IMPLEMENTACION DE UN SISTEMA DE DETECCION DE INTRUSOS (IDC) EN WINDOWS 7
-
Upload
orfila-rosales -
Category
Documents
-
view
522 -
download
3
description
Transcript of IMPLEMENTACION DE UN SISTEMA DE DETECCION DE INTRUSOS (IDC) EN WINDOWS 7
1
CURSO : TALLER DE SEGURIDAD INFORMATICA
DOCENTE : ING. MARCHAND NIÑO, WILLIAM
INTEGRANTES : CALLOCONDO MORVELI, EULER
RIOS RIVERA, LEWBY
ROSALES SILVA ORFILA
TARAZONA CAJAMUNI, MILTON
SEMESTRE : 2012 - I
TINGO MARIA – PERÚ
2012
“IMPLEMENTACION DE UN SISTEMA DE DETECCION DE
INTRUSOS (IDC) EN WINDOWS 7”
2
2.1. DISEÑO DE IMPLEMENTACION
2.1.1. Equipos y Materiales
Los equipos y materiales que se utilizaron fueron los siguientes:
1 Switch.
1 PC servidor
2 PC Clientes para nuestra LAN
Cables par trenzado 3
Conectores RJ45.
Sistema Operativo Windows 7
2.1.2. Arquitectura de la configuración
Figura Nro. 8: Arquitectura de la configuración
CAPITULO II:
IMPLEMENTACION Y
CONFIGURACION
192.168.70.10
Cliente2: 192.168.70.12 Cliente1: 192.168.70.11
SERVIDOR
SWITCH
3
2.2. INSTALACION Y CONFIGURACION
2.2.1. Instalación del Snort
Para la instalación del Snort, necesitamos la herramienta Wincap 4.1.2,
descargable desde la página: http://www.winpcap.org/install. Esta herramienta
es básica para el funcionamiento de Snort, debido a que es la librería de bajo
nivel que utilizará Snort para el acceso a redes. Es para Windows como la
libCap utilizada en Linux.
Una vez instalado el WinCap, debemos descargar la versión de Snort para
Windows, desde la página: http://www.snort.org/snort-downloads, actualmente
disponible la versión Snort 2.9.2.3.
Para la instalación del Snort 2.9.2.3. Lo único que hay que subrayar en el
proceso de instalación, es que en un momento dado nos preguntará la opción
de instalación, la cual seleccionamos “I do not plan to log to a database, or I am
planning to log to one of the databases listed above” y presionamos Next para
continuar.
A continuación nos pedirá que seleccionemos los componentes de la
instalación, los seleccionamos todos y hacemos clic en Next. Cuando nos pida
la ruta de instalación, dejamos la que sale por defecto C:\Snort y presionamos
Next para finalizar la instalación.
4
Una vez instalado el Snort, descargamos los reglas de la web de Snort en la
pagina: http://www.snort.org/snort-rules/, para nuestro caso la versión:
snortrules-snapshot-2923.tar.gz, lo descomprimimos y copiamos las carpetas
descomprimidas en la carpeta: C:\Snort, remplazando las carpetas existentes.
Para el funcionamiento del Snort en Windows7, configuramos el archivo
snort.conf, que es el fichero de configuración del Snort y se encuentra ubicado
en la carpeta: C:\Snort\etc, lo abrimos con un bloc de notas y configuramos las
siguientes líneas:
1. Remplazamos la palabra “ipvar” por “var”, ya que la ultima versión del
Snort no reconoce el ipvar en Windows7.
