SEGURIDAD INFORMATICA I Laboratorio Nº 3 “IPS LINUX” Tecsup Seguridad Informática I “IPS LINUX” OBJETIVOS Auditori
Views 75 Downloads 0 File size 493KB
SEGURIDAD INFORMATICA I Laboratorio Nº 3 “IPS LINUX”
Tecsup
Seguridad Informática I “IPS LINUX”
OBJETIVOS Auditoria de la red. Análisis detección y bloqueo de trafico malicioso. EQUIPOS PC real y máquinas virtuales PROCEDIMIENTO PARTE 1 Activaremos y configuraremos el IPS. MAQUINA VIRTUAL PREPARADA IPS 1. (IPS) Descomprima “Linux IPS PCC.rar” Active la máquina virtual. En la máquina virtual en vez del CTRL + ALT + DEL use CTRL + ALT + INSERT La máquina virtual está configurada con los siguientes datos: IP eth0: 192.168.90.70 IP eth1: 192.168.80.1 IP eth2: 192.168.70.1
Al activar la máquina virtual: Nota: Si aparece nuevo dispositivo detectado, seleccionar:
Login: root Password: tecsup
PERSONALIZANDO LOS DATOS DE CONECTIVIDAD 2. (IPS) Configurando la conectividad de IP: INTERFACE eth0 eth1 eth2
ZONE OUTSIDE DMZ INSIDE
IP 192.168.80.110/24 192.168.10.10/24 192.168.20.1/24
# vi /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 ONBOOT=yes BOOTPROTO=static IPADDR=192.168.80.110 1.110 NETMASK=255.255.255.0
# vi /etc/sysconfig/network-scripts/ifcfg-eth1 DEVICE=eth1 ONBOOT=yes BOOTPROTO=static IPADDR=192.168.10.10 NETMASK=255.255.255.0
-1-
Tecsup
Seguridad Informática I
# vi /etc/sysconfig/network-scripts/ifcfg-eth2 DEVICE=eth2 ONBOOT=yes BOOTPROTO=static IPADDR=192.168.20.1 NETMASK=255.255.255.0 PUERTA DE ENLACE Y NOMBRE # vi /etc/sysconfig/network NETWORKING=yes HOSTNAME=ips.empresa20.com.pe GATEWAY=192.168.80.1 # vi /etc/hosts 127.0.0.1 localhost.localdomain localhost 192.168.80.110 ips.empresa20.com.pe ips RESOLUCION # vi /etc/resolv.conf search localdomain nameserver 192.168.65.43
Al terminar de configurar reiniciar: # init 6
PARTE 2 Generaremos Políticas con IPTABLES. POLITICAS 3. (IPS) Configurando la conectividad de IP: CONFIGURANDO POLITICAS 4. (IPS) Para probar las capacidades de detección y bloqueo se procederá a configurar las políticas que permitan el paso de todo tráfico en todas las interfaces: FROM TRUST UNTRUS T DMZ TRUST
TO UNTRUST DMZ
Source Any Any
Destination Any Any
Service Any Any
Action Permit Permit
UNTRUST DMZ
Any Any
Any Any
Any Any
Permit Permit
Nota: En el directorio /scripts existe un archivo “politicas.sh” que ha sido preparado con estas acciones. Al inicio del archivo se ha declarado las variables que influye en las acciones de las políticas. Deberá personalizar estas variables adecuando a los valores del diagrama: # cd /scripts # vi politicas.sh
-2-
Tecsup
Seguridad Informática I
#### DECLARACION DE VARIABLES REDUSER=192.168.20.0/24 REDDMZ=192.168.10.0/24 PRIVSAP=192.168.10.5 PUBSAP=192.168.80.111
Grabe los cambios. Aplique las políticas: # sh politicas.sh Visualizando la activación de las políticas: # iptables -t nat –L
PARTE 3 Instalaremos las máquinas virtuales, para comprobar el funcionamiento del LINUX como FIREWALL. TODAS las PC estarán en modo HOSTS. MAQUINA VIRTUAL PREPARADA VW 5. (VW) Se ha preparado una Máquina Virtual Windows2000: Descomprima “Windows JP-VW.rar” Active la máquina virtual. En la máquina virtual en vez del CTRL + ALT + DEL use CTRL + ALT + INSERT Al activar la máquina virtual: Configure los datos de conectividad: IP: 192.168.10.5 GW: 192.168.10.10 DNS: 192.168.10.5
Reiniciar VW. (Para asegurar la configuración de IP)
CONFIGURANDO PÁGINA WEB 6. (VW) Crear una página WEB: Archivo: default.htm Directorio: c:\inetpub\wwwroot Contenido: “Pagina Web 192.168.10.5 (PRIV) 192.168.80.111(PUB)” MAQUINA VIRTUAL PREPARADA AD 7. (AD) Se ha preparado una Máquina Virtual Windows98: Descomprima “Windows 98 PCC.rar” Active la máquina virtual. En la máquina virtual en vez del CTRL + ALT + DEL use CTRL + ALT + INSERT La cuenta de acceso “Alumno” no tiene password.
