lab 02 ids (sistema de detección de intrusos).docx

SEGURIDAD INFORMÁTICA I

LABORATORIO N° 02

IDS (Sistema de Detección de Intrusos)

CODIGO DEL CURSO: R66513

Alumno(s): Nota

Grupo: Ciclo: V

Criterio de EvaluaciónExcelente

(4pts)Bueno (3pts)

Requiere mejora (2pts)

No acept. (0pts)

Puntaje Logrado

Instala y personaliza un IDS, actualiza las firmas y prepara la base de datosInstala, configura y personaliza el software de monitoreo Web para un IDSUtiliza herramientas diversas para simular ataques que serán detectadosTrabaja con un Live CD para simulación de ataques a detectar

Es puntual y redacta el informe adecuadamente

REDES Y COMUNICACIONES DE DATOSPROGRAMA DE FORMACIÓN REGULAR

Laboratorio de Seguridad Informática INro. DD-106

Página 2 de 11

I.- OBJETIVOS: Auditar el tráfico de la red. Analizar y detectar tráfico malicioso.

II.- SEGURIDAD:Advertencia:En este laboratorio está prohibida la manipulación del hardware, conexiones eléctricas o de red; así como la ingestión de alimentos o bebidas.

III.- FUNDAMENTO TEÓRICO:Debe revisar el fundamento teórico en la separata del curso y en las diapositivas de la sesión de teoría.

IV.- NORMAS EMPLEADAS:No aplica

V.- RECURSOS: En este laboratorio cada alumno trabajará con un equipo con Windows XP. Este equipo debe tener instalado el programa VMware Workstation para la definición y administración de

los equipos virtuales. Los equipos virtuales preparados para el desarrollo del laboratorio.

VI.- METODOLOGÍA PARA EL DESARROLLO DE LA TAREA: El desarrollo del laboratorio es individual.

VII.- PROCEDIMIENTO:

IMPORTANTE: Todos los equipos deben ser conectados a la red VMnet2.

PARTE 1Activaremos y configuraremos el IDS. Los programas a usar se encuentra en la máquina virtual en el directorio /soft

MÁQUINA VIRTUAL IDS1. (IDS) Prepare una Máquina Virtual Centos SERVER:

Descomprima el archivo “Linux IDS PCC.rar” Renombre la carpeta y el equipo virtual a IDS. Inicie la máquina virtual (Usuario = root, Contraseña = tecsup). La máquina virtual está configurada con los siguientes datos: IP: 192.168.90.115. Si aparece un

nuevo dispositivo detectado, seleccione: Ninguna modificación

Nota: Las dependencias se encuentran en los CD´S de CENTOS (ya fueron instaladas). Las dependencias (programas) a tener instalado previamente en el IDS son: mysql mysql-bench mysql-server mysql-devel mysqlclient10 php-mysql httpd gcc pcre-devel php-gd gd mod_ssl glib2-devel gcc-c++

INSTALACIÓN2. (IDS) Instalación del SNORT:

Abra una ventana Terminal y ejecute los siguientes comandos (pueden tardar unos minutos):cd /softtar zxvf snort-2.6.1.4.tar.gz cd snort-2.6.1.4./configure --with-mysql --enable-dynamicpluginmakemake install

Cree un usuario y grupo “snort”:groupadd snortuseradd –g snort snort –s /sbin/nologin


Página 3 de 11

Cree los siguientes directorios:mkdir /etc/snortmkdir /etc/snort/rulesmkdir /var/log/snort

Copie la configuración:cp /soft/snort-2.6.1.4/etc/* /etc/snort

FIRMAS3. (IDS) Se actualizarán las firmas:

Ejecute los siguientes comandos:cd /softcp snortrules-snapshot-CURRENT.tar.gz /etc/snortcd /etc/snorttar zxvf snortrules-snapshot-CURRENT.tar.gz

Observe la creación del directorio “rules” y vea la relación de los tipos de ataques que puede inspeccionar:cd rulesls

Nota: El archivo snortrules se ha obtenido del enlace http://www.snort.org/pub-bin/downloads.cgi en la sección “Sourcefire VRT Certified Rules - The Official Snort Ruleset (unregistered user release)”

PERSONALIZACIÓN4. (IDS) Personalice el archivo “snort.conf”:

