1. PROYECTO 7 - SEGURIDAD ACTIVA: CONTROL DE REDES
La empresa para la que trabajas ha sido hackeada en varias ocasiones: alguien está
aprovechando las vulnerabilidades que tienen en los servicios ofrecidos desde sus servidores
(por ejemplo, el servidor http), accediendo a través de los puertos abiertos. Los servidores
corren sobre Linux.
Sospechas que el hacker está haciendo uso de la herramienta nmap para obtener puertos
abiertos y aplicaciones ejecutándose en cada uno.
A través de dos máquinas virtuales Ubuntu, un servidor y un cliente, demuestra cómo se
puede detectar un escaneo de puertos. Para ello:
Instala Snort en el Ubuntu Server. Descarga las reglas de pre-procesamiento y
actívalas.
Lo primero es introducir en el terminal el comando “sudo apt-get install snort”.
2. Aparecerá la siguiente ventana, introducimos el intervalo de direcciones y seleccionamos
“Aceptar”.
Una vez instalado, ingresamos desde nuestro navegador al sitio oficial de snort, nos
registramos, buscamos el apartado “Registered” y seleccionamos este archivo.
3. Descomprimimosel archivo y una vez hecho, moveremos una de las carpetas, a la carpeta de
snort con el comando “sudo mv (carpeta a mover) (ruta de destino)”.
Abriremos el archivo snort.conf y en la línea 51, cambiamos el parámetro “any” por la IP de
nuestro equipo.
4. Guardamos los cambios y reiniciamos snort con el comando “sudo service snort restart”.
Iniciaremos el proceso con el comando “sudo snort –i eth0 –c /etc/snort/snort.conf”.
5. Una vez terminado el proceso nos aparecerá lo siguiente en el terminal.
Utiliza nmap desde el Ubuntu Desktop para escanear los servicios del servidor.
Introduciremos en el terminal el comando “sudo apt-get install nmap”.
6. Por último ejecutaremos el comando “sudo nmap (ip del equipo)” para observar los servicios
del servidor.
. Traduce el siguientetexto(tomadode http://manual.snort.org/node3.html):
“Snort reallyisn’tveryhardtouse,but there are a lotof command line optionstoplaywith,
and it’snotalwaysobviouswhichonesgotogetherwell.Thisfileaimstomake usingSnort
easierfornewusers.Before we proceed,thereare afew basicconceptsyou should
understandaboutSnort.Snortcan be configuredtorunin three modes:
- Sniffermode, whichsimplyreadsthe packetsoff of the networkanddisplaysthemforyou in
a continuousstreamonthe console (screen).
- PacketLoggermode, whichlogsthe packetsto disk.
- NetworkIntrusionDetectionSystem(NIDS) mode, whichperformsdetectionandanalysis on
networktraffic.Thisisthe mostcomplex andconfigurable mode.”
“Snort enrealidadnoesmuydifícil de usar, perohaymuchas opcionesde líneasde comandos
que se puedentocar,y no siempre esobvio cualesfuncionanbienentre ellas.Este archivo
pretende hacerfácil el usode Snortpara nuevosusuarios. Antesde proceder,hayalgunos
conceptosque deberíasentendersobre Snort.Snortpuede estarconfiguradoparafuncionar
entres modos:
-Modo Sniffer, el cual simplemente lee lospaquetesretiradosde laredy te losmuestraen una
transmisióncontinuaenlaconsola.
-Modo de registrode paquetes,el cual registralospaquetesenel disco.
-Modo de detecciónde intrusosenlasredes(NIDS),el cual llevaacabola detecciónyanálisis
del tráficode la red. Este es el modomás complicadoyconfigurable.