UNIVERSIDAD TECNOLÓGICA DE PANAMÁ

CENTRO REGIONAL DE CHIRIQUÍ

FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

SISTEMA DE MONITORIZACIÓN OPEN SOURCE SNORT PARA DETECCIÓN DE

INTRUSIONES EN UNA INFRAESTRUCTURA DE REDES.

ASESOR:

MGTER. LEANDRO ESPINOZA MONTENEGRO

INTEGRANTES:
BRANDON MORALES 4-790-1

 
TRABAJO DE GRADUACIÓN PARA OPTAR AL TÍTULO DE LICENCIADO EN REDES
INFORMÁTICAS  

2022

4
Agradecimiento

Agradezco a Dios por ayudarme a cumplir a cada una de mis metas, por cuidarme y
protegerme a lo largo de mi vida, a darme la sabiduría e inteligencia para poder realizar
este proyecto.

Al, Mgter Leandro Espinoza Montenegro, mi más amplio agradecimiento por todo ese
conocimiento que nos comparte en cada clase, por su valiosa dirección y por hacernos
valorar la importancia de la carrera de Licenciatura en Redes Informáticas en cuanto al
mercado laboral en Panamá y en el extranjero.

Brandon M. Morales González

Dedicatoria

Dedico este proyecto a Dios, a pesar de todas las adversidades siempre va a estar con
cada uno de nosotros. Dios eterno, que me ha dado sabiduría todos estos años para
lograr terminar mis estudios.

A mi madre Xiomara González, por darme la vida, por cuidarme, por encaminarme en
los caminos de Dios, por apoyarme y quererme mucho.

Mi padre Jorge Morales por los valores que me ha enseñado de salir adelante, en
apoyarme en el desarrollo de este proyecto y por los ejemplos de perseverancia y
constancia.

Mi hermano Jorge M Morales que siempre ha estado conmigo y todos esos ejemplos
de perseverancia.

Brandon M. Morales González

Indice General
Agradecimiento……………………………………………………………………………II
Dedicatoria…………………………………………………………………………………III
IndiceGeneral……………………………………………………………………………..IX
Índice de figura…………………………………………………………………………..XI
Resumen………………………………………………………………………………….XII
Abstract..…………………………………………………………………………………XIII
Introducción……………...………………………………………………………………XIV
1 Capitulo I. ASPECTOS GENERALES DE LA INVESTIGACIÓN………………..
1.1 ANTECEDENTES.................................................................................................................11
1.2 PLANTEAMIENTO DEL PROBLEMA…………………………………………………..……….12
1.3 JUSTIFICACIÓN...................................................................................................................13
1.4 Objetivo General...................................................................................................................14
1.5 Objetivos específicos............................................................................................................14
Capitulo ll..................................................................................................................16
Marco teórico............................................................................................................16
2.1 Seguridad informática...........................................................................................................16
2.1.1 Categorías de Seguridad Informática............................................................................16
2.1.2 Seguridad de Red:.........................................................................................................16
2.1.3 Seguridad de las Aplicaciones:......................................................................................16
2.2 Ciberseguridad......................................................................................................................17
2.2.1 Seguridad de la información..........................................................................................17
2.2.2 Seguridad operativa.......................................................................................................17
2.2.3 Clasificación de los ciberataques comúnmente realizados en la actualidad Malware......18
2.2.3.1 Denegación de Servicio (DoS) y Denegación de Servicio Distribuida (DDoS)...........18
2.2.4 Herramientas utilizadas..................................................................................................18
2.3 Kali Linux...............................................................................................................................20
2.3.1 Para qué sirve Kali Linux...............................................................................................21
2.3.2 Principales características de Kali Linux........................................................................21
2.4 Wireshark..............................................................................................................................21
2.4.1 Paquete de Datos...........................................................................................................21
 2.4.2 Que es un IDS y IPS......................................................................................................22
2.5 Arquitectura de un IDS..........................................................................................................23
2.5.1 Tipos de IDS...................................................................................................................24
2.5.1 Modo de detección.........................................................................................................24
2.5.2 Posición del IDS.............................................................................................................26
2.6 ¿Qué es Snort?.................................................................................................................27
2.6.1 ¿Qué son las reglas SNORT?.......................................................................................27
2.6.2 Estructura...........................................................................................................................28
2.7 Divisiones de las secciones lógicas y el encabezado de las reglas en snort:......................29
2.7.1 Nivel de amenaza...........................................................................................................29
2.7.1.3 Direcciones IP y puerto:..............................................................................................30
2.8 Modos de configuración de Snort.........................................................................................30
2.8.1 Modo sniffer:...................................................................................................................30
2.8.2 Modo de registro de paquetes:......................................................................................30
2.8.3 Modo de sistema de detección de intrusiones de red (NIDS):.......................................31
2.9 Dificultades............................................................................................................................31
2.9.1 Reglas de detección.......................................................................................................31
3.1 Instalación de Kali Linux.......................................................................................................32
3.2 Instalación de Metasploitable................................................................................................46
3.3 Escaneo de la red con Nmap................................................................................................49
3.3 Pasos de instalación de snort y configuración......................................................................51
3.4 Ataque de un Exploit..........................................................................................59
..................................................................................................................................59
3.4 Ataque de un ARP SPOOFIN...............................................................................................62
Conclusión................................................................................................................65
Referencias..............................................................................................................66
 Índice de Ilustraciones

Figura 1 wireshark Fuente: Autor..................................................................................21

