Uso de IDS (Sistema de Detección de Intrusos) –...
Transcript of Uso de IDS (Sistema de Detección de Intrusos) –...
Uso de IDS (Sistema de Detección de Intrusos) – SNORT– NTOP – ARPWATCH
Instalando EasyIDS
EasyIDS es una distribución precompilada basada en CentOS que permiteinstalar y administrar fácilmente el sistema de detección de intrusos en RedSnort y analizar su comportamiento a través del frontend BASE. Ademásincorpora varias herramientas útiles como monitores de red, del sistema,nmap, etc
1. Cargar una nueva máquina virtual basad en Linux e instalar EasyIDS-0.4.
2. La primera pantalla del instalador nos mostrará lo siguiente, donde solobastará con aceptar la primera instancia (presionar ENTER)
3. El proceso de instalación del SO CentOS y paquetes principales es muysencillo y automático. Se preguntará por el idioma del teclado, zonahoraria y password del root del sistema.
4. Una vez terminada la instalación, adicionalmente se instalaránautomáticamente (mediante scripts) los paquetes correspondientes a lasherramientas necesarias talees como mysql, Snort, librerías, apache,etc.
5. Finalmente y luego de la instalación aparecerá la venta de root (CentOS)paraingresar al sistema
6. Se deberá de acceder y se terminará de actualizar la herramienta, liegomostrará una ventana como la que sigue:
7. Luego podremos abrir un navegador y digitar la dirección IP que nosmuestra (recordar poner en adaptador puente la maquina virtual):https://xx.yy.ww.zz
8. Ya que se ha instalado seguridad al servidor Apache (automáticamente),solicitará inicialmente usuario y password por defecto(admin/password) y nos saldrá una ventana para crear usuario ypassword de la base de datos a crear:
9. Finalmente nos mostrara la pantalla principal de EasyIDS, mostrando elmenú principal y las herramientas montadas:
10.Lo primero que debemos de corroborar es el estado de los servicios(status -> system):
11.Normalmente los servicios de NTOP y SNORT nos están “corriendo”. Parainicializarlos, bastará con ir a: NTOP: Damos clic en Setting -> NTOP -> Network Settings eingresamos la subred donde estará nuestra IDS, damos clic en Save einiciamos el servicio.
12.Ahora nos centramos en el motor IDS: SNORT. Para poder habilitar elservicio deberemos de revisar las interfaces que están “sensando” la redya que es posible que tanto la interfa9ce de monitorización (sensorsnort) y la interface de administración no esté correctamenteconfiguradas. Para esto accedemos a consola del terminal del servidor(ya sea directamente o mediante putty ya que se ha instalado unservidor ssh automáticamente) y digitamos: vi/etc/easyids/easyids.confPodremos ver que la interface de monitoreo está siendo eth1,cambiamos a eth0 y guardamos
13.Finalmente realizamos service snort restart, para reiniciar solamenteel servicio de snort y veremos que ahora si todos los servicios seencuentran inicializados y listos para empezar a funcionar:
14.Antes de empezar a explorara nuestro IDS, recordar que este servidorLinux tiene IPTABLES por defecto en servicio, configurado con reglasestándar y eso puede interferir en la captura de paquetes por parte deSNORT, por lo que será recomendable setener el servicio: serviceiptables stop
Analizando las Alertas con SNORT
1. Podemos desde una PC (distinta a donde tenemos instalado el servidor)que esté dentro de la misma red realizar un nmap al servidor instaladocon SNORT, por ejemplo si usa un laboratorio anterior o una máquinacon Linux no se olvide de instalar la herramienta nmap: yum install –ynmap
2. Podrá digitar: nmap <dirección IP del servidor IDS>, luego veremosque el IDS ha sensado alertas (en este caso 8 alertas) diferenciadas portipo de puerto (TCP o UDP), puede navegar entre sus diferentes opcionespara identificar correctamente los detalles:
¿Qué puertos y servicios tiene abierto el servidor que contiene al IDS?(de nmap)_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
¿Cuáles son las alertas presentadas luego del escaneo de puertos, comola clasifica SNORT y desde donde vienen?______________________________________________________________________________________________________________________________________________________________________________________________________________________________