-3-
Tecsup
Seguridad Informática I Configure los datos de conectividad: Nota: Al configurar la Puerta de Enlace y DNS deberá de quitar el anterior y agregar los nuevos valores. IP: 192.168.20.50 GW: 192.168.20.1 DNS: 192.168.10.5
MAQUINA VIRTUAL PREPARADA INTRUSO 8. (I2) En el VMWARE crear un nuevo perfil: Menu “File” > New > Virtual Machine > (.) Typical > (.) Linux > Virtual machine name: Backtrack > (.) Use bridged > Disk Size: 1.0 [Finalizar]
Clic Edit virtual Machine : o Clic Floppy o Clic Memory : 250 MB o Clic CD-ROM (.) Use ISO image “Según las indicaciones, ubique el ISO BACKTRACK (bt2final.iso)”
Active la Máquina Virtual. Al aparecer: boot Presione En el menú de VMWARE, maximice la ventana: Menu “View” “FULL SCREEN”
PERSONALIZANDO 9. (I2) Al terminar de cargar personalizaremos: Login: root Password: toor # ifconfig eth0 192.168.80.119 # route add default gw 192.168.80.1 # startx Cambiando de IDIOMA: En la parte inferior derecha: Clic derecho bandera “US” “Configure” En la sección “Available Layouts”: Clic “Latin American” Clic derecho bandera “US” Seleccione “Latin American” PRUEBAS
Nota: Comprobando las políticas de Salida y Entrada: TRUST UNTRUST 10. (AD) Accediendo a los servicios de I2: Clic Inicio > Ejecutar > command Envié un PING: ping 192.168.80.119 TRUST DMZ 11. (AD) Accediendo a los servicios de VW: Visite la Página WEB: http://192.168.10.5 UNTRUST DMZ 12. (I2) Accediendo a los servicios de VW: Visite la Página WEB: http://192.168.80.111 Envié un PING: ping 192.168.80.111 Nota: Si existen problemas en las pruebas, verifique la configuración de los parámetros de las Políticas.
-4-
Tecsup
Seguridad Informática I
PARTE 4 IPTABLES tienen la capacidad de inspeccionar el tráfico sin necesitar la capacidad del IPS. Esta capacidad está limitada a ciertos tipos de tráfico que son síntomas de intentos de ataques. ACTIVANDO EL SYSLOG 13. (IPS) Activaremos el envió de Log: Nota: En Linux existe el servicio de syslog, que controla todos los eventos del Sistema Operativo. Generaremos una entrada para derivar los eventos de Iptables a un archivo “iptables.log” # vi /etc/syslog.conf
Al final del archivo agregar la siguiente línea: kern.warning /var/log/iptables.log
# service syslog restart
Apertura otra ventana de Consola que será dedicada al monitoreo y ejecute el siguiente comando: # tail -f /var/log/iptables.log Cuando se realice los ataques mostrara la detección.
14. SYNC FLOOD ATAQUE (I2) Enviaremos un ataque al puerto 80 del Servidor 192.168.80.111 y en grandes cantidades de 1000 microsegundos: # hping –a 192.168.80.119 –S 192.168.80.111 -p 80 –i u1000
(VW) Visualizando la captura: (I2)
Detener el ataque. BLOQUEO Manual Activando el límite a un 1 segundo de envíos de SYNC. # cd /scripts # vi politicas.sh
-5-
Tecsup
Seguridad Informática I
Al final de archivo agregar las siguientes líneas:* #### PROTECCION CONTRA ATAQUES DoS #SYNC FLOOD iptables -A FORWARD -p tcp --syn -m limit –limit 1/s -j ACCEPT iptables -A FORWARD -p tcp --syn -j LOG --log-prefix "*** TCP FLOOD ***" --loglevel 4 iptables -A FORWARD -p tcp --syn -j DROP
Aplicar las políticas: # sh politicas.sh (I2) Vuelva a realizar el envió del ataque. (I2) Visualizara que hace una pausa cada 1 segundo. (I2) Detenga el ataque. (IPS) En el monitoreo del LOG visualizara la detección:
PARTE 5 Comprobaremos que en MODO FIREWALL no tiene la capacidad de detener ni detectar el ataque de un EXPLOIT. ACTIVANDO METAEXPLOIT 15. (I2) Activando el METAEXPLOIT WEB En la parte inferior izquierda, visualizara un icono de la letra “K”: Clic a “K” > Backtrack > Penetration > Metasploit Exploitation FrameWork > Framework Version 2 > MsfWeb Nota: Aparecerá una ventana de consola indicando: Metasploit Framework Web Interface (127.0.0.1:55555). No cierre esta ventana. REALIZANDO EL EXPLOIT 16. (I2) Ingresando vía WEB al METAEXPLOIT