Abra el archivo de configuración de snort:cd /etc/snortvi snort.conf

Ubique las siguientes variables y modifique las líneas respectivas. Use las líneas no comentadas del archivo y no es preciso que agregue los comentarios (#):# Declarando la red a monitorearvar HOME_NET 192.168.90.0/24

# Indicando la ruta de las firmasvar RULE_PATH /etc/snort/rules

Busque la primera líneas que haga referencia a la configuración de base de datos (output database), quítele el comentario y modifíquela como se muestra a continuación (no es preciso que agregue la línea de comentario):# Base de datos a guardar la detección de tráficooutput database: log, mysql, user=snort password=tecsup dbname=snort host=localhost

Termine la edición del archivo guardando los cambios.

Nota: En el directorio /soft se encuentra un archivo preconfigurado “snort.conf” que puede usarlo para reemplazar al original.

BASE DE DATOS PARA SNORT5. (IDS) Cree la estructura de la Base de Datos para SNORT:

Active el servicio de Base de Datosservice mysqld restart

Envíe el archivo base.txt preparado con los usuarios y permisos para la base de datos: mysql –u root < /soft/base.txt

Vea la creación de una tabla SNORT:mysql –pEnter Password: tecsupmysql> show databases;mysql> exit;

Inserte la estructura de la base de datos de SNORT logs (Alerta)mysql –u root –p < /soft/snort-2.6.1.4/schemas/create_mysql snortEnter Password: tecsup


Página 4 de 11

Compruebe la creación de las tablas:mysql –p Enter Password: tecsupmysql> use snortmysql> show tables;mysql> exit;

Active la base de datos:service mysqld restartchkconfig mysqld on

PARTE 2Instalaremos una consola WEB (BASE) de monitoreo del IDS, que nos permitirá visualizar el tráfico malicioso.

Nota: La instalación de librerías (Image_Canvas-alpha Image_Color Image_Graph-alpha Numbers_Roman) ya se ha realizado con el comando:pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman

INSTALACION DEL BASE6. (IDS) Instale el programa BASE:

cd /softcp adodb494.tgz /var/wwwcd /var/wwwtar zxvf adodb494.tgz

cd /softcp base-1.2.6.tar.gz /var/www/htmlcd /var/www/htmltar zxvf base-1.2.6.tar.gzmv base-1.2.6 base

CONFIGURACIÓN DEL BASE7. (IDS) Personalizando el archivo “base_conf.php”:

Método AUTOMÁTICO (se tiene un archivo preparado):cd /softcp base_conf.php /var/www/html/base/

Método MANUAL:cd /var/www/html/basecp base_conf.php.dist base_conf.phpvi base_conf.php

$BASE_Language = ’spanish’;$BASE_urlpath = ’/base’;$DBlib_path = ’/var/www/adodb’;

$DBtype = ’mysql’;$alert_dbname = ’snort’;$alert_host = ’localhost’;$alert_port = ’’;$alert_user = ’snort’;$alert_password = ’tecsup’;

$colored_alerts = 1;

PERSONALIZACIÓN DEL BASE10. (IDS) Personalizando Base de Datos de BASE:

Active el servicio Apache:service httpd restart

Acceda a BASE vía el navegador usando la página http://192.168.90.115/base/

http://192.168.90.115/base/


Página 5 de 11

Haga clic en pagina de configuración, luego en Create BASE AG Cierre el navegador y vuelva a ingresar a http://192.168.90.115/base/

Mueva el directorio de FIRMAS:mv /etc/snort/doc/signatures /var/www/html/base/

PARTE 3Activaremos el SNORT y realizaremos el monitoreo

SCRIPT DE ACTIVACIÓN8. (IDS) Activación del SCRIPT:

Aplique permisos y copie el archivo al directorio /etc/init.d:cd /softchmod 755 snortcp snort /etc/init.dchkconfig snort on

Active el servicio de SNORT:service snort start

MONITOREO9. (IDS) Puede hacerse por consola o por Web:

Por CONSOLA: En una ventana de Consola adicional, mantenga el monitoreo de snort:tail –f /var/log/snort/alert

Por Web: ingrese a la página http://127.0.0.1/base/

PARTE 4Activaremos las máquinas virtuales VW (Víctima Windows 2000) y I1 (Intruso Windows XP).

