Práctica de Monitorización Con EasyIDS

Uso de EasyIDS (Sistema de Detección de Intrusos) Instalando EasyIDS

EasyID EasyIDS S es una distribu distribució ción n pre-co pre-compi mpilada lada basada basada en CentOS CentOS que permite permite instalar y administrar fácilmente el sistema de detección de intrusos en red Snort y analizar su comportamiento a través del frontend !SE "asic !nalysis and Securit Security y En#ine$ En#ine$%% !demás !demás incorp incorpora ora varias varias &erram &erramient ientas as 'tiles 'tiles como como monitores de red( del sistema( nmap( etc% En la carpeta compartida en APLIS => VM ya tenis la !m llamada EasyIDS"#$%$ Os de)o una #u*a de como instalarla en +,are para que os sirva en el futuro%

.% Crear Crear una nueva nueva máquina virtual virtual basada basada en /inu0 /inu0 e instalar instalar EasyIDS-1%2% EasyIDS-1%2%

&'&osotros ya la tenemos creada&'&$ 3na de las tar)etas la ponemos en 4!5 y la otra en Custom 6ost-Only a la vmnet7( por e)emplo% /as credenciales para entrar a EasyIDS son8 /o#in8 root 9ass:ord8 Ifct1.1; 9ara entrar v*a :eb las credenciales son8 3suario8 admin 9ass:ord8 pass:ord

7% /a primera pantalla del instalador nos mostrará lo si#uiente( donde solo bastará con aceptar la primera instancia "presionar E45E<$

=% El proceso de instalación del SO CentOS y paquetes principales es muy sencillo y automático% Se pre#untará por el idioma del teclado( zona &oraria y pass:ord del root del sistema% 2% 3na vez terminada la instalación( adicionalmente se instalarán automáticamente "mediante scripts$ los paquetes correspondientes a las &erramientas necesarias tales como mysql( Snort( librer*as( apac&e( etc% >% ?inalmente y lue#o de la instalación aparecerá la venta de root "CentOS$ para in#resar al sistema

@% Se deberá de acceder y se terminará de actualizar la &erramienta( lue#o mostrará una ventana como la que si#ue8

A% /ue#o podremos abrir un nave#ador y teclear la dirección I9 que nos muestra "recordar que es necesario conB#urar uno de los adaptadores para que obten#a direccionamiento por D6C9( es decir &ost-only o 4!5( en nuestro caso 4!5$8 https://xx.yy.ww.zz  % a que se &a instalado el servidor !pac&e con se#uridad "automáticamente$( solicitará inicialmente usuario y pass:ord por defecto "admin/password $% ;% ?inalmente nos mostrara la pantalla principal de EasyIDS( mostrando el men' principal y las &erramientas montadas8

.1%/o primero que debemos de corroborar es el estado de los servicios (status -> system) 8

..%En caso de no estar &abilitados los servicios de 45O9 y S4O<5( para inicializarlos( bastará con ir a8 *&P+ Damos clic en Settings "> NTOP -> Network Settings e in#resamos la subred donde monitorizará nuestro IDS( damos clic en Save y reiniciamos el servicio%

S4O<58 Damos clic en Settings "> SNORT -> Network Settings e in#resamos la subred donde monitorizará nuestro IDS( damos clic en Save y reiniciamos el servicio%

.7%!&ora nos centramos en el motor IDS8 S4O<5% 9ara poder &abilitar el servicio deberemos de revisar las interfaces que están como sensoresF en la red( ya que es posible que tanto la interface de monitorización "sensor snort$ y la interface de administración "mana#ement$ no estén correctamente conB#uradas% 9ara esto accedemos a consola del terminal del EasyIDS "ya sea directamente o mediante putty ya que se &a instalado un servidor ss& automáticamente$ y e)ecutamos el comando8 nano /etc/easyids/easyids.conf 

9odremos ver cuál de las interfaces está monitorizando y cuál está como interface de administración( en caso necesario cambiamos para que la et&1 sea la de mana#ement( la et&. la de monitorización y #uardamos%

.=%?inalmente utilizamos el comando service snort restart ( para reiniciar solamente el servicio de snort y veremos que a&ora si todos los servicios se encuentran inicializados y listos para empezar a funcionar8

.2%!ntes de empezar a e0plorar nuestro IDS( recordar que este servidor /inu0 tiene IPTABLES   por defecto en servicio( conB#urado con re#las estándar y eso puede interferir en la captura de paquetes por parte de S4O<5( por lo que será recomendable detener el servicio8 service iptables stop o iptables -$ En nuestro caso no lo detendremos$ Anali,ando las Alertas con S&-*

.% !rrancamos dos vm inA y G!/I-/I43H( las conectamos a Custom 6ostOnly a la vmnet7( por e)emplo% /es asi#namos I9s del mismo ran#o o de)amos que obten#a el direccionamiento por D6C9( se#'n corresponda en cada caso% 7% 9odremos utilizar nmap desde el G!/I8 nmap !s" !# !v $direcci%n de red>. 4os vamos a nuestra interface :eb de EasyIDS( colocamos el puntero del ratón en !nalysisF y &acemos clic en !SE8 veremos que el IDS &a detectado alertas diferenciadas por tipo de puerto "5C9 o 3D9$( pueden nave#ar entre sus diferentes opciones para identiBcar correctamente los detalles%

JKué puertos y servicios tiene abierto el inAL  MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM   MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM   MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM   MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM   MMM  JCuáles son las alertas presentadas lue#o del escaneo con nmap( como las clasiBca S4O<5 y desde donde provienenL  MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM   MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM   MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM   MMM  JKué porcenta)e son 5C9( 3D9( IC,9L  MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM   MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM   MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM   MMM