Logwatch en Linux
Páginas: 6 (1435 palabras)
Publicado: 21 de junio de 2014
ANATOMIA DE UN ATAQUE.
RASTREO Y EXPLORACIÓN
INTEGRANTES:
Bryan Michell Paez Parra 2090065
Rafel Ricardo Pinto Diaz 2061054
Seguridad Informática
ANATOMIA DE UN ATAQUE.
RASTREO Y EXPLORACIÓN
En la actualidad, el uso creciente de los sistemas informáticos
ha incrementado el problema de los accesos no autorizados y
la manipulación de datos. Gran cantidad de los usuarios de
interneten el mundo, no tienen un conocimiento claro de las
debilidades o vulnerabilidades de seguridad a las que está
expuesta su información.
Es por esta razón que surgen los sistemas de detección de
intrusos, como uno de los campos más investigados en los
últimos años.
ANATOMIA DE UN ATAQUE.
RASTREO Y EXPLORACIÓN
En este trabajo se presenta la creación de un entorno de
laboratorio quepermite analizar las características de los
ataques a una red y los métodos de detección y bloqueo de
amenazas, así como diseñar un esquema de seguridad que
permita controlar acciones sobre la red o una máquina en
particular.
Herramientas
• SNORT:
Paquete de monitoreo para la detección de intrusos y tráfico
sospechoso en la red.
Herramientas
•
LOGWATCH:
Paquete de monitoreocapaz de presentar un informe
detallado de los eventos que suceden en el sistema.
SNORT
BASADO EN REGLAS:
•
El corazón del programa es la base de reglas de detección que tiene
cuando se instala el programa. Esta se ubica dentro del directorio
/etc/snort/rules y contiene varios scripts escritos en lenguaje perl que
definen las reglas de detección.
•
Hay un archivo especial dentrodel
directorio
/etc/snort
llamado
snort.conf, que permite modificar
las variables que influyen en el
comportamiento del programa. Es
importante mencionar que
este
archivo es quien indica al programa
qué reglas utilizar durante su
ejecución. El archivo contiene reglas
definidas de la siguiente forma:
SNORT
INICIACIÓN DE SERVICIOS:
Para poner en marcha el Snort lo hacemos desdeuna consola y de la
siguiente manera:
Snort –q –A console –ec “/etc/snort/snort.conf”
La opción –q evita que el programa imprima en pantalla mensajes de estado.
La opción –A indica al snort que utilice una alerta cuando se detecte un intruso.
En este caso las alertas serán mensajes que se mostrarán en la consola con
detalles acerca de los eventos que se producen.
La opción –ec indica alsnort que despliegue información extra de la segunda
capa de red y además que utilice el archivo de configuración indicado para
obtener las reglas de detección.
BACKTRACK
NMAP:
Programa que sirve para efectuar
rastreo de puertos. Detecta puertos
abiertos en un sistema.
MEDUSA:
Herramienta de cracking capaz de
obtener el password de acceso de
servicios como ssh y ftp mediante
ataquesde fuerza bruta.
PRUEBAS
Ataque con NMAP (escaneo de puertos)
Detección de ataque
PRUEBAS
Ataque con
MEDUSA
(obtención del
password de root
de la victima)
Detección de
ataque
LOGWATCH
Logwatch hace un análisis de los logs del sistema. Estos logs
son creados por el kernel y por varios servicios entre ellos los
servidores. Estos registran todo lo que sucede durante suejecución, cambios de configuración, intentos de logging etc,
son detalles que aparecen en los logs. Logwatch reúne esa
información la clasifica y la envía a la bandeja de correo
deseada.
LOGWATCH
Antes de configurar el Logwatch es necesario configurar un
cliente SMTP que permite el envío de correos a la dirección
dada. Se instaló el SSMTP para dicha labor, y se aplicaron lasconfiguraciones necesarias para poder hacer el envío,
ayudándose del servidor SMTP de gmail cuyo nombre de
dominio y número de puerto es smtp.gmail.com:587.
INSTALACIÓN SSMTP
A continuación se puede instalar el paquete ssmtp:
apt-get install ssmtp
Cómo configurar ssmtp
En primer lugar, vamos a configurar el archivo
configuración.
vim /etc/ssmtp/ssmtp.conf
de
LOGWATCH
Después hacemos los...
RASTREO Y EXPLORACIÓN
INTEGRANTES:
Bryan Michell Paez Parra 2090065
Rafel Ricardo Pinto Diaz 2061054
Seguridad Informática
ANATOMIA DE UN ATAQUE.
RASTREO Y EXPLORACIÓN
En la actualidad, el uso creciente de los sistemas informáticos
ha incrementado el problema de los accesos no autorizados y
la manipulación de datos. Gran cantidad de los usuarios de
interneten el mundo, no tienen un conocimiento claro de las
debilidades o vulnerabilidades de seguridad a las que está
expuesta su información.
Es por esta razón que surgen los sistemas de detección de
intrusos, como uno de los campos más investigados en los
últimos años.
ANATOMIA DE UN ATAQUE.
RASTREO Y EXPLORACIÓN
En este trabajo se presenta la creación de un entorno de
laboratorio quepermite analizar las características de los
ataques a una red y los métodos de detección y bloqueo de
amenazas, así como diseñar un esquema de seguridad que
permita controlar acciones sobre la red o una máquina en
particular.
Herramientas
• SNORT:
Paquete de monitoreo para la detección de intrusos y tráfico
sospechoso en la red.
Herramientas
•
LOGWATCH:
Paquete de monitoreocapaz de presentar un informe
detallado de los eventos que suceden en el sistema.
SNORT
BASADO EN REGLAS:
•
El corazón del programa es la base de reglas de detección que tiene
cuando se instala el programa. Esta se ubica dentro del directorio
/etc/snort/rules y contiene varios scripts escritos en lenguaje perl que
definen las reglas de detección.
•
Hay un archivo especial dentrodel
directorio
/etc/snort
llamado
snort.conf, que permite modificar
las variables que influyen en el
comportamiento del programa. Es
importante mencionar que
este
archivo es quien indica al programa
qué reglas utilizar durante su
ejecución. El archivo contiene reglas
definidas de la siguiente forma:
SNORT
INICIACIÓN DE SERVICIOS:
Para poner en marcha el Snort lo hacemos desdeuna consola y de la
siguiente manera:
Snort –q –A console –ec “/etc/snort/snort.conf”
La opción –q evita que el programa imprima en pantalla mensajes de estado.
La opción –A indica al snort que utilice una alerta cuando se detecte un intruso.
En este caso las alertas serán mensajes que se mostrarán en la consola con
detalles acerca de los eventos que se producen.
La opción –ec indica alsnort que despliegue información extra de la segunda
capa de red y además que utilice el archivo de configuración indicado para
obtener las reglas de detección.
BACKTRACK
NMAP:
Programa que sirve para efectuar
rastreo de puertos. Detecta puertos
abiertos en un sistema.
MEDUSA:
Herramienta de cracking capaz de
obtener el password de acceso de
servicios como ssh y ftp mediante
ataquesde fuerza bruta.
PRUEBAS
Ataque con NMAP (escaneo de puertos)
Detección de ataque
PRUEBAS
Ataque con
MEDUSA
(obtención del
password de root
de la victima)
Detección de
ataque
LOGWATCH
Logwatch hace un análisis de los logs del sistema. Estos logs
son creados por el kernel y por varios servicios entre ellos los
servidores. Estos registran todo lo que sucede durante suejecución, cambios de configuración, intentos de logging etc,
son detalles que aparecen en los logs. Logwatch reúne esa
información la clasifica y la envía a la bandeja de correo
deseada.
LOGWATCH
Antes de configurar el Logwatch es necesario configurar un
cliente SMTP que permite el envío de correos a la dirección
dada. Se instaló el SSMTP para dicha labor, y se aplicaron lasconfiguraciones necesarias para poder hacer el envío,
ayudándose del servidor SMTP de gmail cuyo nombre de
dominio y número de puerto es smtp.gmail.com:587.
INSTALACIÓN SSMTP
A continuación se puede instalar el paquete ssmtp:
apt-get install ssmtp
Cómo configurar ssmtp
En primer lugar, vamos a configurar el archivo
configuración.
vim /etc/ssmtp/ssmtp.conf
de
LOGWATCH
Después hacemos los...
Leer documento completo
Regístrate para leer el documento completo.