instalación de un honeypot y nids william alirio bermon rico
Contents
1. Fa ubuntu Corriendo Oracle VM VirtualBox B ubuntu Contrase a Sesi n de invitado O P OW DERECHA u 9 04 p m LI 4 Mo B Paso 3 Ya el escritorio de Ubuntu ejecutar el men de Inicio y buscar el terminal y proceder a abrirlo a ubuntu Corriendo Oracle VM VirtualBox du ED fy 21 06 ubuntu aj SEN terminal fji Aplicaciones Terminal 9 ogg dq scm Derecha 7 9 06 M lll LS sgg Paso 4 Ya abriendo el terminar debemos realizar el logeo para pasar al super administrador de Ubuntu para poder instalar los paquetes necesarios para el correcto funcionamiento de Snort Escribiendo en el terminal su para que solicite la clave del super administrador en nuestro caso personal aun no hab amos configurado una clave del super administrador y para poder cambiar por la clave normal de acceso el mismo terminal se escribe el comando sudo passwd root Seguido de esto el terminal solicita que digite la clave del usuario y que por favor la vuelva a escribir Despu s de tener la constrase a volver a intentar con su y logearse como super administrador al ubuntu Corriendo Oracle VM VirtualBox A Terminal ES fy 4 21 18 A ubuntu ubuntu ubuntu VirtualBox 9 ubuntu ubuntu VirtualBox su Contrase a mm Pasando de modo usuario a modo super adinistrador ubuntu Corriendo Oracle VM VirtualBox a Termin2. Preprocessor Object SF SDF IPV6 Version 1 Build 1 gt Preprocessor Object SF POP IPV6 Version 1 lt Build 1 gt Preprocessor Object SF_SSH IPV6 Version 1 lt Build 3 gt Preprocessor Object SF_GTP IPV6 Version 1 lt Build 1 gt Preprocessor Object SF_SSLPP IPV6 Version 1 1 Build 4 Preprocessor Object SF REPUTATION IPV6 Version 1 1 Build 1 Commencing packet processing pid 5561 gt _ eg A P a O omora 7 05 p m 26 06 2013 a 8 PT uil D Paso 28 Si intentamos un acceso a Facebook o a Youtube nos va a mostrar de los siguientes resultados Y ubuntu Corriendo Oracle VM VirtualBox O Terminal ES fy PE ubuntu Im root ubuntu VirtualBox etc snort Rules Engine SF SNORT DETECTION ENGINE Version 1 15 Build 18 Preprocessor Object SF_FTPTELNET IPV6 Version 1 2 Build 13 gt Preprocessor Object SF_MODBUS IPV6 Version 1 1 Build 1 gt Preprocessor Object SF DCERPC2 IPV6 Version 1 0 Build 3 Preprocessor Object SF DNS IPV6 Version 1 1 Build 4 Preprocessor Object SF SMTP IPV6 Version 1 1 Build 9 gt Preprocessor Object SF DNP3 IPV6 Version 1 1 Build 1 gt Preprocessor Object SF SIP IPV6 Version 1 1 Build 1 Preprocessor Object SF IMAP IPV6 Version 1 0 Build 1 gt Preprocessor Object SF SDF IPV6 Version 1 Build 1 gt Preprocessor Object SF POP IPV6 Version 1 lt Build 1 gt Preprocessor Object SF_SSH IPV6 Version 1 lt
3. HUbo un escaneo d epuertos content nessus Nombre del archivo a escribir i we Ver ayuda Formato DOS Respaldar fich ae Cancelar 9 517 JE C JE JE Tp ue 9 O A POU A s cru gt m 6 18 p m 7 LIS Pr th 56 96 2013 Paso 21 Despues de guardar el documento se procede a configurar dicho archivo para que trabaje de reglas del snort para eso debemos abrir snort confel archivo ubicado en la direcci n etc snort snort conf Y ubuntu Corriendo Oracle VM VirtualBox Terminal of ES fy 4 18 20 A ubuntu W Configurar password su ro f Nueva pesta a E wikispaces com T a 4 root ubuntu VirtualBox home ubuntu root ubuntu VirtualBox home ubuntu nano Jetc snort snort confl E 72 xi 9OPYIU scm oecon O om 26 06 2013 Paso 22 Ya dentro este archivo el paso 1 o Step 1 en la parte donde dice ipvar HOME NET se debe escribir que este computador tiene asignada separada por puntos y seguida de un y el puerto Quedando de la siguiente forma Ipvar HOME NET 192 168 1 1 24 ubuntu Corriendo Oracle VM VirtualBox a erminal ES fy 22 35 A ubuntu 44 E root ubuntu VirtualBox home ubuntu GNU nano 2 2 6 Archivo etc snort snort conf 3 Configure the base detection engine 4 Configure dynamic loaded libraries 5 Configure preprocessors 6 Configure output plugins 7 Customize your