MÁQUINA VIRTUAL VW10. (VW) Prepare una Máquina Virtual Windows 2000 Server:

Descomprima el archivo “Windows 2000 VW.rar” Renombre la carpeta y el equipo virtual a VW. Inicie la máquina virtual (use la opción Keep y no olvide conectarla a la red VMnet2). La máquina virtual está configurada con los siguientes datos (usuario = Administrador, contraseña =

tecsup):Nombre: vw.labo.com.peDominio: laboIP: 192.168.90.114DNS: 127.0.0.1

11. (VW) Instale el Terminal Server: Ingrese al Panel de control > Agregar o quitar programas > Agregar o quitar componentes de

Windows. Active la casilla Servicios de Terminal Server y haga clic en Siguiente.

http://127.0.0.1/base/

http://192.168.90.115/base/


Página 6 de 11

Seleccione la opción Modo de administración remoto y haga clic en Siguiente y complete el asistente (los archivos necesarios para completar la instalación están en la carpeta C:\i386).

Reinicie cuando se solicite.

12. (VW) Configure una página WEB (el IIS ya está instalado): Cree el archivo c:\inetpub\wwwroot\default.htm (asegúrese de asignar bien la extensión de

archivo) Agregue el contenido siguiente al archivo creado:

“Hola Mundo Windows”

13. (VW) Cambie la clave al “Administrador”: Ingrese a la herramienta Usuarios y equipos de Active Directory. Modifique la contraseña al siguiente usuario:

Usuario ContraseñaAdministrador orange

MÁQUINA VIRTUAL I114. (I1) Prepare una Máquina Virtual Windows XP:

Descomprima el archivo “Windows XP I1.rar” Renombre la carpeta y el equipo virtual a I1. Inicie la máquina virtual (use la opción Keep y no olvide conectarla a la red VMnet2). La máquina virtual está configurada con los siguientes datos:

Nombre: i1.labo.com.peIP: 192.168.90.110

ACCESO A LOS SERVICIOS15. (I1) Acceda a los servicios de VW:

Visite la página WEB: http://192.168.90.114 Acceda vía Escritorio Remoto (ejecute el comando mstsc):

Equipo: 192.168.90.114 Usuario: Administrador Contraseña: orange

Cierre la sesión en la ventana de Escritorio Remoto.

PARTE 5Se usarán varios programas en I1. Estos programas están en el directorio E:\soft de la misma máquina virtual.

INSTALACIÓN DE HERRAMIENTAS:16. (I1) Instale el Sniffer Wireshark y el NMAP:

Ejecute wireshark-setup-0.99.5.exe y complete el asistente con las opciones predeterminadas. Descomprima el archivo nmap-4.20-win32.zip

17. (I1) Haga las pruebas usando el NMAP: Abra una ventana Símbolo del sistema. Ubíquese en el directorio del “nmap” y ejecute:

nmap -sS –O 192.168.90.114

DETECCIÓN18. (IDS) Vea la detección del ataque en el monitoreo de CONSOLA y WEB (en la sección Tráfico de

Exploración de Puertos):

http://192.168.90.114/


Página 7 de 11

PARTE 6Al haber averiguado que se tiene el puerto de Terminal Server, ahora aplicaremos un crackeador Online de Password (TSGRINDER)

PASSWORD ONLINE19. (I1) Use el programa Tsgrinder:

Descomprima el archivo tsgrinder-2.03.zip. En la ventana Símbolo del sistema, ingrese al directorio del TSGRINDER y ejecute:

tsgrinder –b –u administrador 192.168.90.114Comenzará a aparecer ventanas de Terminal Server, no presionar nada hasta que aparezca que ha tenido éxito o luego de unos intentos

Cierre sesión si el intento fue exitoso o presione CTRL + C para cancelar los intentos de descifrado de contraseña.

Reinicie el equipo I1.

20. (IDS) Vea la detección del ataque en el monitoreo de CONSOLA y WEB (en la sección: TCP)

21. (VW) Al usuario “Administrador” cámbiele la clave:Usuario Contraseña

Administrador tecsup

PARTE 7Verificación de vulnerabilidades del Servidor Windows 2000 com NESSUS. “Nessus” es un scanner de vulnerabilidades que está compuesto de un software Server y Cliente.

INSTALACIÓN DE NESSUS22. (I1) Instale el Nessu Server:

Ejecute el archivo Nessus-3.0.5.exe Complete el asistente con las opciones predeterminadas hasta que aparezca el cuadro de diálogo

Question (hacer clic en No). Espere que se complete la instalación (puede tardar unos minutos).

