Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Lab02 IDS

    Cargado por

    Dario Gabriel Gomez Villanueva
    18 vistas15 páginas

    Título original

    Lab02-IDS

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    18 vistas15 páginas

    Lab02 IDS

    Cargado por

    Dario Gabriel Gomez Villanueva

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 15

    SEGURIDAD PERIMETRAL

    Laboratorio Nº 2

    “IDS LINUX”

    INTEGRANTES
    • Gómez Villanueva Darío Gabriel
    • Quispe Mamani Flor Angela
    • Sucasaire Castillo Jamilet
    IDS LINUX – 2 ptos

    OBJETIVOS

    ▪ Instalación de SNORT sobre Linux (CentOS 7.7)


    ▪ Introducción a la auditoria de la red.

    EQUIPOS

    ▪ Computadora de escritorio (física) y máquinas virtuales.

    IMPORTANTE
    • La máquina virtual SNORT debe llevar como hostname la primera letra de su nombre junto
    con su apellido; seguido del dominio tecsup.edu.pe. Ejemplo: rrodriguez.tecsup.edu.pe
    • Para realizar eso apoyarse con el comando hostnamectl set-hostname

    #hostnamectl set-hostname rrodriguez.tecsup.edu.pe

    PARTE 1.- CONECTIVIDAD

    Configurar IP a nuestra VM de acuerdo al diagrama.


    PARTE 2.- DESCARGA E INSTALACIÓN DE SOFTWARE

    • Snort puede ser instalado en diferentes versiones de Linux, el proceso de instalación oficial
    puede ser revisado en el portal de Snort.

    URL: https://www.snort.org/documents#OfficialDocumentation

    • En nuestra máquina virtual (SNORT) debemos instalar todas las dependencias necesarias y
    descargar la librería DAR y el instalador de SNORT (descargarlo dentro del directorio
    “/root”).

    2.1 Dependencias necesarias

    El proceso de instalación es el siguiente.


    • Primero instalamos el repositorio EPEL.
    # yum install epel-release -y
    • Luego, instalamos las siguientes dependencias.
    # yum groupinstall "Development Tools" –y

    # yum install gcc libpcap-devel pcre2-utf32 pcre-devel


    libdnet-devel zlib* libnghttp2 openssl* luajit-devel –y

    # yum install libnfnetlink-devel libnetfilter_queue-devel


    libmnl-devel –y

    # yum install libnfnetlink –y

    •Finalmente, descargamos DAQ y snort.


    # wget https://www.snort.org/downloads/snort/daq-
    2.0.7.tar.gz

    # wget https://www.snort.org/downloads/snort/snort-
    2.9.16.1.tar.gz

    # wget https://distfiles.macports.org/snort/snort-
    2.9.16.1.tar.gz
    PARTE 3.- COMPONENTES DE SNORT

    PARTE 4.- INSTALACION DE PAQUETE DAQ

    • Entrar a la carpeta donde se desempaquetó (usar tar –zxvf “nombre de paquete”) el tar
    de DAQ, luego ejecutar el archivo configure.

    • Debemos validar que al finalizar se hayan construido los módulos AFPacket DAQ module y
    PCAP DAQ module. Adjunte sus propias capturas.
    • Luego debemos ingresar el comando autoreconf -f -i. Después, compilar usando el
    comando make y make install (para copiar los archivos compilados en los lugares
    necesarios).

    • Para validar que todo esté conforme, podemos constatar que se hayan generado los
    archivos dentro de la ruta “/usr/local/lib/daq”.

    PARTE 5.- INSTALACIÓN DE SNORT

    • Entrar a la carpeta donde se desempaquetó el tar de Snort, luego ejecutar el archivo


    configure.

    • Luego debemos compilar usando el comando make y make install (para copiar los
    archivos compilados en los lugares necesarios)

    • Para validar la correcta instalación, podemos constatar la versión de snort que tenemos
    instalado.
    • Prodedemos a crear la carpeta para el log , otra para guardar el archivo de configuración
    de Snort y otra para las reglas.

    • Prodedemos a copiar los archivos de configuración de snort , con los permisos


    correspondientes, al directorio “/etc/snort”.

    • Prodedemos a comentar las líneas 253, 507-512, 534-535 y 548-651 del archivo
    “/etc/snort/snort.conf”.
    • Procedemos a crear el archivo local.rules el cual se grabará en “/etc/snort/rules”.

