Es el encargado de distribuir y orientar los paquetes según su destino, solo funciona por protocolo (un proxy por cada protocolo), puede pedir autenticación, el objetivo de tener u proxy por protocolo es crear la CACHE y optimizar la navegación. Un proxy funciona como NAT o PAT (Capa 3 y 4), pero la diferencia es que el proxy trabaja en capa 7 del modelo OSI. El proxy se vuelve el representante de la red contra inet (ya que todos los paquetes salen por su IP publica). Cuando una conexion sale a inet, el proxy se llama "proxy"; Cuando la conexion entra de inet a la LAN, el proxy se llama "proxy inverso".
Proxy en Windows.
* WEBSense
* Fore Front
* ISA Server
Proxy en Linux
* SQUID (Squidguard - Dansguard)
Proxy inverso en Linux
* Lighttpd
* Nginx
Un proxy es capaz de filtrar paquetes segun su contenido, capa 7 - datos - app.
Presentación.
"Los locos somos los que trazamos los caminos... Que luego los cuerdos recorren"... Don Quijote
martes, 31 de mayo de 2011
Plan de Seguridad- Firewall
Con los activos que tienen mas riesgo en el análisis de vulnerabilidades, el plan de seguridad se encarga de arreglar o tratar de evitar todos los riesgos que puedan afectar a los activos.
¿Como arreglar los bugs de seguridad de los activos? - Eso depende del conocimiento que el SysAdmin tenga.
SIEMPRE hay varias soluciones para cualquier problema, todo depende del presupuesto que se tenga.
Las principales herramientas para tener asegurada la red son:
IDS - Sistema de detección de intrusos
IPS - Sistema de prevención de intrusos
WAF - Firewall para app WEB.
Firewall - Cortafuegos
Firewall.
Para poder dejar pasar un paquete un firewall analiza:
* IP Origen
* IP Destino
* Puerto origen
* Puerto destino
Cuando un firewall se instala para un solo host de manera ocal, se llama firewall personal. Cuando se instala para proteger toda una red, se llama firewall de red. un firewall solo falla cuando es configurado mal, los errores son fallas humanas y su configuración puede tardar mas o menos un mes.
Cada una de las configuraciones que se le hag al un firewall se lama "rule" o "regla".
Los firewalls (y cualquier dispositivo) se clasifican según su rendimiento, o según las funciones que soportan.
Software para firewall.
Windows.
* ISA Server
* Fore Front
Linux/BSD/Solaris
* Iptables (Netfilter)
* PacketFilter
Solaris
* IPFilter
Los firewalls pueden soportar los usuarios que el hardware pueda atender.
Appliance Firewall
* WatchGuard
* Sonic Wall
* Barracuda
* Astaro
S.O solo para firewall (basados en linux)
* Ipcop
* Endian
* Vyatta
S.O solo para firewall (basados en BSD)
* PFSense
Para que un firewall examine contenido, se necesita instalar un WAF, el cual revisa los paquetes a nivel de aplicación. El IDS puede detectar lo que esta pasando en la red, pero no lo soluciona.El IPS puede detectar lo que pasa en la red, y reacciona para prevenir lo que pasa y tratar de solucionarlo.
IDS + IPS = Windows = fore Front
IDS + IPS = Linux = Snort - Alien Vault OSSIM
IDS + IPS + WAF + PROXY + Firewall = UTM
IDS + IPS + = BSD = PFSense
WAF = Windows = WEBSense
WAF = Linux = OpenWAF - ModSecurity
¿Como arreglar los bugs de seguridad de los activos? - Eso depende del conocimiento que el SysAdmin tenga.
SIEMPRE hay varias soluciones para cualquier problema, todo depende del presupuesto que se tenga.
Las principales herramientas para tener asegurada la red son:
IDS - Sistema de detección de intrusos
IPS - Sistema de prevención de intrusos
WAF - Firewall para app WEB.
Firewall - Cortafuegos
Firewall.
Para poder dejar pasar un paquete un firewall analiza:
* IP Origen
* IP Destino
* Puerto origen
* Puerto destino
Cuando un firewall se instala para un solo host de manera ocal, se llama firewall personal. Cuando se instala para proteger toda una red, se llama firewall de red. un firewall solo falla cuando es configurado mal, los errores son fallas humanas y su configuración puede tardar mas o menos un mes.
Cada una de las configuraciones que se le hag al un firewall se lama "rule" o "regla".
Los firewalls (y cualquier dispositivo) se clasifican según su rendimiento, o según las funciones que soportan.
Software para firewall.
Windows.
* ISA Server
* Fore Front
Linux/BSD/Solaris
* Iptables (Netfilter)
* PacketFilter
Solaris
* IPFilter
Los firewalls pueden soportar los usuarios que el hardware pueda atender.
Appliance Firewall
* WatchGuard
* Sonic Wall
* Barracuda
* Astaro
S.O solo para firewall (basados en linux)
* Ipcop
* Endian
* Vyatta
S.O solo para firewall (basados en BSD)
* PFSense
Para que un firewall examine contenido, se necesita instalar un WAF, el cual revisa los paquetes a nivel de aplicación. El IDS puede detectar lo que esta pasando en la red, pero no lo soluciona.El IPS puede detectar lo que pasa en la red, y reacciona para prevenir lo que pasa y tratar de solucionarlo.
IDS + IPS = Windows = fore Front
IDS + IPS = Linux = Snort - Alien Vault OSSIM
IDS + IPS + WAF + PROXY + Firewall = UTM
IDS + IPS + = BSD = PFSense
WAF = Windows = WEBSense
WAF = Linux = OpenWAF - ModSecurity
Riesgos.
