Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Laboratorio N 3
IPS LINUX
Tecsup
Seguridad Informtica I
IPS LINUX
OBJETIVOS
Auditoria de la red.
Anlisis deteccin y bloqueo de trafico malicioso.
EQUIPOS
PC real y mquinas virtuales
PROCEDIMIENTO
PARTE 1
Activaremos y configuraremos el IPS.
MAQUINA VIRTUAL PREPARADA IPS
1. (IPS)
Descomprima Linux IPS PCC.rar
Active la mquina virtual.
En la mquina virtual en vez del CTRL + ALT + DEL use
CTRL + ALT + INSERT
La mquina virtual est configurada con los siguientes datos:
IP eth0: 192.168.90.70
IP eth1: 192.168.80.1
IP eth2: 192.168.70.1
ZONE
OUTSIDE
DMZ
INSIDE
IP
192.168.80.110/24
192.168.10.10/24
192.168.20.1/24
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.80.110 1.110
NETMASK=255.255.255.0
# vi /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.10.10
NETMASK=255.255.255.0
-1-
Tecsup
Seguridad Informtica I
# vi /etc/sysconfig/network-scripts/ifcfg-eth2
DEVICE=eth2
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.20.1
NETMASK=255.255.255.0
PUERTA DE ENLACE Y NOMBRE
# vi /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=ips.empresa20.com.pe
GATEWAY=192.168.80.1
# vi /etc/hosts
127.0.0.1
localhost.localdomain localhost
192.168.80.110
ips.empresa20.com.pe ips
RESOLUCION
# vi /etc/resolv.conf
search localdomain
nameserver 192.168.65.43
PARTE 2
Generaremos Polticas con IPTABLES.
POLITICAS
3. (IPS) Configurando la conectividad de IP:
CONFIGURANDO POLITICAS
4. (IPS) Para probar las capacidades de deteccin y bloqueo se proceder a configurar las
polticas que permitan el paso de todo trfico en todas las interfaces:
FROM
TRUST
UNTRUS
T
DMZ
TRUST
TO
UNTRUST
DMZ
Source
Any
Any
Destination
Any
Any
Service
Any
Any
Action
Permit
Permit
UNTRUST
DMZ
Any
Any
Any
Any
Any
Any
Permit
Permit
-2-
Tecsup
Seguridad Informtica I
PARTE 3
Instalaremos las mquinas virtuales, para comprobar el funcionamiento del LINUX como
FIREWALL. TODAS las PC estarn en modo HOSTS.
MAQUINA VIRTUAL PREPARADA VW
5. (VW) Se ha preparado una Mquina Virtual Windows2000:
Descomprima Windows JP-VW.rar
Active la mquina virtual.
En la mquina virtual en vez del CTRL + ALT + DEL use
CTRL + ALT + INSERT
Al activar la mquina virtual:
Configure los datos de conectividad:
IP: 192.168.10.5
GW: 192.168.10.10
DNS: 192.168.10.5
-3-
Tecsup
Seguridad Informtica I
Configure los datos de conectividad:
Nota: Al configurar la Puerta de Enlace y DNS deber de quitar el anterior y agregar los
nuevos valores.
IP: 192.168.20.50
GW: 192.168.20.1
DNS: 192.168.10.5
PERSONALIZANDO
9. (I2) Al terminar de cargar personalizaremos:
Login: root
Password: toor
# ifconfig eth0 192.168.80.119
# route add default gw 192.168.80.1
# startx
Cambiando de IDIOMA:
En la parte inferior derecha: Clic derecho bandera US Configure En la seccin
Available Layouts: Clic Latin American <ADD> <OK>
Clic derecho bandera US Seleccione Latin American
PRUEBAS
-4-
Tecsup
Seguridad Informtica I
PARTE 4
IPTABLES tienen la capacidad de inspeccionar el trfico sin necesitar la capacidad del
IPS. Esta capacidad est limitada a ciertos tipos de trfico que son sntomas de intentos
de ataques.
ACTIVANDO EL SYSLOG
13. (IPS) Activaremos el envi de Log:
Nota: En Linux existe el servicio de syslog, que controla todos los eventos del Sistema
Operativo. Generaremos una entrada para derivar los eventos de Iptables a un archivo
iptables.log
# vi /etc/syslog.conf
Apertura otra ventana de Consola que ser dedicada al monitoreo y ejecute el siguiente
comando: # tail -f /var/log/iptables.log
Cuando se realice los ataques mostrara la deteccin.
Detener el ataque.
BLOQUEO Manual
Activando el lmite a un 1 segundo de envos de SYNC.
# cd /scripts
# vi politicas.sh
-5-
Tecsup
Seguridad Informtica I
PARTE 5
Comprobaremos que en MODO FIREWALL no tiene la capacidad de detener ni detectar el
ataque de un EXPLOIT.
