Act_Formato de Actividad IDS

Escuela de Informática y Telecomunicaciones Telecomunicaciones PDA Actividad de Aprendizaje Aprendizaje

ACTIVIDAD DE APRENDIZAJE Ingeniería en Conectividad y Redes

Carrera/s Sigla Curso Modalidad Versión PDA Forma de trabajo Infraestructura (lugar)

Material de apoyo (insumos y equipamiento) equipamiento) para la actividad

GRC 6501 Presencial 2014 X Individual □ Grupal □ Sala de clases X Laboratorio (especifique) □ Terreno (especifique) □ Otros (especifique) Computador personal para cada alumno Conexión a Internet Máquina Virtual Easy IDS Máquina Virtual Metasploitable Máquina Virtual Linux Nessus

NOMBRE DE LA ACTIVIDAD Configuración de reglas personalizadas en soluciones IDS DESCRIPCIÓN DE LA ACTIVIDAD El estudiante adquiere las competencias de instalación y configuración de una solución IDS, además de realizar reglas personalizadas para detección de trafico anómalo

Introducción: En esta actividad el estudiante realizara la instalación y configuración de una herramienta IDS, sus pruebas de operación básica y la configuración de reglas personalizadas para detectar tráficos anómalos según la definición realizada por el profesor

Desarrollo: - El estudiante deberá instalar la máquina virtual Easy IDS, provista por su profesor, en su ambiente de trabajo VirtualBox y realizar r ealizar las pruebas básicas de funcionamiento -

El estudiante deberá instalar la máquina virtual “Metasploitable”, provista por su

-

profesor, como parte del ambiente de pruebas y comprobar la conexión de red El estudiante deberá instalar la máquina virtual “Kali Linux”, provista por su profesor, como “maquina atacante” y realizar pruebas de monitoreo de trafico anómalo con

-

NMAP El estudiante deberá generar reglas de seguridad personalizadas en la configuración de su IDS para detectar trafico icmp, telnet u otros que sean indicados por su profesor El estudiante deberá generar una regla de seguridad para detectar ataques aplicativos como SQL Injection o Command Execution y comprobar su funcionamiento realizando estos ataques y revisando las alertas de su IDS

Evaluación (desarrollar en la pauta correspondiente)

Escuela de Informática y Telecomunicaciones PDA Actividad de Aprendizaje

Actividad práctica: Formato: Individual. Asignatura: Gestión de Riesgo en Redes Cor porativas Código: GRC 6501

Objetivo: Instalar y configurar una herramienta de monitoreo de eventos de seguridad y configurar políticas ad-hoc

Título: Instalación de herramienta IDS y monitoreo de eventos de seguridad 1.- Inicie su computador en Windows 7. 2.- Cree una máquina virtual en Virtual Box con: - Sistema Operativo: Linux, Other - Memoria RAM: 512 MB - Disco duro: 8GB 3.- Instale la máquina virtual Easy IDS provista por su profesor:

4.- Ejecute la instalación por defecto.


5.- Cree la password de root:

6.- Una vez finalizada la instalación, apague la máquina virtual y habilite las dos interfaces de red como se muestra en la figura: - Adaptador 1: modo puente

- Adaptador 2: modo anfitrión, modo promiscuo: permitir todo


7.- Inicie la máquina virtual con boot desde el disco duro, utilice la contraseña de root creada en el proceso de instalación.

8.- Verifique que ambas interfaces están operativas, tal c omo se muestra en la figura:

9.- Conéctese vía browser a la interfaz de administración desde su computador: https://direccionIPeth0

usuario: admin

password: password


10.- Haga click en la opción Analysis > BASE para visualizar el tráfico monitoreado por el IDS.

Creación de la maquina "victima" 11.- Cree una nueva máquina virtual en Virtual Box, con Sistema Operativo Linux, Ubuntu y 512 MB de RAM.

12.- Instale la máquina virtual Metasploitable provista por su profesor.


13.- Configure la interfaz de red en modo “anfitrión”, el inicio (boot) desde el disco duro y en la opción Sistema > Procesador, habilite la opción PAE/NX.

14.- Inicie la máquina virtual e ingrese con: - usuario: msfadmin - password: msfadmin, y valide la dirección IP asignada.

Instalación de la maquina "atacante": 15.- Instale la máquina virtual Kali Linux, provista por su profesor, c on la interfaz de red en modo anfitrión.

Maquina atacante Linux Nessus

Interfaz eth1 Modo promiscuo

Interfaz eth0

PC de laboratorio Windows 7

Servidor Easy IDS Monitoreo de Seguridad

Diagrama de red de laboratorio

Maquina Victima Linux Ubuntu


Inicio de la sesión de monitoreo: 16.- Ejecute desde la maquina Kali Linux el siguiente comando para realizar un barrido de puertos a la maquina víctima: #nmap ipvictima

17.- Revise la interfaz de administración de EasyIDS para ve r las alertas generadas.

Creación de reglas de seguridad 1.- En el directorio de reglas /etc/snort/rules, cree un archivo de texto 2.- Cree una regla dentro del archivo creado para detectar tráfico FTP, use el siguiente ejemplo: alert tcp any any -> any 21 (msg:”hola”; sid:1000000; rev:1;)


3.- Edite el archivo de configuración de snort a través de la interfaz gráfica:

4.- Agregue la línea: include $RULE_PATH/” nombre archivo” 5.- Agregue el archivo a la configuración de "Snort RuleSets"

6.- Grabe el archivo de configuración y reinicie snort. 7.- Genere el trafico FTP desde su Kali Linux según la regla c onfigurada y compruebe que el contador de alertas se incremente. 8.- Configure una regla para: - trafico icmp desde Kali Linux hacia e l servidor Metasploitable - trafico http desde el Kali Linux hacia el servidor Metasploitable - trafico ssh con login de usuario "msfadmin" - identificar cuando un usuario baja un archivo de nombre “miarchivo.txt” vía FTP - generar una regla para detectar un ataque de SQL Injection desde Kali Linux utilizando el siguiente ejemplo: alert tcp any any -> $HOME_NET $PORT_HTTP (msg: "SQL Injection Attempt and 1=1"; content: "GET"; http_method; uricontent: "and 1=1"; nocase; classtype:web-application-attack; sid:3000001; rev:1;)

Act_Formato de Actividad IDS

Recommend Documents