Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.
Ambdós costats versió prèvia Revisió prèvia Següent revisió | Revisió prèvia | ||
ids-maltrail [2022/07/15 13:18] lino_de_la_munoza_munoz |
ids-maltrail [2022/07/15 13:53] (actual) lino_de_la_munoza_munoz |
||
---|---|---|---|
Línia 1: | Línia 1: | ||
====== pràctica-ids-maltrail ====== | ====== pràctica-ids-maltrail ====== | ||
+ | |||
+ | {{tag> ids #FpInfor #Ciber #CiberMp03 #Ceti #CetiMp03}} | ||
Utilització de l’ids maltrail com a detector d’intrussions i afegirem opcions de bloqueig a les deteccions a traves d’un script que recull del log de l’ids. | Utilització de l’ids maltrail com a detector d’intrussions i afegirem opcions de bloqueig a les deteccions a traves d’un script que recull del log de l’ids. | ||
Línia 32: | Línia 34: | ||
+ | Exemple de detecció | ||
+ | {{: | ||
+ | detall | ||
+ | {{: | ||
+ | |||
+ | IPSERVIDOR/ | ||
+ | |||
+ | IPSERVIDOR/ | ||
+ | |||
+ | I ALTRES deteccions | ||
+ | |||
+ | {{: | ||
+ | |||
+ | La instal·lació de maltrail ja està molt bé documentada a la web del proveïdor. | ||
+ | |||
+ | To test that everything is up and running execute the following | ||
+ | |||
+ | <file bash comanda-ping> | ||
+ | ping -c 1 136.161.101.53 | ||
+ | |||
+ | cat / | ||
+ | </ | ||
+ | |||
+ | Per realitzar el bloqueig dependrà de la classificació de la columna ‘info’, entre altres | ||
+ | |||
+ | {{: | ||
+ | |||
+ | |||
+ | La idea seria convertir aquest ids en ips. | ||
+ | |||
+ | El log de maltrail està guardat diariament a / | ||
+ | |||
+ | <file bash comanda-logs> | ||
+ | root@l:/ | ||
+ | total 1720376 | ||
+ | -rw-r--r-- 1 root root | ||
+ | -rw-r--r-- 1 root root | ||
+ | -rw-r--r-- 1 root root | ||
+ | -rw-rw-rw- 1 root root | ||
+ | -rw-r--r-- 1 root root | ||
+ | -rw-r--r-- 1 root root | ||
+ | </ | ||
+ | |||
+ | Contingut log maltrail | ||
+ | <file bash comanda-logs> | ||
+ | root@l:/ | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | k, | ||
+ | …… | ||
+ | |||
+ | </ | ||
+ | |||
+ | |||
+ | Si ara filtrem per valors a la columna info per trobar el potential code execution presentat anteriorment amb la ip 45.61.185.76 | ||
+ | |||
+ | <file bash comanda-logs> | ||
+ | rootl:/ | ||
+ | " | ||
+ | " | ||
+ | |||
+ | …… | ||
+ | |||
+ | </ | ||
+ | |||
+ | |||
+ | la columna 4 que és la que conté la ip agressora | ||
+ | |||
+ | |||
+ | cat / | ||
+ | |||
+ | o | ||
+ | |||
+ | root@l:/ | ||
+ | |||
+ | Finalment, aquestes son les ip detectades avui | ||
+ | |||
+ | <file bash comanda-filtre> | ||
+ | root@l:/ | ||
+ | 103.251.167.21 | ||
+ | 104.248.244.119 | ||
+ | 107.181.185.226 | ||
+ | 114.249.223.57 | ||
+ | 114.35.102.141 | ||
+ | 1.235.128.206 | ||
+ | 128.199.43.218 | ||
+ | 129.146.241.147 | ||
+ | 134.122.66.121 | ||
+ | 134.209.198.12 | ||
+ | 138.68.91.192 | ||
+ | 139.255.4.205 | ||
+ | 139.59.87.181 | ||
+ | 141.98.10.157 | ||
+ | 141.98.10.74 | ||
+ | 141.98.11.29 | ||
+ | 144.172.73.66 | ||
+ | 159.89.115.75 | ||
+ | 162.247.72.199 | ||
+ | 165.227.124.168 | ||
+ | 167.172.207.63 | ||
+ | 167.172.50.255 | ||
+ | 179.60.147.74 | ||
+ | 181.49.53.26 | ||
+ | 182.75.139.26 | ||
+ | 185.146.232.168 | ||
+ | 185.196.220.70 | ||
+ | 185.220.100.240 | ||
+ | 185.220.100.241 | ||
+ | 185.220.100.244 | ||
+ | 185.220.100.255 | ||
+ | 185.220.101.47 | ||
+ | 185.220.102.7 | ||
+ | |||
+ | |||
+ | </ | ||
+ | |||
+ | |||
+ | |||
+ | Realitzem la redirecció a un fitxer.data per tenir les ip’s | ||
+ | <file bash comanda-ips-exportades> | ||
+ | fecha=$(date +%F) | ||
+ | echo $fecha | ||
+ | A=ip-ids.$fecha | ||
+ | echo $A | ||
+ | cat / | ||
+ | |||
+ | </ | ||
+ | |||
+ | Finalment podem intergrar-ho amb iptables per tal d’afegir-les directament a partir del fitxer generat. | ||
+ | |||
+ | <file bash comanda-ips-ids-iptables> | ||
+ | fecha=$(date +%F) | ||
+ | echo $fecha | ||
+ | A=ip-ids.$fecha | ||
+ | echo $A | ||
+ | #cat / | ||
+ | #no poso sql pq de vegades son alumnes als serveis interns. | ||
+ | cat / | ||
+ | |||
+ | |||
+ | for ip in $(cat $A); do | ||
+ | echo $ip | ||
+ | #comprovem si la ip està ja dintre del tallafocs, grep -w nomes per aquesta paraula, si no està l' | ||
+ | GG=$(/ | ||
+ | if [ ! $GG ] ; then | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | |||
+ | |||
+ | echo ' | ||
+ | fi | ||
+ | #echo 'ja estava' | ||
+ | done; | ||
+ | echo ' | ||
+ | |||
+ | </ | ||
+ | \\ | ||
+ | ===== EXERCICI ===== | ||
+ | <WRAP todo> | ||
+ | - Afegir a crontab l' | ||
+ | - L' | ||
+ | - nmap x.x.x.x -A -T4 -sV --script vuln -p 80, | ||
+ | - {{: | ||
+ | - {{: | ||
+ | </ | ||
+ | \\ | ||