Sistema de Detección de Intrusos (IDS)¶
Introducción al Sistema de Detección de Intrusos¶
Zentyal integra Snort [2], uno de los IDS más populares, compatible tanto con sistemas Windows como Linux.
[2] | http://www.snort.org |
Configuración de un IDS con Zentyal¶
La configuración del Sistema de Detección de Intrusos en Zentyal es muy sencilla. Solamente necesitamos activar o desactivar una serie de elementos. En primer lugar, tendremos que especificar en qué interfaces de red queremos habilitar la escucha del IDS. Tras ello, podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados, con el objetivo de disparar alertas en caso de resultados positivos.
A ambas opciones de configuración se accede a través del menú IDS. En esta sección, en la pestaña Interfaces aparecerá una tabla con la lista de todas las interfaces de red que tengamos configuradas. Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspección de tráfico. Sin embargo, puedes habilitar cualquiera de ellas pinchando en la casilla de selección.
En la pestaña Reglas tenemos una tabla en la que se encuentran precargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema. Por defecto, se encuentra habilitado un conjunto típico de reglas.
Podemos ahorrar tiempo de CPU desactivando aquéllas que no nos interesen, por ejemplo, las relativas a servicios que no existen en nuestra red. Si tenemos recursos hardware de sobra podemos también activar otras reglas adicionales que nos puedan interesar. El procedimiento para activar o desactivar una regla es el mismo que para las interfaces.
Alertas del IDS¶
Con lo que hemos visto hasta ahora podemos tener funcionando el módulo IDS, pero tendría poca utilidad puesto que no nos avisaría cuando encontrara intrusiones y ataques a la seguridad de nuestra red. Como vamos a ver, gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea más sencilla y eficiente.
El módulo IDS se encuentra integrado con el módulo de registros de Zentyal, así que si este último se encuentra habilitado, podremos consultar las distintas alertas del IDS mediante el procedimiento habitual. Así mismo, podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles.
Para más información al respecto, consultar el capítulo Registros.