Ir al contenido principal

Montando un IDS en clase (suricata)

Hace unos días, mi profesor me pidió que explicara que era motorizar una red y decidí darle una vuelta de tuerca más. Así que decidí comentarle si podía instalar Suricata que como muchos conoceréis es un IDS. Tras la instalación de este decidí ponerlo en funcionamiento durante varios días. Puesto que tenia que sacar una video-demo, tras muchos días y crear alguna regla para que saltara alguna alarma para poder enseñar que podía catalogar cualquier tipo de trafico para su posterior alarma. En concreto use esta:

 "alert icmp any any -> any any (msg: "ICMP detected";)"

 Tras varios días de normalidad, grabar mi video-demo y tener la presentación del proyecto para presentarla en 5 minutos decido encender mi maquina con Suricata y hacer tail -f al log. Cuando quedan 2 minutos para la presentación, empiezo a ver trafico algo sospechoso hasta finalmente Suricata me confirma que había alguien en mi clase utilizando TOR (servicio de anonimato, si quieres saber más de TOR házmelo saber) decido modificar mi presentación y añadir la captura. Finalmente llega mi turno y muestro la imagen con la IP censurada del compañero que la estaba utilizando, cuando un compañero alza la mano y me dice " he sido yo".


Al final es una historia graciosa que os quería compartir pero considero que es muy importante monitorizar la red,poner IDS y otros sistemas de Monitoreo de Redes. Ya que en este caso mi compañero solo estaba navegado por TOR para evitar el bloqueo de algunos servicios, pero en tu empresa pueden estar utilizado tu red para otros fines de los cuales tú ni te imaginas.

¡¡¡Saludos y suerte HACKERS!!!

Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

¿Cómo reportar una Vulnerabilidad Y No Acabar Picando Piedra?

Has encontrado una vulnerabilidad y quieres reportarla, pues debes saber que no es un proceso sencillo ya que pueden pasarte las siguientes cosas: Que lo reportes y ni te contesten. Que lo reportes, te contesten dándote las gracias y ni lo arreglen.   Que lo reportes, se cabreen y acabes demandado por la empresa, solo por querer ayudarles a mejorar su seguridad.  Que lo reportes, te contesten y lo solucionen (No suele ser la más común) Así que aquí van unos consejos para que consigas reportar la vulnerabilidad de forma efectiva y no acabes mal parado: 1º Comprueba si tienen un sistema de bug bounty : Son programas en los que se premian (económicos, Hall of fame ...
Publicar un comentario
Leer más

WriteUp Reto 12+1 del CTF #H4F

Los chicos de “Η a ϲ k е rs4 Ϝ un   ᏟᎢ F  Τе a ⅿ p ropusieron un CTF/reto, al que voy a dar la versión de cómo lo  resolví  a esto se le llama  Write Up. Para lo que no sepáis lo que es  un CTF son una serie de desafíos informáticos enfocados a la seguridad . Manos a la obra enunciado Descargamos desde el enlace el archivo. https://drive.google.com/file/d/1f0P_c6xwdt5a0Rg1fXRbEFzVjVDppY3d/view Nos encontraremos un archivo comprimido que contiene una imagen que si inspeccionamos más a fondo descubriremos que dentro de ella hay un .zip Así pues cambiamos la extensión a .zip para ver su contenido, dentro de este zip nos encontramos otro archivo .zip el cual se llama output.zip y está dañado por lo que  debemos repararlo , por ejemplo yo lo hice con la propia herramienta que trae winRaR. Después de repararlo encontramos tres archivos, hay 2 .wav   (estos con contraseña) y 1 txt. El txt se llama pas...
Publicar un comentario
Leer más

¿Cuándo acaba el ciclo de vida de Windows server 2012? y cómo gestionarlo

Una de las cosas que tiene que realizar un experto en seguridad informática es mantener los sistemas operativos actualizados, por lo que las empresas que tengan Windows server 2012 deberán saber que el soporte estándar de Windows server 2012, ya ha acabado que significa esto que todos los servidores que tengan este sistema operativo tendrán que pagar el soporte extendido que finalizara el 10 de octubre de 2023 . Windows server 2012 está muy extendido en las empresas, que solo se han pasado a la nueva versión cuando no les ha quedado más remedio. Además las empresas son muy reacias a cambiar la versión de sus servidores por ejemplo en la siguiente imagen vemos como Windows server 2008 sigue extendido en las empresas a pesar de que su soporte extendido finalizo en Julio de 2011 , es decir estas empresas no recibirán parches de seguridad ni pasando por caja. Fuente: https://www.computerprofile.com/wp-content/uploads/2017/07/Server-OS-by-segment.png ¿Entonces debería hacer?...
Publicar un comentario
Leer más