Figura 2 ejemplos de alertas de snort fuente: [2]............................................................22
Figura 3 tipos de ids fuente: [11].....................................................................................23
Figura 4 Comparación de ids basado en firmas y anomalías fuente [11].......................24
Figura 5 Donde colocar un ids Fuente [17].....................................................................25
Figura 6 Elementos de una organización Fuente:[17]....................................................26
Figura 7 oracle virtual box en el navegador Fuente: Autor.............................................31
Figura 8 instalador de Windows Fuente:Autor................................................................32
Figura 9 extensión pack fuente: Autor.............................................................................32
Figura 10 instalación de virtual box Fuente: Autor..........................................................33
Figura 11 interfaz de Virtualbox Fuente: Autor................................................................33
Figura 12 Nombre y Sistema operativo Fuente: Autor....................................................34
Figura 13 Tamaño de memoria Fuente: Autor................................................................34
Figura 14 Tipo de archivo de disco duro Fuente: Autor..................................................35
Figura 15 Almacenamiento: Fuente: autor......................................................................36
Figura 16 Tamaño del archivo Fuente: Autor..................................................................37
Figura 17 Selección de la iso: Fuente: autor...................................................................37
Figura 18 Seleccionamos la instalación gráfica Fuente: Autor.......................................38
Figura 19 Lenguaje Fuente: Autor...................................................................................38
Figura 20 localización Fuente:autor................................................................................39
Figura 21 localización de centro américa Fuente: Autor................................................39
Figura 22 Partición de los discos Fuente: autor..............................................................40
Figura 23 aceptar los cambios en el Disco Fuente: autor...............................................40
Figura 24 Nombre de la maquina Fuente: autor.............................................................41
Figura 25 Configuración de usuario y contraseña Fuente: Autor...................................41
Figura 26 instalación del cargador de arranque Grub fuente: Autor...............................42
Figura 27 instalación terminada fuente: Autor.................................................................42
Figura 28 finalización de instalación fuente: Autor..........................................................43
Figura 29 iniciar sesión Fuente: Autor.............................................................................43
Figura 30 configuración fuente: Autor............................................................................44
Figura 31 Importar metasploitable3 Fuente: Autor.........................................................45
Figura 32 configuración de metasploitable Fuente: Autor.............................................46
Figura 33 escaneando la red con nmap Fuente: Autor.................................................47
Figura 34 Escaneo de nmap -sv Fuente: autor.............................................................48
Figura 35 nmap scan en el host 192.168.0.14 fuente:autor.......................................49
Figura 36 instalación de snort Fuente: Autor..................................................................50
Figura 37 Comando ifconfig Fuente: Autor.....................................................................51
Figura 38 comando mkdir Fuente: autor.........................................................................52
Figura 39 snort.conf fuente: Autor...................................................................................53
Figura 40 configuración snort.conf Fuente: Autor..........................................................53
Figura 41 reglas Fuente: Autor........................................................................................54
Figura 42 Agregando reglas Fuente: Autor.....................................................................55
Figura 43 Running ids mode Fuente: Autor....................................................................55
Figura 44 ping Fuente: Autor...........................................................................................56
Figura 45 Prueba de ping Fuente: Autor.........................................................................56
Figura 46 alertas Fuente: Autor......................................................................................57
Figura 47 ataque con un exploit Fuente: Autor...............................................................58
Figura 48 mfsconsole Fuente: Autor...............................................................................58
Figura 49 selección del exploit Fuente: Autor.................................................................59
Figura 50 Selección de la ip Fuente: Autor.....................................................................59
Figura 51 Alertas de snort Fuente: Autor......................................................................60
Figura 52 Ataque de ARP Fuente: Autor........................................................................61
Figura 53 Ejecución de wireshark fuente: Autor..............................................................61
Figura 54 Tramas en Wireshark Fuente: Autor.............................................................62
Figura 55 snort detecta el ARP SPOOF Fuente: Autor...................................................63
Resumen Descriptivo

Significativamente las intrusiones en sistemas informáticos y los ataques integrados a

ellas trascienden de manera más sofisticada e indetectable. Los ataques cibernéticos
se han incrementado, afectando a empresas y organizaciones provocando pérdidas
millonarias.

Esto ha ocasionado que los Sistemas de Detección de Intrusiones (IDS) se hayan

hecho
esenciales en el programa de seguridad de las redes empresariales con la principal
función de detectar accesos no deseados o comportamientos extraños en la misma.

El objetivo principal del proyecto es implementar un sistema de detección de

intrusiones con Snort y verificar su correcto funcionamiento. El cual detecta posibles
ataques analizando cada paquete del tráfico de la red con un motor de reglas de
ataques conocidos.

Con este trabajo de investigación se verifica la necesidad de estudiar los datos

estadísticos del IDS Snort y que estos se muestren en una interfaz gráfica para facilitar
el estudio del rendimiento, con el fin de perfeccionar el funcionamiento del sistema IDS.
 Introducción

Los ataques en los sistemas informáticos de la mayoría de las empresas suceden con
mayor frecuencia y peligrosidad siendo urgente proteger la vulnerabilidad de estas.

Las demandas para consultar información cada vez son más exigentes, ya sea para
compartir datos o realizar gestiones de una forma ágil. Las empresas han descubierto
la carencia de seguridad. Los datos compartidos por empresas públicas o privadas
pueden ser interceptados por cualquier usuario malicioso que tenga a su disposición
herramientas perversas.

Cada vez se han ido haciendo más complicados y difíciles de detectar las intrusiones y
los ataques en sistemas de la información. Esto ha impulsado que los Sistemas de
Detección de Intrusiones (IDS) se hayan hecho imprescindibles en el programa de
seguridad de las redes empresariales.

Es posible con Snort disminuir la posibilidad de que se produzca ese tipo de

intrusiones, ya sea por ataques dirigidos o detonando alguna vulnerabilidad del
sistema, esto conlleva estudiar el tráfico de red generado durante la intrusión.

Por lo tanto, Snort se ha modificado como un conjunto de métodos de vasta aplicación

global ha progresado hasta ser considerado un esquema de detección de accesos no
autorizados a un sistema o a una red.
De tal manera, en este estudio se propone para que las organizaciones o empresas
dispongan de reglas o sistemas de monitoreo como es Snort, para sostener una
significativa vigilancia sobre detección de intrusos con el objetivo de mejorar su
funcionamiento y acrecentar la seguridad de sus redes. Esta herramienta funciona en
base del análisis descriptivo del tráfico de red.
Este trabajo investigativo se ha pensado con la finalidad de analizar el funcionamiento
de un IDS Open Source en la monitorización para detención de intrusiones de una
infraestructura de redes.
La información de esta investigación la pueden tener acceso estudiantes, docentes,
profesionales del área de informática debido a la demanda de conocimientos
específicos concernientes sobre seguridad informática.
Es evidente la comprensión de los IDS ya que aumentan la seguridad del sistema,
vigilan el tráfico de la red, examinan los paquetes analizándolos en busca de datos
sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el
análisis de la red.
 Capitulo I.

GENERALIDADES DE LA INVESTIGACIÓN

1.1 ANTECEDENTES

Con el incremento en la utilización de redes y la globalización en las comunicaciones

hacen que los servicios informáticos se vean cada vez más expuestos a ataques de la
red.

Desde de la aparición de la red de computadores en el mundo, surgió también la

importancia de la detección de intrusiones a nivel global. Esto trascendió a la necesidad
de la creación de un sistema de detección de intrusos para informar y aminorar los
impactos producidos por los ataques que en su momento eran la mayor complicación
de las redes.

En el proyecto de grado para optar al título de Especialista en Seguridad en Informática

Implementación de un sistema de detección de intrusos para la red local de la
Ferretería Corintios en Santa Marta[1] escrito por Hugo Alberto Payares Becerra
planteó que en el presente se ha manifestado el aumento de herramientas para la
vulnerabilidad de los sistemas de información que están implementados en las
estructuras.

Es evidente la necesidad de un Sistemas de Detección de Intrusos en los sistemas, los

cuales se basan en la vulnerabilidad de los sistemas operativos para incrementar su
infiltración.
La cantidad de accesos no autorizados a la información que existe en la Internet ha
aumentado significativamente, complicando la estabilidad económica en las empresas
y a nivel doméstico.

