Hola amigos como les va? queria saber en que me pueden aconsejar, que leer, y si saben al respecto lo que quiero hacer, es levantar un sistema IPS (Sistema Prevención de Intrusos) en Debian etch, a base del snort e iptables pero no tengo muy bien explicado y me gustaria meterle mano para aprender.
Desde ya muchisimas gracias y esperando una pronta respuesta.-

chanona_9

Checa la documentacion de Snort, en la pagina vienen varios documentos.

La opcion que dices de Snort e IPTables creo que es soportado por el modo INLINE de snort. Para soportar esa opcion se tiene que compliar Snort con un parametro ( --inline creo ).

Y creo que depende de las reglas de IPTables para generar las alertas.

Pero checa de todas maneras.

Yo lo qu ando implmentando es un IDS.

Sales pues

podrias usar tambien la combinacion de nessus u openNMS, con iptables, las configuracion van a corde del sistema que desees, por lo general, proteccion de puertos, scaneo constante del trafico y asi, etc etc.

salu2

Hola amigo saltamontes, gracias por contestarme, y me gustaria, si no fuera molestia, el decirme como hiciste para implementar el IDS que estas implementando, desde ya muchisimas gracias y esperando una pronta respuesta de tu parte.-

chanona_9

Ya esta caso hecho.

Sguil On Red Hat HOW TO

El problema es que los scripts de arranque ( los que van em init.d ) estan hechos para distos tipo Red Hat, lo lo probe con Mandriva, y un sensor lo probe en CentOS, que es el que usan ahi donde estoy.

Yo intente inicialmente hacerlo en Debian, pero no estan algunas funciones y scripts, estos solo los vi en Mandriva.

Una cosa que se salta la guia es la configuracion del Snort ( por si nunca lo has hecho, te lo aviso de una vez ).

De los elementos que se ocupan son Snort, SANCP, Barnyard, p0f, mysql, y algunas librerias de tcl, Ademas de los scrips de Sguil 0.6.1 que pormiten la conexion de un servidor con la base de datos y los sensores.

Te recomiendo ActiveTcl de ActiveState, puedes descargar el paquete de forma gratuita.

Checa el manual de snort en PDF que esta en la pagina ( Documentacion Oficial ) y registrate para poder descargar un juego de reglas de Snort.

Ten paciencia, no es dificil
( Por algo te lo digo )

Nuevamente, la guia es para distros tipo Red Hat, busque guias para hacerlo en Debian pero no encontre, y se puede hacer tambien en *BSD.

Para probarlo usa Nessus y Nmap.
( todavia ando buscando mas herramientas )

Sales pues

Una observacion, tu lo que buscas es un sistema de Prevencion, el IDS que estoy tratando de imlementar ( casi listo ) entra en la parte de deteccion, cuando la prevencion falla.

Para prevenir esta, como te mencionaron, la combinacion de IPTables, Nessus, una buena configuracion del router, gestion de cuentas, autentificacion de usuarios usando . . por ejemplo FreeRadius, uso de certificados, etc, etc y mas etc... al menos eso es lo que usan ahi donde estoy.

Sales pues

Por cierto compadre ( o comadre??? ) ...

Si te desides por el IDS te recomiendo que cheques un libro

The Tao of Network Security Monitoring: Beyond Intrusion Detection
o
El Tao de la monitorizacion de la seguridad de redes

de Richard Bejtlich
Edit Addison-Wesley ( o Pearson, que es lo mismo, pero no es igual )

El primero es el titulo original en inlges, el que tengo es el de abajo, que es la traduccion.

En lo que juegas con el programa y vas checando el libro te das cuenta de las posibilidades que tiene.

Lastima que no tengo los conocimientos de un admimistrador o auditor de redes porque le entiendo poco a esto, mas a lo del contenido de los paquetes.

Sales pues

Hola amigos, logre, por asi decirlo, levantar el IPS, pero tengo un problema, logre compilar el apache2-mysql-php-base y el snort (con el modo --enable-inline)tb, pero cuando ejecuto los servicios MYSQL y APACHE2 me anda todo muy bien, cree la base de datos snort y cuanod ejecuto en el navegador http://localhost/base, se ejecuta bien, pero el problema en si es en el SNORT, que cuando lo ejecuto: ./snort -QDc /etc/snort/rules -g snort -l /var/log/snort, empiezo a navegar, enviar pings y demas y no vuelca nada en la base de datos parq q despues me la muestre en el navegador a travez de BASE y vea todo tipo de trafico q circula.
Espero q hayan entendido mi inquietud y espero una pronta respuesta de sus partes.-

Desde ya muchisimas gracias, chanona_9.-

Hay una linea en el archivo de configuracion donde se habilita una opcion de loggin:

#unified: snort unified binary . . .
#output log_unified: filename snort.log, limit 128


des-comenta la linea: output log unified

otra cosa que puede ser es . . . habilitaste los modulos dinamicos??? es decir, el dynamicpreprocessor, dynamicengine y dynamic detection ???

Supongo que tambien descargaste el juego de reglas.

Es todo lo que se me ocurre.


