Autor Tema: Sistema de detección de intrusos V1.5 (in construccion)  (Leído 12351 veces)

Desconectado Leandros

  • Member
  • ***
  • Mensajes: 421
Sistema de detección de intrusos V1.5 (in construccion)
« en: 23 de Octubre de 2003, 05:01:23 am »
Herramientas necesarias

 :arrow: Servidor web Apache descargable desde http://httpd.apache.org/download.cgi

:arrow: PHP Descargable desde:http://www.php.net/downloads.php, tb se puede descargar una versión en paquete ZIP de http://es2.php.net/distributions/php-4.3.2-Win32.zip

 :arrow: Detector de intrusos Snort (actualmente versión 2.1.2) descargable desde http://www.snort.org/dl/

 :arrow: La base de datos Mysql (versión 5.0) la bajaremos desde http://www.mysql.com/downloads/mysql-4.0.html

 :arrow: El analizador ACID en php http://www.andrew.cmu.edu/rdany-liw/snort/snortacid.html

 :arrow: El ADOdb, es una extensión en php para manejar distintas APIs de las bases de datos http://php.weblogs.com/adodb#downloads

 :arrow: Y por ultimo la libreria para las estadisticas phplot http://www.phplot.com


Configurando Apache+PHP

Daremos por hecho que Apache está instalado, ahora debemos configurar PHP como un módulo del servidor web. Cuando tengamos descargado el ZIP lo descomprimimos en C:\php,  copiamos la librería php4ts.dll en el directorio de nuestro PATH,
c:\winnt\system32 (W2k)
c:\windows\system32 (W9x y XP).
Para que APACHE haga uso de ficheros PHP, copiaremos el fichero php.ini-dist en c:\winnt\ para W2k y XP y le cambiaremos el nombre a php.ini
En este fichero deberemos modificar una serie de cosas:

 :arrow: Le indicaremos donde se encuentra el directorio raiz del servidor web.

doc_root="c:\archivos de programa\apache group\apache\htdocs"

 :arrow: Tambien hay que borrar el caracter ";" de la linea extension=php_gd2.dll

Con esto debe funcionar nuestro IDS.

Ahora editamos el archivo httpd.conf (se encuentra en c:\archivos de programa\apache group\apache\conf) y le añadimos lo siguiente:

LoadModule php4_module c:/php/sapi/php4apache.dll
AddModule mod_php4.c


Esto indica que php funcionará como un modulo.

Un poco más abajo en el fichero nos encontramos:

<IfModule mod_dir.c>
       DirectoryIndex index.html
    </IfModule>


Lo modificamos:

<IfModule mod_dir.c>
       DirectoryIndex index.html
         AddType application/x-httpd-php.php
    </IfModule>


Así indicamos que tomará como páginas php los archivos que terminen en php

(Aclaración: en win los caracteres de las rutas '\' son sustituidos siempre por '/')

Ahora reiniciamos el APACHE para que tome los cambios.

Una vez instalado, en nuestro navegador http://localhost o http://127.0.0.1 nos dará un mensaje de bienvenida.

Mañana postearé como configurar el Snort, que ahora me caigo de sueño..lo siento chicos, mañana más ;)

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
Sistema de detección de intrusos V1.5 (in construccion)
« Respuesta #1 en: 23 de Octubre de 2003, 05:11:18 am »
muy bueno Leadros :!: , el snort se sale, a dormir  :D

ya somos 2 jeje
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

Desconectado Leandros

  • Member
  • ***
  • Mensajes: 421
Sistema de detección de intrusos V1.5 (in construccion)
« Respuesta #2 en: 23 de Octubre de 2003, 09:27:34 pm »
Hola amigos soy COCO!! y hoy les voy a enseñar a configurar el Snort.

Supongamos que tenemos la máquina SNORT 192.168.0.1, donde correrá el detector de intrusos y la máquina MYSQL 192.168.0.2, donde correrá el servidor de base de datos. Lo primero que hay que hacer es descargar una librería con la que windows no dispone,WinpCap imprescindible para realizar las labores de sniffer. La descargaremos desde aqui:

http://winpcap.polito.it/

Lo primero que nos pregunta Snort cuando lo instalamos es que si queremos soporte para FlexResp. Esto nos permite cerrar conexiones cuando un patrón es reconocido. Nos preguntará si queremos soporte para MS SQL Server, pero no lo necesitamos. El resto se puede dejar todo por defecto.

Para configurarlo vamos al archivo snort.conf, (en c:\snort\etc\) aqui encontraremos la info necesaria para configurar la herramienta a vuestro gusto. Abrirlo con el Wordpad.

Lo más importante es que nos aseguremos de que Snort encuentra las reglas vigilando la variable var RULE_PATH. por defecto viene con el valor ".../rules", esto significa que escala un directorio para encontrarlo. Lo cambiaremos por:

var RULE_PATH c:\snort\rules

La variable HOME_NET nos dice qué se quiere monitorizar dentro de nuestra red, si solo queremos monitorizar nuestro host es necesario indicarlo así 192.168.0.1/32

La variable EXTERNAL_NET monitoriza los valores que vienen desde fuera, lo dejaremos con el valor por defecto "any".

