Rincón Informático

Si alguna vez necesitan  monitorear y analizar el trafico de su red, para identificar algún problema con su ancho de banda,  visualizar estadísticas del trafico, entre otras: Ntop es la herramienta indicada: según la wiki:

TOP (Network TOP) es una herramienta que no puede faltar al administrador de red, porque permite monitorizar en tiempo real los usuarios y aplicaciones que están consumiendo recursos de red en un instante concreto y además es capaz de ayudarnos a la hora de detectar malas configuraciones de algún equipo (esto salta a la vista porque al lado del host sale un banderín amarillo o rojo, dependiendo si es un error leve o grave), o a nivel de servicio. Posee un microservidor web que permite que cualquier usuario, que sepa la clave, pueda ver la salida NTOP de forma remota con cualquier navegador, y además es GNU. El software esta desarrollado para platarfomas Unix y Windows.

Los protocolos que es capaz de monitorizar son: TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11.

La instalación puede realizarse de varias formas:

1. Descargando las fuentes de Ntop e instalando de forma habitual en GNU/Linux:

./configure
make
make install

2. Usando el gestor de paquetes:

apt-get install ntop graphviz

Después de instalarlo procedemos a configurarlo:

dpkg-reconfigure ntop

Allí debemos seleccionar la interfaz que esta conectada a nuestra red. (Debemos recordar que ntop necesita poner la interfaz en modo promiscuo, para escuchar todo el trafico).

Ahora establecemos la contraseña del usuario de ntop:

ntop –set-admin-password

Solo nos queda iniciar el servicio:

/etc/init.d/ntop start

Por ultimo entramos a la interfaz web de ntop, abrimos un navegador y tecleamos la direccion:

http://127.0.0.1:3000

Como pueden ver la instalación es muy sencilla,  aunque hay que aclarar que esta es una configuracion básica, ya que para notar el total funcionamiento de la aplicacion, necesitamos instalar algunas otras librerías, como servidor MYSQL, openSSL, entre otras. Sin embargo es una buena opción para detectar errores en nuestra red y poder corregirlos a tiempo.

Cuando instalamos por primera vez en un computador portátil o en cualquier otro tipo de computador nuestro Debian/Squeeze se hace casi que necesario empezar a personalizarlo y eso incluye que nuestro computador arranque de una manera más eficiente y más rápida, para esto. Navegando por la web de esdebian.org me he encontrado con este tutorial que nos dice lo que debemos hacer para lograr este cometido, quise compartirlo con ustedes,  el tutorial es muy sencillo, aunque en la pagina hablan de que es para Debian/lenny yo lo he probado en Debian/Squeeze y funciona muy bien logró arrancar mi sistema en 23 segundos ya ustedes tomarán la decisión de seguir el tutorial o no. Así que no más carreta y manos a la obra.

Paralelismo en los scripts de init.d

Nota: Esta opción sólo proporciona una mejora notable en procesadores de más de un núcleo

Cuando arrancas algún sistema Debian este busca en /etc/init.d/rc para ejecutar los servicios que hayas configurado.

El problema es que no es muy efectivo que se ejecuten uno por uno. Por ejemplo, si tienes un servicio dhcp que tiene que esperar a que se te asigne una IP, retrasaría todo el proceso.

Pero hay que tener cuidado ya que muchos servicios dependen de otros para arrancar, entonces necesitamos un script que organice el arranque para que se puedan iniciar procesos en paralelo. Dicho script se consigue instalando el paquete insserv:

Atención: Este script modifica automáticamente el sistema de arranque de Debian, úsalo bajo tu propia responsabilidad.
#apt-get install insserv
#dpkg-reconfigure insserv

Por último queda decirle al script rcS que utilice esta opción:
CONCURRENCY=startpar >> /etc/default/rcS

Quitar servicios innecesarios

Suena lógico que, si no usas compartición de archivos, o que si tu máquina no tiene bluetooth, quites esos servicios. ¿Pero cómo hacerlo? En Debian hay dos maneras uno ir a /etc/init.d/ y quitas los permisos de ejecución a los scripts de servicios que consideres innecesarios:

#chmod -X nombre-del-servicio

Obviamente debes estar trabajando en el mismo directorio donde esta el servicio.
Ahora la otra manera es con la herramienta Smart Boot Manager, se instala
#apt-get install bum

La ejecutas y tendrás una GUI muy linda para configurar los servicios de arranque incluso, en la mayoría de los casos, te explica para qué sirve cada servicio.

Readahead

Usar Readahead es un herramienta que guarda un registro de ciertos archivos del proceso de arranque de forma que cuando se inicie Debian, el sistema leerá sólo el registro y no buscará los archivos, obteniendo una ligera reducción del tiempo de carga.
#apt-get install readahead
#touch /etc/readahead/profile-once

Con ello instalas readahead, lo segundo es para crear un perfil (profile) optimizado del proceso de arranque de nuestra máquina y servicios

Después de todo este relajo reinicias y no te asustes la primera vez que reinicies durará más de lo normal porque readahead está creando el perfil (profile). Luego de esto vuelve a reiniciar una vez más y verás cómo el proceso de arranque se reduce.

Bueno eso es lo que quería compartir con ustedes espero y les sea de utilidad, hasta la próxima.

Fuente

Anteriormente en RinconInformatico hemos hablado de SIPvicius una herramienta que nos sirve para auditar, SIP basados en sistemas VoIP. En esta ocasión  hablaremos de UCSniff una potente herramienta que hace el papel de sniffer, logrando capturar todas las conversaciones que pasan por nuestra red.

Las características de UCSniff son:

• Sniffer de VoIP con soporte de vídeo
• Monitoreo en tiempo real
• Grabacion automática de capturas en archivos .wav
• Man In the middle
• Modo monitor
• Soporte para Cisco UCM 6,1, 7,0, 7,1
• Interfaz gráfica
• Entre muchas mas…

La instalación es relativamente sencilla,  pueden visitar la pagina oficial del proyecto    haciendo click aqui allí pueden encontrar los archivos  para la instalación, ya sea las fuentes o el paquete  precompilado para Debian.

Después de la instalación  ejecutaremos la aplicacion de esta forma:

root@epsilon-laptop:~# ucsniff -G

Lo que nos arrojara este pantallazo:

Desde allí podremos activar el sniffer según los parámetros que deseemos, un ejemplo básico que  puede funcionar y servir, seria el siguiente:

Igualmente hay muchas variables y parámetros las cuales se pueden modificar según nuestro contexto y entorno, recomiendo la lectura del manual de la aplicacion, muy interesante y poderosa

Existen muchas herramientas como w3af, acunetixo el mismo nessus,  que nos ayudan en el proceso de encontrar vulnerabilidades en  aplicaciones web. Sin embargo hace poco encontré un scanner el cual se especializa en portales Joomla(para quienes no saben que es Joomla hacer click aqui). Tuve la oportunidad de probar la aplicacion  y me gusta bastante, entre sus características tenemos:

• Hecho en Perl
• Permite actualizarse.
• Reporte completo.
• Interfaz web y por consola.
• detecta vulnerabilidades como: SQL injection, LFI, RFI, XSS entre otros.
• Se basa en OWASP.

Para descargar el  script pueden hacer click aqui. Obviamente como es hecho en perl, necesitamos tener instalado perl y algunas librerías:

apt-get install perl libwww-perl libtest-www-mechanize-perl

Para actualizarlo  hacemos lo siguiente:

chmod 777 joomscan.pl

./joomscan.pl update

Hacer un simple escaneo:

./joomscan.pl -u url_joomla

El resultado  que nos arroja es muy explicito, dice la vulnerabilidad, la descripción y si es vulnerable o no. Joomscan un buen script que nos ayuda a  descubrir aquellos  fallos que se pueden explotar en nuestro portal Joomla.

Una de las herramientas indispensables para administrar los servidores es a través de SSH (Secure SHell). Pero antes, un poco de teoría.

Definición

“SSH (Secure SHell) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la maquina mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.

Además de la conexión a otros dispositivos, SSH nos permite copiar datos de forma segura (tanto ficheros sueltos como simular sesiones FTP cifradas), gestionar claves RSA para no escribir claves al conectar a los dispositivos y pasar los datos de cualquier otra aplicación por un canal seguro tunelizado mediante SSH” (Wikipedia).

Funcionamiento

El cliente inicia la conexión hacia un puerto predeterminado del servidor, en este caso el puerto reservado número 22. Establecida la conexión TCP los extremos se envían, en texto plano, sus identificadores de versión, para ver si la comunicación es posible entre ellos. De ser compatibles entre sí cambian a un modo de transferencia binaria durante el cual se identifican los interlocutores y se negocian los protocolos de cifrado y firma que se usarán.

Esta negociación de protocolos se lleva a cabo de tal manera que la información intercambiada entre cliente y servidor sólo puede ser descifrada por el destinatario legítimo de la misma, y sólo por él. Para ello al principio de esta fase el servidor envía al cliente su clave pública, para que el cliente la use para cifrar todos los mensajes siguientes hacia el servidor, haciéndolos sólo legibles para el propio servidor. Entonces el cliente genera una clave de cifrado para la sesión en curso, que envía cifrada al servidor junto con el algoritmo seleccionado, y a partir de este momento todo el tráfico entre cliente y servidor viaja cifrado y seguro.

