martes, 17 de junio de 2008

Netcat

Navaja suiza de la seguridad de red.

Netcat es una utilidad imprescindible para todo profesional de la seguridad. Es denominada la navaja suiza de la seguridad de red" porque sirve para innumerables cosas. Permite a través de intérprete de comandos y con una sintaxis muy sencilla abrir puertos TCP/UDP en un host (quedando netcat a la escucha), asociar una shell a un puerto en concreto (para conectarse por ejemplo a MS-DOS o al intérprete bash de Linux remotamente) y forzar conexiones UDP/TCP (útil por ejemplo para realizar rastreos de puertos o realizar transferencias de archivos bit a bit entre dos equipos).

Escanear Puertos
Para escanear los puertos de una máquina hay que ejecutar:
# nc -z -v -w3

-z Escanear puertos.

-v Modo versobe. Si solo se pone una v, se mostraran los puertos abiertos de la maquina escaneada. Si se pone -vv, se mostraran todos los puertos escaneados, indicando para cada uno si esta abierto o cerrado.

Se debe introducir de que puerto a que puerto se quiere escanear. Ejemplo: 1-1024 (1 y 1024 tambien incluidos en el escaneo) Tambien se puede poner solo los puertos que se quieren escanear. Ejemplo: nc -z -v localhost 25 21 80 Ecanea solo estos puertos.

-w Especifica un tiempo para terminar. Con esta opcion le especificas un tiempo determinado para realizar conexiones.

Enlaces sobre Netcat.
Netcat La navaja suiza
Netcat Wikipedia
Netcat en Crysol

Nikto

Nikto es una herramienta de Seguridad.


Nikto es un escáner de servidores de web que busca más de 2000 archivos/CGIs potencialmente peligrosos y problemas en más de 200 servidores. Utiliza la biblioteca LibWhisker pero generalmente es actualizado más frecuentemente que el propio Whisker.

Nikto es un escaneador para servidores web realizado en lenguaje Perl, obviamente tiene licencia Open Source GPL y realiza todo tipo de pruebas de ataques y vulnerabilidades por medio de un extensible sistema de plugins.

Nikto es un excelente punto de partida para comprobar la seguridad del servidor web a nuestro cargo, que funciona tanto en Linux como en Windows y tiene una gran base de datos de ataques (CGI y otros) en 230 tipos de servidores distintos.

Este programa busca fallos en diferentes categorías, algunas de estas son:
1.Problemas de configuración.
2.Archivos por defecto y ejemplos
3.Archivos y scripts inseguros
4.Versiones desactualizadas de productos.

Instalacion de Nikto
# apt-get install nikto

Para mas informacion sobre nikto mira este enlace.

Para escanear un equipo hacemos lo siguiente:
# nikto -h 10.3.16.x

Acontinuacion una imagen de un equipo escaneado.


Aca nos muestra algunas de las vulnerabilidades que tiene nuestro Sistema Operativo Linux, el cual tenemos instalado y el que escaneamos.

Enlace de pagina donde explican herramientas para ver Vulnerabilidades.

NESSUS

Nesus es una herramienta para informes de vulnerabilidades.
Nessus es un programa de escaneo de vulnerabilidades en varios Sistemas Operativos. Y consta de un cliente y un servidor, se pueden instalar en las mismas maquinas por simplicidad. Con nessus se pueden grabar informes donde hay enlaces que explican que tipo de vulnerabilidad encontrada es, como "exportarla" y como "evitarla".

Nessus es un escáner de seguridad remoto para Linux, BSD, Solaris, Windows y Otros Unix. Está basado en plug-in(s), tiene una interfaz basada en GTK, y realiza más de 1200 pruebas de seguridad remotas. Permite generar reportes en HTML, XML, LaTeX, y texto ASCII; también sugiere soluciones para los problemas de seguridad.

Instalacion de Nessus
# apt-get install nessus -->Nessus cliente
# apt-get install nessusd -->Nessus demonio

Para configurar Nessus como demonio indicando un puerto hacemos lo siguiente:
# nessusd p 1241 a 10.3.16.x -->Puerto y direccion IP por la cual se comunicara.

