IMPLEMENTACION DE UN SISTEMA DE DETECCION DE INTRUSOS (IDC) EN WINDOWS 7

CURSO

TALLER DE SEGURIDAD INFORMATICA

DOCENTE

ING. MARCHAND NIO, WILLIAM

INTEGRANTES

CALLOCONDO MORVELI, EULER RIOS RIVERA, LEWBY ROSALES SILVA ORFILA TARAZONA CAJAMUNI, MILTON

SEMESTRE

2012 - I

TINGO MARIA PER 2012 1

2.1. DISEO DE IMPLEMENTACION

2.1.1. Equipos y Materiales Los equipos y materiales que se utilizaron fueron los siguientes: 1 Switch. 1 PC servidor 2 PC Clientes para nuestra LAN Cables par trenzado 3 Conectores RJ45. Sistema Operativo Windows 7

2.1.2. Arquitectura de la configuracin

SERVIDOR SWITCH

192.168.70.10

Cliente1: 192.168.70.11

Cliente2: 192.168.70.12

Figura Nro. 8: Arquitectura de la configuracin

2.2. INSTALACION Y CONFIGURACION

2.2.1. Instalacin del Snort Para la instalacin del Snort, necesitamos la herramienta Wincap 4.1.2, descargable desde la pgina: http://www.winpcap.org/install. Esta herramienta es bsica para el funcionamiento de Snort, debido a que es la librera de bajo nivel que utilizar Snort para el acceso a redes. Es para Windows como la libCap utilizada en Linux. Una vez instalado el WinCap, debemos descargar la versin de Snort para Windows, desde la pgina: http://www.snort.org/snort-downloads, actualmente disponible la versin Snort 2.9.2.3. Para la instalacin del Snort 2.9.2.3. Lo nico que hay que subrayar en el proceso de instalacin, es que en un momento dado nos preguntar la opcin de instalacin, la cual seleccionamos I do not plan to log to a database, or I am planning to log to one of the databases listed above y presionamos Next para continuar.

A continuacin nos pedir que seleccionemos los componentes de la instalacin, los seleccionamos todos y hacemos clic en Next. Cuando nos pida la ruta de instalacin, dejamos la que sale por defecto C:\Snort y presionamos Next para finalizar la instalacin.

Una vez instalado el Snort, descargamos los reglas de la web de Snort en la pagina: http://www.snort.org/snort-rules/, para nuestro caso la versin: snortrules-snapshot-2923.tar.gz, lo descomprimimos y copiamos las carpetas descomprimidas en la carpeta: C:\Snort, remplazando las carpetas existentes.

Para el funcionamiento del Snort en Windows7, configuramos el archivo snort.conf, que es el fichero de configuracin del Snort y se encuentra ubicado en la carpeta: C:\Snort\etc, lo abrimos con un bloc de notas y configuramos las siguientes lneas: 1. Remplazamos la palabra ipvar por var, ya que la ultima versin del Snort no reconoce el ipvar en Windows7. 2. Nos dirigimos a las siguientes lneas:

y las modificamos de la siguiente manera: # such as: c:\snort\rules var RULE_PATH c:\snort\rules var SO_RULE_PATH c:\snort\so_rules var PREPROC_RULE_PATH c:\snort\preproc_rules 3. Nos dirigimos a las siguientes lneas de cdigo:

y las modificamos de la siguiente manera: # path to dynamic preprocessor libraries dynamicpreprocessor C:\Snort\lib\snort_dynamicpreprocessor\ # path to base preprocessor engine Dynamicengine C:\Snort\lib\snort_dynamicengine\libsf_engine.dll # path to dynamic rules libraries #dynamicdetection directory /usr/local/lib/snort_dynamicrules 4. Buscamos las siguientes lneas de cdigo:

y las comentamos de la siguiente manera: # Does nothing in IDS mode #preprocessor normalize_ip4 #preprocessor normalize_tcp: ips ecn stream #preprocessor normalize_icmp4 #preprocessor normalize_ip6 #preprocessor normalize_icmp6

5. Nos dirigimos a las siguientes lneas de cdigo:

y le agregamos la siguiente direccin: # metadata reference data. do not modify these lines include C:\Snort\etc\classification.config include C:\Snort\etc\reference.config 6. Nos dirigimos a las siguientes lneas de cdigo:

y cambiamos el backslash: # Set the absolute path appropriately var WHITE_LIST_PATH ..\rules var BLACK_LIST_PATH ..\rules nested_ip inner, \ whitelist $WHITE_LIST_PATH\white_list.rules, \ blacklist $BLACK_LIST_PATH\black_list.rules OJO: Creamos el archivo: white_list.rules, en la carpeta: C:\Snort\rules 7. Nos ubicamos en la carpeta rules, cuya direccin es : C:\Snort\rules y buscamos el archivo blacklist.rules y lo renombramos por black_list.rules. Y en el archivo snort.conf nos dirigimos a la lnea de cdigo:

y lo modificamos por: include $RULE_PATH/black_list.rules

8. Ubicamos las siguientes lneas de cdigos:

y lo modificamos por la red 192.168.70.0/22:

# Setup the network addresses you are protecting var HOME_NET 192.168.70.0/22 # Set up the external network addresses. Leave as "any" in most situations var EXTERNAL_NET !$HOME_NET Definimos la siguiente regla para que capture los ping que realiza el servidor, para la cual nos dirigimos a la carpeta: C:\Snort\rules y buscamos el archivo milocal.rules y agregamos dentro del archivo la siguiente lnea: alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001;) Una vez realizados los cambios necesarios, podemos probar el funcionamiento del Snort desde la lnea de comando como modo Administrador, dirigindonos a la carpeta: C:\Snort\bin y ejecutamos el siguiente cdigo: snort -A console -c c:\Snort\etc\snort.conf -l c:\Snort\log i1 -K ascii

Las opciones que hemos ejecutado en la lnea de comando a Snort son: -d : visualizar los campos de datos que pasan por la interface de red. -e: snort nos mostrar informacin ms detallada. -v: Iniciamos snort en modo sniffer visualizando en pantalla las cabeceras de los paquetes TCP/IP. -c: archivo que utilizar snort como fichero de configuracin. -l: directorio donde guardar las alertas y logs. -i: interfaz que monitorizaremos.

La carpeta C:\Snort\log ira almacenando las direcciones que el servidor hace ping:

2.2.2. Instalacin y configuracin del Mysql Lo primero que tenemos que hacer es descargar el driver ODBC Mysql, debido a los problemas de compatibilidad que se pueden encontrar, el nombre del archivo es mysql-connector-odbc-5.1.11-win32.msi y lo descargamos desde la pgina: http://dev.mysql.com/downloads/connector/odbc/, lo instalamos y proseguimos con la isntalacion del Mysql. Descargamos 5.5.25. Ejecutamos el instalador de MySQL, la cual nos muestra la siguiente ventana: la base de datos de Mysql desde la pgina:

http://dev.mysql.com/downloads/mysql/, en nuestro caso la versin Mysql-

Seleccionamos la instalacin tpica, paro no consumir todos los recursos del equipo.

Terminando de instalar, se mostraran dos ventanas ms con informacin sobre algunas herramientas comerciales de MySQL. Solo pulsen siguiente en ambas ventanas. En la siguiente ventana seleccionamos la casilla inferior para iniciar el asistente de configuracin. Y nos mostrar la siguiente ventana:

Seleccionamos configuracin a detalle y pulsamos Next.

Seleccionamos el tipo de servidor y el uso que le daremos a nuestra base de datos. La ruta de instalacin por defecto nuestras bases de datos se guardaran en C:\Program Files\MySQL\MySQL Server 5.5\data No olvidar marcar la casilla para habilitar el puerto TCP/IP, y el modo estricto. Adems habilitamos la casilla para que nuestro firewall permita el uso del puerto 3307 ( ne nuestro caso).

10

Una vez finalizado la instalacin del Mysql Server, podemos acceder desde la lnea de comando de Windows o el propio comando de Mysql.

