Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Informe Portsentry PDF

    Cargado por

    Silverio Bonilla
    66 vistas10 páginas
    El documento presenta un informe sobre la instalación y pruebas del sistema de detección de intrusiones PortSentry. Se explican conceptos básicos como los modos de configuración de PortSentry. Luego, se detalla la instalación de PortSentry en Ubuntu 14.04 y la creación de un script para ejecutarlo. Finalmente, se realizan pruebas de ataque usando ping, escaneo con Nmap y conexión SSH, demostrando la detección y bloqueo de intrusos por parte de PortSentry.

    Descripción original:

    Título original

    Informe portsentry.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    El documento presenta un informe sobre la instalación y pruebas del sistema de detección de intrusiones PortSentry. Se explican conceptos básicos como los modos de configuración de PortSentry. Luego, se detalla la instalación de PortSentry en Ubuntu 14.04 y la creación de un script para ejecutarlo. Finalmente, se realizan pruebas de ataque usando ping, escaneo con Nmap y conexión SSH, demostrando la detección y bloqueo de intrusos por parte de PortSentry.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    66 vistas10 páginas

    Informe Portsentry PDF

    Cargado por

    Silverio Bonilla
    El documento presenta un informe sobre la instalación y pruebas del sistema de detección de intrusiones PortSentry. Se explican conceptos básicos como los modos de configuración de PortSentry. Luego, se detalla la instalación de PortSentry en Ubuntu 14.04 y la creación de un script para ejecutarlo. Finalmente, se realizan pruebas de ataque usando ping, escaneo con Nmap y conexión SSH, demostrando la detección y bloqueo de intrusos por parte de PortSentry.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 10

    UNIVERSIDAD NACIONAL EXPERIMENTAL DEL TACHIRA

    DEPARATAMENTO DE INGENIERIA EN INFORMATICA


    COMUNICACIONES II

    Informe PortSentry

    Elaborado por: Silverio A. Bonilla C.


    CI: 21.341.343

    San Cristbal, marzo de 2016


    1

    Indice
    Conceptos Bsicos: .............................................................................................................................. 3
    Instalacin: .......................................................................................................................................... 3
    Pruebas:............................................................................................................................................... 5
    Prueba escaneo con nmap: ................................................................................................................. 7
    Prueba Ping: ........................................................................................................................................ 6
    Prueba SSH: ......................................................................................................................................... 8

    Conceptos Bsicos:
    Portsentry: es un sistema de deteccin de intrusiones para detectar ataques, registrarlos, ayudar a
    trazar el origen del ataque e incluso con la posibilidad de detener el ataque.
    Modos de configuracin:
    Antes de entrar en materia tenemos que conceptualmente diferenciar tres modos con los que
    podemos configurar portsentry
    Basic: Este es el que se utiliza por defecto, si no has ledo esto primero te da la sensacin que al
    arrancar el demonio estamos peor que antes, puesto que el primer nmap que hacemos para
    probar vemos ms puertos abiertos de lo normal; esto es el comportamiento habitual se hace para
    dar la falsa impresin de que estamos ofreciendo servicios en los puertos indicados en TCP y UDP,
    de modo que tenemos entretenido al supuesto atacante.
    Stealth: En este modo portsentry escucha en los sockets de los puertos en lugar de simularlo. Este
    modo puede detectar una amplia variedad de tcnicas de escaneo (strobe-style, SYN, FIN, NULL,
    XMAS and UDP scans), pero es ms sensitivo y puede producir falsas alarmas.
    Advanced Stealth: Este modo ofrece el mismo nivel de deteccin que el stealh pero en lugar de
    monitorizar un nmero de puertas seleccionadas lo hace con un rango (1024 por defecto).

    Instalacin:
    Se trabaj bajo un sistema operativo Linux, distribucin Ubuntu 14.04.
    Previo a la instalacin se ley las guas que estn en uvirtual, apartado IDS. Donde una de ellas
    explica detalladamente en consiste portsentry y un resumen de como instalarlo. Otro link que
    explica la receta detallada de como instalarlo.
    Se descarg la versin de portsentry que estaba en uvirtual y se procedi a seguir la receta:
    tar zxvf portsentry-1.2.tar.gz
    cd portsentry_beta
    3

    make linux
    Al ejecutar esta lnea dio error debido a que en el script portsentry.c haba una lnea errnea.
    Lnea 1584. Al arreglar esta lnea se termin la instalacin con el siguiente comando:
    make install
    Luego

    de

    esto

    se

    abrio,

    pero

    no

    modifico

    el

    porsentry.conf,

    ubicado

    en

    /usr/local/psionic/portsentry/.
    Para hacer la ejecucin del porsentry se cre un script en /etc/inti.d diferente al de la receta que
    fue el siguiente:
    #!/bin/bash
    case "$1" in
    start)
    echo "Starting Portsentry..."
    ps ax | grep -iw '/usr/local/psionic/portsentry/portsentry -atcp' | grep -iv 'grep' > /dev/null
    if [ $? != 0 ]; then
    /usr/local/psionic/portsentry/portsentry -atcp
    fi
    ps ax | grep -iw '/usr/local/psionic/portsentry/portsentry -audp' | grep -iv 'grep' > /dev/null
    if [ $? != 0 ]; then
    /usr/local/psionic/portsentry/portsentry -audp
    fi
    echo "Portsentry is now up and running!"
    ;;
    stop)
    echo "Shutting down Portsentry..."
    array=(`ps ax | grep -iw '/usr/local/psionic/portsentry/portsentry' | grep -iv 'grep' \
    | awk '{print $1}' | cut -f1 -d/ | tr '\n' ' '`)
    element_count=${#array[@]}
    index=0
    while [ "$index" -lt "$element_count" ]
    do
    kill -9 ${array[$index]}
    let "index = $index + 1"
    done
    echo "Portsentry stopped!"
    ;;
    4

    restart)
    $0 stop && sleep 3
    $0 start
    ;;
    *)
    echo "Usage: $0 {start|stop|restart}"
    exit 1
    esac
    exit 0

    Si se quiere modificar el modo de ejecucin, el script debe cambiar donde se encuentra resaltado.
    Luego se le dio permiso para ejecucin chmod 755 /etc/init.d/portsentry
    Y para iniciar portsentry se aplica: /etc/init.d/portsentry start

    En esta imagen se puede observar que el proceso se est ejecutando y que ya fue instalado el
    programa.

    Pruebas:
    Previo a las pruebas se instal el servicio ssh en la mquina que recibe el ataque y nmap a la
    maquina atacante usando apt-get install nmap y apt-get install ssh. Sin hacerles ningn cambio
    de configuracin a las instalaciones se procede a hacer la prueba de ataque.
    Las pruebas se realizaron con dos mquinas Ubuntu 14.04 y una Windows 10 (solo ping), a
    continuacin se muestra la ip de cada una.

    Prueba Ping:

    Maquina atacante: 192.168.80.140


    Maquina vctima: 192.168.80.139
    Maquina Windows: 192.138.1.138
    Con la maquina Windows 10 se empez a hacer ping extendido 118 paquetes, en la cual no hubo
    ninguna novedad.

    Con la maquina atacante se hizo ping y tampoco hubo novedad.

    Esto se debe a que no se hace escaneo de puertos, ya que el ping se hace por protocolo icmp, el
    escaneo de puertos por TCP/UDP.

    Prueba escaneo con nmap:


    En la imagen anterior se hizo un escaneo de puertos y arrojo el resultado anteriormente mostrado
    en la maquina atacante, pero en este caso hubo un resultado diferente, el cual fue el registro y
    bloqueo del intruso, en los archivos portsentry.history y portsentr.block.atp, como se puede ver a
    continuacin:

    Este resultado fue el mismo en los dos archivos. En esta parte de la prctica se torna interesante el
    ambiente. Con lo que pasa ms adelante

    Prueba SSH:
    Desde la maquina atacante se hizo el intento de conexin de la siguiente manera: ssh v
    Silverio@192.168.80.139, pero la conexin no se realizaba y daba el siguiente resultado:

    Despues de esto se retom el manual de portsentry donde deca como podamos remover los
    intrusos, llegando as al archivo host.deny, donde se encontraba lo siguiente:

    La mquina atacante fue totalmente bloqueada. Se modific el archivo, borrando la nica lnea
    que haba y se intent de nuevo hacer la prueba con el servicio ssh, dando un resultado exitoso.

    Se modificaron los archivos portsentry.history y portsentry.blocked.atcp, donde se encontraba el


    registro de la deteccin de intruso. Se volvi a hacer el ataque y se volvi a registrar en los tres
    archivos los dos mencionados anteriormente y en host.deny:

    Para finalizar la practica portsentry es una buena opcin para deteccin de intrusos, ya que con el
    desarrollo de la prctica se pudo observar su funcionalidad y como configurar segn nuestras
    necesidades.

    10

    También podría gustarte