Daboweb

redes

Nueva versión Wireshark 1.4.2

Posted by Destroyer on noviembre 23, 2010
Programas

Se encuentra disponible una nueva versión de Wireshark que soluciona diferentes vulnerabilidades de versiones anteriores.

Vulnerabilidades en versiones 1.4.1 y anteriores que bajo determinadas circunstancias, podrían ser explotadas, por lo que se recomienda actualizar a la nueva versión 1.4.2.

Para quienes no conozcáis Whireshark, os comento que es un potente software (libre) analizador de protocolos y capturador de paquetes para filtrar y analizar el tráfico de una red pudiendo actuar en conjunto con muchos otros programas.

Whireshark es muy utilizado por administradores de redes y antiguamente se denominaba Ethereal, estando disponible para GNU/linux, Windows, Solaris, Mac OS X, FreeBSD, NetBSD, OpenBSD o Mac OS X.

Sus funciones son similares a las de tcpdump sólo que añade una intuitiva capa gráfica para su uso.

# Descargar Wireshark 1.4.2.

Tags: , , , , , , , ,

[Breves] Enlazando —> “con seguridad”

Posted by Dabo on noviembre 21, 2010
[Breves], Seguridad Informática

En ocasiones, leo artículos sobre Seguridad Informática que despiertan mi interés y por cuestiones de tiempo, a veces no puedes recomendar tanto como te gustaría.

En estas recopilaciones de enlaces a otras webs relacionadas con un temática similar a la nuestra, simplemente pretendo compartir lecturas que me han resultado interesantes, esperando que también lo sean para vosotros.

# Sergio Hernando y el trabajo con imágenes forenses fragmentadas.

# Security By Default habla sobre un futuro incierto en la industria de los antivirus.

# Chema Alonso se preocupa (como yo) por inminentes cambios legales en materia de seguridad.

# Javier Cao nos informa de que ya está disponible el nº 28 de (IN)Secure Magazine.

# Seguridad y Redes, nuestro Alfon sigue filtrando “frames” con Wireshark / Tshark.

# Hispasec revela un dato preocupante sobre el crecimiento de las “botnets” controladas vía web

# Alberto Ortega ha liberado la versión 1.4 de PenTBox, app de seguridad esencial para mi.

Por David Hernández (Dabo).

Tags: , , , , , , ,

Herramientas para la interpretación de capturas de red. (5/10)

Posted by Alfon on octubre 21, 2010
Seguridad Informática

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4

Estadísticas en Tshark II Parte.

Seguimos con las estádisticas.

Arbol de destinos

Sintáxis: -z dests,tree,filtro

Nos muestra información de número de paquetes, frames capturados, protocolos usados, puertos y ratios atendiendo al tráfico de destino de hosts. Podemos aplicar filtro:

>tshark -i2 -z dests,tree -q

Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler) 314 packets captured  ===================================================================  IP Destinations        value           rate         percent -------------------------------------------------------------------  IP Destinations         312       0.049781   77.238.187.39            54       0.008616          17.31%    TCP                      54       0.008616         100.00%     7775                      3       0.000479           5.56%     7777                     13       0.002074          24.07%     7782                     23       0.003670          42.59%     7780                     11       0.001755          20.37%     7781                      4       0.000638           7.41%   192.168.1.5             114       0.018189          36.54%    TCP                     112       0.017870          98.25%     80                      112       0.017870         100.00%    UDP                       2       0.000319           1.75%     53                        2       0.000319         100.00%   72.51.46.230            138       0.022019          44.23%    TCP                     138       0.022019         100.00%     7762                     25       0.003989          18.12%     7765                     14       0.002234          10.14%     7766                     12       0.001915           8.70%     7768                     25       0.003989          18.12%     7771                     18       0.002872          13.04%     7772                     44       0.007020          31.88%   192.168.1.245             2       0.000319           0.64%    UDP                       2       0.000319         100.00%     31449                     1       0.000160          50.00%     56364                     1       0.000160          50.00%   74.125.43.100             4       0.000638           1.28%    TCP                       4       0.000638         100.00%     7784                      4       0.000638         100.00%  ===================================================================

Arbol de tipo de puerto

Sintáxis: -z ptype,tree

Nos muestra información de tipo de puerto TCP O UDP:

>tshark -i2 -z ptype,tree -q
Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler)
901 packets captured

===================================================================
 IP Protocol Types        value         rate         percent
-------------------------------------------------------------------
 IP Protocol Types         890       0.016322
  TCP                       815       0.014947          91.57%
  UDP                        67       0.001229           7.53%
  NONE                        8       0.000147           0.90%

===================================================================
 Continue reading...