ACTIVANDO METAEXPLOIT
15. (I2) Activando el METAEXPLOIT WEB
En la parte inferior izquierda, visualizara un icono de la letra K: Clic a K > Backtrack
> Penetration >
Metasploit Exploitation FrameWork > Framework Version 2 > MsfWeb
Nota: Aparecer una ventana de consola indicando: Metasploit Framework Web Interface
(127.0.0.1:55555). No cierre esta ventana.
REALIZANDO EL EXPLOIT
16. (I2) Ingresando va WEB al METAEXPLOIT
Abra el navegador FireFox que est ubicado en la parte inferior izquierda Clic al icono
Un mundo con un zorro (Esta al costado del icono de una monitor)
Ingrese la direccin: http://127.0.0.1:55555
Secuencia de ataque:
Nota: Para realizar un ataque, se indicara el tipo de ataque (ataque), Que sistema
operativo esta soportado (target), el modo de interactuar en el ataque con la victima
(Payload). Al realizar el ataque se establecer una conexin entre el intruso y la vctima,
siendo necesario alcanzar la informacin de las direcciones IPs.
Ataque: clic IIS 5.0 WebDAV ntdll.dll Overflow
Target: Clic 0 Windows 2000 (BruteForce)
-6-
Tecsup
Seguridad Informtica I
Payload: Clic Win32_reverse
RHOST Required ADDR: 192.168.80.111
LHOST Required ADDR: 192.168.80.119
<EXPLOIT>
PARTE 6
Realizaremos la inspeccin de los paquetes, activando el SNORT_INLINE que ha sido
instalado. El SNORT_INLINE tiene las misma funcionalidad que el IDS SNORT a
diferencia que en esta configuracin lo asociaremos con las polticas del FIREWALL para
detener los ataques dainos.
ACTIVANDO SNORT_INLINE
17. (IPS) Activando los servicios de Base de Datos, Snort_Inline y Apache:
# service mysqld start
# service httpd start
# service snort_inline start
DESVIANDO TRFICO A SNORT_INLINE
18. (IPS) Al archivo de Polticas agregar las siguientes lneas que estn sombreadas. Estas
lneas sombreadas deber ser agregadas en la lnea que continua a (/sbin/ifconfig ) y
desplazar las otras lneas hacia abajo.
# vi politicas.sh
#### AGREGANDO IP PUBLICA DE SAP
/sbin/ifconfig eth0:0 $PUBSAP
#### ENVIANDO TRAFICO A IPS
iptables -A FORWARD -p all -j QUEUE
iptables -A FORWARD -p all -j ACCEPT
iptables -A INPUT -p all -j QUEUE
MONITOREO
Nota: En el anterior monitoreo del IPTABLES se enviaba los eventos al archivo iptables.log.
En este caso del IPS de SNORT estar enviando sus eventos al archivo snort_inline-full
19. (IPS) Monitoreando:
CONSOLA: En una nueva ventana de Consola mantenga el monitoreo
# tail f /var/log/snort_inline/snort_inline-full
-7-
Tecsup
Seguridad Informtica I
BROWSER
http://127.0.0.1/base/
Escaneo de Puertos
20. (I2) Abrir terminal y ejecutar el siguiente comando:
nmap <Ip_Vctima> (Para explorar los puertos que se encuentran abiertos)
VISUALIZANDO LA DETECCIN
CONSOLA
WEB
http://127.0.0.1/base/
Refresque el navegador.
REALIZANDO EL EXPLOIT
21. (I2) Ingresando va WEB al METAEXPLOIT
Cierre el Navegador
-8-
Tecsup
Seguridad Informtica I
Secuencia de ataque:
Ataque: clic IIS 5.0 WebDAV ntdll.dll Overflow
Target: Clic 0 Windows 2000 (BruteForce)
Payload: Clic Win32_reverse
RHOST Required ADDR: 192.168.80.111
LHOST Required ADDR: 192.168.80.119
PORT: 4322
<EXPLOIT>
VISUALIZANDO LA DETECCION
22. (IPS) Observe la deteccin del ataque:
TCP
CONSOLA
WEB
http://127.0.0.1/base/
Refresque el navegador.
Ingrese a la Seccin: TCP
-9-
Tecsup
Seguridad Informtica I
VISUALIZANDO LA DETECCIN
CONSOLA
WEB
http://127.0.0.1/base/
Refresque el navegador.
ICMP
Se detectaron todos los ataques (10000).
*NOTA:
Al realizar los siguientes ataques TCP en el Backtrack, estos no son reconocidos
en el IPS.
hping -p <Puerto_Destino> -{S, F, L, R, P , A , U, X, Y} -d <Tamao de Paquete (Bytes)> -i
u1000 <Ip_Vctima>
- 10 -