SEGURIDAD INFORMATICA I

Laboratorio N 3
IPS LINUX

Tecsup

Seguridad Informtica I
IPS LINUX

OBJETIVOS
Auditoria de la red.
Anlisis deteccin y bloqueo de trafico malicioso.
EQUIPOS
PC real y mquinas virtuales
PROCEDIMIENTO
PARTE 1
Activaremos y configuraremos el IPS.
MAQUINA VIRTUAL PREPARADA IPS
1. (IPS)
Descomprima Linux IPS PCC.rar
Active la mquina virtual.
En la mquina virtual en vez del CTRL + ALT + DEL use
CTRL + ALT + INSERT
La mquina virtual est configurada con los siguientes datos:
IP eth0: 192.168.90.70
IP eth1: 192.168.80.1
IP eth2: 192.168.70.1

Al activar la mquina virtual:

Nota: Si aparece nuevo dispositivo detectado, seleccionar:
<Ninguna modificacin>
Login: root
Password: tecsup

PERSONALIZANDO LOS DATOS DE CONECTIVIDAD

2. (IPS) Configurando la conectividad de IP:
INTERFACE
eth0
eth1
eth2

ZONE
OUTSIDE
DMZ
INSIDE

IP
192.168.80.110/24
192.168.10.10/24
192.168.20.1/24

# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.80.110 1.110
NETMASK=255.255.255.0

# vi /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.10.10
NETMASK=255.255.255.0

-1-

Tecsup

Seguridad Informtica I

# vi /etc/sysconfig/network-scripts/ifcfg-eth2
DEVICE=eth2
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.20.1
NETMASK=255.255.255.0
PUERTA DE ENLACE Y NOMBRE
# vi /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=ips.empresa20.com.pe
GATEWAY=192.168.80.1
# vi /etc/hosts
127.0.0.1
localhost.localdomain localhost
192.168.80.110
ips.empresa20.com.pe ips
RESOLUCION
# vi /etc/resolv.conf
search localdomain
nameserver 192.168.65.43

Al terminar de configurar reiniciar: # init 6

PARTE 2
Generaremos Polticas con IPTABLES.
POLITICAS
3. (IPS) Configurando la conectividad de IP:
CONFIGURANDO POLITICAS
4. (IPS) Para probar las capacidades de deteccin y bloqueo se proceder a configurar las
polticas que permitan el paso de todo trfico en todas las interfaces:
FROM
TRUST
UNTRUS
T
DMZ
TRUST

TO
UNTRUST
DMZ

Source
Any
Any

Destination
Any
Any

Service
Any
Any

Action
Permit
Permit

UNTRUST
DMZ

Any
Any

Any
Any

Any
Any

Permit
Permit

Nota: En el directorio /scripts existe un archivo politicas.sh que ha sido preparado

con estas acciones. Al inicio del archivo se ha declarado las variables que influye en las
acciones de las polticas. Deber personalizar estas variables adecuando a los valores
del diagrama:
# cd /scripts
# vi politicas.sh

-2-

Tecsup

Seguridad Informtica I

#### DECLARACION DE VARIABLES

REDUSER=192.168.20.0/24
REDDMZ=192.168.10.0/24
PRIVSAP=192.168.10.5
PUBSAP=192.168.80.111

Grabe los cambios.

Aplique las polticas: # sh politicas.sh
Visualizando la activacin de las polticas: # iptables -t nat L

PARTE 3
Instalaremos las mquinas virtuales, para comprobar el funcionamiento del LINUX como
FIREWALL. TODAS las PC estarn en modo HOSTS.
MAQUINA VIRTUAL PREPARADA VW
5. (VW) Se ha preparado una Mquina Virtual Windows2000:
Descomprima Windows JP-VW.rar
Active la mquina virtual.
En la mquina virtual en vez del CTRL + ALT + DEL use
CTRL + ALT + INSERT
Al activar la mquina virtual:
Configure los datos de conectividad:
IP: 192.168.10.5
GW: 192.168.10.10
DNS: 192.168.10.5

Reiniciar VW. (Para asegurar la configuracin de IP)

CONFIGURANDO PGINA WEB

6. (VW) Crear una pgina WEB:
Archivo: default.htm
Directorio: c:\inetpub\wwwroot
Contenido:
Pagina Web 192.168.10.5 (PRIV) 192.168.80.111(PUB)
MAQUINA VIRTUAL PREPARADA AD
7. (AD) Se ha preparado una Mquina Virtual Windows98:
Descomprima Windows 98 PCC.rar
Active la mquina virtual.
En la mquina virtual en vez del CTRL + ALT + DEL use
CTRL + ALT + INSERT
La cuenta de acceso Alumno no tiene password.