Tags: , , , , ,

Herramientas para la interpretación de capturas de red. (4/10)

Posted by Alfon on septiembre 17, 2010
Seguridad Informática

En anteriores entregas;

Presentación | Parte 1 | Parte 2 | Parte 3

Estadísticas en Tshark.

La estadísticas en Tshark, nos informarán del uso de la red, protocolos involucrados en las capturas y estádisticas de uso, comunicaciones entre hosts, etc. Además podemos aplicar filtros a las estádisticas, de tal forma que la información obtenida por ellas es altamente personalizable y flexible.

Existe gran variedad de tipos de estádisticas a mostrar por Tshark: protocolos, comunicaciones entre hosts, estádisticas de direcciones de destino, estadísticas SMB, por longitud de paquetes, HTTP, etc y todo ello aplicando intervalos de tiempo para mostrar los resultados y filtros de captura. Se muestra también información de ratios y porcentajes.

El comando que invoca a las estadísticas es -z. vamos a ver, a continuación, los tipos de estádisticas y ejemplos. Si añadimos -q no apareceran las capturas en pantalla, solo las estadisticas tras pulsar Control+C.

Vamos a ver, a continuación, uno por uno los tipos de estádisticas.

Estadísticas de protocolo.

Sintáxis: -z io,stat,intervalo, filtro,filtro,

Nos muestra información de número de paquetes / frames capturados en un intervalo determinado de tiempo. Podemos aplicar un filtro o varios filtros.

Ejemplo sin aplicación de filtro:

>tshark -i2 -nqzio,stat,5
Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler)
3244 packets captured

===================================================================
IO Statistics
Interval: 5.000 secs
Column #0:
                |   Column #0
Time            |frames|  bytes
000.000-005.000      23      8140
005.000-010.000     150     31724
010.000-015.000      96     31060
015.000-020.000      78     19897
020.000-025.000      32      5945
025.000-030.000    1212    580278
030.000-035.000     439    209404
035.000-040.000    1170    755060
040.000-045.000       3       174
045.000-050.000       7       408
050.000-055.000      15      1112
055.000-060.000       2       126
060.000-065.000       2       120
065.000-070.000       4       278
070.000-075.000       0         0
075.000-080.000       3       404
080.000-085.000       2       120
085.000-090.000       6       336
===================================================================

 Continue reading...

Tags: , , , , ,

Herramientas para la interpretación de capturas de red. (3/10)

Posted by Alfon on julio 30, 2010
Seguridad Informática

Ya vimos en la primera parte de esta serie dedicada a Herramientas para la interpretación de capturas de red, el uso de Windump y TCPDump y la primera parte de la creación y establecimiento de filtros .pcap.

En la segunda hemos avanzado bastante en los filtros e interpretadas algunas capturas. Seguimos ahora con la  herramienta de captura Tshark. Los comandos, aplicación de filtros y formateo de datos, preferencias de columnas, etc.

Introducción a Tshark.

Tshark no es otra cosa que la herramienta de captura de tráfico de red Wirehsark pero en línea de comandos. Se sitúa en un nivel intermedio entre  capturadores como Windump o TCPDump y Wireshark que vermos más adelante.

Sin más dilación comenzamos a usar Tshark.

Listamos las interfaces:

[email protected]:~# tshark -D
1. eth0
2. usbmon1 (USB bus number 1)
3. usbmon2 (USB bus number 2)
4. any (Pseudo-device that captures on all interfaces)
5. lo

Ejecutamos Tshark usando la interface eth0:

[email protected]:~# tshark -i1
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
  0.000000  192.168.1.5 -> 82.159.204.86 TCP 6895 > http [FIN, ACK] Seq=1 Ack=1 Win=64167 Len=0
  0.000752 82.159.204.86 -> 192.168.1.5  TCP http > 6895 [ACK] Seq=1 Ack=2 Win=64581 Len=0
  0.462409 Dell_89:85:5b -> Broadcast    ARP Who has 192.168.1.29?  Tell 192.168.1.239
  2.261727 3Com_dd:e9:07 -> Broadcast    ARP Who has 192.168.1.1?  Tell 192.168.1.56
  6.260476 3Com_dd:e9:07 -> Broadcast    ARP Who has 192.168.1.1?  Tell 192.168.1.56
  6.913459 Dell_d3:4f:0c -> Broadcast    ARP Who has 192.168.1.28?  Tell 192.168.1.237
  7.211227 MS-NLB-PhysServer-01_00:00:00:00 -> Broadcast    MS NLB MS NLB heartbeat
^C7 packets captured

