Sie sind auf Seite 1von 17

“IMPLEMENTACION DE UN SISTEMA DE DETECCION DE

INTRUSOS (IDC) EN WINDOWS 7”

CURSO : TALLER DE SEGURIDAD INFORMATICA

DOCENTE : ING. MARCHAND NIÑO, WILLIAM

INTEGRANTES : CALLOCONDO MORVELI, EULER


RIOS RIVERA, LEWBY
ROSALES SILVA ORFILA
TARAZONA CAJAMUNI, MILTON

SEMESTRE : 2012 - I

TINGO MARIA – PERÚ


2012

1
2.1. DISEÑO DE IMPLEMENTACION

2.1.1. Equipos y Materiales

Los equipos y materiales que se utilizaron fueron los siguientes:

 1 Switch.
 1 PC servidor
 2 PC Clientes para nuestra LAN
 Cables par trenzado 3
 Conectores RJ45.
 Sistema Operativo Windows 7

2.1.2. Arquitectura de la configuración

SERVIDOR

SWITCH

192.168.70.10

Cliente1: 192.168.70.11 Cliente2: 192.168.70.12

Figura Nro. 8: Arquitectura de la configuración

2
2.2. INSTALACION Y CONFIGURACION

2.2.1. Instalación del Snort

Para la instalación del Snort, necesitamos la herramienta Wincap 4.1.2,


descargable desde la página: http://www.winpcap.org/install. Esta herramienta
es básica para el funcionamiento de Snort, debido a que es la librería de bajo
nivel que utilizará Snort para el acceso a redes. Es para Windows como la
libCap utilizada en Linux.

Una vez instalado el WinCap, debemos descargar la versión de Snort para


Windows, desde la página: http://www.snort.org/snort-downloads, actualmente
disponible la versión Snort 2.9.2.3.

Para la instalación del Snort 2.9.2.3. Lo único que hay que subrayar en el
proceso de instalación, es que en un momento dado nos preguntará la opción
de instalación, la cual seleccionamos “I do not plan to log to a database, or I am
planning to log to one of the databases listed above” y presionamos Next para
continuar.

A continuación nos pedirá que seleccionemos los componentes de la


instalación, los seleccionamos todos y hacemos clic en Next. Cuando nos pida
la ruta de instalación, dejamos la que sale por defecto C:\Snort y presionamos
Next para finalizar la instalación.

3
Una vez instalado el Snort, descargamos los reglas de la web de Snort en la
pagina: http://www.snort.org/snort-rules/, para nuestro caso la versión:
snortrules-snapshot-2923.tar.gz, lo descomprimimos y copiamos las carpetas
descomprimidas en la carpeta: C:\Snort, remplazando las carpetas existentes.

Para el funcionamiento del Snort en Windows7, configuramos el archivo


snort.conf, que es el fichero de configuración del Snort y se encuentra ubicado
en la carpeta: C:\Snort\etc, lo abrimos con un bloc de notas y configuramos las
siguientes líneas:

1. Remplazamos la palabra “ipvar” por “var”, ya que la ultima versión del


Snort no reconoce el ipvar en Windows7.
2. Nos dirigimos a las siguientes líneas:

4
y las modificamos de la siguiente manera:
# such as: c:\snort\rules
var RULE_PATH c:\snort\rules
var SO_RULE_PATH c:\snort\so_rules
var PREPROC_RULE_PATH c:\snort\preproc_rules

3. Nos dirigimos a las siguientes líneas de código:

y las modificamos de la siguiente manera:


# path to dynamic preprocessor libraries
dynamicpreprocessor C:\Snort\lib\snort_dynamicpreprocessor\
# path to base preprocessor engine
Dynamicengine C:\Snort\lib\snort_dynamicengine\libsf_engine.dll
# path to dynamic rules libraries
#dynamicdetection directory /usr/local/lib/snort_dynamicrules

4. Buscamos las siguientes líneas de código:

y las comentamos de la siguiente manera:


# Does nothing in IDS mode
#preprocessor normalize_ip4
#preprocessor normalize_tcp: ips ecn stream
#preprocessor normalize_icmp4
#preprocessor normalize_ip6
#preprocessor normalize_icmp6

5
5. Nos dirigimos a las siguientes líneas de código:

y le agregamos la siguiente dirección:


