Uso de EasyIDS (Sistema de Deteccin de Intrusos)

Instalando EasyIDS
EasyIDS es una distribucin pre-compilada basada en CentOS que permite
instalar y administrar fcilmente el sistema de deteccin de intrusos en red
Snort y analizar su comportamiento a travs del frontend BASE (Basic Analysis
and Security Engine). Adems incorpora varias herramientas tiles como
monitores de red, del sistema, nmap, etc.
En la carpeta compartida en APLIS => VM ya tenis la vm llamada
EasyIDS-0.4. Os dejo una gua de como instalarla en VMWare para que os
sirva en el futuro.
1. Crear una nueva mquina virtual basada en Linux e instalar EasyIDS-0.4.

OJO***Nosotros ya la tenemos creada***OJO.

Una de las tarjetas la ponemos en NAT y la otra en Custom Host-Only a
la vmnet2, por ejemplo. Las credenciales para entrar a EasyIDS son:
Login: root
Password: Ifct0109
Para entrar va web las credenciales son:
Usuario: admin
Password: password
2. La primera pantalla del instalador nos mostrar lo siguiente, donde solo
bastar con aceptar la primera instancia (presionar ENTER)

3. El proceso de instalacin del SO CentOS y paquetes principales es muy

sencillo y automtico. Se preguntar por el idioma del teclado, zona
horaria y password del root del sistema.
4. Una vez terminada la instalacin, adicionalmente se instalarn
automticamente (mediante scripts) los paquetes correspondientes a las
herramientas necesarias tales como mysql, Snort, libreras, apache, etc.
5. Finalmente y luego de la instalacin aparecer la venta de root (CentOS)
para ingresar al sistema

6. Se deber de acceder y se terminar de actualizar la herramienta, luego

mostrar una ventana como la que sigue:

7. Luego podremos abrir un navegador y teclear la direccin IP que nos

muestra (recordar que es necesario configurar uno de los adaptadores
para que obtenga direccionamiento por DHCP, es decir host-only o NAT,
en nuestro caso NAT): https://xx.yy.ww.zz
8. Ya que se ha instalado el servidor Apache con seguridad
(automticamente), solicitar inicialmente usuario y password por
defecto (admin/password).
9. Finalmente nos mostrara la pantalla principal de EasyIDS, mostrando el
men principal y las herramientas montadas:

10.Lo primero que debemos de corroborar es el estado de los servicios

(status -> system):

11.En caso de no estar habilitados los servicios de NTOP y SNORT, para

inicializarlos, bastar con ir a:
NTOP: Damos clic en Settings -> NTOP -> Network Settings e
ingresamos la subred donde monitorizar nuestro IDS, damos clic en
Save y reiniciamos el servicio.

SNORT: Damos clic en Settings -> SNORT -> Network Settings e

ingresamos la subred donde monitorizar nuestro IDS, damos clic en
Save y reiniciamos el servicio.

12.Ahora nos centramos en el motor IDS: SNORT. Para poder habilitar el

servicio deberemos de revisar las interfaces que estn como sensores
en la red, ya que es posible que tanto la interface de monitorizacin
(sensor snort) y la interface de administracin (management) no estn
correctamente configuradas. Para esto accedemos a consola del terminal
del EasyIDS (ya sea directamente o mediante putty ya que se ha
instalado un servidor ssh automticamente) y ejecutamos el comando:
nano /etc/easyids/easyids.conf

Podremos ver cul de las interfaces est monitorizando y cul est como
interface de administracin, en caso necesario cambiamos para que la
eth0 sea la de management, la eth1 la de monitorizacin y guardamos.

13.Finalmente utilizamos el comando service snort restart, para reiniciar

solamente el servicio de snort y veremos que ahora si todos los servicios
se encuentran inicializados y listos para empezar a funcionar:

14.Antes de empezar a explorar nuestro IDS, recordar que este servidor

Linux tiene IPTABLES por defecto en servicio, configurado con reglas
estndar y eso puede interferir en la captura de paquetes por parte de
SNORT, por lo que ser recomendable detener el servicio: service
iptables stop o iptables -F. En nuestro caso no lo detendremos.
Analizando las Alertas con SNORT
1. Arrancamos dos vm Win7 y KALI-LINUX, las conectamos a Custom HostOnly a la vmnet2, por ejemplo. Les asignamos IPs del mismo rango o
dejamos que obtenga el direccionamiento por DHCP, segn corresponda
en cada caso.
2. Podremos utilizar nmap desde el KALI: nmap sV A v <direccin de
red>. Nos vamos a nuestra interface web de EasyIDS, colocamos el
puntero del ratn en Analysis y hacemos click en BASE: veremos que el
IDS ha detectado alertas diferenciadas por tipo de puerto (TCP o UDP),
pueden navegar entre sus diferentes opciones para identificar
correctamente los detalles.

Qu puertos y servicios tiene abierto el Win7?

_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
___
Cules son las alertas presentadas luego del escaneo con nmap, como
las clasifica SNORT y desde donde provienen?
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
___
Qu porcentaje son TCP, UDP, ICMP?
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
___