Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 555 vistas

    A005 Seguridad Redes Analisis Act2

    Cargado por

    julio sanchez gomez
    Este documento describe una actividad para configurar un sistema de detección de intrusos (IDS) llamado Snort en una red. Se definen variables para las diferentes redes y se crean reglas en Snort para detectar intentos de acceso a un archivo específico, el envío de contraseñas en texto plano, y otros patrones.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    A005 Seguridad Redes Analisis Act2

    Cargado por

    julio sanchez gomez
    555 vistas7 páginas
    Este documento describe una actividad para configurar un sistema de detección de intrusos (IDS) llamado Snort en una red. Se definen variables para las diferentes redes y se crean reglas en Snort para detectar intentos de acceso a un archivo específico, el envío de contraseñas en texto plano, y otros patrones.

    Descripción original:

    actividad

    Título original

    A005_seguridad_redes_analisis_act2

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento describe una actividad para configurar un sistema de detección de intrusos (IDS) llamado Snort en una red. Se definen variables para las diferentes redes y se crean reglas en Snort para detectar intentos de acceso a un archivo específico, el envío de contraseñas en texto plano, y otros patrones.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    555 vistas7 páginas

    A005 Seguridad Redes Analisis Act2

    Cargado por

    julio sanchez gomez
    Este documento describe una actividad para configurar un sistema de detección de intrusos (IDS) llamado Snort en una red. Se definen variables para las diferentes redes y se crean reglas en Snort para detectar intentos de acceso a un archivo específico, el envío de contraseñas en texto plano, y otros patrones.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 7

    Asignatura Datos del alumno Fecha

    Seguridad en Redes y Apellidos:


    Análisis Inteligente de
    Amenazas Nombre:

    Actividad: Sistema de detección de intrusos

    Objetivos

    Reforzar los conocimientos del alumno relativos a mecanismos de defensa de redes


    y el uso de sistemas de detección de intrusos.

    Descripción

    Preparación del entorno: el entorno es el mismo que el utilizado en la actividad


    anterior, «Mecanismo de defensa en redes». Ante cualquier duda, se recomienda
    revisar el apartado «Preparación del Entorno» de dicha actividad.

    Otras herramientas útiles

    Con el objetivo de comprobar que las reglas que os pediremos en la actividad son
    correctas, podéis hacer uso de algunas herramientas dentro del entorno de
    NETinVM.

    La primera recomendación es que temporalmente cambiéis la política del


    cortafuegos (iptables) a una política permisiva para aseguraros de que no está
    bloqueando vuestras pruebas.

    © Universidad Internacional de La Rioja (UNIR)


    La segunda es que creéis un fichero de configuración específico para vuestras reglas
    (por ejemplo, pruebas-snort.conf) y ejecutéis Snort para que monitorice cada uno
    de los interfaces del cortafuegos, tal y como se muestra en el siguiente gráfico.

    1
    Actividades
    Asignatura Datos del alumno Fecha
    Seguridad en Redes y Apellidos:
    Análisis Inteligente de
    Amenazas Nombre:

    Figura 1. Ejecución de Snort. Fuente: elaboración propia.

    Finalmente, de nuevo os recomendamos utilizar el comando netcat, tanto para


    crear peticiones como para simular servicios (cuando estos no estén desplegados en
    la arquitectura). La sintaxis de netcat es muy sencilla. Por ejemplo:

     Para crear un servicio que escuche en el puerto 80 TCP: nc -l -p 80


     Para crear un servicio que escuche en el puerto 53 UDP: nc -lu -p 53
     Para comunicarse con un servicio que escucha en el puerto 80 TCP: nc [IP o
    nombre del host] 80
     Para comunicarse con un servicio que escucha en el puerto 53 UDP: nc -u [IP
    o nombre del host] 53
    © Universidad Internacional de La Rioja (UNIR)

    El siguiente gráfico muestra un ejemplo de una comunicación desde exta con el


    servidor web en dmza y como Snort en fw muestra una alerta al detectar uno de los
    patrones buscado (GET /pass.html).

    2
    Actividades
    Asignatura Datos del alumno Fecha
    Seguridad en Redes y Apellidos:
    Análisis Inteligente de
    Amenazas Nombre:

    Figura 2. Alerta de Snort. Fuente: elaboración propia.

    Desarrollo de la actividad

    Example ha quedado muy satisfecha con tu último trabajo y ha decidido llamarte de


    nuevo. Parece que tu recomendación sobre que un cortafuegos no es suficiente por
    sí solo hoy en día para proteger una red adecuadamente no ha caído en saco roto.
    En Example
    © Universidad Internacional ha(UNIR)
    de La Rioja gustado la idea de Defensa en Profundidad que les explicaste y han
    decidido empezar a desarrollarla añadiendo un sistema de detección de intrusos
    (IDS) a su arquitectura. La solución escogida ha sido Snort.

    3
    Actividades
    Asignatura Datos del alumno Fecha
    Seguridad en Redes y Apellidos:
    Análisis Inteligente de
    Amenazas Nombre:

    Tras una reunión donde te explican todos los detalles, dibujas un gráfico de la
    arquitectura. No ha cambiado respecto a tu último trabajo para ellos.

    Figura 3. Gráfico de la arquitectura a proteger. Fuente: elaboración propia.

    Un cortafuegos FW con tres interfaces interconecta tres segmentos de red: la red


    interna de la empresa, la DMZ y el acceso a Internet. Dentro de la DMZ se
    encuentra un servidor WEB (DMZA). Además, tienes acceso a uno de los equipos de
    la red local (INTA) y a otro en Internet (EXTA) que te permite tener una visión de la
    red desde el exterior.

    © Universidad Internacional de La Rioja (UNIR)


    Decides que la mejor localización para el IDS es el cortafuegos FW y te pones manos
    a la obra:

    4
    Actividades
    Asignatura Datos del alumno Fecha
    Seguridad en Redes y Apellidos:
    Análisis Inteligente de
    Amenazas Nombre:

    1. Para facilitar la creación de reglas y mejorar su entendimiento, decides crear


    algunas variables. Defines una variable para la red local (RED_LOCAL), otra para
    el servidor Web (SERV_WEB) otra para la DMZ (RED_DMZ) y otra para todo lo
    que no sea ni red local ni DMZ (RED_EXTERNA).
    2. En Example están preocupados porque creen que alguien ha estado atacando su
    servidor WEB e intentando descargarse el fichero pass.html. Decides atacar
    este problema por partes. Primero vas a añadir una regla que detecte el método
    GET en los 3 primeros caracteres de todos los paquetes HTTP (puerto 80)
    dirigidos al servidor WEB. Cuando se detecte el patrón indicado la regla, lanzará
    una alerta con el mensaje Detectado Metodo GET.
    3. Ahora que has comprobado que detectas adecuadamente el uso del método
    GET, modificas la regla anterior para detectar la búsqueda del archivo
    pass.html en la parte de la URL de la petición. Decides modificar la regla
    anterior para que, tras detectar el patrón GET, se busque la cadena pass.html
    entre los caracteres 5 y 261 de la parte de datos de todos los paquetes HTTP
    (puerto 80) dirigidos al servidor WEB. Cuando se detecte el patrón indicado la
    regla lanzará una alerta con el mensaje Detectado Intento de Acceso al fichero
    pass.html.
    4. El administrador de red de Example está preocupado porque parece que algunos
    trabajadores están utilizando servicios no protegidos en Internet que podrían
    exponer sus contraseñas. Decides añadir una regla de Snort que detecte el envío
    de contraseñas en claro (comando PASS) desde la red local al conectarse a
    servicios de transferencia de ficheros (FTP) o de consulta de correo (POP3) en
    máquinas de Internet. Cuando se detecte el patrón indicado, la regla lanzará una
    alerta
    © Universidad Internacional de Lacon
    Riojael(UNIR)
    mensaje Detectado uso de contraseñas en claro.

    Entrega y extensión de la actividad

    5
    Actividades
    Asignatura Datos del alumno Fecha
    Seguridad en Redes y Apellidos:
    Análisis Inteligente de
    Amenazas Nombre:

    Ya has configurado el IDS con las reglas adecuadas, has comprobado que todo sea
    correcto y crees que has terminado el trabajo, pero no es así. El responsable de
    seguridad de Example es de la vieja escuela y quiere todas las reglas documentadas.
    Además, es muy quisquilloso y solo aceptará la documentación si se la entregas en
    un formato concreto. Debes rellenar la tabla 1 solo con las reglas de Snort que
    deberían aplicarse para llevar a cabo las acciones solicitadas, generar un PDF y
    hacer entrega de este a través de la plataforma facilitada dentro del plazo
    establecido. ¡Suerte!

    Notas:

     Todas las acciones deben llevarse a cabo con una única regla (a excepción de la
    acción 1 para la que se requiere la definición de tres variables).
     La evaluación de la práctica se llevará a cabo únicamente evaluando la tabla de
    reglas que entreguéis.
     Utilizad las variables definidas en el primer punto en el resto de los apartados,
    siempre que sea posible.
     Utilizad los puertos conocidos asociados a los protocolos:
    https://es.wikipedia.org/wiki/Anexo:Puertos_de_red

    Acción Regla
    1. Definir una variable para la red local (RED_LOCAL),
    otra para el servidor Web (SERV_WEB) otra para la
    DMZ (RED_DMZ) y otra para todo lo que no sea ni red
    local ni DMZ (RED_EXTERNA).
    2. Añadir una regla que detecte el método GET en los
    3 primeros caracteres de todos los paquetes HTTP
    © Universidad Internacional de La Rioja (UNIR)
    (puerto 80) dirigidos al servidor WEB. Cuando se
    detecte el patrón indicado la regla lanzará una alerta
    con el mensaje Detectado Metodo GET.
    3. Modificar la regla anterior para que, tras detectar el
    patrón GET, busque la cadena pass.html entre los
    caracteres 5 y 261 de la parte de datos de todos los
    paquetes HTTP (puerto 80) dirigidos al servidor WEB.
    Cuando se detecte el patrón indicado la regla lanzará

    6
    Actividades
    Asignatura Datos del alumno Fecha
    Seguridad en Redes y Apellidos:
    Análisis Inteligente de
    Amenazas Nombre:

    una alerta con el mensaje Detectado Intento de


    Acceso al fichero pass.html.
    4. Añadir una regla de Snort que detecte el envío de
    contraseñas en claro (comando PASS) desde la red
    interna al conectarse a servicios de transferencia de
    ficheros (FTP) o de consulta de correo (POP3) en
    máquinas de Internet. Cuando se detecte el patrón
    indicado la regla lanzará una alerta con el mensaje
    Detectado uso de contraseñas en claro.

    Rúbrica

    Sistemas de Puntuación
    Peso
    detección de Descripción máxima
    %
    intrusos (puntos)
    Criterio 1 Cada Variable vale 0.75 puntos 2.5 25%
    Criterio 2 Cada Regla vale 2.5 puntos 7.5 75%
    Criterio 3 Se resta 0.75 por cada fallo u omisión de
    un parámetro
    Criterio 4 Tres o más fallos en una regla hacen que
    esa regla puntúe 0
    10 100 %

    © Universidad Internacional de La Rioja (UNIR)

    7
    Actividades

    También podría gustarte