de
Vulnerabilidades en los Servidores de la Facultad de Ingeniería en Sistemas, Electrónica
e Industrial de la Universidad Técnica de Ambato. ............................................................... 4
1.7. Objetivos ............................................................................................................................ 4
1.7.1. General ....................................................................................................................... 4
1.7.2. Específicos .................................................................................................................. 4
1.8. Formulación del problema ............................................................................................... 4
1.9. Hipótesis ............................................................................................................................. 5
1.9.1. Hipótesis de la investigación ..................................................................................... 5
1.9.2. Hipótesis nula............................................................................................................. 5
1.10. Justificación del proyecto ............................................................................................. 5
1.10.1. Tecnológica ................................................................................................................ 5
1.10.2. Económica .................................................................................................................. 5
1.10.3. Social ........................................................................................................................... 5
iv
1.11. Viabilidad ....................................................................................................................... 5
1.12. Limitaciones ................................................................................................................... 5
1.13. Resultados esperados .................................................................................................... 6
1.14. Planificación ................................................................................................................... 6
1.14.1. Duración del proyecto ............................................................................................... 6
1.14.2. Cronograma de trabajo ............................................................................................ 6
1.14.3. Recursos ..................................................................................................................... 8
Marco Teórico ................................................................................................................................. 12
2.1. ¿Qué es Seguridad? ......................................................................................................... 12
2.2. Seguridad informática. ................................................................................................... 12
2.2.1. Tipos de seguridad informática.............................................................................. 12
2.3. Gestión de seguridad en redes. ....................................................................................... 13
2.4. Riesgos de la seguridad informática .............................................................................. 14
2.5. Sistema de Información .................................................................................................. 15
2.6. Mecanismos de Seguridad .............................................................................................. 16
2.6.2. Integridad ................................................................................................................. 16
2.6.3. Disponibilidad .......................................................................................................... 17
2.7. Vulnerabilidad de la Información en los Servidores .................................................... 17
2.8. Metodología para el análisis de vulnerabilidades ......................................................... 17
2.8.1. Entendimiento de la Infraestructura ..................................................................... 17
2.9. Sistema de Detección y Prevención de Intrusos ............................................................ 27
2.9.1. Historia. .................................................................................................................... 27
2.9.2. Sistema de Detección de Intrusos – IDS ................................................................ 28
2.9.3. Sistema de Prevención De Intrusos – IPS ............................................................. 28
2.9.4. Firewall e IDPS ........................................................................................................ 29
2.9.5. Snort_inline .............................................................................................................. 29
2.9.6. Modelos de detección de los IDS ............................................................................ 30
2.9.7. Tipos de IDS ............................................................................................................. 31
2.9.8. Uso de los IDPS ........................................................................................................ 32
Materiales y Métodos ...................................................................................................................... 33
3.1. Enfoque de la Investigación ............................................................................................ 33
3.2. Tipo de Investigación ...................................................................................................... 33
3.3. Diseño de Investigación ................................................................................................... 33
v
3.4. Justificación ..................................................................................................................... 34
3.5. Identificación de variables .............................................................................................. 34
3.5.1. Variable independiente: Sistema de Prevención de Intrusos. ................................. 34
3.5.2. Variable dependiente: Mejorar la Seguridad de los Servidores. ............................. 34
3.6. Población y muestra ........................................................................................................ 34
3.6.1. Recolección de datos para el modelo propuesto ................................................... 34
3.7. Técnicas y procedimientos de recolección de datos ...................................................... 34
3.7.1. Recolección de datos ................................................................................................ 34
3.7.2. Técnicas e instrumentos .......................................................................................... 35
3.8. Métodos y procedimientos .............................................................................................. 35
3.8.1. Metodología para la implementación de la solución informática. ...................... 35
Resultados ........................................................................................................................................ 37
4.1. Resultados ........................................................................................................................ 37
4.1.1. Análisis de Riesgos. ................................................................................................. 37
4.1.2. Gestión de Riesgo. ................................................................................................... 44
4.2. Conclusiones .................................................................................................................... 51
Referencias bibliográficas............................................................................................................... 52
5.1. Bibliografía ...................................................................................................................... 52
5.2. Linkografia ...................................................................................................................... 52
vi
Índice de cuadros
Cuadro 1. Duración del proyecto ....................................................................................................... 6
Cuadro 2. Cronograma de trabajo para la culminación del proyecto. ................................................ 6
Cuadro 3. Investigadores. .................................................................................................................. 8
Cuadro 4. Materiales de escritorio. .................................................................................................... 8
Cuadro 5. Software. ........................................................................................................................... 9
Cuadro 6. Hardware. .......................................................................................................................... 9
Cuadro 7. Servicio Eléctrico. ............................................................................................................. 9
Cuadro 8. Servicio de Movilidad. .................................................................................................... 10
Cuadro 9. Servicio de Internet y fotocopiado. ................................................................................. 10
Cuadro 10. Servicio telefónico. ....................................................................................................... 10
Cuadro 11. Presupuesto total. .......................................................................................................... 11
Cuadro 12. Preprocesadores de Snort. ............................................................................................. 23
Cuadro 13. Representación Gráfica del Diseño de Investigación Experimental ............................. 33
vii
Índice de figuras
Figura 1. Etapas para la culminación de proyecto y diagrama de GANTT ....................................... 7
Figura 2. Logo Snort. ....................................................................................................................... 20
Figura 3. Snort Elementos. ............................................................................................................... 21
Figura 4. Decodificador. .................................................................................................................. 22
Figura 5. Comportamiento del Motor de Detección. ....................................................................... 24
Figura 6. Tabla de Comandos Básicos Snort. .................................................................................. 26
Figura 7. Firewall e IPS ................................................................................................................... 29
Figura 8. Snort Inline ....................................................................................................................... 29
Figura 9. Esquema de Snort_inline. ................................................................................................. 30
Figura 11. Esquema de Red de Servidores de la Unt. ...................................................................... 38
Figura 10. Topología de Red actual de la UNT. .............................................................................. 38
Figura 12. Propuesta para la topología de la red de la UNT………………………………46
Figura 13. Esquema propuesto de Red de Servidores de la UNT…………………………46
Figura 13. Esquema del viaje de una petición hacia los servidores……………………….47
Figura 14. Esquema del viaje de una petición desde fuera de la UNT hacia los servidores48
Figura 15. Propuesta del esquema del viaje de una petición hacia los servidores………...49
Figura 16. Propuesta de esquema del viaje de una petición desde fuera de la UNT hacia los
servidores…………………………………………………………………………………..50
1
Capítulo 1
Plan de investigación
1.1. Realidad Problemática
La seguridad en las redes ha comenzado a ser un problema importante en el
mundo moderno. El número de computadoras, la conectividad entre ellas y la
importancia que han adquirido en el desarrollo tanto investigativo como empresarial,
convirtiéndolas en las principales portadoras de información sensible que requiere ser
alterada y muchas veces no ser consultada por personal no autorizado.
Esto ha hecho que los ordenadores y las redes puedan verse involucrados en un
ataque informático siendo las herramientas utilizadas para cometer dicho ataque,
siendo las víctimas del ataque o pudiendo ser utilizadas para propósitos
incidentales relacionados a la irrupción.
En la Universidad nacional de Trujillo, la Oficina De Sistemas e Informática es la
que se encarga de la seguridad de la red, la administración de los servidores, la
conexión a internet, la seguridad, etc. Los equipos que poseen son equipos Cisco
(Router y switch).
Todos estos recursos informáticos y la gran área de red local están sujetas a muy
pocas políticas de seguridad para su protección, y si no se fortaleza estas políticas, toda
la información puede ser manipulada de forma remota o local por usuarios que no
tengan acceso, causando pérdidas.
Para dar solución a la problemática ya mencionada y con el fin de proteger los
recursos informáticos de esta institución, se han implementado solo firewall para
proteger el perímetro de la red.
2
1.2. Título Tentativo
Sistema de prevención de intrusos para la mejorar la seguridad de los servidores
de la universidad nacional de Trujillo
1.3. Autores
Díaz Díaz José, Antonio
Salcedo Salazar, Juan Diego
1.4. Asesor
Ms. Ing. Mendoza torres, Edwin Raúl
1.5. Lugar de ejecución del proyecto
Institución : Universidad Nacional de Trujillo.
Dirección : av. Juan pablo ii urb. Vista hermosa.
Distrito : Trujillo.
Provincia : Trujillo.
Departamento : la libertad.
1.6. Antecedentes
1.6.1. Sistema inteligente de detección de intrusos.
Autor: Martínez puentes
Año: 2011
Lugar: España
Resumen: la presente tesis diseña un sistema de detección de intrusiones
mediante el análisis del payload del tráfico de la red en busca de algún tipo
de malware.
Este sistema implementa su algoritmo de detección como “preprocesador
dinámico” de snort. Mediante el trabajo conjunto de snort y del sistema
diseñado puede afirmarse que se obtiene un sistema altamente eficaz ante
ataques conocidos (mediante el paso de reglas de snort) e igualmente eficaz
ante ataques nuevos o desconocidos (que era el objetivo prioritario del
sistema diseñado).
Para resumir su funcionamiento, bastaría decir que, como la mayoría de este
tipo de sistemas, consta de dos fases: entrenamiento y detección.
