Just another WordPress.com site

Más reciente

Implementación de un NIDS con EasyIDS

NIDS.

Sistema de detección de intrusos en una Red. Busca detectar anomalías que inicien un riesgo potencial,como los mensionados anteriormente. Para ello, analiza todos los paquetes, buscando en ellos patrones sospechosos. Los NIDS no sólo vigilan el tráfico entrante, sino también el saliente o el tráfico local, ya que algunos ataques podrían ser iniciados desde el propio sistema protegido. A pesar de la vigilancia, su influencia en el tráfico es casi nula.

 

SNORT.

NIDS el cual es Open Source Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitorea todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.

 

EASYIDS.

Es un sistema de Detección de Intrusos basado en Snort, el cual integra varias herramientas de monitoreo y administración bajo una interfaz web facil de manejar. Easyids esta montado sobre el Sistema Operativo CentOs 5.4 y fue diseñado principalmente para soluciones bajo Linux.

Este viene integrado con las herramientas basicas para el analisis de trafico, todas son Open Source:

BASE: Basic Analysis and Security Engine, Front-end para el análisis y generación de alertas en relación a los eventos detectados de forma grafica.

NTOP: Muestra la utilización de la red como equipos, IPs, tráfico, ancho de banda utilizado en tiempo real, incorporándo gráficos vía RRDTools para una fácil revisión.

PhpSysinfo: Muestra información del systema que opera EasyIDs, tales como procesos, CPU, Dispositivos PCI, Discos duros y su utilización, adaptadores de red, etc.

PMGraph: Generación de gráficos de rendimiento de Snort, Paquetes Negados, Alertas por Segundo, etc.

REQUERIMIENTOS DE HARDWARE.

  • 512 de Memoria Ram
  • 6 GB de Disco Duro
  • Minimo 2 Interfaces de Red

INSTALACION.

Cabe resaltar antes iniciar con la instalcion de esta herramienta, se debe tener una maquina dedicada ya que esta se formatea y se instala igual que S.O.

Lo primero que debemos hacer es descargar la iso de easyids en la siguiente URL: http://sourceforge.net/projects/easyids/files/ , posteriormente la quemamos en cd y la ejecutamos en la maquina.

Una vez ejecutado el cd, nos muestra el siguiente pantallazo para empezar a bootear y demos Enter.

Luego seleccionamos la distribución del teclado y zona horaria oprimiendo la tecla Tab y despues Enter para decir ok.

Ahora le damos la contraseña para ingresar modo root y damos OK. Esta es la contraseña que se utilizará al iniciar sesión en la línea de comandos Linux y para ingresar el easyids. Después de dar OK comenzara con el chequeo, formateo e instalación del easyids.

Luego de terminado este proceso sacamos el CD, reiniciamos la maquina y esperamos que se instalen todos los paquetes y aplicaciones que el easyids trae.

CONFIGURACIÓN.

Seguidamente al iniciar la maquina nos logueamos con el usuario root y la contraseña que copiamos anteriormente y nos dará un dirección IP que se obtiene de servidor DHCP. Y después le damos una IP a nuestra otra interfaz sea de forma estática o por DHCP.

 

Ahora desde otra maquina de nuestra red, nos podremos loguear para abrir la interfaz web y administrar todas las aplicaciones que tiene el easyids. Escribimos la dirección IP que tiene el easyids en un navegador en mi caso seria URL: https://192.168.10.139. Y aceptamos el certificado.

 

Ya nos pedirá una autenticación para poder entrar, aquí se coloca el información por defecto que tiene easyids, el usuario admin y la contraseña password.

 

Luego nos dará una Bienvenida a easyids y nos muestra la licencia de uso la cual aceptamos y damos clic en submit.

Después nos aparece este recuadro para cambiar nuestra contraseña de MySql, donde colocamos la contraseña que teníamos anteriormente y luego la nueva; en ocasiones no aparece esta ventana.

 

Una vez hechos estos pasos estaremos en la interfaz de administración. Aquí encontraremos todas las aplicaciones como Ntop, Arpwatch, etc. En este caso nos centraremos en Snort.

 

Para configurar Snort, nos vamos a la opcion Settings y seleccionamos Snort.

Lo principal que debemos configurar es la red que va a ser monitoreada, para esto vamos a opción Network setting.

