Practica Configuración de HIDS COMPLETA

Nombre:
Aldo Antonio Garcés

Matricula:
2016-3303
Docente:
Manuel K. Guerrero
Asignatura:
Seguridad En Redes Avanzadas
Practica:
1. Realizar instalación de OSSIM VM sobre VMware o Hyper-V

2. Instalar dos VM sobre Windows 7,8,10.1
3. Realizar la instalación de HIDS sobre la PC con sistema operativo Windows
4. Realizar eventos de autenticación, ataque de fuerza bruta, apagado de
servicios, et
5. Hacer captura de pantalla “tipo how-to” y subir al netacad de cisco.
instalar ese software OSSIM en la máquina virtual para probar, como en la imagen a
continuación.
Encienda la máquina virtual invitada e inicie la instalación.
1. Elija "Instalar Alienvault OSSIM" para instalar el software OSSIM en la máquina

virtual
2. Seleccione el idioma que se utilizará
3. Elija su ubicación (referencia a su zona horaria), si la ubicación no se encuentra en la

lista, elija otra
4.Elija su idioma de teclado y clic enter .
4. Configure la dirección IP OSSIM

5.Configurar máscara de red
5. Puerta
6. Configurar el servidor de nombres de dominio
7. Configure el sistema de contraseña raíz OSSIM

8. progreso del sistema de instalación OSSIM (tomará unos minutos)
9. Después de la instalación de progreso OSSIM hecho, se mostrará el inicio de sesión

principal del sistema.
Como login escriba root y la contraseña que usted escogió anterior mente
Habilitar complementos desde la configuración del sensor
10. Después de iniciar sesión correctamente, debe configurar el sensor OSSIM
Clic en : configure sensor
11. Elija el complemento (para obtener el evento de datos o cualquier información

necesaria del host (activo denominado)
Clic en: Configure Data source plugins
12. En origen de datos del complemento admite muchos proveedores

Por ejemplo seleccionare en el teclado con la barra espaciadora ,
(Ossim-agent y , Nmap -Host ) y clic en aceptar
13. Regrese al menú anterior, presione (Atrás)
14. Elija "Aplicar todos los cambios" si estamos de acuerdo con esta configuración, y
luego presione "Aceptar"
Una vez que se completa el proceso de instalación, puede acceder a la interfaz de usuario web
y configurar su cuenta de administrador.
Para comenzar a usar AlienVault OSSIM

15.Abra su navegador web y escriba la dirección IP que utilizó en el proceso de
configuración en la barra de navegación.
16.El navegador puede darle una advertencia de privacidad de conexión. Si esto sucede, haga
clic en Avanzado y luego Continuar a (la dirección IP que ingresó) .
17. Cree una cuenta de administrador en la página de bienvenida completando todos los
campos. Haga clic en Comenzar a usar AlienVault para ingresar a la interfaz de usuario
web y comenzar a administrar.
18. A continuación se muestra el administrador de inicio de sesión de la página para acceder al administrador web
OSSIM, iniciar sesión con el nombre de usuario y contraseña
19. A continuación haremos la configuración básica como en la imagen de abajo

20. Si verificamos que la dirección IP que utilizamos como OSSIM de administración es correcta, haga clic en Siguiente
21. El siguiente OSSIM realizará el descubrimiento automático de activos en el segmento de red, por lo que si desea utilizar
el descubrimiento automático de activos en todos sus dispositivos o servidores, use la misma dirección IP del segmento con
usted. Gestión de direcciones en su sistema OSSIM, pero no se preocupe, podemos agregar host como activo en
manualmente
22. Siguiente paso OSSIM implementará HIDS (Host Intrution Detection System) en los activos detectados por
descubrimiento, como en esta imagen
Podemos implementar en modo automático y manual, si lo hacemos, OSSIM empujará al agente al sistema, pero debemos tener un
administrador confidencial para el host y asegurarnos de que la conexión no esté bloqueada por el firewall en la red o el fir ewall en
el host, si no tenemos éxito. Puede probar el despliegue manual
23. En el paso Gestión de registros, simplemente omita (o configure más adelante)
24. En el paso unirse a OTX, también fue omitido para este laboratorio es recomendable registrarse .
haga clic en configura más fuente de datos como en esta imagen, e inicie el administrador web de la página principal OSSIM
25. Si se realiza todo el paso anterior, se mostrará el panel de control del administrador del administrador OSSIM del menú
principal como en la imagen a continuación.
26. Ahora implementaremos HIDS en la configuración manual desde el

menú Entorno -> Detección -> HIDS -> Agente
26.Haga clic en "Agregar agente" y busque el activo de dirección IP para desplegar el agente HIDS en el sistema como en
esta imagen
Nota: "La implementación de HIDS solo está disponible para activos con un sistema operativo Windows definido en las
páginas de detalles de activos"
Cómo instalar y configurar AlienVault HIDS Agent en un
host de Windows
Instalación del agente HIDS utilizando un instalador binario preconfigurado
Para instalar el agente AlienVault HIDS utilizando un instalador binario preconfigurado, inicie sesión en AV y navegue a Entorno > Detección > HIDS > AGENTES.
27.En la página INFORMACIÓN DEL AGENTE, seleccione un agente para un host de Windows específico que desee supervisar (solo si se ha
agregado el agente). Como ejemplo, mi dirección IP de host de Windows es 192.168.18.138. Vea la captura de pantalla a continuación.
28.Haga clic en el botón para el host específico de Windows en la

columna de acciones para generar y descargar el instalador del agente preconfigurado. El
instalador se denominará ossec_installer_ID.exe, donde ID es el número de ID del agente de
host en el servidor.
29. Una vez descargado, copie el instalador en el host, haga clic derecho y ejecútelo como
administrador para instalarlo. Cuando finalice la instalación, debería ver una pantalla como la que se
muestra en la captura de pantalla a continuación.
y si el agente HIDS se ejecuta correctamente en el activo, el estado de HIDS cambiará a "activo " como en la imagen
a continuación
Verifique los eventos de seguridad del sensor en el menú Análisis -> Eventos de seguridad (SIEM) y filtre el
evento de seguridad del complemento de origen de datos.
Por ejemplo acá podemos ver el log o registro de un cambio de nombre a la cuenta usuario.
Ahora intentaremos un Arp Spoofing con Ettercap para generar

Un evento para ver si podemos ver en tiempo real nuestro: log o registro
Inicie Ettercap
2.En Kali, haga clic en "Aplicaciones", luego "Sniffing & Spoofing", seguido de "ettercap-graphical". Alternativamente,
haga clic en la opción "Mostrar aplicaciones" en el dock, luego busque y seleccione "Ettercap".
2. Una vez que se inicia, debe encontrarse en la pantalla principal de Ettercap. Verás el logo espeluznante de Ettercap y algunos
menús desplegables para comenzar el ataque. En el siguiente paso, comenzaremos a explorar el menú "Sniff".
Seleccione la interfaz de red para olfatear

3. Haga clic en el elemento de menú "Sniff" y luego seleccione "Sniffing unificado". Se abrirá una nueva ventana pidiéndole que seleccione en
qué interfaz de red desea olfatear. Debe seleccionar la interfaz de red que está actualmente conectada a la red que está atacando.
4. Ahora, verá un texto que confirma que ha comenzado el sniffing, y podrá acceder a opciones de menú más avanzadas, como
Objetivos, Hosts, Mitm, Complementos, etc. Antes de comenzar a usar cualquiera de ellos, vamos a Necesitamos identificar
nuestro objetivo en la red.
Identificar hosts en una red
5. Para encontrar el dispositivo que queremos atacar en la red, Ettercap tiene algunos trucos
bajo la manga. Primero, podemos hacer una búsqueda simple de hosts haciendo clic en
"Hosts" y luego "Buscar hosts". Se ejecutará una exploración y, una vez que finalice, podrá
ver los hosts resultantes que Ettercap ha identificado en la red haciendo clic en "Hosts" y
luego en "Lista de hosts".
6. Del listado de Hosts presentado seleccionar la dirección IP 192.168 .18.138
haciendo clic en el botón “Add to Target 1”
7. Hacer clic en “Mitm -> Arp poisoning...”

8. Se apertura una ventana donde se debe seleccionar la opción “Sniff remote connections.” o
husmear conexiones remotas.
9. Hacer clic en la opción “Start -> Start sniffing” o Empezar a Husmear.

10. El ataque ha iniciado. Ahora podemos verificar nuestro:
Log o registro en OSSIM AlienVault
Fin
¡Preparado y Listo,

Practica Configuración de HIDS COMPLETA

Cargado por

Copyright:

Formatos disponibles

Practica Configuración de HIDS COMPLETA

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Practica Configuración de HIDS COMPLETA

Cargado por

Copyright:

Formatos disponibles

Nombre:

Aldo Antonio Garcés

1. Realizar instalación de OSSIM VM sobre VMware o Hyper-V

Encienda la máquina virtual invitada e inicie la instalación.

1. Elija "Instalar Alienvault OSSIM" para instalar el software OSSIM en la máquina

3. Elija su ubicación (referencia a su zona horaria), si la ubicación no se encuentra en la

4. Configure la dirección IP OSSIM

7. Configure el sistema de contraseña raíz OSSIM

9. Después de la instalación de progreso OSSIM hecho, se mostrará el inicio de sesión

10. Después de iniciar sesión correctamente, debe configurar el sensor OSSIM

Clic en : configure sensor

11. Elija el complemento (para obtener el evento de datos o cualquier información

12. En origen de datos del complemento admite muchos proveedores

Para comenzar a usar AlienVault OSSIM

19. A continuación haremos la configuración básica como en la imagen de abajo

23. En el paso Gestión de registros, simplemente omita (o configure más adelante)

principal como en la imagen a continuación.

26. Ahora implementaremos HIDS en la configuración manual desde el

Instalación del agente HIDS utilizando un instalador binario preconfigurado

28.Haga clic en el botón para el host específico de Windows en la

Ahora intentaremos un Arp Spoofing con Ettercap para generar

Seleccione la interfaz de red para olfatear

7. Hacer clic en “Mitm -> Arp poisoning...”

9. Hacer clic en la opción “Start -> Start sniffing” o Empezar a Husmear.

Log o registro en OSSIM AlienVault

También podría gustarte