Diferència entre revisions de la pàgina «Pràctiques de Seguretat activa en xarxes»

De wikiserver
Dreceres ràpides: navegació, cerca
(Monitorització de Xarxes: Munin)
(Exercici 3: IDS/IPS amb Suricata)
 
(113 revisions intermèdies per 6 usuaris que no es mostren)
Línia 1: Línia 1:
=Exercici de Seguretat Activa en Xarxes =
+
 
 +
= Exercici 1: Nmap =
 +
 
 +
Consulta l'enunciat de l'exercici en aquest fitxer compartit al [https://docs.google.com/document/d/1NWvG29RTsImPQTqZnChMYnUPq0pnFinke0BsET-_czM/edit?usp=sharing drive]. Per poder accedir has de fer-ho a través del teu compte de l'Institut La Mercè.
 +
 
 +
= Exercici 2: Tcpdump i Wireshark =
 +
 
 +
Consulta l'enunciat de l'exercici en aquest fitxer compartit al [https://docs.google.com/document/d/1HnyoIPFGl6dFI3Khg6IFV7HZWcTaBB9vJLcwwyNVLq8/edit?usp=sharing drive]. Per poder accedir has de fer-ho a través del teu compte de l'Institut La Mercè.
 +
 
 +
= Exercici 3: IDS/IPS amb Suricata =
 +
 
 +
Consulta l'enunciat de l'exercici en aquest fitxer compartit al [https://docs.google.com/document/d/1m9Ps48G-TxigFWZ9CgpPVlv-s88HvmTHGvvBwzh1PYE/edit?usp=sharing drive]. Per poder accedir has de fer-ho a través del teu compte de l'Institut La Mercè. '''L'apartat IPS és opcional.'''
 +
<!--
 +
 
 
==Exercici d'investigació==
 
==Exercici d'investigació==
Visiteu el web [http://sectools.org/ Eines de Seguretat] que disposa d'un catàleg d'eines de seguretat (utilitzeu el google traductor per traduir la pàgina si teniu problemes amb l'anglès). Feu una classificació en forma de taula de les eines més populars, classificades per categories, per a què serveixen, si es poden utilitzar per realitzar atacs i les plataformes on es poden utilitzar. Per exemple:
+
Visiteu el web [http://sectools.org/ Eines de Seguretat] Eines de Seguretat que disposa d'un catàleg d'eines de seguretat (utilitzeu el google traductor per traduir la pàgina si teniu problemes amb l'anglès). Feu una classificació en forma de taula de les eines més populars, classificades per categories, per a què serveixen, si es poden utilitzar per realitzar atacs i les plataformes on es poden utilitzar. Per exemple:
 
{|border="2" cellpadding="4" cellspacing="0" style="margin: 1em 1em 1em 0; background: #f9f9f9; border: 1px #aaa solid; border-collapse: collapse; font-size: 95%;"
 
{|border="2" cellpadding="4" cellspacing="0" style="margin: 1em 1em 1em 0; background: #f9f9f9; border: 1px #aaa solid; border-collapse: collapse; font-size: 95%;"
 
! align="left" width="150 px" style="background:Lavender; color:Black"|Tipus
 
! align="left" width="150 px" style="background:Lavender; color:Black"|Tipus
Línia 12: Línia 25:
 
| Scanners de vulnerabilitats || ... || ...  || ...
 
| Scanners de vulnerabilitats || ... || ...  || ...
 
|}
 
|}
 +
 +
 
== SPAM ==
 
== SPAM ==
 
Son mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico.
 
Son mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico.
Línia 26: Línia 41:
 
**Expliqueu quin mecanisme fan servir per enganyar els motors de cerca dels spammers.
 
**Expliqueu quin mecanisme fan servir per enganyar els motors de cerca dels spammers.
 
*Identitats falses de remitents de correu
 
*Identitats falses de remitents de correu
**Cerqueu informació de la iniciativa SPF (Sender Policy Framework).
+
*¿Per a què serveix la llista Robinson?
**Expliqueu com fan servir els spammers les identitats falses.
+
 
**Expliqueu quin és l’objectiu de l’SPF.
 
  
<!--
 
 
:[[Solució SPAM]]
 
:[[Solució SPAM]]
  
-->
 
  
 
== Espies ==
 
== Espies ==
#Necessitareu dos equips connectats entre ells en una xarxa interna (EMPRESA). Captura els paquets amb el programa Wireshark que envien els altres dos, es possible?.
+
Necessitareu 2 màquines:
##Instal·la i configura el programari [http://delanover.com/2011/04/11/filtros-de-wireshark-mas-comunes-e-interesantes/ WireShark] per rebre tots els paquets possibles que circulen per la xarxa
+
 
##Estableix una connexió HTTP a google.
+
*la màquina real de l'aula (per a fer les peticions)  
##Cerca cadascun dels paquets enviats per fer el ping i mira les trames generades.
+
*altra màquina MV Windows 10 amb l'analitzador de paquets Wireshark. Configurarem l'adaptador de xarxa de la MV sigui tipus "adaptador pont" i activarem el mode promiscu "permetre tot". Assignarem una IP estàtica, per exemple "IP: 172.16.104.3 mascara:255.255.0.0, passarel·la: 172.16.55.35, DNS:172.16.200.1, dominis cerca: 172.16.200.2"
##Cerca les trames enviades per la connexió HTTP. Fíxat en el protocol TCP que envia 3 paquets per realitzar la connexió. Quins son? Per exemple, podeu agafar la ip del campus i utilitzar "ip.adress ==" com a filtre.
+
 
#Realitza una connexió SSH, telnet o ftp pots crear-te el teu servidor ftp a windows server 2008  [https://serviciosderednoona.wordpress.com/web/manual-instalacion-y-configuracion-de-un-servidor-web-en-windows-server-2008/ enlace1] [http://cloud.acens.com/como-crear-una-cuenta-ftp-windows-server-2008/ enlace2] o conectar-te a "ftp ficus.pntic.mec.es" [http://recursostic.educacion.es/usuarios/web/ayudas/28-ftp-en-linea-de-comandos- enllaç] [https://sites.google.com/site/nikos3194rfcindex/home/old-school/ftp més servidors] intenta capturar la contrasenya amb el sniffer. L'heu pogut capturar?
+
 
 +
#Instal·la i configura el programari [https://old.delanover.com/2011/04/11/filtros-de-wireshark-mas-comunes-e-interesantes/ WireShark] per rebre tots els paquets possibles que circulen per la xarxa
 +
#Estableix una connexió HTTP a Google.
 +
#Cerca cadascun dels paquets enviats per fer el <code>ping</code> i mira les trames generades.  
 +
#Cerca les trames enviades per la connexió HTTP. Fíxat en el protocol TCP que envia 3 paquets per realitzar la connexió. Quins són? Per exemple, podeu agafar la IP del campus i utilitzar "ip.adress ==" com a filtre.
 +
#Realitzeu una connexió SSH, Telnet o FTP. Podeu crear-vos el vostre propi servidor FTP a Windows Server 2008  [https://serviciosderednoona.wordpress.com/web/manual-instalacion-y-configuracion-de-un-servidor-web-en-windows-server-2008/ enllaç1] [http://cloud.acens.com/como-crear-una-cuenta-ftp-windows-server-2008/ enllaç2] o connectar-vos mitjançant comandes a un servidor públic "ftp://ubuntu.lagis.at/ubuntu/" també es possible fer-ho amb un client. [https://www.mmnt.ru/ftp-sites més servidors] [http://www.ftp-sites.org/anonymous_ftp_sites_list_es_1.html i més]. Intenteu capturar la contrasenya amb el sniffer. L'heu pogut capturar?
 +
#Intenta fer login a la wikiserver.infomerce.es o aquesta [http://login.ebiquity.com altra] o [http://www.geonames.org/login altra] SENSE REGISTRAR-VOS  i captura amb el wireshark. Ens mostra alguna cosa? influeix el certificat SSL?
  
#Utilitzant el programari Dsniff i ARPSpoofing, intenta realitzar l'atac '''man in the middle''' d'aquest [https://www.youtube.com/watch?v=xI9Iq9gte2o vídeo].
 
  
== Seguretat WIFI ==
+
https://noticiasseguridad.com/tutoriales/una-lista-de-todos-los-servidores-ftp-abiertos-en-el-mundo/
 +
 
 +
== Seguretat WIFI (optatiu) ==
 
*Explica les maneres d'assegurar una xarxa WIFI. Explica els differents protocols de seguretat i fes una comparativa (+segurs, -segurs)
 
*Explica les maneres d'assegurar una xarxa WIFI. Explica els differents protocols de seguretat i fes una comparativa (+segurs, -segurs)
 
Quins protocols de seguretat WIFI son febles i podem obtenir la contrasenya. Com s'anomena aquest atac i amb quin programa es pot realitzar?
 
Quins protocols de seguretat WIFI son febles i podem obtenir la contrasenya. Com s'anomena aquest atac i amb quin programa es pot realitzar?
Línia 51: Línia 70:
 
**Busqueu informació sobre què és el WarDrive.
 
**Busqueu informació sobre què és el WarDrive.
 
**en què consisteix el WarDrive i quines mesures es poden aplicar per evitar-lo. Instal·lar l'aplicació '''NetStumbler'''
 
**en què consisteix el WarDrive i quines mesures es poden aplicar per evitar-lo. Instal·lar l'aplicació '''NetStumbler'''
 +
  
 
== Monitorització ==
 
== Monitorització ==
*Cerqueu informació de les eines Nagios, Ntop i munin.
+
*Cerqueu informació de les eines Nagios, Ntop, Munin, CHECK MK.  
 
*Expliqueu quina informació de xarxa monitora cadascuna de les eines mencionades.
 
*Expliqueu quina informació de xarxa monitora cadascuna de les eines mencionades.
  
Línia 60: Línia 80:
 
# Importa una M.V amb el S.O. Ubuntu 14.04 Desktop. Instal·la openssh-server.
 
# Importa una M.V amb el S.O. Ubuntu 14.04 Desktop. Instal·la openssh-server.
 
# Instal·la '''munin''' i configura-ho per tal de monitoritzar localhost
 
# Instal·la '''munin''' i configura-ho per tal de monitoritzar localhost
# Confiura un segon servidor per tal que munin el pugui monitoritzar
+
# Configura un segon servidor per tal que munin el pugui monitoritzar
 
# Configurar munin per tal que monitoritzi un servei (apache2, o qualsevol altre)
 
# Configurar munin per tal que monitoritzi un servei (apache2, o qualsevol altre)
  
Línia 68: Línia 88:
 
<b>Munin Master</b> es responsable de la recopilación de datos de los nodos Munin. Almacena estos datos en RRD, los archivos y los gráficos de cada nodo.También comprueba si los valores o datos que van llegando tuvieron alguna variación brusca tanto en máximos o en mínimos según valores específicos y enviarán alertas si esto sucede al administrador que es quien ha configurado los limites críticos o de advertencia.*/
 
<b>Munin Master</b> es responsable de la recopilación de datos de los nodos Munin. Almacena estos datos en RRD, los archivos y los gráficos de cada nodo.También comprueba si los valores o datos que van llegando tuvieron alguna variación brusca tanto en máximos o en mínimos según valores específicos y enviarán alertas si esto sucede al administrador que es quien ha configurado los limites críticos o de advertencia.*/
  
 +
[[Fitxer:Munin_esquema.png]]
  
 +
/*ponemos las máquinas virtuales(server y nodo) en modo puente para configurar las ip manualmente*/
  
 
Solució:
 
Solució:
<source>
 
Solucio munin
 
/***** Instalació i configuració MUNIN al server master *****/
 
  
0. sudo apt-get update
+
:[[sol_munin1]]
  sudo apt-get install openssh-server
+
:[[sol_munin2]]
 +
 
 +
== Monitorització de Xarxes: cacti ==
 +
 
 +
# Importa una M.V amb el S.O. Ubuntu Server. Instal·la openssh-server.
 +
# Instal·la '''cacti''' i configura-ho per tal de monitoritzar localhost
 +
# Confiura un segon servidor per tal que cacti el pugui monitoritzar 
 +
 
 +
(Per a aquest segon servidor només cal instal.lar els paquets snmp i cacti cacti-spine). Després cal crear un nou host amb la ip del node client.
 +
 
 +
# Configurar cacti per tal que monitoritzi un servei (apache2, o qualsevol altre)
 +
 
 +
 
 +
 
 +
solució:
 +
 
 +
https://youtu.be/1rUp8NjpwOU
 +
 
 +
[http://www.unixmen.com/install-cacti-ubuntu-14-04/ Web pas a pas amb la configuració i instal·lació del cacti]
 +
 
 +
[http://blog.unlugarenelmundo.es/2013/01/13/instalacion-y-configuracion-basica-de-cacti-en-debian-para-monitorizar-un-host/  Web pas a pas amb la configuració i instal·lació del cacti II]
 +
 
 +
[http://www.lopst.com/2012/05/17/configurar-un-servidor-de-monitoreo-de-servidores-con-cacti/  Web pas a pas amb la configuració i instal·lació del cacti III]
 +
 
 +
 
 +
 
 +
== Detecció de host==
 +
 
 +
'''NMAP'''
 +
 
 +
*Utilitza el programa '''nmap''' de Ubuntu per descobrir els ports oberts dels ordinadors de l'aula així com el S.O. que tenen instal·lats.
 +
Quin programa podries utilitzar en Windows per fer els mateix?
 +
fes la instal·lació amb la interfície gràfica zenmap.
 +
 
 +
Utilizar una Maquina virtual 172.16.104.250 por ejemplo, e instalar en la máquina el openssh y el vsftp para ver qué puertos hay abiertos.
 +
 
 +
https://hacking-etico.com/2013/02/24/nmap-tutorial-descubriendo-el-terreno-de-juego-parte-1/
 +
 
 +
https://hacking-etico.com/2013/03/23/nmap-tutorial-descubriendo-el-terreno-de-juego-parte-2/
 +
 
 +
 
 +
*Otro ejemplo: ejecuta el siguiente comando para ver por qué puertos está escuchando el equipo scanme.nmap.org. Realiza una captura de pantalla, observa la salida e intenta averiguar qué servicios y aplicaciones está ejecutando, así como el tipo de equipo del que se trata.
  
1. Instalació munin
+
$ sudo nmap -sV -T4 -O -F --version-light scanme.nmap.org
$sudo apt-get install apache2 munin
 
  
2. Comprovar que munin té tots els permisos:
 
$sudo munin-check
 
  
3. Comprovar la configuració del apache:
+
*''¿Crees que los servidores (programas o servicios) que usa son seguros?''
sudo vim /etc/munin/apache.conf
 
--> canviar Allow from localhost 127.0.0.0/8 ::1 ---> per: Allow from all
 
  
sudo vim /etc/apache2/sites-available/default-ssl.conf
+
Accede a [https://cve.mitre.org/cve/search_cve_list.html CVE - Common Vulnerabilities and Exposures (CVE)] y busca las vulnerabilidades registradas de uno de los programas que están esperando conexiones que has obtenido en las pruebas de este ejercicio.
---> afegit al final de tot però abans de </virtualhost>
 
include /etc/munin/apache.conf
 
  
4. Editamos el fichero /etc/apache2/apache2.conf
 
Añadimos la siguiente configuración:
 
