1

CURSO : TALLER DE SEGURIDAD INFORMATICA

DOCENTE : ING. MARCHAND NIÑO, WILLIAM

INTEGRANTES : CALLOCONDO MORVELI, EULER

RIOS RIVERA, LEWBY

ROSALES SILVA ORFILA

TARAZONA CAJAMUNI, MILTON

SEMESTRE : 2012 - I

TINGO MARIA – PERÚ

2012

“IMPLEMENTACION DE UN SISTEMA DE DETECCION DE

INTRUSOS (IDC) EN WINDOWS 7”

2

2.1. DISEÑO DE IMPLEMENTACION

2.1.1. Equipos y Materiales

Los equipos y materiales que se utilizaron fueron los siguientes:

1 Switch.

1 PC servidor

2 PC Clientes para nuestra LAN

Cables par trenzado 3

Conectores RJ45.

Sistema Operativo Windows 7

2.1.2. Arquitectura de la configuración

Figura Nro. 8: Arquitectura de la configuración

CAPITULO II:

IMPLEMENTACION Y

CONFIGURACION

192.168.70.10

Cliente2: 192.168.70.12 Cliente1: 192.168.70.11

SERVIDOR

SWITCH

3

2.2. INSTALACION Y CONFIGURACION

2.2.1. Instalación del Snort

Para la instalación del Snort, necesitamos la herramienta Wincap 4.1.2,

descargable desde la página: http://www.winpcap.org/install. Esta herramienta

es básica para el funcionamiento de Snort, debido a que es la librería de bajo

nivel que utilizará Snort para el acceso a redes. Es para Windows como la

libCap utilizada en Linux.

Una vez instalado el WinCap, debemos descargar la versión de Snort para

Windows, desde la página: http://www.snort.org/snort-downloads, actualmente

disponible la versión Snort 2.9.2.3.

Para la instalación del Snort 2.9.2.3. Lo único que hay que subrayar en el

proceso de instalación, es que en un momento dado nos preguntará la opción

de instalación, la cual seleccionamos “I do not plan to log to a database, or I am

planning to log to one of the databases listed above” y presionamos Next para

continuar.

A continuación nos pedirá que seleccionemos los componentes de la

instalación, los seleccionamos todos y hacemos clic en Next. Cuando nos pida

la ruta de instalación, dejamos la que sale por defecto C:\Snort y presionamos

Next para finalizar la instalación.

4

Una vez instalado el Snort, descargamos los reglas de la web de Snort en la

pagina: http://www.snort.org/snort-rules/, para nuestro caso la versión:

snortrules-snapshot-2923.tar.gz, lo descomprimimos y copiamos las carpetas

descomprimidas en la carpeta: C:\Snort, remplazando las carpetas existentes.

Para el funcionamiento del Snort en Windows7, configuramos el archivo

snort.conf, que es el fichero de configuración del Snort y se encuentra ubicado

en la carpeta: C:\Snort\etc, lo abrimos con un bloc de notas y configuramos las

siguientes líneas:

1. Remplazamos la palabra “ipvar” por “var”, ya que la ultima versión del

Snort no reconoce el ipvar en Windows7.

2. Nos dirigimos a las siguientes líneas:

5

y las modificamos de la siguiente manera:

# such as: c:\snort\rules

var RULE_PATH c:\snort\rules

var SO_RULE_PATH c:\snort\so_rules

var PREPROC_RULE_PATH c:\snort\preproc_rules

3. Nos dirigimos a las siguientes líneas de código:

y las modificamos de la siguiente manera:

# path to dynamic preprocessor libraries

dynamicpreprocessor C:\Snort\lib\snort_dynamicpreprocessor\

# path to base preprocessor engine

Dynamicengine C:\Snort\lib\snort_dynamicengine\libsf_engine.dll

# path to dynamic rules libraries

#dynamicdetection directory /usr/local/lib/snort_dynamicrules

4. Buscamos las siguientes líneas de código:

y las comentamos de la siguiente manera:

# Does nothing in IDS mode

#preprocessor normalize_ip4

#preprocessor normalize_tcp: ips ecn stream

#preprocessor normalize_icmp4

#preprocessor normalize_ip6

#preprocessor normalize_icmp6

6

5. Nos dirigimos a las siguientes líneas de código:

y le agregamos la siguiente dirección:

# metadata reference data. do not modify these lines

include C:\Snort\etc\classification.config

include C:\Snort\etc\reference.config

6. Nos dirigimos a las siguientes líneas de código:

y cambiamos el backslash:

# Set the absolute path appropriately

var WHITE_LIST_PATH ..\rules

var BLACK_LIST_PATH ..\rules

nested_ip inner, \

whitelist $WHITE_LIST_PATH\white_list.rules, \

blacklist $BLACK_LIST_PATH\black_list.rules

OJO: Creamos el archivo: white_list.rules, en la carpeta: C:\Snort\rules

7. Nos ubicamos en la carpeta rules, cuya dirección es : C:\Snort\rules y

buscamos el archivo blacklist.rules y lo renombramos por black_list.rules. Y

en el archivo snort.conf nos dirigimos a la línea de código:

y lo modificamos por:

include $RULE_PATH/black_list.rules

8. Ubicamos las siguientes líneas de códigos:

y lo modificamos por la red 192.168.70.0/22:

7

# Setup the network addresses you are protecting

var HOME_NET 192.168.70.0/22

# Set up the external network addresses. Leave as "any" in most situations

var EXTERNAL_NET !$HOME_NET

Definimos la siguiente regla para que capture los ping que realiza el servidor,

para la cual nos dirigimos a la carpeta: C:\Snort\rules y buscamos el archivo

milocal.rules y agregamos dentro del archivo la siguiente línea:

alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001;)

Una vez realizados los cambios necesarios, podemos probar el funcionamiento

del Snort desde la línea de comando como modo Administrador, dirigiéndonos

a la carpeta: C:\Snort\bin y ejecutamos el siguiente código:

snort -A console -c c:\Snort\etc\snort.conf -l c:\Snort\log –i1 -K ascii

Las opciones que hemos ejecutado en la línea de comando a Snort son:

-d : visualizar los campos de datos que pasan por la interface de red.

-e: snort nos mostrará información más detallada.

-v: Iniciamos snort en modo sniffer visualizando en pantalla las

cabeceras de los paquetes TCP/IP.

-c: archivo que utilizará snort como fichero de configuración.

-l: directorio donde guardar las alertas y logs.

-i: interfaz que monitorizaremos.

8

La carpeta C:\Snort\log ira almacenando las direcciones que el servidor hace

ping:

2.2.2. Instalación y configuración del Mysql

Lo primero que tenemos que hacer es descargar el driver ODBC Mysql, debido

a los problemas de compatibilidad que se pueden encontrar, el nombre del

archivo es mysql-connector-odbc-5.1.11-win32.msi y lo descargamos desde la

página: http://dev.mysql.com/downloads/connector/odbc/, lo instalamos y

proseguimos con la isntalacion del Mysql.

Descargamos la base de datos de Mysql desde la página:

http://dev.mysql.com/downloads/mysql/, en nuestro caso la versión Mysql-

5.5.25.

Ejecutamos el instalador de MySQL, la cual nos muestra la siguiente ventana:

9

Seleccionamos la instalación típica, paro no consumir todos los recursos del

equipo.

Terminando de instalar, se mostraran dos ventanas más con información sobre

algunas herramientas comerciales de MySQL. Solo pulsen siguiente en ambas

ventanas. En la siguiente ventana seleccionamos la casilla inferior para iniciar

el asistente de configuración. Y nos mostrará la siguiente ventana:

10

Seleccionamos configuración a detalle y pulsamos Next.

Seleccionamos el tipo de servidor y el uso que le daremos a nuestra base de

datos. La ruta de instalación por defecto nuestras bases de datos se guardaran

en C:\Program Files\MySQL\MySQL Server 5.5\data

No olvidar marcar la casilla para habilitar el puerto TCP/IP, y el modo estricto.

Además habilitamos la casilla para que nuestro firewall permita el uso del

puerto 3307 ( ne nuestro caso).

11

Una vez finalizado la instalación del Mysql Server, podemos acceder desde la

línea de comando de Windows o el propio comando de Mysql.