Esto nos dará las targetas de red encontradas en nuestro sistema.

c:\snort\bin\snort -W
[...]
Interface      Device       Description
----------------------------------
1  \Device\NPF_(7945111-479A-4234-9D11-77456HEUY7J23)   (Realtek RTL8029(AS) Ether net Adapt)


Si el programa no arranca es debido a que no encuentra un archivo, lo mejor es añadir las rutas de donde tengamos instalado Snort a todos los módulos en snort.conf

Por ejemplo, será necesario modificar las líneas con la ruta completa:

include c:\snort\etc\reference.config e include c:\snort\etc\classification.config

Tb se puede añadir Snort como un servicio de esta manera:

snort  /SERVICE  /INSTALL  -de  -c
c:\snort\etc\snort.conf -l c:\snort\log -i1


Siendo el "1" el número de la interfaz. Añadir al registro las instrucciones necesarias.
Desde ahora:

net start snort
net stop snort

controlarán el servicio.

Si queremos desinstalar el servicio:

snort /SERVICE/UNINSTALL

Si el servicio arranca sin problemas es que todo ha ido bien.
Más adelante cuando tengamos la base de datos, tendremos que descomentar en snort.conf la salida del IDS de esta forma:

output database: alert, MySQL, user=snortusr password=clave dbname=snort host=192.168.0.2 (aclaro que el host es inventado, ahi poner el vuestro :wink: )

Aqui indicamos el tipo de base de datos, el usuario y la contraseña para poder realizar cualquier acción sobre ella, el nombre de la base de datos y donde está alojada. Tb el tipo de registro que queremos almacenar. En nuestro caso, "alert", guardaría lo que el sistema detecte como amenaza.

Bueno chic@s lo siguiente será preparar la base de datos...pero eso lo haré dentro de un ratillo que ahora tengo un poco de faena.

Salu2 :P

Desconectado Leandros

  • Member
  • ***
  • Mensajes: 421
Sistema de detección de intrusos V1.5 (in construccion)
« Respuesta #3 en: 24 de Octubre de 2003, 12:02:26 am »
Venga venga que ya queda poco, ahora toca configurar MySQL.

Al instalar MySQL en windows lo hará como un servicio más que escuchará en el puerto 3306. Para funciones de administrador de la base de datos, podemos ejecutar: winmysqladmin.exe, y pulsar sobre "start service" aunque tb resulta comodo ejecutar simplemente:

c:\>net start mysql

Con c:\mysql\bin\mysql tendremos acceso a la consola.

Welcome to the MySQL monitor. Comands end with ; or \g.
Your MySQL connection id is 8 to server version: 4.0.14-nt
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
Mysql>


Lo primero es configurar la seguridad. Para cambiar la contraseña de root:

mysql>update mysql.user set password=PASSWORD('clave') where user='root';
mysql> FLUSH PRIVILEGES;


Ahora tendremos que crear la estructura en la base de datos MYSQL para que aloje los datos de SNORT. Una vez ejecutado mysql, desde la linea de comandos typeamos lo siguiente:
(os lo marco bien por que son muchas lineas y es muy dificil de recordar)

mysql>create database snort; jejeje :wink:

Para ver que de verdad trabajamos bajo la base de datos llamada snort, salimos con el comando "quit" y ejecutamos desde la linea de comandos:

c:\mysql -D snort  < c:\snort\ contrib\create_mysql

Y con esto habremos creado las tablas necesarias para que el detector de intrusos puesa guardar información.

Ahora debemos crear un usuario que tenga permiso para usar la tabla.
Volvemos a la consola (c:\mysql\bin\mysql) y typeamos:

mysql>
grantinsert,select,update,create,delete on snort.* to [email protected] identified by 'clave';
mysql> FLUSH PRIVILEGES;


Así tendremos permiso para: añadir, observar y actualizar, crear tablas y borrar registros de todas las tablas dentro de la bd de snort, solo el usuario snortusr que venga de la máquina SNORT y se identifique con la clave. Por lo tanto los datos tienen que coincidir con los que hemos añadido en snort.conf.

Si no tenemos un cliente grafico, podemos conectarnos al servidor de la base de datos de esta manera:


C:\mysql\bin>mysql -D snort -h 192.168.0.2 -u snortusr -pclave

Una vez conectados:
mysql>select * from snort.event;

En la tabla de event se guardán los eventos (ataques o sospechas de snort)
Si esperado un tiempo vemos que no se registra nada, mejor sería repasar los pasos que hemos seguido, para ver que ambos servicios están activos.
(Snort está en memoria y en la bandeja de sistema aparece el semaforo en verde, que caracteriza al servidor mysql).