Agregar un usuario:
# nessus-adduser

Link de otra instalacion.

Al ejecutarlo desde Aplicaciones, Internet, Nessus nos aparece una consola como esta:
Nos logueamos. La primera vez que nos logueamos nos muestra esto:
Nos muestra un certificado. Lo aceptamos
Cuando estemos logueados nos mostrara los plugins que tiene nessus.
Unas de las imagenes sobre las caracteristicas de Nessus.

Para escanear un equipo hacemos lo siguiente:
-->Indicamos la direccion IP
-->Iniciamos en escaner
Al iniciar el escaner debemos esperar que se realice todo el escaner y nos arroje los resultados.
Cuando termine mostrara el reporte asi:
Este documento fue desarrollado con la ayuda de Cristian Ceballos.

Nmap

Nmap es una herramienta de exploracion de red y escaner de seguridad.
Nmap ha sido diseñado para permitir a administradores de sistemas y gente curiosa en general el
escaneo de grandes redes para determinar que servidores se encuentran activos y que servicios ofrecen. Nmap es compatible con un gran numero de tecnicas de escaneo como: UDP, TCP connect,TCP SYN (half open), ftp proxy (bounce attack), Reverseident, ICMP (ping sweep), FIN, ACK sweep, Xmas Tree, SYNsweep, and Null scan. Es de código abierto.

Nmap proporciona tambien caracteristicas avanzadas como la deteccion remota del sistema operativo por medio de huellas TCP/IP , escaneo tipo stealth (oculto), retraso dinamico y calculos de retransmision, escaneo paralelo, deteccion de servidores inactivos pormedio de pings paralelos, escaneo con señuelos, deteccion de filtrado de puertos, escaneo por fragmentacion y especificacion flexible de destino y puerto. Se han hecho grandes esfuerzos encaminados a proporcionar un rendimiento decente para usuarios normales (no root). Por desgracia, muchos de los interfaces criticos del kernel (tales como los raw sockets) requieren privilegios de root. Deberia ejecutarse nmap como root siempre que sea posible.

Instalar Nmap en Linux
# apt-get install nmap

Uso de nmap
nmap [Tipo de Scan] [Opciones] victima(s) o red_victima

Opciones de Nmap

-h Muestar la ayuda.

-sP ping "scan". Este es utilizado solo para saber si determinado(s) host(s) están en ese momento vivos o conectados, normalmente esto lo realiza nmap enviado paquetes a el puerto 80 de un host pero si este tiene un filtrado de ese puerto podrás ser detectado de todas formas.

-sU Es un Scan de Puertos abiertos con protocolo UDP, solo root puede ajecutarlo.

-sS Ping oculto, entrega solo la respuesta final para dejar menos rejistros.

-b ftp "bounce attack" utlizado para ver si se puede utilizar un host para pasar una conexión ftp a través de el y no hacer el ftp a otro host desde tu maquina directamente.

-f Utiliza pequeños paquetes fragmentados para el SYN , Xmas , FIN o barrido nulo.

-P0 No hace "ping" al host en cuestion , necesario para el scan o "barrido" a www.microsoft.com y otros con sistemas de deteccion de ataques sensibles asi como los .gov .mil etc.
-PT Utiliza el Ping de tcp para determinar si un host esta conectado para el caso de -sT y -sP esta opcion aunque no es suministrada va implicita en el metodo.

-PT21 Utiliza el Ping tcp para hacer prueba de coneccion a el puerto 21 o a cualquier otro especificado despues del -PT ejm: -PT110 .
-PI Utiliza paquetes icmp para determinar que hosts estan conectados y es especial si deseas hacer un scan a travez de un firewall.

-PB Hace la misma funcion que el barrido (scan) TCP y ICMP, se le puede especificar un puerto destino despues de la "B".

-PS Utiliza el TCP SYN sweep en lugar de el valor por defecto que es el ack sweep utilizado en el Ping TCP.

