Un IDS para mi servidor VPN…

Hola de nuevo. En otro post hablaba sobre cómo crear un servidor de VPNs basado en la aplicación OpenVPN. Pues bien un amigo me comentó, muy acertadamente, que lo de tener una infraestructura para conectarte a casa de forma segura está muy bien pero él no veía claro que teniendo un servicio expuesto en Internet no tuviéramos además un elemento que nos monitorizase o mostrase si alguien con no tan buenas intenciones nos descubriese y tratase se comenzar a hacer cosillas por ahí…

Para dar solución a tal interesante pregunta me puse manos a la obra en buscar la manera de montar alguna cosilla que me permitiese hacer esto. Le verdad que haberlas, hay las, pero instalarlas, configurarlas y demás, lleva su tiempo, contando ya con los conocimientos, claro. Esto a mi amigo no le moló mucho, había que meter horas, y entre empollar, los niños, recados, etc. no le quedaba tiempo libre así que hubo que buscar algo que fuese además sencillo. Y tras buscar por el “Interné” encontré la solución, EasyIDS.

EasyIDS es una distribución Linux basada en CentOS y que su propio nombre la define es un IDS basado en Snort que además viene con un conjunto de aplicaciones que complementan su funcionalidad, como gráficas de tráfico, carga del propio IDS, entre otras. Todo ello gestionado por una interfaz Web.

Lo malo era que ya teníamos nuestro servidor VPN montado en una máquina física y esto es una distribución para instalado desde cero en otro PC, con lo que… ¿cómo integramos las dos? Pues recurriendo a la virtualización. Básicamente lo que he hecho ha sido virtualizar el IDS en Virtualbox como si fuera otra máquina más.

Comencé por bajarme la imagen de EasyIDS desde Sourceforge desde aquí y Virtualbox desde aquí. Luego leí la guía de instalación de EasyIDS que podéis encontrar aquí y lo instalé.

Como nos indican sus autores, el IDS debe tener dos tarjetas de red, una de gestión y otra en la llegará todo el tráfico que será analizado e interpretado por Snort y el resto de aplicaciones y que esta última deberá ir conectada a un puerto del switch en modo “espejo” u un hub. Sobre esto indicar que un puerto en este modo es un puerto que sacará el mismo tráfico de otro del mismo switch. Es decir, se configurará el switch para que el tráfico de un puerto, lo replique y lo saque como digo por otro, este será nuestro “espejo” y en el que tendremos conectado el IDS. En condiciones normales de operación un switch no haría esto ya que sólo envía el tráfico por el puerto que corresponde, a diferencia de los “hubs” que lo propagan por todas las bocas, esté o no, el destinatario conectado a esa boca. En mi post “Seguridad en Puerto” explico de forma resumida esto, lo podéis encontrar aquí. Obviamente, como norma, general nosotros en casa no tenemos un switch con estas prestaciones con lo que gracias a Virtualbox hemos conseguido engañar al IDS para que funcione.

El “truco” ha sido el siguiente, en Virtualbox hemos creado dos tarjetas de red, y las hemos configurado en modo “Adaptador Puente” y, a ambas, las hemos vinculado a la interfaz de nuestro equipo anfitrión, en mi caso según muestra la captura la “eth0”.

¿Por qué esto? Porque EasyIDS debe manejar las dos tarjetas de red de forma distinta con lo que a nuestro IDS le decimos que tiene dos tarjetas de red distintas, por ejemplo la “eth0” y “eth1”, la “eth0” para el analizar el tráfico de red y la “eth1” para la administración. Luego nosotros le diremos a Virtualbox que ambas tarjetas de red virtuales salgan por la misma tarjeta de red física, que será por donde nos llegue todo el tráfico desde exterior, nuestras peticiones de establecer la VPN o las que “otros” quieran hacernos. Cuando llegue tráfico a mi servidor, llegará también a la tarjeta de red virtual encargada de analizar todo el tráfico. Por otra parte cuando quiera conectarme a EasyIDS para ver el estado de todo en general también podré hacerlo ya que también hemos configurado la tarjeta de red virtual de administración de la misma manera.

Vamos que de forma sencilla podremos instalar nuestro IDS y visualizar  con NTOP todo el tráfico que nos llega a nuestro servidor VPN y así tenerlo algo más controlado.

Ahora el tiempo nos lo llevará conocer las herramientas y manejarlas para sacarle el mayor provecho posible.

Un saludo, nos vemos en otra.

 Seguiremos informando…