UNIVERSIDAD SIMÓN BOLÍVAR Decanato de Estudios de Postgrado Especialización Técnica en Telecomunicaciones

Transcripción

1 UNIVERSIDAD SIMÓN BOLÍVAR Decanato de Estudios de Postgrado Especialización Técnica en Telecomunicaciones TRABAJO ESPECIAL DE GRADO PROPUESTA DE DISEÑO DE SEGURIDAD BASADO EN LA DETECCIÓN DE INTRUSOS PARA LA RED LAN DE TELEVEN Trabajo Técnico Presentado a la Universidad Simón Bolívar Por Angel Jassin Romero Pérez Como requisito parcial para optar al título de Especialista Técnico en Telecomunicaciones Realizado con la Tutoría de la Profesora Vidalina de Freitas Septiembre, 2006

2

3 i DEDICATORIA Dedico este trabajo de grado a mi Dios todo poderoso, que me ha permitido a llegar a este lugar tan importante para mi, sin su ayuda no hubiese podido culminar. A mi hija Michelle, que me ha hecho ver el mundo de una forma más humana y tierna. A mi amada Esposa, que cree en mí, como yo creo en ella. A mi Mamá que siempre esta allí, soportando las buenas y las malas, con dolores y con alegrías. A mi Papá que con sus chistes malos hace de la vida un viaje de alegría. A mi querida Tía Flor es uno de los seres más especiales que conozco. A mi amado Abuelo que con Díos en su gloria, me guia y me proteje; Abuelo eres mi guía y mi norte. A mi querido amigo Angel Ramón García que reposa en el mundo de los espíritus, nunca te he olvidado mi hermano del alma. A los amigos que son esa pieza tan importante en la vida de cualquier ser humano.

4 ii AGRADECIMIENTOS Cuando me senté por primera vez, a la realizar este trabajo me di cuenta que me hacia falta mucho, tanto que hasta dude que podía hacerlo. Pero es ese trabajo silencioso de muchas personas que hicieron posible que culminara este proyecto de grado. Por ello agradezco esa ayuda eficaz y alentadora de Vidalina de Freitas coordinadora y tutora de este proyecto, al Ing Ricardo Sardinas, a los compañeros de trabajo Jesús Vela y Romi Padrón, a Carlos Palacios por sus buenas ideas y ayuda técnica, a Sara Otero y Hermes Rodrigues gracias por su ayuda y apoyo adelante mucho en mi trabajo.

5 iii RESUMEN Hablar de seguridad de información en redes, es un tema sumamente extenso. Llevaría horas y hasta días hablar de tan solo un punto. A medida que se desarrollan nuevas herramientas de seguridad; están siendo creadas nuevas estrategias de ataques. Es un ciclo que parece no tener fin. Pero es la organización, la aplicación de políticas acertadas y el esfuerzo colectivo de los usuarios y administradores de redes lo que permitirá minimizar este problema. Según un informe de Espiñeira, Sheldon y asociados, el 70 % de los ataques informáticos y robo de información provienen de los mismos usuarios de las redes internas. Actualmente se conocen varios intententos de ataques e intrusiones que han ocurrido en la red de Televen. La exploración de vulnerabilidades, fallos en el sistema o puntos de riesgo generados por el usuario pueden crear una invitación a un ataque, siendo éste el punto de partida para la realización de este trabajo. El presente trabajo propone la aplicación de un sistema de identificación de intrusos dentro de la red de datos de la Corporación Televen. Definidos los puntos críticos en la red se realizará la comparación, selección y aplicación de un sistema de detección de intrusos que refuerce la confiabilidad, la integridad y la disponibilidad que son los bastiones principales de la seguridad, que se ha dejado de lado por otras preocupaciones externas e internas. Lo que realmente se busca es un mejor control en toda la red, tanto de los usuarios, como de los recursos que en ésta se encuentran. Por ello se busca la observación de comportamientos anómalos de usuarios en la red, virus, caballos de Troya, entre otros, mediante los IDS para establecer políticas o herramientas que minimicen las vulnerabilidades encontradas. Palabras Claves: IDS, Snort, Seguridad de Datos, Ataques y Políticas de Seguridad.

