Lab3 IPS Snort

SEGURIDAD INFORMATICA I Laboratorio Nº 3 “IPS LINUX” Tecsup Seguridad Informática I “IPS LINUX” OBJETIVOS  Auditori

Views 75 Downloads 0 File size 493KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
Snort Ids/Ips en Appliance Pfsense.
Snort Ids/Ips en Appliance Pfsense.

42 3 4MB Read more

Snort
Snort

237 11 372KB Read more

LAB3
LAB3

10 2 2MB Read more

lab3
lab3

319 2 2MB Read more

LAB3
LAB3

245 0 1MB Read more

LAB3
LAB3

239 2 1MB Read more

LAB3
LAB3

78 0 710KB Read more

LAB3
LAB3

Ejercicio 1 Producto medio y marginal x Producto total producto medio Producto marginal Q produccion total / insumo (Q

38 2 52KB Read more

lab3
lab3

53 3 964KB Read more

LAB3
LAB3

79 1 764KB Read more

Citation preview

SEGURIDAD INFORMATICA I Laboratorio Nº 3 “IPS LINUX”

Tecsup

Seguridad Informática I “IPS LINUX”

OBJETIVOS  Auditoria de la red.  Análisis detección y bloqueo de trafico malicioso. EQUIPOS  PC real y máquinas virtuales PROCEDIMIENTO PARTE 1 Activaremos y configuraremos el IPS. MAQUINA VIRTUAL PREPARADA IPS 1. (IPS)  Descomprima “Linux IPS PCC.rar”  Active la máquina virtual.  En la máquina virtual en vez del CTRL + ALT + DEL use CTRL + ALT + INSERT  La máquina virtual está configurada con los siguientes datos: IP eth0: 192.168.90.70 IP eth1: 192.168.80.1 IP eth2: 192.168.70.1  

Al activar la máquina virtual: Nota: Si aparece nuevo dispositivo detectado, seleccionar:

Login: root Password: tecsup

PERSONALIZANDO LOS DATOS DE CONECTIVIDAD 2. (IPS) Configurando la conectividad de IP: INTERFACE eth0 eth1 eth2

ZONE OUTSIDE DMZ INSIDE

IP 192.168.80.110/24 192.168.10.10/24 192.168.20.1/24

# vi /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 ONBOOT=yes BOOTPROTO=static IPADDR=192.168.80.110 1.110 NETMASK=255.255.255.0

# vi /etc/sysconfig/network-scripts/ifcfg-eth1 DEVICE=eth1 ONBOOT=yes BOOTPROTO=static IPADDR=192.168.10.10 NETMASK=255.255.255.0

-1-

Tecsup

Seguridad Informática I

# vi /etc/sysconfig/network-scripts/ifcfg-eth2 DEVICE=eth2 ONBOOT=yes BOOTPROTO=static IPADDR=192.168.20.1 NETMASK=255.255.255.0 PUERTA DE ENLACE Y NOMBRE # vi /etc/sysconfig/network NETWORKING=yes HOSTNAME=ips.empresa20.com.pe GATEWAY=192.168.80.1 # vi /etc/hosts 127.0.0.1 localhost.localdomain localhost 192.168.80.110 ips.empresa20.com.pe ips RESOLUCION # vi /etc/resolv.conf search localdomain nameserver 192.168.65.43 

Al terminar de configurar reiniciar: # init 6

PARTE 2 Generaremos Políticas con IPTABLES. POLITICAS 3. (IPS) Configurando la conectividad de IP: CONFIGURANDO POLITICAS 4. (IPS) Para probar las capacidades de detección y bloqueo se procederá a configurar las políticas que permitan el paso de todo tráfico en todas las interfaces: FROM TRUST UNTRUS T DMZ TRUST