Llegados a este punto el cliente y el servidor se han puesto de acuerdo en un cierto algoritmo de cifrado, han acordado una clave para su sesión, y el servidor se ha identificado ante el cliente con su clave pública RSA (u opcionalmente DSA, en la versión 2 del protocolo). Pero aún falta que el cliente se identifique ante el servidor, que deberá decidir entonces si deja o no acceder al cliente remoto. La identificación del cliente podrá ser mediante pareja de usuario y contraseña, rhost, rhost más identificación de máquina mediante clave RSA o simplemente mediante claves RSA o DSA.

De todos los mecanismos sólo nos interesan el primero y el último. En el primero, el servidor nos dará acceso siempre y cuando la pareja de usuario y contraseña introducida por el cliente sean los de un usuario válido en el sistema operativo del servidor, salvo restricciones adicionales. En la identificación por claves el cliente dispone, al igual que el servidor, de su propia pareja de claves, que envía al servidor durante la identificación. Si el servidor confía en el usuario cuya clave ha recibido, entonces le dará permiso de acceso.

A grandes rasgos el mecanismo de conexión y de identificación del protocolo SSH es sencillo, aunque conviene destacar un par de aspectos relevantes de cara al uso y configuración de los programas relacionados:

• Las conexiones las inicia siempre el cliente hacia el puerto TCP número 22 del servidor.
• Las versiones de los protocolos soportados por cliente y servidor deben coincidir, o la conexión no se llevará a cabo.
• El servidor siempre necesita disponer de una pareja de claves, puesto que usa la clave pública para establecer la conexión segura con el cliente. El tipo de clave tiene que estar soportado en el cliente.
• El cliente y el servidor deben tener algún algoritmo de cifrado en común, o la conexión no se establecerá.
• Dependiendo de los mecanismos de identificación soportados por ambas partes, o exigidos por el servidor, la identificación podrá o no fallar.
• Aún cuando haya un mecanismo de identificación soportado por ambas partes, el cliente deberá proporcionar credenciales válidas al servidor, bien sea una pareja de usuario y contraseña, bien una clave pública.

Al margen de todo lo anterior, el servidor del protocolo SSH, sshd podrá implementar restricciones adicionales de acceso, así como el propio sistema operativo donde ejecuta. Por ejemplo, no es infrecuente que sshd esté compilado con soporte de TCP-wrappers, que esté configurado para aceptar o rechazar el acceso a determinados usuarios o máquinas cliente, o simplemente que algún firewall intermedio no permita establecer la conexión.

Instalación y configuración inicial

1.-Abrir una terminal como root y escribir:

# Apt-get install openssh-server

2.-Cuando se termina de instalar viene con una configuración por default que debemos cambiar para tener una mejor seguridad para esto nos vamos al archivo /etc/ssh/sshd_config

# Vim /etc/ssh/sshd_config

El archivo es algo extenso solo se mencionaran las secciones que son de gran importancia:

El servicio SSH por default trabaja sobre el puerto 22 pero se puede cambiar:

Port 22 ## PUERTO POR DEFAULT

El parámetro ListenAddress especifica las direcciones de las interfaces de donde se van a recibir peticiones OJO con esta sección si vamos a accesar desde una red externa como la casa entonces dejarlo como esta sino pues hay que especificar la red:

ListenAddress 0.0.0.0 ## IP por Default para acceder desde cualquier red

Esta es la sección critica a mi manera de ver porque indicamos si el usuario ROOT puede acceder vía ssh yo en lo personal lo deshabilito y entro con un usuario del sistema diferente a root

PermitRootLogin no

También podemos especificar si se va a ejecutar aplicaciones graficas mediante SSH por ejemplo podemos usar VLC a través de SSH por si no son muy dados a usar comandos yo lo dejo como esta:

X11Forwarding no

Otra opción es permitir el acceso a ciertos usuarios de la siguiente manera:

AllowUsers tusuario, miotrousuario, uncolado

En fin son muchas las opciones que trae el archivo seria bueno que le echaran un vistazo y modifiquen lo que mejor crean ustedes que es para su servidor pero siempre pensando en la seguridad y los riesgos que conlleva hacer una mala configuración.

Por último reiniciamos el servicio:

# /etc/init.d/ssh restart

NOTA: Si están detrás de un firewall tienen que abrir el puerto que han especificado pero si están en DMZ pues les recomiendo que pongan reglas IPTABLE por seguridad.

