Implementación de un IDS de bajo coste para uso doméstico o en la pequeña empresa

Abstract

El objetivo de este trabajo es encontrar una solución de seguridad de bajo coste, destinada al hogar y a la pequeña empresa, que permita detectar comportamientos maliciosos o anómalos en la red local, alertando al administrador y permitiendo analizar el estado de la red y el origen de los eventos. Para ello se llevó a cabo la instalación de un punto de acceso Wifi cuyo tráfico se analiza con Suricata (sistema de detección de intrusiones), y almacena todos los eventos de seguridad en la base de datos Elasticsearch. La instalación se completó con Kibana para visualizar todos los datos almacenados y ElastAlert para el envío de notificaciones al administrador. Una vez logrado un sistema funcional con las herramientas escogidas se estudiaron topologías alternativas, analizando el coste de implementación de cada una, junto con sus ventajas e inconvenientes. Por otro lado, se desarrolló un bot de Telegram para ayudar a relacionar las direcciones IP de cada evento con su respectivo dispositivo y usuario. Con estos datos se generó un panel de usuario en Kibana que muestra la información de seguridad y su uso de la red a fin de ayudar a detectar comportamientos anómalos. Finalmente se hicieron algunas pruebas para demostrar las capacidades de detección de Suricata, y observar el funcionamiento general de sistema, visualizando los datos en Kibana y recibiendo las notificaciones pertinentes.

L'objectiu d'aquest treball és trobar una solució de seguretat de baix cost, destinada a la llar i a la petita empresa, que permeti detectar comportaments maliciosos o anòmals en la xarxa local, alertant a l'administrador i permetent analitzar l'estat de la xarxa i l'origen dels esdeveniments. Per a això es va dur a terme la instal·lació d'un punt d'accés Wifi el trànsit del qual s'analitza amb Suricata (sistema de detecció d'intrusions), i emmagatzema tots els esdeveniments de seguretat en la base de dades Elasticsearch. La instal·lació es va completar amb Kibana per a visualitzar totes les dades emmagatzemades i ElastAlert per a l'enviament de notificacions a l'administrador. Una vegada aconseguit un sistema funcional amb les eines triades es van estudiar topologies alternatives, analitzant el cost d'implementació de cadascuna, juntament amb els seus avantatges i inconvenients. D'altra banda, es va desenvolupar un bot de Telegram per a ajudar a relacionar les adreces IP de cada esdeveniment amb el seu respectiu dispositiu i usuari. Amb aquestes dades es va generar un panell d'usuari en Kibana que mostra la informació de seguretat i el seu ús de la xarxa a fi d'ajudar a detectar comportaments anòmals. Finalment es van fer algunes proves per a demostrar les capacitats de detecció de Suricata, i observar el funcionament general de sistema, visualitzant les dades en Kibana i rebent les notificacions pertinents.

The goal of this project is to find a low-cost security solution, aimed at the family home and small businesses, which allows the detection of malicious or anomalous behavior on the local network, alerting the administrator and serving to analyze the state of the network and the origin of events. For this purpose, a Wifi access point was installed, whose traffic is analyzed by Suricata (Intrusion Detection System), storing all security events in the Elasticsearch database. The installation was completed with Kibana to visualize all the stored data and ElastAlert to send notifications to the administrator. Once a functional system was achieved with the chosen tools, alternative topologies were studied, analyzing the cost of implementing each one, along with its advantages and disadvantages. Furthermore, a Telegram bot was developed to help linking the IP addresses of each event with their respective device and user. With this data, a dashboard was generated in Kibana to show the security information and network usage, in order to help in detecting anomalous behavior. Finally, some tests were made to demonstrate the detection capabilities of Suricata, and to observe the general functionality of the system, visualizing the data in Kibana and receiving the relevant notifications.