Para la configuración y creación de la base de datos donde se trabajara,

seguimos los siguientes pasos:

1. Desde la línea de comando de Windows, en la carpeta C:, accedemos con

el usuario root al Myslq cuya contraseña en nuestra caso es: 123456

mysql -u root -p

2. Dentro del mysql, creamos la base de datos Snort, de la siguiente manera:

create database snort;

3. Verificamos la existencia de la base de datos: show databases;

12

4. Damos permisos al usuario con el que se modificara la base de datos snort

de la siguiente manera: grant insert,select,update,create,delete on snort.* to

snort_admin@localhost identified by zoltan;

5. Accedemos y mostramos las tablas de mysql:

use mysql;

show tables;

6. Seleccionamos la tabla user y mostramos los usuarios existentes:

select User from user;

select User, Host from user;

select User, Host, Password from user;

7. Damos privilegios: flush privileges;

8. Nos retiramos del usuario root de mysql: quit;

Nos conectamos con el usuario snort_admin, cuya contraseña es zoltan:

mysql -u snort_admin -p

9. Accedemos y mostramos las tablas de snort:

use snort;

show tables;

10. Nos salimos del usuario snort_admin: quit;

11. Ejecutamos el siguiente codigo:

mysql –u root –p < C:\Snort\schemas\create_mysql

12. Volvemos a ingresar al usuario snort_admin:

mysql –u snort_admin –p

use snort;

show tables;

select * from iphdr; / select * from event;

13

Para la configuración y creación de la base de datos donde se trabajara,

seguimos los siguientes pasos:

Ahora tenemos que modificar el archivo snort.conf para que el snort interactúe

con el Mysql. Lo único que tenemos que modificar es descomentar la línea:

Y cambiándole por la siguiente:

output database: log, mysql, user=snort_admin password=zoltan dbname=snort

host=localhost port=3306

Una vez realizados estos cambios, lanzamos snort desde el directorio

bin del fichero raíz de snort, mediante el comando:

snort -c c:\Snort\etc\snort.conf -l c:\Snort\log -K ascii

Realizamos alguna acción para que se creen alertas, y accedemos a la base

de datos snort y ejecutamos :

select * from event;

Y veremos todos los eventos que se han producido.

14

2.2.3. Instalación y configuración de ACID

ACID es un sistema basado en web, creado con el lenguaje de programación

PHP, con lo que necesita de un servidor capaz de interpretar PHP. Como

estamos instalando Snort en Windows, vamos a utilizar el servidor Apache,

cuyo programa instalaremos el Wampserver 2.2e, donde viene el integrado el

PHP5.13, Mysql5.5.24, para la instalación descargaremos de la página:

http://www.wampserver.com/en/.

Una vez instalado el wampserver2.2e, configuramos el fichero php.ini que se

encuentra en la carpeta C:\wamp\bin\php\php5.3.13. Una vez en el, lo editamos

y modificamos una serie de variables:

max_execution_time = 60; Maximum execution time of each script, in seconds

error_reporting = E_ALL & ~E_NOTICE

extension_dir = C:\wamp\bin\php\php5.3.13\ext

extension=php_gd2.dll

session.save_path= C:\wamp\tmp; argument passed to save_handler

Echo esto solamente nos queda configurar el ACID, y para esto debemos bajar

dos ficheros, para que interactúan la interfaz. Debemos descargar el adodb517,

desde la pagina: http://sourceforge.net/projects/adodb/files/adodb-php5-

only/adodb-517-for-php5/adodb517.zip/download y el PHPlot desde la pagina:

http://ufpr.dl.sourceforge.net/project/phplot/phplot/5.8.0/phplot-5.8.0.zip. Con

estos archivos lo único que tenemos que hacer es descomprimirlos en el

directorio raíz de Snort.

15

Para la instalación del ACID, lo descargamos desde la página:

http://acidlab.sourceforge.net/, cuya versión es acid-0.9.6b23.tar.gz, lo

descomprimimos en el directorio raíz del servidor web, que en nuestro caso

seria C:\wamp\www.

Modificamos las líneas del fichero acid_conf.php, cuya carpeta es

C:\wamp\www\acid, y escribimos la conexión de la base de datos mysql:

Terminado las configuraciones básica para la ejecución del ACID, ingresamos

a nuestro navegador y escribimos: http://localhost/, nos ubicamos en la carpeta

“acid” y nos mostrara la siguiente pagina:

16

Hacemos click en Setup page:

Click en Create ACID AG:

17

Hacemos click en Main Page y vemos como van las alertas registradas por

Snort: