Prcticas de Laboratorio de Seguridad en Redes. V ao Telemtica 2013. UNAN Len.

Prctica 6: Snort - Anlisis de la herramienta Visin prctica

1. Propsito
Implementar un Sistema de Deteccin de Intruso, para evitar ser vctima posibles ataques a nuestro equipo.

2. Entorno
Para la realizacin de esta prctica se utilizar: Dos mquinas, una desde donde se lanzarn los ataques y otra donde instalaremos Snort. La computadora atacante ser la misma que la utilizada en la prctica 5. La computadora vctima ser donde se instalar Snort.

3. Conceptos tericos
Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisin). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida. As mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Este IDS implementa un lenguaje de creacin de reglas flexibles, potentes y sencillas. Durante su instalacin ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap. Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu ocurre en nuestra red, todo nuestro trfico), registro de paquetes (permite guardar en un archivo los logs para su posterior anlisis, un anlisis offline) o como un IDS normal (en este caso NIDS). Cuando un paquete coincide con algn patrn establecido en las reglas de configuracin, se logea. As se sabe cundo, de dnde y cmo se produjo el ataque. Snort est disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, as como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a travs de los distintos boletines de seguridad. La caracterstica ms apreciada de Snort, adems de su funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una base de datos de ataques que se est actualizando constantemente y a la cual se puede aadir o actualizar a travs de la Internet. Los usuarios pueden crear 'firmas' basadas en las caractersticas de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, para que as todos los usuarios de Snort se puedan beneficiar.

Prcticas de Laboratorio de Seguridad en Redes. V ao Telemtica 2013. UNAN Len.

Podemos sealar que Snort es una herramienta que a pleno funcionamiento consume muchos recursos. Por este motivo, y debido al hecho de que estamos monitorizando una sola mquina, hemos decidido para este trabajo utilizar la base de datos de reglas que no necesita registro por internet, si no que se crea en el mismo momento de la creacin de la versin que utilizaremos de Snort, con el fin de no cargar las mquinas de los compaeros que quieran instalar Snort para probarlo en sus PCs. No obstante, se darn las directrices a seguir por si se desea instalar el NIDS en un equipo para que monitorice con las mayores prestaciones su red, descargando las reglas registrndose en http://www.snort.org.

4. Instalacin
Usted deber instalar los siguientes servicios (aydese de la siguiente http://www.scribd.com/doc/112236067/Instalacion-y-configuracion-de-SNORT) Servidor Web (Apache) Gestor de Bases de datos (MySQL) Soporte para PHP para el servidor web y el gestor de bases de datos. Snort ACID BASE URL:

Recuerdo que no solo debe instalar sino tambin configurar cada servicio, esto lo realizar en la mquina vctima.

5. Puesta en Marcha
1. Esta este punto su Snort ya est en funcionamiento, navegue por internet, realice ping desde la computadora atacante hacia su mquina vctima y viceversa, inicie una sesin ssh hacia y desde la mquina vctima a la atacante. Analice y explique las alertas que ha generado snort hasta este punto.

2. Usted puede crear sus propias reglas de snort (ayuda en el fichero adjunto de la prctica), o consulte la siguiente URL http://www.adminso.es/index.php/SnortPersonalizando_las_reglas cree las siguientes reglas: Generar alertas de ping que se generen en la red. Generar alertas de ping que vayan dirigidos a la computadora donde tiene instalado SNORT. Generar alertas si alguien se conecta a su puerto 80 Generar una alerta si alguien est intentando bajar msica en formato MP3 Analice y explique las alertas que ha generado snort hasta este punto.

Prcticas de Laboratorio de Seguridad en Redes. V ao Telemtica 2013. UNAN Len.

3. Desde la mquina atacante realice los siguientes ataques: Escaneo de puertos (utilice diferentes formas de Nmap) ARP Spoofing DNS Spoofing Web Spoofing Denegacin de servicio Para cada ataque cree sus propias reglas, explique cada una de ellas y analice las alertas generadas por Snort.

4. Entregable:
Deber entregar una memoria con la resolucin de cada uno de los puntos aqu planteados, que incluya comandos ejecutados y captura de su pantalla as como una explicacin clara de cada tpico.