3
Aporte: este trabajo nos aporta información sobre lo que es los sistemas de
detección de intrusos, el cual vendría hacer el antecesor de los sistemas de
prevención de intrusos, la diferencia entre ellos es que mientras los sistemas
de detección de intrusos protegen la red de forma reactiva, los sistemas de
prevención de intrusos la protegen de forma proactiva.
1.6.2. Estudio e implementación de una Metodología de Prevención de
Intrusos para redes LAN.
Autores: Gabriela Torres, Diego Llanga
Año: 2010
Lugar: ecuador
Resumen: la tesis mencionada, implementa en la red corporativa del
municipio de Riobamba (ecuador) una metodología de prevención de
intrusos basada en normas y metodologías de análisis y gestión de riesgos
vigentes en la actualidad y reconocidas bajo los estándares internacionales;
nos muestra una selección de los estándares que utilizan como una de guía
para el desarrollo de una metodología adaptada a la problemática en
inseguridad que la entidad mencionada.
Aporte: se ha tomado en cuenta esta tesis por tener relación con el tema
planteado para la investigación, tomando en cuenta las distintas
metodologías de IPS.
1.6.3. Sistema Preventor de Intrusos para la Escuela Superior de Ingeniería
Mecánica y Eléctrica de Zacatenco.
Autores: Emmanuel Renán Cetina González, Sonia González rosales,
Fernando Ruiz López
Año: 2010
Lugar: México
Resumen: la presente tesis desarrolla un sistema sobre software libre en
base a la teoría de IDS, el cual se utiliza en la modalidad network IDS. El
software que implementan en este proyecto es un paquete conocido Snort,
utilizan su configuración como IPS, el cual ayudara a detener los accesos no
permitidos, software mal intencionado y amenazas de virus en la red Esime
Zacatenco.
Aporte: este trabajo nos muestra un diseño capaz de detectar y bloquear
ataques en la red con prestaciones robustas para el ambiente en que se hace
su implantación, Esime Zacatenco.
Así mismo detalla que un ataque puede ser bloqueado según características
personalizables, lo cual demuestra un importante beneficio para reducir el
riesgo de vulnerabilidades de un sistema.
4
1.6.4. Sistema de Detección y Prevención de Intrusos para el Control de
Vulnerabilidades en los Servidores de la Facultad de Ingeniería en
Sistemas, Electrónica e Industrial de la Universidad Técnica de Ambato.
Autor: Daniel Fernando, Yánez Guevara.
Año: 2013.
Lugar: Ecuador.
Resumen: en la presente tesis se detallan los procedimientos para la
implementación de un sistema de control y prevención de intrusos, en los
servidores de la facultada de ingeniería en sistemas, electrónica e industrial
de la Universidad Técnica de Ambato, en ella primero se analizan la
vulnerabilidad de los servidores haciendo una comparación pre y post la
puesta en práctica de la implementación del sistema.
Aporte: Esta tesis tiene gran relación con el tema de nuestro trabajo, se
pueden notar mínimas diferencias, como el número de servidores con los que
se trabajan, su marca, el diseño de la red, etc. Nos muestra a detalle la
implementación de un IDS e IPS, que viene a ser coincidentemente nuestro
tema a trabajar.
1.7. Objetivos
1.7.1. General
Mejorar la seguridad de los servidores de la universidad nacional de Trujillo
través del diseño de un sistema de prevención de intrusos.
1.7.2. Específicos
Garantizar la integridad de la información en los servidores, a través de
la detección, identificación y respuesta automática a actividades
anormales o no autorizadas en la red y/o host.
Realizar el diseño lógico del sistema de prevención de intrusos.
Diseñar la topología física y lógica de la red basada en el IPS.
Realizar la configuración de un sistema de prevención de intrusos
identificando las vulnerabilidades de los servidores de la UNT.
1.8. Formulación del problema
¿Se podrá mejorar la seguridad de los servidores de la universidad nacional de
Trujillo con la utilización de un sistema de prevención de intrusos?
5
1.9. Hipótesis
1.9.1. Hipótesis de la investigación
Hi: el sistema de prevención de intrusos mejorará la seguridad de los
servidores de la universidad nacional de Trujillo.
1.9.2. Hipótesis nula
Ho: el sistema de prevención de intrusos no mejorará la seguridad de los
servidores de la universidad nacional de Trujillo.
1.10. Justificación del proyecto
1.10.1. Tecnológica
La implementación de un sistema de prevención de intrusos, permitirá a la
universidad nacional de Trujillo estar a la vanguardia en seguridad tecnológica
comparado con nuestras universidades vecinas en el país, esto significa tener un
correcto control de acceso y la implementación de políticas para reconocer ataques,
mantener un registro, y tomar las acciones respectivas necesarias.
1.10.2. Económica
La implantación de este sistema reducirá los gastos administrativos y en
adquisición de un sistema de este tipo con toda la arquitectura y software, ya que para
esta implementación solo necesitaremos de un computador sin muchos
requerimientos y además de un sistema operativo libre.
1.10.3. Social
La implementación de un sistema de prevención de intrusos será beneficioso
para los estudiantes, personal administrativo de la universidad, y todas las personas
de quienes su información es administrada por la oficina de sistema e informática, ya
que le permitirá al administrador mantener un historial de intentos de burlar la
seguridad y además le permitirá hacer frente en tiempo real ante posibles ataques.
1.11. Viabilidad
La investigación es viable, porque siendo nuestro será autofinanciado, ya que
contamos con todos los recursos y materiales necesarios para ser realizado.
1.12. Limitaciones
El presente Trabajo de Graduación presenta las siguientes limitaciones:
Solo se realizara el análisis del funcionamiento del diseño lógico del IPS.
A nivel de Tesis esperamos realizar una mejora y la implementación un
prototipo.
6
1.13. Resultados esperados
Crear reglas eficientes a partir de la obtención y análisis de paquetes maliciosos.
La disminución de falsos positivos y falsos negativos.
Comprobar que un Sistema de Prevención de Intrusos (IPS) es una herramienta
que ayuda a mantener la seguridad de la información de forma proactiva.
1.14. Planificación
1.14.1. Duración del proyecto
La duración del proyecto de investigación está estimada en 8 meses.
Cuadro 1. Duración del proyecto
Fecha inicio del proyecto Fecha fin del proyecto
Agosto del 2014 Marzo del 2015
1.14.2. Cronograma de trabajo
Cuadro 2. Cronograma de trabajo para la culminación del proyecto.
Etapas Fecha inicio Fecha termino Tiempo(semanas)
Investigación bibliográfica. 07/08/2014 24/08/2014 2 semana
Desarrollo del plan de proyecto. 25/08/2014 21/09/14 4 semanas
Sustentación del plan de
proyecto.
22/09/2014 28/09/2014 1 semana
Elaboración del marco teórico. 29/09/2014 26/10/2014 4 semanas
Presentación del primer avance
de proyecto
27/10/2014 09/11/2014 1 semana
Estudio y documentación de la
situación actual de la oficina de
sistemas e informática.
10/11/2014 23/11/2014 2 semanas
Diseño de la solución
propuesta.
24/11/2014 07/12/2014 2 semanas
Presentación final del trabajo de
graduación.
08/12/2014 14/12/2014 1 semana
Simulación de la solución
propuesta.
15/12/14 01/02/15 7 semanas
Desarrollo de las pruebas de
seguridad.
02/02/15 01/03/15 4 semanas
Elaboración del informe final. 02/03/15 22/03/15 3 semanas
7
Figura 1. Etapas para la culminación de proyecto y diagrama de GANTT
8
1.14.3. Recursos
1.14.3.1. Disponibles
a) Investigadores
Cuadro 3. Investigadores.
Descripción Función Cant. S. Mes
(s/.) Meses
Costo
(s/.)
Analistas y programadores
Investigadores 2 0.00 8 0.00 Díaz Díaz, José Antonio
Salcedo Salazar, Juan Diego
Asesor especialista
Asesor 1 0.00 8 0.00 Ing. Mendoza torres, Edwin
Raúl
Total (s/.) 0.00
b) Materiales y equipos
Cuadro 4. Materiales de escritorio.
Código. Descripción:
material Cantidad
Unidad de
medida
Costo
unitario Total (s/.)
2.3.15.1.2 Papel bond a-4
80gr (x1000) 1000 Millar 0.1 60.00
2.3.15.1.2 Bolígrafos 075
faber castell 5 Unidad 2.0 10.00
2.6.3.2.3.1 Cd-rom 01 Unidad 1.0 1.00
2.3.15.1.2 Folder manila 0 Unidad 0.3 0.60
2.3.15.1.2 Faster 0 Unidad 0.2 0.40
Total (s/.) 72.00
9
Cuadro 5. Software.
Código Material Descripción Cant.
Precio
unitario
(s/.)
Total (s/.)
2.6.61.3.2 Sistema
operativo Centos 6.4 1 0.00 0.00
2.6.61.3.2 Snor ids Sistema de detección
de intruso 1 0.00 0.00
2.6.61.3.2 Sistema
operativo
Microsoft windows 7
ultimate 1 388.00 0.00
Total (s/.) 0.00
Cuadro 6. Hardware.
Código Material Descripción Cant. Precio
unitario(s/.) Total(s/.)