Para volver a entrar en la consola como root:

c:\mysql\bin>mysql -u root -pclave


Un buen administrador grafico para windows es EMS-MySql Manager.
Desde aqui bajamos una version gratuita: http://ems-hitech.com/mymanager/

Pues ale ya tenemos configurado Mysql lo siguiente y ultimo será instalar el ACID

Desconectado Leandros

  • Member
  • ***
  • Mensajes: 421
Sistema de detección de intrusos V1.5 (in construccion)
« Respuesta #4 en: 24 de Octubre de 2003, 01:01:00 am »
Ya llegó el ultimo capitulo de esta saga, que espero sea más seguida que la de Starwars (lo dudo jejeje)...bueno ahi va.


Ya tenemos el sistema básico en funcionamiento, ahora nos queda la parte estética, ACID hace uso de esos datos, calculando estadísticas, gráficas y mil ventajas más.

Es necesario modificar c:\winnt\php.ini de esta manera:

max_execution_time = 60
extension_dir = c:\php\extensions
session.save_path = c:\winnt\Temp


En algunos casos puede que tengamos que usar las barras "/" para especificar los directorios.

Ahora tenemos que descomprimir Adodb en c:\snort\adodb y seguidamente añadir la ruta en el archivo adodb.inc.php
cambiamos: $ADODB_Database =" por $ADODB_Database = 'C:\snort\adodb'

Descomprimimos phplot en c:\snort\phplot
No hace falta ningún cambio para este plugin.

Copiamos todo el contenido de ACID aqui: c:\archivos de programa\apache group\apache\htdocs\acid

Ahora modificamos acid_conf.php con los datos necesarios:

$DBlib_path = "c:\snort\adodb";
$alert_dbname = "snort";
$alert_host = "192.168.0.2";
$alert_port = "3306";
$alert_user = "snortusr";
$alert_password = "clave";

$ChartLib_path = "C:\snort\phplot"


Esta segunda base de datos será creada por ACID para que el usuario pueda archivar alertas importantes. Si aún os apetece trabajar un poquito más se puede crear otro usuario con permisos distintos para crearla, y por supuesto crear otra bd con igual estructura (c:\mysql -D acid < c:\snort\contrib\create_mysql) pero llamada XeJ: acid

/* Archive DB connection parameters */

$archive_dbname = "acid";
$archive_host = "192.168.0.2";
$archive_port = "3306"
$archive_user = "acid";
$archive_password = "clave";

Reiniciamos todos los servicios, por si acaso, y accedemos desde nuestro navegador a: http://192.168.0.1/acid/
En un principio ACID devolverá un error, es normal :P. Tenemos que ir hasta "Select Setup Page" y luego "Create ACID AG", si se recarga la página todo debería ir bien.

Es conveniente proteger con contraseña (mediante .htacces) el directorio acid, para que solo los que nosotros queramos puedan conectar y visualizar las estadisticas.

Bueno pues esto ya está....si alguno tiene el valor de leerse todo esto..o se ha leido todo esto y ahora está aqui...le doy mi más sincera enhorabuena y las gracias por interesarse por esto jejeje.
Si llegais a poneros todo esto, ya posteais los resultados y las opiniones, si quereis claro :D

Venga un saludo a todos :wink:

Desconectado Paulet

  • Pro Member
  • ****
  • Mensajes: 850
  • fentlinux.com
    • fentlinux.com Portal Linux actualidad y documentación
Sistema de detección de intrusos V1.5 (in construccion)
« Respuesta #5 en: 24 de Octubre de 2003, 02:03:29 am »
buenas

gran currada leandros en cuanto solucione unos problemas personales a probarlo

un saludo
La mejor actualidad y documentación sobre gnu/linux: fentlinux.com

Igualtat per a viure, diversitat per a conviure

Desconectado Leandros

  • Member
  • ***
  • Mensajes: 421
Sistema de detección de intrusos V1.5 (in construccion)
« Respuesta #6 en: 24 de Octubre de 2003, 02:18:02 am »
:P muchas gracias Paulet, ya contarás que tal te va :) yo por lo menos espero que te ayude en tener el equipo más seguro ;)

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15865
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Sistema de detección de intrusos V1.5 (in construccion)
« Respuesta #7 en: 24 de Octubre de 2003, 02:19:40 am »
Muy majo Leandros..
Un saludo

Desconectado Leandros

  • Member
  • ***
  • Mensajes: 421
Sistema de detección de intrusos V1.5 (in construccion)
« Respuesta #8 en: 24 de Octubre de 2003, 02:23:24 am »
:oops:  :P  :D  :)  :wink:

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
Sistema de detección de intrusos V1.5 (in construccion)
« Respuesta #9 en: 24 de Octubre de 2003, 02:36:46 am »
leandros, muy bien explicado, yo lo he usado en Linux y va de lujo, es de los mas conocidos y fiables pero leer todo con atencion, esta perfectamente posteado como el lo ha hecho, ir poco a poco y no dejeis ningun cabo suelto

buenisimo Leandros  :D  :D
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License