Herramientas de Monitoreo y Detección de Intrusos en Servidores LINUX

Hilda María Chablé Martínez


Texto completo de la Tesis    


Resumen

Debido al acelerado crecimiento de las redes de computadoras, el aspecto de la seguridad informática se ha convertido en un área que demanda mayor atención y causa mayor preocupación a los administradores de redes. Dentro de los mecanismos para afianzar la seguridad de un sistema están los Sistemas de Detección de Intrusos (SDI), los cuales son a muy importantes.
En este trabajo de tesis se propone un SDI híbrido que combina las características de un SDI basado en huésped y un SDI basado en red, esto con el fin de explotar las ventajas que se obtienen de combinar ambos enfoques. Por un lado, los SDI basados en red permiten obtener información general y amplia de un ataque, y por otro lado los SDI basados en huésped proporcionan información más específica del rastro del atacante.
El sistema de monitoreo y detección de intrusos implementado cuenta con un módulo que analiza las bitácoras de un sistema Linux. De éstas se obtienen variables que son supervisadas y de las que se pueden obtener patrones de uso normal. Por otro lado se cuenta con un módulo que supervisa el tráfico de entrada y salida muestreado de un segmento de red. Cuando se detecta una actividad maliciosa en algunos de los dos módulos, se correlaciona la información de ambos y si detecta alguna anomalía se envía una alerta al administrador del sistema.
Así se supervisan varios servidores de una red en base a las actividades del sistema operativo y las aplicaciones que en éstos se ejecutan, añadiendo la capacidad de supervisar el tráfico que entra y sale de cada uno de estos servidores, aumentando así la confianza y la exactitud en las detecciones de intrusos.
Con este SDI híbrido se pueden detectar ataques tan específicos como una exploración de contraseñas y nombres de usuario legítimos, correo SPAM, abuso de los recursos del servidor web, hasta ataques más generales como exploraciones de puertos y direcciones a IP, ataques de negación de servicio, entre otros.
El sistema fue implementado y evaluado en dos modos: en tiempo real y en modo de simulación. Se hicieron pruebas en ambos modos, aunque en el modo de simulación hubo más flexibilidad de modelar plataformas exhaustivas de pruebas. El sistema final tuvo resultados de desempeño, rapidez y funcionalidad satisfactorios.