Condicionando las capturas:

Podemos condicionar las capturas atendiendo, por ejemplo, a criterios de tiempo o de cantidad de paquetes capturados, haciendo que Tshark finalice la captura cuando deseemos:

  • -c termina la captura hasta n paquetes
  • -aduration n termina la captura hasta n segundos
  • afilesize n termina la captura hasta n Kb. (cuando salvemos a fichero la captura).
  • -afiles n termina la captura hasta n ficheros (en caso de múltiples capturas)

Ejemplos:

  • La captura termina después de 10 segundos: tshark -i1 -aduration:10
  • La captura termina despues de salvar 200 Kb. en el fichero: tshark -i1 -afilesize:200 -w fichero.pcap
  • La captura termina después de 10 paquetes capturados: tshark -i1 -c 10

Continue reading…

Tags: , , , , ,

Herramientas para la interpretación de capturas de red. (2/10)

Posted by Alfon on julio 21, 2010
Seguridad Informática

Ya vimos en la primera parte de esta serie dedicada a Herramientas para la interpretación de capturas de red, el uso de Windump y TCPDump y la primera parte de la creación y establecimiento de filtros .pcap.

En este segunda parte veremos el resto de la parte dedicada a filtros y comenzaremos con la interpretación de las capturas.

Filtros.

Seguimos con la aplicación de filtros pcap que comenzamos en la primera parte. Recordamos lo último que vimos sobre expresiones en formato hexadecimal y seguimos.

Expresiones en formato Hexadecimal.

Para especificar una dirección IP, TCPdump / Windump, etc,  trabaja mejor con el formato hexadecimal.

Para una dirección 192.168.1.5, su equivalente en hexadecimal sería:

192 > C0
168 > A8
1 > 01
5 > 05

es decir: C0A80405

Para Windump, añadimos el indicativo de que se trata de formato hexadecimal: 0x

y nos quedaría: 0xC0A80105

Apliquemos esto a nuestros ejemplos de filtros y a lo ya visto hasta ahora en la primera parte:

  • Datagramas IP cuyo IP de origen sea 0xC0A80105 o 192.168.1.5
windump -i1 -qtn "ip[12:4] = 0xC0A80105"
IP 192.168.1.5.26495 > 192.168.1.245.53: UDP, length 30
IP 192.168.1.5.5879 > 192.168.1.245.53: UDP, length 31
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 621
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 640
  • Datagramas IP cuyo IP de origen sea mayor que 192.168.1.5
windump -i1 -qtn "ip[12:4] > 0xC0A80105"
IP 192.168.1.200 > 224.0.0.251: igmp
IP 192.168.1.11 > 239.255.255.250: igmp
IP 192.168.1.202 > 224.0.0.251: igmp
IP 192.168.1.201 > 224.0.1.60: igmp
IP 209.85.229.99.80 > 192.168.1.5.12565: tcp 0
IP 209.85.229.99.80 > 192.168.1.5.12565: tcp 0
  • Datagramas IP cuyo valor TTL sea mayor que 5
windump -i1 -qnt "ip[8]> 5"
IP 192.168.1.239.138 > 192.168.1.255.138: UDP, length 201
IP 192.168.1.30.138 > 192.168.1.255.138: UDP, length 201

Sobre datagramas IP, TTL, etc. más información en Seguridad y Redes:
http://seguridadyredes.nireblog.com/post/2009/11/05/wireshark-windump-analisis-capturas-trafico-red-interpretacian-datagrama-ip-actualizacian.

Continue reading…

Tags: , , , ,

Herramientas para la interpretación de capturas de red.

Posted by Alfon on julio 07, 2010
Seguridad Informática

Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6 | Parte 7 | Parte 8 | Parte 9 / 1 | Parte 9 / 2

Hola a todos. Soy Alfon, más sobre mí en mi Blog: http://seguridadyredes.nireblog.com/. Esta va a ser mi primera colaboración en este gran sitio que es Daboweb. Mis áreas de interés, que serán en las que centre mis colaboraciones, son todo lo concerniente a Snort, Wireshark. Análisis tráfico de redes y forense, IDS, Scapy, Nmap, Antisniffers, etc. Espero que sea de vuestro interés. Gracias a todo el equipo de Daboweb por darme la oportunidad de coloborar en el sitio.

Para interpretar y correlacionar una captura realizada en un determinado sniffer, disponemos, en los diferentes programas de captura de paquetes, de una serie de herramientas que facilitan esta labor. No es siempre totalmente necesario, pero si es una ayuda a la hora de extraer información, evidencias forenses, o cualquier tipo de dato que necesitemos de una forma más rápida, sencilla y, en algunos casos, más visual, sobre todo cuando se trata de grandes archivos de captura.

