Archivo

Archive for the ‘Seguridad’ Category

NetGrok. Visualizando gráficamente el tráfico de red en tiempo real. Visualización pcap.

Seguimos con la serie dedicada a la representación gráfica de tráfico de red. En esta ocasión vamos a estudiar NetGrok, herramienta multiplataforma basada en Java. NetGrok trabaja, como la mayoría de herramientas que hemos visto, tanto con ficheros .pcap como directamente desde una interface de red, pudiendo, de esta forma, realizar el análisis del tráfico en tiempo real.

NetGrok. ejemplos trafico de red pacap

NetGrok. Configuración. La interface.

Vamos a trabajar, en esta ocasión, en un sistema Windows. Descargamos la herramienta desde aquí: http://code.google.com/p/netgrok/downloads/list, y descomprimimos.

Antes que nada hay que realizar algún ajuste en el archivo:

  • Netgrok/groups.ini

Este archivo contiene dos secciones:

  • local: configuración de segmentos de red locales.
  • foreing: resolución de dominios o nombres de sitios/IP de forma manual.

En la sección local tenemos por defecto:

[local]
Private1=Wireless=192.168.0.0/16
Private2=172.16.0.0/12
Private3=10.0.0.0/8

En mi caso lo dejé de la siguiente forma:

[local]
Red_Local_01=192.168.x.0/24
Red_Local_02=192.168.xx.0/24
Red_Local_03=192.168.xxx.0/24

Eliminé lo que no existe y añadí según el escenario a analizar.

Ejecutamos NetGrok haciendo click sobre el .jar directamente.

La interface.

Netgrok inteface graph view

La interface, en pantalla principal tenemos 3 pestañas:

  • Graph View. Pantalla principal. Representación del tráfico de red por medio de elementos que indican hosts, grupos de hosts, enlaces entre ellos (atendiendo a conexiuoens establecidas). Representa, también, la arquitectura o topología de la red analizada. Todos los hosts que se encuentren dentro del círculo con línea discontínua forman parte de la red local, el resto, NetGrok lo considera fuera de esta.Podemos obtener mayor información pasando el ratón por encima de cada uno de los nodos que indican hosts o grupos. Una de las informacioens que proporciona es el Bandwidth.
  • TreeMap View. Es un modo de representación cuyo objetivo es facilitar la comprensión y análisis de gran volumen de datos pcap. De una sola vista podemos ver cuales son los hosts que generan mayor tráfico de red. Los cuadros rojos repesentan los de mayor tráfico, los verdes se sitúan en un estado intermedio y los blancos son de casi nula actividad. A la derecha se sitúan los host incluidos en la red local interna, a la derecha lo que se sitúan en la zona exterior o fuera de la red interna.
  • EdgeTable. Listado de hosts involucrados en la captura.

Además, a la derrcha tenemos:

  • Zona de filtrado. Para rangos de red. Si establecemos un rango, por ejemplo 192.168.1.x/36, solo veremos este host ó 192.168.1.x/24, etc.
  • Zona de Detalles e información bajo demanda (cuando pasamos el ratón por algun nodo/host o grupo).

Otras operaciones.

Si nos situamos sobre un grupo o nodo/host, podemos con el botón derecho del ratón, acceder a un menú contextual en el que indicaremos si queremos que (las dos opciones más importantes) aparezcan fijas las líneas de conexióny que se quedna fijos los nodos.

Podemos también realizar zoom sobre Graph View (botón central o rueda ratón) y desplazar los nodos (botín izquierdo fijo).

Ejecutando NetGrok.

Para comenzar a ver como funciona solo tenemos que ir a File > Open Pcap File….

Nergrok cargando pcap.
Leer más…

Monitorización de integridad de ficheros en Linux en tiempo real.

Con iWatch una herramienta de monitorización de integridad de ficheros en tiempo real, para sistemas Linux. iWatch se puede ejecutar en dos modos:

  • Modo del demonio, donde iWatch se ejecuta como demonio del sistema y supervisa los blancos marcados en el archivo configuración xml.
  • Modo comando, especificando todos los parámetros: blanco a monitorizar, dirección de correo a la que enviar informe, excepciones….

Características destacadas de iWatch:

  • Envía alertas de cambios al correo electrónico y permite configurar varios correos electrónicos por cada blanco a monitorizar.
  • Permite usar excepciones de forma que si no se quiere supervisar un archivo concreto dentro de un directorio blanco se puede excluir.
  • Permite configurar acciones a realizar cuando se detecta una modificación en el blanco que supervisa. Por ejemplo: configurar iWatch para que si se modifica un archivo restablecer una copia original del archivo.
  • Permite configurar que aspectos se quieren monitorizar: cambios en atributos, modificaciones, apertura de fichero, cierre, si fue movido…

Esta herramienta puede ser muy útil para monitorizar archivos sensibles o directorio, frente cualquier cambio. Como por ejemplo monitorizar de los archivos /etc/passwd o /etc/shadow, el directorio /bin o supervisar el directorio de raíz de un sitio web, contra cualquier cambio indeseado.

Más información y descarga de iWacth:
http://iwatch.sourceforge.net/index.html


Share/Bookmark

Categorías:Linux, monitoreo, Seguridad Etiquetas: , ,

Libro de Administracion Avanzada GNU/Linux

Book cover

The Free Technology Academy (FTA), Academia de Tecnología Libre, ha publicado un excelente libro llamado “El sistema operativo GNU/Linux”, “The GNU/Linux operating system” en Inglés.

Sus contenidos principales están relacionados con la administración del sistema y a través de ellos aprenderás a instalar y configurar varios servicios de computación como también optimizar y sincronizar los recursos usando GNU/Linux.

