lunes, 13 de septiembre de 2021

Probamos EasyIDS – Detección de intrusos en nuestra red.

Continuando con la tématica de los últimos post, para esta entrada vamos a probar EasyIDS; Un IDS (Intrusion Prevention System) de código abierto, licencia GPL y gratuito.

EasyIDS es un proyecto de https://skynetsolutions.com/, está basado en CentOS, y como su propio nombre indica, su facilidad de instalación y puesta en marcha son excelentes. 

 

 

Easy IDS está basado en Snort que es uno de los sistemas de prevención de intrusiones (IPS) de código abierto más conocido. Snort IPS usa una serie de reglas que ayudan a definir la actividad de red maliciosa y usa esas reglas para encontrar paquetes que coincidan con ellas y genera alertas para los usuarios.

Snort tiene tres usos principales: como rastreador de paquetes como tcpdump, como registrador de paquetes, que es útil para la depuración del tráfico de red, o puede usarse como un sistema de prevención de intrusiones en la red en toda regla. Aunque la paquetería de EasyIDS no está actualizada a la última versión, los paquetes elegidos son la versión estable, así que debería funcionar sin problemas en cualquier equipo.


Aparte Snort, EasyIDS trae otros componentes:

  • Arpwatch. Arpwatch es una herramienta que monitorea la actividad de Ethernet y mantiene una base de datos de emparejamientos de direcciones IP / Ethernet. Puede informar ciertos cambios por correo electrónico.
  • BASE. Es el motor de análisis básico y seguridad. Esta aplicación proporciona un front-end web para consultar y analizar las alertas provenientes del sistema EasyIDS.
  • NTOP. network top (ntop) es una sonda de tráfico de red que muestra el uso de la red en tiempo real. Proporciona un análisis muy profundo del tráfico que fluye en su red.
  • Nmap. Creo que no necesita presentaciones.

Para la muestra voy a implementar una red en Virtualbox con algunas máquinas de varios tipos para generar algo de tráfico. Como EasyIDS nos permite usar dos adaptadores, uno para monitorizar y otro para administración; voy a usar la interfaz de administración para administrar el IDS en VirtualBox desde mi navegador de la máquina anfitrión. A continuación os dejo un esquema de la red con los detalles técnicos por si queréis repetir el ejercicio.

 



Instalación.

La instalación no tiene ninguna complicación, lo único es que termina tan rápida que no os dará tiempo a sacar el disco antes del reinicio, con lo que volvéis al menú de instalación, esto ya nos pasaba en otro tutorial y como aquella vez os comparto mi truco: Pulsáis F12 durante el reinicio y luego elegís 1 para arrancar el disco duro, cuando el sistema este arrancado, ya podéis sacar el disco.

 


 


Para el ejercicio he instalado EasyIDS en una máquina virtual con las siguientes características:


  • Red Hat 32 bits.
  • RAM 2048.
  • Memoría vídeo 64Mb VMSVGA
  • Disco duro virtual 10 Gb.
  • 2 interfaces de red – red interna “internet” adaptador solo anfitrión.


Una vez implementada la red e instalado EasyIDS nos logueamos en la terminal y procedemos a configurar los interfaces de red. EasyIDS está hecho para ser gestionado totalmente desde un interfaz web así que solo volveremos por aquí cuando tengamos que configurar o revisar los interfaces de red.


Es interesante anotar las direcciones MAC de los adaptadores porque mas adelante nos hará falta saberlas.

 

Dirección Mac de adaptador de Red Interna

 

 

Dirección MAC de adaptador de Red Host only


  
 
Para configurar la red anfitrión tenemos el menu "Administración de  red de anfitrión" en VirtualBox.
 
 

 
 
 
Con esto en mente empezamos configurando el adaptador para administración (adaptador solo anfitrión) para acceder al interfaz de EasyIDs. Para configurar el adaptador solo anfitrión (en este caso eth1) ejecutamos en la terminal:


# ifconfig eth1 192.168.56.10/24



Para configurar el otro interfaz ejecutamos en la terminal


# ifconfig eth0 80.80.80.1/24

 

Configuración final y uso.



Ahora ya podemos acceder desde el Navegador desde la máquina física (m. anfitrión) usando la ip 192.168.56.10 en la barra de direcciones.

Nos aparecerá un aviso de certificados no válidos, el que viene preinstalado es de un protocolo antiguo e inseguro (TLS v1.0); para el ejercicio lo dejaremos así y aceptamos el riesgo. Al final del post, os explicaré como revertir este cambio.

 


 


 

Después del Login accedemos a una presentación de EasyIDS y después se nos requerirá que cambiemos la contraseña de MySQL. 

 



Ya hemos accedido al panel de Control y lo primero que vamos a hacer es hacer clic en “Settings” para comprobar que los interfaces de red están configurados correctamente. Hay que tener mucho cuidado aquí, en ocasiones Easy IDS durante el primer arranque los cambia de función (administración por la de monitor o viceversa) y además en el momento que toquéis los desplegables, EasyIDS entiende que has cambiado algo y reinicia la configuración que hicimos anteriormente, y tendremos que volver a configurarlos en la terminal. Así que fijaros bien que los interfaces están correctamente elegidos antes de tocar nada. 

Como hemos tomado nota de las direcciones MAC de los interfaces, este paso no nos tendría que dar mucho problema.


 
 
 
 

 
 
 
Ahora con todo configurado vamos a comprobar que todos los servicios están en línea en el menú “Status”.
 
 

Como vemos en la imagen Snort y Arpwatch están caídos.

 

 
 

Volvemos a “Settings” y vamos a la configuración de Snort. En este mismo menú podemos configurar las alertas, que pueden ser enviadas a un correo electrónico; y las actualizaciones de reglas de Snort.
 
 



Dentro de la configuración vamos a “Network Settings” y en “Home Network” ponemos la red que queremos monitorizar. Fijaros que podemos añadir las direcciones IP de los servicios de red que podamos tener implementados. 
 
 

 
 
 

Una vez hecho esto ya podemos volver a “Settings” y hacer clic en “Start Snort” y “Start Arpwatch”. Y con todo funcionando ya solo queda generar algo de tráfico para empezar a ver algo de movimiento.También aprovecharé para hacer un escaneo de puertos y algo de “actividad sospechosa” con el Kali Linux.

La escala de tiempo de las gráficas es diaria, así que tendremos que estar un buen rato para tener algo de color.

 


 

 Con BASE podemos consultar las posibles incidencias que surjan.



Haciendo clic sobre las alertas podemos verlas mas en detalle. Fijaros en la primera línea que nos avisa de un escaneo de puertos.



Se pueden consultar los orígenes y destinos de los paquetes sospechosos.


 
 
NTop es otro de los programas contenidos en EasyIDS que hay que tener en cuenta, monitoriza un montón de información de la red y tiene algunos plugins que nos proporcionas algunas funciones extra; como icmpWatch, para activarlos solo es necesario un clic.





Ntop nos da información acerca de todos los host involucrados en nuestra red, tanto internos como en conexiones externas.

 






Tenemos disponible un set de gráficos de protocolos, donde podemos consultar visualmente la actividad de la red. 

 
 

 
 
En el directorio de "logs" podemos consultar todos los archivos .log donde tenemos toda la info recogida por EasyIDS.
 
 
 

 
 
Podemos visualizar los "logs" directamente  en EasyIDS aunque el interfaz es un pelín tosco.
 
 

 
 
Desde el menú de actualizaciones de Snort que os comenté anteriormente podemos actualizar las bases de datos, aunque para algunas necesitaremos solo un registro otras son de pago, pero teniendo en cuenta que el programa está disponible gratuitamente, no me parece un mal arreglo. 
 
 
Como veis EasyIDS es fácil de usar y nos brinda un montón de información sobre nuestra red, podemos informarnos en tiempo real con el sistema de notificaciones por email y es totalmente gratuito; lo que la hace una solución ideal para proteger pequeñas instalaciones de red. Hay que puntualizar que no es una solución activa, osea no bloquea conexiones sospechosas; pero con la información recolectada se puede blindar una instalación bloqueando hosts o direcciones Ips sospechosas o detectar servicios de red mal configurados.


Y bueno, para terminar, si queréis que volver a desactivar la version vieja de TLS en Firefox simplemente tenéis que acceder al about:config y buscar security.tls.version.enable-deprecated que estará en True y lo pasáis a False. Para Chrome o IE os dejo un enlace que lo explica bastante bien.


Y bueno sin mas que añadir me despido hasta el siguiente post.

1 comentario:

Manuel Naranja dijo...

No sabía que el host only se usaba así, muy interesante!

Publicar un comentario