bytes.cat

La wiki d'FP d'informàtica

Eines de l'usuari

Eines del lloc

Camí:
ids-maltrail

Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

Ambdós costats versió prèvia Revisió prèvia
Següent revisió 		Revisió prèvia
ids-maltrail [2022/07/15 13:32]
lino_de_la_munoza_munoz 		ids-maltrail [2022/07/15 13:53] (actual)
lino_de_la_munoza_munoz
Línia 1: Línia 1:
 ====== pràctica-ids-maltrail ====== ====== pràctica-ids-maltrail ======
 +
 +{{tag> ids  #FpInfor #Ciber #CiberMp03 #Ceti #CetiMp03}}
  
 Utilització de l’ids maltrail com a detector d’intrussions i afegirem opcions de bloqueig a les deteccions a traves d’un script que recull del log de l’ids. Utilització de l’ids maltrail com a detector d’intrussions i afegirem opcions de bloqueig a les deteccions a traves d’un script que recull del log de l’ids.
Línia 154: Línia 156:
  
 </file> </file>
 +
 +
 +
 +Realitzem la redirecció a un fitxer.data per tenir les ip’s
 +<file bash comanda-ips-exportades>
 +fecha=$(date +%F)
 +echo $fecha
 +A=ip-ids.$fecha
 +echo $A
 +cat /var/log/maltrail/2022-07-10.log | egrep '(malware|tor exit|leakage|scan|attack|reputation|code)'|awk '{print $4}' | sort| uniq -c| awk '{print $2}' > $A
 +
 +</file>
 +
 +Finalment podem intergrar-ho amb iptables per tal d’afegir-les directament a partir del fitxer generat. 
 +
 +<file bash comanda-ips-ids-iptables>
 +fecha=$(date +%F)
 +echo $fecha
 +A=ip-ids.$fecha
 +echo $A
 +#cat /var/log/maltrail/2022-07-13.log | egrep '(malware|tor exit|leakage|scan|attack|reputation|code|directory|shells|proxy|sql|config)' | awk '{print $4}' | sort| uniq -c| awk '{print $2}' > $A
 +#no poso sql pq de vegades son alumnes als serveis interns.
 +cat /var/log/maltrail/$(date +"%Y-%m-%d").log | egrep '(malware|tor exit|leakage|scan|attack|reputation|code|directory|shells|proxy|config|php injection)' | awk '{print $4}' | sort| uniq -c| awk '{print $2}' > $A
 +
 +
 +for ip in $(cat $A); do
 +    echo $ip
 +    #comprovem si la ip està ja dintre del tallafocs, grep -w nomes per aquesta paraula, si no està l'afegim en diferents taules.
 +    GG=$(/sbin/iptables -nvL INPUT |grep -w $ip | uniq -c | awk '{print $9}' )
 +    if [ ! $GG ] ; then
 +        /sbin/iptables -t mangle -A PREROUTING -s $ip -j DROP
 +        /sbin/iptables -A INPUT -s $ip -j DROP
 +        /sbin/iptables -A FORWARD -s $ip -j DROP
 +        /sbin/iptables -A OUTPUT -d $ip -j DROP
 +
 +
 +        echo 'ESCRIBO NUEVA IP BLOQUEIG'
 +    fi
 +    #echo 'ja estava' $ip
 +done;
 +echo 'FINALItZAt Afegir les noves ip-ids'
 +
 +</file>
 +
 +
 +\\
 +
 +===== EXERCICI =====
 +<WRAP todo>
 +  - Afegir a crontab l'execució repetida del teu script
 +  - L'alumne provocarà nvoes entrades a l'ids a traves per exemple de nmap, opció cercar vulnerabilitats, per tal de comprovar el seu funcionament i ajustar la periocitat al cron
 +  - nmap x.x.x.x -A -T4 -sV --script vuln -p 80,443,1521   
 +  - {{:maltrail6.jpg?400|}} 
 +  - {{:maltrail7.jpg?400|}} 
 + </WRAP>
 +
 +\\
  
  
ids-maltrail.1657891975.txt.gz · Darrera modificació: 2022/07/15 13:32 per lino_de_la_munoza_munoz

Eines de la pàgina

Excepte on es digui una altra cosa, el contingut d'aquest wiki està subjecte a la llicència següent: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki