Beholder

Manual de Utilização

Este manual visa apresentar os passos necessários para execução do protótipo Beholder no ambiente proposto em 6 Testes e Resultados. É aconselhado utilizar o CD entregue com o projeto final, criado com o propósito de facilitar os testes, pois este já contem todas os serviços, códigos, aplicações e ferramentas necessárias para realização dos mesmos.

O primeiro passo é verificar acima para entender o que será necessário configurar. Através desta figura, é possível identificar que o ambiente será composto por 3 máquinas. Sendo configuradas da seguinte forma.

• Máquina 1: se refere ao Atacante, esta será configurada com o IP 172.16.0.3, máscara de rede 255.255.0.0, gateway 172.16.0.1;

• Máquina 2: encontra-se no meio da topologia, entre os dois segmentos de rede (192.168.0.0 e 172.16.0.0), está máquina se refere ao Servidor 1 e, além de prover serviços como FTP, Web, SSH, também irá conter o IDS Beholder. Esta máquina contém 2 interfaces de rede, uma para cada segmento, a primeira interface – eth0 – será configurada com IP 192.168.0.3, máscara 255.255.255.0, gateway 192.168.0.254. já a segunda interface – eth1 – será configurada com o IP 172.16.0.1, máscara 255.255.0.0, gateway 192.168.0.254;

• Máquina 3: se refere ao Servidor 2 sendo configurada com o IP 192.168.0.254, máscara de rede 255.255.255.0, gateway 192.168.0.3.

O CD que acompanho o documento de projeto final é único, ou seja, ele será usado na inicialização das 3 máquinas, o que irá mudar, será a configuração e as ações que cada máquina irá desempenhar. Sendo assim, segue os passos necessários para configuração as interfaces de rede para cada máquina.

1. Ir no botão Iniciar → Configuração do Sistema → Conectar na Internet ou Configurar a Rede → Configurar Rede (Figura 11.1).

2. Proceda com a configuração referente a cada máquina. Repassando os parâmetros de configuração conforme descritos anteriormente. Lembrando que não deve ser configurado pelo DHCP e, sim, manualmente.
   

        Estes procedimentos são referentes a configuração de uma interface. Repita estes passos para todas as máquinas e suas respectivas interfaces de rede.

3. Na Máquina 2, onde se encontra o Beholder, é necessário habilitar a repassagem de pacotes, permitindo que as maquinas em segmentos opostos se comuniquem. Para tal, basta pressionar o botão Iniciar → Configuração do Sistema → Compartilhar conexão e Firewall → Compartilhar conexão na ETH0. Neste caso foi habilitado a repassagem na interface eth0 (Figura 11.2), pois a Máquina 1 (Atacante) se encontra no outro segmento (eth1), permitindo assim, que o atacante também consiga enviar e receber pacotes da Máquina 2 (Servidor 2).

4. Efetuado a fase de configuração do ambiente, será iniciado o IDS Beholder. Para isso, abra um terminal (Konsole), mude para o super usuário com o comando su e, ao pedir a senha, digite beholder. O consolo pode ser acessado por:

Como usuário root, inicie a Engine Beholder da seguinte forma:

# ./beholder-ambiente-eth1.sh

Exemplo:

           Este comando inicia o IDS Beholder já procedendo com a captura, analise e impressão dos resultados referentes a possíveis ataques. Este comando é um script Bash, que facilita ao executar o comando:

# beholder -i eth1 tcp or udp or icmp and \(host 172.16.0.2 and \(dst host 172.16.0.1 or dst host 192.168.0.3 or dst host 192.168.0.254\)\)

        Este comando indica para capturar e analisar pacotes vindos da interface eth1 (segmento onde se encontra o Atacante, representado pela Máquina 1), filtrando os dados para capturar somente os pacotes cujo protocolo é TCP ou UDP ou ICMP e que estejam sendo originados pela máquina de IP 172.16.0.2 com destino as máquinas de IP 172.16.0.1 ou 192.168.0.3 ou 192.168.0.254. Estes parâmetros permitem focar a captura e análise exatamente como no ambiente proposto.

                Após iniciado, ele fica aguardando o recebimento de dados para poder analisar.

5. Com isso o IDS Beholder está pronto para efetuar seu trabalho, basta então – na Máquina 1 (Atacante) – proceder com os testes referentes a a situações normal e de ataque. Como por exemplo, acessar uma pagina Web no endereço 172.16.0.3 ou 192.168.0.254, acessar e trocar arquivos por FTP no IP 172.16.0.1, efetuar uma conexão de terminal seguro utilizando o SSH no IP 172.16.0.1. Além de situações normais, é possível executar ataques de varredura utilizando a ferramenta Nmap. Por exemplo, executando o comando:

# nmap -sS 172.16.0.1

A descrição dos ataques e seus respectivos comandos podem ser verificados em 6 Testes e Resultados.

Para cada ação efetuada pela Máquina 1, será visualizada na Máquina 2 (onde o Beholder foi iniciado), os acessos considerados suspeitos, conforme exemplo na Figura 11.3.

6. Feito os testes, pode-se parar o IDS Beholder pela combinação de teclas CTRL-C, para que esse imprima um pequeno relatório (Figura 11.4) contendo a quantidade de pacotes considerados normais e de ataque, bem como o percentual de ataques identificados como suspeitos referentes ao total de pacotes capturados nesta sessão.

7. Por fim, estes passos permitem executar todos os testes que foram realizados no ambiente proposto (6 Testes e Resultados). Para a melhor visualização dos resultados da ferramenta frente a situações consideradas normal e de ataque, é aconselhado a executar a engine Beholder, efetuar cada teste separadamente, parar a engine (CRTL-C) e verificar o relatório.