UNIVERSIDAD DON BOSCO

FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACIÓN

CICLO: I-2015

GUIA DE LABORATORIO #12 Nombre de la Practica: EasyIDS Lugar: Laboratorio de Redes Tiempo Estimado: 2 Horas y 30 Minutos Materia: Seguridad en Redes

Que el estudiante:

Conozca sobre el funcionamiento de las IDS

Aprenda a configurar EasyIDS para detectar amenazas a la red.

IDS: Un Sistema de Detección de Intrusos o IDS (Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos crackers, o de Script Kiddies que usan herramientas automáticas. El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de “firmas” de ataques desconocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo. Existen dos tipos de sistemas de detección de intrusos:

1. HIDS (Host-IDS): El principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.

2. NIDS (Network-IDS): IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

Para poner en funcionamiento un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución hardware, software o incluso una combinación de estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta. En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red. SNORT: SNORT es un IDS o Sistema de detección de intrusiones basado en red (N-IDS). Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de protocolos, etc conocidos. Todo esto en tiempo real. SNORT está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad. Este IDS implementa un lenguaje de creación de reglas flexibles, potente y sencilla. Durante su instalación ya nos provee de cientos de filtros o reglas para backdoor, ddos, finger, ftp, ataques web, CGI, escaneos NMAP. Puede funcionar como sniffer (podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS). En este taller daremos una importancia mayor a su funcionamiento como NIDS y, sobre todo, a la creación personalizada de reglas e interpretación de las alertas. La colocación de SNORT en nuestra red puede realizarse según el tráfico quieren vigilar: paquetes que entran, paquetes salientes, dentro del firewall, fuera del firewall y en realidad prácticamente donde queramos.

No. Requerimiento Cantidad

1 Guía de Laboratorio 1

2 PC con Virtual Box 1

3 ISO de EasyIDS 1

Parte I: Creación de máquina virtual.

1. Luego de que cargue el SO Windows, e iniciar VirtualBox, damos clic en el botón Nueva para crear una máquina virtual.

2. En la ventana que aparezca ingresamos los datos y luego damos clic en siguiente:

Nombre: EasyIDS Tipo: Linux Versión: Other Linux

3. Asignamos 1024 de memoria RAM y damos clic en siguiente.

4. Ahora seleccionamos Crear un disco duro virtual ahora y damos clic en crear.

5. En la ventana siguiente seleccionamos VDI (VirtualBox Disk Image) y damos clic en next.

6. Ahora seleccionamos Reservado dinámicamente y damos clic en siguiente.

7. Seleccionamos el tamaño del disco duro que para este caso serán 10GB y damos clic en crear.

8. De clic en la Configuración de la máquina virtual EasyIDS, en la venta seleccionamos almacenamiento y agregamos la ISO de EasyIDS, luego seleccionamos la opción RED

9. En las opciones de Red proceda habilitar el Adaptador 1 y Adaptador 2 ambos deben estar en Adaptador Puente, el Adaptador 1 debe tener la primera tarjeta de red y el adaptador 2 la segunda tarjeta de red. Y Damos clic en Aceptar

Parte II: Instalación de EasyIDS y Configuraciones.

1. Iniciamos la máquina virtual y esperamos que cargue, luego que aparezca la pantalla de instalación damos ENTER para comenzar la instalación

2. Seleccionamos el tipo de escritura Sg- latin1 y luego OK.

3. Seleccionamos la zona horaria America/El_Salvador y luego OK

4. Ahora ingresamos la contraseña para root, en este caso “123456”. Luego seleccionamos en OK y comenzara la instalación

5. Esperamos a que termine de instalar los paquetes

6. Una vez termine de instalar, reiniciamos y esperamos que aparezca el menú de instalación nuevamente, una vez aparezca apagamos la máquina virtual, y retiramos la ISO y procedemos a iniciar nuevamente la máquina virtual.

7. Cuando iniciemos la máquina virtual comenzara a instalar y hacer configuraciones esperamos que finalice de realizar todas las configuraciones necesarias, puede tardar unos minutos y puede que se reinicie la máquina virtual.

8. Mientras termina de configurar proceda a conectar la eth1 de la PC con dos interfaces con la eth0 de la PC Cliente.

9. En la eth0 de la PC con dos tarjetas de red verifique que se encuentre conectada a la mesa de trabajo y la IP la obtenga por el DHCP.

10. La eth1 de la PC con dos tarjetas de red configure la IP de forma estática, de igual forma la eth0 de la PC cliente configure la IP de forma estática. Ejemplo:

11. Luego de que termine de configurarse la máquina virtual inicie sesión como root, y verifique las configuraciones de red con el comando ifconfig.

