IDS/IPS en Zentyal 3.2
¿que es IDS?
Un sistema de detección de intrusiones (o IDS de sus siglas en inglés Intrusion Detection System) es un programa de detección de accesos no autorizados a un computador o a una red. El IDS suele tener sensores virtuales (por ejemplo, un snifer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, las anomalías que pueden ser indicio de la presencia de ataques y falsas alarmas.
¿Cómo funciona IDS?
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.
¿que es IPS?
Un sistema de prevención de intrusos o IPS es un software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de prevención de intrusos es considerada por algunos como una extensión de los sistemas de detección de intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías Cortafuegos (Firewall).
¿Como Funciona IPS?
Un Sistema de Prevención de Intrusos o IPS (Intrusion Prevention System), es un dispositivo de seguridad de red que monitoriza el tráfico de red y/o las actividades de un sistema, en busca de actividad maliciosa. Entre sus principales funciones, se encuentran no sólo la de identificar la actividad maliciosa, sino la de intentar detener esta actividad. Siendo ésta última una característica que distingue a este tipo de dispositivos de los llamados Sistemas de Detección de Intrusos o Intrusion Detection Systems (IDS).
Instalación
Para ese laboratorio se utilizó Zentyal 3.2, puesto que es la última versión en la que viene con esta herramienta, la cual aún tiene vigencia hasta marzo de 2018 como se puede ver en la siguiente imagen y en este enlace.
Una vez terminada la instalación básica ya esté realizada la cual ya se ha explicado en laboratorios anteriores, en la lista de módulos se debe ubicar el modulo de Intrusion Prevention Service o IPS y darle click para seleccionarlo
Luego se selecciona el tipo de rol que se utilizara en este caso es para un gateway.
Al seleccionar Gateway se seleccionarán el resto de los módulos necesarios para el funcionamiento del mismo.
Una vez terminada la instalación de los módulos nos llevará al Dashboard.
en la parte izquierda hay un menú en el cual se debe ir a la sección Gateway y se da click a IDS/IPS
al darle click nos lleva a la sección de Sistema de Detección/Prevención de Intrusos aparecerán 2 pestañas Interfaces y Reglas, en la interfaces se debe seleccionar la o las interfaces de red en las que se quiere aplicar, en este caso se usa la interface eth0.
En la pestaña reglas se seleccionan las reglas que se quieren aplicar y el tipo de acción que se quiere que realice.
Si se quiere cambiar el tipo de acción a realizar en una regla se da click al icono de lápiz que se sitúa en la columna de cada regla en el lado derecho de la tabla.
Por ejemplo si se quiere bloquear el ping al servidor se da click al cuadro de búsqueda y se busca las reglas de ICMP y se editan las acciones a bloquear.
Como se puede observar hay muchas reglas para configurar.
Como se ve en la siguiente imagen se realizaron pruebas de ping, la primera solo esta con la configuración de Registro y la ultima esta con la configuración de la acción bloquear.
Para ver los registros de las acciones IPS se va Mantenimiento > Registros y en se da click en la columna Informe completo y se da click al boton al lado de IPS.
Aparecerá las opciones de Domino de Registro en el cual debe de estas seleccionado IPS y Consulta personalizada con algunos datos para hacer una búsqueda mas selectiva.
En la parte inferior se puede ver la lista de alarmas (registros o logs) en una lista tipo tabla.
Aquí termina esta entrada espero que te sea de utilidad. pronto habrá una próxima entrada con mas noticias, novedades y laboratorios.