Análisis e implementación de un DIDS para generación de firmas de comportamientos anómalos en la red del edificio matriz de la Empresa Eléctrica Quito

Abstract

El presente trabajo de titulación propone implementar una herramienta que ayudará a fortalecer la seguridad de la red del edificio matriz de la Empresa Eléctrica Quito, esta red tiene una topología tipo estrella extendida compuesta por aproximadamente 1500 dispositivos de comunicación los cuales generan gran cantidad de tráfico y pueden ser una brecha de seguridad para la red. Este Sistema de Detección de Intrusos Distribuido estará integrado por un servidor y sondas Pi, las sondas son las Raspberry Pi que básicamente son pequeños microprocomputadores. Todo este sistema se montará sobre plataforma Linux con distribución Debian y Snort como motor principal del Sistema de Detección de Intrusos, cabe recalcar que tanto Snort como las distribuciones de Linux son OpenSource, brindando una gran ventaja económica para cualquier red sensada con IDS. Las Sondas Pi se ubicarán en los puntos considerados más vulnerables, los cuales se comunicarán con el nodo central o servidor montado sobre Security Onion, el servidor recibirá eventos de las sondas procesados por Snort y los escribirá en la base de datos(Mysql) para presentar un análisis detallado en una interfaz gráfica llamada Snorby. Esta interfaz reportará los eventos como alertas altas, medias y bajas en tiempos diarios, semanales, mensuales, como también detalles del tipo de protocolo, reglas usadas, direcciones y puertos de origen y destino de los cuales se generan las alertas. De esta manera se puede ayudar al administrador de la red con un análisis real de la situación actual de la red para que pueda prevenir futuras vulnerabilidades.