ITINERARIO DE ACTIVIDADES

Transcripción

1 INTRODUCCIÓN AL EWS SURFIDS ITINERARIO DE ACTIVIDADES PRÁCTICAS CLARATEC FREDERICO COSTA (CAIS/RNP) Julio/2012

2 Derechos de autor 2012 CAIS/RNP - Centro de Atención a los Incidentes de Seguridad de la Red Nacional de Enseñanza e Investigación de Brasil RNP. Todos los derechos reservados. La reproducción total el parcial de este material está totalmente prohibida, así como su uso para cualquier propósito, comercial u otro. 2

3 Nota: Para esta práctica, utilizaremos la imagen SURFids_2.0-v4 Práctica 1 Objetivo: Presentar el funcionamiento básico del SurfIDS y familiarizar al alumno con la interfaz de la web de la herramienta. Utilizaremos una imagen de VMWare disponible en el site de SurfIDS, específicamente para fines de demonstración de la herramienta. Paso 1: Extraer los folders del archivo SURFids_2.0-v4.zip y cargar la máquina virtual (archivo.vmx) Paso 2: Después del boot, efectuar el login con: Usuario: surfids Contraseña: surfids2.0 (la misma contraseña para el usuario root) Obs.: Si desea, modifique la contraseña de los usuarios del sistema. CONFIGURACIÓN DEL SENSOR Paso 3: Configurar la estación como sensor: Ejecutar el comando su y conviértase en usuario root: $ su Contraseña: surfids2.0 3

4 Verificar la dirección IP de la interfaz de red (utilizar la red en modo NAT en el VMWare) ifconfig Si la interfaz no obtuvo un IP automáticamente, ejecutar el cliente DHCP para obtener una dirección: dhclient eth0 Añadir la interfaz de red local como un sensor para la base de datos del SurfIDS: cd /opt/surfnetids/tntools./localsensor.pl ethx Acceder a la interfaz web del SurfIDS, utilizando el browser del host: Usuario: admin Contraseña: admin 4

5 5

6 PROBANDO LAS CONFIGURACIONES Paso 4: NMAP TCP-Scan. En la consola del SurfIDS, utilizaremos el NMAP para simular una conexión TCP con las portas abiertas en el sensor: Ejecutar el NMAP TCP-Scan contra el sensor nmap -st -PN IP.CONFIG.NO.SENSOR Luego de terminar el scan en la interfaz web, navegar hasta Analyze > Attacks. Observar que aparece el mensaje Possible malicious attack. Hacer clic sobre el número en la columna Statistics para mayor detalle. 6

7 Observar que el scan de puertas está clasificado como Possible malicious attack, porque el atacante solo hizo una conexión TCP en las puertas del honeypot, pero no ejecutó nada más. Paso 5: Analizar los ataques con exploits. Luego de validar la operación del sensor, ejecutar un exploit contra el honeypot para verificar el comportamiento del sistema: En el directorio /home/surfids/tools ejecutar el binario dcom-oc92, que es un exploit para RPC de Windows: cd /home/surfids/tools/./dcom-oc92 d IP.DO.SENSOR Esta operación puede tener diferentes resultados. En la etiqueta Analyze > Attacks puede encontrar la entrada Malicious Attack. 7

8 En la etiqueta Analyze > Exploits puede encontrar la entrada DCOM. En este caso, también puede obtener otras entradas que serían: Malware offered y Malware Downloaded. Paso 6: Ahora, simular un escenario de Malware Offered. Para ello será necesario utilizar la herramienta netcat y realizar la configuración de un módulo de prueba del Nepenthes: Editar, como usuario root, el archivo /opt/nepenthes/etc/nepenthes/nepenthes.conf; En el archivo nepenthes.conf, quite el comentario de la siguiente línea: // "x2.so", "x-2.conf", "", 8

9 Reiniciar el Nepenthes: /etc/init.d/nepenthes restart Usando la herramienta netcat, conectar al shell abierto por el módulo de pruebas (puerta 10002/TCP) netcat IP.DO.SENSOR El siguiente mensaje deberá aparecer en el shell: Welcome to dong Shell Ejecutar el siguiente comando en shell de prueba: download 9

10 En la interfaz web, navegar hasta Analyze > Malware Offered y visualizará la detección del intento de download de un malware: Hacer clic en la columna Statistics y visualizar más detalles. Paso 7: Detectar el ARP Spoofing. Las pruebas de detección de ARP Spoofing sirven para identificar los ataques de Envenenamiento del cuadro ARP (ARP Poisoning) así como también, servidores DHCP falsos dentro de la red. Para realizar este laboratorio, a través de la interfaz web, navegar hasta Configuration > ARP, seleccionar el sensor deseado (ex: nepenthes LOCAL), y definir la opción Enabled para esta función. 10

11 A partir de la consola del sensor, ejecutar el script checksettings.pl para forzar la inicialización del módulo detectarp.pl. cd /opt/surfnetids/tntools/./checksettings.pl Verificar si el script se ejecuta con el comando: ps ef grep detectarp grep v grep 11

12 Ahora, ejecutar el ataque de ARP Poisoning. Ejecutar el ataque contra el host más cercano a usted. En este ejemplo ejecutaremos el ataque contra el host y el gateway de la red es arpspoof -t El comando arpspoof enviará un mensaje para la estación diciendo que el gateway ( ) ahora es su estación; es decir, el tráfico de red de la estación que debería pasar por el gateway real pasará por el sensor. En la interfaz web, navegar hasta Analyze > ARP Cache verifique as informaciones obtenidas por el sensor y observe si hay alteraciones en el cuadro ARP. Vea que el MAC 00:0c:29:e3:71:dc, que antes aparecía como OK para el IP , ahora aparece con el status en Poisoned y con el IP correspondiente

13 Montaje del laboratorio para las prácticas 2, 3, 4 y 5. Los IP de las máquinas deben ser configurados de la siguiente forma: Logserver: <GRUPO>.10 Utilizar imagen SurfIDS_logsvr Tunnelserver: <GRUPO>.11 Utilizar imagen SurfIDS_tunsvr Gateway (ya instalado): <GRUPO>.1 El sensor debe estar en una red diferente a la de los servidores (log y tunnel): <GRUPO+1>.5 (IP de acceso al sensor) y <GRUPO+1>.6 (IP tunelado del sensor, donde se estará ejecutando el honeypot en el tunnel server) Utilizar imagen SurfIDS_sensor A continuación se presenta un ejemplo que utilizado el grupo 00: LogServer Eth0: switch Gateway Túnel VPN TunnelServer Eth0: Tap: Gateway Sensor Eth0:

14 Práctica 2 Objetivo: Instalar el logserver del SurfIDS Paso 1: Configurar la interfaz de red del Vmware como NAT Paso 2: Obtener un IP para la VM dhclient eth0 Paso 3: Montar la ISO del surfids (surfids.iso) en el drive de cdrom del Vmware Paso 4: Añadir el ISO del surfids como source para el apt-get: apt-get key add /media/cdrom0/key.pub apt-cdrom add apt-get update Paso 5: Instalar el SurfIDS-logserver apt-get install surfids-logserver Será necesario montar el iso del cd del debian (debian-506-i486-cd-1.iso) y luego, el iso del SurfIDS (surfids.iso); Abrir la pantalla inferior; abrir un nuevo terminal como root y ejecutar los siguientes comandos, para definir una Contraseña inicial para el usuario de administración del banco Postgresql: su postgres psql ALTER USER postgres WITH PASSWORD 'SENHA' \q exit 14

15 Varios usuarios y contraseñas serán configurados. Éstos serán utilizados en otras etapas de la configuración del SurfIDS. Anótelos aquí para futuras referencias: Admin database user: Admin database user password: Database name: SurfIDS database user: SurfIDS database user password: SurfIDS database user (nepentes) password: SurfIDS database user (pofuser) password: SurfIDS database user (argos) password: Para este laboratorio, responda NO cuando le pregunte si desea bajar la base de datos GeoIP, ya que no la utilizaremos. Paso 6: Configurar el SurfIDS logserver El archivo de configuración del SurfIDS se encuentra en /etc/surfnetids/surfnetids-log.conf. Informar la contraseña definida para el usuario idslog en la variable $c_pgsql_pass del archivo de configuración (línea 44) Paso 7: Configurar el apache: Elimine la configuración del site default del apache2: a2dissite default Reinicie el apache2: apache2ctl restart 15

16 Paso 8: Configurar el postgres para permitir el acceso a otros servidores de la red: Edite el archivo /etc/postgresql/8.3/main/pg_hba.conf y añada la siguiente línea, para dar acceso a la base de datos idsserver para los servidores de su red: host idsserver all <GRUPO>.0/24 md5 Edite el archivo /etc/postgresql/8.3/main/postgresql.conf y modifique la línea abajo para configurar el Postgres que se ejecutará en todas las interfaces disponibles: listen_addresses = '*' Reinicie el Postgres: /etc/init.d/postgresql-8.3 restart Paso 9: Acceder a la interfaz web: Login: admin Contraseña: admin Paso 10: Configurar la interfaz de red para la red del laboratorio: Configurar la interfaz de red del Vmware en modo Bridged; Interrumpir el cliente DHCP: killall -9 dhclient Configurar el IP de la interfaz de red: ifconfig eth <GRUPO>.10 Para añadir el IP permanentemente, editar el archivo /etc/network/interfazs y añadir las siguientes líneas: auto eth0 iface eth0 inet static address <GRUPO>.10 netmask

17 Práctica 3 Objetivo: Instalar el tunnel server del SurfIDS Paso 1: Configurar la interfaz de red del Vmware como NAT Paso 2: Obtener un IP para la VM Ver Paso 2 de la práctica 10 Paso 3: Añadir el ISO del surfids como source para el apt-get Ver Pasos 3 y 4 de la práctica 10 Paso 4: Configurar el Debian para instalar la versión 2.0 del OpenVPN: El SurfIDS necesita instalar el OpenVPN 2.0, para ello, si se estuviera ejecutando la versión Lenny del Debian, se debe añadir la siguiente línea al archivo /etc/apt/sources.list, para obtener archivos de la versión anterior (Etch): deb etch main Añadir la clave pgp del debian: gpg --keyserver wwwkeys.eu.pgp.net --recv-keys B5D0C804ADB11277 gpg --armor --export B5D0C804ADB11277 sudo apt-key add - Añadir las siguientes líneas al archivo /etc/apt/preferences, para forzar la instalación del openvpn versión 2.0: Package: openvpn Pin: release a=oldstable Pin-Priority: 700 Actualizar el gestionador de paquetes: apt-get update Paso 5: Instalar el SurfIDS tunnel server: apt-get install surfids-tunnel 17

18 Al final de la instalación se solicitará la configuración del servidor de VPN, se debe intentar para los IP que deben ser informados en las pantallas 7 y 8, como veremos a continuación: En la sétima pantalla se deberá informar el IP del servidor de túnel ( <GRUPO>.11). Esta pantalla configura el Xinetd pues, éste es responsable por la gestión de la conectividad VPN. En la octava pantalla, en el caso del laboratorio, se debe informar la dirección IP del servidor de túnel, pues no tenemos un servicio local de resolución de nombres. Aquí se requiere atención pues, en la configuración del sensor, se deberá informar el hostname tal como fue descrito en este campo. 18

19 En la nona pantalla, se debe informar la contraseña que será utilizada por los sensores para que se contacten con el tunnel server: Para futuras consultas, anote la contraseña informada: Paso 6: Configurar el SurfIDS: Editar el archivo /etc/surfnetids/surfnetids-tn.conf: $c_pgsql_local_gateway = " <GRUPO>.1"; ####################### # Database connection # ####################### # User info for the logging user in the postgresql database $c_pgsql_pass = "<SENHA CADASTRADA PARA USUARIO idslog"; $c_pgsql_user = "idslog"; # Postgresql database info $c_pgsql_host = " <GRUPO>.10"; $c_pgsql_dbname = "idsserver"; Paso 6: Instalar el honeypot Nepenthes: Es necesario añadir el usuario que ejecutará el daemon del Nepenthes. En la imagen utilizada en este laboratorio el usuario y el grupo nepentes ya fue añadido: cd /home/nepenthes 19

20 cd trunk El directorio trunk contiene la última versión del honeypot Nepenthes bajada a través del SVN Es necesario instalar los paquetes que se indican a continuación en el Debian, éstos son requeridos para la compilación del Nepenthes, por ello en la imagen utilizada en este laboratorio, estos paquetes ya están instalados: automake1.9 libtool flex bison postgresql-dev libcurl3-dev libmagic-dev libpcre3-dev libadns1-dev libpcap0.8-dev iptables-dev make g++ Compilar el Nepenthes: autoreconf -v -i./configure --prefix=/home/nepenthes --enable-postgre \ --with-postgre-lib=/usr/lib/postgresql/ \ --with-postgre-include=/usr/include/postgresql/ \ --enable-debug-logging --enable-pcap --enable-ipq \ --with-ipq-include=/usr/include/ --with-ipq-lib=/usr/lib/ make make install Configurar el Nepenthes: Editar el archivo /home/nepenthes/etc/nepenthes/nepenthes.conf y añadir las siguientes líneas: "sqlhandlerpostgres.so", "", "" "logsurfnet.so", "log-surfnet.conf", "" // needs configuration El módulo sqlhandlerpostgres.so debe ser cargado antes que el logsurfnet.so Crear el archivo /home/nepenthes/etc/nepenthes/logsurfnet.conf, con las siguientes líneas: server " <GRUPO>.10"; // must be ip 20

21 user "nepenthes"; pass "Contraseña definida para el usuario nepenthes"; db "idsserver"; Paso 6: Configurar la interfaz de red para la red del laboratorio: Configurar la interfaz de red del Vmware en modo Bridged; Interrumpir el cliente DHCP: killall -9 dhclient Configurar el IP de la interfaz de red: ifconfig eth <GRUPO>.11 route add default gw <GRUPO>.1 Para añadir el IP permanentemente, editar el archivo /etc/network/interfazs y añadir las siguientes líneas: auto eth0 iface eth0 inet static address <GRUPO>.11 netmask Paso 7: (Re)iniciar los servicios configurados: Xinetd /etc/init.d/xinetd restart Apache: Editar el archivo /etc/apache2/ports.conf, para definir la puerta que da acceso, para autenticación y control de los sensores: Listen <GRUPO>.11:4443 Elimine la configuración del site default del apache2: a2dissite default 21

22 Reinicie el apache2: apache2ctl restart Iniciar el Nepenthes: cd /home/nepenthes/ bin/nepenthes -u nepenthes -g nepenthes -l none -R -D 22

23 Práctica 4 Objetivo: Instalar un sensor del SurfIDS Paso 1: Configurar la interfaz de red del Vmware como NAT Paso 2: Obtener un IP para la VM Ver Pasos 2 de la práctica 10 Paso 3: Añadir el ISO del surfids como source para el apt-get Ver Pasos 3 y 4 de la práctica 10 Paso 4: Configurar el Debian para instalar la versión 2.0 del OpenVPN Ver Paso 4 de la práctica 11 Paso 5: Instalar el SurfIDS-sensor: apt-get install surfids-tunnel Paso 6: Configurar la interfaz de red para la red del laboratorio: Configurar la interfaz de red del Vmware en modo Bridged; Interrumpir el cliente DHCP: killall -9 dhclient Configurar el IP de la interfaz de red: ifconfig eth <GRUPO+1>.5 Configurar el gateway de la red: route add default gw <GRUPO+1>.1 Paso 7: Copiar el certificado (ca.crt) del servidor tunnel para el directorio /etc/surfids, necesario para la creación del túnel en criptografía entre el sensor y el tunnel server: cd /etc/surfids scp curso@<ip_servidor_tunnel>:/opt/surfnetids/serverkeys/ca.crt. 23

24 Paso 8: Editar el archivo /etc/surfids/surfids.conf. En este archivo, deberá añadir el hostname o IP del sensor en la línea server y la contraseña para funciones administrativas en el sensor, en la línea adminpass. Esta contraseña deberá ser almacenada en formato hash md5, para generar la hash utilice el siguiente comando: surfids-passwd <SENHA> >> /etc/surfids/surfids.conf o echo -n '<SENHA>' md5sum >> /etc/surfids/surfids.conf Paso 9: Editar el archivo /etc/surfids/openvpn.conf y substituir el texto enter_server_here por el IP del tunnel server. En la línea remote enter_server_here se puede informar el FQDN del tunnel server, o el IP En la línea tls-remote enter_server_here se debe informar el FQDN, o IP, del tunnel server así como fue definido en la pantalla 9 del Paso 5, en la práctica 11 Paso 10: Reiniciar la máquina; Después del inicio del sistema operativo, aparecerá la siguiente pantalla 24

25 Paso 11: Configurar el acceso del sensor al tunnel server: En la pantalla inicial, entre a Configure Admin e informe la contraseña registrada para funciones administrativas en el sensor (Paso 7 de esta práctica) En la siguiente pantalla se deberá informar en el serverurl la URL de acceso al servidor de tunnel para la obtención y actualización de los datos del sensor: en user, informar que el usuario de acceso del sensor, por defecto, es el idssensor en passwd, informar que la contraseña registrada para el acceso del sensor (Paso 5, pantalla 9, práctica 11) Hacer clic en Back Paso 12: Configurar la red del sensor En la pantalla inicial, entre a Configure Network Definir el tipo de sensor Normal, porque no utilizaremos vlans en este laboratorio: En Main interfaz informar eth0 En IP config informar Static, porque no utilizaremos DHCP en este laboratorio Informar los datos estáticos de la red del sensor: Local IP address: <GRUPO+1>.5 Endpoint IP address: <GRUPO+1>.6 Netmask: Gateway: <GRUPO+1>.1 Broadcast: <GRUPO+1>.255 Endpoint IP address es la dirección IP de la misma red del sensor que será asignado a la interfaz TAP en el tunnel server. Este es el IP que será utilizado por los honeypots instalados en el tunnel server. Paso 13: Iniciando el sensor En la pantalla inicial, entre a Manage Sensor Up El proceso de inicio del sensor comenzará La ejecución del primer proceso de inicio del sensor puede demorar algunos minutos, para hacer un seguimiento de los procesos, digite Alt + F2 para acceder a la segunda consola y entre con la contraseña de root. 25

26 Práctica 5 Objetivo: Probar la implantación del SurfIDS hecha en el laboratorio e instalar un nuevo módulo de detección. Utilizar la imagen de la práctica 9 (SURFids_2.0-v4) para probar el ambiente implementado. La instalación que se hizo en el laboratorio hasta este punto no soporta la detección de ARP Poisoning. Paso 1: Probar los reportes sobre ataques en la instalación hechos con el scanning de puertas TCP, exploits y download de malwares Paso 2: Instalar el módulo de detección de ARP Poisoning Paso 3: Probar los reportes sobre ataques de ARP Poisoning 26