Diferencias

Muestra las diferencias entre dos versiones de la página.

--- sad:ubuntu:p14 [2018/01/14 20:20] – José Manuel Guallar
+++ sad:ubuntu:p14 [2019/01/04 13:18] (actual) – editor externo 127.0.0.1
@@ Línea 7: / Línea 7: @@
 PortSentry informará todas las violaciones a los demonios syslog locales o remotos que indiquen el nombre del sistema, la hora de ataque, la IP del host atacante y el puerto TCP o UDP en el que se realizó un intento de conexión. Una vez que se detecta un escaneo, su sistema se convertirá en un agujero negro y desaparecerá del atacante.
-**
+** Requisito previo**
-Requisito previo**
 Instalación de Ubuntu Desktop 12.04 LTS
 Instalación de BackTrack 5 R1
 **Notas de la practica**
@@ Línea 29: / Línea 27: @@
 </code>
-si no tenemos conexion
+Si no tenemos conexion
 <code bash>
@@ Línea 37: / Línea 35: @@
 ====== Actualización del indice de paquetes ======
 <code bash>
@@ Línea 43: / Línea 40: @@
 </code>
-buscamos denyhosts
+Buscamos denyhosts
 <code bash>
@@ Línea 54: / Línea 51: @@
 root@ubuntu12:/# apt-get install portsentry
 </code>
-verificamos que se está ejecutando \\
+{{:sad:ubuntu:p14:01.png?500|}}
+Verificamos que se está ejecutando \\
 <code bash>
-root@ubuntu12:/# ps -eaf | grep -v grep | grep portsentry \\
+root@ubuntu12:/# ps -eaf | grep -v grep | grep portsentry
 </code>
 **ps -eaf**, muestra todos los procesos.\\
 **grep -v grep**, filtra el proceso grep. \\
@@ Línea 64: / Línea 65: @@
 **ver los ficheros de configuracion**
-root@ubuntu12:/etc# ls -l /etc/portsentry/
+<code bash>
+root@ubuntu12:/etc/init.d# ls -l /etc/portsentry/
+</code>
 observamos 3 ficheros
 **portsentry.conf ** que es el fichero de configuración \\
@@ Línea 70: / Línea 74: @@
 **portsentry-ogmpre-statcc** es el script para empezar el demonio \\
-**Observamos si el script de squid se encuenta en init.d**
+{{:sad:ubuntu:p14:02.png?500|}}
+Para ver los mensajes de PortSentry en **/grep/log/syslog**
 <code bash>
-root@ubuntu12:/etc# ls -l /etc/init.d/denyhosts
+root@ubuntu12:/etc/init.d# grep portsentry /var/log/syslog
-root@ubuntu12:/etc# find /etc/rc*.d/* -print | xargs ls -l | grep denyhosts
 </code>
-**nivel de ejecución**
+Nos indica que está instalado y está monitoreando varios puertos tanto TCP como UDP
+{{:sad:ubuntu:p14:03.png?500|}}
+**Observamos si el script de portsentry se encuenta en init.d**
+<code bash>
+root@ubuntu12:/etc# ls -l /etc/init.d/portsentry
+root@ubuntu12:/etc# find /etc/rc*.d/* -print | xargs ls -l | grep portsentry
+</code>
+**Nivel de ejecución**
 Identifica las secuencias de comandos de inicio y finalización para denyhosts \\
 Identifica el nivel de ejecución actual.\\
-System Halt
+System Halt \\
-usuario individual
+usuario individual \\
-Modo multiusuario completo (predeterminado)
+Modo multiusuario completo (predeterminado) \\
--5 Igual que 2
+-5 Igual que 2 \\
-Reinicio del sistema
+Reinicio del sistema \\
-====== Detenemos el servicio y volvemos a arrancarlo con /etc/init.d/squid3 ======
+====== Detenemos el servicio y volvemos a arrancarlo con /etc/init.d/portsentry ======
 <code bash>
 root@ubuntu12:/etc# cd /etc/init.d
-root@ubuntu12:/etc/init.d# ./denyhosts stop
+root@ubuntu12:/etc/init.d# ./portsentry stop
-root@ubuntu12:/etc/init.d# ps -eaf | grep -v grep | grep denyhosts
+root@ubuntu12:/etc/init.d# ps -eaf | grep -v grep | grep portsentry
 </code>
 No devuelve nada, el servicio está parado
 <code bash>
-root@ubuntu12:/etc/init.d# ./denyhosts start
+root@ubuntu12:/etc/init.d# ./portsentry start
-root@ubuntu12:/etc/init.d# ps -eaf | grep -v grep | grep denyhost
+root@ubuntu12:/etc/init.d# ps -eaf | grep -v grep | grep portsentry
 </code>
 Ahora nos devuelve 1 linea porque el servicio está ejecutandose
@@ Línea 101: / Línea 117: @@
 <code bash>
-root@ubuntu12:/etc/init.d# service denyhosts status
+root@ubuntu12:/etc/init.d# service portsentry status
 </code>
 Nos muestra el numero de proceso o PID, en mis caso es  3386.
@@ Línea 109: / Línea 125: @@
 Tienes que reemplazar el PID por el tuyo
 <code bash>
-root@ubuntu12:/etc/init.d# service denyhosts stop
+root@ubuntu12:/etc/init.d# service portsentry stop
 </code>
 este comando parara el demonio
 <code bash>
-root@ubuntu12:/etc/init.d# ps -eaf | grep -v grep | grep denyhosts
+root@ubuntu12:/etc/init.d# ps -eaf | grep -v grep | grep portsentrys
 </code>
 No muestra nada porque el proceso está detenido
 <code bash>
-root@ubuntu12:/etc/init.d# service denyhosts start
+root@ubuntu12:/etc/init.d# service portsentry start
 </code>
 Iniciamos el servicio
 <code bash>
-root@ubuntu12:/etc/init.d# ps -eaf | grep -v grep | grep denyhosts
+root@ubuntu12:/etc/init.d# ps -eaf | grep -v grep | grep portsentry
 </code>
+Abrimos el BackTrack y corremos un nmap con portsentry sin configurar
+<code bash>
+root@bt:~# nmap -p 1-65535 -T4 -A -v -PE -PS22,25,80 -PA21,23,80 192.168.153.47
+</code>
+{{:sad:ubuntu:p14:04.png?500|}}
+hacemos un ping
+<code bash>
+root@bt:~# ping -c 5 192.168.153.47
+</code>
+Y observamos la respuesta
+Volvemos al Ubuntu y observamos que se ha registrado alguna acción
+<code bash>
+root@ubuntu12:/# grep "attackalert" /var/log/syslog
+</code>
+{{:sad:ubuntu:p14:05.png?500|}}
+Ha detectado el BackTrack, ahora vamos a configurar el PortSentry en el Ubuntu
+<code bash>
+root@ubuntu12:/# grep -n "BLOCK_UDP=" /etc/portsentry/portsentry.conf
+</code>
+En mi cado da la linea 135, abro con la sentencia nano
+<code bash>
+root@ubuntu12:/# nano +135 /etc/portsentry/portsentry.conf
+</code>
+y cambio los valores de BLOCK_UDP Y BLOCK_TCP de 0 a 1
+{{:sad:ubuntu:p14:07.png?500|}}
+Guardo los cambios y reinicio el servicio
+<code bash>
+root@ubuntu12:/# service portsentry stop
+root@ubuntu12:/# service portsentry start
+</code>
+{{:sad:ubuntu:p14:08.png?500|}}
+Vuelvo al BackTrack y ejecuto el nmap
+<code bash>
+root@bt:~# nmap -p 1-65535 -T4 -A -v -PE -PS22,25,80 -PA21,23,80 192.168.153.47
+</code>
+{{:sad:ubuntu:p14:09.png?500|}}
+Hacemos un ping
+<code bash>
+root@bt:~# ping -c 5 192.168.153.47
+</code>
+Hacemos un telnet ssh
+<code bash>
+root@bt:~# telnet 192.168.153.47 22
+</code>
+Intentamos ver el puerto 80
+<code bash>
+root@bt:~# telnet 192.168.153.47 80
+</code>
+Todo inaccesible, nos ha bloqueado 8-)
+{{:sad:ubuntu:p14:10.png?500|}}
+Ahora volvemos al ubuntu y vamos a estudiar los resultados
+<code bash>
+root@ubuntu12:/# grep -n DENY /etc/hosts.deny
+</code>
+Ahora vamos a ver el fichero que contien las ips bloqueadas por escaneo
+<code bash>
+root@ubuntu12:/# grep -n Blocked /var/lib/portsentry/portsentry.blocked.tcp
+</code>
+Para ver las ips bloqueadas por puerto tcp
+<code bash>
+root@ubuntu12:/# grep -n Blocked /var/lib/portsentry/portsentry.history
+</code>
+Para ver las ips bloqueadas por puerto tcp y udp
+<code bash>
+root@ubuntu12:/# grep -n Blocked /var/lib/portsentry/portsentry.blocked.udp
+</code>
+Para ver las ips bloqueadas por puerto udp
+<code bash>
+root@ubuntu12:/# netstat -rn | grep "192.168.153.43"
+</code>
+{{:sad:ubuntu:p14:11.png?500|}}
+**
+Para desploquear el BackTrack** tenemos que quitarlo del fichero hosts.deny
+<code bash>
+root@ubuntu12:/# service portsentry stop
+root@ubuntu12:/# cd /etc/
+root@ubuntu12:/etc# grep -v "192.168.153.43" hosts.deny > hosts.deny.new
+root@ubuntu12:/etc# grep "192.168.153.43" hosts.deny.new | wc -l
+root@ubuntu12:/etc# mv hosts.deny hosts.deny.old
+root@ubuntu12:/etc# mv hosts.deny.new hosts.deny
+</code>
+{{:sad:ubuntu:p14:12.png?500|}}
+**Para borrar el historial**
+<code bash>
+root@ubuntu12:/var/lib/portsentry# grep -v "192.168.153.43" portsentry.history > portsentry.history.new
+root@ubuntu12:/var/lib/portsentry#
+root@ubuntu12:/var/lib/portsentry# grep "192.168.153.43" portsentry.history.new | wc -l
+root@ubuntu12:/var/lib/portsentry# mv portsentry.history.new portsentry.history
+</code>
+{{:sad:ubuntu:p14:13.png?500|}}
+**Para borrar el tcp**
+<code bash>
+root@ubuntu12:/var/lib/portsentry# grep -v "192.168.153.43" portsentry.blocked.tcp > portsentry.blocked.tcp.new
+root@ubuntu12:/var/lib/portsentry# grep "192.168.153.43" portsentry.blocked.tcp.new | wc -l
+root@ubuntu12:/var/lib/portsentry# mv portsentry.blocked.tcp.new portsentry.blocked.tcp
+</code>
+{{:sad:ubuntu:p14:14.png?500|}}
+**Para eliminar la ruta de rechazo**
+<code bash>
+root@ubuntu12:/var/lib/portsentry# netstat -rn
+root@ubuntu12:/var/lib/portsentry# route del -host 192.168.153.43 reject
+root@ubuntu12:/var/lib/portsentry# netstat -rn
+</code>
+{{:sad:ubuntu:p14:15.png?500|}}
+Volvemos a iniciar el servicio y hacemos un ping desde el Backtrack
+{{:sad:ubuntu:p14:16.png?500|}}
+Ya nos vuelve a aceptar  LOL
+''** Print de pantalla que hay que entregar desde el Ubuntu**''
+<code bash>
+root@ubuntu12:/var/lib/portsentry# cd /var/log
+root@ubuntu12:/var/log# grep portsentry syslog | awk '{print $6}' | sort | uniq -c
+root@ubuntu12:/var/log# date
+root@ubuntu12:/var/log# echo "tu nombre"
+</code>