laboratorio ids

Uso de IDS (Sistema de Deteccin de Intrusos) SNORT NTOP ARPWATCH

Instalando EasyIDSEasyIDS es una distribucin precompilada basada en CentOS que permite instalar y administrar fcilmente el sistema de deteccin de intrusos en Red Snort y analizar su comportamiento a travs del frontend BASE. Adems incorpora varias herramientas tiles como monitores de red, del sistema, nmap, etc1. Cargar una nueva mquina virtual basad en Linux e instalar EasyIDS-0.4.

2. La primera pantalla del instalador nos mostrar lo siguiente, donde solo bastar con aceptar la primera instancia (presionar ENTER)

3. El proceso de instalacin del SO CentOS y paquetes principales es muy sencillo y automtico. Se preguntar por el idioma del teclado, zona horaria y password del root del sistema.4. Una vez terminada la instalacin, adicionalmente se instalarn automticamente (mediante scripts) los paquetes correspondientes a las herramientas necesarias talees como mysql, Snort, libreras, apache, etc.5. Finalmente y luego de la instalacin aparecer la venta de root (CentOS) paraingresar al sistema

6. Se deber de acceder y se terminar de actualizar la herramienta, liego mostrar una ventana como la que sigue:

7. Luego podremos abrir un navegador y digitar la direccin IP que nos muestra (recordar poner en adaptador puente la maquina virtual): https://xx.yy.ww.zz8. Ya que se ha instalado seguridad al servidor Apache (automticamente), solicitar inicialmente usuario y password por defecto (admin/password) y nos saldr una ventana para crear usuario y password de la base de datos a crear:

9. Finalmente nos mostrara la pantalla principal de EasyIDS, mostrando el men principal y las herramientas montadas:

10. Lo primero que debemos de corroborar es el estado de los servicios (status -> system):

11. Normalmente los servicios de NTOP y SNORT nos estn corriendo. Para inicializarlos, bastar con ir a: NTOP: Damos clic en Setting -> NTOP -> Network Settings e ingresamos la subred donde estar nuestra IDS, damos clic en Save e iniciamos el servicio.

12. Ahora nos centramos en el motor IDS: SNORT. Para poder habilitar el servicio deberemos de revisar las interfaces que estn sensando la red ya que es posible que tanto la interfa9ce de monitorizacin (sensor snort) y la interface de administracin no est correctamente configuradas. Para esto accedemos a consola del terminal del servidor (ya sea directamente o mediante putty ya que se ha instalado un servidor ssh automticamente) y digitamos: vi /etc/easyids/easyids.confPodremos ver que la interface de monitoreo est siendo eth1, cambiamos a eth0 y guardamos

13. Finalmente realizamos service snort restart, para reiniciar solamente el servicio de snort y veremos que ahora si todos los servicios se encuentran inicializados y listos para empezar a funcionar:

14. Antes de empezar a explorara nuestro IDS, recordar que este servidor Linux tiene IPTABLES por defecto en servicio, configurado con reglas estndar y eso puede interferir en la captura de paquetes por parte de SNORT, por lo que ser recomendable setener el servicio: service iptables stopAnalizando las Alertas con SNORT1. Podemos desde una PC (distinta a donde tenemos instalado el servidor) que est dentro de la misma red realizar un nmap al servidor instalado con SNORT, por ejemplo si usa un laboratorio anterior o una mquina con Linux no se olvide de instalar la herramienta nmap: yum install y nmap2. Podr digitar: nmap , luego veremos que el IDS ha sensado alertas (en este caso 8 alertas) diferenciadas por tipo de puerto (TCP o UDP), puede navegar entre sus diferentes opciones para identificar correctamente los detalles:

Qu puertos y servicios tiene abierto el servidor que contiene al IDS? (de nmap)_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Cules son las alertas presentadas luego del escaneo de puertos, como la clasifica SNORT y desde donde vienen?______________________________________________________________________________________________________________________________________________________________________________________________________________________________