2.6.32.3.1
Computadora
(depreciación)
Core 2 duo 2.66 ghz 3
gb ram, disco duro 500
gb, grabador dvd,
monitor 17’’, teclado y
mouse multimedia.
1 950.00 950.00
2.6.32.3.1
Laptop
(depreciación)
Hp 8.0 gb ram, disco
duro 570 gb, lectora cd
64x, tarjeta de red 10/100
mbps, monitor de 17”.
1 1,800.00 1,800.00
2.3.16.1 Impresora Canon 230
multifuncional 1 180.00 180.00
2.6.32.3.1 Memoria usb Kingston 8 gb 2 20.00 40.00
Total (s/.) 2,970.00
1.14.3.2. No disponibles
a) Servicios
Cuadro 7. Servicio Eléctrico.
Equipos
Potencia
Cant. D/m H/d Costo
de kw-hr
C/m
de
kw/hr
Costo
mensual Kw
Computadoras 0.40 2 20 12 0.3856 96 37.00
Impresora 0.15 1 3 2 0.3856 0.9 0.35
Total (s/.) 37.35
10
Cuadro 8. Servicio de Movilidad.
Código Descripción Personas Días de trabajo Valor
unitario(s/.)
Sub
total(s/.)
2.3.2.1.2.1 Combi – taxi 2 96 2.00 384.00
Total (s/.) 384.00
Cuadro 9. Servicio de Internet y fotocopiado.
Descripción Unidad de
medida Cantidad
Valor
unitario(s/.)
Sub
total(s/.)
Acceso a
internet Horas 80 1.00 80.00
Fotocopiado Unidades 100 0.10 10.00
Total (s/.) 90.00
Cuadro 10. Servicio telefónico.
Código Descripción
Unidad
de
medida
Cantidad Valor
unitario(s/.)
Sub
total(s/.)
2.3.2.2.2.1 Claro –
movistar Minutos 48 0.50 24.00
Total (s/.) 24.00
11
b) Presupuesto
Cuadro 11. Presupuesto total.
Tipo Código Descripción Importe (s./)
Recursos 2.3.27.1 Humanos 00.00
2.3.15.1 Materiales 72.00
Tecnología 2.6.61.3 Software 0.00
2.6.32.3 Hardware 2,970.00
Servicios
2.3.22.1 1 Energía eléctrica 37.35
2.3.21.2 1 Transporte 384.00
2.3.22.2 3 Fotocopias e internet 90.00
2.3.22.2 1 Telefónico 24.00
Total presupuesto 3,577.35
c) Financiamiento
El financiamiento para la realización del presente trabajo de graduación, será
autofinanciado en su totalidad por los investigadores.
12
Capítulo 2
Marco Teórico
2.1. ¿Qué es Seguridad?
Seguridad es el estado de bienestar de la información y las estructuras, en las
cuales la posibilidad que puedan realizase con éxito y sin detenerse, el robo, alteración
y parada del flujo de información, se mantienen en niveles bajos o tolerantes.
“garantizar que los recursos informáticos de una compañía estén disponibles para
cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias
o factores externos, es una definición útil para conocer a lo que implica el concepto de
seguridad informática”.
2.2. Seguridad informática.
Es una área de la informática que se enfoca en la protección de las estructuras
computaciones, nos permite tener confianza de que la información que estemos
utilizando se encuentre en un lugar seguro y confiable.
2.2.1. Tipos de seguridad informática
Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres
tipos:
Seguridad física, seguridad ambiental y seguridad lógica.
2.2.1.1.Seguridad física
Es muy importante ser consciente que por más que una empresa
sea la más segura desde el punto de vista de ataques externos, hackers,
virus, etc.; la seguridad de la misma será nula si no se ha previsto como
combatir un ataque físico directo, tomando en cuenta esto aparece el concepto
de la seguridad física, que es uno de los aspectos más olvidados a la hora del
diseño de un sistema informático.
13
Así, la seguridad física consiste en la "aplicación de barreras
físicas y procedimientos de control, como medidas de prevención y
contramedidas ante amenazas a los recursos e información confidencial".
Se refiere a los controles y mecanismos de seguridad dentro y
alrededor del departamento de sistemas y equipos, así como los medios de
acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.
2.2.1.2.Seguridad ambiental
No se puede dejar de tomar en cuenta los inesperados riesgos
naturales a los que pueden estar expuestas las redes informáticas, razón
por la cual aparece el concepto de la seguridad ambiental, que son los
procedimientos existentes para controlar que los efectos ambientales no
perjudiquen el procesamiento, los equipamientos y el personal de una red.
Algunas reglas básicas sobre la seguridad ambiental son:
Protectores de pico de tensión eléctrica para el equipamiento
central.
Protecciones eléctricas, de agua y gas.
Instalaciones de aire acondicionado, sistemas de refrigeración y
ventilación fluida.
Protección ante incendios y métodos eficaces de evacuación
guiados.
2.2.1.3.Seguridad lógica
Nos referimos a seguridad lógica como los procedimientos existentes
para controlar el acceso lógico no autorizado a la información, ya sea que
se realice mientras ésta se encuentra almacenada o durante la transmisión.
2.3. Gestión de seguridad en redes.
“La gestión se puede definir como el conjunto de actividades que controlan o vigilan el
uso de los recursos. Se debe proporcionar la posibilidad de supervisar el estado, medir
el rendimiento, reconocer actividades anormales y recuperar el servicio”.
Las funciones de red se suelen agrupar en dos categorías:
Supervisión de red. Se considera una función de lectura y se encarga
de observar y analizar el estado y el comportamiento de la
configuración y componentes de red.
Control de red. Se le considera como una función de escritura y se
encarga de alterar los parámetros de los distintos componentes de la
configuración de la red y hacer que lleven a cabo acciones que se
determinen.
14
En términos generales, la Seguridad puede entenderse como “aquellas reglas técnicas
y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como
susceptible de robo, perdida o daño, ya sea de manera personal, grupal o empresarial”.
En este sentido, es la Información el elemento principal a proteger, resguardar y
recuperar dentro de las redes empresariales.
Se puede decir, que la Gestión de las Redes y la Seguridad son “aquellas actividades
que nos permiten mantener, controlar y supervisar el uso de la seguridad y la red de
información”.
La Seguridad Informática es una disciplina que se relaciona a diversas técnicas,
aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la
información de un sistema informático y sus usuarios.
Técnicamente es imposible logar un sistema informático cien por ciento seguros, pero
buenas medidas de seguridad evitan daños y problemas que pueden ocasionar intrusos.
2.4. Riesgos de la seguridad informática
Tipos de riesgos
Según la clasificación de shirey se clasifican en 4 que son los siguientes:
Revelación (disclosure) : acceso no autorizado a información
Engaño (deception) : admisión de datos falsos
Perturbación (disruption) : interrupción o prevención de correcta
operación
Usurpación: control no autorizado de partes del sistema.
Riesgos comunes
Fisgoneo (snooping): captura no autorizada de información (forma pasiva de
revelación).
Solución: Servicio de Confidencialidad.
Modificación: cambio no autorizado de información (engaño, perturbación,
usurpación).
Solución: Servicio de Integridad.
Enmascaramiento: una entidad hace pasarse por otra (engaño, usurpación).
Solución: Servicio de Integridad. Una forma permitida de enmascaramiento:
delegación de autoridad.
Repudiación: falsa denegación de pertenencia a una entidad (engaño).
Solución: Servicio de Integridad.
Denegación de recepción (engaño) Solución: Servicio de Integridad.
15
Denegación de servicio: inhibición de servicio (usurpación, papel soporte en
engaño). Retardo si es de corto plazo (caballos de Troya).
Solución: Servicio de Disponibilidad. ”
Los riesgos son una eventualidad que imposibilita el cumplimiento de un
objetivo. De manera cualitativa el riesgo es una medida de las posibilidades de
incumplimiento de exceso del objetivo planteado.
En lo relacionado con tecnología el riesgo, es referenciado como una amenaza
que no permite cumplir con los objetivos.
2.5. Sistema de Información
“A través del proceso de información, una compañía crea valor, en especial si
se trata de una empresa que ofrece servicios. Por lo tanto, en este caso, la información
tiene un valor aun mayor por que ayuda a alcanzar los objetivos de la compañía.”
Un sistema de información (SI) representa todos los elementos que forman
parte de la administración, el procesamiento, el transporte y la distribución de
la información dentro de la compañía.
En términos prácticos, el alcance del término "sistema de información"
puede variar notablemente entre una organización y otra y, según el caso,
puede abarcar todos o algunos de los siguientes elementos:
Bases de datos de la compañía.
Software de gestión integral de empresas (ERP, por sus siglas en inglés).
Herramienta para la Gestión de relaciones con los clientes (CRM, por sus
siglas en inglés).
Herramienta para la Gestión de la cadena de suministro (SCM, por sus
siglas en inglés).
Solicitudes de empleo.
Infraestructura de red.
Servidores de datos y sistemas de almacenamiento.
Servidor de aplicaciones.
Dispositivos de seguridad.”
“Un sistema de información es un conjunto organizado de elementos, que
pueden ser personas, datos, actividades o recursos materiales en general. Estos
elementos interactúan entre sí para procesar información y distribuirla de
manera adecuada en función de los objetivos de una organización.”