TO UNTRUST DMZ

Source Any Any

Destination Any Any

Service Any Any

Action Permit Permit

UNTRUST DMZ

Any Any

Any Any

Any Any

Permit Permit

Nota: En el directorio /scripts existe un archivo “politicas.sh” que ha sido preparado con estas acciones. Al inicio del archivo se ha declarado las variables que influye en las acciones de las políticas. Deberá personalizar estas variables adecuando a los valores del diagrama: # cd /scripts # vi politicas.sh

-2-

Tecsup

Seguridad Informática I

#### DECLARACION DE VARIABLES REDUSER=192.168.20.0/24 REDDMZ=192.168.10.0/24 PRIVSAP=192.168.10.5 PUBSAP=192.168.80.111   

Grabe los cambios. Aplique las políticas: # sh politicas.sh Visualizando la activación de las políticas: # iptables -t nat –L

PARTE 3 Instalaremos las máquinas virtuales, para comprobar el funcionamiento del LINUX como FIREWALL. TODAS las PC estarán en modo HOSTS. MAQUINA VIRTUAL PREPARADA VW 5. (VW) Se ha preparado una Máquina Virtual Windows2000:  Descomprima “Windows JP-VW.rar”  Active la máquina virtual.  En la máquina virtual en vez del CTRL + ALT + DEL use CTRL + ALT + INSERT  Al activar la máquina virtual:  Configure los datos de conectividad: IP: 192.168.10.5 GW: 192.168.10.10 DNS: 192.168.10.5 

Reiniciar VW. (Para asegurar la configuración de IP)

CONFIGURANDO PÁGINA WEB 6. (VW) Crear una página WEB:  Archivo: default.htm  Directorio: c:\inetpub\wwwroot  Contenido: “Pagina Web 192.168.10.5 (PRIV) 192.168.80.111(PUB)” MAQUINA VIRTUAL PREPARADA AD 7. (AD) Se ha preparado una Máquina Virtual Windows98:  Descomprima “Windows 98 PCC.rar”  Active la máquina virtual.  En la máquina virtual en vez del CTRL + ALT + DEL use CTRL + ALT + INSERT  La cuenta de acceso “Alumno” no tiene password.

-3-

Tecsup



Seguridad Informática I Configure los datos de conectividad: Nota: Al configurar la Puerta de Enlace y DNS deberá de quitar el anterior y agregar los nuevos valores. IP: 192.168.20.50 GW: 192.168.20.1 DNS: 192.168.10.5

MAQUINA VIRTUAL PREPARADA INTRUSO 8. (I2) En el VMWARE crear un nuevo perfil: Menu “File” > New > Virtual Machine > (.) Typical > (.) Linux > Virtual machine name: Backtrack > (.) Use bridged > Disk Size: 1.0 [Finalizar] 

  

Clic Edit virtual Machine : o Clic Floppy o Clic Memory : 250 MB o Clic CD-ROM  (.) Use ISO image “Según las indicaciones, ubique el ISO BACKTRACK (bt2final.iso)”

Active la Máquina Virtual. Al aparecer: boot  Presione En el menú de VMWARE, maximice la ventana: Menu “View”  “FULL SCREEN”

PERSONALIZANDO 9. (I2) Al terminar de cargar personalizaremos: Login: root Password: toor # ifconfig eth0 192.168.80.119 # route add default gw 192.168.80.1 # startx Cambiando de IDIOMA: En la parte inferior derecha: Clic derecho bandera “US”  “Configure”  En la sección “Available Layouts”: Clic “Latin American”   Clic derecho bandera “US”  Seleccione “Latin American” PRUEBAS 

Nota: Comprobando las políticas de Salida y Entrada: TRUST  UNTRUST 10. (AD) Accediendo a los servicios de I2: Clic Inicio > Ejecutar > command  Envié un PING: ping 192.168.80.119 TRUST  DMZ 11. (AD) Accediendo a los servicios de VW:  Visite la Página WEB: http://192.168.10.5 UNTRUST  DMZ 12. (I2) Accediendo a los servicios de VW:  Visite la Página WEB: http://192.168.80.111  Envié un PING: ping 192.168.80.111 Nota: Si existen problemas en las pruebas, verifique la configuración de los parámetros de las Políticas.

