Just another WordPress.com site

Implementación de un NIDS con EasyIDS

NIDS.

Sistema de detección de intrusos en una Red. Busca detectar anomalías que inicien un riesgo potencial,como los mensionados anteriormente. Para ello, analiza todos los paquetes, buscando en ellos patrones sospechosos. Los NIDS no sólo vigilan el tráfico entrante, sino también el saliente o el tráfico local, ya que algunos ataques podrían ser iniciados desde el propio sistema protegido. A pesar de la vigilancia, su influencia en el tráfico es casi nula.

 

SNORT.

NIDS el cual es Open Source Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitorea todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.

 

EASYIDS.

Es un sistema de Detección de Intrusos basado en Snort, el cual integra varias herramientas de monitoreo y administración bajo una interfaz web facil de manejar. Easyids esta montado sobre el Sistema Operativo CentOs 5.4 y fue diseñado principalmente para soluciones bajo Linux.

Este viene integrado con las herramientas basicas para el analisis de trafico, todas son Open Source:

BASE: Basic Analysis and Security Engine, Front-end para el análisis y generación de alertas en relación a los eventos detectados de forma grafica.

NTOP: Muestra la utilización de la red como equipos, IPs, tráfico, ancho de banda utilizado en tiempo real, incorporándo gráficos vía RRDTools para una fácil revisión.

PhpSysinfo: Muestra información del systema que opera EasyIDs, tales como procesos, CPU, Dispositivos PCI, Discos duros y su utilización, adaptadores de red, etc.

PMGraph: Generación de gráficos de rendimiento de Snort, Paquetes Negados, Alertas por Segundo, etc.

REQUERIMIENTOS DE HARDWARE.

  • 512 de Memoria Ram
  • 6 GB de Disco Duro
  • Minimo 2 Interfaces de Red

INSTALACION.

Cabe resaltar antes iniciar con la instalcion de esta herramienta, se debe tener una maquina dedicada ya que esta se formatea y se instala igual que S.O.

Lo primero que debemos hacer es descargar la iso de easyids en la siguiente URL: http://sourceforge.net/projects/easyids/files/ , posteriormente la quemamos en cd y la ejecutamos en la maquina.

Una vez ejecutado el cd, nos muestra el siguiente pantallazo para empezar a bootear y demos Enter.

Luego seleccionamos la distribución del teclado y zona horaria oprimiendo la tecla Tab y despues Enter para decir ok.

Ahora le damos la contraseña para ingresar modo root y damos OK. Esta es la contraseña que se utilizará al iniciar sesión en la línea de comandos Linux y para ingresar el easyids. Después de dar OK comenzara con el chequeo, formateo e instalación del easyids.

Luego de terminado este proceso sacamos el CD, reiniciamos la maquina y esperamos que se instalen todos los paquetes y aplicaciones que el easyids trae.

CONFIGURACIÓN.

Seguidamente al iniciar la maquina nos logueamos con el usuario root y la contraseña que copiamos anteriormente y nos dará un dirección IP que se obtiene de servidor DHCP. Y después le damos una IP a nuestra otra interfaz sea de forma estática o por DHCP.

 

Ahora desde otra maquina de nuestra red, nos podremos loguear para abrir la interfaz web y administrar todas las aplicaciones que tiene el easyids. Escribimos la dirección IP que tiene el easyids en un navegador en mi caso seria URL: https://192.168.10.139. Y aceptamos el certificado.

 

Ya nos pedirá una autenticación para poder entrar, aquí se coloca el información por defecto que tiene easyids, el usuario admin y la contraseña password.

 

Luego nos dará una Bienvenida a easyids y nos muestra la licencia de uso la cual aceptamos y damos clic en submit.

Después nos aparece este recuadro para cambiar nuestra contraseña de MySql, donde colocamos la contraseña que teníamos anteriormente y luego la nueva; en ocasiones no aparece esta ventana.

 

Una vez hechos estos pasos estaremos en la interfaz de administración. Aquí encontraremos todas las aplicaciones como Ntop, Arpwatch, etc. En este caso nos centraremos en Snort.

 

Para configurar Snort, nos vamos a la opcion Settings y seleccionamos Snort.

Lo principal que debemos configurar es la red que va a ser monitoreada, para esto vamos a opción Network setting.

En la opción Home Network, colocamos la IP o red interna que queremos monitorear en mi caso dijo todo mi red y la mascara. Y en la opción External Network, lo podemos dejar por defecto ya que esta el signo ! Indica que todas las redes contando la red interna. Y damos save.

 

Si queremos especificar varias redes solo las separamos por una coma como muestra el siguiente ejemplo.

Ahora reiniciamos el servicio de Snort.

Seguidamente nos dirigimos a la opción Analysis y damos clic en BASE.

Inmediatamente comenzara con el envió de alarmas, de posibles ataque a tu red.

NOTAS:

  • Cuando agreguemos mas de dos interfaces para que se utilicen como modo sniffer en varias redes, vamos a la configuración del EasyIDS y damos clic en Network settings.

  • Luego en la opción Monitor NIC seleccionamos la interfaz br0, lo que hace esta interfaz es seleccionar varias NIC y sniffear como si fuera una, pero en realidad son diferentes redes; seleccionamos nuestras NIC y damos clic en Save.

Espero les sea de ayuda.Espero les sirva

Deje su comentario ps..








 















 



 

 




Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s