En el trabajo de grado de Ingeniería Informática en la con el título Sistema de

monitorización del Ids Snort su autor José Llopis Polvoreda expuso que Snort y un
sistema de detección de intrusos basado en red o NIDS ejecuta un motor de
localización de ataques el cual permite registrar, alertar y responder ante cualquier
irregularidad previamente definida. Así mismo, según Polvoreda acompañan
herramientas complementarias a Snort que hacen que este IDS sea un sistema muy
proporcionado y cómodo de administrar.

1.2 PLANTEAMIENTO DEL PROBLEMA

 ¿De qué manera se implementa un sistema de monitorización Open Source

Snort para detención de intrusiones en una infraestructura de redes?

 ¿Cómo se realiza el análisis del funcionamiento de un IDS Open Source en la

monitorización para detención de intrusiones en una infraestructura de redes?

 ¿Por qué es útil la herramienta Snort para mantener la seguridad de los datos
por acceso no deseado en la red?

 ¿Qué importancia tienen los datos estadísticos del IDS Snort mostradas en el
Kali Linux?
 1.3 JUSTIFICACIÓN

El trabajo de investigación que se presenta surge debido al incremento considerable de

ataques informáticos que se producen en una infraestructura de redes, dando por
hecho que la mayoría de las empresas no cuentan con una herramienta de defensa
frente a las intenciones de acceso no autorizados a la información.

En el estudio realizado se valora el hecho de implementar un sistema de detención de

intrusiones exponiendo la amplitud de los parámetros de seguridad para una
organización, así mismo, consiste en detectar actividades maliciosas o incorrectas
desde el exterior e interior de un sistema informático.

La implantación del sistema de monitorización open source snort para detección de

intrusiones en una infraestructura de redes es oportuna ya que permitirá gestionar y
custodiar mediante un historial de intentos de intrusiones en la red con proximidad en
tiempo real ante un probable ataque.

La disposición para desarrollar el trabajo de grado con open Snort, se debe a que es un
sistema IDS basado en red (NIDS). Entre sus características es funcional para analizar
y capturar paquetes en busca de alarmas, archivos y anormalidad que presente la red,
con el propósito de evadir las vulnerabilidades que presente dicha información de la
organización.

Según los fundamentos enunciados anteriormente se hace necesario implementar un

IDS ya que con el desarrollo de este se pretende utilizar las herramientas necesarias
que justifiquen su eficacia y ejecución. Beneficia de este modo el manejo de la
información en cuanto a seguridad e integridad de la información para hacer las
recomendaciones pertinentes a las empresas.
 1.4 Objetivo General

Implementar sistema de monitorización Open Source Snort para detención de

intrusiones en una infraestructura de redes.

1.5 Objetivos específicos

 Analizar el funcionamiento de un IDS Open Source en la monitorización para

detención de intrusiones en una infraestructura de redes.

 Investigar la utilidad de la herramienta Snort en la seguridad de los datos por

acceso no deseado en la red.

 Estudiar la recepción de datos estadísticos del IDS Snort mostradas en Kali

Linux.
 Capitulo ll.

Marco teórico

2.1 Seguridad informática.

De esta manera mantiene en el estudio [2]titulado Sistema de Prevención de

Intrusos para mejorar la seguridad de los servidores de la Universidad Nacional
de Trujillo, Seguridad informática es un área de la informática la cual se enfoca en la
protección de las estructuras computaciones, nos permite tener confianza de la
información, la cual estemos utilizando se encuentre en un lugar seguro y confiable.
Sin duda alguna el riesgo más letal es el virus informático, este es un programa el cual
se duplica añadiendo copias a otros programas sin el consentimiento del usuario y
puede pasar por desapercibido.

2.1.1 Categorías de Seguridad Informática

A continuación, se observan en algunas categorías comunes en las cuales puede
dividirse la seguridad informática [3]::

2.1.2 Seguridad de Red:

se refiere a las prevenciones que se asumen con el objetivo de proteger una red
informática de intrusos, como lo son atacantes dirigidos o malware oportunista.
Implica autorizar acceso a datos que se encuentran almacenados en la red, la
cual es controlada por un administrador. Los usuarios optan o se les establece
una identificación y contraseña para su autenticación que les permite acceder a
información y programas dentro de sus autorizaciones [3].

2.1.3 Seguridad de las Aplicaciones:

[3] Es el desarrollo de aplicaciones más seguras al encontrar, corregir y mejorar
su seguridad. Generalmente sucede durante la fase de desarrollo, pero incluye
herramientas y métodos para prevenir en las aplicaciones que se implementan.
Una aplicación perjudicada o mal diseñada podría tener entrada a los datos por
proteger. Desde que se hace la implementación de un programa o dispositivo es
más desde que se comienza la etapa de diseño se comienza la seguridad eficaz.
 2.2 Ciberseguridad

La Ciberseguridad permite generalmente a la capacidad de tener un control del acceso

de las redes, sistemas de información y todo tipo de recursos de información; es decir
una protección de los activos de la organización y la TICS[4].

2.2.1 Seguridad de la información

Es el conjunto de medidas preventivas y reactivas que permiten resguardar o proteger

la información, manteniendo la confidencialidad, integridad y la autentificación de los
datos, tanto en el almacenamiento como en el tránsito. Cabe aclarar que el término
seguridad de información difiere a seguridad informativa, debido a que el primero
abarca un rango más amplio, llegando a tener una importancia global en otros aspectos
que no involucran a la ciberseguridad [3].

2.2.2 Seguridad operativa

Seguridad Operativa Entendida como el conjunto de procedimientos destinados a

minimizar los riesgos a los que están expuestos la información, software y equipos,
incluyendo los procesos y decisiones para manejar los recursos de datos. Los permisos
que tienen los usuarios para acceder a una red, así como los procedimientos que
determinan cómo y dónde puede almacenarse o compartirse los datos se incluyen en
esta categoría. El adiestramiento del personal acerca los riesgos y la manera de
prevenirlos mediante la concientización y capacitación constituyen los pilares
fundamentales de la Seguridad Operativa.

2.2.3 Clasificación de los ciberataques comúnmente realizados en la actualidad

Malware.
Es un tipo de software que se instala en un sistema sin el consentimiento del
propietario. Entre los malware más comunes se pueden destacar los virus,
spyware, troyanos, gusanos, ransomware.
2.2.3.1 Denegación de Servicio (DoS) y Denegación de Servicio Distribuida
(DDoS)
El DoS es un ataque realizado desde una máquina atacante que sobrecarga un
sistema impidiendo a dicho sistema utilizar sus servicios. El DDoS es
prácticamente igual, pero el ataque se realiza desde una gran cantidad de
máquinas infectadas por el atacante.
2.2.3.2 Ataque de hombre en medio (MitM):
El atacante se filtra entre las comunicaciones de un cliente y un servidor,
pudiendo ver e incluso modificar la información.
2.2.3.3 Phishing:
Es una estafa que utiliza la ingeniería social para conseguir información privada
de las personas a través, por ejemplo, del correo electrónico.
2.2.3.4 Ataque de contraseña:
Se realizan ataques de fuerza bruta o de diccionario con el objetivo de descubrir
contraseñas de usuarios de sistemas de información.
2.2.3.5 Inyección SQL:
El ataque se realiza a BBDD de sitios web. Se lanzan comandos SQL en los
formularios de inicio de sesión o de búsqueda, manipulando así la base.[5]
2.2.3.5 ataque de arp:
ARP SPOOF es un método usado para infiltrarse en una red de ethernet
conmutada, que permite al atacante explorar paquetes de datos, alterar, el
tráfico, o incluso detenerlo, Esta técnica tiene como principio enviar mensajes
ARP falsos al bus ethernet con la finalidad de asociar la mac del atacante con la
dirección ip de otro nodo de confianza como por ejemplo el Gateway. El principio
de ARP SPOOFING es enviar mensajes ARP falsos a la ethernet[6].

