Manual de instalación y configuración de EasyIDS – Snort


Hola….Hoy vamos a ver el proceso de instalación y parte de la configuración de EasyIDS: Una forma muy fácil de poner a funcionar Snort.

A continuación veamos de donde podemos decargarnos EasyIDS (Es una ISO en Centos):

http://sourceforge.net/projects/easyids/files/

  • Creamos entonces una maquina virtual para Snort, en este oportunidad lo vamos a hacer en VMware. Le he asignado 10 Gigas para efectos de prueba, cada uno escoge el tamaño de acuerdo a sus necesidades:

  • Ahora iniciamos la maquina, una vez iniciada digitamos la tecla Enter, tal y como vemos  en el manual:

  • Escogemos el idioma, en este caso latín, y luego tabulamos en OK:

  • Escogemos la zona horaria, en nuestro caso “Bogota lima quito

  • Luego nos dice que ingresemos una contraseña, para el usuario root, ponemos la que deseemos:

  • Luego comienza el proceso de instalación y una vez comienzan a iniciarse los servicios nos muestra esta ventana:

Nota: Esto nos esta diciendo que no es posible poner la tarjeta de red en modo promiscuo. Esto pasa en VMware por cuestiones de seguridad, en Virtual Box no pasa lo mismo.

  • Ahora veamos como solucionar este inconveniente, ya que es obligatorio que la tarjeta este en modo promiscuo para que pueda olfatear todos los paquetes en la red, y así poder alertar posibles ataques. Abrimos entonces una terminal y digitamos:

chmod a+rw /dev/vmnet0

Nota: Aquí le estamos dando permisos de lectura y escritura a la vmnet0, la cual es el puerto Bridge de VMware, hay que tener en cuenta que cada que se reinicie la maquina se pierden los permisos, lo que deberíamos hacer entonces, es crear un grupo con los permisos, y meter a nuestro usuario en dicho grupo, para que así los permisos permanezcan después de reiniciarse la maquina, pero lastimosamente este punto no lo vamos a abordar en este tutorial…. Dejamos la idea para que lo investiguen 🙂

  • Veamos nuestra configuración de red:

Tenemos dos tarjetas, la eth0 y la eth1. La eth0 va a ser la tarjeta que estara en modo promiscuo vigilando la red, y la eth1 es la interfaz de administración.

Nota: Quiero comentarles que en algún momento intente poner solo una interfaz que se encargara de la administración y del olfateo, pero no fue posible ya que no iniciaba el servicio de Snort, lo que significa que se deben tener dos interfaces como mínimo, cada una dedicada a una tarea diferente.

  • Veamos otro punto clave, y es: Al iniciar la maquina de EasyIDS, de forma predeterminada iptables trae unas reglas que impiden el trafico de entrada, y por dicho motivo no se puede mandar un ping, y no almacena ataques simples como los de nmap. OJO con esta parte: El hecho de que no se deniegue el acceso al ping no significa que el atacante no pueda utilizar técnicas mas avanzadas para vulnerar nuestros sistemas. En este tutorial vamos a deshabilitar las reglas de iptables para ver los reportes de ataques de barrido de puertos como puede ser nmap.

Primero veamos las reglas, para listarlas damos: iptables -L

Nota: Una recomendación importante que damos, es que almenos sepamos la parte básica de firewalls antes de embarcarnos en la configuración de Snort, ya que si queremos que actué como un IPS (Sistema de prevención de intrusos), debemos saber algo de sistemas firewall como iptables.

  • Borramos las reglas con:

iptables -F

  • Ahora conozcamos un poco de la GUI de administración de EasyIDS. Desde una maquina externa que tenga permisos para ingresar al server, ya que en este no contamos con interfaz gráfica, debemos entonces iniciar un navegador en la otra maquina y digitar la IP de la interfaz de administración, tal y como vemos a continuación:

https://192.168.0.102

  • Luego nos sale un error ya que no se puede validar el certificado, pero no os preocupéis, ya que estamos a nivel LAN, dale clic en “continuar de todos modos“.

  • Ahora nos pide usuario y contraseña:

Nombre de usuario: admin

Contraseña: password

  • Ahora nos pide que cambiemos la contraseña por cuestiones de seguridad (no debe tener menos de 8 caracteres), ingresamos la que queramos.
  • Vemos entonces la interfaz de administración del EasyIDS, y si damos clic en settings, podemos ir a la configuración de los diferentes servicios, de allí también podemos reiniciar, iniciar o parar dichos servicios, veamos entonces como se ve:

  • Bueno, vamos a enseñar entonces como crear reglas y como incluirlas en Snort, tal vez esta es una de las partes mas interesantes, ya que muy pocos sitios hablan de este proceso, de manera detallada.
  • Vamos entonces a /etc/snort:

cd /etc/snort

  • Allí listamos los archivos que hay, con el comando ls:

  • Nota: Allí vemos algunos de los ficheros y directorios mas importantes, subrayados en rojo
  • Antes de iniciar con la creación de reglas miremos primero como se ve el fichero snort.conf, ingresamos entonces con el editor de texto preferido, y observamos algunos puntos claves:

Nota: Vemos entonces que en la primera linea dice que corresponde a la eth0, allí podríamos poner por ejemplo la dirección de subred algo como “var HOME_NET 192.168.0.0/24“, de esta forma somos mas específicos a la hora de decir que es lo que estamos monitoreando, esto se usa mucho cuando se ponen sondas en la red. Igualmente para cada uno de los parámetros, vemos ahí que podemos definirle la red a la externa, a el DNS, a el servidor web, a la base de datos… etc.