4. CGI Nmap Puede funcionar como sniffer podemos ver en consola y en tiempo real qu ocurre en nuestra red todo nuestro tr fico registro de paquetes permite guardar en un archivo los logs para su posterior an lisis un an lisis offline o como un IDS normal en este caso NIDS Cuando un paquete coincide con alg n patr n establecido en las reglas de configuraci n se logea As se sabe cu ndo de d nde y c mo se produjo el ataque A n cuando tcpdump es considerada una herramienta de auditor a muy til no se considera un verdadero IDS puesto que no analiza ni se ala paquetes por anomal as tcpdump imprime toda la informaci n de paquetes a la salida en pantalla o a un archivo de registro sin ningun tipo de an lisis Un verdadero IDS analiza los paquetes marca las transmisiones que sean potencialmente maliciosas y las almacena en un registro formateado asi Snort utiliza la biblioteca est ndar libcap y tcpdump como registro de paquetes en el fondo Snort est disponible bajo licencia GPL gratuito y funciona bajo plataformas Windows y UNIX Linux Dispone de una gran cantidad de filtros o patrones ya predefinidos as como actualizaciones constantes ante casos de ataques barridos o vulnerabilidades que vayan siendo detectadas a trav s de los distintos boletines de seguridad La caracter stica m s apreciada de Snort adem s de su funcionalidad es su subsistema flexible de firmas de ataques Snort tiene una base de da
5. File Edit View Terminal Help p gt Net DoS Tester TCP port scanner 3 Honeypot 4 Fuzzer DNS and host gathering MAC address geolocation samy pl Back 205 Honeypot You must run PenTBox with r ot privileges Select option 1 Fast Auto Configuration 2 2 Manual Configuration Advanced Users more options gt Paso 7 Ahora seleccione la segunda opci n Configuraci n manual pulsando 2 y Enter Le solicitar el n mero de puerto a abrir introducimos el 80 Honeypot You must run PenTBox with root privileges Select option 1 Fast Auto Configuration 2 Manual Configuration Advanced Users m re options a J Insert port to Open gt 808 Paso 8 Ahora nos solicitara introducir un mensaje falso que aparecera cuando alguien intente acceder al host a traves del puerto 80 Honeypot You must run PenTBox with root privileges Select option 1 Fast Auto Configuration 2 Manual Configurati n Advanced Users more options Insert port to Open gt 80 Insert false message to show gt Bienvenido a la ufps edu co el puerto 80 est abierto Paso 9 Ahora nos preguntar si deseamos llevar un registro log de los intrusos que intentaron acceder Save a log with intrusions Paso 10 Ahora podremos introducir un nombre para el archivo de registro o bien presionar enter para dejar el nombre por defecto log_honeypot txt Log file name
6. PP 1 A si cm REHA YA ubuntu Corriendo Oracle VM VirtualBox Terminal root bubuntu VirtualBox etc snort Client Key Exchange 0 Server Key Exchange E Change Cipher 8 Finished 0 Client Application 0 Server Application 7 E Alert 0 Unrecognized records 0 Completed handshakes 0 Bad handshakes 0 Sessions ignored 7 Detection disabled 0 SIP Preprocessor Statistics F Total sessions 0 gt filtered events gen id 1 sig id 100000160 type Both 60 filtered 325 U Snort exiting root ubuntu VirtualBox etc snort etc init d s PE Stopping Network Intrusion Detection System snort a Starting Network Intrusion Detection System snort root ubuntu VirtualBox etc snort 603 Su e x i 10 17 p m S Pe di al 26 06 2013 Paso 19 Ahora procederemos configurar al reglas de revisi n del snort en este caso crearemos siguiente archivo en la ubicaci n de instalaci n del snort este caso fue la siguiente ubicaci n etc snort rules sites rules ubuntu Corriendo Oracle VirtualBox Terminal W Configurar password su ro f Nueva pesta a wikispaces com file vie IBC E Q 4 root ubuntu VirtualBox home ubuntu root ubuntu VirtualBox home ubuntu gedit etc snort rules sites rules gedit 5209 WARNING La conexi n est cerrada gedit 5209 EggSMClient WARNING Failed to connect to the session manager None of the a
