Está en la página 1de 22

SEGURIDAD PERIMETRAL

Castillo Aliaga Anthony

Laboratorio Nº 3

“IPS LINUX”
“IPS LINUX”
OBJETIVOS

 Auditoria de la red.
 Análisis, detección y bloqueo de trafico malicioso.

EQUIPOS

 PC real y máquinas virtuales

TOPOLOGÍA

P ROCEDIMIENTO

1.- Copiar las máquinas virtuales

• KALI.rar (Atacante)
• CENTOS IPS.rar (IPS)
• Windows Server 2000 Vuln WebDAV.rar (Víctima)

2.- Configurar el direccionamiento IP de acuerdo al diagrama y/o con los datos asignados por el
profesor en clase

• Configurar las direcciones IP, en cada máquina virtual, según la topología


mostrada.
• En el servidor SNORT, se debe deshabilitar el servicio firewalld, instalar iptables y
limpiar todas las reglas; como se muestra a continuación.
• En el servidor SNORT, habilitar el reenvío de paquetes (modo router) de la
siguiente forma.
• En el servidor SNORT, descargar el archivo “classification.config” y guardarlo en la
ruta “/etc/snort/” (https://www.snort.org/documents/classification-config)

• En el servidor SNORT, descargar el archivo “dro sid” y guardarlo en la ruta


“/etc/snort/rules/” (cd inli)
• En la máquina virtual Kali (atacante), debemos crear una ruta estática para que
sepa cómo llegar a la red 10.10.10.0/24. Luego, validamos que exista conectividad
con el servidor web. Para esto, nos autenticamos como “root” y realizamos lo
siguiente.
3.- Verificar la conectividad

• VM Víctima-> SNORT IPS (LAN: 10.10.10.1)

• VM Atacante -> SNORT IPS (WAN: 192.168.81.100) 


• VM Atacante -> SERVIDOR (IP: 10.10.10.10)

¿De ser negativa alguna prueba, A qué crea que se deba?

---------------------------------------------------------------------------------------------------------------------------

5.- Verificar la configuración de nuestro IDS antes de convertirlo en IPS.

• Validar que se tenga habilitado el módulo NFQ, de la librería DAQ, en el servidor


SNORT.

• Editar las líneas 104,159, 161 y 162; del archivo “/etc/snort/snort.conf” como se
muestra a continuación.
• Procedemos a validar nuestro archivo de configuración de SNORT.
• Creamos una alerta para detectar el tráfico ICMP desde el exterior hacia el servidor
web. La regla la creamos en el archivo “/etc/snort/rules/local.rules”.

• Añadimos una regla en la cadena FORWARD para que todo el tráfico que circula
se envíe a la cola 1 (especificado anteriormente en el archivo
“/etc/snort/snort.conf”).
• Ejecutar Snort para que esté en modo “escucha” y validar que detecte los
paquetes
ICMP que detecte. Para esto, realizamos un “ping” desde el equipo “atacante”
hacia el servidor web; y el IDS debe detectar ese tráfico.

snort –q –A console –daq-dir /usr/local/lib/daq/ -c /etc/snort/snort.conf -Q


Cd ..
6.- Creando reglas en nuestro IPS.

• Procedemos a crear una regla (“/etc/snort/rules/local.rules”) en la cual “filtre” todo


el tráfico ICMP que tenga como origen la IP de la PC del “atacante” y como destino
la IP del “Servidor Web”.
NOTA: prueba cambiando la IP de la máquina del atacante (Ejm: poner la IP
192.168.81.101) y valida que pueda realizar un “ping” al servidor web.

6.1 Bloqueando ataques SYN FLOOD

Un ataque de tipo “Syn Flood” realizará infinitos inicios de conexión pero que nunca son
finalizados, dejando al servidor a la espera del “ACK final”.Por lo tanto, consumiendo
recursos de forma desproporcionada; de tal manera que cuando una persona realice una
solicitud de conexión el servidor no tendrá la capacidad de responder. Una, de las tantas,
herramientas para producir este tipo de ataque es a través de “hping3” que viene
instalado en Kali Linux.

• Creamos la alerta en SNORT para que pueda identificar este tipo de ataque.
• Procederemos a realizar el ataque, desde Kali Linux, hacia el servidor web.
-p: puerto que atacaremos
-S: activa el flag SYN
-i u100: intervalo de 100 paquetes por segundo

• Validamos que SNORT detecte el ataque SYN FLOOD.

• Procederemos a cambiar la alerta de SNORT, ahora bloquearemos este tipo de


ataque.
:Wq123

• Procederemos a cambiar la alerta de SNORT, ahora bloquearemos este tipo de


ataque.
6.2 Bloqueando ataques de exploit

• Evaluaremos el EXPLOIT Microsoft IIS WebDAV. Este EXPLOIT afecta a los


Sistemas Windows 2000 con IIS (Internet Information Server) Servicio WEB de
Windows.
• Desde Kali, abrimos la herramienta metaesploit y realizamos el siguiente
procedimiento para el ataque.
a) Seleccionamos el exploit.

b) Seteamos el payload.

c) Especificamos datos para el ataque (IP Víctima, puerto)

d) Especificamos datos para recibir el shell de la víctima


e) Lanzamos el ataque y veremos que tendremos acceso a la consola.
• En SNORT, añadimos la siguiente regla en “/etc/snort/rules/local.rules”.

• Luego, realizamos el mismo ataque, desde Kali Linux, y veremos que


SNORT lo está contrarrestando.
Actividades

1.- Subir pantallazos del laboratorio implementado.

Están debajo de cada paso.

2.- ¿Qué regla permitirá alertar y/o contrarrestar escaneos con el software nmap?

Veamos ahora un ejemplo de regla Snort para alertar de un escaneo nmap del tipo TCP


ping:
drop tcp $EXTERNAL_NET any -> $HOME_NET any (msg:”Escaneo ping con
nmap”;flags:A;ack:0; / reference:arachnids,28;classtype:attempted-recon; sid:628;/ rev:1;)

3.- ¿Qué conclusiones saca del laboratorio realizado?

 Realizamos una auditoria de la red, con la creación de reglas, las auditorías juegan
un papel relevante ya que permiten mostrar el estado en el que se encuentra
la protección de la información. 

 Se analizó, detectó y bloqueó el trafico malicioso mediante alertas y bloqueos de la


comunicación que pueden tener con nuestros servidores y de esa forma poder
asegurar nuestra red.