SEGURIDAD PERIMETRAL

Laboratorio Nº 3

“IPS LINUX”

“IPS LINUX”
OBJETIVOS

 Auditoria de la red.
 Análisis, detección y bloqueo de trafico malicioso.

EQUIPOS

 PC real y máquinas virtuales

TOPOLOGÍA

PROCEDIMIENTO

1.- Copiar las máquinas virtuales

 KALI.rar (Atacante)
 CENTOS IPS.rar (IPS)
 Windows Server 2000 Vuln WebDAV.rar (Víctima)

2.- Configurar el direccionamiento IP de acuerdo al diagrama y/o con los datos

asignados por el profesor en clase

 Configurar las direcciones IP, en cada máquina virtual, según la topología

mostrada.
 En el servidor SNORT, se debe deshabilitar el servicio firewalld, instalar iptables y
limpiar todas las reglas; como se muestra a continuación.
 En el servidor SNORT, habilitar el reenvío de paquetes (modo router) de la
siguiente forma.

 En el servidor SNORT, descargar el archivo “classification.config” y guardarlo en la

ruta “/etc/snort/” (https://www.snort.org/documents/classification-config)
 En el servidor SNORT, descargar el archivo “server-webapp.rules” y guardarlo en
la ruta “/etc/snort/rules/” (https://github.com/thereisnotime/Snort-
Rules/blob/master/rules/server-webapp.rules)
 En la máquina virtual Kali (atacante), debemos crear una ruta estática para que
sepa cómo llegar a la red 10.10.10.0/24. Luego, validamos que exista conectividad
con el servidor web. Para esto, nos autenticamos como “root” y realizamos lo
siguiente.
3.- Verificar la conectividad

 VM Víctima-> SNORT IPS (LAN: 10.10.10.1)

 VM Atacante -> SNORT IPS (WAN: 192.168.81.100)
 VM Atacante -> SERVIDOR (IP: 10.10.10.10)

¿De ser negativa alguna prueba, A qué crea que se deba?

---------------------------------------------------------------------------------------------------------------------------

5.- Verificar la configuración de nuestro IDS antes de convertirlo en IPS.

 Validar que se tenga habilitado el módulo NFQ, de la librería DAQ, en el servidor

SNORT.

 Editar las líneas 104,159, 161 y 162; del archivo “/etc/snort/snort.conf” como se
muestra a continuación.

 Procedemos a validar nuestro archivo de configuración de SNORT.

 Creamos una alerta para detectar el tráfico ICMP desde el exterior hacia el
servidor web. La regla la creamos en el archivo “/etc/snort/rules/local.rules”.

 Añadimos una regla en la cadena FORWARD para que todo el tráfico que circula
se envíe a la cola 1 (especificado anteriormente en el archivo
“/etc/snort/snort.conf”).

 Ejecutar Snort para que esté en modo “escucha” y validar que detecte los
paquetes ICMP que detecte. Para esto, realizamos un “ping” desde el equipo
“atacante” hacia el servidor web; y el IDS debe detectar ese tráfico.
6.- Creando reglas en nuestro IPS.

 Procedemos a crear una regla (“/etc/snort/rules/local.rules”) en la cual “filtre” todo

el tráfico ICMP que tenga como origen la IP de la PC del “atacante” y como destino
la IP del “Servidor Web”.

NOTA: prueba cambiando la IP de la máquina del atacante (Ejm: poner la IP

192.168.81.101) y valida que pueda realizar un “ping” al servidor web.

6.1 Bloqueando ataques SYN FLOOD

Un ataque de tipo “Syn Flood” realizará infinitos inicios de conexión pero que nunca son
finalizados, dejando al servidor a la espera del “ACK final”.Por lo tanto, consumiendo
recursos de forma desproporcionada; de tal manera que cuando una persona realice una
solicitud de conexión el servidor no tendrá la capacidad de responder. Una, de las tantas,
herramientas para producir este tipo de ataque es a través de “hping3” que viene
instalado en Kali Linux.
 Creamos la alerta en SNORT para que pueda identificar este tipo de ataque.

 Procederemos a realizar el ataque, desde Kali Linux, hacia el servidor web.

-p: puerto que atacaremos

-S: activa el flag SYN
-i u100: intervalo de 100 paquetes por segundo
 Validamos que SNORT detecte el ataque SYN FLOOD.

 Procederemos a cambiar la alerta de SNORT, ahora bloquearemos este tipo de

ataque.
  Procederemos a cambiar la alerta de SNORT, ahora bloquearemos este tipo de
ataque.

6.2 Bloqueando ataques de exploit

 Evaluaremos el EXPLOIT Microsoft IIS WebDAV. Este EXPLOIT afecta a los

Sistemas Windows 2000 con IIS (Internet Information Server) Servicio WEB de
Windows.
 Desde Kali, abrimos la herramienta metaesploit y realizamos el siguiente
procedimiento para el ataque.

a) Seleccionamos el exploit.

b) Seteamos el payload.

c) Especificamos datos para el ataque (IP Víctima, puerto)

d) Especificamos datos para recibir el shell de la víctima

 e) Lanzamos el ataque y veremos que tendremos acceso a la consola.

 En SNORT, añadimos la siguiente regla en “/etc/snort/rules/local.rules”.

Si tiene errores con el Classtype haga lo siguiente:

Copiar el contenido del archivo de clasificación a un nuevo.

Descomentar la línea 534 de /etc/snort/snort.conf

 Luego, realizamos el mismo ataque, desde Kali Linux, y veremos que SNORT lo
está contrarrestando.
Actividades (Reto)

1.- Subir pantallazos del laboratorio implementado.

2.- ¿Qué regla permitirá alertar y/o contrarrestar escaneos con el software nmap o
ataques de diccionario?

OBSERVACIONES Y CONCLUSIONES