7. incremental Default pentbox other log honeypot txt E gt honey Log Paso 11 Nos preguntar si deseamos que se reproduzca un sonido cada vez que se detecte un intruso Default pentbox other log honeypot txt Activate beep sound when intrusion Con estos sencillos pasos el honeypot est listo para funcionar Paso 12 Probando el servicio Desde cualquier navegador accedemos a la m quina donde est configurado el honeypot a trav s de la ip y el puerto 80 aunque no es necesario colocar este ltimo porque los navegadores lo toman por defecto para http Bienvenido a Faceb Punto Facil a UFPS DIVISION DE Bienvenido Ing Siste electivas UFPS DIVISION DE C MercadoLibre Colo T Tablet Pc Alicapaci CJ SEGURIDAD envenido fps edu co el puerto 80 est abierto Paso 14 Revisar en el host donde se encuentra el honeypot funcionando para asegurarse que fue detectado el intento de acceso 1 48 11 text html application xhtml xmL apBlication xml q 0 9 0 078 Mozilla 5 0 2 WOW64 AppleWebKit 537 36 KHTMkxy ike BIBLIOGRAF A http cyberquotient blogspot com 2013 01 how to make small honey pot on backtrack html
8. paguetes dirigidos a la propia interfaz gue se est monitorizando Si lo activa Snort comprobar todos los paguetes gue pasen por el segmento Ethernet incluso aungue sean parte de una conexi n entre otros dos sistemas Deber a Snort deshabilitar el modo promiscuo en la interfaz a GOP FOU ic REHA m 6 03 p m m d Sa O 26706 2013 Paso 13 El instalador solicita al usuario si desea recibir res menes por correo electr nico con los registros de snort cabe tener en cuenta que de habilitar dicha configuraci n para que funciones debe tener configurado en el servidor de SMTP ubuntu Corriendo Oracle VM VirtualBox Ni jj TT root ubuntu VirtualBox home ubuntu Configuraci n de paquetes Configuraci n de snort Puede configurar una tarea en cron que env e res menes diarios de los registros de Snort a una direcci n espec fica Indique si quiere activar esta funcionalidad Deber an enviarse res menes por correo electr nico lt gt CENT JE la Jl 6 04 p m 26 06 2013 ul Paso 14 Como en el anterior dimos que SI solicitara la cuenta de correo a donde desea enviar el resumen a ubuntu Corriendo Oracle VM VirtualBox Termina root ubuntu VirtualBox home ubuntu Configuraci n de paquetes Configuraci n de snort Indique la direcci n de correo que deber a recibir los res menes diarios de
9. rule set 8 Customize preprocessor and decoder rule set 9 Customize shared object rule set SSI IA I AA AIE HHHHHHAOHHHHHHHHHHHHHOHHHHHHHHAOHHHHHHHHHHAOHHHHHHHAHHHHI Step 1 Set the network variables For more information see README variablS THETHEIHIEHEIBHIBHIBHIBEIBEIBBHEHBH HI HBHBHBHBHHBHHE I RARA AAA Setup the network addresses you are protecting ipvar HOME NET 192 168 1 1 24 Set up the external network addresses Leave as any in most situations ipvar EXTERNAL_NET any ipvar EXTERNAL NET SHOME NET we Ver ayuda Guardar li Leer Fich Y RePag Cortar Pos actual Salir a Justificar Buscar Mi Pag Sig gil PegarTxt ij Ortograf a hd a O P W OW A War DERECHA 3 A 10 35 p m 26 06 2013 Si no se conoce la ip asignada para este computador se debe escribir en un terminal el comando ifconfig y se identifica con el nombre de inet Paso 23 En el paso 8 o step 7 se debe agregar la l nea con la ubicaci n de la reglas creadas anteriormente pata este caso se escribe include RULE_PATH sites rules fral ubuntu Corriendo Oracle VM VirtualBox z 18 22 amp ubuntu Terminal of ES fy 4 il Configurar password su ro _ Nueva pesta a x wikispaces com file vie f a root ubuntu VirtualBox home ubuntu GNU nano 2 2 6 Archivo etc snort snort conf Modificado SRULE_PATH community sql injection rules SRULE_PATH community web
