Sie sind auf Seite 1von 33

Este laboratorio estar dividido en dos apartados: A.

Instalacin, configuracin y pruebas sobre un IDS Snort con Front-end Snorby 1. Instalacin, configuracin y pruebas sobre un IDS Snort con Front-end Snorby Snorby es un front-end para la gestin de alertas de Snort basado en sensores. No se puede utilizar Snorby para la gestin de sensores remotos y configuracin de alertas y reglas, pero su interface grfica es muy sencilla con una visin amplia e intuitiva de la visualizacin de las alertas. Instalaremos el IDS en formato Snorby Virtual Appliance Podemos descargarlo en: http://snorby.org/

Podemos encontrar informacin de instalacin en las siguientes pginas https://github.com/Snorby/snorby/wiki https://github.com/Snorby/snorby/wiki/Insta-Snorby-0.8.0-Install-Notes%28Revised%29%3A Creamos una nueva mquina virtual con la siguiente configuracin:

Seleccionamos la imagen ISO de Snorby

Nota: se puede dejar ubuntu

Aumentamos la memoria RAM de la mquina virtual

Si tuviramos dos interfaces, uno con port mirroring y otro para administracin, aadiramos otro network Adapter. Configuramos el adaptador de la mquina virtual a NAT.

Si dispusiramos de un Oinkcode para la actualizacin de reglas se introducira en la siguiente opcin. El Oinkcode se obtiene registrndose en http://www.snort.org. Esta fase se puede saltar ya que no vamos a actualizar el Snort.

El mismo interfaz de administracin se utilizar como interfaz de monitorizacin, por lo que los ataques se realizarn a esa IP.

Se habilita OpenFPC para poder capturar trfico que indicamos en caso de detectar un ataque y as poder analizarlo.

Utilizamos la cuenta de root que hemos configurado para acceder a la mquina virtual, directamente en VMWARE o por SSH a la IP que hemos configurado.

Accedemos al interfaz grfico Web, con el usuario por defecto snorby@snorby.org/snorby y cambiamos la cuenta http://192.168.116.131/users/login

Cambiamos la contrasea e email de nuestro usuario administrador

Podemos aadir usuarios

Cambiamos el nombre del sensor

Desde la mquina virtual de Snorby, podemos configurar las reglas de Snort #nano /etc/snort/snort.conf

Habilitaremos todas las reglas (rules) eliminado las # de cada regla

Paramos el servicio de Snort y lo volvemos a arrancar. Cualquier cambio en snort.conf debe ir precedido de un reinicio del servicio, antes un stop, etc: /etc/init.d/snort restart / stop / start

Realizamos ataques contra la IP del Snorby (en nuestro caso no tenemos un puerto de SPAN), por ejemplo escaneos con distintos tipos con Nmap y Nessus, fuerza bruta al SSH con Hydra, etc En Snorby los eventos que se detectan se deben clasificar por un operador. Vamos a aadir a los que estn por defecto uno para Ataques Web.

Ej: Inyeccin XSS Desde un cmd de Windows (considerando 192.168.116.131 la IP que hayamos asignado al interfaz de Snorby)

telnet 192.168.116.131 80 GET /?id=<script>alert(SXX)</script> HTTP/1.0 Despus de un tiempo veremos

Clasificamos como ataque Web

En el Dashboard ya nos aparecera el evento con la clasificacin que hemos hecho

Se podra capturar el trfico para despus analizar el posible ataque

El archivo pcap se puede abrir por ejemplo con Wireshark Realizamos otro ataque haciendo una peticin con un mtodo HTTP que no existe, como Head (en realidad es HEAD). telnet 192.168.116.131 80 Head / HTTP/1.0 Veramos en el dashboard

Realizamos un SQL Injection y realizamos los mismos pasos que para el XSS telnet 192.168.116.131 80 GET /?id= and 1=1-- HTTP/1.0 telnet 192.168.116.131 80 GET /?id= and 1=2-- HTTP/1.0 telnet 192.168.116.131 80 GET /?id= or 1=1 HTTP/1.0 O cualquiera de los siguientes: GET /?id= order by 1-- HTTP/1.0 GET /?id= group by 1-- HTTP/1.0 GET /?id= union all select 1,2,3,4,5-- HTTP/1.0 GET /?id= having 1=1-- HTTP/1.0 Snort detecta el ataque segn est configurado? La siguiente regla se podra introducir en /etc/snort/rules/web-misc.rules para que detectar intentos de Blind SQL. Para los otros casos sera similar
alert tcp any any -> $HOME_NET $PORT_HTTP (msg: "SQL Injection Attempt - and 1=1"; content: "GET"; http_method; uricontent: "and 1=1"; nocase;classtype:webapplication-attack; sid:3000001; rev:1;)

Realizamos un ataque de Inyeccin de cabeceras telnet 192.168.116.131 80 GET /?id=%0D%0ASet-Cookie=SSII HTTP/1.0 Snort detecta el ataque segn est configurado? Realizamos un ataque de Path Transversal telnet 192.168.116.131 80 GET /?file=../../../../../../../../../etc/shadow HTTP/1.0 Snort detecta el ataque segn est configurado?

Podemos exportar los datos en un PDF

Snorby captura los paquetes pero actualiza cada cierto tiempo. En el Dashboard veris una lnea: Last Updated con fecha y hora de ltima actualizacin. El Dashboard se actualiza cada 30 minutos sin posibilidad de ser configurado. Esto es as para un correcto almacenaje en cach. Podemos comprobar que los datos se estn guardando en la base de datos MySQL de una forma muy simple, por ejemplo: La contrasea de la Base de Datos es mysqlUNAN 1. 2. 3. 4. 5. # mysql -u root -p show databases; use snorby; show tables; select * from event;

Das könnte Ihnen auch gefallen