<Directory /var/cache/munin/www/>
 
        Options Indexes FollowSymLinks
 
        AllowOverride None
 
        Require all granted
 
</Directory>
 
  
5.Reinicia el servei per que agafi els canvis:
+
[http://www.linux-party.com/index.php/26-hackers/9118-29-practicos-ejemplos-de-nmap-para-administradores-de-sistemas-redes nmap]
sudo /etc/init.d/apache2 restart
 
  
6. Al navegador, entra amb localhost/munin
+
[http://campus.infomerce.es/pluginfile.php/11675/mod_resource/content/0/Curso%20Nmap.pdf nmap]
  
/***** Instalació i configuració MUNIN als nodes *****/
+
[https://nmap.org/zenmap/ interfaz gráfica] 
  
1.Instalar la monitorització en els servidor a escanejar:
+
https://protegermipc.net/2018/11/07/tutorial-y-listado-de-comandos-mas-utiles-para-nmap/
sudo apt-get install munin-node
 
  
2. Configurar el node per tal que el master pugui agafar les estadistiques:
+
https://securityhacklabs.net/articulo/los-5-scripts-mas-intrusivos-y-avanzados-de-nmap-que-deberia-conocer
sudo vim /etc/munin/munin-node.conf
 
---> afegir la ip del master, per ex: 192.168.1.136:
 
allow ^192\.168\.1\.136$
 
  
3. sudo service munin-node restart
 
  
4.Configurar el servidor master per tal que pugui escanejar el node anterior
+
'''NETDISCOVER'''
(La ip de eva.node és la ip (ifconfig) de la segona màquina, de la màquina client)
 
sudo vim /etc/munin/munin.conf
 
--->afegir la configuració del node anterior:
 
[eva.node]
 
address 192.168.1.134
 
use_node_name yes
 
  
5. Reiniciem node servidor
+
Netdiscover és una eina de Linux que permet detectar les màquines que estan connectades o de les que arriba informació en la màquina que l’executa
sudo /etc/init.d/apache2 restart
 
  
6. Visualitzem al node server a localhost/munin
+
Feu servir netdiscover per detectar les màquines que hi ha en la vostra xarxa local (si ho feu amb una màquina virtual poseu l’adaptador de xarxa en ‘bridget’)
 +
 
 +
per exemple:
 +
 
 +
<source lang="script">
 +
netdiscover -i eth0 -r 172.16.104.0/24
 
</source>
 
</source>
  
== Monitorització de Xarxes: cacti ==
+
http://www.reydes.com/d/?q=Sondeo_de_la_Red_con_Netdiscover
 +
 
 +
 
 +
'''FOCA (optatiu)'''
 +
 
 +
FOCA (Fingerprinting Organizations with Collected Archives) és una eina de Windows que es fa servir entre altres coses per trobar metadades que està emmagatzemada en documents que les empreses publiquen a la web, és a dir, Informació dels documents
 +
 
 +
Pot analitzar documents de diferents tipus que van des de Office, OpenOffice, PDF, o fins i tot imatges.
 +
 
 +
Pot cercar els documents en diferents cercadors, Google, Bing, Exalead, de forma més o menys automàtica. Dels documents n’extreu tota una sèrie de dades que permet identificar informació de la xarxa.
 +
 
 +
També hi ha una extensió al [https://chrome.google.com/webstore/detail/foca-files-finder/mhobefinhafbleanihidiifaedcceoij?hl=en chrome] i firefox.
 +
 
 +
 
 +
'''NESSUS'''
 +
 
 +
Nessus és el programa d'escaneig de vulnerabilitats en sistemes operatius més popular. Funciona en una arquitectura client/servidor i es pot programar per escanejar periòdicament les màquines d'una xarxa. Funciona a partir de plugins que es poden programar fent servir el llenguatge NASL (NessusAttack Scripting Language)
 +
 
 +
Després de detectar els ports oberts de les màquines intenta executar diversos exploits per veure si tenen èxit en les màquines que analitza. Si no es va amb compte (i s'activa la opció de desactivar les proves “no segures”) Nessus pot provocar que algunes de les proves facin caure alguns dels serveis o sistemes operatius
 +
 