Antes de seguir. ¿Qué es una captura de red ?. Una captura de red no es otra cosa que la recolección de los paquetes transmitidos y recibidos en la red por hosts o dispositivos que se encuentran en una red local. Para esta función, el dispositivo de red o tarjeta de red debe estar configurada en modo promíscuo.

De esta forma no se descartan las tramas de red no destinada a la MAC en la cual se encuentra el software capturador de red o sniffer y, de esta forma, se puede “ver” todo el tráfico que circula por la red. Esto es así en una red no conmutada o, dicho de forma más sencilla, una red mediante hubs.

Si la red está formada por switches, el poner la tarjeta de red en modo promíscuo solo nos serivirá para “ver” nuestro tráfico (unicast) y el tráfico broadcast. Sobre la posición de un capturador de red o sniffer, dependiendo de la arquitectura o topología de red, tenemos más información en este enlace de mi blog personal.

Si realizamos una captura con TCPDump ó WinDump para sistemas Windows, la salida que obtendremos será algo parecido a esto:

Código:

 

>windump -i1 -tn tcp
windump: listening on \Device\NPF_{024A36DD-4864-4F08-918F-2C5CBA916541}
IP 192.168.1.5.2335 > 63.245.217.36.80: S 4142637947:4142637947(0) win 64512 <ms
s 1460,nop,nop,sackOK>
IP 63.245.217.36.80 > 192.168.1.5.2335: S 1131876005:1131876005(0) ack 414263794
8 win 65535 <mss 1460,nop,nop,sackOK>
IP 192.168.1.5.2335 > 63.245.217.36.80: . ack 1 win 64512
IP 192.168.1.5.2335 > 63.245.217.36.80: P 1:581(580) ack 1 win 64512
IP 63.245.217.36.80 > 192.168.1.5.2335: . ack 581 win 64955
IP 192.168.1.5.2337 > 209.85.227.147.80: S 1497586508:1497586508(0) win 64512 <m
ss 1460,nop,nop,sackOK>
IP 63.245.217.36.80 > 192.168.1.5.2335: P 1:487(486) ack 581 win 64955
IP 209.85.227.147.80 > 192.168.1.5.2337: S 1076404124:1076404124(0) ack 14975865
09 win 65535 <mss 1460,nop,nop,sackOK>
IP 192.168.1.5.2337 > 209.85.227.147.80: . ack 1 win 64512
IP 192.168.1.5.2337 > 209.85.227.147.80: P 1:626(625) ack 1 win 64512
IP 192.168.1.5.2341 > 208.122.31.3.80: S 3188780077:3188780077(0) win 64512 <mss
 1460,nop,nop,sackOK>
IP 209.85.227.147.80 > 192.168.1.5.2337: P 1:237(236) ack 626 win 64910
IP 209.85.227.147.80 > 192.168.1.5.2337: . 237:1697(1460) ack 626 win 64910
IP 209.85.227.147.80 > 192.168.1.5.2337: P 1697:2048(351) ack 626 win 64910
IP 192.168.1.5.2337 > 209.85.227.147.80: . ack 2048 win 64512

De esta captura podemos extraer algunos datos. Solo tenemos tres IP involucradas. Obtenemos las IP, puertos, banderas o flags, números de secuencia, acuse de recibo, tamaño de ventana,… También vemos un establecimiento de conexión a tres pasos, etc.

Pero si se trata de una captura con decenas de IPs, varios protocolos, etc. La interpretación de los datos y su correlación se hace más compleja. Solo disponemos de la gestión de filtros para obtener una información algo más detallada según los propósitos y objetivos de la captura, pero poco más, nosotros tendremos que interpretar los datos, que está pasando o qué problema tenemos en nuestra red analizando la secuencia de los paquetes .

Otros programas como Tshark, incluyen, además de filtros, diferentes tipos de estadísticas. De esta forma, tenemos una ayuda a la interpretación de la captura que nos permite obtener una información partiendo de un fichero de captura .pcap o una captura normal. Las estadísticas nos informarán del uso de la red, protocolos involucrados en las capturas y estádisticas de uso, comunicaciones entre hosts, etc.

Además podemos aplicar filtros a las estadísticas de tal forma que la información obtenida por ellas es altamente personalizable y flexible.

Un ejemplo de estadísticas con Tshark.

