UNIVERSIDAD DON BOSCO

FACULTAD DE ESTUDIOS TECNOLGICOS

ESCUELA DE COMPUTACIN

GUIA DE LABORATORIO #12

Nombre de la Practica: EasyIDS
CICLO: I-2015 Lugar: Laboratorio de Redes
Tiempo Estimado: 2 Horas y 30 Minutos
Materia: Seguridad en Redes

Que el estudiante:

Conozca sobre el funcionamiento de las IDS

Aprenda a configurar EasyIDS para detectar amenazas a la red.

IDS:

Un Sistema de Deteccin de Intrusos o IDS (Intrusion Detection System) es un programa usado para
detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de
habilidosos crackers, o de Script Kiddies que usan herramientas automticas.

El funcionamiento de estas herramientas se basa en el anlisis pormenorizado del trfico de red, el cual al
entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos,
como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no slo analiza qu tipo de
trfico es, sino que tambin revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener
los ataques por s solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con
funcionalidad de firewall, convirtindose en una herramienta muy poderosa ya que se une la inteligencia
del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y
pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de firmas de ataques desconocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el trfico
normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo.

Existen dos tipos de sistemas de deteccin de intrusos:

1. HIDS (Host-IDS): El principio de funcionamiento de un HIDS, depende del xito de los intrusos, que
generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan aduearse
del mismo, con propsito de llevar a cabo otras actividades. El HIDS intenta detectar tales
modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.
2. NIDS (Network-IDS): IDS basado en red, detectando ataques a todo el segmento de la red. Su
interfaz debe funcionar en modo promiscuo capturando as todo el trfico de la red.
Para poner en funcionamiento un sistema de deteccin de intrusos se debe tener en cuenta que es posible
optar por una solucin hardware, software o incluso una combinacin de estos dos.

La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes

con mucho trfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan
gran cantidad de memoria, aspecto a tener en cuenta.

En redes es necesario considerar el lugar de colocacin del IDS. Si la red est segmentada con hub (capa 1
del modelo OSI) no hay problema en analizar todo el trfico de la red realizando una conexin a cualquier
puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto
SPAN (Switch Port Analiser) para poder analizar todo el trfico de esta red.

SNORT:

SNORT es un IDS o Sistema de deteccin de intrusiones basado en red (N-IDS). Implementa un motor de
deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier
anomala previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar
alguna vulnerabilidad, anlisis de protocolos, etc conocidos. Todo esto en tiempo real.

SNORT est disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Es
uno de los ms usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, as como
actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas
a travs de los distintos boletines de seguridad.

Este IDS implementa un lenguaje de creacin de reglas flexibles, potente y sencilla. Durante su instalacin
ya nos provee de cientos de filtros o reglas para backdoor, ddos, finger, ftp, ataques web, CGI, escaneos
NMAP.

Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu ocurre en nuestra red, todo
nuestro trfico), registro de paquetes (permite guardar en un archivo los logs para su posterior anlisis, un
anlisis offline) o como un IDS normal (en este caso NIDS).

En este taller daremos una importancia mayor a su funcionamiento como NIDS y, sobre todo, a la creacin
personalizada de reglas e interpretacin de las alertas.

La colocacin de SNORT en nuestra red puede realizarse segn el trfico quieren vigilar: paquetes que
entran, paquetes salientes, dentro del firewall, fuera del firewall y en realidad prcticamente donde
queramos.

No. Requerimiento Cantidad

1 Gua de Laboratorio 1
2 PC con Virtual Box 1
3 ISO de EasyIDS 1
Parte I: Creacin de mquina virtual.

1. Luego de que cargue el SO Windows, e iniciar VirtualBox, damos clic en el botn Nueva
para crear una mquina virtual.

2. En la ventana que aparezca ingresamos los datos y luego damos clic en siguiente:
Nombre: EasyIDS
Tipo: Linux
Versin: Other Linux

3. Asignamos 1024 de memoria RAM y damos clic en siguiente.

4. Ahora seleccionamos Crear un disco duro virtual ahora y damos clic en crear.

5. En la ventana siguiente seleccionamos VDI (VirtualBox Disk Image) y damos clic en next.
6. Ahora seleccionamos Reservado dinmicamente y damos clic en siguiente.

7. Seleccionamos el tamao del disco duro que para este caso sern 10GB y damos clic en
crear.

8. De clic en la Configuracin de la mquina virtual EasyIDS, en la venta seleccionamos

almacenamiento y agregamos la ISO de EasyIDS, luego seleccionamos la opcin RED
 9. En las opciones de Red proceda habilitar el Adaptador 1 y Adaptador 2 ambos deben estar en
Adaptador Puente, el Adaptador 1 debe tener la primera tarjeta de red y el adaptador 2 la
segunda tarjeta de red. Y Damos clic en Aceptar

Parte II: Instalacin de EasyIDS y Configuraciones.

1. Iniciamos la mquina virtual y esperamos que cargue, luego que aparezca la pantalla de
instalacin damos ENTER para comenzar la instalacin
2. Seleccionamos el tipo de escritura Sg- latin1 y luego OK.

3. Seleccionamos la zona horaria America/El_Salvador y luego OK

4. Ahora ingresamos la contrasea para root, en este caso 123456. Luego seleccionamos
en OK y comenzara la instalacin
5. Esperamos a que termine de instalar los paquetes

6. Una vez termine de instalar, reiniciamos y esperamos que aparezca el men de

instalacin nuevamente, una vez aparezca apagamos la mquina virtual, y retiramos la
ISO y procedemos a iniciar nuevamente la mquina virtual.