# metadata reference data. do not modify these lines
include C:\Snort\etc\classification.config
include C:\Snort\etc\reference.config

6. Nos dirigimos a las siguientes líneas de código:

y cambiamos el backslash:
 # Set the absolute path appropriately
var WHITE_LIST_PATH ..\rules
var BLACK_LIST_PATH ..\rules
 nested_ip inner, \
whitelist $WHITE_LIST_PATH\white_list.rules, \
blacklist $BLACK_LIST_PATH\black_list.rules
OJO: Creamos el archivo: white_list.rules, en la carpeta: C:\Snort\rules

7. Nos ubicamos en la carpeta rules, cuya dirección es : C:\Snort\rules y


buscamos el archivo blacklist.rules y lo renombramos por black_list.rules. Y
en el archivo snort.conf nos dirigimos a la línea de código:

y lo modificamos por:
include $RULE_PATH/black_list.rules

8. Ubicamos las siguientes líneas de códigos:

y lo modificamos por la red 192.168.70.0/22:

6
# Setup the network addresses you are protecting
var HOME_NET 192.168.70.0/22
# Set up the external network addresses. Leave as "any" in most situations
var EXTERNAL_NET !$HOME_NET

Definimos la siguiente regla para que capture los ping que realiza el servidor,
para la cual nos dirigimos a la carpeta: C:\Snort\rules y buscamos el archivo
milocal.rules y agregamos dentro del archivo la siguiente línea:

alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001;)

Una vez realizados los cambios necesarios, podemos probar el funcionamiento


del Snort desde la línea de comando como modo Administrador, dirigiéndonos
a la carpeta: C:\Snort\bin y ejecutamos el siguiente código:

snort -A console -c c:\Snort\etc\snort.conf -l c:\Snort\log –i1 -K ascii

Las opciones que hemos ejecutado en la línea de comando a Snort son:

 -d : visualizar los campos de datos que pasan por la interface de red.


 -e: snort nos mostrará información más detallada.
 -v: Iniciamos snort en modo sniffer visualizando en pantalla las
cabeceras de los paquetes TCP/IP.
 -c: archivo que utilizará snort como fichero de configuración.
 -l: directorio donde guardar las alertas y logs.
 -i: interfaz que monitorizaremos.

7
La carpeta C:\Snort\log ira almacenando las direcciones que el servidor hace
ping:

2.2.2. Instalación y configuración del Mysql

Lo primero que tenemos que hacer es descargar el driver ODBC Mysql, debido
a los problemas de compatibilidad que se pueden encontrar, el nombre del
archivo es mysql-connector-odbc-5.1.11-win32.msi y lo descargamos desde la
página: http://dev.mysql.com/downloads/connector/odbc/, lo instalamos y
proseguimos con la isntalacion del Mysql.

Descargamos la base de datos de Mysql desde la página:


http://dev.mysql.com/downloads/mysql/, en nuestro caso la versión Mysql-
5.5.25.

Ejecutamos el instalador de MySQL, la cual nos muestra la siguiente ventana:

8
Seleccionamos la instalación típica, paro no consumir todos los recursos del
equipo.

Terminando de instalar, se mostraran dos ventanas más con información sobre


algunas herramientas comerciales de MySQL. Solo pulsen siguiente en ambas
ventanas. En la siguiente ventana seleccionamos la casilla inferior para iniciar
el asistente de configuración. Y nos mostrará la siguiente ventana:

9
Seleccionamos configuración a detalle y pulsamos Next.

Seleccionamos el tipo de servidor y el uso que le daremos a nuestra base de


datos. La ruta de instalación por defecto nuestras bases de datos se guardaran
en C:\Program Files\MySQL\MySQL Server 5.5\data

No olvidar marcar la casilla para habilitar el puerto TCP/IP, y el modo estricto.


Además habilitamos la casilla para que nuestro firewall permita el uso del
puerto 3307 ( ne nuestro caso).

10
Una vez finalizado la instalación del Mysql Server, podemos acceder desde la
línea de comando de Windows o el propio comando de Mysql.