Si ejecutamos tshark -i1 -nqzio,stat,1,ip,tcp,icmp,”tcp.port == 80″ el resultado es:

Código:

 

>tshark -i1 -nqzio,stat,1,ip,tcp,icmp,"tcp.port == 80"

Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler)
252 packets captured

===================================================================
IO Statistics
Interval: 1.000 secs
Column #0: ip
Column #1: tcp
Column #2: icmp
Column #3: tcp.port == 80
                |   Column #0    |   Column #1    |   Column #2    |   Column #3
Time            |frames|  bytes  |frames|  bytes  |frames|  bytes  |frames|  bytes
000.000-001.000       4       285      3       193      0         0      0         0
001.000-002.000       2       184      0         0      0         0      0         0
002.000-003.000       1        92      0         0      0         0      0         0
003.000-004.000       1        92      0         0      0         0      0         0
004.000-005.000       0         0      0         0      0         0      0         0
005.000-006.000       0         0      0         0      0         0      0         0
006.000-007.000       0         0      0         0      0         0      0         0
007.000-008.000       0         0      0         0      0         0      0         0
008.000-009.000       0         0      0         0      0         0      0         0
009.000-010.000      17      2299     15      2115      0         0     15      2115
010.000-011.000     142     38665    141     38573      0         0    141     38573
011.000-012.000      37      8062     36      7970      0         0     36      7970
012.000-013.000       2       184      0         0      0         0      0         0
013.000-014.000      15       890     14       798      0         0     14       798
014.000-015.000       9       548      8       456      0         0      8       456
015.000-016.000       3       240      0         0      2       148      0         0
016.000-017.000       2       148      0         0      2       148      0         0
017.000-018.000       2       148      0         0      2       148      0         0
018.000-019.000       2       148      0         0      2       148      0         0
019.000-020.000       0         0      0         0      0         0      0         0
020.000-021.000       1        92      0         0      0         0      0         0
===================================================================

Como veis, podemos establecer estadísticas por protocolos y por aplicación de filtros. Todo ello ordenado por columnas que nos mostrarán información sobre número de paquetes y bytes.

Si seguimos complicando la cosa, Wireshark (aquí para descargar) por ejemplo, contempla dos tipos de filtros: de captura y de visualización. Una vez filtrados los paquetes, Wireshark dispone de varias herramientas para interpretar y analizar el resultado de las capturas  como Expert Infos y Expert Info Composite, Follow TCP Stream, IO Graph, Geolocalización, varios tipos de estadísticas, etc.

En otro nivel, disponemos de Xplico. Con esta herramienta podemos abrir una fichero de captura .pcap y tener ordenado y clasificado el tráfico por categorías tales como Web, Mail, VoIp, Chat, Imágenes, videos, Geolocalización con Google Earth…. incluso decodificar tráfico teniendo en cuenta las aplicaciones tales como programas de mensajería, Telnet, Facebook, etc.

Abajo. Interface de Xplico.

En el último nivel podemos situar un tipo de software como NetWitness Investigator. Netwitness posee una gran capacidad de captura de paquetes, con lo que necesita también, un buen soporte de almacenamiento y procesamiento.

Además, podemos importar nuestros ficheros .pcap generados mediante TCPDump, Windump, Tshark, Wireshark, etc. Pero la característica más importante de esta herramienta es su altísima capacidad de análisis de los datos obtenidos, correlación, clasificación, rapidez de análisis, interpretación visual e intuitiva de datos compaginado con la muestra de datos en bruto, contenido de los paquetes diferenciando los campos y cabeceras. Es capaz también de analizar los datos por sesiones.

Podemos incluso interpretar los datos dentro del contexto, dentro de una lógica. De esta forma, se convierte un una herramienta de análisis forenses con capacidad de  descubrimiento de amenazas, malware, fugas de información, investigación forense y otros aspectos dentro de un ambiente corporativo.

Otro tipo de ayuda para la interpretación del tráfico de red es la del tipo visual, es decir, las gráficas. De esta forma podemos representar mediante gráficas, de varios tipos, las relaciones y diálogos entre host, puerto, etc. Otra variante de este tipo de herramietnas puede ser la representación grafíca, no ya de los host, sino de los paquetes y los atos de campos contenidos en ellos. dos herramietnas de este tipo que veremos serán AfterGlow y TNV.

Hasta aquí un resumen del objetivo y de lo que será esta serie de artículos dedicado a las herramientas y ayudas a la interpretación de capturas de red. Iremos mostrando de que forma podemos interpretar los datos usando las herramientas que nos proporcionan, a distintos niveles: WinDump / TCPDump, Wireshark, Xplico y NetWitness.