En la opción Home Network, colocamos la IP o red interna que queremos monitorear en mi caso dijo todo mi red y la mascara. Y en la opción External Network, lo podemos dejar por defecto ya que esta el signo ! Indica que todas las redes contando la red interna. Y damos save.

 

Si queremos especificar varias redes solo las separamos por una coma como muestra el siguiente ejemplo.

Ahora reiniciamos el servicio de Snort.

Seguidamente nos dirigimos a la opción Analysis y damos clic en BASE.

Inmediatamente comenzara con el envió de alarmas, de posibles ataque a tu red.

NOTAS:

  • Cuando agreguemos mas de dos interfaces para que se utilicen como modo sniffer en varias redes, vamos a la configuración del EasyIDS y damos clic en Network settings.

  • Luego en la opción Monitor NIC seleccionamos la interfaz br0, lo que hace esta interfaz es seleccionar varias NIC y sniffear como si fuera una, pero en realidad son diferentes redes; seleccionamos nuestras NIC y damos clic en Save.

Espero les sea de ayuda.Espero les sirva

Deje su comentario ps..








 















 



 

 




ZENTIAL un UTM, configurandolo como IDS

ZENTIAL.

Zentyal es el servidor Linux basado en Ubuntu, para pequeñas y medianas empresas que puede actuar como Gateway, Servidor de seguridad (UTM), Servidor de oficina, Servidor de infraestructura de red y Servidor de comunicaciones. Todos los servicios de red están basados en la misma tecnología y totalmente integrados, permitiendo gestionar toda tu red como una sola unidad. Utiliza el IDS para integrarlo con el firewall y asi formar un IPS.

IDS

Un Sistema de Detección de Intrusos de sus siglas en ingles Intrusion Detection System; es un programa usado para detectar accesos no autorizados a un computador o a una red. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

UTM.

Unified Threat Management o Gestión Unificada de Amenazas es un dispositivo de red que además de proporcionar los servicios ofrecidos por un firewall convencional, incluye también protección ante amenazas, spam, virus. UTM es un término que se refiere a un firewall de red con múltiples funciones añadidas, trabajando a nivel de aplicación. Realiza el proceso del tráfico a modo de proxy, analizando y dejando pasar el tráfico en función de la política implementada en el dispositivo. Cabe resaltar que toda la información teórica fue extraída de la Wikipedia.

 

INSTALACION

 

Iniciamos nuestro CD en el equipo y el primer pantallazo nos pedirá el idioma en el cual lo vamos a instalar.

 

Luego nos da las opciones de instalacion en mi caso seleccionamos Install Zentyal2.0 (delete all disk) ya que voy a utilizar todo el disco de la maquina y trae configuraciónes mas basicas.

 

Después seleccionamos el idioma y damos Enter.

 

Aquí nos pedirá si queremos probar si el teclado esta correcto, damos NO si no esta seguro da selecciona SI.

 

Seguidamente seleccionamos el sitio de nuestra configuracion del teclado y damos Enter.

 

Si tenemos varias interfaces nos pedira que interfaz utilizaremos para sniffear.

 

Ahora nos preguntara el nombre que le daremos a nuestra maquina, con la tecla Tab seleccionamos Continuar y damos Enter.

 

Comenzara con la configuración del reloj.

 

Damos clic en Si para que se configure automáticamente el reloj, y luego Enter.

 

A continuación seleccionamos Si, para que utilice todo el espacio del disco de nuestra maquina y haga las particiones automáticamente, damos Enter.

 

Después crearemos otro usuario el cual utilizaremos para acceder como superusuario.

 

Elegimos una contraseña para el usuario creado anteriormente.

 

Luego de un rato de instalar las configuraciones de apt y otros mas, nos aparece este recuadro donde nos dice que la instalacion a sido correcta y damos enter en Continuar.

 

Terminado esto se reiniciara nuestra maquina, inmediatamente sacamos el CD e iniciara Zential.

 

Ahora nos iniciara automáticamente el navegador en el cual damos el el nombre del superusuario y la contraseña que creamos anteriormente y damos clic en Enter.

 

Entraremos a la consola de administración de Zential una vez aquí vamos a Gestión de software y luego a Componentes Zentyal y seleccionamos UTM. Luego bajamos un poco y damos clic en Install.