Los sistemas de Información es considerada como aquellos servicios que
una empresa ofrece a sus empleados que pueden interactuar entre sí para poder
procesar, analizar y distribuir información para todos sus empleados y clientes.
16
2.6. Mecanismos de Seguridad
“Generalmente, los sistemas de información incluyen todos los datos de
una compañía y también en el material y los recursos de software que permiten a una
compañía almacenar y hacer circular estos datos. Los sistemas de información
son fundamentales para las compañías y deben ser protegidos.”
Generalmente, la seguridad informática consiste en garantizar que el
material y los recursos de software de una organización se usen únicamente
para los propósitos para los que fueron creados y dentro del marco previsto.
La seguridad informática se resume, por lo general, en cinco mecanismos
principales:
Integridad: garantizar que los datos sean los que se supone que son.
Confidencialidad: asegurar que sólo los individuos autorizados tengan
acceso a los recursos que se intercambian.
Disponibilidad: garantizar el correcto funcionamiento de los sistemas de
información.
Evitar el rechazo: garantizar de que no pueda negar una operación
realizada.
Autenticación: asegurar que sólo los individuos autorizados tengan
acceso a los recursos.
2.6.1. Confidencialidad
Consiste en que la información solamente debe ser accedida por
personal autorizado dentro de la institución.
Este puede ser el resultado de medidas de seguridad escasas o fugas
de información por parte del personal. Un ejemplo de medidas de seguridad
escasas sería: el envío de un correo con información sensible y que llegue a una
persona que no era la destinataria.
2.6.2. Integridad
Consiste en prevenir la modificación errónea de la información. Los
usuarios
Autorizados son probablemente la causa más grande de errores,
omisiones y alteración de información. El almacenamiento de información
incorrecta dentro del sistema puede ser tan malo como perder información.
Atacantes maliciosos también pueden medicar, eliminar o corromper
información que es vital para la operación correcta de las funciones de negocios.
17
Un ejemplo la encriptación MD5 para verificar que el software sea íntegro y
no haya sido modificado con anterioridad.
2.6.3. Disponibilidad
Consiste en prevenir la retención no autorizada de información o recursos.
Esto no sólo aplica al personal que retiene información. La información deberá
estar tan libremente disponible como sea posible para los usuarios autorizados,
las 24 horas del día.
2.7. Vulnerabilidad de la Información en los Servidores
Según Rodrigo Ferrer (Internet; 26/05/2011; 01/11/2011; 15:25) Una
vulnerabilidad, se puede definir como un estado de un sistema (o conjunto de
sistemas) que puede:
Permitir a un atacante acceder a información confidencial.
Permitir a un atacante modificar información.
Permitir a un atacante negar un servicio.
Una de las preocupaciones más importantes de los profesionales de la seguridad
de la información es el aumento en la cantidad de vulnerabilidades encontradas en los
sistemas tecnológicos, las cuales son el blanco predilecto de herramientas de software
cada vez más poderosas en su capacidad de ocasionar daños a los sistemas de
información y la infraestructura que los soporta.
2.8. Metodología para el análisis de vulnerabilidades
El análisis de vulnerabilidades el cual complementa el proceso de análisis
de riesgo, es una actividad fundamental con el fin de orientarnos hacia un sistema de
gestión de la seguridad de la información, el cual debería comprender las
siguientes actividades:
2.8.1. Entendimiento de la Infraestructura
Se busca, identificar cada uno de los dispositivos de hardware o
software residentes en la infraestructura que soportan los procesos del
negocio. Esta selección debe iniciarse con los servicios prestados, continuar
luego con los procesos asociados a estos servicios y de allí, determinar los
activos o dispositivos que soportan estos procesos.
A manera de ejemplo, dentro de los posibles elementos de la infraestructura
que un momento dado pudieran llegar a albergar vulnerabilidades a nivel de
software tenemos los siguientes:
18
Servidores
Aplicaciones
Estaciones de trabajo
Bases de datos
Firewalls
Enrutadores
2.8.1.1. Servidores
Es un computador que posee características superiores a los
computadores normales denominados clientes y brinda servicios a los
equipos que forman parte de una red de datos.
2.8.1.1.1. Tipos de Servidores
Servidor de impresión: permite controlar una o un conjunto
de impresoras permitiendo imprimir documentos a los equipos
clientes de una red de datos.
Servidor de correo: permite almacenar, enviar, y recibir,
correo electrónico a los clientes de la red de datos.
Servidor Proxy: Es un programa o dispositivo que realiza
acciones en representación de otro para aumentar y ganar
funcionamiento de ciertas operaciones. Un Servidor Proxy
proporciona servicios de seguridad y permite mantener un
control y la administrar el acceso a internet en una red de
computadoras permitiendo o negando el acceso a diferentes
sitios Web.
Servidor del acceso remoto (RAS): Permite mantener un
control de los canales de comunicación canales de
comunicación de la red, de esta manera permitiendo a usuarios
de la red peticiones para conectarse de una posición remota.
Servidor de uso: Realiza la parte lógica de la informática o del
negocio de un uso del cliente, aceptando las instrucciones para
que se realicen las operaciones de un sitio de trabajo y
sirviendo los resultados a su vez al sitio de trabajo, mientras
que el sitio de trabajo realiza la interfaz operadora o la porción
del GUI del proceso (es decir, la lógica de la presentación) que
se requiere para trabajar correctamente.
Servidor web: Es un servicio que nos permite almacenar
documentos HTML, imágenes, archivos de texto, escrituras, y
demás material Web compuesto por datos que recibe peticiones
por lado del cliente y las procesa en el lado del servidor.
Servidor de base de datos: Es aquel que presta servicios de
base de datos a otros programas o computadoras de la red
(modelo cliente-servidor).
19
Servidor de Seguridad: Son aquellos que poseen software que
brinda seguridad a la red de información y permite detener
intrusiones maliciosas, normalmente está formado por
antivirus, tienen antivirus, firewall, IDPS, antispyware,
antiadware.
Servidor Free Radius: Los servidores free radius nos permiten
autentificar o validar un conjunto de datos provisto por el
administrador de las redes y de esta manera bridar los servicios
del proveedor de internet.
2.8.1.2.Distribuciones Linux
Es una recopilación de programas y ficheros organizados y preparados
para su instalación, estas distribuciones están basadas en un núcleo
Linux, que poseen un conjunto de software generalmente libre aunque
también pueden contener aplicaciones o controladores propietarios pero de
manera minoritaria.
2.8.1.3.Debian
Es una plataforma muy estable y utilizada en grandes empresas por su
eficiencia y estabilidad de trabajo; distribución LINUX de clase
empresarial de fuentes libremente ofrecidas al público, y se encuentra
basada en código fuente Red Hat Linux, es mantenido por una
comunidad fortificada de usuarios que constantemente brindan soporte y
están actualizando las versiones, Debian se encuentra disponible bajo
licencia GNU GPL.
2.8.1.3.1. Requerimientos Minimos:
RAM: Mínimo 256Mb para modo gráfico.
Disco Duro: 10GB.
Procesador: Pentium III de 60 Mghz.
2.8.1.4.Licencia GNU GPL
Es un tipo de licencia la cual fue creada por Free software Fundation y
permite proteger la libre distribución, copia, modificación y uso del
software. La idea es protegerlo de apropiación por parte de cualquier
persona.
20
2.8.1.5.Snort
La definición de Snort en la página oficial de la comunidad nos señala
que “Snort es una red de código abierto de prevención y detección de
intrusos (IDS / IPS) desarrollado por Sourcefire. La combinación del
beneficio de la firma, el protocolo y la inspección de anomalías basado en
Snort es la más utilizada tecnología en todo el mundo. Con millones de
descargas y cerca de 400.000 usuarios registrados, Snort se ha convertido
en el estándar para IPS.”
Snort es una herramienta de seguridad de prevención y detección de
intrusos basado en redes, el cual permite realizar un monitoreo y control de
los eventos ocurridos en un sistemas informático en tiempo real. Snort
realiza un barrido de puertos lo que permite registrar, alertar y responder
ante cualquier irregularidad existente en la red de información permitiendo
de esta manera generar o emitir avisos y respuesta ante posibles ataque
previamente definida en reglas o patrones.
La primera versión de Snort fue lanzada originalmente en 1998 por el
fundador de Sourcefire Martin Roesch Inicialmente se lo denominaba
lightweight.
Snort en la actualidad posee más de 4 millones de descargas y cerca de
400.000 usuarios registrados, por lo tanto es una de las tecnologías de
detección y prevención de intrusos más utilizada en el mundo. Snort tiene
tres usos principales: se utiliza como un analizador de paquetes, como un
capturador de paquetes, o como un sistema de red para prevención de
intrusiones.
Snort se encuentra disponible bajo la licencia GPL (proteger la libre
distribución, modificación y uso de software), es multiplataforma a
diferencia de su primera versión, puede ser instalado tanto en sistemas
operativos de Windows como Unix/Linux. Al ser un sistema de código
abierto posee una comunidad de desarrolladores experimentados muy
Figura 2. Logo Snort.
21
amplia, esto debido al gran alcance y cantidad de usuarios que posee, los
mismos que realizan pruebas periódicas para la revisión de reglas y
motores que lo componen.