-O Utiliza el TCP/IP "fingerprinting" para determinar que Sistema operativo esta corriendo un host remoto.
-p o puertos: ejm: '-p 23' solo intenta hacer conexión con el(los) host(s) en el puerto especificado para extraer de allí la información necesaria para la operación de scan. Otros
ejemplos '-p 20-100,31330-' hace un barrido entre los puertos 20-30 y entre 31330-65535. por defecto el barrido es entre los puertos 1 y el 1024 mas los que parezcan en el /etc/services.

-F Barrido Rapido a "Fast Scan" solo examina los puertos que estan en el /etc/services.

-I Toma informacion de quien es el dueño del proceso que se esta ejecutando pero solo se puede ejecutar con el -sT por lo cual deja una traza enorme en el log de la victima por ello debe evitar
utilizar esta opcion.

-n no hace converciones DNS para hacer el -sP mas rapido.

-R Intenta Convertir utilizando DNS (o sea del ip te muestra el hostname ejm: le das 127.0.0.1 y te muestra que es localhost.localdomain).

-o guarda el mismo resultado mostrado por pantalla en un archivo en formato entendible para los humanos.

-m lo mismo que lo anterior pero la salida es en un formato de maquina.
-i Lee las IPs de las victimas desde un archivo.

-g Indica que puerto local se utilizara para enviar los paquetes para el scan.

-S Si quieres especificar una IP para que sea la fuente del scan, ideal para hacer "Scan Spoofing" o encubrir tu scan.

-v Verbose. Muestra mas Informacion.

-V Imprime la version de nmap y sale.

-e . Enviar los paquetes atravez de esta interface en tu host pueder ser eth0,ppp0,ppp1 etc.

Nota: si no se le suminstra ningun tipo de scan se asume por defecto sT.

Para mas informacion sobre el uso de Nmap visita estos sitios:
--Manual Nmap
--Manual de Nmap
--Nmap a Fondo

miércoles, 4 de junio de 2008

Conexion VPN Gateway-Gateway

Mira las configuraciones relacionadas en este blog con este mismo tema desde cero, en los siguientes links:
-->Configuracion Firewall
-->Conexion VPN Firewall-Cliente desde Windows

Esta configuracion sera la misma para los dos Firewall (gateway) para poder que se comuniquen. Pero ya las direcciones IP cambiaran depediendo de donde se genere la configuracion. Es de logica que si yo tengo esta IP 10.3.9.175, el firewall del otro extremo de la comunicacion la tendra que poner y nosotros pondremos la de el 10.3.9.177, para poder comunicarnos y asi con todos espacios de la configuracion.

Las imagenes estan explicadas.

-------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------
Esto es para agregar una nueva conexion de Gateway a Gateway desde el navegador asi:
-->VPN
-->VPN Conections
-->New (nuevo)
-->Nos aparece esto.
-------------------------------------------------------------------------------------------------

Conexion VPN Firewall-Cliente desde Windows

Mira las configuraciones relacionadas en este blog con este mismo tema desde cero, en los siguientes links:
-->Configuracion Firewall
-->Conexion VPN Gateway-Gateway

Hare un pequeño paso a paso de como configurar una conexion VPN de Cliente a LAN.

Configuracion del Firewall
-->Para agregar esta configuracion accedemos por el navegador, VPN, VPN Mode. En la imagen esta esplicado cada campo.
-->Despues en VPN conections:


Configuracion del Cliente
Para empezar desde el equipo cliente el que accedera a la conexion con un ususario lo configuraremos asi:
-->Inicio
-->Panel de control
-->Conexiones de red
-->Clic en Crear una conexion nueva. Ahi nos aparece una ventana como esta.
-->Next
-->Como nos conectaremos a una red privada de una LAN le daremos esta opcion: Conectarse a mi red de trabajo (Usando acceso telefonico o red privada virtual) Ejemplo: para trabajar desde la casa, oficina de campo u otra ubicacion.
-->Next
-->Conexion de Acceso telefonico o conexion de Red privada virtual. Para este caso escogemos VPN.
-->Next
-->Nombre de la conexion. Puede ser cualquiera o el indicado para reconocerla.
-->Next
-->Ingresamos la direccion IP publica del Gateway. Como nos conectaremos a un Firewall pondremos esta direccion IP 10.3.9.175 que es la externa.


