Asignatura Datos del alumno Fecha

Apellidos: Garzón Cardozo

Seguridad en Redes 3/02/2020
Nombre: Javier Orlando

Actividades

Trabajo: Sistema de Detección de Intrusos (IDS)

Preparación del entorno

En el entorno es el mismo que el utilizado en la actividad anterior «Mecanismo de

defensa en redes». Ante cualquier duda, se recomienda revisar el apartado
«Preparación del Entorno» de dicha actividad.

Otras herramientas útiles

Con el objetivo de comprobar que las reglas que os pediremos en la actividad son
correctas podéis hacer uso de algunas herramientas dentro del entorno de NETinVM.

La primera recomendación es que temporalmente cambiéis la política del cortafuegos

(iptables) a una política permisiva para aseguraros de que no está bloqueando vuestras
pruebas.

La segunda es que creéis un fichero de configuración específico para vuestras reglas

(por ejemplo pruebas-snort.conf) y ejecutéis Snort para que monitorice cada uno de los
interfaces del cortafuegos tal y como se muestra en el siguiente gráfico.

This study source was downloaded by 100000840286704 from CourseHero.com on 01-18-2022 08:06:13 GMT -06:00
TEMA 4 – Actividades © Universidad Internacional de La Rioja (UNIR

https://www.coursehero.com/file/54631427/Actividad-3pdf/
 Asignatura Datos del alumno Fecha
Apellidos: Garzón Cardozo
Seguridad en Redes 3/02/2020
Nombre: Javier Orlando

Figura 1. Ejecución de Snort.

Finalmente, de nuevo os recomendamos utilizar el comando netcat tanto para crear

peticiones como para simular servicios (cuando estos no estén desplegados en la
arquitectura). La sintaxis de netcat es muy sencilla. Por ejemplo:

» Para crear un servicio que escuche en el puerto 80 TCP: nc -l -p 80

» Para crear un servicio que escuche en el puerto 53 UDP: nc -lu -p 53
» Para comunicarse con un servicio que escucha en el puerto 80 TCP: nc [IP o nombre
del host] 80
» Para comunicarse con un servicio que escucha en el puerto 53 UDP: nc -u [IP o
nombre del host] 53

El siguiente gráfico muestra un ejemplo de una comunicación desde exta con el

servidor WEB en dmza y como Snort en fw muestra una alerta al detectar uno de los
patrones buscado (GET pass.html).

This study source was downloaded by 100000840286704 from CourseHero.com on 01-18-2022 08:06:13 GMT -06:00
TEMA 4 – Actividades © Universidad Internacional de La Rioja (UNIR

https://www.coursehero.com/file/54631427/Actividad-3pdf/
 Asignatura Datos del alumno Fecha
Apellidos: Garzón Cardozo
Seguridad en Redes 3/02/2020
Nombre: Javier Orlando

Figura 2. Alerta de Snort

Desarrollo y pautas de la actividad

Example ha quedado muy satisfecha con tu último trabajo y ha decidido llamarte de

nuevo. Parece que tu recomendación sobre que un cortafuegos no es suficiente por sí
solo hoy en día para proteger una red adecuadamente no ha caído en saco roto. En
Example ha gustado la idea de Defensa en Profundidad que les explicaste y han
decidido empezar a desarrollarla añadiendo un sistema de detección de intrusos (IDS)
a su arquitectura. La solución escogida ha sido Snort.

Tras una reunión donde te explican todos los detalles dibujas un gráfico de la
arquitectura. No ha cambiado respecto a tu último trabajo para ellos.

This study source was downloaded by 100000840286704 from CourseHero.com on 01-18-2022 08:06:13 GMT -06:00
TEMA 4 – Actividades © Universidad Internacional de La Rioja (UNIR

https://www.coursehero.com/file/54631427/Actividad-3pdf/
 Asignatura Datos del alumno Fecha
Apellidos: Garzón Cardozo
Seguridad en Redes 3/02/2020
Nombre: Javier Orlando

Figura 3. Gráfico de la arquitectura a proteger.

Un cortafuegos FW con tres interfaces interconecta tres segmentos de red: la red

interna de la empresa, la DMZ y el acceso a Internet. Dentro de la DMZ se encuentra un
servidor WEB (DMZA). Además, tienes acceso a uno de los equipos de la red local
(INTA) y a otro en Internet (EXTA) que te permite tener una visión de la red desde el
exterior.

