Sistema de Detección de Intrusos (IDS/IPS)

Zentyal integra Suricata [2], uno de los IDS/IPS más populares, compatible tanto con sistemas Windows como Linux, como solución IDS/IPS.

[2]Sucicata: http://suricata-ids.org

Configuración de un IDS/IPS con Zentyal

La configuración del Sistema de Detección/Prevención de Intrusos en Zentyal es muy sencilla. En primer lugar, tenemos que especificar en qué interfaces de red queremos habilitar la escucha del IDS. Tras ello, podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados, con el objetivo de disparar alertas en caso de resultados positivos.

A ambas opciones de configuración se accede a través del menú IDS/IPS. En esta sección, en la pestaña Interfaces aparecerá una tabla con la lista de todas las interfaces de red que tengamos configuradas. Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspección de tráfico. Sin embargo, puedes habilitar cualquiera de ellas pinchando en la casilla de selección.

Configuración de interfaces de red para IDS

Configuración de interfaces de red para IDS

En la pestaña Reglas tenemos una tabla en la que se encuentran precargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema. Por defecto, se encuentra habilitado un conjunto típico de reglas. Desde esta interfaz es posible Registrar (Comportamiento por defecto) o Bloquear el origen del tráfico sospechoso.

Acciones sobre las reglas

Acciones sobre las reglas

Podemos ahorrar tiempo de CPU desactivando aquéllas que no nos interesen, por ejemplo, las relativas a servicios que no existen en nuestra red. Si tenemos recursos hardware de sobra, podemos también activar otras reglas adicionales que nos puedan interesar. El procedimiento para activar o desactivar una regla es el mismo que para las interfaces.

Reglas disponibles

Reglas disponibles

Alertas del IDS/IPS

El módulo IDS/IPS se encuentra integrado con el módulo de Registros de Zentyal. Así, si este último se encuentra habilitado, podremos consultar las distintas alertas del IDS mediante el procedimiento habitual.

Para más información al respecto, consultar el capítulo Registros.

Eventos registrados en el log

Eventos registrados en el log