Abra el navegador FireFox que está ubicado en la parte inferior izquierda Clic al icono “Un mundo con un zorro” (Esta al costado del icono de una monitor) Ingrese la dirección: http://127.0.0.1:55555 Secuencia de ataque:
Nota: Para realizar un ataque, se indicara el tipo de ataque (ataque), Que sistema operativo esta soportado (target), el modo de interactuar en el ataque con la victima (Payload). Al realizar el ataque se establecerá una conexión entre el intruso y la víctima, siendo necesario alcanzar la información de las direcciones IP´s. Ataque: clic “IIS 5.0 WebDAV ntdll.dll Overflow” Target: Clic “0 – Windows 2000 (BruteForce)
-6-
Tecsup
Seguridad Informática I Payload: Clic Win32_reverse RHOST Required ADDR: 192.168.80.111 LHOST Required ADDR: 192.168.80.119
Comenzará a realizar varios intentos de Conexión. Al tener éxito el Exploit aparecerá una línea con la palabra “session” seguido de un número: Clic a “session” Aparecerá la ventana de consola del Windows 2000. ¡Ya está ¡
(VW) Reinicie el Windows 2000
PARTE 6 Realizaremos la inspección de los paquetes, activando el SNORT_INLINE que ha sido instalado. El SNORT_INLINE tiene las misma funcionalidad que el IDS SNORT a diferencia que en esta configuración lo asociaremos con las políticas del FIREWALL para detener los ataques dañinos. ACTIVANDO SNORT_INLINE 17. (IPS) Activando los servicios de Base de Datos, Snort_Inline y Apache: # service mysqld start # service httpd start # service snort_inline start DESVIANDO TRÁFICO A SNORT_INLINE 18. (IPS) Al archivo de Políticas agregar las siguientes líneas que están sombreadas. Estas líneas sombreadas deberá ser agregadas en la línea que continua a (/sbin/ifconfig … ) y desplazar las otras líneas hacia abajo. # vi politicas.sh #### AGREGANDO IP PUBLICA DE SAP /sbin/ifconfig eth0:0 $PUBSAP #### ENVIANDO TRAFICO A IPS iptables -A FORWARD -p all -j QUEUE iptables -A FORWARD -p all -j ACCEPT iptables -A INPUT -p all -j QUEUE
Activando las políticas: # sh politicas.sh
MONITOREO Nota: En el anterior monitoreo del IPTABLES se enviaba los eventos al archivo “iptables.log”. En este caso del IPS de SNORT estará enviando sus eventos al archivo “snort_inline-full” 19. (IPS) Monitoreando: CONSOLA: En una nueva ventana de Consola mantenga el monitoreo # tail –f /var/log/snort_inline/snort_inline-full
-7-
Tecsup
Seguridad Informática I BROWSER http://127.0.0.1/base/
Escaneo de Puertos 20. (I2) Abrir terminal y ejecutar el siguiente comando: nmap (Para explorar los puertos que se encuentran abiertos)
VISUALIZANDO LA DETECCIÓN CONSOLA
WEB http://127.0.0.1/base/ Refresque el navegador.
REALIZANDO EL EXPLOIT 21. (I2) Ingresando vía WEB al METAEXPLOIT Cierre el Navegador
-8-
Tecsup
Seguridad Informática I
Abra el navegador FireFox Ingrese la dirección: http://127.0.0.1:55555
Secuencia de ataque: Ataque: clic “IIS 5.0 WebDAV ntdll.dll Overflow” Target: Clic “0 – Windows 2000 (BruteForce) Payload: Clic Win32_reverse RHOST Required ADDR: 192.168.80.111 LHOST Required ADDR: 192.168.80.119 PORT: 4322
No tendrá éxito el Exploit. Aparecerá varios intentos sin éxito:
VISUALIZANDO LA DETECCION 22. (IPS) Observe la detección del ataque: TCP CONSOLA
WEB http://127.0.0.1/base/ Refresque el navegador. Ingrese a la Sección: TCP
REALIZANDO ATAQUE ICMP A continuación se procederá a enviar un ataque ICMP con 10000 paquetes, para verificar la efectividad del SNORT. 23. (I2) Abrir Terminal y ejecutar el siguiente comando:
-9-
Tecsup
Seguridad Informática I
hping -1 --icmp -a 192.168.80.119 -S 192.168.80.111 -i u1000 -c 10000
VISUALIZANDO LA DETECCIÓN CONSOLA
WEB http://127.0.0.1/base/ Refresque el navegador.
ICMP Se detectaron todos los ataques (10000). *NOTA: Al realizar los siguientes ataques TCP en el Backtrack, estos no son reconocidos en el IPS. hping -p -{S, F, L, R, P , A , U, X, Y} -d -i u1000
- 10 -