Para la configuracin y creacin de la base de datos donde se trabajara, seguimos los siguientes pasos: 1. Desde la lnea de comando de Windows, en la carpeta C:, accedemos con el usuario root al Myslq cuya contrasea en nuestra caso es: 123456 mysql -u root -p

2. Dentro del mysql, creamos la base de datos Snort, de la siguiente manera: create database snort; 3. Verificamos la existencia de la base de datos: show databases;

11

4. Damos permisos al usuario con el que se modificara la base de datos snort de la siguiente manera: grant insert,select,update,create,delete on snort.* to snort_admin@localhost identified by zoltan; 5. Accedemos y mostramos las tablas de mysql: use mysql; show tables;

6. Seleccionamos la tabla user y mostramos los usuarios existentes: select User from user; select User, Host from user; select User, Host, Password from user;

7. Damos privilegios: flush privileges; 8. Nos retiramos del usuario root de mysql: quit; Nos conectamos con el usuario snort_admin, cuya contrasea es zoltan: mysql -u snort_admin -p

9. Accedemos y mostramos las tablas de snort: use snort; show tables;

10. Nos salimos del usuario snort_admin: quit; 11. Ejecutamos el siguiente codigo: mysql u root p < C:\Snort\schemas\create_mysql 12. Volvemos a ingresar al usuario snort_admin: mysql u snort_admin p use snort; show tables; select * from iphdr; / select * from event;

12

Para la configuracin y creacin de la base de datos donde se trabajara, seguimos los siguientes pasos: Ahora tenemos que modificar el archivo snort.conf para que el snort interacte con el Mysql. Lo nico que tenemos que modificar es descomentar la lnea:

Y cambindole por la siguiente: output database: log, mysql, user=snort_admin password=zoltan dbname=snort host=localhost port=3306

Una vez realizados estos cambios, lanzamos snort desde el directorio bin del fichero raz de snort, mediante el comando:
snort -c c:\Snort\etc\snort.conf -l c:\Snort\log -K ascii

Realizamos alguna accin para que se creen alertas, y accedemos a la base de datos snort y ejecutamos : select * from event; Y veremos todos los eventos que se han producido.

13

2.2.3. Instalacin y configuracin de ACID ACID es un sistema basado en web, creado con el lenguaje de programacin PHP, con lo que necesita de un servidor capaz de interpretar PHP. Como estamos instalando Snort en Windows, vamos a utilizar el servidor Apache, cuyo programa instalaremos el Wampserver 2.2e, donde viene el integrado el PHP5.13, Mysql5.5.24, para la instalacin descargaremos de la pgina: http://www.wampserver.com/en/. Una vez instalado el wampserver2.2e, configuramos el fichero php.ini que se encuentra en la carpeta C:\wamp\bin\php\php5.3.13. Una vez en el, lo editamos y modificamos una serie de variables: max_execution_time = 60; Maximum execution time of each script, in seconds error_reporting = E_ALL & ~E_NOTICE extension_dir = C:\wamp\bin\php\php5.3.13\ext extension=php_gd2.dll session.save_path= C:\wamp\tmp; argument passed to save_handler Echo esto solamente nos queda configurar el ACID, y para esto debemos bajar dos ficheros, para que interactan la interfaz. Debemos descargar el adodb517, desde la pagina: http://sourceforge.net/projects/adodb/files/adodb-php5-

only/adodb-517-for-php5/adodb517.zip/download y el PHPlot desde la pagina: http://ufpr.dl.sourceforge.net/project/phplot/phplot/5.8.0/phplot-5.8.0.zip. directorio raz de Snort. Con

estos archivos lo nico que tenemos que hacer es descomprimirlos en el

14

Para

la

instalacin

del

ACID, cuya

lo

descargamos es

desde

la

pgina: lo

http://acidlab.sourceforge.net/, seria C:\wamp\www.

versin

acid-0.9.6b23.tar.gz,

descomprimimos en el directorio raz del servidor web, que en nuestro caso

Modificamos

las

lneas

del

fichero

acid_conf.php,

cuya

carpeta

es

C:\wamp\www\acid, y escribimos la conexin de la base de datos mysql:

Terminado las configuraciones bsica para la ejecucin del ACID, ingresamos a nuestro navegador y escribimos: http://localhost/, nos ubicamos en la carpeta acid y nos mostrara la siguiente pagina:

15

Hacemos click en Setup page:

Click en Create ACID AG:

16

Hacemos click en Main Page y vemos como van las alertas registradas por Snort:

17