SEGURIDAD PERIMETRAL CON LINUX/BSD (APPLIANCE

)
IDS UNTANGLE

JOSE DAVID SALAZAR N

Instructor: Mauricio Ortiz

Código

35442

Tecnología en Administración de Redes

Centro de Servicio Empresarial 2011-09-20 SENA

INTRODUCCION IDS Seguridad informática relacionado con la detección de intrusos en ambientes corporativos. Los sistema de detección de intrusos (IDS) se encuentran en diferentes categorías, sistemas para equipos autónomos (HIDS) y sistemas para redes (NIDS), sin embargo el concepto en general se puede entender como IDS. Los IDS funcionan de diversas formas, pero la más comunes consisten en usar firmas para detectar posibles comportamientos anómalos dentro de la red, de esto se entiende que para que un IDS sea efectivo debe estar actualizado y debe estar escuchando todo el tráfico que se quiere analizar. Un mecanismo es usar los TAPS o usar puertos espejos en los switchs que los soporten, una vez el tráfico está pasando a través del IDS, el sistema de firmas identificará cualquier ataque que se encuentre relacionado en las firmas. El software IDS más común para entornos Unix se llama SNORT, este software también viene pre instalado en appliances en hardware que vende la misma empresa que fundó el proyecto. Un IDS funciona en casi todas las capas del modelo OSI, pues su objetivo es relacionar mucha información para poder determinar si un paquete tiene características de un posible ataque o no. ACTIVIDAD 1-Implementar un NIDS basado en Linux. 1-Tomar como base el software SNORT y crear una configuración que permita identificar posibles ataques en una red, para esto es necesario diseñar una configuración que les permita a los sensores de SNORT escuchar en toda la red. Como mínimo se deben documentar 10 ataques a la red, mostrando como fueron detectados por el SNORT. DESARROLLO DE PROCEDIMIENTO NOTA: En el siguiente manual se realizo en un appliance basando en debían donde se mostrara los procedimiento basados para hacer el NIDS el appliance es llamado UNTANGLE. http://www.untangle.com La topología es la siguiente

Instalación El proceso de instalación es sencilla es mediante la interfaz gráfica es si no seguir los pasos se hará mas fácil. Nota: La siguiente instalación se realizar en un maquina virtual en (virtual box) Con tres tarjetas de RED. (Esta será Untangle).

PROCEDIENTO 1: Descargar el paquete de Protección de intrusos. Prevención de Intrusiones es un ID (detección de intrusiones) del sistema que intercepta todo el tráfico y detecta la actividad maliciosa en la red o computadoras individuales o en ambos. Para detectar actividad maliciosa, prevención de intrusiones utiliza la detección de la firma, un método que se basa en una base de datos de patrones de ataque conocidos. Intercepción de Prevención de Intrusos de la actividad maliciosa no tiene ningún impacto en el rendimiento del sistema y es transparente para los usuarios, con la excepción de que el usuario malicioso. Si detecta la actividad de prevención de intrusiones maliciosas, la sesión para que la actividad se termina. Prevención de intrusiones está pre-configurado con valores por defecto razonables. Debido a esto, no requiere personalización mucho, aunque es posible cambiar estos valores por defecto o añadir sus propias reglas, como el bloqueo o el registro con las normas de prevención de intrusiones muestra.

PROCEDIMIENTO 2: Configuración de Snort Mostraremos la configuración, podemos obtener ayuda Esta es la URL para la documentación de IDS. http://wiki.untangle.com/index.php/Intrusion_Prevention A continuación vamos a configurar el snort por consola para agregar la redes locales propias. Ingresamos a archivos de configuración de snort

Definimos el rango de direcciones de nuestra red interna. Tenemos tres maneras de hacerlo 1- definir un rango de IP’s, (var HOME_NET 192.168.1.0/24) la 2- definir el rango IP’s del cual forma parte la ip que tiene la tarjeta de red en el momento de lanzar SNORT, (var HOME_NET $eth0_ADDRESS 3- Especificar varios rango de IP’s si tenemos varias redes como lo hice yo por ejm.

Especificar la red EXTERNA ósea que venga por todas.

Ya haber configurado el snort pasamos a configurar el snort grafica/ por eje como muestra la imagen

Esta imagen nos muestra la cantidad total de firmas disponibles, registradas, y bloqueadas y una nota que nos dice que el untangle mantiene un configuración predeterminada de firmas entre actualizaciones automáticas. A continuación se mostrara las reglas y las variables. Prevención de Intrusos provee una lista de reglas (firmas) que puede bloquear, registrar o ignorar. Para facilitar las cosas para usted, desenredar evalúa cada regla y numerosas redes, y se determinó la configuración predeterminada adecuada para cada regla con los siguientes criterios: -Si la regla es siempre conocido por bloquear exploits maliciosos, los bloques de prevención de intrusiones y los registros de esta regla por defecto. -Si la regla es a veces conocido para bloquear exploits maliciosos, prevención de intrusiones registra esta regla por defecto. -Si la regla es que nunca se sabe que bloquean exploits maliciosos, prevención de intrusiones ni bloqueos, ni los registros de esta regla por defecto. En la mayoría de los casos, no es necesario cambiar la configuración predeterminada. Usted sólo tendrá que desactivar una regla, si la regla que el tráfico de bloques de una aplicación de software exclusiva que debe utilizar.

Si usted bloquea una regla, prevención de intrusiones permite el tráfico de la regla y los bloques que coincide con la firma regla. Si inicia la sesión general, prevención de intrusiones registros de tráfico que coincide con la firma regla. -Para bloquear o registrar un dominio: De prevención de intrusiones, haga clic en el Mostrar configuración ficha. -Haga clic en el Reglamento de la ficha. -En la tabla de reglas, seleccione el bloque o registro casilla de verificación de las reglas que desea bloquear o registro, o ambos. -Haga clic en el Aceptar o Aplicar botón. Acerca de las variables Regla Prevención de Intrusos provee una lista de reglas predeterminadas que explota bloque. También hay variables de estado que proporcionan instrucciones adicionales para estas reglas. Estas reglas se denominan variables de Snort. Estas variables se utilizan en reglas para especificar los criterios para la fuente y el destino de un paquete. Resopla variable más importante es $ HOME_NET .HOME_NET $ define la red o redes que están tratando de proteger. Bajo ninguna circunstancia se debe cambiar o eliminar estas excepciones. Puede agregar excepciones, pero sólo si están muy familiarizados con las variables de Snort y el snort.conf archivo de configuración. Para ver las variables de estado: -De prevención de intrusiones, haga clic en el Mostrar configuración botón. -Haga clic en el Reglamento de la ficha. -Vaya a las variables de tabla. Esta tabla contiene todas las excepciones de reglas.

Acá es para configurar la regla y variables. En mi caso yo agregue en las variables subrayadas colocando la dirección de nuestros servidor en este caso es la misma. O podes dejarlo como estaba con el HOME_NET Para mostrar como actúa el Prevención de Intrusos mostrare una de las reglas actuales como la siguiente

A continuación nos vamos para la categoría de FTP escogemos el tipo ID que en este caso es el numero registrado en la base de datos SNORT

NOTA: Prevención de intrusiones se basa en http://www.snort.org . Si desea obtener más información acerca de las hazañas que los bloques de prevención de intrusiones o la firma (SID), que utiliza de prevención de intrusiones, realice una de las siguientes:

De prevención de intrusiones, haga clic en el Reglamento de la ficha, entonces, para dar una regla, haga clic en la información de enlace en la columna de información. Una página web pone en marcha, que le proporciona más información acerca de la Regla. Si una norma de prevención de intrusiones no hay información en la columna de información, a continuación, buscar el SID en el sitio web snort.org 's como se muestra en la búsqueda de reglas snort.org SID . Un SID es un número numéricos, se puede localizar el SID en la Identificación de la columna de prevención de intrusiones. PROCEDIMIENTO 3: Mirando el SID de la regla A continuación se mostrara en www.snort.org el SID seleccionado anteriormente

Seleccionamos Obtener reglas.

Ingresamos el numero ósea el SID seleccionado para la prueba. Por último no aparecerá la información necesaria para esta regla.

P

La regla se asume sobre l intento de logearse varias veces hasta que acerté ósea un ataque de fuerza bruta. Y

Por último para mostrar la prueba habilitamos toda la categoría de FTP. realizaremos pruebas respectivas.

PROCEDIMIENTO 4: Realización de pruebas (Ataque de Fuerza Bruta al Servidor FTP) A continuación se realizara un ataque hacia el IDS (Prevención de Intrusos) para que muestre resultado en los LOGs.

El tipo de ataque será de fuerza bruta múltiple intento de logeo se utilizara el sistema BlackTrack para realizar dicho ataque con el Software Hidra.

Estoces ejecutamos lo siguiente Hydra –l usuario (es un diccionario que contiene nombre de usuarios) –p keys (son respectivas contraseñas) 192.168.0.12 (es la dirección a atacar en este caso es la IP publica de Untangle) ftp (es el protocolo).

A rato nos vamos a los LOGs de IDS en UNTANGLE y podemos ver que a bloqueado cualquier intento de ataque.

Podemos ver que bloqueo el ataque realizado a FTP 192.168.1.2 que en este caso es el servidor FTP desde la dirección 192.168.0.13 y la descripción del ataque.

FIN.

Sign up to vote on this title
UsefulNot useful