Tags: , , ,

Publicado en Daboweb, Febrero de 2010

Posted by Dabo on marzo 01, 2010
Cibercultura

Como viene siendo habitual, os recomendamos el recopilatorio de entradas publicadas en Daboweb (mes de Febrero de 2010) por si en el día a día de la publicación, alguna que pudiera interesarte se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivos de contenidos publicados).

Febrero 2010

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Analizando y filtrando trafico de red con Ngrep

Posted by Dabo on febrero 25, 2010
Seguridad Informática

Para hoy os vamos a recomendar la lectura de una interesante entrada en el blog de nuestro amigo Alfon (Seguridad y Redes),  en la que da un repaso a las funcionalidades de una herramienta de análisis, trafico o captura de datos en red tan potente como Ngrep.

En los ejemplos que podremos ver, la información está basada en sistemas Windows, pero es totalmente válida con las librerías necesarias (principalmente libcap) en GNU/Linux o Mac OS X. Se enseña a buscar patrones y cadenas en la red, analizarlos y saber cómo se interpretan esos resultados.

Acceso a;Esas pequeñas utilidades. NGREP.

Tags: , , , , , , ,

Detectando sniffers en redes conmutadas y no conmutadas, por Alfon.

Posted by Dabo on noviembre 28, 2009
Seguridad Informática

Quizás los que llevéis más tiempo interesados en cuestiones relacionadas con la seguridad, conozcáis a Alfon de “Seguridad y Redes”.

Para quienes no le conozcáis, os diré que allá por el año 2.003 escribió algún artículo tan interesante como este que se ha puesto al día y que os recomiendo encarecidamente leer para detectar el rastro de un sniffer en vuestra red.

En palabras de Alfon,

Hace ya algunos años, concretamente en 2003-2004, escribí sobre la Detección de Sniffers en redes conmutadas y no conmutadas en varios sitios de la Red. Lo podeis ver también aquí y en mi primer blog (http://webs.ono.com/alfonn/). Creo que es el momento de revisar y ampliar este artículo.

En esta actualización trataremos también la detección desde varios escenarios usando Wireshark (al final del artículo) y algún que otro software / técnica más de detección como Nast y DecaffeinatID, ArpOn, VLANs, algún firewall como Outpost, … Actualizaré también algunos enlaces de descarga que estaban ya obsoletos, notas sobre funcionamiento de algunas herramientas antiguas, etc.

Creo que es una lectura más que recomendable para este fin de semana, algún compañero de Daboweb me ha expresado su preocupación por estar usando una red en la que quizás había algún sniffer “a la escucha”, pues bien, seguid los pasos y podréis salir de dudas.

Acceso a; Detectando Sniffers en redes conmutadas y no conmutadas (Por Alfon).

Tags: , , , , , ,

Liberada la versión 2.8.5 de Snort.

Posted by Dabo on septiembre 17, 2009
Programas

El popular y veterano Snort (sniffer de paquetes y un detector de intrusos basado en red) recibe una actualización (versión 2.8.5) después de que se reportara una vulnerabilidad en el mes de Agosto (ENG) dotando de interesantes mejoras a esta gran herramienta de seguridad.

Ahora ya es posible especificar varias configuraciones en “snort.conf”, con lo que se puede ejecutar una sesión de Snort con varios ficheros de configuración en lugar de correr en el sistema como procesos separados.

También se sigue inspeccionando el tráfico de red mientras se carga una configuración sin interrupciones en la captura de paquetes. Hay mejoras en las opciones de cargar una configuración y volver a una anterior, las reglas de filtrado y eventos se han perfeccionado así como la prevención de ataques (intentos de conexión o conexiones simultáneas, etc), anunciando asimismo un rendimiento mejorado en general del software.

Site oficial de Snort con info de la versión 2.8.5| Fuente VRT (ENG).

Por David Hernández (Dabo).

Tags: , , , , ,

Se crean más de 3.500 sitios web al día para difundir malware.

Posted by Dabo on agosto 22, 2009
Seguridad Informática

Cuando uno lee informaciones como esta de MessageLabs (ENG), te quedas pensando en lo “rentable” que puede llegar a ser la “industria” del phising, spam o todos los tipos de malware o software malicioso que pueden llegar a través de la Red.

Además, esta oscura industria está encontrando en las redes sociales a su mejor aliado para complementar las técnicas habituales de engaño-infección. No es la primera vez que decimos que se tenga precaución con los enlaces que usuarios aparentemente de fiar dejan en el muro o tablón de mensajes del FaceBoock o Twitter de turno. Puede servirnos el mismo ejemplo para las conversaciones a través de programas de mensajería instantánea, foros y un largo etc.

