Sistema de detección de Intrusos de alerta temprana en la red UCLV

Abstract

La dinámica actual en las redes de computadoras requiere de inteligencias capaces de analizar, correlacionar y tomar decisiones sin la presencia de inmediata de humanos. Los Sistemas de Detección y Prevención de Intrusos garantizan la seguridad e integridad de los datos mediante alertas tempranas que permiten al administrador conocer incidentes y corroborar que el mismo no es un falso positivo, así como tomar acciones de forma automatizada. En el presente trabajo se explica el funcionamiento, las clasificaciones más comunes, diferencias entre ambas tecnologías y vulnerabilidades que presentan, así como las implementaciones más usadas. Se mencionan las buenas prácticas empleadas para su correcto despliegue y puesta en marcha; además de un estudio de los entornos de aplicación. Las herramientas propuestas son basadas en software libre por lo que la propuesta recae en AlienVault OSSIM, el único sistema SIEM de este tipo. Se procede a caracterizar dicha herramienta, así como explicar sus componentes funcionales, arquitectura, herramientas que la componen, consideraciones de despliegue. Finalmente se explica el proceso de instalación y administración, incluido la buenas prácticas de configuración a seguir; personalización de las reglas de detección y políticas de seguridad, análisis de activos; detección de amenazas entre otras tareas comunes a realizar. Con la implementación de dicho sistema se logró alcanzar en la UCLV un mayor nivel de detección de amenazas, así como prevención de las mismas a corto plazo ya que el equipo de seguridad cuenta con una plataforma que correlaciona y gestiona todos los eventos de seguridad de forma centralizada.