Sistema de Detección de Intrusos (IDS/IPS)

Zentyal integra Snort [2], uno de los IDS más populares, compatible tanto con sistemas Windows como Linux y Suricata [3] como la solución IPS.

[2]http://www.snort.org
[3]http://www.openinfosecfoundation.org/

Configuración de un IDS/IPS con Zentyal

La configuración del Sistema de Detección/Prevención de Intrusos en Zentyal es muy sencilla. Solamente necesitamos activar o desactivar una serie de elementos. En primer lugar, tendremos que especificar en qué interfaces de red queremos habilitar la escucha del IDS. Tras ello, podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados, con el objetivo de disparar alertas en caso de resultados positivos.

A ambas opciones de configuración se accede a través del menú IDS/IPS. En esta sección, en la pestaña Interfaces aparecerá una tabla con la lista de todas las interfaces de red que tengamos configuradas. Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspección de tráfico. Sin embargo, puedes habilitar cualquiera de ellas pinchando en la casilla de selección.

_images/ids-01-interfaces.png

Configuración de interfaces de red para IDS

En la pestaña Reglas tenemos una tabla en la que se encuentran precargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema. Por defecto, se encuentra habilitado un conjunto típico de reglas. Desde esta interfaz es posible Registrar (Comportamiento por defecto), Bloquear o Registrar y Bloquear el origen del tráfico sospechoso.

Podemos ahorrar tiempo de CPU desactivando aquéllas que no nos interesen, por ejemplo, las relativas a servicios que no existen en nuestra red. Si tenemos recursos hardware de sobra podemos también activar otras reglas adicionales que nos puedan interesar. El procedimiento para activar o desactivar una regla es el mismo que para las interfaces.

_images/ids-02-rules.png

Registrar y bloquear los intentos de scan

Alertas del IDS/IPS

El módulo IDS/IPS se encuentra integrado con el módulo de registros de Zentyal, así que si este último se encuentra habilitado, podremos consultar las distintas alertas del IDS mediante el procedimiento habitual. Así mismo, podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles.

_images/ids_logs.png

Registrar y bloquear los intentos de scan (nmap)

Para más información al respecto, consultar el capítulo Registros.