2.8.1.5.1. Elementos que componen Snort
El motor de Snort está dividido en varios componentes entre los
cuales encontramos los siguientes:
2.8.1.5.1.1.Capturador de Paquetes
Permite analizar los paquetes enviados por la red y
estructurarlo de manera que el paquete se encuentre bien
formado y prepararlo para ser enviados al motor de detección.
Snort requiere una biblioteca de snnifing externa la misma
que permite realizar la captura de tráfico que circula por la red
esta librería se denomina Libpcap.
Libpcap posee independencia de plataforma con la cual este
trabajando, de esta manera permite a snort trabajar bajo cualquier
Sistema operativo.
Libpcap nos permite analizar paquetes raw, los cuales son
paquetes capturados directamente desde la tarjeta de red, esto
quiere decir que son paquetes sin modificar, estos paquetes
dependen del sistema operativo. Snort utiliza la cabecera de estos
paquetes para poder descifrar algunos tipos de ataques.
Figura 3. Snort Elementos.
22
2.8.1.5.1.2.Decodificador
El decodificador permite buscar anomalías dentro de los
paquetes capturados mediante Libpcap. Está formado por una
serie de decodificadores que descifran elementos de protocolos
específicos para posteriormente ser almacenados mediante una
estructura de datos.
El decodificador analiza la información imponiendo orden
sobre los datos que posee el paquete de datos iniciando desde el
nivel más bajo hasta el más alto.
Enlace de Datos (MAC, PPP).
Red (IP).
Transporte (TCP/UDP).
2.8.1.5.1.3.Preprocesadores
Los preprocesadores son módulos o plugins que permiten
extender la funcionalidad de snort para tratar los paquetes o
tramas que vienen desde el decodificador, Los preprocesadores
se encargan de dar forma lógica a los paquetes para poder
interpretar la información de una manera más simple.
Los preprocesadores pueden desfragmentar o realizar un
análisis de la cabecera y cuerpo de las tramas además de
ordenarlos decodificarlos y reensamblarlos para poder ser
enviados hacia el motor de detección.
Figura 4. Decodificador.
23
Pueden ser programados en Lenguaje C, estos programas
son compilados junto a snort en forma de librerías y son
configurados en el archivo etc/snort.conf.
2.8.1.5.1.4.Reglas
Snort trabaja con algunos preprocesadores entre los cuales
se detallan posteriormente:
frag3.
stream4 y stream4_reassemble.
flow.
stream5.
sfportscam.
rpc_decode.
ssh.
Cuadro 12. Preprocesadores de Snort.
Procesadores Objetivo Función Líneas de
configuración
frag3 Detección de
evacion del IDS
por
fragmentación.
Reensamblar
paquetes
fragmentados.
frag3_global: global.
frag3_engine: cada
pila.
stream4 y
stream4_reassemble
Deteccion de
ataques basados
en conexión.
Guardar
paquetes
anteriores para
reensamblarlos y
detectar ataques
repartidos en
paquetes.
detect_scams: detectar
intentos.
detect_state_problems:
número de secuencias.
max_sessions: número
máximo de sesiones a
analizar.
stream5 Permite la
detección de
anomalías
dependiendo del
S.O.
Realiza un
seguimiento de
conexiones TPC,
UDP, ICMP.
global: configuraciones
globales para TCP,
UDP, ICMP.
configuracion TCP.
configuracion UDP.
configuracion IMPC.
sfportscan Detectar escaneos
TCP, UDP, IP,
Portscan, Decoy,
Detectar el
ataque mediante
escaneo de
scan_type: tipo de
escaneo.
24
distribuidos y
barridos.
puertos.
proto: protocolo a
escanear.
ignore scanners: listas
de IPs a escanear.
rpc_decode Permite
normalizar
multiples registros
RPC.
Reenzamblar
paquetes RPC en
uno solo para
facilitar el
análisis.
ssh Detectar algunos
exploits: Gobbles,
CRC32, Secure
CRT y Protocol
Mismatch.
Analizar el
trafico ssh de
servicios y
clientes.
server ports: puertos a
escanear del servidor.
disable recognition:
detecta tráfico no SSH
en puertos SSH.
2.8.1.5.1.5.Motor de Detección
El motor de detección es el responsable de detectar si existe
alguna actividad maliciosa dentro de un paquete, esto lo realiza
haciendo una comparación con las reglas previamente definidas
y configuradas en los archivos de reglas, si existe una detección
el motor ejecuta la regla especificada para dicho ataque,
posteriormente la alerta emitida es almacenada en un log, caso
contrario al no existir alguna similitud con las reglas el motor lo
descarta.
Figura 5. Comportamiento del Motor de Detección.
25
2.8.1.5.1.6. Plugins o Módulo de Salida
Una vez analizada la información por el motor de detección,
es necesario reportar la información ya sea en diferentes
formatos y en diferentes equipos.
Cuando una alerta es lanzada por el motor de detección, esta
alerta puede suponer la generar un fichero de registro (log), o
puede ser enviado mediante un mensaje mediante SNMP o
almacenarse en una base de datos.
Existen varios tipos de salida de información los cuales se
detallan a continuación:
2.8.2. Tipos de Errores
Dentro del análisis y estudio de Snort y en general de los IDPS existen 2 tipos
de errores:
2.8.2.1.Falsos positivos
Son aquellos que hacen referencia a un fallo de detección en un sistema
de alertas.
26
Generalmente esto puede suceder cuando el sistema posee demasiadas
reglas o seguridades en las cuales el sistema todo lo que detecta lo analiza
como una amenaza.
2.8.2.2.Falsos negativos
Sucede cuando un intruso intenta acceder a nuestra red o equipos y pudo
pasar las seguridades de nuestro IPS.
2.8.2.3.Comandos Básicos de Snort
El siguiente cuadro muestra los comandos Básicos para poner en
funcionamiento Snort.
2.8.3. Errores
Se deberá realizar una clasificación de activos o dispositivos con base
en la confidencialidad de la información que guardan y la importancia del activo.
Por medio del uso de herramientas para la detección de
vulnerabilidades, las cuales pueden ser tanto de software para correr sobre
sistemas operativos tradicionales o poseer un hardware específico.
Una vez seleccionada la herramienta, se debe tomar una decisión costo-
beneficio.
Se pueden crear categorías y agrupar servidores o estaciones de trabajo,
siempre y cuando se cuente con la certeza que aquellos seleccionados para
esta agrupación, comparten más de un 90 % de similitud en su configuración con los
otros que no serán inspeccionados.
Figura 6. Tabla de Comandos Básicos Snort.
27
2.8.4. Medidas Preventivas
Una vez determinado el universo de la prueba se tomarán las medidas
preventivas adecuadas para su ejecución, con el fin de prevenir efectos
adversos sobre la prestación de los servicios; entre ellas, podemos resaltar:
Definir hora adecuada de pruebas.
Horas de bajo tráfico.
Horarios de no prestación de servicios, si esto fuera posible.
Análisis sobre la no disponibilidad de activos críticos de la prueba.
Tomar algunas medidas de contingencia.
Realizar monitoreo de los servicios durante las pruebas.
Tiempos de respuesta excesivos.
Eventos o incidentes de seguridad.
Se debe informar a operaciones de la realización de las pruebas.
Se debe monitorear el tráfico de la red.
Utilización de los segmentos críticos.
Informar a los dueños de los activos.
2.9. Sistema de Detección y Prevención de Intrusos
Los IDPS son elementos (hardware - software) que tiene como objetivo
detectar identificar y responder el acceso no autorizado de intrusos, cuyo único
objetivo es comprometer la integridad, confiabilidad y disponibilidad de la
información.
2.9.1. Historia.
En el año de 1972 se realiza un informe en los estados unidos sobre la
seguridad
En los sistemas de información para las fuerzas armadas, a partir de
aquí se empezaron a realizar estudios tratando de buscar la manera de
mejorar la seguridad y vigilancia en los equipos de la institución. En
1980, aparece por primera vez una publicación por james p. Anderson, la
cual consistía en una teoría sobre lo que eran los sistemas de detección de
intrusos y de esta manera buscaba automatizar los procesos que podrían
llevar a cabo un control de la seguridad.
Entre los años 1984 y 1986 aparece la primera versión de los sistema de
detección de intruso denominado IDES (Intrusión Detection Expert System)
que funcionaba en tiempo real, a partir de aquí se empezó a mejorar este
proyecto hasta el año de 1990 que aparece oficialmente el primer sistema de
detección de intrusos en la universidad de california llamado NSM (Network
Security Monitor), este sistema estaba orientado a trabajar solamente como
protección de un computador, a partir de aquí se empieza a ampliar la idea
y se lo orienta a las redes de computadores y empiezan a tomar fuerza a
partir de la crisis de firewall en el año de 1995.
28
2.9.2. Sistema de Detección de Intrusos – IDS
Los sistemas de detección de intrusos son aquellos que nos permiten
identifica el mal uso de los recursos de la red u ordenador mediante el
monitoreo de la información (tráfico-recursos), la detección (anomalías e
intrusos) y alertas enviadas al administrador de la red.
Los IDS monitorean no solamente a los equipos sino también a la red de
datos
Pudiendo estar ubicados en cualquier parte de la misma
convirtiéndose de esta manera en una fuerte herramienta de seguridad.