10. 17 54 Wi Configurar password su ro f Nueva pesta a seguridadinformaticaufps wikispaces com file view 1150214 pdf root ubuntu VirtualBox home ubuntu onfiguraci n de paguetes Configuraci n de snort Este valor suele ser eth0 pero puede no ser correcto para algunos entornos de red Si est utilizando una conexi n de marcaci n telef nica mediante PPP a Internet puede ser m s apropiado utilizar consulte la salida de sbin ifconfig Generalmente la interfaz que se anade aqu es generalmente la misma que tiene definida la ruta por omisi n Para determinar qu interfaz se est utilizando para esto ejecute sbin route n busque aquellos valores asociados a 0 0 0 0 Tampoco es infrecuente ejecutar Snort en una interfaz sin direcci n IP Aceptar I eg G O A P scm m 5 54 p m a LL 0 06 2013 Paso 10 Solicitar al usuario el tipo de interfaz de conexi n a internet el caso de que este Ubuntu es virtualizado el puerto por defecto es ethO pero se debe escoger el puerto que usted este utilizando si es por red inal mbrica seria wlan0 el puerto por defecto ubuntu Corriendo Oracle VirtualBox A Terminal of ES fy 4 17 58 Wi Configurar password su ro t i Nueva pesta a seguridadinformaticaufps wikispaces com file view 1150214 pdf root ubuntu VirtualBox home ubuntu Configuraci n de
11. Build 3 gt Preprocessor Object SF_GTP IPV6 Version 1 lt Build 1 gt Preprocessor Object SF SSLPP IPV6 Version 1 1 Build 4 gt Preprocessor Object SF REPUTATION IPV6 Version 1 1 Build 1 Commencing packet processing pid 2587 06 26 23 02 27 051355 1 19910314 1 Hubo un acceso al Facebook Prio rity 0 TCP 31 13 69 160 443 gt 192 168 1 11 44157 06 26 23 02 27 367277 1 19910314 1 Hubo un acceso al Facebook Prio rity TCP 31 13 69 160 443 gt 192 168 1 11 44158 106 26 23 05 01 441149 1 19910316 1 Hubo un acceso a Youtube Priori ity TCP 74 125 26 136 80 gt 192 168 1 11 43576 SETE E we IP IL Ke o Ww hd G O A P 1 O ECRL RECHA 11 05 p m 5676 2013 2 INSTALACI N DE UN HONEYPOT Para la instalaci n del honeypot se hizo uso de Backtrack 5 de PentBox PenTBox es una suite de seguridad paquetes de seguridad y la estabilidad de las herramientas de prueba orientada a las redes y sistemas Est Programado en Ruby y orientado a GNU Linux aunque es compatible con Windows MacOS y sistemas en los que cada Rub trabaja Est libre licenciado bajo GNU GPLv3 Paso 1 Descargar Pen Box de la siguiente manera Paso 2 Ahora abrimos el navegador de archivos y buscamos la carpeta donde lo descargamos x trunk File Browser rl File Edit View Go Bookmarks Help a root trunk Person
12. Configurando libmailtools perl 2 08 1 Configurando liblwp protocol https perl 6 02 1 Configurando libwww perl 6 03 1 Configurando oinkmaster 2 0 3 Procesando disparadores para libc bin ldconfig deferred processing now taking place root ubuntu VirtualBox home ubuntu sudo dpkg reconfigure snort v cargas X ft u il 26 06 2013 Paso 8 La instalaci n pedir escoger como desea configurar snort a la cual escogeremos manual para realizar nuestras configuraciones respectivas ubuntu Corriendo Oracle VirtualBox O Terminal Wi Configurar password su ro f i Nueva pesta a wikispaces com file viev 50214 pdf AE root ubuntu VirtualBox home ubuntu Configuraci n de paguetes Configuraci n de snort Snort se puede arrancar snort en el arrangue del sistema cuando el sistema se conecte a Internet con pppd o manualmente cuando lo arrangue ejecut ndolo con usr sbin snort M todo de arrangue de Snort arrangue marcaci n telef nica manual lt Aceptar gt zi 4 r 3 O PP OU A s cra m 5 53 p m a m O 56 96 2013 Paso 9 Seguido de esto solicita al usuario la aprobaci n de la configuraci n manual y da a conocer los datos que solicitara para dicha configuraci n al cual daremos Aceptar a ubuntu Corriendo Oracle VM VirtualBox Terminal d ES fy 4