7. Cuando iniciemos la mquina virtual comenzara a instalar y hacer configuraciones

esperamos que finalice de realizar todas las configuraciones necesarias, puede tardar
unos minutos y puede que se reinicie la mquina virtual.

8. Mientras termina de configurar proceda a conectar la eth1 de la PC con dos interfaces

con la eth0 de la PC Cliente.

9. En la eth0 de la PC con dos tarjetas de red verifique que se encuentre conectada a la

mesa de trabajo y la IP la obtenga por el DHCP.

10. La eth1 de la PC con dos tarjetas de red configure la IP de forma esttica, de igual forma
la eth0 de la PC cliente configure la IP de forma esttica. Ejemplo:
 Imagen 1: eth1 de la PC Servidor Imagen 2: eth0 de la PC Cliente

11. Luego de que termine de configurarse la mquina virtual inicie sesin como root, y
verifique las configuraciones de red con el comando ifconfig.

NOTA: para ver de mejor forma la configuracin de red guarde la informacin del comando
ifconfig en un archivo. Y luego abra el archivo con el editor vim.

12. Si al ver las configuraciones de red observamos que hace falta la IP para la eth1, la
ingresamos con el comando ifconfig, dicha IP tiene que ser la misma que ingreso en la
configuracin de la eth1 en este caso 192.168.7.4.

13. Al iniciar la mquina de EasyIDS, de forma predeterminada IPTables trae unas reglas que
impiden el trfico de entrada, y por dicho motivo no se puede mandar un ping, y no
almacena ataques simples como los de nmap. Vamos a deshabilitar las reglas de IPTables
para ver los reportes de ataques de barrido de puertos como puede ser nmap.

14. Primero veamos las reglas que se encuentran establecidas.

15. Borramos las reglas existentes.

16. Ahora desde la maquina cliente abrimos el navegador web y digitamos la IP de la eth1
en este caso 192.168.7.4, nos mostrara un mensaje de error, damos clic en continuar de
todos modos y nos va aparecer otra ventana.

17. En la ventana se nos pide un usuario y contrasea por lo cual ingresamos lo siguiente:

Usuario: admin
Contrasea: password

18. Ahora nos pide que cambiemos la contrasea por cuestiones de seguridad (no debe tener
menos de 8 caracteres), ingresamos la que queramos.

19. Vemos entonces la interfaz de administracin del EasyIDS, y si damos clic en settings,
podemos ir a la configuracin de los diferentes servicios, de all tambin podemos
reiniciar, iniciar o parar dichos servicios.
20. Ahora vamos crear reglas y como incluirlas en Snort, para ello nos dirigmos al directorio
/etc/snort, y listamos los archivos que hay:

Nota: vemos algunos de los ficheros y directorios ms importantes en rectngulos rojos.

21. Antes de iniciar con la creacin de reglas observemos lo que contiene el fichero snort.conf,
ingresamos entonces con el editor de texto preferido (vi, vim, nano, etc.) y observamos algunos
puntos claves:

Nota: Vemos que en la primera lnea dice que corresponde a la eth0, all podramos
poner por ejemplo la direccin de subred como por ejemplo var HOME_NET
192.168.0.0/24, de esta forma somos ms especficos a la hora de decir que es lo que
estamos monitoreando, esto se usa mucho cuando se ponen sondas en la red.
Igualmente para cada uno de los parmetros, vemos ah que podemos definirle la red
externa, al DNS, al servidor web, a la base de datos, etc.

22. Cada vez que realicemos un cambio en este fichero, debemos reiniciar el servicio de Snort,
para que surjan efecto los cambios, lo hacemos entonces digitando: /etc/init.d/snort
restart.
 Nota: Esto tambin lo podemos hacer desde la GUI del navegador.

23. Ahora vamos a crear las reglas, para esto entonces vamos a /etc/snort/rules, y listamos
los archivos:

Nota: Vemos que todos los ficheros de este directorio, terminan con extensin .rules

24. Viendo entonces el tipo de extensin que manejan las firmas o reglas, vamos entonces a
crear un fichero que se llame: ping.rules, lo hacemos con nuestro editor preferido.
# vim ping.rules

25. Ingresamos lo siguiente:

NOTA: Recuerde cambiar la IP por la que usted ingreso en la eth1. El signo \ se agrega solo si
el texto hace salto de lnea de lo contrario no agregarlo.
26. Vamos entonces a incluir nuestra regla, para ello vamos a /etc/snort/snort_rules,
nuevamente:

# vim /etc/snort/snort_rules.conf

27. Ahora ingresamos la ruta donde esta nuestro archivo ping.rules, hasta el final del archivo
snort_rules.conf:

28. Reiniciamos el SNORT.

29. Ahora veamos como se ve un ataque desde la GUI del navegador.

30. Vamos al navegador en la GUI de EasyIDS y damos clic en la pestaa: Analysis>BASE,

vemos que hay 6 alertas subrayadas en el cuadro verde, damos clic all:
31. Una vez damos clic el nmero que est en el cuadro verdes, nos aparece la siguiente
imagen indicndonos el tipo de barrido de puertos.

NOTA: EasyIDS tiene una gran cantidad de herramientas integradas, aparte de Snort,
Arpwatch lo que hace es que est vigilando constantemente ante posibles ataques de tipo
mitm, Ntop nos muestra estadsticas de navegacin, entre otras ms opciones

Investigar la Diferencia entre IDS e IPS.

Que otras maneras existen para poder aplicar un IDS.
Que ventajas y desventajas posee SNORT.