Uso de IDS (Sistema de Deteccin de Intrusos) SNORT

NTOP ARPWATCH

Instalando EasyIDS
EasyIDS es una distribucin precompilada basada en CentOS que permite
instalar y administrar fcilmente el sistema de deteccin de intrusos en Red
Snort y analizar su comportamiento a travs del frontend BASE. Adems
incorpora varias herramientas tiles como monitores de red, del sistema,
nmap, etc
1. Cargar una nueva mquina virtual basad en Linux e instalar EasyIDS-0.4.

2. La primera pantalla del instalador nos mostrar lo siguiente, donde solo

bastar con aceptar la primera instancia (presionar ENTER)

3. El proceso de instalacin del SO CentOS y paquetes principales es muy

sencillo y automtico. Se preguntar por el idioma del teclado, zona
horaria y password del root del sistema.
4. Una vez terminada la instalacin, adicionalmente se instalarn
automticamente (mediante scripts) los paquetes correspondientes a las
herramientas necesarias talees como mysql, Snort, libreras, apache,
etc.
5. Finalmente y luego de la instalacin aparecer la venta de root (CentOS)
paraingresar al sistema

6. Se deber de acceder y se terminar de actualizar la herramienta, liego

mostrar una ventana como la que sigue:

7. Luego podremos abrir un navegador y digitar la direccin IP que nos

muestra (recordar poner en adaptador puente la maquina virtual):
https://xx.yy.ww.zz
8. Ya que se ha instalado seguridad al servidor Apache (automticamente),
solicitar
inicialmente
usuario
y
password
por
defecto
(admin/password) y nos saldr una ventana para crear usuario y
password de la base de datos a crear:

9. Finalmente nos mostrara la pantalla principal de EasyIDS, mostrando el

men principal y las herramientas montadas:

10.Lo primero que debemos de corroborar es el estado de los servicios

(status -> system):

11.Normalmente los servicios de NTOP y SNORT nos estn corriendo. Para

inicializarlos, bastar con ir a:
NTOP: Damos clic en Setting -> NTOP -> Network Settings e
ingresamos la subred donde estar nuestra IDS, damos clic en Save e
iniciamos el servicio.

12.Ahora nos centramos en el motor IDS: SNORT. Para poder habilitar el

servicio deberemos de revisar las interfaces que estn sensando la red
ya que es posible que tanto la interfa9ce de monitorizacin (sensor
snort) y la interface de administracin no est correctamente
configuradas. Para esto accedemos a consola del terminal del servidor
(ya sea directamente o mediante putty ya que se ha instalado un
servidor
ssh
automticamente)
y
digitamos:
vi
/etc/easyids/easyids.conf
Podremos ver que la interface de monitoreo est siendo eth1,
cambiamos a eth0 y guardamos

13.Finalmente realizamos service snort restart, para reiniciar solamente

el servicio de snort y veremos que ahora si todos los servicios se
encuentran inicializados y listos para empezar a funcionar:

14.Antes de empezar a explorara nuestro IDS, recordar que este servidor

Linux tiene IPTABLES por defecto en servicio, configurado con reglas
estndar y eso puede interferir en la captura de paquetes por parte de
SNORT, por lo que ser recomendable setener el servicio: service
iptables stop
Analizando las Alertas con SNORT
1. Podemos desde una PC (distinta a donde tenemos instalado el servidor)
que est dentro de la misma red realizar un nmap al servidor instalado
con SNORT, por ejemplo si usa un laboratorio anterior o una mquina
con Linux no se olvide de instalar la herramienta nmap: yum install y
nmap

2. Podr digitar: nmap <direccin IP del servidor IDS>, luego veremos

que el IDS ha sensado alertas (en este caso 8 alertas) diferenciadas por
tipo de puerto (TCP o UDP), puede navegar entre sus diferentes opciones
para identificar correctamente los detalles:

Qu puertos y servicios tiene abierto el servidor que contiene al IDS?

