Académique Documents
Professionnel Documents
Culture Documents
Que el estudiante:
IDS:
Un Sistema de Deteccin de Intrusos o IDS (Intrusion Detection System) es un programa usado para
detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de
habilidosos crackers, o de Script Kiddies que usan herramientas automticas.
El funcionamiento de estas herramientas se basa en el anlisis pormenorizado del trfico de red, el cual al
entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos,
como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no slo analiza qu tipo de
trfico es, sino que tambin revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener
los ataques por s solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con
funcionalidad de firewall, convirtindose en una herramienta muy poderosa ya que se une la inteligencia
del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y
pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de firmas de ataques desconocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el trfico
normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo.
En redes es necesario considerar el lugar de colocacin del IDS. Si la red est segmentada con hub (capa 1
del modelo OSI) no hay problema en analizar todo el trfico de la red realizando una conexin a cualquier
puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto
SPAN (Switch Port Analiser) para poder analizar todo el trfico de esta red.
SNORT:
SNORT es un IDS o Sistema de deteccin de intrusiones basado en red (N-IDS). Implementa un motor de
deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier
anomala previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar
alguna vulnerabilidad, anlisis de protocolos, etc conocidos. Todo esto en tiempo real.
SNORT est disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Es
uno de los ms usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, as como
actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas
a travs de los distintos boletines de seguridad.
Este IDS implementa un lenguaje de creacin de reglas flexibles, potente y sencilla. Durante su instalacin
ya nos provee de cientos de filtros o reglas para backdoor, ddos, finger, ftp, ataques web, CGI, escaneos
NMAP.
Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu ocurre en nuestra red, todo
nuestro trfico), registro de paquetes (permite guardar en un archivo los logs para su posterior anlisis, un
anlisis offline) o como un IDS normal (en este caso NIDS).
En este taller daremos una importancia mayor a su funcionamiento como NIDS y, sobre todo, a la creacin
personalizada de reglas e interpretacin de las alertas.
La colocacin de SNORT en nuestra red puede realizarse segn el trfico quieren vigilar: paquetes que
entran, paquetes salientes, dentro del firewall, fuera del firewall y en realidad prcticamente donde
queramos.
1. Luego de que cargue el SO Windows, e iniciar VirtualBox, damos clic en el botn Nueva
para crear una mquina virtual.
2. En la ventana que aparezca ingresamos los datos y luego damos clic en siguiente:
Nombre: EasyIDS
Tipo: Linux
Versin: Other Linux
5. En la ventana siguiente seleccionamos VDI (VirtualBox Disk Image) y damos clic en next.
6. Ahora seleccionamos Reservado dinmicamente y damos clic en siguiente.
7. Seleccionamos el tamao del disco duro que para este caso sern 10GB y damos clic en
crear.
1. Iniciamos la mquina virtual y esperamos que cargue, luego que aparezca la pantalla de
instalacin damos ENTER para comenzar la instalacin
2. Seleccionamos el tipo de escritura Sg- latin1 y luego OK.
4. Ahora ingresamos la contrasea para root, en este caso 123456. Luego seleccionamos
en OK y comenzara la instalacin
5. Esperamos a que termine de instalar los paquetes
10. La eth1 de la PC con dos tarjetas de red configure la IP de forma esttica, de igual forma
la eth0 de la PC cliente configure la IP de forma esttica. Ejemplo:
Imagen 1: eth1 de la PC Servidor Imagen 2: eth0 de la PC Cliente
11. Luego de que termine de configurarse la mquina virtual inicie sesin como root, y
verifique las configuraciones de red con el comando ifconfig.
NOTA: para ver de mejor forma la configuracin de red guarde la informacin del comando
ifconfig en un archivo. Y luego abra el archivo con el editor vim.
12. Si al ver las configuraciones de red observamos que hace falta la IP para la eth1, la
ingresamos con el comando ifconfig, dicha IP tiene que ser la misma que ingreso en la
configuracin de la eth1 en este caso 192.168.7.4.
13. Al iniciar la mquina de EasyIDS, de forma predeterminada IPTables trae unas reglas que
impiden el trfico de entrada, y por dicho motivo no se puede mandar un ping, y no
almacena ataques simples como los de nmap. Vamos a deshabilitar las reglas de IPTables
para ver los reportes de ataques de barrido de puertos como puede ser nmap.
16. Ahora desde la maquina cliente abrimos el navegador web y digitamos la IP de la eth1
en este caso 192.168.7.4, nos mostrara un mensaje de error, damos clic en continuar de
todos modos y nos va aparecer otra ventana.
17. En la ventana se nos pide un usuario y contrasea por lo cual ingresamos lo siguiente:
Usuario: admin
Contrasea: password
18. Ahora nos pide que cambiemos la contrasea por cuestiones de seguridad (no debe tener
menos de 8 caracteres), ingresamos la que queramos.
19. Vemos entonces la interfaz de administracin del EasyIDS, y si damos clic en settings,
podemos ir a la configuracin de los diferentes servicios, de all tambin podemos
reiniciar, iniciar o parar dichos servicios.
20. Ahora vamos crear reglas y como incluirlas en Snort, para ello nos dirigmos al directorio
/etc/snort, y listamos los archivos que hay:
21. Antes de iniciar con la creacin de reglas observemos lo que contiene el fichero snort.conf,
ingresamos entonces con el editor de texto preferido (vi, vim, nano, etc.) y observamos algunos
puntos claves:
Nota: Vemos que en la primera lnea dice que corresponde a la eth0, all podramos
poner por ejemplo la direccin de subred como por ejemplo var HOME_NET
192.168.0.0/24, de esta forma somos ms especficos a la hora de decir que es lo que
estamos monitoreando, esto se usa mucho cuando se ponen sondas en la red.
Igualmente para cada uno de los parmetros, vemos ah que podemos definirle la red
externa, al DNS, al servidor web, a la base de datos, etc.
22. Cada vez que realicemos un cambio en este fichero, debemos reiniciar el servicio de Snort,
para que surjan efecto los cambios, lo hacemos entonces digitando: /etc/init.d/snort
restart.
Nota: Esto tambin lo podemos hacer desde la GUI del navegador.
23. Ahora vamos a crear las reglas, para esto entonces vamos a /etc/snort/rules, y listamos
los archivos:
Nota: Vemos que todos los ficheros de este directorio, terminan con extensin .rules
24. Viendo entonces el tipo de extensin que manejan las firmas o reglas, vamos entonces a
crear un fichero que se llame: ping.rules, lo hacemos con nuestro editor preferido.
# vim ping.rules
NOTA: Recuerde cambiar la IP por la que usted ingreso en la eth1. El signo \ se agrega solo si
el texto hace salto de lnea de lo contrario no agregarlo.
26. Vamos entonces a incluir nuestra regla, para ello vamos a /etc/snort/snort_rules,
nuevamente:
# vim /etc/snort/snort_rules.conf
27. Ahora ingresamos la ruta donde esta nuestro archivo ping.rules, hasta el final del archivo
snort_rules.conf:
NOTA: EasyIDS tiene una gran cantidad de herramientas integradas, aparte de Snort,
Arpwatch lo que hace es que est vigilando constantemente ante posibles ataques de tipo
mitm, Ntop nos muestra estadsticas de navegacin, entre otras ms opciones