 +
A més de les versions de pagament (on ofereixen uns dies de prova) tenen una versió per usar en xarxes domèstiques anomenat Nessus Home (web) que és totalment gratuïta per usar a casa.
 +
 
 +
Activitat
 +
Fer servir Nessus per detectar vulnerabilitats
 +
 
 +
Instal·leu l'escànner de vulnerabilitats Nessus.
 +
Proveu la seguretat de dues màquines virtuals que tingueu (Windows i Linux) fent servir Nessus i documenteu els errors més importants que us ha donat
 +
Busqueu a una base de dades d'exploits online si és possible trobar algun exploit per atacar alguna d’aquestes màquines
 +
 
 +
==DETECCIÓN DE INTRUSOS==
 +
Per tal de mantenir un sistema informàtic al màxim nivell de seguretat, cal disposar d’una sèrie d’eines i, a més, mantenir-les en bon estat de funcionament, cosa que inclou tenir-les al dia, actualitzades. Algunes d’aquestes eines més comunes són els antivirus, els tallafocs i les actualitzacions del sistema, sobretot pel que fa a la part dels pedaços de seguretat. També n’hi ha d’altres que no són tan conegudes, però que us poden ser de molta utilitat en cas de detectar una incidència de seguretat en el vostre sistema informàtic.
 +
 
 +
==Cerca un IDS (optatiu) ==
 +
Cerca un IDS o IDDS per Linux. Instal·la i configura'l.
 +
 
 +
Explica els tres modes de funcionament (IDS, IPS i mode de logger de paquets offline). Com funciona un programa de detecció d'intrusions?
 +
*Amb quina aplicació podrem veure els arxius de ''log'' a Windows?
 +
*Quins tipus de registre ens interessa?
 +
*Digues un IDS de codi lliure.
 +
 
 +
'''Busca el significat dels següents termes:'''
 +
*IDS
 +
*IPS
 +
*HIDS
 +
*NIDS
 +
 
 +
 
 +
'''Solució SNORT'''
 +
 
 +
https://snorby.org interfaz gráfica
 +
 
 +
https://www.youtube.com/watch?v=_snieZtj8fQ
 +
 
 +
https://www.welivesecurity.com/la-es/2014/01/13/primeros-pasos-implementacion-ids-snort/
 +
 
 +
<source lang="script">
 +
sudo dpkg-reconfigure snort
  
# Importa una M.V amb el S.O. Ubuntu Server. Instal·la openssh-server.
+
//Muestra estadisticas y visualiza el tráfico tcp/IP
# Instal·la '''cacti''' i configura-ho per tal de monitoritzar localhost
 
# Confiura un segon servidor per tal que cacti el pugui monitoritzar
 
# Configurar cacti per tal que monitoritzi un servei (apache2, o qualsevol altre)
 
  
 +
snort -v
 +
 +
//Visualizar campos de datos
  
solució:
+
snort -dev
  
[http://www.unixmen.com/install-cacti-ubuntu-14-04/ Web pas a pas amb la configuració i instal·lació del cacti]
+
sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
  
[http://blog.unlugarenelmundo.es/2013/01/13/instalacion-y-configuracion-basica-de-cacti-en-debian-para-monitorizar-un-host/  Web pas a pas amb la configuració i instal·lació del cacti II]
+
</source>
 +
-->

Revisió de 09:33, 20 abr 2022

Exercici 1: Nmap

Consulta l'enunciat de l'exercici en aquest fitxer compartit al drive. Per poder accedir has de fer-ho a través del teu compte de l'Institut La Mercè.

Exercici 2: Tcpdump i Wireshark

Consulta l'enunciat de l'exercici en aquest fitxer compartit al drive. Per poder accedir has de fer-ho a través del teu compte de l'Institut La Mercè.

Exercici 3: IDS/IPS amb Suricata

Consulta l'enunciat de l'exercici en aquest fitxer compartit al drive. Per poder accedir has de fer-ho a través del teu compte de l'Institut La Mercè. L'apartat IPS és opcional.