a) Honeypot. Instalación , configuración , ejecución y ... · Seguridad y Alta disponibilidad...
16
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 2 - Practica 8 Intentos de penetración 11/12/2012 Página 1 a) Honeypot. Instalación , configuración , ejecución y prueba en Windows o GNU/Linux de honeyd Un honeypot es un dispositivo que se coloca en una red informática diseñada específicamente para capturar tráfico de red malicioso. La capacidad de registro de un honeypot es mucho mayor que cualquier otra herramienta de seguridad de red y otros datos a nivel de capturas raw incluso incluyendo las pulsaciones y errores cometidos por los piratas informáticos. La información capturada es muy valiosa, ya que contiene sólo el tráfico malicioso con poca o sin falsos positivos. Una vez que ejecutamos el programa lo primero que te pregunta es si queremos configurarlo. Le damos a que si y lo configuramos.
Transcript of a) Honeypot. Instalación , configuración , ejecución y ... · Seguridad y Alta disponibilidad...
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 1
a) Honeypot. Instalación , configuración , ejecución y prueba en Windows o GNU/Linux de honeyd
Un honeypot es un dispositivo que se coloca en una red informática diseñada específicamente para capturar tráfico de red malicioso. La capacidad de registro de un honeypot es mucho mayor que cualquier otra herramienta de seguridad de red y otros datos a nivel de capturas raw incluso incluyendo las pulsaciones y errores cometidos por los piratas informáticos. La información capturada es muy valiosa, ya que contiene sólo el tráfico malicioso con poca o sin falsos positivos. Una vez que ejecutamos el programa lo primero que te pregunta es si queremos configurarlo.
Le damos a que si y lo configuramos.
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 2
Podemos editar los servicios pulsando el botón service:
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 3
Para que comience a funcionar pulsaremos el botón start:
Inmediatamente después de darle abajo en la pantalla se cargan los socket (puertos):
b) Sistema de detección de intrusos (IDS): HostIDS: - Linux: Integridad de un fichero: md5sum. md5sum es un programa originario de los sistemas Unix (también en windows) que tiene versiones para otras plataformas, realiza un hash MD5 de un archivo. La función de hash devuelve un valor que es prácticamente único para cada archivo, con la particularidad que una pequeña variación en el archivo provoca una salida totalmente distinta, lo que ayuda a detectar si el archivo sufrió alguna variación. Es una herramienta de seguridad que sirve para verificar la integridad de los datos. Lo primero es tener un fichero creado y despues abriremos un terminal, escribimos el siguiente comando y el nombre del fichero:
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 4
Nos dará el algoritmo. Si queremos lo podemos copiar en un formato .md5 para luego hacer comprobaciones de integridad de la siguiente forma:
Si simplemente lo copiamos y no modificamos saldrá:
Una vez copiado probamos a modificar el texto original. Cuando lo modifiquemos ejecutamos el comando md5 para comparar los dos archivos y nos saldrá:
- Linux: Integridad de un sistema de ficheros: trypwire Tripwire es un programa de computador basado en Open Source consistente en una herramienta de seguridad e integridad de datos.Es útil para monitorizar y alertar de cambios específicos de ficheros en un rango de sistemas. Funciona cotejando los archivos y directorios con una base de datos de la ubicación y las fechas en que fueron modificados, además de otra serie de datos. La base de datos se genera tomando una instantánea en el momento de su instalación y se accede a ella mediante contraseña cifrada, por lo que su instalación en un sistema posiblemente infectado, carecería de efectividad y se recomienda que su instalación y configuración sea hecha antes de haber conectado el computador por primera vez a internet. Funciona en sistemas operativos GNU/Linux.
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 5
Para la instalación de tripwire ejecutamos:
Mientras se instala procedemos a su configuración.
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 6
Configuramos una clave.
Reconstruimos el fichero.
Al finalizar la configuración nos pedirá las contraseñas de sitio y local que debíamos de introducir.
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 7
- Windows: Integridad del sistema de ficheros mediante Xintegrity. Xintegrity hace virtualmente imposible para que cualquiera o cualquier cosa modifique sus archivos sin la detección. Cuando Xintegrity detecta un archivo modificado demostrará exactamente cómo y cuando el archivo fue modificado y exhibirá el contenido del archivo modificado en comparación con una copia opcionalmente sostenida del archivo. Todos sus archivos [ archivos incluyendo del sistema operativo ] pueden ser protegidos. Xintegrity puede crear automáticamente los archivos de reserva protegidos [ cifrados opcionalmente con 256 el pedacito AES ] que no le prohiben la opción de restaurar el archivo cuando se detecta la modificación.
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 8
Lo primero que debemos de hacer uns vez instalado será la utilización de una contraseña que nosotros queramos:
Una vez puesta se nos abrirá el programa asi directamente Lo que haremos será pulsar ok para quitar esa pantalla explicando los permisos de las cuentas..
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 9
Después debemos de crear una base de datos que contenga los ficheros que se desean monitorizar. Para ello pulsamos database y seleccionamos create database. Después introducimos el nombre de las bases de datos. Para finalizar añadimos los ficheros.
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 10
Se nos abrirá:
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 11
Pulsaremos un icono de los de arriba en el que pone añadir ficheros o carpetas.
Nos preguntara si queremos proceder y decimos que si. Entonces examinara todos los archivos.
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 12
Al final saldrá una pantalla parecida a esta.
Ahora se procederá a los chequeos, que esta situado en checking – checking schedule
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 13
Elegimos la base de datos y ya está.
Después pulsamos a ok, cerramos la base de datos si esta abierta y pulsamos el siguiente icono para que comience.
Podemos ver que lo está haciendo.
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 14
Una vez acabado nos saldrá un resumen de lo chequeado.
d) Sistema de detección de intrusos (IDS): Net IDS: - Instala y configura Snort en GNU/Linux. Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Nos descargamos la aplicación desde su página.
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 15
Seguiremos los pasos para descargar y lo hacemos por la linea de comandos.
Después lo instalamos y nos irán saliendo la pantalla de configuración.
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 8
Intentos de penetración
11/12/2012 Página 16
Para poder ejecutarlo en el terminal ponerlo snort y escucharemos todos los paquetes de red por nuestra interfaz.