NOTA: para ver de mejor forma la configuración de red guarde la información del comando ifconfig en un archivo. Y luego abra el archivo con el editor vim.

12. Si al ver las configuraciones de red observamos que hace falta la IP para la eth1, la ingresamos con el comando ifconfig, dicha IP tiene que ser la misma que ingreso en la configuración de la eth1 en este caso 192.168.7.4.

13. Al iniciar la máquina de EasyIDS, de forma predeterminada IPTables trae unas reglas que impiden el tráfico de entrada, y por dicho motivo no se puede mandar un ping, y no almacena ataques simples como los de nmap. Vamos a deshabilitar las reglas de IPTables para ver los reportes de ataques de barrido de puertos como puede ser nmap.

14. Primero veamos las reglas que se encuentran establecidas.

Imagen 1: eth1 de la PC Servidor Imagen 2: eth0 de la PC Cliente

15. Borramos las reglas existentes.

16. Ahora desde la maquina cliente abrimos el navegador web y digitamos la IP de la eth1 en este caso 192.168.7.4, nos mostrara un mensaje de error, damos clic en continuar de todos modos y nos va aparecer otra ventana.

17. En la ventana se nos pide un usuario y contraseña por lo cual ingresamos lo siguiente:

Usuario: admin Contraseña: password

18. Ahora nos pide que cambiemos la contraseña por cuestiones de seguridad (no debe tener

menos de 8 caracteres), ingresamos la que queramos.

19. Vemos entonces la interfaz de administración del EasyIDS, y si damos clic en settings,

podemos ir a la configuración de los diferentes servicios, de allí también podemos

reiniciar, iniciar o parar dichos servicios.

20. Ahora vamos crear reglas y como incluirlas en Snort, para ello nos dirigmos al directorio /etc/snort, y listamos los archivos que hay:

Nota: vemos algunos de los ficheros y directorios más importantes en rectángulos rojos.

21. Antes de iniciar con la creación de reglas observemos lo que contiene el fichero snort.conf,

ingresamos entonces con el editor de texto preferido (vi, vim, nano, etc.) y observamos algunos

puntos claves:

Nota: Vemos que en la primera línea dice que corresponde a la eth0, allí podríamos

poner por ejemplo la dirección de subred como por ejemplo “var HOME_NET

192.168.0.0/24“, de esta forma somos más específicos a la hora de decir que es lo que

estamos monitoreando, esto se usa mucho cuando se ponen sondas en la red.

Igualmente para cada uno de los parámetros, vemos ahí que podemos definirle la red

externa, al DNS, al servidor web, a la base de datos, etc.

22. Cada vez que realicemos un cambio en este fichero, debemos reiniciar el servicio de Snort,

para que surjan efecto los cambios, lo hacemos entonces digitando: /etc/init.d/snort

restart.

Nota: Esto también lo podemos hacer desde la GUI del navegador.

23. Ahora vamos a crear las reglas, para esto entonces vamos a /etc/snort/rules, y listamos

los archivos:

Nota: Vemos que todos los ficheros de este directorio, terminan con extensión .rules

24. Viendo entonces el tipo de extensión que manejan las firmas o reglas, vamos entonces a

crear un fichero que se llame: ping.rules, lo hacemos con nuestro editor preferido.

# vim ping.rules

25. Ingresamos lo siguiente:

NOTA: Recuerde cambiar la IP por la que usted ingreso en la eth1. El signo “\” se agrega solo si el texto hace salto de línea de lo contrario no agregarlo.

26. Vamos entonces a incluir nuestra regla, para ello vamos a /etc/snort/snort_rules,

nuevamente:

# vim /etc/snort/snort_rules.conf

27. Ahora ingresamos la ruta donde esta nuestro archivo ping.rules, hasta el final del archivo

snort_rules.conf:

28. Reiniciamos el SNORT.

29. Ahora veamos como se ve un ataque desde la GUI del navegador.

30. Vamos al navegador en la GUI de EasyIDS y damos clic en la pestaña: Analysis>BASE,

vemos que hay 6 alertas subrayadas en el cuadro verde, damos clic allí:

31. Una vez damos clic el número que está en el cuadro verdes, nos aparece la siguiente

imagen indicándonos el tipo de barrido de puertos.

NOTA: EasyIDS tiene una gran cantidad de herramientas integradas, aparte de Snort, Arpwatch lo que hace es que está vigilando constantemente ante posibles ataques de tipo mitm, Ntop nos muestra estadísticas de navegación, entre otras más opciones

Investigar la Diferencia entre IDS e IPS.

Que otras maneras existen para poder aplicar un IDS.

Que ventajas y desventajas posee SNORT.