13. INSTALACI N DE UN HONEYPOT NIDS WILLIAM ALIRIO BERMON RICO FRANCISCO JAVIER BASTOS ACEVEDO UNIVERSIDAD FRANCISCO DE PAULA SANTANDER FACULTAD DE INGENIER AS INGENIER A DE SISTEMAS SAN JOSE DE CUCUTA 2013 INSTALACI N DE UN HONEYPOT NIDS WILLIAM ALIRIO BERMON RICO CODIGO 1150030 FRANCISCO JAVIER BASTOS ACEVEDO CODIGO 1150124 Trabajo presentado como requisito para la asignatura de SEGURIDAD INFORMATICA DOCENTE ING JEAN POLO CEQUEDA UNIVERSIDAD FRANCISCO DE PAULA SANTANDER FACULTAD DE INGENIERIAS INGENIERIA DE SISTEMAS SAN JOSE DE CUCUTA 2013 1 MANUAL CONFIGURACION DE SNORT COMO NIDS Primero vamos a empezar definiendo Snort el cual es un sniffer de paquetes y un detector de intrusos basado en red se monitoriza todo un dominio de colisi n Es un software muy flexible que ofrece capacidades de almacenamiento de sus bit coras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL Implementa un motor de detecci n de ataques y barrido de puertos que permite registrar alertar y responder ante cualquier anomal a previamente definida As mismo existen herramientas de terceros para mostrar informes en tiempo real ACID o para convertirlo en un Sistema Detector y Preventor de Intrusos Este IDS implementa un lenguaje de creaci n de reglas flexible potente y sencillo Durante su instalaci n ya nos provee de cientos de filtros o reglas para backdoor DDoS finger FTP ataques web
14. Quiet Don t show banner and status report r lt tf gt Read and process tcpdump file lt tf gt R id Include id in snort intf lt id gt pid file name s Log alert messages to syslog S lt n v gt Set rules file variable n equal to value v T Test and report on the current Snort configuration U Use UTC for timestamps V Be verbose V Show version number W Lists available interfaces Win32 only w Dump 802 11 management and control frames X Dump the raw packet data starting at the link layer y Include year in timestamp in the alert and log files z Set assurance mode match on established sesions for TCP Show this information Paso 27 En este momento se ve que el snort queda a la espera de intrusos a ubuntu Corriendo Oracle VM VirtualBox SU Terminal d ES fy 19 05 amp ubuntu Configurar password su ro Seguridad Informatica Do t i Nueva pesta a x 2 a root ubuntu VirtualBox etc snort Preprocessor Object SF FTPTELNET IPV6 Version 1 2 Build 13 Preprocessor Object SF MODBUS IPV6 Version 1 1 Build 1 Preprocessor Object SF DCERPC2 IPV6 Version 1 0 Build 3 gt Preprocessor Object SF DNS IPV6 Version 1 1 Build 4 gt Preprocessor Object SF SMTP IPV6 Version 1 1 Build 9 gt Preprocessor Object SF DNP3 IPV6 Version 1 1 Build 1 Preprocessor Object SF SIP IPV6 Version 1 1 Build 1 gt Preprocessor Object SF IMAP IPV6 Version 1 0 Build 1
15. al E Deskto y lib other tools i Trash Devices WR 2 File System m Floppy Drive changelog txt COPYING txt pb update rb Network m ly Entire network A pentbox rb readme txt todo txt Paso 3 Ejecutamos el archivo pentbox rb en un Terminal File Edit View Go Bookmarks Help a root trunk Personal root Deskto P lib other tools LJ Trash Devices PenTE Floppy D s Do want to P w pentbox rb or display its aj Entire contents pentbox rb is an executable text file Run in Terminal Display Cancel Run Paso 4 Aparecer una interfaz en la consola como se ve a continuaci n Terminal File Edit View Terminal Help PenTBox 1 5 e ES i GS FS ms 111111111111 LELELELLLUWWMSSS ruby1 9 2 1486 linux Cryptography tools Network stools Web License and contact Paso 5 Escogemos Network Tools Herramientas de Red presionando 2 pulsando Enter x Terminal Edit View Terminal Help ruby1 9 2 1486 linux Cryptography tools Network tools Web 4 License and contact Exit gt 2 Net DoS Jester TCP port scafmer Honeypot Fuzzer DNS and host gathering MAC address geolocation samy pl nue U N I AU a Lie CA JITUM Back 65 Paso 6 Ahora seleccionamos la opci n Honeypot presionando 3 y pulsando Enter Terminal
16. al ES fy 4 2120 A ubuntu root ubuntu VirtualBox home ubuntu LO ubuntu ubuntu VirtualBox su Contrase a _ root Gubuntu VirtualBox home ubuntu A Paso 5 Ya estando en el modo super administrador procedemos a escribir el comando para instalar el snort sudo apt get install snort ubuntu Corriendo Oracle VM VirtualBox Terminal ES fy 4 2126 A ubuntu root ubuntu VirtualBox home ubuntu ubuntu ubuntu VirtualBox su Contrase a FOOtT UbUNtU VirtualBox home ubuntu sudo apt get install snortjj gt 8 O P OW Wear DERECHA 9 26 p m 26 06 2013 a 3 PT uil Paso 6 Despu s de aceptar la instalaci n de los paguetes snort solicita gue por favor se configure la ip del computador En este caso se dejara la gue por defecto sale puesto gue mas adelante se ense ara a cambiarla si ud cambia de red 9 ubuntu Corriendo Oracle VM VirtualBox B Terminal d gs fy 4 17 47 A ubuntu Configurar password su ro t Nueva pesta a aticaufps wikispaces com file view 1150214 pdf AAC M a id root ubuntu VirtualBox home ubuntu Configuraci n de paguetes Configuraci n de snort Tiene gue utilizar el formato CIDR esto es 192 168 1 0 24 para un bloque de 256 IPs o 192 168 1 42 32 para s lo una direcci n Debe separar m ltiples direcciones por comas y sin espacios Tenga en cuenta que si Snort est configurado para utilizar m ltiples inter
17. client rules SRULE PATH community web dos rules SRULE PATH community web iis rules SRULE PATH community web misc rules SRULE PATH community web php rules SRULE PATH x11 rules SRULE PATH sites ruleslj Step 8 Customize your preprocessor and decoder alerts Ver ayuda Guardar Leer Fich MY RePag Cortar 8 Pos actual Salir Justificar Buscar Pag Sig PegarTxt Ml Ortograf a _ JBICRIER re le Mr gt GOs 3 CTRL DERECHA 6 22 p m 26 06 2013 3 m TU ud Paso 24 Se procede guardar los cambios a reiniciar el servicio nuevamente Ver Paso 17 Paso 25 Para verificar que el snort est funcionando correctamente debemos entrar a la ubicaci n del snort con el siguiente comando cd etc snort ubuntu Corriendo Oracle VM VirtualBox B Terminal d ES fy 4 18 25 A ubuntu te W Configurar password su ro t Nueva pesta a x E fps wikispaces com file a root ubuntu VirtualBox home ubuntu root ubuntu VirtualBox home ubuntu nano etc snort snort conf root ubuntu VirtualBox home ubuntu cd etc snortll 9 O 2 POU O s cm DERECHA gsm 3 1 Pr tt 6706 2013 Paso 26 Escribir el siguiente comando para ejecutar el snort y estar a la espera de intrusos Snort A console c snort conf i eth0 ubuntu Cor
18. faces se utilizar esta definici n como valor de HOME_NET para todos ellos Intervalo de direcciones para la red local 192 168 0 0 16 lt gt OP ERIC JE le v b 3 O 2 FOU s crac DERECHA 5 47 a Wf f n O 56 06 2013 Si usted no conoce la ip que tiene asignada por favor digite en otro terminal el comando ifconfig y revise la ip que tiene asignada en inet Paso 7 Esperar el proceso normal de la instalaci n y configuraci n a ubuntu Corriendo Oracle VM VirtualBox a Terminal of ES fy 4 17 52 A ubuntu Jim W Configurar password su ro _ Nueva pesta a A v SELL fps wikispaces com view 5 jf 3 root ubuntu VirtualBox home ubuntu Configurando liblwp mediatypes perl 6 01 1 Configurando libhttp message perl 6 01 1 Configurando libhtml form perl 6 00 1 Configurando libhtml tree perl 4 2 1 Configurando libhtml format perl 2 10 1 Configurando libhttp cookies perl 6 00 2 Ly Configurando libhttp daemon perl 6 00 1 Ly Configurando libhttp negotiate perl 6 00 2 Configurando libsocket perl 0 23 1build2 Configurando libio socket inet6 perl 2 69 2 Configurando libnet ssleay perl 1 42 1build1 Configurando libio socket ssl perl 1 53 1 Configurando libnet http perl 6 02 1 Configurando libwww robotrules perl 6 01 1