2.2.4 Herramientas utilizadas

2.2.4.1 Nmap
Es un programa de código abierto que sirve para efectuar rastreo de puertos.
Se usa para evaluar la seguridad de sistemas informáticos, así como para
descubrir servicios o servidores en una red informática.
2.2.4.2 Metasploit Framework [5]
Metasploit Framework es una herramienta de código libre muy utilizada por las
auditorías de seguridad para la realización de prueba de penetración, puesto
que ofrece una gran cantidad de información útil sobre vulnerabilidades. Para
una mejor comprensión de este Framerowk es importante definir una serie de
conceptos clave.
• Exploit: un exploit es el medio a través del cual un atacante o pentester se
aprovecha de una vulnerabilidad dentro de un sistema, servicio o
aplicación.
• Payload: un Payload es el fragmento de código que se ejecuta dentro del
sistema operativo víctima. El exploit se puede ver como una “puerta” de
acceso a la víctima, mientras que el Payload es lo que se introduce a
través de la misma para atacar.
2.2.4.3 Shellcode:
Un Shellcode es un código creado para conseguir acceso a una
Shell del equipo víctima y se utiliza cuando hay una
vulnerabilidad en el mismo.
2.2.4.4 Modulo:
Un módulo es un bloque de código que puede tener una o
varias funcionalidades. Metasploit cuenta con una gran cantidad
de módulos, y estos están categorizados de la siguiente forma:
a) Modulo auxiliary: proporciona de herramientas externas con
funcionalidades como scanners o sniffers.
b) Modulo encoders: su funcionalidad es evitar que los
firewalls/antivirus de la máquina víctima detecten la presencia
del Payload cargado.
c) Modulo exploits: es uno de los módulos más conocidos, ya que
en el están contenidos todos los exploits disponibles en
Metasploit.
d) Modulo payloads: en este módulo están almacenados todos los
payloads disponibles. [5]
Una vez definidos los conceptos más importantes de Metasploit, procedo a
 mostrar la interfaz utilizada para la realización de los ataques. Esta interfaz es
una consola de comandos, desde donde se puede acceder a cualquier utilidad
de Metasploit. Para utilizarla, es necesario levantar la base de datos de
PostgreSQL que da vida a Metasploit, y para ello hay que ejecutar en un
terminal el siguiente comando: /etc/init.d/postgresql start. Una vez ejecutado, hay
que escribir en la terminal el comando msfconsole, y automáticamente entra en
la consola de Metasploit. [5]

2.3 Kali Linux

Kali Linux es una distribución de Linux basada en Debian, específicamente diseñada para
temas de seguridad muy variados, como análisis de redes, ataques inalámbricos, análisis
forenses y otros que más adelante citaremos. Contiene herramientas para llevar a cabo
todas estas pruebas de seguridad y análisis.

Fue desarrollado en base a la reescritura de BackTrap, otra distribución de Linux para

semejantes usos, por Mati Aharoni y Devon Kearns de Offensive Security.

Kali Linux se encuentra entre las distribuciones de seguridad de Linux más usadas, ya
que es una de las mejores, tanto para uso personal como profesional, proporcionando a
los usuarios paquetes de herramientas como Foremost, Wireshark, Maltigo as-Aircrack-
ng, Kismet y más. [7]

2.3.1 Para qué sirve Kali Linux

Kali Linux funciona para que las personas puedan encontrar vulnerabilidades en la
infraestructura ya sean lo que la defiende o los atacantes que quieren realizar
ciberataques.

Entre todo lo que se puede hacer con Kali Linux, destacamos algunos aspectos: [7]
2.3.2 Principales características de Kali Linux

Kali Linux es un software bastante potente y con multitud de usos avanzados para que un
administrador pueda aprovecharla a fondo. Destacamos algunas de sus principales
características:

 No tiene costo para usarlo tanto personal como profesionalmente.

 Cuenta con más de 600 herramientas para trabajar.
 Cuenta con un soporte valioso, en varios lenguajes.
 No es necesario instalarlo para usarlo, ya que tiene un modo live que permite
utilizarlo desde dispositivos portátiles en casi cualquier sistema.
 Está desarrollado en un entorno seguro, lo que ofrece muchas garantías acerca de
datos y fallos.
 Usa el estándar de jerarquía de sistema de archivos (FHS) que permite bibliotecas,
archivos de soporte, etc. [7].

2.4 Wireshark
Wireshark es un analizador de paquetes de red. Un analizador de paquetes de red
captura los paquetes de datos y tratara de mostrar los paquetes lo más detallado
posible. Un analizador de paquetes de red es como un dispositivo de medición utilizado
para examinar lo que está pasando en el interior de un cable de red.

2.4.1 Paquete de Datos

Un paquete de datos es una unidad fundamental de transporte de información en todas
las redes de computadoras modernas [[8].
Un paquete está generalmente compuesto de tres elementos: una cabecera contiene
generalmente la información necesaria para trasladar el paquete desde el emisor hasta
el receptor, el área de datos que contiene los datos que desean trasladar, y la cola, que
comúnmente incluye código de detección de errores [[8].
 Figura 1 wireshark Fuente: Autor

2.4.2 Que es un IDS y IPS

Los dos grandes sistemas de detección de intrusiones son los IDSes (Intrusion
Detection System) y los IPSes (Intrusion Prevention System). El presente proyecto se
centrará en los sistemas IDS.
Un sistema de detección de intrusos o IDS es un mecanismo de seguridad que lleva a
cabo el análisis automático de parámetros que modelan la actividad de un entorno con
el propósito de detectar intrusiones. Cuando se identifica una condición anómala, el
IDS emite una alerta avisando de la posible intrusión con datos relacionados de la
misma. Por ejemplo, en el IDS Snort, que se explicará más adelante, se puede
configurar para que muestre información ampliada de las alertas que detecte,
mostrando para cada alerta los siguientes datos: tiempo, mensaje de la alerta,
clasificación, prioridad de la alerta, IP y puerto de origen/destino e información
completa de las cabeceras de los paquetes registrados: [9]
Figura 2 ejemplos de alertas de snort fuente: [2]

En el trabajo de Ciencias Técnicas [2] por Susy Janeth Sánchez Restrepo hace la
observación de la alerta anterior generado porque el día 23 de Julio de 2017, a las
14:53 horas, la dirección IP 192.168.4.3, a través del puerto 3159, realizó una conexión
hacia el puerto 8080 del proxy configurado en la red, en este caso, con dirección IP
192.168.4.15. Se tendría que analizar si dicha conexión es legítima y está permitida.
Por otro lado, el IPS, o sistema de prevención de intrusiones, tiene como misión
realizar respuestas de contención contra posibles intrusiones, bloqueando los ataques
detectados.