2. Nos dirigimos a las siguientes líneas:
5
y las modificamos de la siguiente manera:
# such as: c:\snort\rules
var RULE_PATH c:\snort\rules
var SO_RULE_PATH c:\snort\so_rules
var PREPROC_RULE_PATH c:\snort\preproc_rules
3. Nos dirigimos a las siguientes líneas de código:
y las modificamos de la siguiente manera:
# path to dynamic preprocessor libraries
dynamicpreprocessor C:\Snort\lib\snort_dynamicpreprocessor\
# path to base preprocessor engine
Dynamicengine C:\Snort\lib\snort_dynamicengine\libsf_engine.dll
# path to dynamic rules libraries
#dynamicdetection directory /usr/local/lib/snort_dynamicrules
4. Buscamos las siguientes líneas de código:
y las comentamos de la siguiente manera:
# Does nothing in IDS mode
#preprocessor normalize_ip4
#preprocessor normalize_tcp: ips ecn stream
#preprocessor normalize_icmp4
#preprocessor normalize_ip6
#preprocessor normalize_icmp6
6
5. Nos dirigimos a las siguientes líneas de código:
y le agregamos la siguiente dirección:
# metadata reference data. do not modify these lines
include C:\Snort\etc\classification.config
include C:\Snort\etc\reference.config
6. Nos dirigimos a las siguientes líneas de código:
y cambiamos el backslash:
# Set the absolute path appropriately
var WHITE_LIST_PATH ..\rules
var BLACK_LIST_PATH ..\rules
nested_ip inner, \
whitelist $WHITE_LIST_PATH\white_list.rules, \
blacklist $BLACK_LIST_PATH\black_list.rules
OJO: Creamos el archivo: white_list.rules, en la carpeta: C:\Snort\rules
7. Nos ubicamos en la carpeta rules, cuya dirección es : C:\Snort\rules y
buscamos el archivo blacklist.rules y lo renombramos por black_list.rules. Y
en el archivo snort.conf nos dirigimos a la línea de código:
y lo modificamos por:
include $RULE_PATH/black_list.rules
8. Ubicamos las siguientes líneas de códigos:
y lo modificamos por la red 192.168.70.0/22:
7
# Setup the network addresses you are protecting
var HOME_NET 192.168.70.0/22
# Set up the external network addresses. Leave as "any" in most situations
var EXTERNAL_NET !$HOME_NET
Definimos la siguiente regla para que capture los ping que realiza el servidor,
para la cual nos dirigimos a la carpeta: C:\Snort\rules y buscamos el archivo
milocal.rules y agregamos dentro del archivo la siguiente línea:
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001;)
Una vez realizados los cambios necesarios, podemos probar el funcionamiento
del Snort desde la línea de comando como modo Administrador, dirigiéndonos
a la carpeta: C:\Snort\bin y ejecutamos el siguiente código:
snort -A console -c c:\Snort\etc\snort.conf -l c:\Snort\log –i1 -K ascii
Las opciones que hemos ejecutado en la línea de comando a Snort son:
-d : visualizar los campos de datos que pasan por la interface de red.
-e: snort nos mostrará información más detallada.
-v: Iniciamos snort en modo sniffer visualizando en pantalla las
cabeceras de los paquetes TCP/IP.
-c: archivo que utilizará snort como fichero de configuración.
-l: directorio donde guardar las alertas y logs.
-i: interfaz que monitorizaremos.
8
La carpeta C:\Snort\log ira almacenando las direcciones que el servidor hace
ping:
2.2.2. Instalación y configuración del Mysql
Lo primero que tenemos que hacer es descargar el driver ODBC Mysql, debido
a los problemas de compatibilidad que se pueden encontrar, el nombre del
archivo es mysql-connector-odbc-5.1.11-win32.msi y lo descargamos desde la
página: http://dev.mysql.com/downloads/connector/odbc/, lo instalamos y
proseguimos con la isntalacion del Mysql.
Descargamos la base de datos de Mysql desde la página:
http://dev.mysql.com/downloads/mysql/, en nuestro caso la versión Mysql-
5.5.25.
Ejecutamos el instalador de MySQL, la cual nos muestra la siguiente ventana:
9
Seleccionamos la instalación típica, paro no consumir todos los recursos del
equipo.
Terminando de instalar, se mostraran dos ventanas más con información sobre
algunas herramientas comerciales de MySQL. Solo pulsen siguiente en ambas
ventanas. En la siguiente ventana seleccionamos la casilla inferior para iniciar
el asistente de configuración. Y nos mostrará la siguiente ventana:
10
Seleccionamos configuración a detalle y pulsamos Next.
Seleccionamos el tipo de servidor y el uso que le daremos a nuestra base de
datos. La ruta de instalación por defecto nuestras bases de datos se guardaran
en C:\Program Files\MySQL\MySQL Server 5.5\data
No olvidar marcar la casilla para habilitar el puerto TCP/IP, y el modo estricto.
Además habilitamos la casilla para que nuestro firewall permita el uso del
puerto 3307 ( ne nuestro caso).
11
Una vez finalizado la instalación del Mysql Server, podemos acceder desde la
línea de comando de Windows o el propio comando de Mysql.