-4-

Tecsup

Seguridad Informática I

PARTE 4 IPTABLES tienen la capacidad de inspeccionar el tráfico sin necesitar la capacidad del IPS. Esta capacidad está limitada a ciertos tipos de tráfico que son síntomas de intentos de ataques. ACTIVANDO EL SYSLOG 13. (IPS) Activaremos el envió de Log: Nota: En Linux existe el servicio de syslog, que controla todos los eventos del Sistema Operativo. Generaremos una entrada para derivar los eventos de Iptables a un archivo “iptables.log” # vi /etc/syslog.conf 

Al final del archivo agregar la siguiente línea: kern.warning /var/log/iptables.log

# service syslog restart  

Apertura otra ventana de Consola que será dedicada al monitoreo y ejecute el siguiente comando: # tail -f /var/log/iptables.log Cuando se realice los ataques mostrara la detección.

14. SYNC FLOOD  ATAQUE (I2) Enviaremos un ataque al puerto 80 del Servidor 192.168.80.111 y en grandes cantidades de 1000 microsegundos: # hping –a 192.168.80.119 –S 192.168.80.111 -p 80 –i u1000

(VW) Visualizando la captura: (I2)

Detener el ataque.  BLOQUEO Manual Activando el límite a un 1 segundo de envíos de SYNC. # cd /scripts # vi politicas.sh

-5-

Tecsup



Seguridad Informática I

Al final de archivo agregar las siguientes líneas:* #### PROTECCION CONTRA ATAQUES DoS #SYNC FLOOD iptables -A FORWARD -p tcp --syn -m limit –limit 1/s -j ACCEPT iptables -A FORWARD -p tcp --syn -j LOG --log-prefix "*** TCP FLOOD ***" --loglevel 4 iptables -A FORWARD -p tcp --syn -j DROP



Aplicar las políticas: # sh politicas.sh (I2) Vuelva a realizar el envió del ataque. (I2) Visualizara que hace una pausa cada 1 segundo. (I2) Detenga el ataque. (IPS) En el monitoreo del LOG visualizara la detección:

PARTE 5 Comprobaremos que en MODO FIREWALL no tiene la capacidad de detener ni detectar el ataque de un EXPLOIT. ACTIVANDO METAEXPLOIT 15. (I2) Activando el METAEXPLOIT WEB  En la parte inferior izquierda, visualizara un icono de la letra “K”: Clic a “K” > Backtrack > Penetration > Metasploit Exploitation FrameWork > Framework Version 2 > MsfWeb Nota: Aparecerá una ventana de consola indicando: Metasploit Framework Web Interface (127.0.0.1:55555). No cierre esta ventana. REALIZANDO EL EXPLOIT 16. (I2) Ingresando vía WEB al METAEXPLOIT   

Abra el navegador FireFox que está ubicado en la parte inferior izquierda Clic al icono “Un mundo con un zorro” (Esta al costado del icono de una monitor) Ingrese la dirección: http://127.0.0.1:55555 Secuencia de ataque:

Nota: Para realizar un ataque, se indicara el tipo de ataque (ataque), Que sistema operativo esta soportado (target), el modo de interactuar en el ataque con la victima (Payload). Al realizar el ataque se establecerá una conexión entre el intruso y la víctima, siendo necesario alcanzar la información de las direcciones IP´s. Ataque: clic “IIS 5.0 WebDAV ntdll.dll Overflow” Target: Clic “0 – Windows 2000 (BruteForce)

-6-

Tecsup

Seguridad Informática I Payload: Clic Win32_reverse RHOST Required ADDR: 192.168.80.111 LHOST Required ADDR: 192.168.80.119

 

