SEGURIDAD PERIMETRAL CON LINUX/BSD (APPLIANCE)

IDS UNTANGLE

JOSE DAVID SALAZAR N

Instructor: Mauricio Ortiz

Cdigo

35442

Tecnologa en Administracin de Redes

Centro de Servicio Empresarial 2011-09-20 SENA

INTRODUCCION IDS Seguridad informtica relacionado con la deteccin de intrusos en ambientes corporativos. Los sistema de deteccin de intrusos (IDS) se encuentran en diferentes categoras, sistemas para equipos autnomos (HIDS) y sistemas para redes (NIDS), sin embargo el concepto en general se puede entender como IDS. Los IDS funcionan de diversas formas, pero la ms comunes consisten en usar firmas para detectar posibles comportamientos anmalos dentro de la red, de esto se entiende que para que un IDS sea efectivo debe estar actualizado y debe estar escuchando todo el trfico que se quiere analizar. Un mecanismo es usar los TAPS o usar puertos espejos en los switchs que los soporten, una vez el trfico est pasando a travs del IDS, el sistema de firmas identificar cualquier ataque que se encuentre relacionado en las firmas. El software IDS ms comn para entornos Unix se llama SNORT, este software tambin viene pre instalado en appliances en hardware que vende la misma empresa que fund el proyecto. Un IDS funciona en casi todas las capas del modelo OSI, pues su objetivo es relacionar mucha informacin para poder determinar si un paquete tiene caractersticas de un posible ataque o no. ACTIVIDAD 1-Implementar un NIDS basado en Linux. 1-Tomar como base el software SNORT y crear una configuracin que permita identificar posibles ataques en una red, para esto es necesario disear una configuracin que les permita a los sensores de SNORT escuchar en toda la red. Como mnimo se deben documentar 10 ataques a la red, mostrando como fueron detectados por el SNORT. DESARROLLO DE PROCEDIMIENTO NOTA: En el siguiente manual se realizo en un appliance basando en deban donde se mostrara los procedimiento basados para hacer el NIDS el appliance es llamado UNTANGLE. http://www.untangle.com La topologa es la siguiente

Instalacin El proceso de instalacin es sencilla es mediante la interfaz grfica es si no seguir los pasos se har mas fcil. Nota: La siguiente instalacin se realizar en un maquina virtual en (virtual box) Con tres tarjetas de RED. (Esta ser Untangle).

PROCEDIENTO 1: Descargar el paquete de Proteccin de intrusos. Prevencin de Intrusiones es un ID (deteccin de intrusiones) del sistema que intercepta todo el trfico y detecta la actividad maliciosa en la red o computadoras individuales o en ambos. Para detectar actividad maliciosa, prevencin de intrusiones utiliza la deteccin de la firma, un mtodo que se basa en una base de datos de patrones de ataque conocidos. Intercepcin de Prevencin de Intrusos de la actividad maliciosa no tiene ningn impacto en el rendimiento del sistema y es transparente para los usuarios, con la excepcin de que el usuario malicioso. Si detecta la actividad de prevencin de intrusiones maliciosas, la sesin para que la actividad se termina. Prevencin de intrusiones est pre-configurado con valores por defecto razonables. Debido a esto, no requiere personalizacin mucho, aunque es posible cambiar estos valores por defecto o aadir sus propias reglas, como el bloqueo o el registro con las normas de prevencin de intrusiones muestra.

PROCEDIMIENTO 2: Configuracin de Snort Mostraremos la configuracin, podemos obtener ayuda Esta es la URL para la documentacin de IDS. http://wiki.untangle.com/index.php/Intrusion_Prevention A continuacin vamos a configurar el snort por consola para agregar la redes locales propias. Ingresamos a archivos de configuracin de snort

Definimos el rango de direcciones de nuestra red interna. Tenemos tres maneras de hacerlo 1- definir un rango de IPs, (var HOME_NET 192.168.1.0/24) la 2- definir el rango IPs del cual forma parte la ip que tiene la tarjeta de red en el momento de lanzar SNORT, (var HOME_NET $eth0_ADDRESS 3- Especificar varios rango de IPs si tenemos varias redes como lo hice yo por ejm.

Especificar la red EXTERNA sea que venga por todas.

Ya haber configurado el snort pasamos a configurar el snort grafica/ por eje como muestra la imagen

Esta imagen nos muestra la cantidad total de firmas disponibles, registradas, y bloqueadas y una nota que nos dice que el untangle mantiene un configuracin predeterminada de firmas entre actualizaciones automticas. A continuacin se mostrara las reglas y las variables. Prevencin de Intrusos provee una lista de reglas (firmas) que puede bloquear, registrar o ignorar. Para facilitar las cosas para usted, desenredar evala cada regla y numerosas redes, y se determin la configuracin predeterminada adecuada para cada regla con los siguientes criterios: -Si la regla es siempre conocido por bloquear exploits maliciosos, los bloques de prevencin de intrusiones y los registros de esta regla por defecto. -Si la regla es a veces conocido para bloquear exploits maliciosos, prevencin de intrusiones registra esta regla por defecto. -Si la regla es que nunca se sabe que bloquean exploits maliciosos, prevencin de intrusiones ni bloqueos, ni los registros de esta regla por defecto. En la mayora de los casos, no es necesario cambiar la configuracin predeterminada. Usted slo tendr que desactivar una regla, si la regla que el trfico de bloques de una aplicacin de software exclusiva que debe utilizar.

Si usted bloquea una regla, prevencin de intrusiones permite el trfico de la regla y los bloques que coincide con la firma regla. Si inicia la sesin general, prevencin de intrusiones registros de trfico que coincide con la firma regla. -Para bloquear o registrar un dominio: De prevencin de intrusiones, haga clic en el Mostrar configuracin ficha. -Haga clic en el Reglamento de la ficha. -En la tabla de reglas, seleccione el bloque o registro casilla de verificacin de las reglas que desea bloquear o registro, o ambos. -Haga clic en el Aceptar o Aplicar botn. Acerca de las variables Regla Prevencin de Intrusos provee una lista de reglas predeterminadas que explota bloque. Tambin hay variables de estado que proporcionan instrucciones adicionales para estas reglas. Estas reglas se denominan variables de Snort. Estas variables se utilizan en reglas para especificar los criterios para la fuente y el destino de un paquete. Resopla variable ms importante es $ HOME_NET .HOME_NET $ define la red o redes que estn tratando de proteger. Bajo ninguna circunstancia se debe cambiar o eliminar estas excepciones. Puede agregar excepciones, pero slo si estn muy familiarizados con las variables de Snort y el snort.conf archivo de configuracin. Para ver las variables de estado: -De prevencin de intrusiones, haga clic en el Mostrar configuracin botn. -Haga clic en el Reglamento de la ficha. -Vaya a las variables de tabla. Esta tabla contiene todas las excepciones de reglas.

Ac es para configurar la regla y variables. En mi caso yo agregue en las variables subrayadas colocando la direccin de nuestros servidor en este caso es la misma. O podes dejarlo como estaba con el HOME_NET Para mostrar como acta el Prevencin de Intrusos mostrare una de las reglas actuales como la siguiente

A continuacin nos vamos para la categora de FTP escogemos el tipo ID que en este caso es el numero registrado en la base de datos SNORT

NOTA: Prevencin de intrusiones se basa en http://www.snort.org . Si desea obtener ms informacin acerca de las hazaas que los bloques de prevencin de intrusiones o la firma (SID), que utiliza de prevencin de intrusiones, realice una de las siguientes:

De prevencin de intrusiones, haga clic en el Reglamento de la ficha, entonces, para dar una regla, haga clic en la informacin de enlace en la columna de informacin. Una pgina web pone en marcha, que le proporciona ms informacin acerca de la Regla. Si una norma de prevencin de intrusiones no hay informacin en la columna de informacin, a continuacin, buscar el SID en el sitio web snort.org 's como se muestra en la bsqueda de reglas snort.org SID . Un SID es un nmero numricos, se puede localizar el SID en la Identificacin de la columna de prevencin de intrusiones. PROCEDIMIENTO 3: Mirando el SID de la regla A continuacin se mostrara en www.snort.org el SID seleccionado anteriormente

Seleccionamos Obtener reglas.

Ingresamos el numero sea el SID seleccionado para la prueba. Por ltimo no aparecer la informacin necesaria para esta regla.

La regla se asume sobre l intento de logearse varias veces hasta que acert sea un ataque de fuerza bruta. Y

Por ltimo para mostrar la prueba habilitamos toda la categora de FTP. realizaremos pruebas respectivas.

PROCEDIMIENTO 4: Realizacin de pruebas (Ataque de Fuerza Bruta al Servidor FTP) A continuacin se realizara un ataque hacia el IDS (Prevencin de Intrusos) para que muestre resultado en los LOGs.

El tipo de ataque ser de fuerza bruta mltiple intento de logeo se utilizara el sistema BlackTrack para realizar dicho ataque con el Software Hidra.

Estoces ejecutamos lo siguiente Hydra l usuario (es un diccionario que contiene nombre de usuarios) p keys (son respectivas contraseas) 192.168.0.12 (es la direccin a atacar en este caso es la IP publica de Untangle) ftp (es el protocolo).

A rato nos vamos a los LOGs de IDS en UNTANGLE y podemos ver que a bloqueado cualquier intento de ataque.

Podemos ver que bloqueo el ataque realizado a FTP 192.168.1.2 que en este caso es el servidor FTP desde la direccin 192.168.0.13 y la descripcin del ataque.

FIN.