lunes, 16 de julio de 2012

Como implementar un EasyIDS en la Red


Como dije anteriormente EasyIDS es un excelente conjunto de herramientas de Linux, basada en CentOS, que permite configurar de manera rápida un sistema de detección de Intrusos potente, mediante el uso de la herramienta Snort al igual que otra herramienta de red tan potente y sencilla como es  Ntop.

Sin embargo no explique la manera en que EasyIDS obtenía los datos de la red, hoy explicare brevemente la manera en que realice la conexiones para echar a andar mi pequeño IDS, cabe mencionar que actualmente esta funcionando y recibiendo trafico de al menos unas 500 Computadoras.

Configuración de un spam port en Switch Cisco

Para esta prueba se utilizo un equipo Cisco Cisco 4507R, sin embargo los equipos pequeños de Cisco también permiten realizar estas configuraciones, nada mas que este equipo permite tener mas sesiones activas.

En esta topología me interesaba capturar todo el trafico que va y viene al servidor conectado al puerto g5/10, por lo que realizare las configuraciones para crear un “spam port” los comandos necesarios son los siguientes:


C4507R> enable
C4507R# configure terminal
C4507R(config)#monitor session 2 source interface g5/10  both
C4507R(config)#monitor session 2 destination interface g5/20

Acá es bueno comentar que se pueden hacer configuraciones por vlan, interfaces, o bien realizar solamente el filtrado de alguna información que nos interese, para posteriormente enviarla al puerto spam. Así como también podría ser capturado solamente el trafico recibido o transmitido por la interface, en este caso seleccionamos capturar todo.

Y bueno pues no queda mas que conectar la computadora donde hemos realizado la instalación de EasyIDS, para comenzar a analizar lo que esta sucediendo con este equipo.

Este esquema, funcionaria bien si el servidor esta configurado como un gateway a Internet y nos interesa conocer las peticiones que están realizando nuestros usuarios o bien si algún usuario externo esta tratando de conectarse remotamente a la red, identificar equipos con malware instalados, entre otras cosas.

2 comentarios:

Giovani Castillo (Ipswich) dijo...

Muy buen aporte, gracias...

Anónimo dijo...

Excelente aporte Derman

Publicar un comentario