19. los registros de Snort Destinatario de los correos de estad sticas diarias WiLLiambermon gmail com lt Aceptar gt 6 05 p m 26 06 2013 Paso 15 este caso solicita al usuario due configure la cantidad de ocurrencias para poder enviar un correo con el resumen M quina Ver Dispositivos Ayuda ubuntu Corriendo Oracle VM VirtualBox rootOubuntu VirtualBox home ubuntu Configuraci n de paquetes Configuraci n de snort Introduzca el n mero m nimo de ocurrencias de una alerta que deben producirse antes de incluir una alerta en las estad sticas diarias N mero m nimo de ocurrencias antes de incluir una alerta en los informes k zl 4 4 ni g O A P OU A s cru m _ 6 06 p m a LIS y Pl 26 06 2013 Paso 16 La instalaci n ha terminad con xito pero para poder utilizar el servicio de debe reiniciar el servicio de snort ubuntu Corriendo Oracle VM VirtualBox Terminal 1150214 pdf root ubuntu VirtualBox home ubuntu Configuraci n de paguetes Configuraci n de snort Es necesario reiniciar Snort Dado gue Snort se ejecuta de forma manual tiene gue ejecutar etc init d snort para gue se apliguen los cambios 9OPYIU A s cm A m 6 07 p m LL Pr SE ll 56 06 2013 Paso 17 Reiniciar el servicio snort de comando etc init d snort restart Terminal ubuntu Corriendo Oracle VM Virt
20. paguetes Configuraci n de snort Interfaz ces donde deber a escuchar Snort A m 5 58 p m a w 5 E E nO 6706 2013 Paso 11 Solicita al usuario configurar el intervalo de direcciones la red local en este caso se dejo el valor por defecto y se da enter aj a ubuntu Corriendo Oracle VM VirtualBox Terminal d fy 4 root ubuntu VirtualBox home ubuntu Configuraci n de paquetes Configuraci n de snort Tiene que utilizar el formato CIDR esto es 192 168 1 0 24 para un ES bloque de 256 IPs o 192 168 1 42 32 para s lo una direcci n Debe separar m ltiples direcciones por comas y sin espacios Tenga en cuenta que si Snort est configurado para utilizar m ltiples mm interfaces se utilizar esta definici n como valor de _ E E todos ellos Intervalo de direcciones para la red local 192 168 0 0 16 N 3 O PP uid Hem 6 00 p m 26 06 2013 a P Ie d al Paso 12 El snort pregunta si se desea activar el modo promiscuo al cual diremos que no puesto que de esta forma el snort solo analiza los paquetes que est n dirigidos a la misma interfaz y no todo el tr fico de la red 0 al ubuntu Corriendo Oracle VM VirtualBox Terminal ccyw a55WU root ubuntu VirtualBox home ubuntu Configuraci n de paguetes Configuraci n de snort Si deshabilita el modo promiscuo Snort s lo analizar
21. riendo Oracle VirtualBox B Terminal d ES w amp 18 26 2 ubuntu ta ill Configurar password su Nueva pesta a fps wikispaces com file vie 4 a root ubuntu VirtualBox etc snort root ubuntu VirtualBox etc snort snort A console c snort conf i ethol gt 9 O 2 POW s cra m 6 26 p m a Pr th st 56 96 2013 Teniendo en cuenta que los comando utilizados para este IDS Options Set alert mode fast full console or none alert file alerts only b Log packets in tepdump format much faster C lt rules gt Use Rules File lt rules gt C Print out payloads with character data only no hex d Dump the Application Layer e Display the second layer header info E Log alert messages to NT Eventlog Win32 only f Turn off fflush calls after binary log writes F lt bpf gt Read BPF filters from file lt bpf gt h hn Home network hn if Listen on interface lt if gt Add Interface name to alert output k mode Checksum mode all noip notcp noudp noicmp none Id Log to directory lt ld gt L file Log to this tepdump file n lt cnt gt Exit after receiving lt cnt gt packets N Turn off logging alerts still work o Change the rule testing order to Pass Alert Log O Obfuscate the logged IP addresses p Disable promiscuous mode sniffing P lt snap gt Set explicit snaplen of packet default 1514 q