(de nmap)
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
___
Cules son las alertas presentadas luego del escaneo de puertos, como
la clasifica SNORT y desde donde vienen?
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
___
Qu dice el resumen de ataque del propio SNORT para el Ataque por
Reconocimiento?
_________________________________________________________________________
_________________________________________________________________________
_
3. Ahora desde otra mquina virtual realice lo siguiente hacia su servidor
IDS
nmap -sU <IP del IDS> -T5
nmap -PU <IP del IDS>

nmap
nmap
nmap
nmap

-sT
-PU
-sO
-sF

<IP
<IP
<IP
<IP

del
del
del
del

IDS>
IDS>
IDS>
IDS>

Qu tipo de paquetes ahora alerta el IDS?, Qu porcentaje son TCP,

UDP, ICMP?
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
___
Puede indicar a que se refiere con SCAN Amanda para puertos UDP?
_________________________________________________________________________
_________________________________________________________________________
__
4. Puede ahora desde otra PC levantar la aplicacin NetScanTools y realizar
un mapeo de puertos al servidor

Cmo identificara ahora desde donde est viniendo el mapeo de

puertos y cuantos request de scan realizo esta PC hacia el servidor?
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
__
Ingrese a varias pginas web desde el servidor IDS y nuevamente realice
un scan de puertos, finalmente realice un refresh al IDS.
Qu direcciones IP de destino muestra?

_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
__
5. Ahora puede borrar los registros de la BD Mysql de SNORT para limpiar
todo lo anterior.

6. Ahora utilice la aplicacin Netscantools -> Packet Flooder para generar

una inundacin de paquetes UDP hacia el servidor IDS, luego compruebe
las alertas de SNORT

A qu se refiere con Fragmentation overlap?

_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
___
Nota Importante:
Los IDS no solo detectan posibles ataques realizados hacia el propio servidor,
sino que detectan tambin los que pueden ocurrir en diferentes hosts de su
red. Pruebe ahora a realizar un nmap desde un sistema Linux hacia otra PC
distinta al servidor. Y compruebe el IDS, que resultados le dio.
7. finalmente podr tener grficas de las alertas generadas para consultarlo
cuando considere o guardarlas para futuras revisiones: Graphs -> Snort

NTOP
Es una herramienta que permite monitorizar en tiempo real una red. Es til
para controlar los usuarios y aplicaciones que estn consumiendo recursos de
red en un instante concreto. Los protocolos que es capaz de monitorear son:
TCP/UDP/ICMP, ARP, IPX, DLC y es capaz de agruparlos por FTP, HTTP, DNS,
Telnet, SMTP/POP/IMAP, SNMP
1. Analice el trfico generado en eth0. Para eso deber estar en la pantalla
principal de NTOP y buscar entre las grficas Historical Data, para acceder a
la grfica general:

1. Podr ver la grfica para la carga que se est generando en la red: TCP
Traffic, VoIP, Telnet Traffic, ICMP Traffic, HTTP Traffic, FTP Traffic,
UDP Traffic, SSH Traffic,
2. Retornando a la pgina principal podr ver tambin la distribucin
general de su red para los puertos TCP o UDP:

3. Tambin podr ver la carga que existe por tipo de protocolo

4. Si da clic en Zoom podr manipular a ms detalle la grfica.

5. Finalmente en la pgina principal podr ver el resumen de protocolos
que se han cursado en su red: Historical View

6. Tambin podr visualizar los Hosts que han interactuado en su red,

pudiendo identificarlos y hasta indicando si son potencialmente
peligrosos o no, debido al BW que estn consumiendo y la actividad que
han generado cada uno de ellos.
Adicionalmente se podr ver con que Hosts nuestra red ha interactuado
(internet)

7. Adicionalmente podr ingresar a cada Hosts, para ver la estadstica a

detalle de cada uno y poder determinar si se trata de algn equipo con
potencial riesgos o no. Adems podr visualizar toda la actividad de ese
equipo.
8. Finalmente puede desde una PC crear una conexin cliente servidor FTP
(mediante Filezilla) y activar en NTOP el Plugin Host Last Seen para
identificar la ltima sesin del Host. Ingrese a la IP del host donde realizo
esta conexin