This study source was downloaded by 100000840286704 from CourseHero.com on 01-18-2022 08:06:13 GMT -06:00
TEMA 4 – Actividades © Universidad Internacional de La Rioja (UNIR

https://www.coursehero.com/file/54631427/Actividad-3pdf/
 Asignatura Datos del alumno Fecha
Apellidos: Garzón Cardozo
Seguridad en Redes 3/02/2020
Nombre: Javier Orlando

Decides que la mejor localización para el IDS es el cortafuegos FW y te pones manos a

la obra:
1. Para facilitar la creación de reglas y mejorar su entendimiento decides crear algunas
variables. Defines una variable para la red local (RED_LOCAL), otra para
la DMZ (RED_DMZ) y otra para todo lo que no sea ni red local ni DMZ
(RED_EXTERNA).
2. En Example están preocupados porque creen que alguien ha estado atacando su
servidor WEB e intentando descargarse el fichero pass.html. Decides añadir una
regla que detecte el patrón GET pass.html en la parte de datos de todos
los paquetes HTTP (puerto 80) dirigidos al servidor WEB. Cuando se
detecte el patrón indicado la regla lanzará una alerta con el mensaje
Detectado Ataque HTTP.
3. Tras algunas pruebas te das cuenta de que tu regla anterior solo funcionará si la
descarga del fichero indicado se lleva a cabo sin incluir una ruta previa. Decides
añadir una nueva regla que busque la cadena pass.html entre los
caracteres 5 y 261 de la parte de datos de todos los paquetes HTTP
(puerto 80) dirigidos al servidor WEB. Cuando se detecte el patrón
indicado la regla lanzará una alerta con el mensaje Detectado Intento de
Acceso al fichero pass.html.
4. El administrador de red de Example está preocupado porque parece que algunos
trabajadores están utilizando servicios no protegidos en Internet que podrían
exponer sus contraseñas. Decides añadir una regla de Snort que detecte el
envío de contraseñas en claro (comando PASS) desde la red local al
conectarse a servicios de transferencia de ficheros (FTP) o de consulta
de correo (POP3) en máquinas de Internet. Cuando se detecte el patrón
indicado la regla lanzará una alerta con el mensaje Detectado uso de
contraseñas en claro.

Ya has configurado el IDS con las reglas adecuadas, has comprobado que todo sea
correcto y crees que has terminado el trabajo…, pero no es así. El responsable de
seguridad de Example es de la vieja escuela y quiere todas las reglas documentadas.
Además, es muy quisquilloso y solo aceptará la documentación si se la entregas en un
formato concreto. Debes rellenar la tabla 1 con las reglas de Snort que deberían

This study source was downloaded by 100000840286704 from CourseHero.com on 01-18-2022 08:06:13 GMT -06:00
TEMA 4 – Actividades © Universidad Internacional de La Rioja (UNIR

https://www.coursehero.com/file/54631427/Actividad-3pdf/
 Asignatura Datos del alumno Fecha
Apellidos: Garzón Cardozo
Seguridad en Redes 3/02/2020
Nombre: Javier Orlando

aplicarse para llevar a cabo las acciones solicitadas, generar un PDF y hacer entrega de
este a través de la plataforma facilitada dentro del plazo establecido… ¡Suerte!

Notas:

» Todas las acciones deben llevarse a cabo con una única regla (a excepción de la
acción 1 para la que se requiere la definición de tres variables).
» La evaluación de la práctica se llevará a cabo únicamente evaluando la tabla de
reglas que entreguéis.

Acción Regla
ipvar RED_LOCAL [ 10.5.2.10,
10.5.2.0/24]
1. Definir una variable para la red local
ipvar RED_DMZ [ 10.5.1.10,
(RED_LOCAL), otra para la DMZ (RED_DMZ) y
10.5.1.0/24]
otra para todo lo que no sea ni red local ni DMZ
ipvar RED_EXTERNA
(RED_EXTERNA).
!$RED_LOCAL

2. Añadir una regla que detecte el patrón GET

alert tcp $EXTERNAL_NET
pass.html en la parte de datos de todos los
ANY -> 10.5.2.254 (content
paquetes HTTP (puerto 80) dirigidos al servidor
”GET” ; offset:0;
WEB. Cuando se detecte el patrón indicado la
content:"path.html"; msg:
regla lanzará una alerta con el mensaje Detectado
“Detectado Ataque HTTP”
Ataque HTTP.
3. Añadir una nueva regla que busque la cadena
pass.html entre los caracteres 5 y 261 de la parte alert tcp $EXTERNAL_NET
de datos de todos los paquetes HTTP (puerto 80) ANY -> 10.5.2.254 (content
dirigidos al servidor WEB. Cuando se detecte el ”path.html” ; dsize:5<>261;
patrón indicado la regla lanzará una alerta con el msg: “Detectado Intento de
mensaje Detectado Intento de Acceso al fichero Acceso al fichero pass.html”
pass.html.
4. Añadir una regla de Snort que detecte el envío
de contraseñas en claro (comando PASS) desde la pass tcp RED_LOCAL 21 ->
red local al conectarse a servicios de transferencia 10.5.0.10 (content: "user root";
de ficheros (FTP) o de consulta de correo (POP3) msg: "FTP root login"; )msg:
en máquinas de Internet. Cuando se detecte el “Detectado Intento de Acceso al
patrón indicado la regla lanzará una alerta con el fichero pass.html”
mensaje Detectado uso de contraseñas en claro.

Tabla 1. Reglas Snort.

This study source was downloaded by 100000840286704 from CourseHero.com on 01-18-2022 08:06:13 GMT -06:00
TEMA 4 – Actividades © Universidad Internacional de La Rioja (UNIR

https://www.coursehero.com/file/54631427/Actividad-3pdf/
Powered by TCPDF (www.tcpdf.org)