Qu dice el resumen de ataque del propio SNORT para el Ataque por Reconocimiento?___________________________________________________________________________________________________________________________________________________

3. Ahora desde otra mquina virtual realice lo siguiente hacia su servidor IDSnmap -sU -T5nmap -PU nmap -sT nmap -PU nmap -sO nmap -sF

Qu tipo de paquetes ahora alerta el IDS?, Qu porcentaje son TCP, UDP, ICMP?______________________________________________________________________________________________________________________________________________________________________________________________________________________________

Puede indicar a que se refiere con SCAN Amanda para puertos UDP?____________________________________________________________________________________________________________________________________________________

4. Puede ahora desde otra PC levantar la aplicacin NetScanTools y realizar un mapeo de puertos al servidor

Cmo identificara ahora desde donde est viniendo el mapeo de puertos y cuantos request de scan realizo esta PC hacia el servidor?_____________________________________________________________________________________________________________________________________________________________________________________________________________________________

Ingrese a varias pginas web desde el servidor IDS y nuevamente realice un scan de puertos, finalmente realice un refresh al IDS.Qu direcciones IP de destino muestra?_____________________________________________________________________________________________________________________________________________________________________________________________________________________________

5. Ahora puede borrar los registros de la BD Mysql de SNORT para limpiar todo lo anterior.

6. Ahora utilice la aplicacin Netscantools -> Packet Flooder para generar una inundacin de paquetes UDP hacia el servidor IDS, luego compruebe las alertas de SNORT

A qu se refiere con Fragmentation overlap?______________________________________________________________________________________________________________________________________________________________________________________________________________________________Nota Importante:Los IDS no solo detectan posibles ataques realizados hacia el propio servidor, sino que detectan tambin los que pueden ocurrir en diferentes hosts de su red. Pruebe ahora a realizar un nmap desde un sistema Linux hacia otra PC distinta al servidor. Y compruebe el IDS, que resultados le dio.7. finalmente podr tener grficas de las alertas generadas para consultarlo cuando considere o guardarlas para futuras revisiones: Graphs -> Snort

NTOPEs una herramienta que permite monitorizar en tiempo real una red. Es til para controlar los usuarios y aplicaciones que estn consumiendo recursos de red en un instante concreto. Los protocolos que es capaz de monitorear son: TCP/UDP/ICMP, ARP, IPX, DLC y es capaz de agruparlos por FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP1. Analice el trfico generado en eth0. Para eso deber estar en la pantalla principal de NTOP y buscar entre las grficas Historical Data, para acceder a la grfica general:

1. Podr ver la grfica para la carga que se est generando en la red: TCP Traffic, VoIP, Telnet Traffic, ICMP Traffic, HTTP Traffic, FTP Traffic, UDP Traffic, SSH Traffic,

2. Retornando a la pgina principal podr ver tambin la distribucin general de su red para los puertos TCP o UDP:

3. Tambin podr ver la carga que existe por tipo de protocolo

4. Si da clic en Zoom podr manipular a ms detalle la grfica.5. Finalmente en la pgina principal podr ver el resumen de protocolos que se han cursado en su red: Historical View

6. Tambin podr visualizar los Hosts que han interactuado en su red, pudiendo identificarlos y hasta indicando si son potencialmente peligrosos o no, debido al BW que estn consumiendo y la actividad que han generado cada uno de ellos.Adicionalmente se podr ver con que Hosts nuestra red ha interactuado (internet)

7. Adicionalmente podr ingresar a cada Hosts, para ver la estadstica a detalle de cada uno y poder determinar si se trata de algn equipo con potencial riesgos o no. Adems podr visualizar toda la actividad de ese equipo.8. Finalmente puede desde una PC crear una conexin cliente servidor FTP (mediante Filezilla) y activar en NTOP el Plugin Host Last Seen para identificar la ltima sesin del Host. Ingrese a la IP del host donde realizo esta conexin