Para la configuración y creación de la base de datos donde se trabajara,
seguimos los siguientes pasos:
1. Desde la línea de comando de Windows, en la carpeta C:, accedemos con
el usuario root al Myslq cuya contraseña en nuestra caso es: 123456
mysql -u root -p
2. Dentro del mysql, creamos la base de datos Snort, de la siguiente manera:
create database snort;
3. Verificamos la existencia de la base de datos: show databases;
12
4. Damos permisos al usuario con el que se modificara la base de datos snort
de la siguiente manera: grant insert,select,update,create,delete on snort.* to
snort_admin@localhost identified by zoltan;
5. Accedemos y mostramos las tablas de mysql:
use mysql;
show tables;
6. Seleccionamos la tabla user y mostramos los usuarios existentes:
select User from user;
select User, Host from user;
select User, Host, Password from user;
7. Damos privilegios: flush privileges;
8. Nos retiramos del usuario root de mysql: quit;
Nos conectamos con el usuario snort_admin, cuya contraseña es zoltan:
mysql -u snort_admin -p
9. Accedemos y mostramos las tablas de snort:
use snort;
show tables;
10. Nos salimos del usuario snort_admin: quit;
11. Ejecutamos el siguiente codigo:
mysql –u root –p < C:\Snort\schemas\create_mysql
12. Volvemos a ingresar al usuario snort_admin:
mysql –u snort_admin –p
use snort;
show tables;
select * from iphdr; / select * from event;
13
Para la configuración y creación de la base de datos donde se trabajara,
seguimos los siguientes pasos:
Ahora tenemos que modificar el archivo snort.conf para que el snort interactúe
con el Mysql. Lo único que tenemos que modificar es descomentar la línea:
Y cambiándole por la siguiente:
output database: log, mysql, user=snort_admin password=zoltan dbname=snort
host=localhost port=3306
Una vez realizados estos cambios, lanzamos snort desde el directorio
bin del fichero raíz de snort, mediante el comando:
snort -c c:\Snort\etc\snort.conf -l c:\Snort\log -K ascii
Realizamos alguna acción para que se creen alertas, y accedemos a la base
de datos snort y ejecutamos :
select * from event;
Y veremos todos los eventos que se han producido.
14
2.2.3. Instalación y configuración de ACID
ACID es un sistema basado en web, creado con el lenguaje de programación
PHP, con lo que necesita de un servidor capaz de interpretar PHP. Como
estamos instalando Snort en Windows, vamos a utilizar el servidor Apache,
cuyo programa instalaremos el Wampserver 2.2e, donde viene el integrado el
PHP5.13, Mysql5.5.24, para la instalación descargaremos de la página:
http://www.wampserver.com/en/.
Una vez instalado el wampserver2.2e, configuramos el fichero php.ini que se
encuentra en la carpeta C:\wamp\bin\php\php5.3.13. Una vez en el, lo editamos
y modificamos una serie de variables:
max_execution_time = 60; Maximum execution time of each script, in seconds
error_reporting = E_ALL & ~E_NOTICE
extension_dir = C:\wamp\bin\php\php5.3.13\ext
extension=php_gd2.dll
session.save_path= C:\wamp\tmp; argument passed to save_handler
Echo esto solamente nos queda configurar el ACID, y para esto debemos bajar
dos ficheros, para que interactúan la interfaz. Debemos descargar el adodb517,
desde la pagina: http://sourceforge.net/projects/adodb/files/adodb-php5-
only/adodb-517-for-php5/adodb517.zip/download y el PHPlot desde la pagina:
http://ufpr.dl.sourceforge.net/project/phplot/phplot/5.8.0/phplot-5.8.0.zip. Con
estos archivos lo único que tenemos que hacer es descomprimirlos en el
directorio raíz de Snort.
15
Para la instalación del ACID, lo descargamos desde la página:
http://acidlab.sourceforge.net/, cuya versión es acid-0.9.6b23.tar.gz, lo
descomprimimos en el directorio raíz del servidor web, que en nuestro caso
seria C:\wamp\www.
Modificamos las líneas del fichero acid_conf.php, cuya carpeta es
C:\wamp\www\acid, y escribimos la conexión de la base de datos mysql:
Terminado las configuraciones básica para la ejecución del ACID, ingresamos
a nuestro navegador y escribimos: http://localhost/, nos ubicamos en la carpeta
“acid” y nos mostrara la siguiente pagina:
16
Hacemos click en Setup page:
Click en Create ACID AG:
17
Hacemos click en Main Page y vemos como van las alertas registradas por
Snort: