Archivo

Posts Tagged ‘Seguridad’

NetGrok. Visualizando gráficamente el tráfico de red en tiempo real. Visualización pcap.

Seguimos con la serie dedicada a la representación gráfica de tráfico de red. En esta ocasión vamos a estudiar NetGrok, herramienta multiplataforma basada en Java. NetGrok trabaja, como la mayoría de herramientas que hemos visto, tanto con ficheros .pcap como directamente desde una interface de red, pudiendo, de esta forma, realizar el análisis del tráfico en tiempo real.

NetGrok. ejemplos trafico de red pacap

NetGrok. Configuración. La interface.

Vamos a trabajar, en esta ocasión, en un sistema Windows. Descargamos la herramienta desde aquí: http://code.google.com/p/netgrok/downloads/list, y descomprimimos.

Antes que nada hay que realizar algún ajuste en el archivo:

  • Netgrok/groups.ini

Este archivo contiene dos secciones:

  • local: configuración de segmentos de red locales.
  • foreing: resolución de dominios o nombres de sitios/IP de forma manual.

En la sección local tenemos por defecto:

[local]
Private1=Wireless=192.168.0.0/16
Private2=172.16.0.0/12
Private3=10.0.0.0/8

En mi caso lo dejé de la siguiente forma:

[local]
Red_Local_01=192.168.x.0/24
Red_Local_02=192.168.xx.0/24
Red_Local_03=192.168.xxx.0/24

Eliminé lo que no existe y añadí según el escenario a analizar.

Ejecutamos NetGrok haciendo click sobre el .jar directamente.

La interface.

Netgrok inteface graph view

La interface, en pantalla principal tenemos 3 pestañas:

  • Graph View. Pantalla principal. Representación del tráfico de red por medio de elementos que indican hosts, grupos de hosts, enlaces entre ellos (atendiendo a conexiuoens establecidas). Representa, también, la arquitectura o topología de la red analizada. Todos los hosts que se encuentren dentro del círculo con línea discontínua forman parte de la red local, el resto, NetGrok lo considera fuera de esta.Podemos obtener mayor información pasando el ratón por encima de cada uno de los nodos que indican hosts o grupos. Una de las informacioens que proporciona es el Bandwidth.
  • TreeMap View. Es un modo de representación cuyo objetivo es facilitar la comprensión y análisis de gran volumen de datos pcap. De una sola vista podemos ver cuales son los hosts que generan mayor tráfico de red. Los cuadros rojos repesentan los de mayor tráfico, los verdes se sitúan en un estado intermedio y los blancos son de casi nula actividad. A la derecha se sitúan los host incluidos en la red local interna, a la derecha lo que se sitúan en la zona exterior o fuera de la red interna.
  • EdgeTable. Listado de hosts involucrados en la captura.

Además, a la derrcha tenemos:

  • Zona de filtrado. Para rangos de red. Si establecemos un rango, por ejemplo 192.168.1.x/36, solo veremos este host ó 192.168.1.x/24, etc.
  • Zona de Detalles e información bajo demanda (cuando pasamos el ratón por algun nodo/host o grupo).

Otras operaciones.

Si nos situamos sobre un grupo o nodo/host, podemos con el botón derecho del ratón, acceder a un menú contextual en el que indicaremos si queremos que (las dos opciones más importantes) aparezcan fijas las líneas de conexióny que se quedna fijos los nodos.

Podemos también realizar zoom sobre Graph View (botón central o rueda ratón) y desplazar los nodos (botín izquierdo fijo).

Ejecutando NetGrok.

Para comenzar a ver como funciona solo tenemos que ir a File > Open Pcap File….

Nergrok cargando pcap.
Leer más…

Monitorización de integridad de ficheros en Linux en tiempo real.

Con iWatch una herramienta de monitorización de integridad de ficheros en tiempo real, para sistemas Linux. iWatch se puede ejecutar en dos modos:

  • Modo del demonio, donde iWatch se ejecuta como demonio del sistema y supervisa los blancos marcados en el archivo configuración xml.
  • Modo comando, especificando todos los parámetros: blanco a monitorizar, dirección de correo a la que enviar informe, excepciones….