-3-

Tecsup

Seguridad Informtica I
Configure los datos de conectividad:
Nota: Al configurar la Puerta de Enlace y DNS deber de quitar el anterior y agregar los
nuevos valores.
IP: 192.168.20.50
GW: 192.168.20.1
DNS: 192.168.10.5

MAQUINA VIRTUAL PREPARADA INTRUSO

8. (I2) En el VMWARE crear un nuevo perfil:
Menu File > New > Virtual Machine > (.) Typical > (.) Linux > Virtual machine
name: Backtrack > (.) Use bridged > Disk Size: 1.0 [Finalizar]

Clic Edit virtual Machine :

o Clic Floppy <Remove>
o Clic Memory : 250 MB
o Clic CD-ROM (.) Use ISO image <Browse>
Segn las indicaciones, ubique el ISO BACKTRACK
(bt2final.iso)
<OK>
Active la Mquina Virtual.
Al aparecer: boot Presione <enter>
En el men de VMWARE, maximice la ventana: Menu View FULL SCREEN

PERSONALIZANDO
9. (I2) Al terminar de cargar personalizaremos:
Login: root
Password: toor
# ifconfig eth0 192.168.80.119
# route add default gw 192.168.80.1
# startx
Cambiando de IDIOMA:
En la parte inferior derecha: Clic derecho bandera US Configure En la seccin
Available Layouts: Clic Latin American <ADD> <OK>
Clic derecho bandera US Seleccione Latin American
PRUEBAS

Nota: Comprobando las polticas de Salida y Entrada:

TRUST UNTRUST
10. (AD) Accediendo a los servicios de I2:
Clic Inicio > Ejecutar > command
Envi un PING: ping 192.168.80.119
TRUST DMZ
11. (AD) Accediendo a los servicios de VW:
Visite la Pgina WEB: http://192.168.10.5
UNTRUST DMZ
12. (I2) Accediendo a los servicios de VW:
Visite la Pgina WEB: http://192.168.80.111
Envi un PING: ping 192.168.80.111
Nota: Si existen problemas en las pruebas, verifique la configuracin de los parmetros de las
Polticas.

-4-

Tecsup

Seguridad Informtica I

PARTE 4
IPTABLES tienen la capacidad de inspeccionar el trfico sin necesitar la capacidad del
IPS. Esta capacidad est limitada a ciertos tipos de trfico que son sntomas de intentos
de ataques.
ACTIVANDO EL SYSLOG
13. (IPS) Activaremos el envi de Log:
Nota: En Linux existe el servicio de syslog, que controla todos los eventos del Sistema
Operativo. Generaremos una entrada para derivar los eventos de Iptables a un archivo
iptables.log
# vi /etc/syslog.conf

Al final del archivo agregar la siguiente lnea:

kern.warning /var/log/iptables.log

# service syslog restart

Apertura otra ventana de Consola que ser dedicada al monitoreo y ejecute el siguiente
comando: # tail -f /var/log/iptables.log
Cuando se realice los ataques mostrara la deteccin.

14. SYNC FLOOD

ATAQUE
(I2) Enviaremos un ataque al puerto 80 del Servidor 192.168.80.111 y en grandes
cantidades de 1000 microsegundos:
# hping a 192.168.80.119 S 192.168.80.111 -p 80 i u1000

(VW) Visualizando la captura:

(I2)

Detener el ataque.
BLOQUEO Manual
Activando el lmite a un 1 segundo de envos de SYNC.
# cd /scripts
# vi politicas.sh

-5-

Tecsup

Seguridad Informtica I

Al final de archivo agregar las siguientes lneas:*

#### PROTECCION CONTRA ATAQUES DoS
#SYNC FLOOD
iptables -A FORWARD -p tcp --syn -m limit limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -j LOG --log-prefix "*** TCP FLOOD ***" --loglevel 4
iptables -A FORWARD -p tcp --syn -j DROP

Aplicar las polticas: # sh politicas.sh

(I2) Vuelva a realizar el envi del ataque.
(I2) Visualizara que hace una pausa cada 1 segundo.
(I2) Detenga el ataque.
(IPS) En el monitoreo del LOG visualizara la deteccin:

PARTE 5
Comprobaremos que en MODO FIREWALL no tiene la capacidad de detener ni detectar el
ataque de un EXPLOIT.
ACTIVANDO METAEXPLOIT
15. (I2) Activando el METAEXPLOIT WEB
En la parte inferior izquierda, visualizara un icono de la letra K: Clic a K > Backtrack
> Penetration >
Metasploit Exploitation FrameWork > Framework Version 2 > MsfWeb
Nota: Aparecer una ventana de consola indicando: Metasploit Framework Web Interface
(127.0.0.1:55555). No cierre esta ventana.
REALIZANDO EL EXPLOIT
16. (I2) Ingresando va WEB al METAEXPLOIT

Abra el navegador FireFox que est ubicado en la parte inferior izquierda Clic al icono
Un mundo con un zorro (Esta al costado del icono de una monitor)
Ingrese la direccin: http://127.0.0.1:55555
Secuencia de ataque:

Nota: Para realizar un ataque, se indicara el tipo de ataque (ataque), Que sistema
operativo esta soportado (target), el modo de interactuar en el ataque con la victima
(Payload). Al realizar el ataque se establecer una conexin entre el intruso y la vctima,
siendo necesario alcanzar la informacin de las direcciones IPs.
Ataque: clic IIS 5.0 WebDAV ntdll.dll Overflow
Target: Clic 0 Windows 2000 (BruteForce)

-6-

Tecsup

Seguridad Informtica I
Payload: Clic Win32_reverse
RHOST Required ADDR: 192.168.80.111
LHOST Required ADDR: 192.168.80.119
<EXPLOIT>

Comenzar a realizar varios intentos de Conexin. Al tener xito el Exploit aparecer

una lnea con la palabra session seguido de un nmero: Clic a session
Aparecer la ventana de consola del Windows 2000.
Ya est

(VW) Reinicie el Windows 2000

PARTE 6
Realizaremos la inspeccin de los paquetes, activando el SNORT_INLINE que ha sido
instalado. El SNORT_INLINE tiene las misma funcionalidad que el IDS SNORT a
diferencia que en esta configuracin lo asociaremos con las polticas del FIREWALL para
detener los ataques dainos.
ACTIVANDO SNORT_INLINE
17. (IPS) Activando los servicios de Base de Datos, Snort_Inline y Apache:
# service mysqld start
# service httpd start
# service snort_inline start
DESVIANDO TRFICO A SNORT_INLINE
18. (IPS) Al archivo de Polticas agregar las siguientes lneas que estn sombreadas. Estas
lneas sombreadas deber ser agregadas en la lnea que continua a (/sbin/ifconfig ) y
desplazar las otras lneas hacia abajo.
# vi politicas.sh
#### AGREGANDO IP PUBLICA DE SAP
/sbin/ifconfig eth0:0 $PUBSAP
#### ENVIANDO TRAFICO A IPS
iptables -A FORWARD -p all -j QUEUE
iptables -A FORWARD -p all -j ACCEPT
iptables -A INPUT -p all -j QUEUE

Activando las polticas: # sh politicas.sh

MONITOREO
Nota: En el anterior monitoreo del IPTABLES se enviaba los eventos al archivo iptables.log.
En este caso del IPS de SNORT estar enviando sus eventos al archivo snort_inline-full
19. (IPS) Monitoreando:
CONSOLA: En una nueva ventana de Consola mantenga el monitoreo
# tail f /var/log/snort_inline/snort_inline-full

-7-

Tecsup

Seguridad Informtica I
BROWSER
http://127.0.0.1/base/

Escaneo de Puertos
20. (I2) Abrir terminal y ejecutar el siguiente comando:
nmap <Ip_Vctima> (Para explorar los puertos que se encuentran abiertos)

VISUALIZANDO LA DETECCIN
CONSOLA

WEB
http://127.0.0.1/base/
Refresque el navegador.

REALIZANDO EL EXPLOIT
21. (I2) Ingresando va WEB al METAEXPLOIT
Cierre el Navegador

-8-

Tecsup

Seguridad Informtica I

Abra el navegador FireFox

Ingrese la direccin: http://127.0.0.1:55555

Secuencia de ataque:
Ataque: clic IIS 5.0 WebDAV ntdll.dll Overflow
Target: Clic 0 Windows 2000 (BruteForce)
Payload: Clic Win32_reverse
RHOST Required ADDR: 192.168.80.111
LHOST Required ADDR: 192.168.80.119
PORT: 4322
<EXPLOIT>

No tendr xito el Exploit. Aparecer varios intentos sin xito:

VISUALIZANDO LA DETECCION
22. (IPS) Observe la deteccin del ataque:
TCP
CONSOLA

WEB
http://127.0.0.1/base/
Refresque el navegador.
Ingrese a la Seccin: TCP

REALIZANDO ATAQUE ICMP

A continuacin se proceder a enviar un ataque ICMP con 10000 paquetes, para verificar la
efectividad del SNORT.
23. (I2) Abrir Terminal y ejecutar el siguiente comando:

-9-

Tecsup

Seguridad Informtica I

hping -1 --icmp -a 192.168.80.119 -S 192.168.80.111 -i u1000 -c 10000

VISUALIZANDO LA DETECCIN
CONSOLA

WEB
http://127.0.0.1/base/
Refresque el navegador.

ICMP
Se detectaron todos los ataques (10000).
*NOTA:
Al realizar los siguientes ataques TCP en el Backtrack, estos no son reconocidos
en el IPS.
hping -p <Puerto_Destino> -{S, F, L, R, P , A , U, X, Y} -d <Tamao de Paquete (Bytes)> -i
u1000 <Ip_Vctima>

- 10 -