Archivo

Posts Tagged ‘Monitoreo’

NetGrok. Visualizando gráficamente el tráfico de red en tiempo real. Visualización pcap.

Seguimos con la serie dedicada a la representación gráfica de tráfico de red. En esta ocasión vamos a estudiar NetGrok, herramienta multiplataforma basada en Java. NetGrok trabaja, como la mayoría de herramientas que hemos visto, tanto con ficheros .pcap como directamente desde una interface de red, pudiendo, de esta forma, realizar el análisis del tráfico en tiempo real.

NetGrok. ejemplos trafico de red pacap

NetGrok. Configuración. La interface.

Vamos a trabajar, en esta ocasión, en un sistema Windows. Descargamos la herramienta desde aquí: http://code.google.com/p/netgrok/downloads/list, y descomprimimos.

Antes que nada hay que realizar algún ajuste en el archivo:

  • Netgrok/groups.ini

Este archivo contiene dos secciones:

  • local: configuración de segmentos de red locales.
  • foreing: resolución de dominios o nombres de sitios/IP de forma manual.

En la sección local tenemos por defecto:

[local]
Private1=Wireless=192.168.0.0/16
Private2=172.16.0.0/12
Private3=10.0.0.0/8

En mi caso lo dejé de la siguiente forma:

[local]
Red_Local_01=192.168.x.0/24
Red_Local_02=192.168.xx.0/24
Red_Local_03=192.168.xxx.0/24

Eliminé lo que no existe y añadí según el escenario a analizar.

Ejecutamos NetGrok haciendo click sobre el .jar directamente.

La interface.

Netgrok inteface graph view

La interface, en pantalla principal tenemos 3 pestañas:

  • Graph View. Pantalla principal. Representación del tráfico de red por medio de elementos que indican hosts, grupos de hosts, enlaces entre ellos (atendiendo a conexiuoens establecidas). Representa, también, la arquitectura o topología de la red analizada. Todos los hosts que se encuentren dentro del círculo con línea discontínua forman parte de la red local, el resto, NetGrok lo considera fuera de esta.Podemos obtener mayor información pasando el ratón por encima de cada uno de los nodos que indican hosts o grupos. Una de las informacioens que proporciona es el Bandwidth.
  • TreeMap View. Es un modo de representación cuyo objetivo es facilitar la comprensión y análisis de gran volumen de datos pcap. De una sola vista podemos ver cuales son los hosts que generan mayor tráfico de red. Los cuadros rojos repesentan los de mayor tráfico, los verdes se sitúan en un estado intermedio y los blancos son de casi nula actividad. A la derecha se sitúan los host incluidos en la red local interna, a la derecha lo que se sitúan en la zona exterior o fuera de la red interna.
  • EdgeTable. Listado de hosts involucrados en la captura.

Además, a la derrcha tenemos:

  • Zona de filtrado. Para rangos de red. Si establecemos un rango, por ejemplo 192.168.1.x/36, solo veremos este host ó 192.168.1.x/24, etc.
  • Zona de Detalles e información bajo demanda (cuando pasamos el ratón por algun nodo/host o grupo).

Otras operaciones.

Si nos situamos sobre un grupo o nodo/host, podemos con el botón derecho del ratón, acceder a un menú contextual en el que indicaremos si queremos que (las dos opciones más importantes) aparezcan fijas las líneas de conexióny que se quedna fijos los nodos.

Podemos también realizar zoom sobre Graph View (botón central o rueda ratón) y desplazar los nodos (botín izquierdo fijo).

Ejecutando NetGrok.

Para comenzar a ver como funciona solo tenemos que ir a File > Open Pcap File….

Nergrok cargando pcap.
Leer más…

Monitorización de integridad de ficheros en Linux en tiempo real.

Con iWatch una herramienta de monitorización de integridad de ficheros en tiempo real, para sistemas Linux. iWatch se puede ejecutar en dos modos:

  • Modo del demonio, donde iWatch se ejecuta como demonio del sistema y supervisa los blancos marcados en el archivo configuración xml.
  • Modo comando, especificando todos los parámetros: blanco a monitorizar, dirección de correo a la que enviar informe, excepciones….

Características destacadas de iWatch:

  • Envía alertas de cambios al correo electrónico y permite configurar varios correos electrónicos por cada blanco a monitorizar.
  • Permite usar excepciones de forma que si no se quiere supervisar un archivo concreto dentro de un directorio blanco se puede excluir.
  • Permite configurar acciones a realizar cuando se detecta una modificación en el blanco que supervisa. Por ejemplo: configurar iWatch para que si se modifica un archivo restablecer una copia original del archivo.
  • Permite configurar que aspectos se quieren monitorizar: cambios en atributos, modificaciones, apertura de fichero, cierre, si fue movido…

Esta herramienta puede ser muy útil para monitorizar archivos sensibles o directorio, frente cualquier cambio. Como por ejemplo monitorizar de los archivos /etc/passwd o /etc/shadow, el directorio /bin o supervisar el directorio de raíz de un sitio web, contra cualquier cambio indeseado.

Más información y descarga de iWacth:
http://iwatch.sourceforge.net/index.html


Share/Bookmark

Categorías:Linux, monitoreo, Seguridad Etiquetas: , ,

Monitorizar seguridad de páginas Web

Con la herramienta NSIA es posible monitorizar la seguridad de páginas Web. Es posible detectar los riesgos de seguridad más corrientes que se pueden encontrar en páginas Web.

No precisa de la instalación de un componente en el servidor ya que su funcionamiento se basa en un motor de búsquedas que hace barridos de búsqueda en la página Web y al detectar cambios los analiza.

Con NSIA es posible detectar los siguientes fallos de seguridad:

  • Detecta los cambios producidos en caso de un Defacements.
  • Detecta si se cumplen las condiciones de privacidad de información de los usuarios. Como por ejemplo archivos de usuarios y contraseñas accesibles desde el exterior.
  • Detecta si la página tiene exploits que infectan a los visitantes. En caso de que un atacante colocara un exploit en la página con NSIA es posible detectarlo.
  • Analiza si la página Web reporta información delicada sobre la estructura del sistema en sus mensajes de error.
  • Permite configurar acciones cuando detecta un cambio en la pagina Web, por ejemplo el envío de un mensaje de texto (IM, email, SMS) o la ejecución de una acción de escritura en la página Web.

Más información y descarga de NSIA:
http://threatfactor.com/Products/NSIA


Share/Bookmark

Instalar y Configurar la herramienta de monitoreo Cacti en Ubuntu 9.10(Karmic)Server

Cacti es una completa solución de graficado en red, diseñada para aprovechar el poder de almacenamiento y la funcionalidad de graficar que poseen las RRDtool. Esta herramienta, desarrollada en PHP, provee un pooler ágil, plantillas de gráficos avanzadas, múltiples métodos para la recopilación de datos, y manejo de usuarios. Tiene una interfaz de usuario fácil de usar, que resulta conveniente para instalaciones del tamaño de una LAN, así como también para redes complejas con cientos de dispositivos.

Características de Cacti

Si desea saber + acerca de cacti marque aquí

Instalar Cacti en  Ubuntu 9.10 (Karmic) Server

Preparando el sistema

Primero usted tiene que asegurarse de tener instalado Ubuntu 9.10 LAMP server y luego instalar los siguientes paquetes.

sudo aptitude install php5 php5-gd php5-mysql

Instalar cacti usando el siguiente comando.

sudo aptitudet install cacti-spine

Esto iniciara la instalación de Cacti y le hará unas preguntas rápidas.

Configurar la opción libphp-adodb selectione OK para Continuar.

Leer más…