Este documento describe cómo extender la seguridad de Elastix usando Snort. Snort es un sistema de detección y prevención de intrusos flexible que puede usarse para monitorear el tráfico de red entrante y saliente, detectar ataques comunes dirigidos a Elastix como enumeraciones de contraseñas SIP y vulnerabilidades web, y prevenir ataques de denegación de servicio. El documento explica cómo configurar Snort en modo IDS pasivo o IPS activo, integrarlo con iptables y almacenar alertas en una base de datos para
2. JUAN OLIVA @jroliva
A que me dedico ?
Proyectos de Voz sobre IP con ELASTIX
Servicios de Ethical Hacking
Certificaciones
ECE, dCAA, LPIC-1, Novell CLA, C|EH , CPTE
Instructor / Training
ELASTIX 101, ECE, ESM, LPIC-1
Cursos de Ethical Hacking
Ethical hacking para VoIP , Callcenter
Y cuando tengo tiempo mantengo un blog :
http://jroliva.wordpress.com
3. ¿Qué es Snort?
Es un IDS / IPS muy flexible y a la vez
complejo, que se ha convertido en el
estandar en en campo de la seguridad :
•Alto nivel de personalización
•Análisis de paquetes
•Diferentes modos de ejecución
•Base de reglas de alto alcance
•Diferente tipos de almacenamiento
4. Modos de funcionamiento
- Pasivo / Snifer
Sniffer de paquetes entrantes y salientes en consola
- Logger
Captura de paquetes E/S guardados en un log
5. Modos de funcionamiento
- IDS / NIDS
Sniffer de paquetes entrantes y salientes con generación de
alertas , para un host o para todo un segmento de red
- IPS
llamado “inline” , es el modo de preventor de intrusos y
funciona en colaboración con IPTABLES
13. Funcionamiento interno (1)
- Reglas por defecto – Reglas personalizadas
Base de datos de ataques que sirven para Detección de
Amenazas y Generación de Alarmas
14. Funcionamiento interno (2)
- Preprocesors
Realiza análisis de paquetes entrantes y salientes justo
antes de que el motor de detección se ejecute (reglas) y
justo después de que el paquete ha sido recibido y
decodificado.
* SfPort scan
* Frag3
* HttpInspect
15. Funcionamiento interno (3)
- Plugins de Salida
Formato en que presentará la información procesada
* Motor de base de datos (Mysql, Postgresql)
* Syslog
* tcpdump
18. /usr/local/bin/snort -D -u snort -g snort -c /etc/snort/snort.conf -i eth0
- D: En modo servicio
- u : Usuario de ejecución
- g : Grupo de ejecución
- c : Archivo central de configuración
- i : Interfase de escucha en modo promiscuo
Modos de ejecución - IDS
19. snort -D --daq afpacket -Q -u snort -g snort -c /etc/snort/snort.conf -i eth0:eth1
- D: En modo servicio
- daq afpacket : Condigura daq en modo inline
- Q : Modo IPS
- i etho:eth1: Necesita dos interfases en modo IPS
Modos de ejecución - IPS
20. Pero donde está la información??
La interfase gráfica ???
Hablemos de almacenamiento ...
22. Habilitar en la instalación
hasta la 2.9.2 – luego barnyard2
./configure --with-mysql –enable-dynamicplugin
Configurar en /etc/snort/snort.conf
output database: alert, mysql, user=root password=passwd dbname=snort host=localhost
output database: log, mysql, user=root password=passwd dbname=snort host=localhost
Almacenamiento en Base de datos
37. Tener las librerias completas de DAQ
./snort --daq-list
Available DAQ modules:
pcap(v3): readback live multi unpriv
ipfw(v2): live inline multi unpriv
dump(v1): readback live inline multi unpriv
afpacket(v4): live inline multi unpriv
Snort en modo IPS
TIPS(1) :
38. Contar con dos interfase de red
- No misma mac
- Dos interfaces distintas
Snort en modo IPS
TIPS(2) :
39. Levantar snort en el modo correcto
- daq afpacket : Condigura daq en modo inline
- Q : Modo IPS
- i etho:eth1: Necesita dos interfases en modo IPS
Snort en modo IPS
TIPS(3) :