22. tos de ataques que se est actualizando constantemente y a la cual se puede a adir o actualizar a trav s de la Internet Los usuarios pueden crear firmas basadas en las caracter sticas de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort para que as todos los usuarios de Snort se puedan beneficiar Esta tica de comunidad y compartir ha convertido a Snort en uno de los IDSes basados en red m s populares actualizados y robustos El siguiente manual de instalaci n de Snort fue desarrollado en Ubuntu 12 04 como m quina virtual de la VirtualBox de Oracle Con el fin de dar un mejor entendimiento se realizara la explicaci n por medio de una lista de pasos a seguir acompa ados de im genes Paso 1 Iniciar la M quina virtual de Ubuntu Archivo M quina Ayuda Nueva Configuraci n Inicia artar A General Nombre ubuntu 2 Sistema operativo Ubuntu Sistema Memoria base 2048 MB T b untu Orden de arranque Disquete CD DVD ROM Disco duro Aceleraci n VT x AMD V Paginaci n anidada PAE NX El Pantalla Memoria de v deo 12 Servidor de escritorio remoto Inhabilitado Q Almacenamiento Controller IDE IDE secundario maestro CD DVD Vac o Controller SATA Puerto SATA 0 ubuntu vdi Normal 10 00 GB j Audio Controlador de anfitri n Windows DirectSound Controlador ICH AC97 EP Red Iniciar las m quinas virtuales seleccionadas 9 01 p m gt m Wf f ll
23. ualBox a of gs ty 18 09 A ubuntu W Configurar password su ro t Nueva pesta a wikispaces com f root ubuntu VirtualBox home ubuntu libhtml format perl 2 10 1 libhttp cookies perl 6 00 2 libhttp daemon perl 6 00 1 libhttp negotiate perl 6 00 2 libsocket6 perl 0 23 1build2 Libio socket inet6 perl 2 69 2 libnet ssleay perl 1 42 1build1 libio socket ssl perl 1 53 1 libnet http perl 6 02 1 libwww robotrules perl 6 01 1 libmailtools perl 2 08 1 liblwp protocol https perl 6 02 Configurando libwww perl 6 03 1 Configurando oinkmaster 2 0 3 Procesando disparadores para libc bin ldconfig deferred processing now taking place root ubuntu VirtualBox home ubuntu sudo dpkg Stopping Network Intrusion Detection System Stopping Network Intrusion Detection System No running snort instance found root ubuntu VirtualBox home ubuntu etc init Configurando Configurando Configurando Configurando Configurando Configurando Configurando Configurando Configurando Configurando Configurando Configurando 4 1 reconfigure snort snort snort d snort restart r 9OPYIU A cri gt m 6 09 p m Y a M i al 4 26 06 2013 P Paso 18 Si el servicio quedo correctamente instalado deber decir que todo quedo OK de la siguiente forma 22 17 A ubuntu fy 4 tracking src count 300 seconds nort restart hd 9
24. uthentication protocols specified are supported gedit 5209 WARNING Could not connect to session bus root ubuntu VirtualBox home ubuntu nanoff etc snort rules sites rules gt P W OW Mar DERECHA a 09107 26 06 2013 Recordemos que se puede crear con editor de texto gedit o si no lo tiene instalado como nos sucedi utilizar el nano Paso 20 En el archivo creado se escribir n las reglas de la siguiente manera c em jm m m am 2 m a E m m m P T RULE HEADER RULE OPTIONS Y el RULE HEADER tiene una forma similar a 4 4 ACTION PROTOCOL ADDRESS PORT DIRECTION ADDRESS PORT Quedando de la siguiente manera alert tcp any any gt any any msg Hubo un acceso al Facebbok content facebook sid 19910314 rev 1 ubuntu Corriendo Oracle VM VirtualBox Terminal d gs fy 4 18 18 Wi Configurar password su ro Nueva pesta a x wikispaces com e a 4 root ubuntu VirtualBox home ubuntu GNU nano 2 2 6 Archivo etc snort rules sites rules Modificado alert tcp any any gt any any msg Hubo un acceso al Facebook content facebooS alert tcp any any gt any any msg
Download Pdf Manuals
Related Search