¿Qué dice el resumen de ataque del propio SNORT para el Ataque porReconocimiento?___________________________________________________________________________________________________________________________________________________
3. Ahora desde otra máquina virtual realice lo siguiente hacia su servidorIDS
nmap -sU <IP del IDS> -T5nmap -PU <IP del IDS>
nmap -sT <IP del IDS>nmap -PU <IP del IDS>nmap -sO <IP del IDS>nmap -sF <IP del IDS>
¿Qué tipo de paquetes ahora alerta el IDS?, ¿Qué porcentaje son TCP,UDP, ICMP?______________________________________________________________________________________________________________________________________________________________________________________________________________________________
¿Puede indicar a que se refiere con SCAN Amanda para puertos UDP?____________________________________________________________________________________________________________________________________________________
4. Puede ahora desde otra PC levantar la aplicación NetScanTools y realizarun “mapeo” de puertos al servidor
¿Cómo identificaría ahora desde donde está viniendo el “mapeo” depuertos y cuantos “request” de scan realizo esta PC hacia el servidor?_____________________________________________________________________________________________________________________________________________________________________________________________________________________________
Ingrese a varias páginas web desde el servidor IDS y nuevamente realiceun scan de puertos, finalmente realice un “refresh” al IDS.¿Qué direcciones IP de destino muestra?
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________
5. Ahora puede borrar los registros de la BD Mysql de SNORT para “limpiar”todo lo anterior.
6. Ahora utilice la aplicación Netscantools -> Packet Flooder para generaruna inundación de paquetes UDP hacia el servidor IDS, luego compruebelas alertas de SNORT
¿A qué se refiere con “Fragmentation overlap”?______________________________________________________________________________________________________________________________________________________________________________________________________________________________
Nota Importante:
Los IDS no solo detectan posibles ataques realizados hacia el propio servidor,sino que detectan también los que pueden ocurrir en diferentes hosts de sured. Pruebe ahora a realizar un nmap desde un sistema Linux hacia otra PCdistinta al servidor. Y compruebe el IDS, que resultados le dio.
7. finalmente podrá tener gráficas de las alertas generadas para consultarlocuando considere o guardarlas para futuras revisiones: Graphs -> Snort
NTOP
Es una herramienta que permite monitorizar en tiempo real una red. Es útilpara controlar los usuarios y aplicaciones que estén consumiendo recursos dered en un instante concreto. Los protocolos que es capaz de monitorear son:TCP/UDP/ICMP, ARP, IPX, DLC y es capaz de agruparlos por FTP, HTTP, DNS,Telnet, SMTP/POP/IMAP, SNMP
1. Analice el tráfico generado en “eth0”. Para eso deberá estar en la pantallaprincipal de NTOP y buscar entre las gráficas Historical Data, para acceder ala gráfica general:
1. Podrá ver la gráfica para la carga que se está generando en la red: TCPTraffic, VoIP, Telnet Traffic, ICMP Traffic, HTTP Traffic, FTP Traffic,UDP Traffic, SSH Traffic,
2. Retornando a la página principal podrá ver también la distribucióngeneral de su red para los puertos TCP o UDP:
3. También podrá ver la carga que existe por tipo de protocolo
4. Si da clic en “Zoom” podrá manipular a más detalle la gráfica.5. Finalmente en la página principal podrá ver el resumen de protocolos
que se han cursado en su red: Historical View
6. También podrá visualizar los Hosts que han interactuado en su red,pudiendo identificarlos y hasta indicando si son potencialmentepeligrosos o no, debido al BW que están consumiendo y la actividad quehan generado cada uno de ellos.Adicionalmente se podrá ver con que Hosts nuestra red ha interactuado(internet)
7. Adicionalmente podrá ingresar a cada Hosts, para ver la estadística adetalle de cada uno y poder determinar si se trata de algún equipo conpotencial riesgos o no. Además podrá visualizar toda la actividad de eseequipo.
8. Finalmente puede desde una PC crear una conexión cliente servidor FTP(mediante Filezilla) y activar en NTOP el Plugin Host Last Seen paraidentificar la última sesión del Host. Ingrese a la IP del host donde realizoesta conexión