Análisis de vulnerabilidades
Es un termino técnico y consiste en encontrar las vulnerabilidades de un sistema, la persona que hace esto se llama: Ethical Hacker, Analista de vulnerabilidades, Pen Tester. Esta persona para hacer un análisis de vulnerabilidades a unos activos necesita el conocimiento, tools, hardware, software, personas.
Hay dos clases de análisis:
* Interno con acceso: Con los permisos que tienen los empleados, que daños se pueden hacer.
* Interno sin acceso: Sin ningún permiso que daños se pueden hacer.
* Externo con acceso: Desde afuera de la organización, con permisos, que daños se pueden hacer.
* Externo sin acceso: Desde afuera de la organización, sin permisos, que daños se pueden hacer.
Los modos de análisis se definen como:
* Whitebox: Auditoria cuando al analista se le da toda la información e la red, planos, usuarios, passwords.
* Graybox: Auditoria en la cual al analista se le da parte de la información.
* Blackbox: Auditoria donde al analista no se le da información.
Lo mas aconsejable es realizar un análisis contra un sistema en producción, siempre realizando copias de los activos mas críticos.
Análisis de vulnerabilidades.
* Enumeración: reconocer los dispositivos de la red, nmap (puertos y servicios), lanmap (realiza un mapa de la red)
Base de datos de vulnerabilidades:
* CVE
* Exploit-DB
* Bugtrack-ID
Para analizar vulnerabilidades de forma automática se puede usar:
* OpenVas
* Nessus
* Canvas
* CoreImpact
La función del SysAdmin, es tener controlados, todos los bugs que sean públicos.
Es un termino técnico y consiste en encontrar las vulnerabilidades de un sistema, la persona que hace esto se llama: Ethical Hacker, Analista de vulnerabilidades, Pen Tester. Esta persona para hacer un análisis de vulnerabilidades a unos activos necesita el conocimiento, tools, hardware, software, personas.
Hay dos clases de análisis:
* Interno con acceso: Con los permisos que tienen los empleados, que daños se pueden hacer.
* Interno sin acceso: Sin ningún permiso que daños se pueden hacer.
* Externo con acceso: Desde afuera de la organización, con permisos, que daños se pueden hacer.
* Externo sin acceso: Desde afuera de la organización, sin permisos, que daños se pueden hacer.
Los modos de análisis se definen como:
* Whitebox: Auditoria cuando al analista se le da toda la información e la red, planos, usuarios, passwords.
* Graybox: Auditoria en la cual al analista se le da parte de la información.
* Blackbox: Auditoria donde al analista no se le da información.
Lo mas aconsejable es realizar un análisis contra un sistema en producción, siempre realizando copias de los activos mas críticos.
Análisis de vulnerabilidades.
* Enumeración: reconocer los dispositivos de la red, nmap (puertos y servicios), lanmap (realiza un mapa de la red)
Base de datos de vulnerabilidades:
* CVE
* Exploit-DB
* Bugtrack-ID
Para analizar vulnerabilidades de forma automática se puede usar:
* OpenVas
* Nessus
* Canvas
* CoreImpact
La función del SysAdmin, es tener controlados, todos los bugs que sean públicos.
lunes, 23 de mayo de 2011
Wake-On-LAN
¿Que es?
Wake on lan o WOL es una tecnología mediante la cual se puede prender una computadora de manera remota esto se hace mediante una llamada de software. Este recurso puede implementarse tanto en redes locales LAN o en redes extensa WAN o Internet. Las utilidades que esta tecnología ofrecen son varias se puede utilizar para acceder remotamente a los archivos guardados en un equipo. para encender un servidor Web/FTP o simplemente por pura vagancia.
¿Cómo funciona básicamente?
La tarjeta de red se queda dormida mientras que el PC esta apagado completamente.Un software envía una señal al PC y a la tarjeta de red que esta conectada a la placa base, esto lo que hace es encender el PC se debe tener en cuenta que es proceso solo sirve para prender un PC no para apagarlo. en sistemas Linux pasa algo bastante raro y es que WOL solo sirve si el equipo esta en hibernacion. A continuación le mostrare los comandos que utiliza normalmente WOL en Linux
¿Cómo se usa?
Este procedimiento se hará desde un Ubuntu 11.04 para que puedas prender el host antes del procedimiento debes acceder a este y mirar su
1. Sera mirar si tu host soporta WOL, si este lo soporta debes hacer los siguiente ir a la BIOS de tu host y en la sección de Power management habilitar wake on lan.
2. Ir a la maquina que utilizaras para encender la otra allí debes instalar el paquete que se encargara de enviar al "paquete mágico"
El siguiente procedimineto se utiliza para un Windows
1. Primero se conecta la tarjeta de red a la placa base por medio de un cable WOL. se deben tener en cuenta que la tarjeta de red y la placa base deben estar preparadas o servir para esta tecnología. Cabe decir que este tipo de cable viene por lo general incluido en las tarjetas de red. Para que sepas exactamente donde debes conectar el cable debes mirar los manuales de los dispositivos.
1. Sera mirar si tu host soporta WOL, si este lo soporta debes hacer los siguiente ir a la BIOS de tu host y en la sección de Power management habilitar wake on lan.
2. Ir a la maquina que utilizaras para encender la otra allí debes instalar el paquete que se encargara de enviar al "paquete mágico"
- apt-get install etherwake
- etherwake 00:00:00:00:00
El siguiente procedimineto se utiliza para un Windows
1. Primero se conecta la tarjeta de red a la placa base por medio de un cable WOL. se deben tener en cuenta que la tarjeta de red y la placa base deben estar preparadas o servir para esta tecnología. Cabe decir que este tipo de cable viene por lo general incluido en las tarjetas de red. Para que sepas exactamente donde debes conectar el cable debes mirar los manuales de los dispositivos.
2.- Una vez los hayas conectados, debes ir a la BIOS de tu sistema y habilitarlo esto lo encontraras dentro de la sección de Power management de la BIOS. Para entrar en la BIOS pulsa la tecla Supr después de encender el PC.
3.- Ahora necesitas un software que envié una señal que encienda el PC apagado. Supongo que habrá muchísimos, En el PC que vamos a encender no hace falta instalar ningún software, este es para el PC de la LAN desde el cual vamos a encender el otro PC (el que envía la señal).
3.- Ahora necesitas un software que envié una señal que encienda el PC apagado. Supongo que habrá muchísimos, En el PC que vamos a encender no hace falta instalar ningún software, este es para el PC de la LAN desde el cual vamos a encender el otro PC (el que envía la señal).
4.- Antes de todo una cosa. Un PC en una LAN tiene una dirección IP (ejemplo 192.168.10.2) y una máscara de red (habitualmente 255.255.255.0). Pero en realidad cada tarjeta de Red tiene una dirección hardware llamadas MAC (ejemplo 00-05-04-37-F6-1a). Esta dirección no se puede cambiar y es única para cada tarjeta de red. Esta es la que vamos a utilizar por eso busca la del PC que quieres prender.
5.- Manejar el programa escogido en el punto 3. Ya tenemos la MAC del PC que vamos a encender. Consiste en un archivo LANStartCMD.exe que se ejecuta en una ventanilla tipo MS-DOS Se usa así: LANStartCMD.exe por ejemplo: LANStartCMD.exe 00-05-04-37-F6-1a, escribiendo eso se debería encender el PC. Pero como en el archivo .zip hay un start.bat este lo editaremos lo que harás sera dale clic derecho editar y ahi sustituir la dirección MAC que trae por defecto por la nuestra después de eso no tienes que hacer nada mas solo dale doble clic y el PC encenderá.
Información tomada de http://www.configurarequipos.com
Información tomada de http://www.configurarequipos.com
Port-Knocking en BackTrack
Es un metodo para abrir puertos desde un host remoto en un firewall mediante una secuencia de intentos de conexión a puertos que debe establecer con anterioridad que se encuentran cerrados. Cuando esta secuencia de “golpes” a los puertos es coincidente con el orden establecido, las reglas del firewall se modifican para permitir al host que introdujo la secuencia conectarse a un host predeterminado.
Este metodo es usado como un nivel de seguridad, ya que se evita el escaneo de puertos por parte de un intruso, ya que estos puertos solo se abren mediante una secuencia de “golpes”, normalmente se encuentran cerrados.
Implementar Port-Knocking es bastante facil, para este procedimiento usare dos maquinas virtuales de backtrack y se deben seguir estos pasos.
* Intalar tanto en el servidor como en el cliente el demonio para el Port-Knocking con el comando apt-get install knockd
* Vamos a editar los archivos /etc/default/knockd
* En este archivo, cambiaremos el 0 por un 1, para que el demonio se inicie automáticamente; y ademas estableceremos la intefaz por la cual el demonio escuchara. (En las dos maquinas)
* En el servidor, estableceremos la secuencia de “golpes” para abrir o cerrar un puerto determinado, ademas del protocolo con el que se deben ejecutar estos golpes.
* Reiniciamos el servicio en ambas maquinas.
/etc/init.d/knockd restart
* Como este procedimiento lo estoy realizando desde maquinas virtuales, configurare las maquinas en red interna.
* Realizamos un escaneo de puertos desde el cliente al servidor, para verificar que el puerto ssh se encuentre cerrado.
* Realizamos el correspondiente “golpeteo” de puertos.
* Verificamos que el puerto haya sido abierto exitosamente.
Con esto el host desde el cual se hizo el Port-Knocking, estara habilitado para conectarse al servidor por el puerto 22 (ssh).
Rsync
¿Que harías si un día cualqiera tuvieras que realizar un backup de una gran cantidad de información por la red, y al día siguiente, modificaras una parte de esta?
¿Como harías el backup de nuevo?
¿ Transferirías de nuevo toda la información?
La respuesta es “NO”
Existe un protocolo llamado rsync, desarrollado por Wayne Davidson desde 1996 (su version mas reciente es 3.0.8), bajo licenciamiento GNU y multi-plataforma.
Este protocolo ofrece una transmisión de datos de forma incremental, incluyendo datos comprimidos y cifrados. Para sincronizar archivos y directorios este protocolo utiliza una tecnica de delta encoding. Este protocolo escucha por el puerto TCP 873, sirviendo archivos en el protocolo nativo rsync o via un terminal remoto como RSH o SSH. Para SSH el cliente rsync debe ser instalado en el host local y remoto. Para Windows la aplicación de rsync seria cygwin.
SSH con Rsync.
Ejemplo…
Tenemos dos maqunas, una con la ip 192.168.0.20, y de esta queremos copiar la carpeta /var/www, a nuestro host local en /home/binaryminds.
El comando a usar seria:
rsync -axSRzv root@192.168.0.20:/var/www /home/binaryminds
Si volvieramos a realizar la transferencia, solo se copiarían los archivos nuevos o modificados. Si lo que queremos es borrar los archivos en la maquina de origen a medida que transfieren, el comando seria:
rsync -axSRzv –delete-during root@192.168.0.20:/var/www /home/binaryminds
Si quieres borrar los archivos de la maquina origen, excepto un directorio, el comando seria:
rsync -axSRzv –delete-during –exclude=tmp/ root@192.168.0.20:/var/www /home/binaryminds
Fuente:
miércoles, 18 de mayo de 2011
Instalacion de Moodle base de datos Oracle y gestor Zend Server.
