Continuando con la tématica de los últimos post, para esta entrada vamos a probar EasyIDS; Un IDS (Intrusion Prevention System) de código abierto, licencia GPL y gratuito.
EasyIDS es un proyecto de https://skynetsolutions.com/, está basado en CentOS, y como su propio nombre indica, su facilidad de instalación y puesta en marcha son excelentes.
Easy IDS está basado en Snort que es uno de los sistemas de prevención de intrusiones (IPS) de código abierto más conocido. Snort IPS usa una serie de reglas que ayudan a definir la actividad de red maliciosa y usa esas reglas para encontrar paquetes que coincidan con ellas y genera alertas para los usuarios.
Snort tiene tres usos principales: como rastreador de paquetes como tcpdump, como registrador de paquetes, que es útil para la depuración del tráfico de red, o puede usarse como un sistema de prevención de intrusiones en la red en toda regla. Aunque la paquetería de EasyIDS no está actualizada a la última versión, los paquetes elegidos son la versión estable, así que debería funcionar sin problemas en cualquier equipo.
Aparte Snort, EasyIDS trae otros componentes:
- Arpwatch. Arpwatch es una herramienta que monitorea la actividad de Ethernet y mantiene una base de datos de emparejamientos de direcciones IP / Ethernet. Puede informar ciertos cambios por correo electrónico.
- BASE. Es el motor de análisis básico y seguridad. Esta aplicación proporciona un front-end web para consultar y analizar las alertas provenientes del sistema EasyIDS.
- NTOP. network top (ntop) es una sonda de tráfico de red que muestra el uso de la red en tiempo real. Proporciona un análisis muy profundo del tráfico que fluye en su red.
- Nmap. Creo que no necesita presentaciones.
Para la muestra voy a implementar una red en Virtualbox con algunas máquinas de varios tipos para generar algo de tráfico. Como EasyIDS nos permite usar dos adaptadores, uno para monitorizar y otro para administración; voy a usar la interfaz de administración para administrar el IDS en VirtualBox desde mi navegador de la máquina anfitrión. A continuación os dejo un esquema de la red con los detalles técnicos por si queréis repetir el ejercicio.
Instalación.
Para el ejercicio he instalado EasyIDS en una máquina virtual con las siguientes características:
- Red Hat 32 bits.
- RAM 2048.
- Memoría vídeo 64Mb VMSVGA
- Disco duro virtual 10 Gb.
- 2 interfaces de red – red interna “internet” adaptador solo anfitrión.
Es interesante anotar las direcciones MAC de los adaptadores porque mas adelante nos hará falta saberlas.
Dirección Mac de adaptador de Red Interna |
Dirección MAC de adaptador de Red Host only |
# ifconfig eth1 192.168.56.10/24
Para configurar el otro interfaz ejecutamos en la terminal
# ifconfig eth0 80.80.80.1/24
Configuración final y uso.
Ahora ya podemos acceder desde el Navegador desde la máquina física (m. anfitrión) usando la ip 192.168.56.10 en la barra de direcciones.
Nos aparecerá un aviso de certificados no válidos, el que viene preinstalado es de un protocolo antiguo e inseguro (TLS v1.0); para el ejercicio lo dejaremos así y aceptamos el riesgo. Al final del post, os explicaré como revertir este cambio.
Después del Login accedemos a una presentación de EasyIDS y después se nos requerirá que cambiemos la contraseña de MySQL.
Ya hemos accedido al panel de Control y lo primero que vamos a hacer es hacer clic en “Settings” para comprobar que los interfaces de red están configurados correctamente. Hay que tener mucho cuidado aquí, en ocasiones Easy IDS durante el primer arranque los cambia de función (administración por la de monitor o viceversa) y además en el momento que toquéis los desplegables, EasyIDS entiende que has cambiado algo y reinicia la configuración que hicimos anteriormente, y tendremos que volver a configurarlos en la terminal. Así que fijaros bien que los interfaces están correctamente elegidos antes de tocar nada.
Como hemos tomado nota de las direcciones MAC de los interfaces, este paso no nos tendría que dar mucho problema.
Volvemos a “Settings” y vamos a la configuración de Snort. En este mismo menú podemos configurar las alertas, que pueden ser enviadas a un correo electrónico; y las actualizaciones de reglas de Snort.
Una vez hecho esto ya podemos volver a “Settings” y hacer clic en “Start Snort” y “Start Arpwatch”. Y con todo funcionando ya solo queda generar algo de tráfico para empezar a ver algo de movimiento.También aprovecharé para hacer un escaneo de puertos y algo de “actividad sospechosa” con el Kali Linux.
La escala de tiempo de las gráficas es diaria, así que tendremos que estar un buen rato para tener algo de color.
Con BASE podemos consultar las posibles incidencias que surjan.
Haciendo clic sobre las alertas podemos verlas mas en detalle. Fijaros en la primera línea que nos avisa de un escaneo de puertos.
Se pueden consultar los orígenes y destinos de los paquetes sospechosos.
Ntop nos da información acerca de todos los host involucrados en nuestra red, tanto internos como en conexiones externas.
Podemos visualizar los "logs" directamente en EasyIDS aunque el interfaz es un pelín tosco.
1 comentario:
No sabía que el host only se usaba así, muy interesante!
Publicar un comentario