Sales pues

Saludos

he tratado de primero levantar un IDS con el snort, bueno me he basado en el siguiente link
http://linux.justinhartman.com/Intrusio ... _and_Snort

se supone que el snort ya esta corriendo y se esta registrando e algun lugar, he buscado todas las opciones de BASE via web http://localhost/snort/base/base_main.php en mi caso le puse esa direccion y no encuentro ninguna opcion para agregar nuevos sensores, en mi trabajo ya esta configurado un programa llamado activeworx y con este se podia hacer un trabajo serio, pense que iva a encontrar algo parecido en linux pero nada, alguien tiene una mejor manera de ver los eventos de snort y poder generar reportes detallados pero en Linux o es que no hay ninguna

Otro sistema para prevención es installar 'bastille'.

Reportes detallados te refieres a estadisticas, graficas de pastel, tazas de uso de red, horas pico, maquinas que usan mas la red o a que te refieres???

El que he estado probando, Sguil, no genera todo eso, pero al menos presenta de forma mas ordenada y al alcance lo necesario referente a las alertas, es decir, las alertas en 3 divisiones segun su inportancia, una referencia a la regla de snort que genero la alerta, la carga util (payload).

Los reportes que genera son en formato de texto y se puede seleccionar una o varias alertas y se agrega en el archivo todos los datos mencionados antes, tambien puede hacer un reporte "estadistico" de todos o algunos sensores que se tengan.

Y el proceso de agregar los sensores es facilisimo, teniendo el "servidor" corriendo y configurado el primer sensor, los demas sensores son rapidos, solo copias los binarios, creas los enlaces, modificas los conf y agregas al arranque los scripts y ya.

Ademas se puede convinar con otras herramientas como Wireshark o tcpdump.

WIreshark se puede ejecutar en la interfaz (consola del analista) desde un menu contextual, o bien, puedes copiar el log de snort para analizar con mas calma todo, y si te apoyas con el tcpdump es mas sencillo.

Aunque todavia no se como interpretar los datos mostrados por el Wireshark y el tcpdump, pero ayudan bastante

Sguil Screenshots

Flash Demo

No es que quiera convencerlos, no se si es mejor que BASE o ACID, pero es el unico que he probado . . .

. . . aunque lo recomienda tando el programador principal del proyecto y otro experto en seguridad.


Sales pues

Saludos

Bueno, he estado tratando de instalar un IPS, baje el snortsam-src-2.50.tar.gz y el snortsam-patch.tar.gz
parche el snort

./snortpatch.sh /root/snortinstall/snort-2.8.1

reconfigure el snort
./configure --with-mysql --enable-dynamicplugin
make
make install

ingrese al directorio donde esta el snortsam
roor@localhost snortsam#l
le doy permiso de ejecucion a makesnortsam.sh chmod +x makesnortsam.sh
./makesnortsam.sh
y se crean dos ejecutables
snortsam y snortsam-debug
entonces ejecuto ./snortsam /etc/snortsam.conf
y me sale el siguiente mensaje
.
.
Error: Could not bind socket
Error: Could not create log file

Desde ya gracias por cualquier ayuda

Hola como estas felicitandote por tu gran trabajo en esta area...
Yo necesito una gran ayuda ya que necesito implementar un IPS bajo Centos 5.2 en una empresa y tengo algunas buenas inquietudes ya que voy a realizarlo en una pc con centos 5.2 la primera seria si necesito la pc con dos tarjetas de red.. otra buena inquietud es cual sniffer instalo o cual es el mejor si snort, whireshark o tcpdump y cual seria las instrucciones para la instalacion ya sabes estoy medio perdido ya que no utilizo muy bien centos. Otra inquietud seria si ya biene instalado mysql en centos o es necesraio instalar los paquetes como son php, base, mysql.... Gracias por tu colaboracion espero tu repuesta....

Que curioso, conozco a un Diego que anda tras lo mismo (aca en Mex/Oax).. y yo tras un asesor

perdon por meter mi cuchara...
(de IPS no se...)

ya que mencionas php y lo demas supongo que quieres usar algo como el BASE o ACID, supongo que puedes instalar los paquetes que da Centos mediante yum/rpm o podrias compilarlos...

Sobre cual sniffer no se, yo use Snort y solo use una tarjeta para captura, pero supongo que lo ideal serian 2... (Wireshark y tcpdump como herramientas de apoyo al analisis)

como yo lo hice, el servidor y el cliente (la consola del analista) quedaba en una maquina y el sensor en otra... pero se pueden separar...

el sensor envia los datos de alerta al servidor y este los almacena en MySQL, y el cliente se conecta al servidor, asi que en esta parte considero que es adecuado en el sensor usar una tarjeta para la captura y otra para la comunicacion con el servidor...

ora que recuerdo, me comento el tipo donde hice las practicas que el snort-inline debe de llevar 2 tarjetas, para funcionar como bridge o switch, le llega la info por un lado, si no hay riesgos segun IPTables, lo pasa por la segunda tarjeta a la red, si no, tira el paquete... pero no me quedo claro...

use el MySQL de los paquetes porque no le agarre la onda como compilar el MySQL... o creo que no se compilaba solo se configuraba y se echaba a andar...

mi experimento lo levante en CentOS 5.1, Debian y FreeBSD... jalando todo al final con CentOS...

CentOS lo que tiene de diferente es como se agregan los servicios al arranque y la instalacion de paquetes... lo demas es practicamente lo mismo...

Sales pues