Ahora a hacer un test desde un cliente usando el terminal:

# Ssh usuario@midominio

Cuando se logueen verán lo siguiente:

También se pueden conectar desde un Windows utilizando la herramienta Putty

Mas info sobre configuración: Aquí

Fuente: Aquí

Descargar el Putty: Aqui

El día de hoy vamos a proceder a instalar una sencilla pero potente herramienta para mantener nuestro equipo o servidor a salvo de rootkits.

Primero un poquito de teoría ¿que es un rootkit? según la Wikipedia “Un rootkit es una herramienta, o grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos, que permiten al intruso mantener el acceso a un sistema, para remotamente comandar acciones o extraer información sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris o Microsoft Windows.”

Ahora vamos a instalar y configurar rkhunter que es probablemente la herramienta más completa para detectar rootkits

# apt-get install rkhunter

Para realizar un escaneo de nuestro sistema:

# rkhunter -c

Para actualizar la base de datos de rkhunter:

# rkhunter – -update

Los logs los podemos encontrar en /var/log/rkhunter.log donde podremos ver con mas calma el resultado del scaneo.

Fuente 1

Fuente 2

El próximo 14 de febrero de 2010 se realizara el  tercer laboratorio de seguridad informática DragonJAR en la ciudad bonita de Colombia: Bucaramanga. Estos laboratorios son grandiosos, puesto que nos llevan a compartir con otras personas, nuestro conocimiento en seguridad, conocer otras personas  de nuestra ciudad que les guste la seguridad informática, la tecnología entre otros. (personalmente les aconsejo que asistan ya sea  de forma presencial o virtual).

El tema que se va  a tratar es  Cross Site Scripting (XSS) desde Cero. Se mostrara como se crearon los ambientes y veremos donde se encuentra el código vulnerable y su explotación. Para aquellas personas que quieran asistir al laboratorio de forma virtual deben enviar un correo a ,  para reservar su cupo, ya que solo hay 15 disponibles, estas personas que haran asistiran de forma virtual, deben tener  la herramienta de compartir escritorio de Adobe.

La temática es la siguiente:

Creando los ambientes

Maquinas Virtuales

 Servidor vulnerable
 Servidor Hosting
 Victima/Atacante

2. Comprobando vulnerabilidad

3. Saltando filtros
• Bloqueo del número máximo de caracteres (maxlength)
• Filtro Strip_Tags
• Magic_quotes_gpc = on
• Método POST (URL maligna)

4. ATAQUES CROSS SITE SCRIPTING (XSS)

• Algunos códigos maliciosos
• XSS PERSISTENTE
• Robo de Cookies y Sesión por medio de VULNERABILIDAD XSS
- Almacenando en un txt
- Almacenando en una BD
• Ataque XSS usando TECNICA PHISHING

Algunos datos importantes:

Fecha:Domingo 14-02-2010
Hora:2:00 p.m
Lugar: Puedes mandar un correo  a para que te comuniquen el lugar (cuestiones de seguridad)

Ojala asistan, para que aprendan y conozcan  a otras personas de su ciudad que se interesan por la informática, animesen para que pasen un rato agradable y sobre todo productivo

AnonyMail es una herramienta que ha sido creada por Xa0s de professional-hacker que como su nombre lo indica sirve para enviar Emails anónimos.

La aplicación permite enviar correos electrónicos mediante SMTP, utilizando un email nuestro pero con un correo falso. Es decir, a la persona que le enviemos el email podemos enviárselo con el que nosotros queramos.

Además soporta HTML por lo que podemos enviar mensajes perfectamente utilizando HTML a nuestro gusto.

También se puede adjuntar algún archivo que quieras.

Si quieres enviar un email utilizando un correo de Gmail, en Servidor SMTP debes poner “smtp.gmail.com” y en puerto “465″. Luego tú correo, contraseña y luego llenas los demas datos que te pide que es el email de la persona a quien se lo quieres enviar, el correo falso con que quieres que le llegue el email, asunto, si quieres adjuntar algún archivo y el mensaje para el cual puedes utilizar HTML.

Si quieres enviar un email utilizando un correo Hotmail/Live el Servidor SMTP es “smtp.live.com” y el puerto es “25″.

Pueden enviarlo con el de ustedes o crear un correo nuevo para la ocasión.

Por el momento solo esta para windows.

Descargar:
AnonyMail

La aplicación utiliza Codejock. Si no tienen las dependencias se las dejo.

Codejock

Fuente: Professional-Hacker