Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

ACTIVIDAD DE APRENDIZAJE
Carrera/s Ingeniera en Conectividad y Redes
Sigla Curso GRC 6501
Modalidad Presencial
Versin PDA 2014
Forma de trabajo x Individual
Grupal
Sala de clases
Infraestructura (lugar) x Laboratorio (especifique)
Terreno (especifique)
Otros (especifique)
- Computador personal por cada alumno
Material de apoyo (insumos y equipamiento) para la - Computador personal profesor
actividad - Mquina Virtual Kali

NOMBRE DE LA ACTIVIDAD
Explotacin de vulnerabilidades
DESCRIPCIN DE LA ACTIVIDAD
El estudiante desarrolla en esta actividad las competencias de instalar un servidor Syslog en forma
segura para el monitoreo de eventos de seguridad, adems realizara una prueba prctica de
registro de eventos desde un aplicacin HIDS

Introduccin:
El monitoreo de eventos es fundamental en seguridad, pues permite mantener un registro
histrico de los incidentes o actividades que se deseen analizar para un proceso de auditora, en
esta experiencia el estudiante podr revisar eventos de un sistema de seguridad para su posterior
anlisis o correlacin

Desarrollo:
- Habilitacin del servicio Syslog en servidor Linux
- Comprobacin de servicio Syslog remoto
- Registro de eventos en el sistema de log
- Instalacin de servidor con HIDS
- Generacin de eventos de seguridad
- Registro de eventos de seguridad en Servidor Syslog
- Reporte

Evaluacin (desarrollar en la pauta correspondiente)

 Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje

Actividad prctica:

Formato: Individual
Asignatura: Gestion de Riesgos en Redes Corporativas
Cdigo: GRC 6501

Objetivo: Realizar instalacin de un sistema de monitoreo de eventos

1.- Inicie su mquina virtual Centos con la interfaz de red en modo puente

2.- Revise con el comando ps la operacin del servicio syslog

3.- Baje y suba el servicio syslog y confirme su ejecucin

4.- realice alguna operacin de root y visualice el resultado en el log

/var/log/messages

5.- revise el archivo de configuracin del servicio syslog y escriba la ruta del log seguridad

______________________________________________

6.- Pida a su compaero que se conecte va ssh a su servidor y realice un intento fallido, visualice el
log de seguridad

7.- Realice una prueba de funcionamiento de su servicio de log con el comando:

# logger

Visualice el log con el comando:

# tail f /var/log/messages

8.- Visualice el log de arranque del Sistema Operativo

9.- Levante el servicio SAMBA y visualice el archivo de log correspondiente

10.- Realice la rotacin del log del servicio SAMBA y visualice su ejecucin
 Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje

11.- Habilite la recepcin remota de logs realizando el cambio mostrado en el archivo

/etc/rsyslog.conf

Utilice el siguiente link como referencia:

http://rm-rf.es/configurar-un-syslog-remoto-para-centralizar-logs/

Comprueba su configuracin con el comando:

# lsof i nP | grep 514

12.- Pida a su compaero que modifique la configuracin de su servicio syslog segn la siguiente
figura:

- reemplace la lnea marcada

por @direccion_IP, donde: direccion_IP es la direccin IP de la estacin de su compaero

13.- Pida a su compaero que ejecute una accin de root y visualice su registro de log

Qu puede concluir de esta experiencia?

14.- Investigue el uso de los comandos:

# lastlog

# lastb

Ejecute un ejemplo de aplicacin de cada uno de ellos

Monitoreo de eventos:

Realice la instalacin de la solucin HIDS y configrela para que enve los eventos hacia su servidor
Syslog configurado

Realice un reporte con los eventos almacenados en su servidor Syslog