2.9.3. Sistema de Prevención De Intrusos – IPS
Los sistemas de prevención de intrusos son una evolución de los
IDS, son aquellos que nos permiten monitorear, detectar y reportar el mal
uso de los recursos de una red de computadores con la diferencia que los IPS
nos permiten adicionalmente prevenir los ataques de los intrusos. Los IPS
realizan análisis más completos del uso de la red adoptando un enfoque
preventivo interviniendo activamente en caso de que en la red existan
paquetes maliciosos o dañinos.
Además necesita de configuraciones más complejas dependiendo de las
políticas que maneje la empresa.
A continuación se presenta un diagrama de flujo general de un Sistema de
Prevención de Intrusos:
Figura 7. Diagrama Flujo de un Sistema de Prevención de Intrusos.
29
2.9.4. Firewall e IDPS
Tanto los IDPS como los firewalls son herramientas creadas para
utilizarse en conjunto y ambas permiten proteger la información en tiempo real,
los IDPS son un complemento para los firewalls brinda mayor seguridad a
los equipos. Los firewalls se encargan de bloquear a nivel de puertos y
protocolos estando atento a los ataques de intrusos que se pueden dar desde el
exterior pero no a los ataques que se ejecutan en la red interna. Los IDPS buscan
ataques en el propio firewall ya que existen ataques que no son controlados por
los firewalls.
Figura 8. Firewall e IPS
En la gráfico 2.3 podemos observar cómo tanto el firewall como los IDPS son
un complemento mutuo, en el ejemplo vemos que se envía un ataque en el cual
los puntos de color verde es la información normal y los rojos es el
contenido maligno, el firewall deja pasar el paquete ya que el encabezado
del paquete es normal pero los IDPS verifica que el paquete contiene datos
malignos y lo bloque para que no pueda pasar.
2.9.5. Snort_inline
Figura 9. Snort Inline
30
Es uno de los más conocidos sistemas de prevención de intrusos de red.
Fundamentalmente está construido sobre el IDS Snort para descubrir ataques,
pero añade la característica importante de la capacidad de cambiar o descartar
paquetes cuando ellos fluyen por el host. Snort_inline toma paquetes desde
iptables o IPFW via Libipq (Linux) o diversos sockets (FreeBSD), en lugar de
libcap y usa nuevos tipos de reglas para ayudar a iptables a tomar las decisión
de pasar o descartar paquetes basándose en reglas de Snort.
Snort_inline usa el encolado de paquetes (queue) de Iptables para permitir
a Snort tomar la decisión sobre qué hacer con paquetes individuales cuando
ellos atraviesan las interfaces de red de un sistema Linux que actúa como
router o un puente Ethernet.
A continuación se muestra el esquema típico de red colocando
snort_inline en modo bridge entre la red interna y el firewall, en la figura:
2.9.6. Modelos de detección de los IDS
Se los clasifica de la siguiente manera:
2.9.6.1.Detección basada en firmas
Los IDS contienen una base de datos de firmas que se encargan de
detectar si existe algo anormal estos tienen la capacidad de reconocer
determinadas cadenas dentro de los paquetes que son enviados. Estas
firmas deben ser actualizadas constantemente por los proveedores ya que
si existen nuevos ataques deben generarse las firmas indicando la información
de cómo actúa el ataque, para que los IDS puedan bloquearlo.
2.9.6.2.Detección basada en anomalías
Estos tipos de detección analizan el tráfico de la red para tomar una
decisión. Se los puede clasificar en tres que son:
Perfiles definidos: son aquellos en los cuales ya vienen definidos por
los proveedores.
Figura 10. Esquema de Snort_inline.
31
Perfiles estadísticos: el IDS analiza el tráfico que se genera en la red por
un determinado tiempo y almacena esta base para posteriormente
compararla.
Cuando el tráfico cambia demasiado, se genera una alarma.
Perfiles dinámicos: son aquellos en los cuales el administrador es la
persona quien define el patrón normal de tráfico, pero es susceptible a generar
muchos falsos positivos.
Análisis de estado de protocolos: verifican como determinados protocolos
pueden ser usados o no.
2.9.7. Tipos de IDS
Esto hace referencia a la forma como vamos a utilizar los IDS en
nuestra organización, este se divide en 4 grupos importantes que son los
siguientes.
Sistema de Detección de Intrusos Redes- NIDS
Sistema de Detección de Intrusos equipos - HIDS
Sistema de Detección de Intrusos IDS en ambientes virtuales.
2.9.7.1.NIDS
Los IDS en las redes controlan todo el tráfico en los segmentos de
las redes y también pueden controlar el tráfico y recolectando información
en los equipos, analizan protocolos de red, aplicaciones y transporte en
busca de actividades peligrosas, estos se presentan como equipos o como
software.
2.9.7.2.HIDS
Los HIDS nos ayudan a controlar la información que se maneja en los
equipos y son complementarios a los antivirus. Los HIDS van detectando las
anomalías que existen en los sistemas para que los usuarios no roben
información, este va chequeando la integridad de los sistemas, si archivos
fueron modificados, monitoreando tráfico inalámbrico y algunos pueden
controlar el tráfico cifrado de la red.
2.9.7.3.IDS en Ambientes Virtuales
En el caso de los IDS en ambientes virtuales estos son aplicados en
nuevos escenarios como son los ambientes virtuales y cloud computing.
Los ambientes virtuales están por fuera de las estructuras físicas de seguridad,
estos ambientes
Fomentan el ahorro de energía, baja costo en equipamiento y
mantenimiento y reduce el espacio físico.
32
2.9.8. Uso de los IDPS
Los IDPS se encargan del control de las políticas de seguridad.
Los IDPS son un complemento para los firewall.
Los IDPS bloquean el paso de código maligno que no fue
detectado por el firewall.
Los IDPS llevan un registro de logs de las amenazas detectadas.
Comprender frecuencia y naturaleza de los ataques.
Impedir que usuario violen las políticas establecidas por la institución.
Educar a los administradores de sistemas.
33
Capítulo 3
Materiales y Métodos
3.1. Enfoque de la Investigación
El enfoque seguido para desarrollar esta tesis, es un enfoque Cuantitativo, pues
el problema de investigación es concreto y limitado, usa la recolección de datos para
probar la hipótesis.
3.2. Tipo de Investigación
Aplicada, porque permite trabajar con metodologías y técnicas que están
fundamentadas con bases teórico – científica, que nos van a servir como el punto de
partida en la solución de problemas de la institución.
3.3. Diseño de Investigación
El Diseño de Investigación que se utilizara en este trabajo será el Diseño de
Investigación Experimental, ya que requiere la manipulación intencional de una
acción para analizar sus posibles resultados.
El diseño se encuentra representado por el siguiente gráfico:
Cuadro 13. Representación Gráfica del Diseño de Investigación Experimental
Rg1 O - O1
Rg2 O X O2
Donde:
RG1 : Grupo de Servidores a las que se les aplicará la variable Independiente.
RG2 : Grupo de Servidores a las que NO se les aplicará la variable Independiente.
34
X : Sistema De Prevención de Intrusos.
O : Medida de Calidad antes de Aplicar el Sistema de Prevención de
Intrusos.
O1 : Medida de Calidad del Resultado al no aplicar el Sistema de Prevención
de Intrusos
O2 : Medida de Calidad del Resultado de la aplicación del Sistema de
Prevención de Intrusos.
La comparación de los resultados de las medidas, determinaran la validez de la
hipótesis formulada.
De esta manera se verá si hay una mejora de la Seguridad en los Servidores
frente a un ataque, a partir de los resultados obtenidos.
3.4. Justificación
Al ser una investigación cuantitativa, se tiene que usar una técnica que donde se
pueda medir el efecto que tiene la variable independiente (sistema de prevención de
intrusos), sobre la variable dependiente (seguridad en los servidores). En los cuales se
deberemos tomar mediciones de los usuarios que usan los servidores, antes de la
implantación y luego de esta.
3.5. Identificación de variables
3.5.1. Variable independiente: Sistema de Prevención de Intrusos.
3.5.2. Variable dependiente: Mejorar la Seguridad de los Servidores.
3.6. Población y muestra
3.6.1. Recolección de datos para el modelo propuesto
La población y muestra que se determino es el número de servidores que
existen en la oficina de sistema de cómputo, cuya cantidad es de 6, esto se justifica
debido a ser una cantidad menor que 30.
3.7. Técnicas y procedimientos de recolección de datos
3.7.1. Recolección de datos
Fuentes primarias
La información requerida para esta investigación se obtuvo a través un
cuestionario y entrevistas realizadas a los trabajadores de la oficina de sistemas e
informática (cómputo).
Fuentes secundarias
35
También recopilamos información bibliográfico, tales como: trabajos de
investigación, paper’s, tesis, libros, todo material escrito relacionado directamente
relacionado con la prevención de intrusos en una red LAN.
3.7.2. Técnicas e instrumentos
Las técnicas a utilizar para nuestra investigación se presentan a continuación:
3.7.2.1.La observación
Nos permitirá recopilar información de cómo trabaja ante cualquier
incidente o fallo de seguridad que puede ocurrir en la oficina de
sistema e informática (nodo) desde nuestro propio punto de vista.
3.7.2.2.La entrevista
Se realizara a cada trabajador de la oficina de sistemas e informática
(computo), para obtener puntos de vista de cada trabajador sobre la
seguridad que posee cómputo y sobre los problemas que aqueja.