  • Cada que hagamos un cambio en este fichero, debemos reiniciar el servicio de Snort, para que surjan efecto los cambios, lo hacemos entonces digitando:

/etc/init.d/snort restart

Nota: Esto también lo podemos hacer desde la GUI del navegador.

  • Ahora si vamos a crear las reglas, para esto entonces vamos a /etc/snort/rules, y listamos los archivos:

Nota: Vemos que todos los ficheros de este directorio, terminan con extensión .rules

  • Viendo entonces el tipo de extensión que manejan las firmas o reglas, vamos entonces a crear un fichero que se llame: ping.rules, lo hacemos con nuestro editor preferido, para hacerlo mas fácil lo vamos a hacer en esta ocasión con nano, pero recomendamos a los lectores que empiecen a aprender como manejar vi o vim 😉

nano ping.rules

  • Ingresamos alguna regla. En esta ocasión no explicaremos muy a fondo como están compuestas las reglas o para que sirve cada una o como interpretarlas, al final del tutorial damos un enlace que tiene esta info, sigamos entonces:

  • Guardamos con Control+O

Nota: Vemos que al final de cada linea incluimos un \ (Back slash), esto se debe hacer cada que una regla se tome mas de una linea, de lo contrario la regla no sera tomada en cuenta por Snort.

  • Vamos entonces a incluir nuestra regla, para ello vamos a /etc/snort/snort_rules, nuevamente:

nano /etc/snort/snort_rules.conf

  • Ahora ingresamos la ruta donde esta nuestro archivo ping.rules:

  • Reiniciamos el Snort, y voila 🙂
  • Ahora veamos como se ve un ataque desde la GUI del browser. Primero hagamos un pequeño ataque desde nuestro BT4 🙂

  • Vamos a el browser a la GUI de EasyIDS y damos clic en la pestaña: Analysis>BASE, vemos que hay 6 alertas subrayadas en el cuadro verde, damos clic allí:

  • Una vez damos clic alli, nos aparece la siguiente imagen indicandonos el tipo de barrido de puertos, y bueno ya es cuestion de cada uno explorar un poco mas 🙂

Bueno en conclusión EasyIDS tiene una gran cantidad de herramientas integradas, aparte de Snort, una de las que mas he usado es Arpwatch que lo que hace es que esta vigilando constantemente ante posibles ataques de tipo mitm, Ntop nos muestra estadísticas de navegación, y hay otras mas bastante interesantes. Por ultimo lo que es promesa:

http://www.wikilearning.com/tutorial/taller_de_sistemas_de_deteccion_de_intrusiones_snort-reglas_snort_6_11_02/4735-2

Espero que esto sea una buena introducción a este IDS que es el mas usado en el mundo, y el cual nos brinda infinitas posibilidades….. Nos vemos luego, por ahora a celebrar que he superado una meta mas (A pocos pasos de ser un sysadmin :)), y emprendo un nuevo viaje… Je j eje  eso sonó muy “Alicia en el pais de las maravillas” P: …Pero bueno “Ahi voy mundoo¡¡¡¡” je je je….. 😉

comentarios
  1. Profe dice:

    Esta bueno el manual!, congratulations por los logros.

  2. Cinder dice:

    Buena ayuda para lo que iniciamos en snort!!!!!!

  3. ramros dice:

    Hola,

    estoy intentando instalar easyids en wmware y me encuentro con un problema que no he conseguido resolver, me dice:
    could not allocate request partitions
    Partitioning failed: could not allocate partitions as primary partitions.
    Not enough space left to create partition for /boot.

    ¿teneis alguna idea de cómo lo puedo solucionar?

    Y a proposito tu documentación esta muy bien, muchas gracias por compartir.

  4. ramros dice:

    Bueno, me respondo a la pregunta anterior, no se puede utilizar discos virtuales SCSI.

    tiene que ser IDE.

    • humanliks dice:

      Gracias por la respuesta 🙂 La verdad no lo habia probado en discos SCSI…. Lo hice en un entorno virtualizado desde mi portatil… Gracias por compartir la respuesta, esa es la idea de este espacio…

      Saludos y gracias por visitar mi blog 🙂

  5. luis dice:

    mis felicitación, muy claro

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s