 

En la siguiente opción nos muestra todo lo que se instalara en el UTM y damos clic en ok.

 

Después nos vamos a los menús de la parte izquierda y el la opción UTM seleccionamos IDS.

 

Seguidamente seleccionamos la interfaz por la cual vamos a sniffear. Y damos clic en Guardar cambios. Cabe resaltar que cada vez que se hace una configuración inmediatamente se debe dar clic en Guardar cambios.

 

Damos clic en Save para que guarde la configuración.

 

Vamos a la opcion Rules para activar las reglas que necesitamos que utilice el IDS, para solo damos clic en los cuadrillos al lado de la regla que necesitamos y damos clic en Guardar cambios.

 

Seguimos con la configuración de los Logs, en Logs y Configure Logs. seleccionamos los programas que queremos que registren actividad, acá también podremos purgar los registros antiguos. Y damos clic en Guardar cambios.

 

Para finalizar solo es saber donde consultar los informes de lo que pasa en la red, solo vamos a; Consultas de registros y seleccionamos consultas de registros IDS y damos clic en informe completo en el logo del lapicito.

Registros.

 

 

 






 


 

 






 

 

 

 


 

Mapa mental: Seguridad de la Informacion

Mediante este mapa mental se hace una marcada diferencia entre algunas herramientas usadas para asegurar una red de forma interna y asegurar su perímetro.
Dejen su opinion ombe!!!!

GFI LANguard

Es un software creado por la empresa GFI, el cual tiene la funcion de escanear la red y puertos para detectar, evaluar y corregir vulnerabilidades de seguridad con un mínimo esfuerzo administrativo en entornos Windows.

Llevan a cabo más de 15.000 evaluaciones de vulnerabilidad cuando se analiza la red, incluyendo el entorno virtual, con GFI LANguard. Cuando el análisis se completa, la funcionalidad de Gestión de Actualizaciones del sofware permite a los administradores implantar y administrar parches y actualizaciones de seguridad en todos los equipos de la red.

Las principales caracteristicas de GFI LANguard son:

  • Identifique vulnerabilidades de seguridad y toma medidas correctoras
  • Detecte Máquinas Virtuales
  • Corrección automática de aplicaciones no autorizadas
  • Implante automáticamente actualizaciones en toda la red y gestione los service pack
  • Analice y filtre fácilmente los resultados del análisis

Un que no es un software gratis, la empresa creadora de dicho producto a sacado al mercado una version gratiuta osea un demo el cual te da la posibilidad de escanear 5 IPs en tu red, la mala noticia es que solo es por treinta días.

KON-BOOT, PARA INGRESAR A UN EQUIPO DESCONOCIENDO LA CONTRASEÑA

KON-BOOT, es una herramienta gratuita que nos permite acceder a cualquier equipo sin conocer la contraseña y sin tener que eliminarla o cambiarla, ya sea de Windows o de Linux. Su funcionamiento está basado en el cambio del contenido del kernel durante el arranque del sistema y ocupa solamente 110 KB. Y realmente es fácil de usar.

Este software fue probado en los siguientes sistemas operativos de Windows y Linux, funcionando excelentemente:

Bueno ahora les dire los pasos para utilizar KON-BOOT.

1. Descargamos la Imagen ISO y después la quemamos en un cd.

2. Insertamos el CD de Kon-boot en la maquina y la iniciamos. Luego nos aparecera una imagen de bienvenida y presionamos Enter.

3. Por ultimo paso el kon-boot arranca y nos muestra unos mensaje,los cuales dicen la version del software, que gratis y que inicio con el analisis de la Bios y del sistema

y listo tenemos Acceso al equipo como Administrador.

NOTA: Para LINUX, despues de realizar los pasos anteriores, tenemos que acceder en modo consola por lo que pulsamos la combinación de teclas Control+Alt+F1 (o cualquier otra desde F2 a F6). Y como nombre de usuario tecleamos kon-usr. Y sin pedir la contraseña, también estaremos dentro como root.



INSTALACIÓN Y CONFIGURACIÓN DE NESSUS EN BT4

Es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en nessusd, el demonio Nessus, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance y reporte de los escaneos. Desde consola nessus puede ser programado para hacer escaneos programados.