    • Procedemos a especificar la ruta del archivo creado (local.rules) en la línea 104 del archivo
    “/etc/snort/snort.conf”.

    • Para comprobar que todo está bien dentro del archivo de configuración de Snort,
    ejecutamos el siguiente comando.

    • Debe indicarnos ,al final, que se ha validado correctamente la configuración sin errores.

    PARTE 6.- EJECUCIÓN DE SNORT


    Snort tiene tres (3) modos de ejecución. Primero, como sniffer; el cual permite ver todos los
    paquetes que circulan por la red (parecido a la herramienta tcpdump). Segundo, como packet
    logger; porque permite registrar todo lo que puede ver y/o analizar en base a sus reglas pre-
    configuradas.Tercero, como IDS.

    • EJECUCIÓN COMO SNIFFER

    El parámetro “-v” es opcional ya que permite que la información mostrada en consola


    sea muy detallada pero hace que el análisis sea más lento y se pueden “pasar” algunos
    paquetes.
    • EJECUCIÓN COMO IDS

    PARTE 7: INTRODUCCIÓN A LAS REGLAS EN EL IDS

    • Añadimos la siguiente regla en el archivo “/etc/snort/rules/local.rules”; la cual detectará


    todo el tráfico UDP que se origine en la red LAN y que tenga como destino cualquier
    dirección.

    Para validar que nuestro IDS detecte tráfico UDP, desde la PC cliente puede realizar una
    consulta DNS y SNORT debe detector ese tráfico, como se muestra a continuación.
    • La siguiente regla detectará todo tráfico ICMP de la LAN hacia internet.

    • La siguiente regla detectará todo tráfico UDP (servicio DNS) hacia un servidor que no tenga
    como dirección IP la 8.8.8.8

    • Podemos añadir límites a las reglas con el parámetro “detection_filter”.

    • Podemos detectar paquetes que contengan algún patron específico (patron de paquetes
    ICMP).

    **Estas reglas sólo las usamos para probar nuestro IDS, Sin embargo tenemos que tener
    en cuenta que las reglas que usamos en un entorno real deben incluir patrones de
    ataques.

    PARTE 8:

    CARGANDO REGLAS CON PATRONES DE ATAQUES.

    • Entramos a la siguiente URL y descargamos las rules para nuestra versión de SNORT.

    https://rules.emergingthreats.net/open/
    • Desempaquetamos el archivo y copiamos las reglas según nuestros requerimientos.
    También se puede descargar rules de la comunidad de SNORT de la web oficial.
    Actividades

    1. Copiar dos reglas (elegir la que crea conveniente) de los recursos brindados en la parte
    anterior, mostrar su funcionamiento y explicar.

    emerging-games.rules
    Emerginng-exploit.rules
    2. Explicar dos reglas (elegir la que crea conveniente) correspondientes a la protección de
    algún ataque o vulnerabilidad.

    emerging-games.rules

    Alerta trafico tcp del home net hacia internet por lo puertos 6112 Dando un mensaje de
    alerta " "ET GAMES Battle.net Starcraft login"
    Esta regla detecta la conexión hacia un juego en especifico

    Emerginng-exploit.rules

    Alerta trafico tcp del internet hacia home net por lo puertos 2200, 111, 1900, 2401, ….
    Dando un mensaje de alerta "ET EXPLOIT CVS server heap overflow attempt (target BSD)”
    Los paquetes deben tener un tamaño MAYOR A 512
    OBSERVACIONES Y CONCLUSIONES

    OBSERVACIONES
    o Se observo que se requieren privilegios locales al momento de monitorear con el
    programa SNORT
    o También se vio que SNORT nos permite descargar reglas de servicio IDS para
    prevenir posibles ataques.
    o Se observo que el nivel de análisis muy lento de snort puede ocasionar que omita
    algunos paquetes.
    o Se observo que mientras mas reglas tenga que comparar el procesamiento de snort
    será más lento

    CONCLUSIONES
    o Se concluye que el uso de las IDS no permite conocer el tipo de trafico que se genera
    en nuestra red.
    o Se concluye que al examinar los tipos de conexión y el comportamiento de estos
    podríamos generar nuevas reglas en nuestro firewall para así poder prevenir
    ataques y dar un buen uso a nuestra red.
    o IDS no solo sirve para alertar ataques a nuestra red si no para poder alertarnos del
    mal uso de esta.
    o

    También podría gustarte