23. (I1) Genere cuentas de administración del NESSUS: Ingrese a Inicio > Todos los programas > Tenable Network Security > Nessus > User Management. Haga clic en Add User y defina:

User: admin Password: tecsup

Haga clic en OK al terminar y cierre el programa User Management.

24. (I1) Descomprima el software Nessus Client: Descomprima el archivo: Nessuswx-1.4.5d.zip Cree la carpeta E:\NessusDB

EJECUCIÓN DEL NESSUS25. (I1) Revise las vulnerabilidades de VL:

En el Explorador, ingrese a la carpeta donde descomprimió el archivo Nessuswx-1.4.5d.zip. Haga doble clic en el programa: NessuWX En la ficha Settings, en el cuadro Database directory, escriba (o busque) la ruta E:\NessusDB y haga

clic en Aceptar. Ingrese al menú Communications > Connect. En el cuadro Login, ingrese el usuario creado admin y haga clic en Connect. En la ventana New Server Certificate, haga clic en Accept Once. Ingrese la contraseña asignada tecsup y haga clic en OK. Ingrese al menú Session > New. En la ventana New Session, escriba VL y haga clic en Create. En la ventana Session Properties – VL, en la ficha Targets, haga clic en Add.


Página 8 de 11

En la ventana Add Target, en el cuadro Host name or IP address, escriba 192.168.90.114 y haga clic en OK.

Haga clic en Aceptar. Haga clic secundario en VL y seleccione Execute. En la ventana Execute Session, haga clic en Execute. Espere a que terminen todas las pruebas (debe

llegar al 100%). Cuando termine, haga clic en Preview. En la ventana View Session Results, verifique los resultados y cuando termine, cierre la ventana. Haga clic en Close y luego en Exit.

DETECCIÓN DE LA REVISIÓN DE VULNERABILIDADES26. (IDS) Vea la detección del ataque en el monitoreo de CONSOLA y WEB.

En la sección TCP (debe haber varias páginas de detecciones):

En la sección UDP:

En la sección Trafico de Exploración de Puertos:

Apague la máquina virtual I1.

PARTE 8Explotaremos la vulnerabilidad MS03-026 del Servidor Windows 2000. Para esta acción usaremos una Distribución de Linux LIVE (BACKTRACK), que incorpora varios exploits, incluido el exploit MS03-026.

Nota: El BACKTRACK es un LIVE CD, para correrlo en una máquina virtual, tendremos que generar un perfil de máquina virtual.

CREACIÓN DE MÁQUINA VIRTUAL27. (I2) En el VMWARE, defina una nueva máquina virtual con las siguientes características:

Opción ValorVirtual machine configuration CustomVirtual machine format New – Workstation 5Guest operating system Linux, Other Linux 2.6.x kernelVirtual machine name I2Location En la unidad D, en una carpeta correspondiente al

cursoMemory 208MBNetwork connection Use host-only networkingI/O adapter types SCSI Adapters, BusLogicDisk Create a new virtual diskVirtual disk type SCSIDisk capacity 8GBDisk file (predeterminado)

28. (I2) Modifique la máquina virtual definida:

Opción ValorRed VMnet2CD-ROM CD-ROM (configurar la imagen ISO del Live CD provista por el

instructor)USB Controller, Audio Quitarlos


Página 9 de 11

PERSONALIZACIÓN DE LA MÁQUINA VIRTUAL29. (I2) Inicie y personalice la máquina virtual:

Escoja la primera opción del menú y presione INTRO. Cuando cargue, inicie sesión con el usuario root y la contraseña toor Abra una consola (segundo icono de la esquina inferior derecha) y ejecute el siguiente comando para

configurar la dirección IP:ifconfig eth0 192.168.90.111

Pruebe si tiene comunicación con el equipo IDS (haciendo ping a 192.168.90.115).

30. (I2) Personalice la sesión de Backtrack: Haga clic secundario en la bandera US (esquina inferior derecha) y seleccione Configure. En la lista, seleccione la opción Latin American, haga clic en Add, luego en OK. Ya está agregada la

opción a la lista de configuraciones activas. Haga clic secundario nuevamente en US y seleccione la opción Latin American.