Para la configuración y creación de la base de datos donde se trabajara,


seguimos los siguientes pasos:

1. Desde la línea de comando de Windows, en la carpeta C:, accedemos con


el usuario root al Myslq cuya contraseña en nuestra caso es: 123456
mysql -u root -p

2. Dentro del mysql, creamos la base de datos Snort, de la siguiente manera:


create database snort;
3. Verificamos la existencia de la base de datos: show databases;

11
4. Damos permisos al usuario con el que se modificara la base de datos snort
de la siguiente manera: grant insert,select,update,create,delete on snort.* to
snort_admin@localhost identified by zoltan;
5. Accedemos y mostramos las tablas de mysql:
 use mysql;
 show tables;
6. Seleccionamos la tabla user y mostramos los usuarios existentes:
 select User from user;
 select User, Host from user;
 select User, Host, Password from user;
7. Damos privilegios: flush privileges;
8. Nos retiramos del usuario root de mysql: quit;
Nos conectamos con el usuario snort_admin, cuya contraseña es zoltan:
mysql -u snort_admin -p

9. Accedemos y mostramos las tablas de snort:


 use snort;
 show tables;
10. Nos salimos del usuario snort_admin: quit;
11. Ejecutamos el siguiente codigo:
mysql –u root –p < C:\Snort\schemas\create_mysql
12. Volvemos a ingresar al usuario snort_admin:
 mysql –u snort_admin –p
 use snort;
 show tables;
 select * from iphdr; / select * from event;

12
Para la configuración y creación de la base de datos donde se trabajara,
seguimos los siguientes pasos:

Ahora tenemos que modificar el archivo snort.conf para que el snort interactúe
con el Mysql. Lo único que tenemos que modificar es descomentar la línea:

Y cambiándole por la siguiente:

output database: log, mysql, user=snort_admin password=zoltan dbname=snort


host=localhost port=3306

Una vez realizados estos cambios, lanzamos snort desde el directorio


bin del fichero raíz de snort, mediante el comando:

snort -c c:\Snort\etc\snort.conf -l c:\Snort\log -K ascii

Realizamos alguna acción para que se creen alertas, y accedemos a la base


de datos snort y ejecutamos :

select * from event;

Y veremos todos los eventos que se han producido.

13
2.2.3. Instalación y configuración de ACID

ACID es un sistema basado en web, creado con el lenguaje de programación


PHP, con lo que necesita de un servidor capaz de interpretar PHP. Como
estamos instalando Snort en Windows, vamos a utilizar el servidor Apache,
cuyo programa instalaremos el Wampserver 2.2e, donde viene el integrado el
PHP5.13, Mysql5.5.24, para la instalación descargaremos de la página:
http://www.wampserver.com/en/.

Una vez instalado el wampserver2.2e, configuramos el fichero php.ini que se


encuentra en la carpeta C:\wamp\bin\php\php5.3.13. Una vez en el, lo editamos
y modificamos una serie de variables:

max_execution_time = 60; Maximum execution time of each script, in seconds


error_reporting = E_ALL & ~E_NOTICE
extension_dir = C:\wamp\bin\php\php5.3.13\ext
extension=php_gd2.dll
session.save_path= C:\wamp\tmp; argument passed to save_handler

Echo esto solamente nos queda configurar el ACID, y para esto debemos bajar
dos ficheros, para que interactúan la interfaz. Debemos descargar el adodb517,
desde la pagina: http://sourceforge.net/projects/adodb/files/adodb-php5-
only/adodb-517-for-php5/adodb517.zip/download y el PHPlot desde la pagina:
http://ufpr.dl.sourceforge.net/project/phplot/phplot/5.8.0/phplot-5.8.0.zip. Con
estos archivos lo único que tenemos que hacer es descomprimirlos en el
directorio raíz de Snort.

14
Para la instalación del ACID, lo descargamos desde la página:
http://acidlab.sourceforge.net/, cuya versión es acid-0.9.6b23.tar.gz, lo
descomprimimos en el directorio raíz del servidor web, que en nuestro caso
seria C:\wamp\www.

Modificamos las líneas del fichero acid_conf.php, cuya carpeta es


C:\wamp\www\acid, y escribimos la conexión de la base de datos mysql:

Terminado las configuraciones básica para la ejecución del ACID, ingresamos


a nuestro navegador y escribimos: http://localhost/, nos ubicamos en la carpeta
“acid” y nos mostrara la siguiente pagina:

15
Hacemos click en Setup page:

Click en Create ACID AG:

16
Hacemos click en Main Page y vemos como van las alertas registradas por
Snort:

17

Das könnte Ihnen auch gefallen