6 iv ÍNDICE GENERAL ÍNDICE GENERAL... iv INDICE DE FIGURAS... xii INDICE DE TABLAS... xiii INDICE DE GRÁFICOS... xiv Pag. CAPÍTULO I INTRODUCCIÓN Planteamiento del Problema Justificación del Problema Objetivos del Trabajo Objetivo General Objetivo Especifico Limitaciones Metodología de Empleada Levantamiento de la Información del Estado Actual de la Red Propuesta de Diseño Implementación Pruebas y Evaluación Estructura del Trabajo... 7 CAPÍTULO II SEGURIDAD EN REDES Topologías de Red Topología Bus Topología de Anillo Topología de Anillo Doble Topología en Estrella Topología en Estrella Extendida Topología en Árbol Topología en Malla Completa Topología de Red Celular Definición de Seguridad Informática Definición de Seguridad Definición de Informática Requerimientos de Seguridad en Redes Integridad Autorización Confidencialidad No Repudio... 18

7 2.3.6 Disponibilidad TCP (Transmission Control Protocol) Funciones de TCP Formato de los Segmentos TCP Funcionamiento del protocolo en detalle Establecimiento de la conexión (negociación en tres pasos) Transferencia de datos Fin de la conexión Métodos, Clasificación y Tipos de Ataques Los Métodos Interrupción Intercepción Modificación Fabricación Clasificación general de los Ataques Ataques Pasivos Ataques Activos Suplantación de Identidad Reactuación Modificación de Mensajes Denegación de Servicio Tipos de Atacantes Hacker Cracker Script kiddie Lamer Newbies Tipos de Ataques Ping of Death Land Spoofing DNS Spoofing ARP Spoofing Web Spoofing ICMP Echo (Ping Sweep) Spamming Net Flood Connection Flood TCP Syn Flood SMTP Flood Sniffers Snifing Snooping DoS: Denial of Service Supernuke o Winnuke OOB NUKE Trojan Horse (Caballo de Troya o Troyano ) Características Tipos de Troyanos Troyanos del Tipo cliente/servidor Troyano del Tipo Pasivo v

8 Teardrop Elementos de Seguridad Firewall Clasificación Clasificación por Tecnología Filtros de Paquetes Filtros de Proxy Paquetes con Estados Híbridos Clasificación de los Firewalls por su Ubicación Cortafuegos Personales Cortafuegos para Pequeñas Oficinas (SOHO) Equipos Hardware (Appliances) Firewalls Corporativos Filtrado de Paquetes Ipfwadm Ipchains Netfilter IPTABLES IDS Intrusión Clasificación de los IDS Clasificación según los Modelos de Detección Detección de Anomalías (Anomaly Detection) Detección de Usos Indebidos (Misuse Detection) Clasificación Según el Origen HIDS (Host Intrusion Detection System) NIDS (Network Intrusion Detection System) DIDS (Distributed Intrusion Detection System) Arquitectura de Operación Conexión en Serie Conexión en Paralelo Elementos Básicos de un Sistema IDS Sensores Push Pull Cónsola (Console) Ubicación NIDS delante del Firewall NIDS Detrás del Firewall NIDS Detrás y Delante del Firewall IDS en el Firewall IDS para Conexiones Avanzadas Sistemas Identificación de Intrusos Snort IDSCenter ManHunt Smart Agent EagleX Prelude BlackIce Cisco Intrusion Detection System vi

9 NFR GFI LAN Guard Security Event Log Monitor etrust Intrusion Detection Dragón Tripwire GFI LANGuard System Integrity Monitor InstallWatch Pro Honeypot Definiciones Clasificación Honeypots para la Investigación Honeypots para la Producción Ventajas de los Honeypots Desventajas de los Honeypot Herramientas de Seguridad TCPLOGD HostSentry (proyecto Abacus) Deceptión Toolkit: dtk Ethereal Whisker/Libwhisker Sam Spade Etherscan Chkwtmp Tripwire Shadow Algoritmos de Encriptación Criptografía Simétrica Algoritmos de Clave Privada ó Simétricos DEA ( Data Encryption Algorithm ) Blowfish (llave de 448 bits) Rijndael (llave de 256 bits) Triple DES (llave de 168 bits) Gost. (llave de 256 bits) RC RC SAFER Criptografía Asimétrica Algoritmos de Clave Pública o Asimétricos RSA Diffie-Hellman El Gamal DSA (Digital Signature Algorithm) Ataques más Importantes sobre Algoritmos Criptográficos Criptoanálisis Diferencial Criptoanálisis Lineal Explotación de Claves Débiles Ataques Algebraicos Algoritmos de Cifrado Simétrico de Flujo de Datos Complejidad Lineal Ataques de Correlación Ataque del Cumpleaños vii

10 viii Ataque de diccionario Exploración de Vulnerabilidades SATAN Nessus Nmap SAINT ISS. Real Secure Network Protection Real Secure Server Protection Software Antivirus Controles de Acceso VLAN Tipos de VLANs VLAN por Puerto VLAN por MAC VLAN por Protocolo VLAN por Subredes de IP o IPX VLAN por Direcciones IP multicast VLAN Definidas por el Usuario VLAN Binding VLAN por DHCP Biometría CAPÍTULO III TELEVEN Visión Misión Valores Lealtad Calidad Respeto Reto por Innovar Productividad Principios Departamento de Sistemas Objetivo General Sub-objetivos CAPÍTULO IV DESARROLLO DEL PROYECTO Levantamiento de la Información de la Red de TELEVEN Situación Actual Estaciones de Trabajo Versiones de software Cuartos de HUB Piso Piso Piso Piso Estructura del Cableado

11 ix Identificación Certificación Planos Sala de Servidores Especificaciones de los Servidores Diseño Lógico de la Red Distribución de las Direcciones IP Arquitectura Actual Pruebas de Vulnerabilidades Pruebas de Realizadas Activando SPAN en Puerto del Switch LINUX DEBIAN Instalación de SNORT Instalación de MySQL-Server Instalación de PhpMyAdmin con SYNAPTIC Instalación de Snort-MySQL Archivo de Configuración de Snort: Snort.conf Instalación de Acidlab Configuración grafica de Acidlab Archivo de configuración de Acidlab: acid_conf.php Pruebas al Sistema IDS SNORT Resultados Obtenidos CAPÍTULO V PROPUESTA DE NUEVA ARQUITECTURA Arquitectura Actual Propuesta de Diseño para la Red de Televen CAPÍTULO VI PROPUESTA DE UNA POLÍTICA PARA TELEVEN Historia ISO Evaluación de los Riesgos de Seguridad Selección de Controles Política de Seguridad Documentación de la Política de Seguridad de la Información Organización de la Seguridad Infraestructura de Seguridad de la Información Foro Gerencial sobre Seguridad de la Información Asignación de Responsabilidades en Materia de Seguridad de la Información Clasificación y Control de Activos Responsabilidad por Rendición de Cuentas de los Activos Clasificación de la información Pautas de Clasificación Seguridad Personal Capacitación del Usuario Formación y Capacitación en Materia de Seguridad de la Información Respuesta a Incidentes y Anomalías en Materia de Seguridad Comunicación de Debilidades en Materia de Seguridad Comunicación de Anomalías del Software

12 6.6.6 Proceso Disciplinario Seguridad Física Áreas seguras Perímetro de Seguridad Física Controles de Acceso Físico Protección de Oficinas, Recintos e Instalaciones Seguridad del Equipo Ubicación y Protección del Equipo Seguridad del Cableado Mantenimiento de Equipos Desincorporación o Reutilización de Equipo Controles Generales Políticas de Escritorios y Pantallas Limpias Administración de Operaciones y Comunicaciones Control de Cambios en las Operaciones Procedimientos de Manejo de Incidentes Planificación y Aprobación de Sistemas Planificación de la capacidad Protección Contra Software Malicioso Controles Contra Software Malicioso Mantenimiento Registro de Actividades del Personal Operativo Registro de Fallas Administración de Medios Informáticos Removibles Eliminación de Medios Informáticos Seguridad del Correo Electrónico Política de Correo Electrónico Control de Accesos Requerimientos de Negocio para el Control de Accesos Administración de Accesos de Usuarios Registro de Usuarios Administración de Privilegios Administración de Contraseñas de Usuario Revisión de Derechos de Acceso de Usuario Responsabilidades del Usuario Uso de Contraseñas Equipos Desatendidos en Áreas de Usuarios Seguridad de los Servicios de Red Control de Acceso al Sistema Operativo Identificación y Autenticación de los Usuarios Sistema de Administración de Contraseñas Desconexión de Terminales por Tiempo Muerto Limitación del Horario de Conexión Monitoreo del Acceso y Uso de los Sistemas Registro de Eventos Procedimientos y Áreas de Riesgo Registro y Revisión de Eventos Desarrollo y Mantenimiento de Sistemas Política de Utilización de Controles Criptográficos Cifrado Seguridad de los Archivos del Sistema x