EJECUCIÓN DEL METAEXPLOIT31. (I2) Realice el ataque:

Haga clic en el menú principal (K en la esquina inferior izquierda) > Backtrack > Penetration > Framework Version 2 > Framework2-MsfWeb (se muestra una consola indicando: Metasploit Framework Web Interface (127.0.0.1:55555) que debe mantener abierta).

Abra el navegador Firefox (esquina inferior izquierda junto al icono de monitor). Ingrese la dirección: http://127.0.0.1:55555 (Exploits) En la lista, busque y haga clic en la opción Microsoft RPC DCOM MS03-026 (Target) En la siguiente página Web, haga clic en 0 – Windows NT SP3-6a/2K/XP/2K3 English ALL

(default) (Payload) En la siguiente página Web, haga clic en Win32_reverse Ingrese los siguientes datos:

o RHOST Required ADDR: 192.168.90.114 (es el equipo remoto VW)o LHOST Required ADDR: 192.168.90.111 (es la IP del equipo local)

Haga clic en Exploit. Si se tiene éxito, el Exploit aparecerá en una línea con la palabra “session N” donde N representa un

valor numérico. En caso de que el sistema se encuentre actualizado con el parche de seguridad, se muestra la línea FAULT con el código 0x000000005.

Haga clic en session N.

DETECCIÓN DEL ATAQUE32. (IDS) Vea la detección del ataque en el monitoreo de CONSOLA y WEB en la sección TCP:

PARTE 9Activaremos que el SNORT envíe la alerta a una cuenta de correo local llamada “auditor”. El programa “PIGSENTRY” generará el correo. Para visualizar el correo usaremos el WEBMAIL de LINUX “SQUIERREMAIL”

ACTIVACIÓN DEL CORREO33. (IDS) Personalizando la recepción de correos:

Creando una cuenta de usuario (use la contraseña auditor):adduser auditorpasswd auditor

Active servicio de correo:service sendmail startservice dovecot start

Compruebe el acceso al correo y a la cuenta ingresando a la dirección http://192.168.90.115/webmail con el usuario auditor y la contraseña auditor (definidos en los pasos previos).

http://192.168.90.115/webmail


Página 10 de 11

CAPTURA DE ALERTAS34. (IDS) Capturaremos las alertas del IDS para enviarla al correo:

Abra una nueva ventana de consola y ejecute los siguientes comandos:cd /softchmod 775 pigsentry/soft/pigsentry -l /var/log/snort/alert -m auditor@localhost

El pigsentry quedará en espera. No cierre esta ventana de consola.

35. Haga unos ajustes para volver a realizar el ataque: (VW) Reinicie la máquina VW (I2) Reinicie la máquina I2 y realice nuevamente el ataque del “METAEXPLOIT” hasta obtener la

Session N.

CONSULTA DE ALERTA36. (IDS) Refresque el navegador de la cuenta “auditor”. Encontrará un correo similar al siguiente:

PARTE 10 (NO REALIZARLA)Instalaremos un reportador que resume las alertas generadas por el SNORT.

INSTALACIÓN37. (IDS) Instale el reportador “snortreport”:

cd /softtar zxvf snortreport-1.3.1.tar.gz mv snortreport-1.3.1 /var/www/html/snortreport

38. (IDS) Edite el archivo “srconf.php” para indicar la base de datos a conectarse: Ejecute los comandos:

cd /var/www/html/snortreportvi srconf.php

Edite las líneas resaltadas:

$server = “localhost”;$user = “snort”;$pass = “tecsup”;$dbname = “snort”;

$dbtype= “mysql”;

define(“JPGRAPH_PATH”, “/var/www/jpgraph/src/”);define(“NMAP_PATH”, “/usr/bin/nmap –v”);

39. (IDS) Instale la librería JPGRAPH (El archivo indicado no se encuentra disponible en la máquina virtual):cd /softtar zxvf jpgraph-1.20.tar.gz mv jpgraph-1.20 /var/www/jpgraph

CONSULTA40. (IDS) En una ventana de navegador acceda a la dirección http://192.168.90.115/snortreport/

http://192.168.90.115/snortreport/


Página 11 de 11

Enlace sobre Reglas de Snort: http://packetstormsecurity.nl/papers/IDS/snort_rules.htm

VIII.- OBSERVACIONES

IX.- CONCLUSIONES

lab 02 ids (sistema de detección de intrusos).docx

Documents