enredandoconredes.

com

U n I D S p a ra m i s e r v i d o r V P N . . . - E n r e d a n d o
c o n re d e s . . .

4-5 minutos

Hola de nuevo. En otro post hablaba sobre cómo crear un

servidor de VPNs basado en la aplicación OpenVPN. Pues bien
un amigo me comentó, muy acertadamente, que lo de tener una
infraestructura para conectarte a casa de forma segura está
muy bien pero él no veía claro que teniendo un servicio
expuesto en Internet no tuviéramos además un elemento que
nos monitorizase o mostrase si alguien con no tan buenas
intenciones nos descubriese y tratase se comenzar a hacer
cosillas por ahí…

Para dar solución a tal interesante pregunta me puse manos a

la obra en buscar la manera de montar alguna cosilla que me
permitiese hacer esto. Le verdad que haberlas, hay las, pero
instalarlas, configurarlas y demás, lleva su tiempo, contando ya
con los conocimientos, claro. Esto a mi amigo no le moló
mucho, había que meter horas, y entre empollar, los niños,
recados, etc. no le quedaba tiempo libre así que hubo que
buscar algo que fuese además sencillo. Y tras buscar por el
“Interné” encontré la solución, EasyIDS.

EasyIDS es una distribución Linux basada en CentOS y que su

propio nombre la define es un IDS basado en Snort que además
viene con un conjunto de aplicaciones que complementan su
funcionalidad, como gráficas de tráfico, carga del propio IDS,
entre otras. Todo ello gestionado por una interfaz Web.

Lo malo era que ya teníamos nuestro servidor VPN montado en

una máquina física y esto es una distribución para instalado
desde cero en otro PC, con lo que… ¿cómo integramos las dos?
Pues recurriendo a la virtualización. Básicamente lo que he
hecho ha sido virtualizar el IDS en Virtualbox como si fuera otra
máquina más.

Comencé por bajarme la imagen de EasyIDS desde Sourceforge

desde aquí y Virtualbox desde aquí. Luego leí la guía de
instalación de EasyIDS que podéis encontrar aquí y lo instalé.

Como nos indican sus autores, el IDS debe tener dos tarjetas de
red, una de gestión y otra en la llegará todo el tráfico que será
analizado e interpretado por Snort y el resto de aplicaciones y
que esta última deberá ir conectada a un puerto del switch en
modo “espejo” u un hub. Sobre esto indicar que un puerto en
este modo es un puerto que sacará el mismo tráfico de otro del
mismo switch. Es decir, se configurará el switch para que el
tráfico de un puerto, lo replique y lo saque como digo por otro,
este será nuestro “espejo” y en el que tendremos conectado el
IDS. En condiciones normales de operación un switch no haría
esto ya que sólo envía el tráfico por el puerto que corresponde,
a diferencia de los “hubs” que lo propagan por todas las bocas,
esté o no, el destinatario conectado a esa boca. En mi post
“Seguridad en Puerto” explico de forma resumida esto, lo podéis
encontrar aquí. Obviamente, como norma, general nosotros en
casa no tenemos un switch con estas prestaciones con lo que
gracias a Virtualbox hemos conseguido engañar al IDS para que
funcione.

El “truco” ha sido el siguiente, en Virtualbox hemos creado dos

tarjetas de red, y las hemos configurado en modo “A d a p t a d o r
P u e n t e” y, a ambas, las hemos vinculado a la interfaz de
nuestro equipo anfitrión, en mi caso según muestra la captura
la “eth0”.
¿Por qué esto? Porque EasyIDS debe manejar las dos tarjetas
de red de forma distinta con lo que a nuestro IDS le decimos
que tiene dos tarjetas de red distintas, por ejemplo la “eth0” y
“eth1”, la “eth0” para el analizar el tráfico de red y la “eth1” para la
administración. Luego nosotros le diremos a Virtualbox que
ambas tarjetas de red virtuales salgan por la misma tarjeta de
red física, que será por donde nos llegue todo el tráfico desde
exterior, nuestras peticiones de establecer la VPN o las que
“otros” quieran hacernos. Cuando llegue tráfico a mi servidor,
llegará también a la tarjeta de red virtual encargada de analizar
todo el tráfico. Por otra parte cuando quiera conectarme a
EasyIDS para ver el estado de todo en general también podré
hacerlo ya que también hemos configurado la tarjeta de red
virtual de administración de la misma manera.

Vamos que de forma sencilla podremos instalar nuestro IDS y

visualizar con NTOP todo el tráfico que nos llega a nuestro
servidor VPN y así tenerlo algo más controlado.

Ahora el tiempo nos lo llevará conocer las herramientas y

manejarlas para sacarle el mayor provecho posible.

Un saludo, nos vemos en otra.

Seguiremos informando…