En este tutorial se demuestra el proceso de instalación y configuración de Moodle en Windows Server 2008, con base de datos Oracle y gestor Zend Server.
Instalación de Moodle en Windows server 2008 con base de datos en Oracle y gestor Zend Server
http://es.scribd.com/doc/55776772/Instalacion-de-Moodle-en-Windows-server-2008-con-base-de-datos-en-Oracle-y-gestor-Zend-Server
Instalación de Moodle en Windows server 2008 con base de datos en Oracle y gestor Zend Server
http://es.scribd.com/doc/55776772/Instalacion-de-Moodle-en-Windows-server-2008-con-base-de-datos-en-Oracle-y-gestor-Zend-Server
viernes, 13 de mayo de 2011
Algunos términos de interés.
En medio de mi formación, he ido recolectando algunas palabras, que tienen que ver con el entorno de redes y tecnología Así que aquí intento hacer un breve resumen de ellos.
CEO (Chief Executive Officer)
Es la máxima autoridad en lo que se refiere a gestión y dirección administrativa en una empresa, organización o institución por estas razones es quien tiene mas responsabilidad dentro de suentorno (por ende es a quien mejor le pagan). Para llegar a ser un CEO, se debe tener en cuenta:
* Evitar trabajos "staff", buscar los trabajos de ascenso rápido.
* Conseguir y retener clientes.
* Mantenerse en buen estado físico.
* Nunca enviar un memo agravante o fuera de tono.
* Tener a mano un libro d ideas.
* Recordar los nombres propios de las personas de la empresa.
* Hacer siempre una llamada mas.
* Llegar 30 minutos antes.
* Identificar cual es la cultura del top management.
En las empresas pequeñas, casi siempre el cargo de presidencia y de CEO, están sobre la misma persona; Pero en las grandes corporaciones el presidente se encarga del gobierno corporativo, y el CEO es quien encabeza la fase operativa de la empresa.
http://www.madeinweb.com.ar/detalle.asp?codigo=info141263
CISO (Chief Information Security Officer)
El 80% de los ataques a empresas son causados por errores humanos, ademas el volumen de información que las empresas generan están creciendo bastante rápido, siendo este unos de los activos principales a proteger. Es por esta razón que las empresas se han visto obligadas a crear el cargo de CISO, o sea una persona encargada de llevar a cabo las políticas necesarias para proteger la empresa de ataques. El campo de acción de un CISO se enfoca en garantizar que la información de la empresa siempre se mantenga fidedigna y accesible por los miembros de una empresa.
Las funciones principales de un CISO se resumen en:* Concientización de usuarios internos y externos
* Análisis de riesgos de negocio y tecnológicos
* Business continuity plan
* Administración de seguridad
* Control pro-activo
* Monitoreo y reporting
* Análisis de normativas y regulaciones
* Definición de normativas internas
* Seguridad física de centros de cómputos
* Análisis de contingencias legales, forensics
* Capacitación / actualización permanente
* Gestión de mejoras en procesos
* Sistema disciplinario junto a rr.hh.
* Administración del área
* Análisis de riesgos en nuevas tecnologías
* Certificar
* Integración con gestión de ti
* Interacción con gerentes y usuarios diariamente
* Justificación del presupuesto
* Soporte a terceros
Ciclo PHVA (Planear, Hacer, Verificar, Actuar)
También llamado ciclo de Deming, en honor a su inventor en 1950. Es común usar esta metodología en la implementación de un sistema de gestión de la calidad, de tal manera que al aplicarla en la política y objetivos de calidad así como la red de procesos la probabilidad de éxito sea mayor. Este ciclo se podria sintetizar en:
Planear Es establecer los objetivos y procesos necesarios para conseguir resultados de acuerdo con los requisitos del cliente y las políticas de la organización:
1. Identificar servicios2. Identificar clientes
3. Identificar requerimientos de los clientes
4. Trasladar los requerimientos del cliente a especificaciones
5. Identificar los pasos claves del proceso
6. Identificar y seleccionar los parámetros de medición
7. Determinar la capacidad del proceso
8. Identificar con quien compararse (benchmarks)
Hacer
* Implementación de los procesos.
* Identificar oportunidades de mejora
*Desarrollo del plan piloto
*Implementar las mejoras
* Implementación de los procesos.
* Identificar oportunidades de mejora
*Desarrollo del plan piloto
*Implementar las mejoras
Verificar
Realizar el seguimiento y medir los procesos y los productos contra las políticas, los objetivos y los requisitos del producto e informar sobre los resultados.
Actuar
Tomar acciones para mejorar continuamente el desarrollo de los procesos, institucionalizar la mejora y-o volver al paso de hacer
SGSI (Sistema de Gestion de Seguridad de la Información
Este vídeo no es mio, pero explica el termino demasiado bien.
http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/
XEN
Software de virtualización, que permite emular sistemas operativos virtuales dentro de la maquina real, su principal ventaja es que permite agregar dispositivos en caliente (incluyendo de migracion de maquinas virtuales en caliente), con soporte para arquitecturas x86 (32 y 64 bits). Una de los aspectos mas atractivos que ofreve XEN es su servicio de para-virtualización, es decir, bajar las penalizaciones de rendimiento del rendimiento, a un 2% en la mayoria de los casos, o en los peores casos hasta un 8%.
http://www.danielcoletti.com.ar/2006/11/13/virtualizacion-con-xen/http://www.whyfloss.com/pages/conference/static/editions/bsas07/charla10.pdf
http://es.wikipedia.org/wiki/Xen
OpenStack
Proyecto liderado por RackSpace, que consiste en un servicio de cloud , bajo la licencia apache 2.0.
http://www.openstack.org/Script Kiddie
Es un término despectivo utilizado para describir a aquellos que utilizan programas y scripts desarrollados por otros para atacar sistemas de computadoras y redes. Es habitual asumir que los script kiddies son adolescentes sin habilidad para programar sus propios exploits y que su objetivo es intentar impresionar a sus amigos o ganar reputación en comunidades de entusiastas de la informática. Suelen tener intenciones maliciosas.
http://es.wikipedia.org/wiki/Script_KiddieIDS (Sistema de Deteccion de Intrusos)
Software para detectar accesos no autorizados a un computador, o a una red. Este software suele apoyarse de sniffers de red. Hay dos tipos de IDS:
* HIDS: el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades.
* NIDS: un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
HoneyPots
Software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.
http://es.wikipedia.org/wiki/Honeypot0Day
Es la denominación que se le tienen las releases (releases son los lanzamientos, osea cuando ponen un programa crackeado o en su defecto solo el crack para un programa disponible para descargar.
Estas releases 0day o 0-day (cero día) significa que son programas que son crackeados el mismo día en que son sacados por los autores, o son cracks o programas que recién han salido a la luz. 0day o 0-day significa lo último disponible, lo más nuevo.
Estas releases 0day o 0-day (cero día) significa que son programas que son crackeados el mismo día en que son sacados por los autores, o son cracks o programas que recién han salido a la luz. 0day o 0-day significa lo último disponible, lo más nuevo.
Un ataque de día-cero (o también 0day) es un ataque contra una computadora, basado en encontrar vulnerabilidades aún desconocidas en las aplicaciones informaticas. Este tipo de exploit circula generalmente entre las filas de los potenciales atacantes hasta que finalmente es publicado en foros públicos. Un exploit de día-cero normalmente es desconocido para la gente y el fabricante del producto.. Un ataque de día cero se considera uno de los más peligrosos instrumentos de una guerra informática.
http://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cerohttp://www.taringa.net/posts/info/1149886/_-Que-es-un-0-Day---Para-quien-no-lo-sepa-_.html
domingo, 8 de mayo de 2011
Reto hydra.
En medio de mi proceso de formación, un profesor nos puso un reto a nuestras habilidades, cabe mencionar que es fácil ya que apenas estoy empezando mi aprendizaje en seguridad informática, el reto consistía en "invadir" un servidor preparado con anterioridad y buscar una clave que estaba contenida en el directorio /tmp.
Para este reto se habían designado unas pistas
* Ejemplos de username: usuario1, usuario2, usuario3.
* Password de los usuarios: Es una cifra que esta entre 0 - 10000
* Servidor SSH, WEB y FTP configurados.
NOTA: Cabe anotar que este reto es realizado con fines netamente académicos.
NOTA1: Para que el hydra funcione correctamente, se debe contar con un diccionario de palabras (documento de texto), ya que este software trabaja usando coincidencias entre los usuarios y contraseñas que estos diccionarios contengan.
Para la exitosa culminación de este ejercicio, necesitaremos una maquina (en mi caso lo hice desde una maquina virtual) con backtrack, el software hydra, y un cliete ssh.
1. Desde una consola ingresamos xhydra, para inicializar el entorno gráfico del hydra.
2. Seleccionamos el target. En este caso sera el servidor previamente preparado.
3. Configuramos el usuario y l contraseña. En este caso usare username: usuario1 - password list:(diccionario de números de 0 - 10000).
4. Iniciamos el "ataque" mediante el hydra. Cuando el hydra encuentre una coincidencia entre usuario y contraseña, arrojara un resultado así.
En este caso el username: usuario1 - password: 7865.
5. Desde una consola ingresamos ssh usuario1@ipdelservidor. Ademas cuando nos sea pedido, ingresamos el password que nos arrojo el hydra.
6. Si la información ingresada es correcta, deberiamos ingresar de forma remota (SSH) al servidor. Luego de esto, sería solo dirigirnos al directorio /tmp y buscar el archivo que contiene la contraseña que buscamos.
7. Con el comando "cat" miramos lo que este archivo contiene.
LOIC en Ubuntu - Debian - Fedora.
Es una aplicación que mide la resistencia de una red informática, realizando algo que se llama ataques de denegación de servicio enviando una gran cantidad de paquetes TCP, UDP o peticiones HTTP, con el fin de determinar cuantas peticiones por segundo puede resolver la red antes de dejar de funcionar.
Para configurar esta aplicación simplemente desde tu editor de texto favorito debes ingresar esto:
#!/bin/bash
# Copyfuck © 2010 q
#
# This script installs, updates and runs LOIC on Linux.
#
# Supported distributions:
# * Ubuntu / Debian
# * Fedora
#
# Usage: bash install_loic.bash
###COLOURS###
txt_bld=$(tput bold)
bld_red=${txt_bld}$(tput setaf 1)
col_rst=$(tput sgr0)
###GLOBALS###
GIT_REPO=https://github.com/NewEraCracker/LOIC.git
GIT_BRANCH=master
###FUNCTIONS###
ensure_git() #Checks if git is installed, Tries to install it if not
{
type -P git &>/dev/null ||
{
echo -e "${bld_red}Git not found! Attempting to install...${col_rst}"
if [ -f /etc/lsb-release ] ; then
sudo apt-get install git
elif [ -f /etc/fedora-release ] ; then
sudo yum install git
elif [ -f /etc/debian_version ] ; then
sudo apt-get install git
fi
}
}
is_loic_git()
{
[[ -d .git ]] && grep -q LOIC .git/config
}
is_loic() {
is_loic_git ||
{
[[ -d LOIC ]] && cd LOIC && is_loic_git
}
}
get_loic() {
ensure_git
if ! is_loic ; then
git init
git clone $GIT_REPO -b $GIT_BRANCH
fi
}
compile_loic() {
get_loic
if ! is_loic ; then
echo -e "${bld_red}Error: You are not in a LOIC repository.${col_rst}"
exit 1
else
if [ -f /etc/lsb-release ] ; then
echo -e "${bld_red}monodevelop and liblog4net-cil-dev not found! Attempting to install...${col_rst}"
sudo apt-get install monodevelop liblog4net-cil-dev
elif [ -f /etc/fedora-release ] ; then
echo -e "${bld_red}mono-basic, mono-devel, monodevelop and mono-tools not found! Attempting to install...${col_rst}"
sudo yum install mono-basic mono-devel monodevelop mono-tools
elif [ -f /etc/debian_version ] ; then
echo -e "${bld_red}monodevelop and liblog4net-cil-dev not found! Attempting to install...${col_rst}"
sudo apt-get install monodevelop liblog4net-cil-dev
fi
fi
mdtool build
}
run_loic() {
is_loic
if [[ ! -e bin/Debug/LOIC.exe ]] ; then
compile_loic
fi
type -P mono &>/dev/null ||
{
echo -e "${bld_red}mono-runtime not found! Attempting to install...${col_rst}"
if [ -f /etc/lsb-release ] ; then
sudo apt-get install mono-runtime
elif [ -f /etc/fedora-release ] ; then
sudo yum install mono-runtime
elif [ -f /etc/debian_version ] ; then
sudo apt-get install mono-runtime
fi
}
mono bin/Debug/LOIC.exe
}
update_loic() {
ensure_git
if is_loic ; then
git pull --rebase
compile_loic
else
echo -e "${bld_red}Error: You are not in a LOIC repository.${col_rst}"
fi
}
case $1 in
install)
compile_loic
;;
update)
update_loic
;;
run)
run_loic
;;
*)
echo "Usage: $0 "
;;
esac
Este archivo debe ser guardado de la siguiente manera nombredelarchivo.sh (la extensión .sh se debe a que este archivo usa lenguaje bash)
Ahora desde una terminal, debemos darle los permisos para poder ejecutarlo.
chmod 777 nombredelarchivo.sh
Lo instalamos
./nombredelarchivo.sh install
Lo corremos
./nombredelarchivo.sh run
Esta herramienta me es muy útil, ya que con ella puedo medir la eficiencia de los servidores que comúnmente configuro dentro de mi formación académica.
Directivas de grupo en Windows Server 2008.
En este tutorial vamos a aprender como aplicar algunas directivas de grupo básicas en Windows server 2008.
Para realizar este procedimiento, primero vamos a crear usuarios y grupos para la práctica.
Grupo: Killers
Carlos
Manuel
Grupo: Timers
Bruno
Benji
Inicio – Herramientas Administrativas – Administrador de Equipos – Herramientas del sistema – Usuario y Grupos Locales.
En esta ventana podemos crear los usuarios y los grupos locales de una manera muy fácil, simplemente damos doble clic en la carpeta que dice lo que queremos hacer (crear usuarios o grupos locales), clic derecho dentro de esta carpeta y crear nuevo usuario o grupo, y rellenar los campos requeridos.
En la opción de la categoría “crear usuarios” seleccionamos la opción que nos dice “el usuario deberá cambiar la contraseña la próxima vez que inicie sesión”.
Ahora vamos a explicar el procedimiento para aplicar algunas directivas de grupo básicas.
NOTA: Todas estas directivas se configuraran en el “gpedit.msc”, el cual se escribe en “Ejecutar” del menú “inicio”.
Vigencia de la contraseña:
Esta opción se configura en: Configuración del equipo – Directivas de cuenta – Directivas de contraseña – Vigencia máxima de la contraseña. En este caso la configuraremos de 15 días de vigencia.
Requisitos de complejidad mínimos de Windows Server 2008.
Estos requisitos vienen activados por defecto, son:
No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos.
Tener una longitud mínima de seis caracteres
Incluir caracteres de tres de las siguientes categorías:
Mayúsculas (de la A a la Z)
Minúsculas (de la a a la z)
Dígitos de base 10 (del 0 al 9)
Caracteres no alfanuméricos (por ejemplo !, $, #, %)
Estos requisitos de complejidad se exigen al cambiar o crear contraseñas.
Historial de contraseñas
Se configura en la siguiente ruta: Configuración del equipo – Directivas de cuenta – Directivas de contraseña – Exigir historial de contraseñas. Se configurara en 2.
Apagar la maquina según el grupo
Se configura en la siguiente ruta: Configuración del equipo – Configuración de Windows – Configuración de seguridad – Directivas Locales – Asignación de derechos de usuario – Apagar el sistema
En esta pestaña se introducirán los nombres o los grupos que tienen permiso de apagar el equipo.
Cambiar la hora de la maquina según el usuario y el grupo.
Se configura en la siguiente ruta: Configuración del equipo – Configuración de Windows – Configuración de seguridad – Directivas Locales – Asignación de derechos de usuario – Cambiar la hora del sistema.
En esta pestaña agregaremos los usuarios o grupos que están habilitados para cambiar la hora del sistema.
Restricciones del Internet Explorer para todos los usuarios
Eliminar el historial de navegación deshabilitado:
Se configura en la siguiente ruta Configuración de equipo – Plantillas Administrativas – Internet Explorer – Desactivar la funcionalidad “Eliminar el historial de exploración”. Simplemente la desactivaremos.
Mismo proxy:
Se configura en Configuración del equipo – Componentes de Windows – Internet Explorer – Configuración de proxy por equipo y no por usuario. La habilitamos. Luego vamos a Configuración de usuario – Configuración de Windows – Mantenimiento de Internet Explorer – conexión – Configuración de los servidores Proxy. En este caso el proxy será 172,20,49,5:80.
Configuración del historial deshabilitada:
Se configura desde la ruta configuración del equipo – Plantillas Administrativas – Componentes de Windows – Internet Explorer – Panel de Control Internet – Deshabilitar la pagina general.
Directivas de seguridad deshabilitadas:
Se configura desde la ruta Configuración del equipo – Plantillas Administrativas – Componentes de Windows – Internet Explorer – Panel de Control Internet – Deshabilitar la pagina seguridad.
Deshabilitar la ventana emergente de reproducción automática.
Se configura desde la ruta Configuración del equipo – Plantillas Administrativas – Componentes de Windows – Directivas de reproducción automática – Desactivar Reproducción automática.
Apagado remoto deshabilitado.
Se configura en: Configuración del equipo – Plantillas Administrativas – Componentes de Windows – Opciones de apagado – Desactivar Interfaz de apagado remoto heredada.
Cuota de disco.
Se configura en: Configuración del equipo – Plantillas administrativas – Sistema – Cuotas de disco.
En esta pestaña se pueden configurar las diferentes opciones para la cuota de disco.
DIRECTIVAS DE CONFIGURACIÓN DE USUARIO.
Pagina de inicio del navegador
Se configura en: Configuración de usuario – Configuración de Windows – Mantenimiento de Internet Explorer – Direcciones URL – Personalizar URL de la pagina principal.
Restricción de páginas WEB.
Se configura en: Configuración de usuario – Configuración de Windows – Mantenimiento de Internet Explorer – Seguridad – Clasificación de contenidos (Importar la configuración actual de restricciones de contenido) – General (cambiamos la contraseña del supervisor) – Sitios aprobados (ingresamos el sitio WEB a denegar) – clic en “NUNCA”.
Ocultar la unidad C:\
Se configura en: Configuración de usuario – Plantillas Administrativas – Componentes de Windows – Explorador de Windows – Impedir acceso a las unidades desde “Mi PC”.
Eliminar la opción “Opciones de carpeta” del menú “Herramientas”.
Se configura en: Configuración de usuario – Plantillas Administrativas – Componentes de Windows – Explorador de Windows – Quita el menú opciones de carpeta del menú Herramientas.
Limitar tamaño de la papelera de reciclaje.
Se configura en: Configuración de usuario – Plantillas Administrativas – Componentes de Windows – Explorador de Windows – Tamaño de la papelera de reciclaje.
No permitir que se ejecute Messenger.
Se configura en: Configuración de usuario – Plantillas Administrativas – Sistema – No ejecutar aplicaciones de Windows especificadas – msnmsgr.exe.
Ocultar elementos del escritorio para los usuarios.
Se configura en: Configuración de usuario – Plantillas Administrativas – Escritorio – Ocultar y deshabilitar todos los elementos del escritorio.
Bloquear Barra de tareas.
Se configura en: Configuración de usuario – Plantillas Administrativas – Escritorio – Menú Inicio y barra de tareas – Bloquear barra de tareas.
Acceso de lecto-escritura a medios extraíbles- denegado
Se configura en: Configuración de usuario – Plantillas Administrativas -Sistema – Acceso de almacenamiento extraíble – Discos extraíbles: Denegar el acceso de escritura – Discos extraíbles: Denegar el acceso de lectura.
Para realizar este procedimiento, primero vamos a crear usuarios y grupos para la práctica.
Grupo: Killers
Carlos
Manuel
Grupo: Timers
Bruno
Benji
Inicio – Herramientas Administrativas – Administrador de Equipos – Herramientas del sistema – Usuario y Grupos Locales.
En esta ventana podemos crear los usuarios y los grupos locales de una manera muy fácil, simplemente damos doble clic en la carpeta que dice lo que queremos hacer (crear usuarios o grupos locales), clic derecho dentro de esta carpeta y crear nuevo usuario o grupo, y rellenar los campos requeridos.
En la opción de la categoría “crear usuarios” seleccionamos la opción que nos dice “el usuario deberá cambiar la contraseña la próxima vez que inicie sesión”.
Ahora vamos a explicar el procedimiento para aplicar algunas directivas de grupo básicas.
NOTA: Todas estas directivas se configuraran en el “gpedit.msc”, el cual se escribe en “Ejecutar” del menú “inicio”.
Vigencia de la contraseña:
Esta opción se configura en: Configuración del equipo – Directivas de cuenta – Directivas de contraseña – Vigencia máxima de la contraseña. En este caso la configuraremos de 15 días de vigencia.
Requisitos de complejidad mínimos de Windows Server 2008.
Estos requisitos vienen activados por defecto, son:
No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos.
Tener una longitud mínima de seis caracteres
Incluir caracteres de tres de las siguientes categorías:
Mayúsculas (de la A a la Z)
Minúsculas (de la a a la z)
Dígitos de base 10 (del 0 al 9)
Caracteres no alfanuméricos (por ejemplo !, $, #, %)
Estos requisitos de complejidad se exigen al cambiar o crear contraseñas.
Historial de contraseñas
Se configura en la siguiente ruta: Configuración del equipo – Directivas de cuenta – Directivas de contraseña – Exigir historial de contraseñas. Se configurara en 2.
Apagar la maquina según el grupo
Se configura en la siguiente ruta: Configuración del equipo – Configuración de Windows – Configuración de seguridad – Directivas Locales – Asignación de derechos de usuario – Apagar el sistema
En esta pestaña se introducirán los nombres o los grupos que tienen permiso de apagar el equipo.
