Els sistemes de detecció d'intrusions (IDS) són eines essencials per a la seguretat de qualsevol sistema Linux. Aquests sistemes monitoritzen el trànsit de xarxa i les activitats del sistema per detectar comportaments sospitosos o maliciosos. En aquesta secció, explorarem els conceptes bàsics dels IDS, els tipus d'IDS, i com configurar i utilitzar un IDS en un sistema Linux.
Conceptes Bàsics dels IDS
Què és un IDS?
Un sistema de detecció d'intrusions (IDS) és un dispositiu o aplicació que monitoritza les activitats del sistema o de la xarxa per detectar activitats malicioses o violacions de polítiques de seguretat.
Tipus d'IDS
Hi ha dos tipus principals d'IDS:
- Host-based IDS (HIDS): Monitoritza i analitza les activitats d'un únic host o dispositiu.
- Network-based IDS (NIDS): Monitoritza i analitza el trànsit de xarxa per detectar activitats sospitoses.
Funcions dels IDS
- Detecció d'Intrusions: Identificar activitats sospitoses o malicioses.
- Alertes: Notificar als administradors de seguretat sobre possibles intrusions.
- Registres: Mantenir registres detallats de les activitats detectades per a una anàlisi posterior.
Instal·lació i Configuració d'un IDS
Instal·lació de Snort (NIDS)
Snort és un dels IDS més populars i àmpliament utilitzats. A continuació, es mostra com instal·lar i configurar Snort en un sistema Linux.
Pas 1: Instal·lació de Snort
Pas 2: Configuració de Snort
Després d'instal·lar Snort, cal configurar-lo per monitoritzar el trànsit de xarxa.
-
Editar el fitxer de configuració de Snort:
sudo nano /etc/snort/snort.conf -
Configurar les variables de xarxa: Localitzeu les línies següents i configureu-les segons la vostra xarxa:
var HOME_NET 192.168.1.0/24 var EXTERNAL_NET any -
Configurar les regles de Snort: Snort utilitza regles per identificar activitats sospitoses. Podeu descarregar regles predefinides o crear-ne de noves.
Exemple de regla:
alert tcp any any -> $HOME_NET 80 (msg:"Possible HTTP attack"; sid:1000001;)
Pas 3: Executar Snort
Un cop configurat, podeu executar Snort en mode de detecció:
Instal·lació de OSSEC (HIDS)
OSSEC és un HIDS popular que proporciona monitorització de fitxers, detecció d'intrusions i resposta a incidents.
Pas 1: Instal·lació de OSSEC
wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash sudo yum install ossec-hids ossec-hids-server
Pas 2: Configuració de OSSEC
-
Executar l'instal·lador de OSSEC:
sudo /var/ossec/bin/ossec-control start -
Configurar OSSEC: Editeu el fitxer de configuració principal:
sudo nano /var/ossec/etc/ossec.conf -
Afegir regles personalitzades: Podeu afegir regles personalitzades per detectar activitats específiques.
Pas 3: Executar OSSEC
Un cop configurat, podeu iniciar OSSEC:
Exercicis Pràctics
Exercici 1: Configurar Snort per Monitoritzar el Trànsit HTTP
- Instal·leu Snort en el vostre sistema.
- Configureu Snort per monitoritzar el trànsit HTTP a la vostra xarxa.
- Creeu una regla que alerti sobre qualsevol connexió HTTP.
Solució:
# Instal·lació de Snort sudo apt-get update sudo apt-get install snort # Configuració de Snort sudo nano /etc/snort/snort.conf # Configurar les variables de xarxa var HOME_NET 192.168.1.0/24 var EXTERNAL_NET any # Afegir una regla per alertar sobre connexions HTTP echo 'alert tcp any any -> $HOME_NET 80 (msg:"Possible HTTP attack"; sid:1000001;)' | sudo tee -a /etc/snort/rules/local.rules # Executar Snort sudo snort -A console -q -c /etc/snort/snort.conf -i eth0
Exercici 2: Configurar OSSEC per Monitoritzar Canvis en Fitxers Crítics
- Instal·leu OSSEC en el vostre sistema.
- Configureu OSSEC per monitoritzar canvis en fitxers crítics com
/etc/passwd. - Verifiqueu que OSSEC genera alertes quan es modifiquen aquests fitxers.
Solució:
# Instal·lació de OSSEC wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash sudo yum install ossec-hids ossec-hids-server # Configuració de OSSEC sudo /var/ossec/bin/ossec-control start sudo nano /var/ossec/etc/ossec.conf # Afegir monitorització de fitxers crítics <syscheck> <directories check_all="yes">/etc</directories> <ignore>/etc/mtab</ignore> <ignore>/etc/hosts.deny</ignore> </syscheck> # Iniciar OSSEC sudo /var/ossec/bin/ossec-control start
Conclusió
Els sistemes de detecció d'intrusions són una part fonamental de la seguretat en sistemes Linux. Tant Snort com OSSEC ofereixen eines poderoses per monitoritzar i protegir els vostres sistemes contra activitats malicioses. Amb la configuració adequada, podeu detectar i respondre ràpidament a possibles amenaces, mantenint els vostres sistemes segurs i protegits.
Domini de Linux: De Principiant a Avançat
Mòdul 1: Introducció a Linux
- Què és Linux?
- Història de Linux
- Distribucions de Linux
- Instal·lant Linux
- Estructura del Sistema de Fitxers de Linux
Mòdul 2: Comandes Bàsiques de Linux
- Introducció a la Línia de Comandes
- Navegant pel Sistema de Fitxers
- Operacions amb Fitxers i Directoris
- Visualització i Edició de Fitxers
- Permisos i Propietat dels Fitxers
Mòdul 3: Habilitats Avançades de la Línia de Comandes
- Ús de Comodins i Expressions Regulars
- Piping i Redirecció
- Gestió de Processos
- Programació de Tasques amb Cron
- Comandes de Xarxa
Mòdul 4: Scripting de Shell
- Introducció al Scripting de Shell
- Variables i Tipus de Dades
- Estructures de Control
- Funcions i Biblioteques
- Depuració i Gestió d'Errors
Mòdul 5: Administració del Sistema
- Gestió d'Usuaris i Grups
- Gestió de Discs
- Gestió de Paquets
- Monitorització del Sistema i Optimització del Rendiment
- Còpia de Seguretat i Restauració
Mòdul 6: Xarxes i Seguretat
- Configuració de Xarxa
- Tallafocs i Seguretat
- SSH i Accés Remot
- Sistemes de Detecció d'Intrusions
- Assegurant Sistemes Linux
Mòdul 7: Temes Avançats
- Virtualització amb Linux
- Contenidors de Linux i Docker
- Automatització amb Ansible
- Optimització del Nucli de Linux
- Alta Disponibilitat i Balanceig de Càrrega