13 xi Revisión Técnica de los Cambios en el Sistema Operativo Restricción del Cambio en los Paquetes de Software CAPÍTULO VII CONCLUSIONES Y RECOMENDACIONES Conclusiones Recomendaciones Primera Etapa Segunda Etapa Creación de VLANS Establecimientos de HIDS Migrar Versiones de Windows 9X a Windows Establecimientos de Honey Pod Tercera Etapa BIBLIOGRAFÍA APÉNDICE

14 xii INDICE DE FIGURAS Figura Pág Figura 2.1 Topología de Bus Figura 2.2 Topología de Anillo Figura 2.3 Topología de Estrella Figura 2.4 Topología de Arbol Figura 2.5 Topología de Malla Figura 2.6 Topología de Red Celular Figura 2.7 Formato de Segmento TCP Figura 2.8 Negociación en tres pasos o Three-way handshake Figura 2.9 Fin de una conxión TCP según el estándar Figura 2.10 Ataque de Interrupción Figura 2.11 Ataque de Intercepción Figura 2.12 Ataque de Modificación Figura 2.13 Ataque de Fabricación Figura 2.14 Tipos de Atacantes Figura 2.15 Clasificación de Firewalls Figura 2.16 Ubicación de IDS Antes del Firewall Figura 2.17 Ubicación de IDS Después del Firewall Figura 2.18 Ubicación de IDS Antes y Después del Firewall Figura 2.19 IDS Ubicado en el Firewall Figura 2.20 Ubicación de IDS para ciertos Servicios Figura 4.1 Red Actual de Televen Figura 4.2 Servidores de Aplicaciones Figura 4.3 Conexión Actual de la Red de Televen Figura 4.5 Gestor de Paquetes Synaptic Figura 4.6 Phpmyadmin Página de Inicio Figura 4.7 Opciones de Synaptic Figura 4.8 Configuración de la Estructura de la Base de Datos Figura 4.9 Cónsola de Análisis de Acid Figura 5.1 Propuesta de Arquitectura de Seguridad Figura 7.1 Propuesta de una VLAN para Televen Figura 7.2 Araquitectura Actual Figura 7.3 Nuevo Esquema de Conexión de la Red

15 xiii INDICE DE TABLAS Tabla Pág Tabla 2.1. Programas de Sniffing Incluidos en Algunos Sistemas Operativos Tabla 2.2. Comparación de parámetros de Criptografía Simétrica y Asimétrica Tabla 2.3. Comparación de Métodos Biométricos Tabla 4.1. Servidor tlvn-ndp Tabla 4.2. Servidor tlvn-itv Tabla 4.3. Servidor tlvn-intranet Tabla 4.4. Servidor tlvn-print Tabla 4.5. Servidor tlvn-prensa Tabla 4.6. Servidor tlvn-correo Tabla 4.7. Servidor Excalibur Tabla 4.8. Servidor louise Tabla 4.9. Servidor tlvn-acceso Tabla Servidor tlvn-sus Tabla Características de Equipo Snort

16 xiv INDICE DE GRÁFICOS Gráfica Pág Gráfico 4.1 Sitemas operativos en Televen.. 110

17 CAPÍTULO I INTRODUCCIÓN El proceso de la seguridad de la información en las redes es uno de los puntos más importantes a los que tienen que enfrentarse muchos de los administradores de sistemas informáticos. Este representa un reto importante dado el valor estratégico que tiene la información para las organizaciones. El mercado actual está lleno de muchas soluciones de seguridad dada la gama de conexiones e implementaciones existentes; lo que pareciera indicar que existe una solución técnica para cada necesidad; sin embargo la tecnología por sí misma no es suficiente. En una encuesta realizada sobre seguridad en redes, la firma Espiñeira, Sheldon y Asociados (la seguridad de activos de información en las empresas en Venezuela" ), indicó algunas cifras alarmantes sobre los ataques que sufren muchas empresas. En ella se indica que el 45% de los ataques son causados por empleados. Y aunque muchas empresas gastan buena cantidad de recursos en defensa contra ataques; estos siguen en aumento. Los expertos en seguridad han diseñando una serie de herramientas con el propósito de detener, detectar o contener los daños de estos ataques como cortafuegos (firewalls), antivirus, sistemas de biometría, sistemas de detección de intrusos (IDS), entre otros. La gran mayoría de los ataques provienen desde dentro de la empresa, es decir, internamente. Éstos muchas veces no son perceptibles por los administradores de la red como cuando un usuario busca datos en archivos a los que no tienen acceso. El daño causado por este tipo de ataque llamado intrusión puede traer consecuencias mayores a las que generaría el ataque de un Hacker desde el exterior. Es erróneo creer que una filosofía de seguridad tradicional, basada en passwords y protección de directorios o archivos, es suficiente para protegerse internamente, es relativamente fácil, y mucho más aún si se utilizan sistemas operativos antiguos que no han sido actualizados realizar un ataque exitoso. En la red es posible encontrar, sin mucho esfuerzo, listas de debilidades tanto de protocolos como de sistemas operativos, así como guías que señalan los pasos a seguir para explotar dichas debilidades.

18 2 Incluso existen servidores de FTP anónimo con todo tipo de herramientas orientadas a tomar el control de cualquier máquina. Por ello es necesario una herramienta de seguridad capaz de detectar este tipo de incidentes, y parte de esas tareas las realizan los Sistemas de Identificación de Intrusos. Los Sistemas de Detección de Intrusos han existido desde tiempos inmemoriales. Algunas formas de las más antiguas eran los vigilantes de las torres de los castillos o perros guardianes. El propósito de éstos eran y es disuadir al enemigo o atacante a que se alejara. Actualmente se puede encontrar ejemplos básicos de un IDS en una tienda, cuando se ve por ejemplo una cámara de vigilancia o cuando se enciende la alarma de un carro. Uno de los elementos que contribuyen a la seguridad de una red son los IDS pero tocando la tierra con los pies, éstos no son la herramienta mágica de seguridad, son parte de un esquema de seguridad que debe funcionar lo más óptimo posible. De forma general, estos realizan su tarea observando un sistema (puede ser una red, un sólo computador o una aplicación) para avisar de todas las irregularidades que observe. Si nos centramos en el caso de monitorear una red, el IDS observa el tráfico que entra y sale buscando dentro de cada paquete indicios de un posible ataque, y aquí es donde viene el problema: el IDS necesita ver el contenido de cada paquete igual que lo va a ver la aplicación a la que va destinado. Por qué supone que es un problema? Al igual que se fue extendiendo el uso de IDS para contribuir a la seguridad de una red, se optó también por el uso de protocolos cifrados para garantizar la confidencialidad de los datos intercambiados entre cliente y servidor. Estos protocolos fueron diseñados con la finalidad de que nadie pudiera descifrar el contenido de los paquetes, a excepción del receptor, y ésto es lo que necesitaría un IDS para poder realizar su trabajo. De esta forma se tiene un elemento de seguridad que se ve afectado negativamente por otro elemento de seguridad. Dentro de la gran gama de sistemas IDS que se pueden encontrar existe uno que ha llamado potentemente la atención de los administradores de redes el cual se conoce como SNORT. Este software está disponible bajo licencia GPL (General Public License o licencia pública general) y gratuito, lo que evita gastos adicionales para la aplicación del proyecto y funciona bajo plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos

19 3 boletines de seguridad. Este IDS implementa un lenguaje de creación de reglas flexibles, potente y sencillo. Aunque Check Point, empresa especializada en soluciones de seguridad a nivel empresarial, ha anunciado la adquisición de Sourcefire Network Security, empresa que desarrolla Snort, ahora queda con un futuro ciertamente incierto, ya que Check Point se encuentra dentro del segmento empresarial de soluciones tecnológicas propietarias, por lo que es muy probable que este software deje de ser una solución opensource. 1.2 Planteamiento del Problema La idea para la realización de este trabajo se basa en el hecho de establecer un monitoreo mucho más profundo y un análisis de las actividades ocurridas en la red para obtener un control mucho más definido sobre recursos ofrecidos en ésta. Desde que la Corporación Televen, comenzó sus labores en la nueva sede, todo lo concerniente a su organización se ha tratado de poner en su punto más óptimo, y debido a la falta de los recursos principalmente de personal y seguidamente del tiempo, la implementación de un sistema de identificación de intrusos no había podido ser realizada. Este proyecto bien permitirá ser ayuda a los administradores a tomar las decisiones en lo referente a la seguridad permitiendo detectar las posibles vulnerabilidades y detectando los posibles usuarios que incurran en hechos de ataques o intrusión dentro de la red de Televen. El problema principal que lleva a realizar este trabajo se basa en la vulnerabilidad de la seguridad de los datos informáticos dentro de la Corporación Televen. Se ha establecido muy bien la limitación de los privilegios de los usuarios, el cual no representa la solución definitiva al problema. Esto sugiere la implementación de un esquema que complemente eficazmente las fallas de seguridad contra amenazas tales como: uso indebido, denegación de servicio u otros ataques para los que no está diseñado el sistema actual. Por lo que este trabajo permitirá reforzar mucho más los puntos críticos de la red y hacer más seguro los datos. Se requiere que en Televen se implanten medidas de seguridad que avisen y archiven las 24 horas y los 365 días del año el funcionamiento y uso de la red, por parte de los usuarios. Hasta el momento se desconoce si han ocurrido robo de información, intrusiones, ataques de negación de servicio (DoS) por la falta de software o un esquema de seguridad que cubra