2.5 Arquitectura de un IDS.

Cuando se realiza una auditoria los logs o registros que son analizados deben quedar
de forma segura guardados en una parte diferente a la del sistema, para evitar que esta
información sea eliminada o se altere sin perjudicar el mecanismo IDS. Los IDS se
reconocen en dos grupos según el tipo de analizador o procesador de eventos que
configuran el IDS: los que trabajan basados en normas, los que trabajan en la
detección de uso indebido y los sistemas que se adaptan utilizando técnicas
estadísticas trabajando en la detección de anomalías.[10]
2.5.1 Tipos de IDS
Existen diferentes tipos de ids en la actualidad en la ilustración:

Figura 3 tipos de ids fuente: [11]

2.5.1 Modo de detección

2.5.1.1 IDS basado en firmas:

Este tipo de IDS [[11] se centra en la búsqueda de una "firma", patrones, o una
identidad conocida, de una intrusión o evento de intrusión específico. Necesita
actualizaciones periódicas de qué firmas o identidades son comunes en este momento
para garantizar que su base de datos de intrusos esté actualizada. Se podría decir, por
tanto, que los IDS basados en firmas son tan buenos como la actualización de su base
de datos en un momento dado.
Los atacantes pueden sortear los IDS basados en firmas cambiando frecuentemente
pequeñas cosas sobre cómo se produce el ataque, por lo que las bases de datos no
pueden seguir el ritmo. Además, significa que un tipo de ataque completamente nuevo
puede no ser detectado en absoluto por IDS basados en firmas porque la firma no
existe en la base de datos.
 2.5.1.2 IDS basados en anomalías

A diferencia de los IDS basados en firmas, como se ha mencionado anteriormente, los

IDS basados en anomalías buscan los tipos de ataques desconocidos que los IDS
basados en firmas encuentran difíciles de detectar. Debido al rápido crecimiento del
malware y los tipos de ataque, los IDS basados en anomalías utilizan enfoques de
aprendizaje automático para comparar modelos de comportamiento confiable con
comportamiento nuevo. Como resultado, se marcarán anomalías o comportamientos de
aspecto extraño o inusual. Sin embargo, el comportamiento previamente desconocido
pero legítimo también puede marcarse accidentalmente, también conocido como falsos
positivos, lo que puede causar algunos problemas, sobre todo a los administradores de
sistemas al tener que estar revisando este tipo de alarmas. Por otro lado, uno de los
puntos fuertes de los IDS basados en anomalías, es su capacidad para determinar
cuándo alguien está sondeando o barriendo lo que suele preceder al ataque de una
red.[11]
Las principales diferencias entre los dos modos las podemos ver en la siguiente tabla:

Figura 4 Comparación de ids basado en firmas y anomalías fuente [11]

2.5.2 Posición del IDS

Si colocamos el IDS antes del cortafuegos capturaremos todo el tráfico de entrada y
salida de nuestra red. La posibilidad de falsas alarmas es grande.

La colocación detrás del cortafuegos monitorizará todo el tráfico que no sea detectado
y parado por el firewall o cortafuegos, por lo que será considerado como malicioso en
un alto porcentaje de los casos. La posibilidad de falsas alarmas muy inferior.

Algunos administradores de sistemas colocan dos IDS, uno delante y otro detrás del
cortafuegos para obtener información exacta de los tipos de ataques que recibe nuestra
red ya que si el cortafuegos está bien configurado puede parar o filtras muchos
ataques.
En ambientes domésticos, que es el propósito de este taller sobre IDS y Snort,
podemos colocar el IDS en la misma máquina que el cortafuegos. En este caso actúan
en paralelo, es decir, el firewall detecta los paquetes y el IDS los analizaría [12].

2.5.2.1 Dónde colocar el IDS

Una actitud paranoica por nuestra parte nos podría llevar a instalar un IDS en cada host
o en cada tramo de red. Esto último sería un tanto lógico cuando se trata de grandes
redes, no es nuestro caso ahora. Lo lógico sería instalar el IDS en un dispositivo por
donde pase todo el tráfico de red que nos interese.

Figura 5 Donde colocar un ids Fuente [17]

 Figura 6 Elementos de una organización Fuente:[17]
2.6
¿Qué es Snort?

Snort es una aplicación de seguridad moderna de código abierto que proporciona tres
modos de funcionamiento. El primero es el modo Sniffer, el cual muestra el tráfico
existente en la red entre diferentes sistemas. El segundo modo es el Logger, que
permite guardar el tráfico capturado en la red para poder analizarlo posteriormente. Es
posible la creación de reglas para guardar solo el tráfico que se desee. Por último, el
tercer modo es NIDS, el cual es muy parecido al Logger, pero permite utilizar reglas
más específicas para filtrar los paquetes capturados. Snort cuenta con una serie de
componentes que hace posible su funcionamiento. [5]

2.6.1 ¿Qué son las reglas SNORT?

En cuanto a las reglas Snort son técnicas diferentes para originar detecciones, que
proporcionan la ventaja de establecer una protección contra ataques. Las reglas se
basan en detectar principalmente el ataque, no una amenaza o un dato específico. Una
regla de detección consiste en un conjunto de requisitos que permite realizar una
acción definitiva. Para ajustar una regla se requiere conocimiento respecto a las
características de una vulnerabilidad determinada y cómo se manifiesta en caso de
materializarse.[13]
2.6.2 Estructura

Una regla consta de dos partes: la cabecera y el cuerpo. Snort establece el control de
los archivos de reglas y categoría de estas a través del archivo snort.conf. Este archivo
tiene dos entradas importantes respecto a la configuración de las reglas [13]:
En el momento de asentar una regla hay que guardar la dirección del directorio que se
colocó, porque la variable $RULE_PATH para iniciar necesita la dirección de la
ubicación de las reglas.
Determinada de esta manera: /etc/snort, rules, prueba.rules

2.6.2.1 Sintaxis de una regla

La cabecera es un filtro frontal que separa el tráfico en cinco factores diferentes:
dirección IP origen, dirección IP destino, puerto origen, puerto destino y protocolo,
ayudando a filtrar el tráfico de red.