3.7.2.3.La encuesta
En esta se realizará un cuestionario para los trabajadores, realizando
preguntas cerradas y fáciles de responder sobre la seguridad de la
oficina de cómputo.
El instrumento a utilizar será: el cuestionario.
3.7.2.4.Software
El software que se utilizará será el IDS snort, el cual se dedica a
escanear el tráfico de los paquetes en una red, lo colocaremos en
funcionamiento para la captura de los paquetes los cuales luego
analizaremos.
3.8. Métodos y procedimientos
3.8.2. Metodología para la implementación de la solución informática.
3.8.2.1.Análisis de riesgo
3.8.2.1.1. Análisis del entorno
Descripción de Recursos Informáticos: es necesario antes de
realizar cualquier propuesta de mejora en la seguridad de una red,
determinar los equipos y más recursos informáticos que posee la
organización para poder tener una idea superficial del alcance que
tendrá el proyecto.
Identificación de Procesos: identificación de los procesos relevantes
y la relación.
Identificación de Activos de Información: se considera activo de
información a toda aquella información que tiene valor para la
oficina de sistema e informática (computo), en la medida en que le
permite el cumplimiento de sus objetivos.
Identificación de recursos de la información: se considera recursos
informáticos a cualquier elemento que se emplea en el manejo de
activos.
36
3.8.2.1.2. Análisis de seguridad
Identificación de Amenazas: realizar un inventario clasificado de
amenazas. Este inventario incluye unos valores de referencia de a
frecuencia y el impacto de cada amenaza sobre cada uno de los tipos
de recurso de información.
3.8.2.2.Gestión de riesgo
3.8.2.2.1. Plan de gestión.
Realizar una Clasificación de las Amenazas Detectadas decidiendo,
la aceptación o no del tratamiento de ciertas amenazas detectadas
con anterioridad.
Identificación de políticas institucionales: las políticas son las
medidas establecidas por la Universidad Nacional de Trujillo para
mitigar sus riesgos. Las políticas pueden reducir la probabilidad de
éxito de una amenaza, reduciendo por tanto, su frecuencia y/o
reducir el impacto en caso de producirse.
3.8.2.2.2. Implementación de un IPS.
Cumpliendo las etapas previas, correspondiente al análisis de
riesgos se planteó la posibilidad de realizar la gestión del mismo a
través de una herramienta combinada de software y hardware como
es un sistema de prevención de intrusos, el mismo que estará en
condiciones de tomar decisiones adecuadas para mejorar la
seguridad de los servidores de la Universidad Nacional de Trujillo.
37
Capítulo 4
Resultados
4.1. Resultados
4.1.1. Análisis de Riesgos.
4.1.1.1.Análisis del Entorno.
4.1.1.1.1. Descripción de Recursos Informáticos.
La red de la Universidad Nacional de Trujillo posee una topología
“Estrella” para la comunicación de todos los organismos que pertenecen
a la Universidad Nacional de Trujillo.
Principales Componente de la Red.
Firewall:
Fortigate 1240B.
Servidores:
HP ProLiant BL680c G7, HP ProLiant BL460c G7, HP
Compaq DC5850 SFF, Servidor Compatible Intel Xeon.
Switches:
1 Switch 3COM 4400, 1 Switch 3COM 4900, 2 Switch
3COM 4070, 1 Switch 3COM 3CR16110-95, 1 Switch
3COM 3226.
Router:
1 Router Jupiter.
Optimizador
Exinda 8060.
Proxy
Forticache 400c.
La red posee además un enlace de fibra óptica, y que brinda la conexión a
internet y conexiones hacia las diferentes facultades.
38
Topología
Figura 12. Topología de Red actual de la UNT.
Figura 11. Esquema de Red de Servidores de la UNT.
39
4.1.1.1.2. Identificación de Procesos.
En esta fase o etapa nos permite determinar la finalidad q tiene la Oficina de Sistemas e
Informática. Y de esta manera determinar la importancia que tiene la información que se
maneja.
Procesos Descripción Riesgos
SI NO
Administración de
Sistema de Gestión
Académica.(SGA)
Brindar información actualizada de las notas de cada
ciclo del alumno, sílabos, ficha de matrícula, orden de
pago y matriculas online.
Ingreso de notas los profesores y de los administrativos.
X
Administración de
Datos de Alumnos,
Profesores y
Administrativos
Mantener actualizado de los datos de los alumnos,
profesores y administrativos. X
Administración de los
Sistemas de Gestor de
Contenido.
Mantener actualizado todos los componente (plugins) de
los CMS X
Administración del
Sistema de control
Biométrico
Control asistencias de los profesores y administrativos
X
Administración del
servidor web
Control de los sitios web de toda la Universidad
(Escuelas y oficinas) X
Administración del
Sistema de Gestión
Documentaria.
Llevar un control de todos lo documentos que se
manejan en la Universidad(Internamente-externamente) X
Administración del
Portal de Padres
Brindar información actualizada a los padres, acerca de
las notas de los alumnos. X
Administración del
Sistema de Boletas de
Pago.
Llevar un control organizado de las boletas de pago que
realiza la universidad a las diferentes empresas X
4.1.1.1.3. Identificación de Activos de información.
Para lograr una clasificación de los activos de información se tomó en cuenta lo anotado en
el capítulo anterior, razón por la cual creímos conveniente citar los procesos estudiados
anteriormente para mediante estos identificar los activos útiles en cada uno de ellos.
40
Nro. de
Proceso Procesos Descripción Activos de Información
1
Administración
de Sistema de
Gestión
Académica.
Brindar información actualizada de
las notas de cada ciclo del
alumno, sílabos, ficha de matrícula,
orden de pago y matriculas online.
Ingreso de notas los profesores y de
los administrativos.
Datos personales de
alumnos.
Notas alumnos.
Sílabos.
Ficha de matrícula.
Orden de pago.
2
Administración
de Datos de
Alumnos,
Profesores y
Administrativos
Mantener actualizado de los datos
de los alumnos, profesores y
administrativos.
Datos personales de
profesores.
Datos personales de
administrativos.
3
Administración
de los Sistemas
de Gestor de
Contenido.
Mantener actualizado todos los
componente (plugins) de los CMS
Páginas Web
pertenecientes a la
Universidad Nacional de
Trujillo.
4
Administración
del Sistema de
control
Biométrico
Control asistencias de los
profesores y administrativos
Horas de entradas y
salidas, de profesores y
administrativos.
5 Administración
del servidor web
Control de los sitios web de toda la
Universidad (Escuelas y oficinas)
Página principal de la
Universidad Nacional de
Trujillo.
6
Administración
del Sistema de
Gestión
Documentaria.
Llevar un control de todos los
documentos que se manejan en la
Universidad(Internamente-
externamente)
Documentos de trámites
de gestión
administrativa.
7
Administración
del Portal de
Padres
Brindar información actualizada a
los padres, acerca de las notas de
los alumnos.
Datos personales de
padres.
8
Administración
del Sistema de
Boletas de Pago.
Llevar un control organizado de las
boletas de pago que realiza la
universidad a las diferentes
empresas
Información de boletas
de pago.
41
4.1.1.1.4. Identificación de recursos de información.
Los recursos de información principales son:
Procesos y Servicios
Administración de Sistema de Gestión Académica.
Administración de Datos de Alumnos, Profesores y Administrativos.
Administración de los Sistemas de Gestor de Contenido.
Administración del Sistema de control Biométrico.
Administración del servidor web.
Administración del Sistema de Gestión Documentaria.
Administración del Portal de Padres.
Administración del Sistema de Boletas de Pago.
Personas
Jefe de la Oficina de Sistemas e Informática.
Ing. Carlos Romero Shollande.
Director Administrativo
Ing. Walter López Zarate.
Encargado Área de Servidores y Redes
Ing. Johnatan Ruiz Campos.
Ing. Edwin Gerson Monzón Llempén.
Clientes
Alumnos de Pre-grado.
Profesores Universitarios.
Personal Administrativo
Alumnos del Instituto de la UNT.
42
Aplicaciones Informáticas
La universidad nacional de Trujillo trabaja con sus usuarios con aplicaciones
informáticas, las cuales apoya a la gestión de la UNT en los siguientes
ámbitos:
Sistema de Gestión Académica (SGA).
Sistema de Gestión Documentaria de la UNT (SGDUNT).
Portal de Padres.
Boletas de Pagos.
Sistemas de Solvencia.
Sistema de papeletas.
Sistema de Autoevaluación.
Sistema de Biblioteca.
Software de Sistemas
Debian.
Ubuntu.
Gestores de Base de Datos
MySQL.
PostgreSQL.
Servidor Web
Apache.
Apache TomCat
Direccionamiento
La red interna de la Universidad Nacional de Trujillo posee el siguiente
direccionamiento:
43
Dominios / Hosting Direccionamiento Externo Direccionamiento Interno
www.unitru.edu.pe 190.223.54.248 192.168.11.206
aplicaciones.unitru.edu.pe 190.223.54.228 192.168.11.249
sisav.unitru.edu.pe 190.223.54.229 192.168.11.247
revistas.unitru.edu.pe 190.223.54.238 192.168.11.248
sisgedo.unitru.edu.pe 190.223.54.239 192.168.11.246
Portalpadres.unitru.edu.pe 190.223.54.248 192.168.11.206
bibliotecas.unitru.edu.pe 190.223.54.240 192.168.11.203
4.1.1.2.Análisis de Seguridad
4.1.1.2.1. Identificación de Amenazas
La Prevención de Intrusos abarcara lo referente a la seguridad lógica, y
deja de lado lo referente a la seguridad física y ambiental.
