Introducción
Actualmente, es muy común escuchar los conceptos Sistema de detección de intrusos (IDS) o Sistema de prevención de intrusos (IPS). Dichos sistemas permiten analizar la red para identificar y bloquear comunicaciones maliciosas.
Se configuran mediante reglas y la detección puede estar basada en los siguientes aspectos:
- Firmas
- Estado protocolos
- Anomalías
- Sandboxing
Los IPS además permiten actuar de forma automática. Estos sistemas generalmente son complementarios a los cortafuegos. Los IPS permiten identificar y bloquear comunicaciones maliciosas o violaciones de las políticas de seguridad que aprovechan las comunicaciones que pueden estar permitidas en el firewall.
Hay que destacar que a la hora de desplegarlos, los configuraremos en modo IDS para analizar las detecciones e ir ajustándolos, para posteriormente activarlos como modo IDS y bloquear las amenazas.
Snort en PFSense
A través de PFSense se puede activar SNORT para actuar como IDS/IPS. En primer lugar, deberéis de instalar el paquete SNORT. Para ello, iremos a system => Package Manager y buscaremos el paquete SNORT:
Una vez instalado, activaremos las firmas gratuitas desde Services => Snort => Global Settings:
Snort nos permitirá hasta especificar cada cuanto queremos actualizar las reglas:
Posteriormente, añadiremos la interfaz a la escucha, en este caso, vamos a jugar con la Interfaz WAN. Será necesario analizar cada escenario para decidir cual es la interfaz mas adecuada para que sea monitorizada a través de Snort.
Nota: los que uséis Vmware en Linux, para activar el modo promiscuo tenéis que ejecutar: chmod a+rw /dev/vmnet* Esta nota es para aquellos que estéis usando un PFSense Virtualizado.
En el caso que actualicemos las firmas a mano, editaremos la interfaz de escucha y seleccionaremos las reglas a emplear, podemos empezar con todos los casos y posteriormente ir ajustándolo.
Posible Ejercicio con el alumnado
Podemos realizar el siguiente ejercicio con el alumnado para detectar alertas:
Activar la escucha en la interfaz WAN, ahora realizaremos un escaneo a través de nmap desde el Ubuntu Desktop ubicado en la WAN, a la dirección VIP publicada. Realizaremos el siguiente escaneo:
El primero será del siguiente tipo: nmap -p 1-65535 -T4 -A -v -Pn IP ¿Tenemos alertas? Finalmente, ¿podríamos bloquear las peticiones? ¿Cómo lo haríamos?
Nota: no activéis los bloqueos hasta que estéis seguros que todas las alertas son correctas y que no hay falsos positivos. Adicionalmente, a veces suele tardar en visualizarse las alertas.
Ejemplo de posibles alertas:
Para comentar debe estar registrado.