Como se puede leer en el título, cada día ven la luz más de 3.500 sitios web dedicados a difundir todo tipo de malware y este hecho debería hacernos reflexionar acerca de la cantidad de amenazas que llegan a través del cable. Se habla también de un aumento del Spam del 85 % respecto al año 2007 y según MessageLabs, parece que en China se puede encontrar alguna respuesta a este hecho. Los paises con más alto nivel de Spam serían Reino Unido, China, Australia, Japón, Alemania, los EE.UU, Países Bajos  y Canadá.

Siguiendo con el malware que llega a nuestro correo, el Spam o correo no solicitado se lleva la palma, pero se informa de que uno de cada 304 correos electrónicos de media contiene un virus. Otro dato interesante es que el reparto de esos 3.500 sitios web maliciosos que nacen cada día, es más o menos de unos 250 dedicados a alojar software espía y unos 3.300 a los virus.

Fuente (ENG).

Tags: , , , , , , ,

(Tutoriales) Cómo asegurar una red wifi (inalámbrica) en Windows y Mac OS X.

Posted by Dabo on julio 06, 2009
Manuales y Tutoriales

He publicado en DaboBlog un post sobre cómo probar la seguridad de una red wifi bajo clave WEP usando BackTrack, distribución de GNU/Linux orientada a las auditorias de seguridad y el hacking en general.

Al final de la entrada, he recomendado la lectura de dos tutoriales hechos aquí sobre cómo asegurar una red inalámbrica dado lo relativamente fácil que es romper una clave WEP (si está bajo 128 bits, es larga y con números, símbolos o letras es más complejo)  o una WPA (más segura que WEP) mal configurada.

Les he dado un repaso y son plenamente vigentes, por lo que creo que no está de más recordarlos y poner en práctica los grandes consejos acompañados de capturas de pantalla que nos da Danae para proteger nuestra wifi en Windows y también Fedelf, que a su vez se centra en Mac OS X. De todos modos y dado que lo que realmente importa es la configuración de nuestro equipo y router, los consejos son válidos también para GNU/Linux.

Tutoriales >>> Asegurar red wifi en Windows | Asegurar red wifi en Mac OS X.

Recomendado
Diferencias Router Wifi y Punto de acceso | Uso de una red Wifi abierta (peligros) | Escaner en línea de tu red Wifi | Manual Wireless Key Generator | Wifi en aeropuertos y abusos |

Tags: , , , , , , , , , , ,

Cuentas de Gmail inseguras por defecto, activa “https” (conexión segura)

Posted by Dabo on abril 15, 2009
Seguridad Informática

Una de las brechas de seguridad más frecuentes en el tráfico web, suele ser la conexión a lugares donde se almacena información sensible sin establecer dicha conexión bajo una capa de cifrado, es el caso de las cuentas de Gmail con su configuración por defecto, claramente insegura.

En este caso, se entiende que desde Google han preferido sacrificar la seguridad en pro de una mayor compatibilidad con todo tipo de navegadores web, dispositivos móviles, notificadores de correo, etc, un error a mi entender ya que debería ser al revés en un caso como este del correo electrónico, primero seguridad y luego compatibilidad o el mejor compromiso posible para estos dos factores.

Este tema es más preocupante al haber muchos usuarios de Gmail que se conectan únicamente a través del navegador, en el caso de recibir el correo vía POP o IMAP, normalmente se hace bajo SSL (Segure Socket Layer) o TSL, su sucesor y esos correos llegarán a vuestro sistema bajo cifrado, por lo que en el caso de que alguien intente interceptar con un sniffer esos datos, al no circular como texto plano (para entendernos), serán mucho más difíciles de capturar.

Para evitar esto en la navegación, se usa el protocolo HTTPS, similar al HTTP pero bajo una capa de cifrado vía SSL y es básicamente lo que os recomendamos para un uso correcto y más seguro de Gmail. Esta opción se hace imprescindible en el caso de que os conectéis vía web a Gmail bajo redes “no seguras” como pueden ser una Wi-fi pública o abierta, un cibercafé (nada recomendable), un equipo que se encuentre en vuestro trabajo, compartido, etc.

¿Cómo activar el uso de HTTPS?

1. Accede a Gmail.
2. Haz clic en Configuración en la parte superior de cualquier página de Gmail.
3. Selecciona “Usar siempre https” para la “Conexión del navegador:”.
4. Haz clic en Guardar cambios.
5. Vuelve a cargar Gmail.

gmail

La mejor combinación posible sería (para este caso de Gmail y otros) el uso de SSL activado en vuestro cliente de correo electrónico y si es posible, usar una conexión web segura (https) para consultarlo vía webmail.

