Académique Documents
Professionnel Documents
Culture Documents
(IDS)
INSTRUCTOR:
FERNADO QUINTERO
1
INDICÉ
Introducción 3
Instalación 4
Configuración 8
Administración y prueba 10
Conclusiones 21
2
introducción
3
IDS
sistema de detección de intrusos
instalación
El primer paso que vamos a realizar para implementar nuestro sistema de detección de
intrusos es utilizar el cd o la imagen de zentyal. Escogemos el lenguaje de instalación.
Como nuestro idioma es español puede estar en nuestra zona que es colombia entonces
4
Probamos nuestro teclado.
5
Esperamos a que analice nuestro cd.
Le damos un nombre a nuestra maquina en nuestro caso vamos a dar el nombre de nuestro
grupo de trabajo.
Como nosotros montamos la maquina del ids en una maquina virtual dejamos el particionado
igual a como lo configuramos.
El usuario que nosotros escogimos fue el mas apropiado el cual fue el nombre de nuestra
entidad
6
=aries
y la contraseña dimos una contraseña básica sin ningún carácter pues es solo de practica
como escogimos una contraseña débil y sin caracteres nos aparecerá el siguiente pantallazo
lo cual nos pide que confirmemos que queremos esta contraseña.
7
Configuraron
vamos a abrir nuestra herramienta de trabajo en el explorador con la direcion local o con
localhost. Y nos pedirá ingresar usuario y contraseña.
vamos a instalar nuestro UTM que es una suite de aplicaciones que serán esenciales para la
implementación de nuestro sistema
8
esto no es lo único que podemos instalar en nuestro equipo servidor pues también hay
opciones como recursos básicos de oficina.
Damos click en install y nos saldrá una advertencia de si estamos de acuerdo en instalar lo
que seleccionamos.
Vemos que empieza la descarga y solo nos queda esperar unos minutos para que instale los
componentes.
9
Esperamos y configuramos la interfaz de eth0 podemos darle una dirección de red estática o
solo le podemos dar una configuración de ip dinámica escogiendo la opción dhcp.
Administracion
A continuación podemos ver en la margen izquierda de la imagen todo el menu para el
correcto funcionamiento de nuestro sistema solo configuramos e instalamos lo que
necesitemos en este caso solo vamos a configurar la red como lo son las puertas de enlace
las direcciones ip etc.
10
En el siguiente paso que vamos a realizar vamos a especificar las direcciones de nuestra
puerta de enlace esto se hace para que a la hora de ver la red tome en cuenta todo lo que
entra y sale de ella.
Observamos el estado de los módulos para ver cual tenemos activo y si no lo activamos.
11
Vamos ingresar en sistema y configuramos el usuario y la contraseña pues si deseamos
cambiar las que tenemos en el momento que iniciamos la instalación. También podemos
seleccionar el idioma.
En la configuración de red vamos especificar nuestras tres interfaces por la cual el ids va a
escuchar ejemplo las interfaces por la que el ids va a tener encenta el trafico.
12
Estas interfaces corresponden a las interfaces de la red ejemplo la LAN damos una dirección
ip correspondiente a esta podemos darcela por dhcp o simplemente estática.
Vamos a ver la configuración de los registros en este vamos a dar el tiempo que tenemos
para que caduque o limpie los registros. Pudiendo seleccionar así por días por meses etc.
13
ejemplo si configuramos el ids podemos decidir cuando queremos que estos datos se
purguen o se limpien todos los registros de lo que el ids va almacenando.
Como muchos de nosotros sabemos podemos configurar un ids para que todas los registros
o todas las alertas lleguen a un administrador esto se hace para que la persona encargada
de la seguridad en la empresa este en conocimiento de lo que esta pasando en ella.
Seleccionamos la opción de correo electrónico. Y configuramos las opciones que allí nos dan
como lo es el emisor y el comentario que le queremos dar a este.
14
Ingresamos desde la opción del menú IDS. Podemos ver las interfaces que estan destinadas
para este y también hay una pestaña donde podemos ver las reglas estas reglas las veremos
mas adelante.
Las reglas que este tiene las podemos configurar a nuestro gusto. La entidad UNIARIES se
enfoco en tomar en cuenta según sus políticas tomar en cuenta todo para que los usuarios
que están en constante uso a ella cumplan las políticas anteriormente mencionadas. Una de
ellas es el ingreso a sistemas de mensajería instantánea o a sitios pornográficos también el
escaneo de puertos realizado por personas ajenas a la entidad o el uso de icmp.
Activamos las demás reglas unas de ellas son sobre el uso de shellcode y también del uso
de exploit ataques de DoS
15
16
ahora que ya tenemos conocimiento sobre esta herramienta y un poco de su configuración y
reglas vamos a dedicar un espacio corto a hacer las diferentes pruebas hacia este probando
cada regla que le implementamos uno de estos es que genere las alertas de icmp del chat
etc.
17
hacemos ping entre maquinas locales en nuestra red privada que se supone que ya están
configuradas.
Podemos observar las diferente alarmas que fueron capturadas inmediata mente cuando
tratamos de hacer ping.
18
Otro que puede ser considerado como un ataque es el es nmap pues nmap es un scaner de
red.Miramos los registros
19
vamos a intentar ingresar a un servicio de comunicación instantánea y miramos haber si nos
genera algún reporte pues así fue la configuraron según sus reglas.
En los registros podemos observar por que puerto se conecto este usuario a que horas etc
esto nos quiere decir que nuestro ids esta funcionando perfectamente tanto en nuestras
redes locales como en la gran WAN. Nos muestra en la imagen los puertos por los que están
conectados el messenger.
20
Conclusión
21