20 4 esta necesidad para la seguridad. Si se sabe que casi la mayoría de los ataques se realizan internamente. 1.3 Justificación del Problema El presente trabajo se encuentra enfocado hacia la seguridad de los datos y la información, punto muy importante para la red, hacia un sistema cada vez más seguro. La idea de este trabajo es complementar los niveles de seguridad y privacidad de la Intranet de Televen. Detectando, analizando e implementado medidas de seguridad hacia los ataques que pudieran ocurrir dentro de la red. Este servicio de detección de intrusos (IDS) desplazado en cierta forma, debido a tiempo del personal, recursos disponibles y a otras actividades que por su importancia han retrasado su implementación, permitirá evitar que se comprometa la integridad, confiabilidad o disponibilidad de un recurso. La implementación de un servicio de identificación de intrusos dentro de la red de Televen solventará en gran medida parte de un vacío de seguridad interna, y ayudará a conocer un poco más sobre las debilidades de la red. Con el desarrollo de este proyecto se espera que se solucione algunos problemas presentados en la red de Televen, y despejar las dudas sobre si han ocurrido intrusiones o robo de información desde la red. En ese mismo orden de idea y considerando la complejidad de la red, ya que posee con muchos usuarios con distintas necesidades y privilegios, con acceso a los recursos de la red de alguna u otra forma, se busca reforzar el acceso a los recursos. Se sabe que la mayoría de los ataques vienen dados desde dentro de la empresa, es por ello que el objetivo fundamental de este trabajo se basa en la propuesta de una implementación de seguridad basada en IDS para la Red de Televen, el cual ayudará también a conocer mucho más de las vulnerabilidades y se espera preparar a los administradores a conocer los puntos críticos y a tomar medidas que permitan evitar ataques o pérdidas de información. 1.4 Objetivos del Trabajo La realización de este trabajo se ha desglosado en un objetivo general y varios objetivos específicos.

21 Objetivo General Evaluar las vulnerabilidades de la red LAN de TELEVEN, para diseñar un sistema de seguridad basado en un sistema identificador de intrusos (IDS) de posibles intrusiones o ataques internos Objetivo Especifico Evaluación de la topología física y lógica, y sus métodos de conectividad Comprobar los sistemas de seguridad física y lógica existentes para datos y equipos Implementación de pruebas en la red, para detectar puntos vulnerables en equipos conectados a ésta Seleccionar y analizar programas detectores de intrusos para su implementación en la red Lan de Televen Establecer la metodología de trabajo con los resultados que se obtengan diariamente de los identificadores de intrusos (IDS) Propuesta de medidas de seguridad viables acordes a los resultados obtenidos. 1.5 Limitaciones Una de las limitantes más importantes que se presentó para la realización de este proyecto fue sin duda el tiempo; sin quitarle su espacio al presupuesto. El personal dedicado a las labores de mantenimiento o administración de la red es muy poco; lo que implica que éstos se encuentra la mayoría del tiempo realizando labores de atención a usuarios, lo que deja muy poco tiempo de implementación y estudio del proyecto. Esto implica análisis de ataques, estudio de las vulnerabilidades de la red, desarrollo de las reglas de detección de los intrusos, análisis de los datos obtenidos de los sistemas de identificación de intrusos, comportamientos anómalos en el sistema, entre otros, y es sabido de antemano que no todos los intrusos usan los mismos procedimientos. Otro factor, no menos importante, es el hecho de la poca cultura en seguridad encontrada en la empresa. La mayoría de los usuarios no comprende el significado de la seguridad de la