Del website del proyecto:

Los sistemas GNU/Linux han alcanzado un importante nivel de madurez, permitiendo integrarlos en prácticamente todo tipo de entorno de trabajo, desde una PC de escritorio hasta estructuras de servidores de una gran empresa.

En el modulo llamado “The GNU/Linux operating system”, los contenidos principales están referidos a la administración del sistema. Este libro es la documentación principal para el modulo.

Información sobre el libro:

  • Autores: Remo Suppi Boldrito, Josep Jorba Esteve
  • Coordinador: Josep Jorba Esteve
  • Licencias: GNU Free Documentation License, Creative Commons Attribute ShareAlike License
  • Información: 545 Paginas; 18.8 Mb
  • Descargar la version PDF en Ingles (o tomarla de mirror # 1 at cyberciti.biz)
  • Descargar la version PDF en Español

Fuente | Tecnicos Linux


Share/Bookmark

Categorías:Linux, Redes, Seguridad Etiquetas: , , , ,

Bizzly permite crear canales de comunicación privados

Brizzly, el magnífico cliente de twitter y Facebook desarrollado por la empresa del co-fundador de Google Reader, ha publicado una nueva función que nos permite crear “picnics” con cualquier usuario o grupo de usuarios dentro de la herramienta.

Al crear una sala tendremos que invitar a los miembros que queremos que en ella participen. Se generará un enlace que podremos divulgar entre los invitados, siendo también posible enviar la invitación por email.

En resumen podría definirse como un conjunto de DMs (mensajes privados) que pueden leerse por más de una persona, permitiendo de esa forma crear una sala de comunicación a base de mensajes directos en twitter, por ejemplo.

Sin lugar a dudas una excelente forma de ampliar las posibilidades de las redes sociales de contenido.

Fuente | techrunch


Share/Bookmark

La importacia de los protocolos cifrados: Envenenamiento ARP mediante ettercap

Hola,
ettercap es un conjunto de herramientas con capacidad de disección para múltiples protocolos que facilita la ejecución de ataques Man-in-the-middle en redes locales.

Una de las múltiples funcionalidades que tiene ettercap es la posibilidad de realizar envenenamiento ARP de una puerta de enlace que esté siendo usada por otros equipos de la red local, lo que nos permite la captura de tráfico de terceros. Este método es válido para poder valorar las condiciones de seguridad de los protocolos empleados en una LAN, si bien, como cualquier otra herramienta de seguridad, en malas manos puede ser empleada para la obtención maliciosa de información sensible sin nuestro conocimiento y/o consentimiento.

Con el objeto de ilustrar la importancia del uso de protocolos cifrados, vamos a ver la implicación del uso de distintos protocolos ante un evento de envenenamiento ARP. Para ello dispondremos de una red local simulada con dos máquinas virtuales corriendo en el mismo segmento. La primera es una estación Debian, que ejecutará ettercap, y la segunda es una máquina Windows XP, que actuará como víctima. El montaje es válido para tantas máquinas virtuales en el segmento como se deseen, siempre que la RAM lo permita 🙂

Lo primero que haremos será lanzar ettercap especificando la puerta de enlace y el rango de máquinas a atacar. En este caso particularizamos para una sóla IP, nuestra máquina víctima, si bien es posible lanzar la escucha para todas las máquinas del segmento (lo cual entraña riesgos de saturación de las comunicaciones, lo que no hace recomendable esta opción). Si es preciso añadir varias máquinas víctima, se aconseja el uso de rangos menores.

Leer más…

Categorías:Redes, Seguridad Etiquetas: ,

Monitorizar seguridad de páginas Web

Con la herramienta NSIA es posible monitorizar la seguridad de páginas Web. Es posible detectar los riesgos de seguridad más corrientes que se pueden encontrar en páginas Web.

No precisa de la instalación de un componente en el servidor ya que su funcionamiento se basa en un motor de búsquedas que hace barridos de búsqueda en la página Web y al detectar cambios los analiza.

Con NSIA es posible detectar los siguientes fallos de seguridad:

  • Detecta los cambios producidos en caso de un Defacements.
  • Detecta si se cumplen las condiciones de privacidad de información de los usuarios. Como por ejemplo archivos de usuarios y contraseñas accesibles desde el exterior.
  • Detecta si la página tiene exploits que infectan a los visitantes. En caso de que un atacante colocara un exploit en la página con NSIA es posible detectarlo.
  • Analiza si la página Web reporta información delicada sobre la estructura del sistema en sus mensajes de error.
  • Permite configurar acciones cuando detecta un cambio en la pagina Web, por ejemplo el envío de un mensaje de texto (IM, email, SMS) o la ejecución de una acción de escritura en la página Web.

Más información y descarga de NSIA:
http://threatfactor.com/Products/NSIA


Share/Bookmark

Actualización de Joomla, 1.5.18, corrige vulnerabilidad XSS

El equipo de seguridad de Joomla ha anunciado la inmediata disponibilidad de la versión de seguridad 1.5.18 que corrige una seria vulnerabilidad XSS afectando a la versión 1.5.7 y todas las anteriores de la rama 1.5x.

Caso de ser explotado, el bug puede llevar a la inyección de código Javascript por parte de un usuario sin privilegios en el “Back-end” (panel de usuario) hacia la pantalla o sesión de un administrador con las fatales consecuencias que puede tener para el CMS. Ha sido reportada por Riyaz Ahemed y se recomienda actualizar a la mayor brevedad posible.

Fuente | Dabo


Share/Bookmark

Categorías:CMS, Seguridad Etiquetas: , , ,