Sistema de monitorización del IDS Snort

Abstract

[ES] Durante los últimos años, los ataques cibernéticos han sufrido un importante incremento, llegando a generar pérdidas millonarias a las organizaciones afectadas. A su vez, las técnicas de ataque han aumentado en diversidad, además de ser cada vez más sofisticadas e inteligentes. Una buena alternativa para mejorar la seguridad de nuestros datos, consiste en la instalación de IDSes o Sistemas de Detección de Intrusos, cuya principal función es la de detectar accesos no deseados a nuestra red o comportamientos anómalos en el interior de la misma. En este proyecto se va estudiar el funcionamiento del IDS Snort, un sistema de detección de intrusos basado en red el cual detecta posibles ataques analizando cada paquete del tráfico de la red con un motor de reglas de ataques conocidos. El principal problema de los IDS, y motivación de este trabajo, es que cuando se encuentran con una cantidad de tráfico tal que no pueden mantener el ritmo de análisis en tiempo real de los paquetes, empiezan a dejar pasar una parte de ellos sin analizar. Por tanto, un pico de tráfico inusual puede usarse para enmascarar un ataque. Mantener un rendimiento óptimo del sistema IDS, es por tanto, una tarea fundamental si se quiere detectar la totalidad de los ataques y que ninguno pase desapercibido. Así pues, el objetivo de este trabajo será el de realizar un servidor centralizado que reciba datos estadísticos del IDS Snort y que estos se muestren en una interfaz gráfica para simplificar el estudio del rendimiento, con el fin de optimizar el funcionamiento del sistema IDS

[EN] In recent years, cyber-attacks have experienced a significant increase, generating millions in losses to the organizations concerned. In turn, attack techniques have increased in diversity, being more sophisticated and intelligent. A good alternative to improve the security of our data would be the installation of IDS or Intrusion Detection Systems, whose main function is to detect unwanted access or anomalous behavior in our network. This project will study the operation of IDS Snort, an intrusion detection system based on network which detects possible attacks by analyzing each packet of network traffic with a rules engine of known attacks. The main problem of IDS systems, and motivation of this work, is that when they work with a quantity of traffic that they can not maintain the rhythm of the real-time analysis of the packages, they begin to let some of them go unanalyzed. Therefore, an unusual traffic peak can be used to mask a cyber-attack. Maintaining optimum performance of the IDS system is therefore a fundamental task if you want to detect all attacks and not go unnoticed. Thus, the aim of this work is to create a centralized server which receives statistical data from the Snort IDS and this data is shown in a graphical interface to simplify the study of the performance, in order to optimize the operation of the IDS system.