Características destacadas de iWatch:

  • Envía alertas de cambios al correo electrónico y permite configurar varios correos electrónicos por cada blanco a monitorizar.
  • Permite usar excepciones de forma que si no se quiere supervisar un archivo concreto dentro de un directorio blanco se puede excluir.
  • Permite configurar acciones a realizar cuando se detecta una modificación en el blanco que supervisa. Por ejemplo: configurar iWatch para que si se modifica un archivo restablecer una copia original del archivo.
  • Permite configurar que aspectos se quieren monitorizar: cambios en atributos, modificaciones, apertura de fichero, cierre, si fue movido…

Esta herramienta puede ser muy útil para monitorizar archivos sensibles o directorio, frente cualquier cambio. Como por ejemplo monitorizar de los archivos /etc/passwd o /etc/shadow, el directorio /bin o supervisar el directorio de raíz de un sitio web, contra cualquier cambio indeseado.

Más información y descarga de iWacth:
http://iwatch.sourceforge.net/index.html


Share/Bookmark

Categorías:Linux, monitoreo, Seguridad Etiquetas: , ,

Libro de Administracion Avanzada GNU/Linux

Book cover

The Free Technology Academy (FTA), Academia de Tecnología Libre, ha publicado un excelente libro llamado “El sistema operativo GNU/Linux”, “The GNU/Linux operating system” en Inglés.

Sus contenidos principales están relacionados con la administración del sistema y a través de ellos aprenderás a instalar y configurar varios servicios de computación como también optimizar y sincronizar los recursos usando GNU/Linux.

Del website del proyecto:

Los sistemas GNU/Linux han alcanzado un importante nivel de madurez, permitiendo integrarlos en prácticamente todo tipo de entorno de trabajo, desde una PC de escritorio hasta estructuras de servidores de una gran empresa.

En el modulo llamado “The GNU/Linux operating system”, los contenidos principales están referidos a la administración del sistema. Este libro es la documentación principal para el modulo.

Información sobre el libro:

  • Autores: Remo Suppi Boldrito, Josep Jorba Esteve
  • Coordinador: Josep Jorba Esteve
  • Licencias: GNU Free Documentation License, Creative Commons Attribute ShareAlike License
  • Información: 545 Paginas; 18.8 Mb
  • Descargar la version PDF en Ingles (o tomarla de mirror # 1 at cyberciti.biz)
  • Descargar la version PDF en Español

Fuente | Tecnicos Linux


Share/Bookmark

Categorías:Linux, Redes, Seguridad Etiquetas: , , , ,

La importacia de los protocolos cifrados: Envenenamiento ARP mediante ettercap

Hola,
ettercap es un conjunto de herramientas con capacidad de disección para múltiples protocolos que facilita la ejecución de ataques Man-in-the-middle en redes locales.

Una de las múltiples funcionalidades que tiene ettercap es la posibilidad de realizar envenenamiento ARP de una puerta de enlace que esté siendo usada por otros equipos de la red local, lo que nos permite la captura de tráfico de terceros. Este método es válido para poder valorar las condiciones de seguridad de los protocolos empleados en una LAN, si bien, como cualquier otra herramienta de seguridad, en malas manos puede ser empleada para la obtención maliciosa de información sensible sin nuestro conocimiento y/o consentimiento.

Con el objeto de ilustrar la importancia del uso de protocolos cifrados, vamos a ver la implicación del uso de distintos protocolos ante un evento de envenenamiento ARP. Para ello dispondremos de una red local simulada con dos máquinas virtuales corriendo en el mismo segmento. La primera es una estación Debian, que ejecutará ettercap, y la segunda es una máquina Windows XP, que actuará como víctima. El montaje es válido para tantas máquinas virtuales en el segmento como se deseen, siempre que la RAM lo permita 🙂

Lo primero que haremos será lanzar ettercap especificando la puerta de enlace y el rango de máquinas a atacar. En este caso particularizamos para una sóla IP, nuestra máquina víctima, si bien es posible lanzar la escucha para todas las máquinas del segmento (lo cual entraña riesgos de saturación de las comunicaciones, lo que no hace recomendable esta opción). Si es preciso añadir varias máquinas víctima, se aconseja el uso de rangos menores.

Leer más…

Categorías:Redes, Seguridad Etiquetas: ,

Monitorizar seguridad de páginas Web

Con la herramienta NSIA es posible monitorizar la seguridad de páginas Web. Es posible detectar los riesgos de seguridad más corrientes que se pueden encontrar en páginas Web.

No precisa de la instalación de un componente en el servidor ya que su funcionamiento se basa en un motor de búsquedas que hace barridos de búsqueda en la página Web y al detectar cambios los analiza.

Con NSIA es posible detectar los siguientes fallos de seguridad:

  • Detecta los cambios producidos en caso de un Defacements.
  • Detecta si se cumplen las condiciones de privacidad de información de los usuarios. Como por ejemplo archivos de usuarios y contraseñas accesibles desde el exterior.
  • Detecta si la página tiene exploits que infectan a los visitantes. En caso de que un atacante colocara un exploit en la página con NSIA es posible detectarlo.
  • Analiza si la página Web reporta información delicada sobre la estructura del sistema en sus mensajes de error.
  • Permite configurar acciones cuando detecta un cambio en la pagina Web, por ejemplo el envío de un mensaje de texto (IM, email, SMS) o la ejecución de una acción de escritura en la página Web.

Más información y descarga de NSIA:
http://threatfactor.com/Products/NSIA


Share/Bookmark

Actualización de Joomla, 1.5.18, corrige vulnerabilidad XSS

El equipo de seguridad de Joomla ha anunciado la inmediata disponibilidad de la versión de seguridad 1.5.18 que corrige una seria vulnerabilidad XSS afectando a la versión 1.5.7 y todas las anteriores de la rama 1.5x.

Caso de ser explotado, el bug puede llevar a la inyección de código Javascript por parte de un usuario sin privilegios en el “Back-end” (panel de usuario) hacia la pantalla o sesión de un administrador con las fatales consecuencias que puede tener para el CMS. Ha sido reportada por Riyaz Ahemed y se recomienda actualizar a la mayor brevedad posible.

Fuente | Dabo


Share/Bookmark

Categorías:CMS, Seguridad Etiquetas: , , ,

PAC Manager: GUI grafico para gestionar conexiones Telnet/SSH

Últimamente estoy probando PAC y tengo que decir que es de lo mejorcito que me he encontrado cuando necesitas conectar con muchas máquinas diferentes mediante conexiones Telnet o SSH. Dicen que es similar a SecureCRT (ahi no te puedo responder, porque en su dia, o tenia que pagar la licencia o crackear el programa, que no es mi estilo desde hace mucho tiempo, asi que pase). Pero PAC Manager te permite hacer agrupaciones de maquinas, y acceder de manera muy intuitiva a la conexión de manera automática con 1 simple click. Es decir, te configuras la conexión SSH o Telnet indicando la IP de la maquina, usuario y password y le das un nombre a la conexión. Luego desde el menu principal ya puedes acceder directamente a las maquinas simplemente haciendo click en el nombre asignado. Casi mejor, si trabajas como administrador de sistemas le echas un vistazo.
Una cosa que me gusta es que tambien puedes ejecutar comandos via “expect” una vez que estableces la conexión. Asi por ejemplo podrias conectar a una máquina y que te dejara directamente en algun determinado directorio o ejecutara un script. Podeis ver un ejemplo en la captura de pantalla. Por ejemplo: Esperarias el prompt del sistema () y al recibirse ejecutarias el comando “cd directorio_destino”. Y podrias ir añadiendo más secuencias “expect” conforme fuera necesario. Chapo!!.

Para instalarlo en Lucid:

Hay que añadir el repositorio de getdeb:

sudo wget -q -O- http://archive.getdeb.net/getdeb-archive.key |  sudo apt-key add -
echo "deb http://archive.getdeb.net/ubuntu lucid-getdeb apps" >>
/etc/apt/sources.list.d/getdeb.list

Actualizamos:

sudo apt-get update

Despues instalamos la versión de libgnome2-vte-perl correspondiente a nuestra arquitectura:

sudo aptitude install libgnome2-vte-perl

y luego, descargamos el .deb desde http://sourceforge.net/projects/pacmanager/, lo instalamos y listo. Ya podemos ejecutar “Pac”. Configuramos nuestras conexiones SSH y Telnet y fin.

Lo dicho: Muy recomendable, Si tienes que conectar con muchas máquinas.

Enlace | Pantallazos PAC Manager


Share/Bookmark