Comenzará a realizar varios intentos de Conexión. Al tener éxito el Exploit aparecerá una línea con la palabra “session” seguido de un número: Clic a “session” Aparecerá la ventana de consola del Windows 2000. ¡Ya está  ¡



(VW) Reinicie el Windows 2000

PARTE 6 Realizaremos la inspección de los paquetes, activando el SNORT_INLINE que ha sido instalado. El SNORT_INLINE tiene las misma funcionalidad que el IDS SNORT a diferencia que en esta configuración lo asociaremos con las políticas del FIREWALL para detener los ataques dañinos. ACTIVANDO SNORT_INLINE 17. (IPS) Activando los servicios de Base de Datos, Snort_Inline y Apache: # service mysqld start # service httpd start # service snort_inline start DESVIANDO TRÁFICO A SNORT_INLINE 18. (IPS) Al archivo de Políticas agregar las siguientes líneas que están sombreadas. Estas líneas sombreadas deberá ser agregadas en la línea que continua a (/sbin/ifconfig … ) y desplazar las otras líneas hacia abajo. # vi politicas.sh #### AGREGANDO IP PUBLICA DE SAP /sbin/ifconfig eth0:0 $PUBSAP #### ENVIANDO TRAFICO A IPS iptables -A FORWARD -p all -j QUEUE iptables -A FORWARD -p all -j ACCEPT iptables -A INPUT -p all -j QUEUE



Activando las políticas: # sh politicas.sh

MONITOREO Nota: En el anterior monitoreo del IPTABLES se enviaba los eventos al archivo “iptables.log”. En este caso del IPS de SNORT estará enviando sus eventos al archivo “snort_inline-full” 19. (IPS) Monitoreando: CONSOLA: En una nueva ventana de Consola mantenga el monitoreo # tail –f /var/log/snort_inline/snort_inline-full

-7-

Tecsup

Seguridad Informática I BROWSER http://127.0.0.1/base/

Escaneo de Puertos 20. (I2) Abrir terminal y ejecutar el siguiente comando: nmap (Para explorar los puertos que se encuentran abiertos)

VISUALIZANDO LA DETECCIÓN CONSOLA

WEB http://127.0.0.1/base/  Refresque el navegador.

REALIZANDO EL EXPLOIT 21. (I2) Ingresando vía WEB al METAEXPLOIT  Cierre el Navegador

-8-

Tecsup

Seguridad Informática I

 

Abra el navegador FireFox Ingrese la dirección: http://127.0.0.1:55555



Secuencia de ataque: Ataque: clic “IIS 5.0 WebDAV ntdll.dll Overflow” Target: Clic “0 – Windows 2000 (BruteForce) Payload: Clic Win32_reverse RHOST Required ADDR: 192.168.80.111 LHOST Required ADDR: 192.168.80.119 PORT: 4322



No tendrá éxito el Exploit. Aparecerá varios intentos sin éxito:

VISUALIZANDO LA DETECCION 22. (IPS) Observe la detección del ataque: TCP CONSOLA

WEB http://127.0.0.1/base/  Refresque el navegador.  Ingrese a la Sección: TCP

REALIZANDO ATAQUE ICMP A continuación se procederá a enviar un ataque ICMP con 10000 paquetes, para verificar la efectividad del SNORT. 23. (I2) Abrir Terminal y ejecutar el siguiente comando:

-9-

Tecsup

Seguridad Informática I

hping -1 --icmp -a 192.168.80.119 -S 192.168.80.111 -i u1000 -c 10000

VISUALIZANDO LA DETECCIÓN CONSOLA

WEB http://127.0.0.1/base/  Refresque el navegador.

ICMP Se detectaron todos los ataques (10000). *NOTA:  Al realizar los siguientes ataques TCP en el Backtrack, estos no son reconocidos en el IPS. hping -p -{S, F, L, R, P , A , U, X, Y} -d -i u1000

- 10 -