Errores y fallos no intencionados.
La Universidad Nacional de Trujillo (UNT), posee un alto
porcentaje de usuarios q tienen conocimientos muy básicos en el
campo computacional, y aún no ha implantado una política para
fomentar a los usuarios sus conocimientos en este campo y así
lograr reducir problemas como:
Eliminación de archivos del sistema
Desconfiguración de las impresoras.
Contagio de Virus en discos duros y flexibles.
Descarga de Virus de internet.
Vulnerabilidad del Software (plugins)
Cada página web es administrada por cada facultad u oficina, de
ellos depende la modificación y actualización. Los cuales podrían
instalar plugins sin un origen confiable, lo cual permitiría la
ejecución de código arbitrario y la consiguiente capacidad por
parte de un atacante para poder modificar las páginas web.
La falta de actualizaciones constantes de los servicios utilizados
y actualización de sistema operativos.
La falta de un frameworks confiable de programación, que
demuestre ser eficaz contra ataques.
44
La falta de un protocolo de encriptación para garantizar que el
viaje de paquetes sea seguro y confiable.
Errores y fallos intencionados.
Uno de los principales problemas que afecta a la red es la mala
configuración de red en cada facultad, que afecta el servicio de
internet, ya que colocan switches y puntos wifi para tener más
puntos de acceso a internet lo que causa un gran
congestionamiento de tráfico en la red.
Otro problema que se consideró es el escaneo de puertos que se
puede hacerse desde un atacante con la finalidad de analizar y
determinar puntos débiles para el ataque en la red.
Dejar las contraseñas por defecto o dejar sin contraseñas, este es
un problema muy a menudo ya que las personas por no colocar
contraseñas fuertes, larga, utilizando letras, signos y números por
miedo a olvidarse.
4.1.2. Gestión de Riesgo.
Luego de haber terminado la fase correspondiente al análisis de los riesgos, se
empieza la siguiente fase correspondiente al análisis a la gestión del riesgo, en
donde se determinaran la aceptación o no de los riesgos.
4.1.2.1.Plan de gestión.
Al tener identificadas las amenazas a las que están expuestas en la red de la
Universidad nacional de Trujillo, realizaremos una clasificación de los riesgos.
Se muestra a continuación una tabla donde se identifican las amenazas
identificadas.
45
Nro. de
Proceso Procesos Vulnerabilidades
1
Administración de
Sistema de Gestión
Académica.
La información enviados desde el login viajan en texto
plano y fácilmente legible.
Ataques de tipo SQL-Inyection.
3
Administración de los
Sistemas de Gestor de
Contenido.
Plugins desactualizados.
Ataques de rechazo de servicios (DoS, Denial of
Services)
4
Administración del
Sistema de control
Biométrico
Alteración del reporte de entradas y salidas, tanto como
su eliminación.
El equipo biométrico es vulnerable.
5 Administración del
servidor web Caída del Servidor Web.
6
Administración del
Sistema de Gestión
Documentaria.
La información enviados desde el login viajan en texto
plano y fácilmente legible.
Ataques de tipo SQL-Inyection.
La eliminación de la ubicación de los documentos
enviados.
7 Administración del Portal
de Padres
La información enviados desde el login viajan en texto
plano y fácilmente legible.
Ataques de tipo SQL-Inyection.
8
Administración del
Sistema de Boletas de
Pago.
La información enviados desde el login viajan en texto
plano y fácilmente legible.
Ataques de tipo SQL-Inyection.
Eliminación del registro de las boletas.
4.1.2.2.IMPLEMENTACION DE UN SISTEMA DE PREVENCION DE
INTRUSOS.
4.1.2.2.1. Diseño Propuesto:
Luego de analizar la situación actual de la Oficina de Sistemas e
Informática, propondremos algunos cambios en el díselo de red.
Se implementaran colocaran 2 Sistemas de Prevención de Intrusos para
la Red de la Universidad Nacional de Trujillo, el primero se colocara
antes del firewall y de toda la red a proteger, esta configuración nos
permitirá hacer frente a los ataques provenientes fuera de la red de la
universidad (desde la nube), el segundo se ubicara antes de la red de la
“Ciudad Universitaria” el cual nos permitirá prevenir todos los ataques q
pueden originarse desde dentro de ella hacia los servidores.
46
Figura 12. Propuesta para la topología de la red de la UNT.
Figura 13. Esquema propuesto de Red de Servidores de la UNT.
47
4.1.2.2.2. Descripción del viaje de las peticiones hechas hacia los
servidores.
4.1.2.2.2.1.Desde Ciudad Universitaria.
Como se puede apreciar, la solicitud que se envía desde el interior de la
Ciudad Universitaria pasa por: Switch de Distribucion, Switch Core,
Fortigate, hasta llegar a los servidores, sindo su única línea de defensa para
hacer frente a los ataques el Fortigate, el cual tiene como función: verificar si
Figura 13. Esquema del viaje de una petición hacia los servidores.
48
la IP del solicitante pertenece a una Black List de IPs, antivirus, y hacia
dónde se dirige la solicitud.
4.1.2.2.2.2.Desde Fuera de la Red de la Universidad Nacional de
Trujillo.
Apreciamos que la solicitud es realizada desde fuera de la red de la
Universidad Nacional de Trujillo, esta viaja a través de: Router,
Fortigate, hasta llegar al Servidor Web. Como se mencionó en el anterior
diagrama, solo el Fortigate es el único que provee de protección a la red.
Figura 14. Esquema del viaje de una petición desde fuera de la UNT hacia los servidores.
49
4.1.2.2.3. Análisis y Descripción de la implementación de nuestra
propuesta a la red.
4.1.2.2.3.1.Desde la Ciudad Universitaria
Como se puede apreciar en el diagrama, la implementación de un
IPS, colocado desde el inicio de la petición de Servicio Web, de
esta forma, se le podrá hacer frente como primera línea de defensa
Figura 15. Propuesta del esquema del viaje de una petición hacia los servidores.
50
contra ataques de intrusos, esto nos permite detenerlos antes de que
sean re-direccionados por el Switch de Distribución.
4.1.2.2.3.2.Desde Fuera de la Red de la Universidad Nacional de
Trujillo.
Como se puede apreciar en el diagrama de arriba, la implementación de un IPS,
colocado entre el Router y el Fortigate, de esta forma le quitaremos un peso al
Figura 16. Propuesta de esquema del viaje de una petición desde fuera de la UNT hacia los
servidores.
51
Fortigate, identificando intrusos, y no dejándolos pasar, luego de esto, el Fortigate
le pasara el ultimo filtro de verificación, antes de llegar a los servidores.
4.2. Conclusiones
La implementación del Sistema de prevención ce intrusos permite un control
sobre posibles intentos de vulnerabilidad de la información que se posee en los
servidores de la Universidad Nacional de Trujillo.
El sistema de Prevención de Intrusos nos permite almacenar un historial de
información sobre posibles intentos de vulnerabilidad en la base de datos, para
poder visualizarlo en el momento que sea necesario y tomar medidas de
prevención contra desconocidos ataques.
La implementación de un sistema de prevención de intrusos basado en software
libre nos brinda facilidad al configurar y adaptar el sistema de acuerdo a las
necesidades de la red de información de la Universidad Nacional de Trujillo.
52
Capítulo 5
Referencias bibliográficas
5.1. Bibliografía
Berenson, L. M. (2014). Estadística para la administración (1 ed.). Estados Unidos:
Pearson Education.
Cetina Gonzales, E. R. (2010). Sistema preventor de intrusos para la Esime
Zacatenco. México D. F.
Yáñez Guevara, D. (2013). Sistema de Deteccion y Prevencion de Intrusos para el
Control de la Vulnerabilidad en los Servidores de la Facultad de Ingenieria en
Sistemas, Electronica e Industrial de la Universidad TŸecnica de Ambato. Ambato.
Dr. Hernández Sampieri, R. D. (2010). Metodología de la investigación. México D.F:
Mc Graw Hill.
Martines Puentes, J. (2011). Sistema Inteligente de Deteccion de Intrusos. Madrid –
España.
Torres Andagana, G. C. (2010). Estudio e Implementación de una Metodología de
Prevención de Intrusos para Redes LAN. Ecuador.
5.2. Linkografia
Altus. (24 de julio de 2014). E - prints complutense. Obtenido de
http://www.altus.cr/blog/rretana/ips-funcionamiento-y-aplicacion-actual.html
Barrantes, m. (24 de julio de 2014). Metodología para implementar proyectos de
redes. Obtenido de http://metodologiaspararedes.blogspot.com/
Wikipedia. (25 de agosto de 2014). Seguridad perimetral. Obtenido de
http://es.wikipedia.org/wiki/seguridad_perimetral
Wikipedia. (13 de agosto de 2014). Sistema de prevención de intrusos. Obtenido de
http://es.wikipedia.org/wiki/sistema_de_prevenci%c3%b3n_de_intrusos