En operación normal, nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos en NASL(Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas en inglés), un lenguaje scripting optimizado para interacciones personalizadas en redes.

INSTALACIÓN Y CONFIGURACIÓN

Para poder iniciar con la instalacion, antes que nada debemos acceder a http://www.nessus.org/download/index.php?product=nessus42-linux y aceptar la licencia para poder descargar el servidor.



Una vez aceptada, seremos redireccionados a un sitio donde podremos elegir que versión queremos descargar, en mi caso, Nessus-4.2.2-ubuntu 9.10_i386.deb (32 bits) ya que Backtrack 4.0 esta basado en Ubuntu .

Es así que descargaremos en nuestro equipo el archivo Nessus-4.2.2-ubuntu 9.10_i386.deb (32 bits). Una vez finalizada la descarga deberemos acceder desde una Terminal hasta el directorio donde se encuentra la descarga y descomprimirlo con el comando dpkg -i como podremos ver a continuación:

El siguiente paso es agregar un usuario para iniciar la aplicación, para esto vamos el directorio /opt/nessus/sbin/, donde debemos ejecutar el comando nessus-adduser, inmediatamente iremos contestando unas sencillas preguntas como: el nombre de login, la contraseña, si será administrador o no, y las reglas a cargar para el usuario que estamos creando:

Algo muy importante, despues de dar Enter no preguntara si este usuario sea Administrador, en mi caso coloco y (Y)

Ahora debemos crear el Certificado de SSL para poder acceder al Nessus Server, y para ello ejecutaremos el comando nessus-mkcert, que al igual que antes, nos ira presentado una serie de preguntas para armar el certificado de nuestra instalacion (tiempo de vida del certificado, país de residencia, empresa, etc):

Después iniciamos con la descarga de los Plugins, para esto es necesario registrar nuestra instalación, ya sea con los HomeFeed o con los ProfessionalFeed. En el caso de seleccionar hacerlo con los HomeFeed, debemos primero acceder al sitio http://www.nessus.org/plugins/?view=homefeed, aceptamos la licencia. Luego cargarmos una cuenta de correo donde nos llegara un correo con el numero de registro.

Después en la ruta /opt/nessus/bin/, debemos ejecutar el comando nessus-fetch –register seguido por ese numero que nos llego al correo; En este parte, es necesario tener conexión a Internet en el equipo ya que Nessus ademas de registrarse, actualiza su base de Plugins.

Seguidamente procedemos a iniciar el demonio de Nessus.

Procedemos a Acceder a el navegador web y colocamos en la barra de direcciones, localhost(o la ip local) y al puerto 8834 (no olvidarse de poner https://) https://localhost:8834. Aceptamos el certificado para que nos aparesca la interfas de logueo. Luego colocamos el usuario y la contraseña que creamos anteriormente.

Interfaz gráfica de Nessus

Ya podremos comenzar con nuestros escaneos de vulnerabilidades, lo primero que tenemos que hacer es crear nuestras Politicas, para empezar damos clic en Policies.

Después damos clic en la pestaña Add, para introducir nuestras configuraciones de Politicas.



Lo primero que haremos sera darle un nombre a nuestra politica y dejamos el resto por defecto, y damos clic en next hasta llegar a la opcion de Plugins.

Cuando estemos en la opcion Plugins, seleccionamos los plugins que vamos a necesitar para realizar nuestro nuestro escaneo, tu lo seleccionas de acuedo a tu necesidad. Para finalizar damos clic en Next.

Posteriormente iniciaremos con el escaneo, damos clic en la pestaña Scans y luego seleccionamos la opcion Add.

Después colocamos el nombre que le daremos a nuestro escaneo, luego la politica que creamos anteriormente y por ultimo ponemos la ip del host que queremos escanear y damos launch Scan.

Inicia con el analisis.

Una vez que el analisis termine damos clic en Report, luego escogemos el reporte que queremos ver y damos clic en Browse.

Para finalizar nos mostrara cada una de las vulnerabilidades que tenemos en el dispositivo.

Resultado que arroja un analisis

NOTA: Nessus no requiere el NessusCliente (se accede a través del navegador de Internet), y con el Backtrack basado en Ubuntu, esto ya no es para nada un problema.