jueves, 22 de septiembre de 2011

INSTALANDO SNORT HIDS

IDS

Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.


HIDS

Es un Sistema de Deteccion de Intrusos basado en Host el cual registra los eventos ocurridos en este ya que generalmente cuando hay una intrusion quedan rastros en lugares como el registro o las DLL 
Snort 

Es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.


Procedemos a descargar el IDS snort desde la pagina oficial (Snort.org)



Lo ejecutamos...


Aceptamos la licencia de instalación 


Especificamos que si vamos a utilizar una base de datos, soporta base de datos oracle, mysql...


Agregamos todos los componentes



La ruta donde instalaremos el Snort


Completado


El snort nos pide la librería de winpcap 


La descargamos desde la pagina oficial (Winpcap.org)






Agregamos la licencia


Instalamos


Nos paramos en la ruta donde instalamos el snort C:\ y listamos con el comando dir , podemos ver una carpeta llamada snort, que son todos los archivos


Nos paramos en la carpeta y listamos, vemos un bin (binario) 



Nos paramos en el binario y listamos y podemos ver el ejecutable snort.exe donde haremos todos las acciones 



Ejecutamos snort.exe -W y vemos el identificador de tarjeta y la dirección IP 


 Con un cliente linux en la misma red es donde vamos a simular los ataques 



Ejecutamos el snort.exe -v -i 1(identificador de tarjeta) para ponerlo en modo de escucha 



Probamos haciéndole un PING y podemos ver que nos alerta de que la ip 192.168.10.3 le esta haciendo un ICMP al host


También simule un ataque con escritorio remoto desde un cliente linux y me muestra la ip y el puerto 3389 que es el del escritorio remoto


Para ver los log's mas detalladamente, con el comando mkdir cree la carpeta capturas y nos paramos en el directorio bin


Ejecutaremos el snort.exe -l y la ruta donde creamos la carpeta para que se alojen todos los logs


Simulamos el ataque por escritorio remoto 


Nos paramos en la carpeta de capturas y listamos, podemos ver todos los log que se generaron, nos muestra las alertas en la fecha y hora que fue "atacado"


Nos paramos en el ejecutable -r y copiamos tal cual el nombre del log y le voy hacer un more para visualizarlo mejor 


Podemos ver los logs del acceso remoto por el puerto 3389


Alguna duda o sugerencia
danielpalacio92@gmail.com

miércoles, 21 de septiembre de 2011

TUNEL VPN EN UN ROUTER CISCO PUNTO A PUNTO Y ROAD WARRIOR EN GNS3

Tunel VPN en Un Router Cisco Punto a Punto en Gns3 _parte1

APPLIANCE`S UNTANGLE CONFIGURACION DE FIREWALL Y PROXY (WEB FILTER LITE)

Appliance Untangle Firewall y Proxy

martes, 20 de septiembre de 2011

FIREWALL EN UN ROUTER CISCO EN GNS3 ADMINISTRADO EN SDM

Firewall en Gns3 Administrado en SDM

lunes, 12 de septiembre de 2011

Iptables mediante Script



Es el nombre de la herramienta de espacio de usuario (User Space, es decir, área de memoria donde todas las aplicaciones, en modo de usuario, pueden ser intercambiadas hacia memoria virtual cuando sea necesario) a través de la cual los administradores crean reglas para cada filtrado de paquetes y módulos de NAT. Iptables es la herramienta estándar de todas las distribuciones modernas de GNU/Linux.

Cadenas y función 


 Funciones de comandos 



Parámetro y su función


Este script cambiara la política por defecto a "Permit" y denegara los servicios de ping, ssh, http, dns.

SCRIPT PERMITIR 

#!/bin/bash/

#Permit

iptables -F
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT

#Denegando el Ping de entrada

iptables -A INPUT -i eth0 -s 0.0.0.0/0 -p icmp --icmp-type echo-request -j DROP

#Denegando SSH, HTTP, DNS

iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A OUTPUT -s 0.0.0.0/0 -p tcp --dport 80 -j DROP
iptables -A OUTPUT -s 0.0.0.0/0 -p tcp --dport 53 -j DROP
iptables -A OUTPUT -s 0.0.0.0/0 -p udp --dport 53 -j DROP

iptables -L

echo "Listo"

Este Script cambiara la política por defecto a "Drop" y permitirá los servicios de ping, ssh, http, dns.

SCRIPT DENEGAR

#!/bin/bash/

#Denegando

fw=iptables

$fw -F
$fw -P FORWARD DROP
$fw -P OUTPUT DROP
$fw -P INPUT DROP

#Envio Y Recepcion del PING

$fw -A INPUT -s 0.0.0.0/0 -p icmp --icmp-type echo-reply -j ACCEPT
$fw -A OUTPUT -s 0.0.0.0/0 -p icmp --icmp-type echo-request -j ACCEPT

#Salida del (www dns ssh)

$fw -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
$fw -A OUTPUT -o eth0 -p tcp --dport 22 -j ACCEPT
$fw -A OUTPUT -s 0.0.0.0/0 -p tcp --dport 53 -j ACCEPT
$fw -A OUTPUT -s 0.0.0.0/0 -p udp --dport 53 -j ACCEPT

#Ftp Pasivo

$fw -A OUTPUT -o eth0 -p tcp --dport 20:21 -d 192.168.2.1 -j ACCEPT

#Recepcion de www dns ssh

$fw -A INPUT -i eth0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

modprobe ip_conntrack_ftp

$fw -L

echo "Listo"


Cada script lo guardaremos en una archivo con la extensión .sh, también le daremos permisos de ejecución, Los permisos son

Chmod 755 permitir.sh
Chmod 755 denegar.sh

Y para ejecutarlo seria

sh permitir.sh
sh denegar.sh