Si alguno tiene dudas de su importancia, puede probar a bajar sus correos sin cifrar y someter el tráfico de su tarjeta de red al análisis de una herramienta como Dsniff y cuando vea la contraseña del su cuenta de correo electrónico, así como todos sus mails en texto plano visualizados en la pantalla de su equipo, se dará cuenta de lo devastador que puede ser un ataque de este tipo…

Gmail avisa de que con la opción HTTPS activada, puede haber alguna incompatibilidad con su notificador de correo, subsanable con un parche que ellos mismos proveen y también que en algún caso, su aplicación de Gmail para móviles puede funcionar incorrectamente (también hay instrucciones sobre como intentar solventarlo). También hablan de una posible lentitud en el servicio cosa que personalmente nunca he llegado a notar y las ventajas siempre en este caso pesan mucho más en la balanza.

Por David Hernández (Dabo).

Tags: , , , , , , , ,

Interdominios lanza el primer VPS X-SERVE virtualizado bajo Mac OS X Leopard.

Posted by Dabo on marzo 24, 2009
Webmaster

Como muchos sabéis, esta comunidad desde su primer día de vida ha estado alojada con Interdominios y a lo largo de estos años nos han apoyado hasta el punto de que hoy en día, nuestro servidor está patrocinado por ellos.

Desde Daboweb queremos desearles mucha suerte en esta nueva andadura y lógicamente si a nosotros nos va bien con ellos, no dudamos en recomendarte sus servicios -;).

A continuación, reproducimos la nota de prensa que nos ha llegado sobre la apuesta de Interdominios por los servidores virtuales VPS X-SERVE bajo Mac OS X Leopard con grandes funcionalidades para usuarios de Mac como podéis ver en este apartado.

Lanzamiento de VPS X-SERVE;

Interdominios lanza el primer VPS X-SERVE virtualizado de Mac, convirtiéndose en el primer ISP Español en ofrecer este servicio, siendo la primera compañía de hosting que apuesta por lanzar al mercado la versión definitiva de los Xserve-virtuales por solo 199 €/Mes.

La tecnología Parallels ha hecho posible la creación de un contenedor aislado con una cantidad definida de recursos lo cual permitirá la división del servidor Xserve cuya tecnología mejorada cuenta con procesadores de 64bits, soportando hasta 32GB  de RAM aumentando el rendimiento hasta en un 60% más.

Además, funcionan sobre el sistema operativo OS X Leopard e incluyen la consola remota de Parallels para reiniciar, encender o apagar el servidor, pulsando tan solo un botón y desde cualquier lugar. Esto permitirá a los clientes de este servicio total control de gestión y administración sobre su servidor virtual Mac.

Según la ultima encuesta realizada por la consultora Enterprise Desktop Alliance a 314 empresas, han mostrado que el 74% de ellas planea pasar sus equipos a Mac. Este cambio de filosofía en las empresas responde a una nueva percepción por parte de los profesionales de la mejora en la productividad, según el mismo estudio el 60% de los administradores de equipos y redes apuestan por la tecnología Mac. Apostando por el alto rendimiento y fiabilidad ofrecidos por todos los equipos Mac, y destacando principalmente el rendimiento de los servidores Xserve.

Xserve es el primer server virtualizado del mundo con OS X Leopard. El Xserve incluye un rápido bus a 1.600 MHz y una memoria a 800 MHz que dan como resultado una banda de memoria más ancha. Las velocidades de almacenamiento y los tiempos de acceso son las más excepcionales de la historia del Xserve.

La virtualización con Xserve proporciona un excelente equilibrio de control, aislamiento de recursos y el futuro de escalabilidad. Interdominios utiliza el más reciente hardware Xserve junto con el software de virtualización de Parallels. Toda esta tecnología es profesionalmente instalada y gestionada por Interdominios.

Desde principios del mes de Marzo de 2.009 Interdominios hace una apuesta segura, siendo el primer ISP que lanza el servicio de virtualización de servidores Xserve, ofreciendo a empresas y profesionales la posibilidad de disponer de todos los servicios y aplicaciones de un servidor dedicado Xserve. Algo que permitirá ofrecer un producto y un servicio de calidad basado en tecnología Mac.

Planes de alojamiento en Interdominios;

Alojamiento GNU/Linux | Alojamiento Windows | Alojamiento X-SERVE.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Tags: , , , , , , , , ,