Cambiar la hora de la maquina según el usuario y el grupo.
Se configura en la siguiente ruta: Configuración del equipo – Configuración de Windows – Configuración de seguridad – Directivas Locales – Asignación de derechos de usuario – Cambiar la hora del sistema.
En esta pestaña agregaremos los usuarios o grupos que están habilitados para cambiar la hora del sistema.
Restricciones del Internet Explorer para todos los usuarios
Eliminar el historial de navegación deshabilitado:
Se configura en la siguiente ruta Configuración de equipo – Plantillas Administrativas – Internet Explorer – Desactivar la funcionalidad “Eliminar el historial de exploración”. Simplemente la desactivaremos.
Mismo proxy:
Se configura en Configuración del equipo – Componentes de Windows – Internet Explorer – Configuración de proxy por equipo y no por usuario. La habilitamos. Luego vamos a Configuración de usuario – Configuración de Windows – Mantenimiento de Internet Explorer – conexión – Configuración de los servidores Proxy. En este caso el proxy será 172,20,49,5:80.
Configuración del historial deshabilitada:
Se configura desde la ruta configuración del equipo – Plantillas Administrativas – Componentes de Windows – Internet Explorer – Panel de Control Internet – Deshabilitar la pagina general.
Directivas de seguridad deshabilitadas:
Se configura desde la ruta Configuración del equipo – Plantillas Administrativas – Componentes de Windows – Internet Explorer – Panel de Control Internet – Deshabilitar la pagina seguridad.
Deshabilitar la ventana emergente de reproducción automática.
Se configura desde la ruta Configuración del equipo – Plantillas Administrativas – Componentes de Windows – Directivas de reproducción automática – Desactivar Reproducción automática.
Apagado remoto deshabilitado.
Se configura en: Configuración del equipo – Plantillas Administrativas – Componentes de Windows – Opciones de apagado – Desactivar Interfaz de apagado remoto heredada.
Cuota de disco.
Se configura en: Configuración del equipo – Plantillas administrativas – Sistema – Cuotas de disco.
En esta pestaña se pueden configurar las diferentes opciones para la cuota de disco.
DIRECTIVAS DE CONFIGURACIÓN DE USUARIO.
Pagina de inicio del navegador
Se configura en: Configuración de usuario – Configuración de Windows – Mantenimiento de Internet Explorer – Direcciones URL – Personalizar URL de la pagina principal.
Restricción de páginas WEB.
Se configura en: Configuración de usuario – Configuración de Windows – Mantenimiento de Internet Explorer – Seguridad – Clasificación de contenidos (Importar la configuración actual de restricciones de contenido) – General (cambiamos la contraseña del supervisor) – Sitios aprobados (ingresamos el sitio WEB a denegar) – clic en “NUNCA”.
Ocultar la unidad C:\
Se configura en: Configuración de usuario – Plantillas Administrativas – Componentes de Windows – Explorador de Windows – Impedir acceso a las unidades desde “Mi PC”.
Eliminar la opción “Opciones de carpeta” del menú “Herramientas”.
Se configura en: Configuración de usuario – Plantillas Administrativas – Componentes de Windows – Explorador de Windows – Quita el menú opciones de carpeta del menú Herramientas.
Limitar tamaño de la papelera de reciclaje.
Se configura en: Configuración de usuario – Plantillas Administrativas – Componentes de Windows – Explorador de Windows – Tamaño de la papelera de reciclaje.
No permitir que se ejecute Messenger.
Se configura en: Configuración de usuario – Plantillas Administrativas – Sistema – No ejecutar aplicaciones de Windows especificadas – msnmsgr.exe.
Ocultar elementos del escritorio para los usuarios.
Se configura en: Configuración de usuario – Plantillas Administrativas – Escritorio – Ocultar y deshabilitar todos los elementos del escritorio.
Bloquear Barra de tareas.
Se configura en: Configuración de usuario – Plantillas Administrativas – Escritorio – Menú Inicio y barra de tareas – Bloquear barra de tareas.
Acceso de lecto-escritura a medios extraíbles- denegado
Se configura en: Configuración de usuario – Plantillas Administrativas -Sistema – Acceso de almacenamiento extraíble – Discos extraíbles: Denegar el acceso de escritura – Discos extraíbles: Denegar el acceso de lectura.
Cluster SSH
En este tutorial se explicara como configurar un cluster SSH con tres maquinas en Debian Lenny.
Tutorial de Clúster SSH en Debian Lenny
Tutorial de Clúster SSH en Debian Lenny
Repositorios Debian Lenny.
Primero que todo debemos estar en modo root.
su -
su -
En el archivo /etc/apt/sources.list ingresamos al final esto:
#Repositorios oficiales:
deb http://ftp.es.debian.org/debian lenny main contrib non-free
deb-src http://ftp.es.debian.org/debian lenny main contrib non-free
#Repositorios de seguridad:
#Repositorios de seguridad:
deb http://security.debian.org/ lenny/updates main contrib
deb-src http://security.debian.org/ lenny/updates main contrib
#Repositorios volátiles:
#Repositorios volátiles:
deb http://volatile.debian.org/debian-volatile lenny/volatile main contrib
deb-src http://volatile.debian.org/debian-volatile lenny/volatile main contrib
#Repositorios Multimedia:
#Repositorios Multimedia:
deb http://www.debian-multimedia.org/ lenny main
#Para descargar Xmms
#Para descargar Xmms
deb http://www.pvv.ntnu.no/~knuta/xmms/lenny ./
deb-src http://www.pvv.ntnu.no/~knuta/xmms/lenny ./
Salimos del archivo y procedemos a actualizar el sistema.
apt-get update
apt-get update
Suscribirse a:
Entradas (Atom)