2.6.2.1.1 Log:
Agrega el paquete malicioso al registro de salida determinado en la
configuración del sensor. Las opciones del módulo de salida son diversas
facilitando diferentes elecciones posibles. Las directivas de log por cada
regla permiten personalizar el registro del paquete a un nivel notable.
2.6.2.1.2 Alert:
Esta acción puede imprimir una entrada de log y emitir una notificación con
algún incidente asociado cuando una regla es activada. La acción de alerta
es la establecida por defecto en el paquete de reglas de Snort.
2.6.2.1.3 Pass:
Puede rechazar un paquete conforme con la regla y continuar con el
procesamiento. Es válido cuando se está poniendo el paquete de reglas y se
necesita que las más problemáticas sean descartadas, para ver las salidas
de las reglas de más interés, permite reducir el número de falsos positivos.
2.6.2.1.4 Activate:
Se refiere a la acción más poderosa de Snort. Realiza su operación de
acuerdo con la acción dynamic, activando una alerta y operando lo
especificado por la regla dynamic asociada. Activate/dynamic es óptima
 para apresar complejas series de ataques.
2.6.2.1.5 Dynamic:
Se combina con la acción actívate para establecer un segundo nivel de
procesamiento en puntualizados contextos. Esta conjunción puede ser una
herramienta útil para una detección de intrusiones avanzada
2.6.2.1.6 Drop:
Bloquea el paquete y lo registra, enviando la información a los módulos de
salida.
2.6.2.1.7 Reject:
Esta acción bloquea el paquete, lo registra, luego reinicia la conexión si el
protocolo es TCP, y si es UDP envía un mensaje de puerto ICMP
inalcanzable.
2.6.2.1.8 Sdrop:
Es bien parecida a drop pero no registra el paquete, se limita solo a
bloquearlo con esta acción.[14]

2.7 Divisiones de las secciones lógicas y el encabezado de las reglas en snort:

Las métricas que deben evaluarse para cada conjunto de reglas incluyen:

2.7.1 Nivel de amenaza

Las reglas de snort son divididas en dos secciones lógicas, el encabezado de la regla y
las opciones [15]:

2.7.1.1 Encabezado de la regla:

El encabezado contiene la acción, protocolo, ip origen, ip destino, puerto origen y

puertos destino. Las opciones contienen mensajes de alerta e información sobre la
cual partes de un paquete pueden ser inspeccionadas para determinar si una
acción puede ser tomadas.

2.7.1.2 Protocolos:

El siguiente campo en una regla es el protocolo, debe ser uno de los cuatro que
snort puede analizar actualmente: TCP, UDP, ICMP O IP.
 2.7.1.3 Direcciones IP y puerto:  
El siguiente campo hace referencia a la dirección IP y el puerto de origen,
tras el operador de dirección también se especifican la dirección IP y el
puerto de destino.

2.7.1.4 Operador de dirección:

Indica la orientación o dirección del tráfico sobre el que se aplicará la regla.
Puede ser “->” o “<>” (bidireccional).

2.7.1.5 Acciones de la regla:

El encabezado de la regla contiene la información que define el quien
donde y porque de un paquete, así como el que hacer en el evento en que
unos paquetes con todos los atributos indiquen que la regla debe
aparecer. El primer elemento en una regla es la acción.

2.8 Modos de configuración de Snort

Snort se puede configurar en tres modos principales: sniffer, logger de paquetes y

detección de intrusos en la red. En modo sniffer, el programa leerá los paquetes de
red y los mostrará en la consola. En el modo de registrador de paquetes, el
programa registrará los paquetes en el disco. En el modo de detección de intrusos,
el programa monitoreará el tráfico de la red y lo analizará contra un conjunto de
reglas definido por el usuario. A continuación, se detallan los modos en los que se
puede configurar Snort[16]:

2.8.1 Modo sniffer:

En este modo, IDS lee los paquetes de datos de la red y los muestra en un
flujo continuo en la consola.[16]

2.8.2 Modo de registro de paquetes:

El IDS registra los paquetes leídos en el disco. Los paquetes se registran en

formato de salida predeterminado, es decir, texto ASCII. Si se requiere una
 forma de registro más compacta para un análisis posterior, se debe considerar
el modo binario de registro. El modo binario registra los paquetes en formato
tcpdump en un único archivo binario en el directorio de registro) [[16].

2.8.3 Modo de sistema de detección de intrusiones de red (NIDS):

En este modo, IDS realiza la detección y el análisis del tráfico de red. Este es
el modo más complejo y configurable. Esto aplicará las reglas incluidas en el
archivo snort.conf a cada paquete para decidir si el paquete es malicioso. Una
acción basada en la regla en el archivo se toma en la detección de un ataque
[[16].

2.9 Dificultades
Un problema de los IDS es cuando queremos implementarlos en redes conmutadas
ya que no hay segmento de red por donde pase todo el tráfico. Otro problema para
un IDS son las redes con velocidades de tráfico muy altas en las cuales es difícil
procesar todos los paquetes.

2.9.1 Reglas de detección

Las reglas se agrupan en un conjunto de firmas que categorizan los incidentes.
Se leen y se comparan con cada paquete. Si un paquete empareja con cualquier
regla, se realiza la acción apropiada, como registrar el paquete o generar una
alarma. De lo contrario, el paquete se descarta.
El conjunto de reglas que producen algún tipo de alerta o acontecimiento se
pueden encontrar al final del fichero de configuración snort.conf, declaradas
como un include. Las reglas se almacenan por defecto en el directorio
/etc/snort/rules.
Capítulo 3
Marco Metodológico
3.1 Instalación de Kali Linux
Primeramente, para poder instalar una máquina virtual de deber tener instalado el
software virtualbox 64bit, se utilizó este software por es bastante estable. Y una de
principales ventajas es porque gratuito.

Figura 7 oracle virtual box en el navegador Fuente: Autor

En el buscador escribimos virtualbox y entramos a la dirección con el nombre de

Downloads
 Figura 8 instalador de Windows Fuente:Autor

En este caso como la computadora es sistema operativo Windows descargamos el

software para este sistema operativo

Figura 9 extensión pack fuente: Autor

Para poder realizar la instalación con éxito necesitamos también instalar la extensión
de VirtualBox

Figura 10 instalación de virtual box Fuente: Autor

En esta figura
se observa el instalador de VirtualBox

Figura 11 interfaz de Virtualbox Fuente: Autor

En esta figura se observa la interfaz de VirtualBox donde se pueden observar todas las
máquinas virtuales que están instaladas en el equipo

Figura 12 Nombre y Sistema operativo Fuente: Autor

Para instalar Kali Linux, debemos

crear una máquina virtual nueva en la que se le coloco el nombre de Kali proyecto,
debemos seleccionar la carpeta en la que queremos guardar la instalación, en tipo se
selecciona Linux y versión Debian (64-bit).

Figura 13 Tamaño de memoria Fuente: Autor

En la siguiente ventana hay que configurar el tamaño de memoria RAM que se ve a
utilizar en la máquina. En la instalación se le coloco una cantidad de memoria de 2048
Mb, para los laboratorios que se van a realizar en el proyecto es suficiente.

Figura 14 Tipo de archivo de disco duro Fuente: Autor

Seleccionamos el tipo de disco duro virtual que se va a utilizar para la máquina virtual,
en este caso se utilizó VDI (VirtualBox Disk Image).

El termino de VDI hace referencia a la utilización de máquinas virtuales, estos nos

permiten al usuario poder ejecutar programas escritos en otros sistemas operativos
.

Figura 15 Almacenamiento: Fuente: autor

En
este paso de la instalación se utilizó almacenamiento reservado dinámicamente.

El almacenamiento dinámico su principal ventaja es que no permite realizar

modificaciones y ampliar el tamaño del disco o reducirlo
 Figura 16 Tamaño del archivo Fuente: Autor

En el tamaño del disco duro en la instalación se le coloco unos 32gb, para los
laboratorios que se van a realizar ya que no se van a instalar muchos archivos.

Figura 17 Selección de la iso: Fuente: autor

Para seguir con la instalación seleccionamos la iso de Kali Linux

37
 Figura 18 Seleccionamos la instalación gráfica Fuente: Autor

En este paso se escoge la primera opción que es la instalación grafica.

Figura 19 Lenguaje Fuente: Autor

En este paso el lenguaje de la máquina virtual va a estar en español.

38
 Figura 20 localización Fuente:autor

En la localización se escogió Centro América.

Figura 21 localización de centro américa Fuente: Autor

Se selecciono el país de Panamá

39
 Figura 22 Partición de los discos Fuente: autor

En este paso se debe seleccionar finalizar el particionado para que se pueda instalar la
máquina virtual.

Figura 23 aceptar los cambios en el Disco Fuente: autor

Para que los cambios se puedan realizar e instalar la maquina hay que seleccionar que
si se desea escribir los cambios en el disco.

40
 Figura 24 Nombre de la maquina Fuente: autor

En esta parte de la instalación hay que colocar el nombre de la máquina.

Figura 25 Configuración de usuario y contraseña Fuente: Autor

41
En la ilustración 25 se observa que al Kali Linux se está creando una cuenta de usuario
y contraseña.

Figura 26 instalación del cargador de arranque Grub fuente: Autor

Hay que seleccionar /dev/sda luego se le da continuar para que siga con la instalación
de la máquina virtual.

Figura 27 instalación terminada fuente: Autor

42
 Figura 28 finalización de instalación fuente: Autor

En la ilustración 28 se presenta la máquina Virtual terminando la instalación

Figura 29 iniciar sesión Fuente: Autor

43
En la ilustración 29 se presenta a la máquina virtual ya con la instalación terminada y
se necesita ingresar el nombre de usuario y contraseña

Figura 30 configuración fuente: Autor

Para poder Realizar la prueba se necesita realizar cambios en configuración y cambiar

parámetros en el adaptador de red y se cambió a adaptador puente

44
 3.2 Instalación de Metasploitable

Figura 31 Importar metasploitable3 Fuente: Autor

Para realizar la instalación de esta máquina virtual es necesario importar el archivo de

metasploitable para la instalación.

45
 Figura 32 configuración de metasploitable Fuente: Autor

Por Defecto ya contiene esa configuración se le puede realizar cambios, pero por
recomendación no se realiza ningún cambio.

46
Con este comando realizamos un escaneo de la red y nos presenta todos los hosts que
Figura 33 escaneando la red con nmap Fuente: Autor

están disponible en la red.

Con la herramienta de nmap es posible realizar un escaneo más profundo y encontrar
los puertos que están utilizando los hosts y así poder ver los puertos que están
abiertos.

3.3 Escaneo de la red con Nmap

47
 Figura 34 Escaneo de nmap -sv Fuente: autor

En esta figura se observa que el comando colocado realiza un escaneo más profundo
de la red presentando puertos que están disponibles y lo que están abiertos.

Figura 35 nmap scan en el host 192.168.0.14 fuente:autor

48
Se aprecia que el host con la ip 192.168.0.14 tiene vulnerabilidades ya que cuenta con
todos los puertos que tiene disponible abiertas. Se le pueden realizar ataques con
metasploit

49
 3.3 Pasos de instalación de snort y configuración.

Figura 36 instalación de snort Fuente: Autor

Con el comando sudo apt-get install snort se va a instalar los paquetes de snort, se
instala la última versión 2.9.15.1-6

50
Figura 37 Comando ifconfig Fuente: Autor

Para
poder configurar el snort necesitamos saber que IP tiene nuestro equipo de Kali. Con el
comando colocado en la imagen se pueden observar la IP que tienen el equipo con su
máscara.

51
Figura 38 Creación de archivo de reglas Fuente: Autor

Creamos un archivo de texto y se van a colocar las reglas que son externas a la que ya
contiene el snort.

Figura 38 comando mkdir Fuente: autor

Con el comando mkdir se va a crear una carpeta para almacenar los datos de snort.

52
 Figura 39 snort.conf fuente: Autor

Con el comando nano se va a editar algunos parámetros de snort.conf lugar donde se

encuentra toda la configuración de snort. Lugar ya donde están creadas las reglas ya
por defecto que contiene el snort.

Figura 40 configuración snort.conf Fuente: Autor

Figura 25 Fuente: Autor

En la edición de este archivo se realizan unos cambios en la IP en el ipvar HOME_NET
se le coloca la IP que maneja el equipo en ese momento, luego se realiza en la red

53
externa que significa que también va a detectar todas las redes que sean distintas
HOME_NET.

Figura 41 reglas Fuente: Autor

Con el comando sudo nano /etc/snort/rules/reglas.rules se creó un archivo en la que se

va a agregar una regla a snort sobre una alerta con el protocolo icmp, esta regla tiene
la función de mandar una alerta cuando otro dispositivo le realiza un ping a las
computadoras que están conectada a la infraestructura configurada.

54
 Figura 42 Agregando reglas Fuente: Autor

Hay que ingresar nuevamente el comando sudo nano /etc/snort/snort.conf, para

agregar la regla que se creó con el nombre reglas.rules para que pueda funcionar hay
que escribirlo de esta forma include $RULE_PATH/REGLA.RULES.

3.4 Pruebas de snort

55

Figura 43 Running ids mode Fuente: Autor

Para inicializar snort hay que escribir el comando sudo snort -k none -d -l /etc/snort/log/
-b -c /etc/snort/snort.conf con este comando se comenzó a correr el modo ids

Figura 44 ping Fuente: Autor

En la primera prueba que se va a realizar es hacer un ping desde otra computadora,

para eso debemos saber la ip que tiene el equipo que se le va a realizar la prueba de
ping

Figura 45 Prueba de ping Fuente: Autor

56
En otra computadora hay que entrar a la terminar y realizar un ping a la computadora
con la ip 192.168.0.19.

Figura 46 alertas Fuente: Autor

En la imagen se observa que el snort está mandando alertas de la regla colocada y el

funcionamiento que desde una computadora ajena le hace a un ping a la computadora
colocada que iba estar vigilando el snort porque manda la alerta.

3.4 Ataque de un Exploit

57
La siguiente prueba que se realizó es con un exploit, una prueba más avanzada para
observar el funcionamiento de las alertas de snort.

Figura 48 mfsconsole Fuente: Autor

Luego de haber entrado al mfsconsole, se escribe el comando seach vsftpd lo que

hace este comando buscar exploit de sobre el ftp para entrar por el backdoor.

Figura 49 selección del exploit Fuente: Autor

Para seleccionar el exploit se escribe use 0 es el número donde encuentra el exploit.

58
Figura 50 Selección de la ip Fuente: Autor

En el siguiente paso se escribe set rhost y la dirección ip que se desea atacar, cuando
realiza la conexión y el siguiente comando se escribe exploit para activar el ataque.

59
Figura 51 Alertas de snort Fuente: Autor
En el último punto de los mensajes de snort mandó una alerta de un tráfico
potencialmente malo y con la dirección ip que se mandó.

3.4 Ataque de un ARP SPOOFIN

60
Figura 52 Ataque de ARP Fuente: Autor

Para realizar este ataque se necesita escribir el comando que está en la imagen: la
primera IP es la dirección destino que se quiere llegar o realizar el envenenamiento de
arp. La siguiente IP es la dirección destino en este caso sería la puerta de enlace de la
red.

Para poder abrir la ventana de wireshark es necesario ejecutar el comando en cmd con
el nombre de “wireshark”.

Figura 53 Ejecución de wireshark fuente: Autor

61

Figura 54 Tramas en Wireshark Fuente: Autor

Al abrir el wireshark podemos observar que la captura de datos que está realizando la
mayoría de los protocolos son arp, en ese caso Suplantación de ARP (ARP spoofing)
estaría funcionando, con esta herramienta podemos ver que está ocurriendo en la red
en tiempo real.

Figura 55 snort detecta el ARP SPOOF Fuente: Autor

En esta figura se observa que el snort detectó un SPOOF, es el ataque que se realizó
anteriormente con los comandos de envenenamiento de arp, este ataque consiste
realizar una denegación de servicios en la red, también es mayormente usada para
infiltrarse en la red, por eso este caso el snort lo detectó como un dns spoof.

62
 Conclusión

Cada vez es más necesario que las empresas tengan especialistas en el área de la
ciberseguridad por que los ciberdelincuentes están utilizando nuevas técnicas para
realizar daños en las empresas o a usuarios vulnerables.

Es importante que cada profesional pueda seguir aprendiendo nuevas técnicas para
proteger las infraestructuras y equipos informáticos de las empresas.

Una de las herramientas desarrolladas en el proyecto es Snort. Con mucha importancia

el IDS en las infraestructuras siendo este sistema de alertas dándole seguridad a los
equipos.
Si se combina con otros métodos de seguridad el fortalecimiento de la infraestructura
será mayor.

63
 Referencias
[1] S. M. Hugo, A. P. Becerra, E. En, and S. Informatica, “IMPLEMENTACION DE UN
SISTEMA DE DETECCION DE INTRUSOS PARA LA RED LOCAL DE LA
FERRETERIA CORINTIOS EN UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA-
UNAD ESCUELA DE CIENCIAS BASICAS, TECNOLOGÍA E INGENIERIA,” 2016.
[2] F. de Ciencias Técnicas and A. Susy Janeth Sanchez Restrepo Tutor Ing Alexander
Mackenzie Rivero Jipijapa, “UNIVERSIDAD ESTATAL DEL SUR DE MANABÍ
PROYECTO DE TITULACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE
INGENIERA EN SISTEMAS COMPUTACIONALES TEMA SISTEMA DE DETECCIÓN
DE INTRUSOS MEDIANTE SNORT Y COMPARACIÓN CON OTRAS
APLICACIONES,” 2017.
[3] Gamboa Suárez Jose Luis, “IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA Y
CIBERSEGURIDAD EN EL MUNDO ACTUAL”.
[4] Carlos E. Anchundia-Betancourt, “iberseguridad en los sistemas de información de las
universidades”.
[5] “Universidad de Alcalá Escuela Politécnica Superior”.
[6] Echeverry Parada, “Metodología para el diagnóstico continúo de la seguridad
informática de la red de datos de la Universidad Militar Nueva Granada.,” 2013.
[7] “Kali Linux: Qué es y características principales | OpenWebinars.”
https://openwebinars.net/blog/kali-linux-que-es-y-caracteristicas-principales/ (accessed
Apr. 27, 2022).
[8] R. Carlos, Z. Martínez, M. Marco, L. Orellana, and I. Quito -Ecuador, “UNIVERSIDAD
TECNOLÓGICA ISRAEL,” 2011.
[9] José Llopis Polvoreda, “SISTEMA DE MONITORIZACIÓN DEL IDS SNORT.”
[10] GILBERZON GARZON PADILLA, “ROPUESTA PARA LA IMPLEMENTACIÓN DE UN
SISTEMA DE DETECCION DE INTRUSOS (IDS) EN LA DIRECCION GENERAL
SEDE CENTRAL DEL INSTITUTO NACIONAL PENITENCIARIO Y
CARCELARIOINPEC “PIDSINPEC”.
[11] “DS_de_red_para_la_deteccion_de_ataques_sobre_SSH_y_FTP_Perez_Sifre_Jose.”
https://rua.ua.es/dspace/bitstream/10045/107579/1/IDS_de_red_para_la_deteccion_de
_ataques_sobre_SSH_y_FTP_Perez_Sifre_Jose.pdf (accessed Apr. 30, 2022).
[12] “Sistemas de Detección de intrusos y Snort.” http://www.maestrosdelweb.com/snort/
(accessed Apr. 25, 2022).
[13] D. F. Mena, Y. de Los, Á. Elías, Á. Yendry, and M. García, “I DECLARACIÓN JURADA
DE AUTORÍA”.
[14] “Sistema de Prevención de Intrusos para mejorar la seguridad de los servidores de la
Universidad Nacional de Trujillo - PDF Free Download.” https://docplayer.es/3781958-
Sistema-de-prevencion-de-intrusos-para-mejorar-la-seguridad-de-los-servidores-de-la-
universidad-nacional-de-trujillo.html (accessed Apr. 29, 2022).
[15] “DISEÑO DE UN SISTEMA DE DETECCIÓN DE INTRUSOS CON SNORT PARA LA
COMPAÑÍA SILVERIT SAS.” https://core.ac.uk/download/pdf/226149302.pdf (accessed
Apr. 30, 2022).
[16] CRISTIAN FERNANDO MIÑO VERDEZOTO, “DISEÑO E IMPLEMENTACIÓN DE UN
SISTEMA DE SEGURIDAD DE DETECCIÓN DE INTRUSOS (IDS) PARA LA
PLATAFORMA OPENSTACK UTILIZANDO CÓDIGO ABIERTO”.
[17] 2018; Vallejo, 2018 Romero et al., “elementos de una organizacion”.

64
 

65