Just another WordPress.com site

Archivo para octubre, 2010

Implementación de un NIDS con EasyIDS

NIDS.

Sistema de detección de intrusos en una Red. Busca detectar anomalías que inicien un riesgo potencial,como los mensionados anteriormente. Para ello, analiza todos los paquetes, buscando en ellos patrones sospechosos. Los NIDS no sólo vigilan el tráfico entrante, sino también el saliente o el tráfico local, ya que algunos ataques podrían ser iniciados desde el propio sistema protegido. A pesar de la vigilancia, su influencia en el tráfico es casi nula.

 

SNORT.

NIDS el cual es Open Source Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitorea todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.

 

EASYIDS.

Es un sistema de Detección de Intrusos basado en Snort, el cual integra varias herramientas de monitoreo y administración bajo una interfaz web facil de manejar. Easyids esta montado sobre el Sistema Operativo CentOs 5.4 y fue diseñado principalmente para soluciones bajo Linux.

Este viene integrado con las herramientas basicas para el analisis de trafico, todas son Open Source:

BASE: Basic Analysis and Security Engine, Front-end para el análisis y generación de alertas en relación a los eventos detectados de forma grafica.

NTOP: Muestra la utilización de la red como equipos, IPs, tráfico, ancho de banda utilizado en tiempo real, incorporándo gráficos vía RRDTools para una fácil revisión.

PhpSysinfo: Muestra información del systema que opera EasyIDs, tales como procesos, CPU, Dispositivos PCI, Discos duros y su utilización, adaptadores de red, etc.

PMGraph: Generación de gráficos de rendimiento de Snort, Paquetes Negados, Alertas por Segundo, etc.

REQUERIMIENTOS DE HARDWARE.

  • 512 de Memoria Ram
  • 6 GB de Disco Duro
  • Minimo 2 Interfaces de Red

INSTALACION.

Cabe resaltar antes iniciar con la instalcion de esta herramienta, se debe tener una maquina dedicada ya que esta se formatea y se instala igual que S.O.

Lo primero que debemos hacer es descargar la iso de easyids en la siguiente URL: http://sourceforge.net/projects/easyids/files/ , posteriormente la quemamos en cd y la ejecutamos en la maquina.

Una vez ejecutado el cd, nos muestra el siguiente pantallazo para empezar a bootear y demos Enter.

Luego seleccionamos la distribución del teclado y zona horaria oprimiendo la tecla Tab y despues Enter para decir ok.

Ahora le damos la contraseña para ingresar modo root y damos OK. Esta es la contraseña que se utilizará al iniciar sesión en la línea de comandos Linux y para ingresar el easyids. Después de dar OK comenzara con el chequeo, formateo e instalación del easyids.

Luego de terminado este proceso sacamos el CD, reiniciamos la maquina y esperamos que se instalen todos los paquetes y aplicaciones que el easyids trae.

CONFIGURACIÓN.

Seguidamente al iniciar la maquina nos logueamos con el usuario root y la contraseña que copiamos anteriormente y nos dará un dirección IP que se obtiene de servidor DHCP. Y después le damos una IP a nuestra otra interfaz sea de forma estática o por DHCP.

 

Ahora desde otra maquina de nuestra red, nos podremos loguear para abrir la interfaz web y administrar todas las aplicaciones que tiene el easyids. Escribimos la dirección IP que tiene el easyids en un navegador en mi caso seria URL: https://192.168.10.139. Y aceptamos el certificado.

 

Ya nos pedirá una autenticación para poder entrar, aquí se coloca el información por defecto que tiene easyids, el usuario admin y la contraseña password.

 

Luego nos dará una Bienvenida a easyids y nos muestra la licencia de uso la cual aceptamos y damos clic en submit.

Después nos aparece este recuadro para cambiar nuestra contraseña de MySql, donde colocamos la contraseña que teníamos anteriormente y luego la nueva; en ocasiones no aparece esta ventana.

 

Una vez hechos estos pasos estaremos en la interfaz de administración. Aquí encontraremos todas las aplicaciones como Ntop, Arpwatch, etc. En este caso nos centraremos en Snort.

 

Para configurar Snort, nos vamos a la opcion Settings y seleccionamos Snort.

Lo principal que debemos configurar es la red que va a ser monitoreada, para esto vamos a opción Network setting.

En la opción Home Network, colocamos la IP o red interna que queremos monitorear en mi caso dijo todo mi red y la mascara. Y en la opción External Network, lo podemos dejar por defecto ya que esta el signo ! Indica que todas las redes contando la red interna. Y damos save.

 

Si queremos especificar varias redes solo las separamos por una coma como muestra el siguiente ejemplo.

Ahora reiniciamos el servicio de Snort.

Seguidamente nos dirigimos a la opción Analysis y damos clic en BASE.

Inmediatamente comenzara con el envió de alarmas, de posibles ataque a tu red.

NOTAS:

  • Cuando agreguemos mas de dos interfaces para que se utilicen como modo sniffer en varias redes, vamos a la configuración del EasyIDS y damos clic en Network settings.

  • Luego en la opción Monitor NIC seleccionamos la interfaz br0, lo que hace esta interfaz es seleccionar varias NIC y sniffear como si fuera una, pero en realidad son diferentes redes; seleccionamos nuestras NIC y damos clic en Save.

Espero les sea de ayuda.Espero les sirva

Deje su comentario ps..








 















 



 

 




Anuncios

ZENTIAL un UTM, configurandolo como IDS

ZENTIAL.

Zentyal es el servidor Linux basado en Ubuntu, para pequeñas y medianas empresas que puede actuar como Gateway, Servidor de seguridad (UTM), Servidor de oficina, Servidor de infraestructura de red y Servidor de comunicaciones. Todos los servicios de red están basados en la misma tecnología y totalmente integrados, permitiendo gestionar toda tu red como una sola unidad. Utiliza el IDS para integrarlo con el firewall y asi formar un IPS.

IDS

Un Sistema de Detección de Intrusos de sus siglas en ingles Intrusion Detection System; es un programa usado para detectar accesos no autorizados a un computador o a una red. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

UTM.

Unified Threat Management o Gestión Unificada de Amenazas es un dispositivo de red que además de proporcionar los servicios ofrecidos por un firewall convencional, incluye también protección ante amenazas, spam, virus. UTM es un término que se refiere a un firewall de red con múltiples funciones añadidas, trabajando a nivel de aplicación. Realiza el proceso del tráfico a modo de proxy, analizando y dejando pasar el tráfico en función de la política implementada en el dispositivo. Cabe resaltar que toda la información teórica fue extraída de la Wikipedia.

 

INSTALACION

 

Iniciamos nuestro CD en el equipo y el primer pantallazo nos pedirá el idioma en el cual lo vamos a instalar.

 

Luego nos da las opciones de instalacion en mi caso seleccionamos Install Zentyal2.0 (delete all disk) ya que voy a utilizar todo el disco de la maquina y trae configuraciónes mas basicas.

 

Después seleccionamos el idioma y damos Enter.

 

Aquí nos pedirá si queremos probar si el teclado esta correcto, damos NO si no esta seguro da selecciona SI.

 

Seguidamente seleccionamos el sitio de nuestra configuracion del teclado y damos Enter.

 

Si tenemos varias interfaces nos pedira que interfaz utilizaremos para sniffear.

 

Ahora nos preguntara el nombre que le daremos a nuestra maquina, con la tecla Tab seleccionamos Continuar y damos Enter.

 

Comenzara con la configuración del reloj.

 

Damos clic en Si para que se configure automáticamente el reloj, y luego Enter.

 

A continuación seleccionamos Si, para que utilice todo el espacio del disco de nuestra maquina y haga las particiones automáticamente, damos Enter.

 

Después crearemos otro usuario el cual utilizaremos para acceder como superusuario.

 

Elegimos una contraseña para el usuario creado anteriormente.

 

Luego de un rato de instalar las configuraciones de apt y otros mas, nos aparece este recuadro donde nos dice que la instalacion a sido correcta y damos enter en Continuar.

 

Terminado esto se reiniciara nuestra maquina, inmediatamente sacamos el CD e iniciara Zential.

 

Ahora nos iniciara automáticamente el navegador en el cual damos el el nombre del superusuario y la contraseña que creamos anteriormente y damos clic en Enter.

 

Entraremos a la consola de administración de Zential una vez aquí vamos a Gestión de software y luego a Componentes Zentyal y seleccionamos UTM. Luego bajamos un poco y damos clic en Install.

 

En la siguiente opción nos muestra todo lo que se instalara en el UTM y damos clic en ok.

 

Después nos vamos a los menús de la parte izquierda y el la opción UTM seleccionamos IDS.

 

Seguidamente seleccionamos la interfaz por la cual vamos a sniffear. Y damos clic en Guardar cambios. Cabe resaltar que cada vez que se hace una configuración inmediatamente se debe dar clic en Guardar cambios.

 

Damos clic en Save para que guarde la configuración.

 

Vamos a la opcion Rules para activar las reglas que necesitamos que utilice el IDS, para solo damos clic en los cuadrillos al lado de la regla que necesitamos y damos clic en Guardar cambios.

 

Seguimos con la configuración de los Logs, en Logs y Configure Logs. seleccionamos los programas que queremos que registren actividad, acá también podremos purgar los registros antiguos. Y damos clic en Guardar cambios.

 

Para finalizar solo es saber donde consultar los informes de lo que pasa en la red, solo vamos a; Consultas de registros y seleccionamos consultas de registros IDS y damos clic en informe completo en el logo del lapicito.

Registros.