-->Next
-->Escojemos los usuarios que accederan a esta conexion como solo es uno, ponemos: Una sola conexion para mi.


-->Next
-->Finish y se aplicaran los cambios.

-->Nos creara un icono como este:-->Clic derecho en la nueva conexion
-->Propiedades
-->Configuraremos la clave precompartida. Tambien configurada en el Firewall, deben ser iguales para que la comunicacion se pueda establecer.
-->Security (Seguridad)
-->Configuracion de IPsec (IPsec settings)
-->Activamos el chulito e ingresamos la clave.
-->Ok
-->Ok

Conectarse a la VPN
-->Doble clic sobre la nueva conexion
-->Ingresamos el Usuario y el Password.
-->Conectar.

Las imagenes que pongo acontinuacion son unas que muestra el proceso de la conexion con el firewall .
-->Conectando con 10.3.9.175
-->Registrando el computador en la Red
-->Autenticando.

Una forma de mirar si la conexion esta establecida puede ser, dándole doble clic a esa conexion. Ahi nos aparece una ventana clic en la pestaña de "Detalles" y nos aparece lo siguiente:

martes, 3 de junio de 2008

Configuracion Firewall

Firewall (Cortafuegos): Es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las politicas de red que haya definido la organización responsable de la red. La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna.

Es comun conectar el cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores (http, ftp, etc...) de la organización que deben permanecer accesibles desde la red exterior.
En este ejemplo configuraremos un OfficeConnect VPN Firewall de marca 3com. En la practica que desarrollamos el firewall trae:
-->Un CD
-->Manuales
-->Adaptador
-->Cable UTP Directo
-->Base (En caso de tener mas disposiitivos)

Y posee varias caracterisicas:
-->Filtrado de paquetes (Stateful Packet Inspection)
-->VPN (LAN to LAN, LAN to Client)
-->Proxy cache (Filtro de contenidos)
-->Traffic shapping
-->Publicacion de servicios (DNAT)

Crearemos una pequeña red de 3 computadores que estaran en el rango 192.168.20.0, la direccion IP interna del firewall es 192.168.20.1 y la externa 10.3.9.175.
Para lograr la practica se nos exigieron varios ejercicios:
-->Darle conexion a la red interna.
-->Publicaion de servicios (DMZ)
-->Respuesta de ping (Interna-Externa)
-->Control de Acceso.
-->VPN (LAN to LAN, Cliente to LAN)

Leemos los manuales y miramos el significado de cada led (bombillos) que posee el Firewall.
Ahora como es primera vez que trabajamos con el Firewall no sabemos que dirección IP tiene, por eso debemos introducir el Cd y nos aparecerá el asistente de instalación el cual nos da varias opciones. Escojeremos la segunda opción.
Ahí nos aparece otra ventana en la cual especificaremos la tarjeta de red que se utilizara. En caso de tener dos.
Aca nos mostrara la dirección ip del dispositivo.

El progreso de la "instalación"
Finalizar y nos abre un navegador con la "consola" de administración.
Para poder configurar el Firewall debemos estar en el mismo rango de este y en caso de tener un proxy debemos decir en el navegador que no utilice proxy para la direccion IP del Firewall. Asi tendremos acceso al Frewall. La primera imagen que nos muestra es la de Autenticación.

Configuracion de Firewall 3com


Para mirar otras configuraciones relacionadas con este tema, en este mismo blog. Visita los siguientes links.
-->Conexion VPN Firewall-Cliente desde Windows
-->Conexion VPN Gateway-Gateway

lunes, 2 de junio de 2008

SecurityTube Beta


Mirando en la pagina de DragonJar me encontré con esta noticia que me gustaría compartir con todos mis compañeros, porque en la etapa de estudio en la que estamos esto nos puede servir.

SecurityTube es un nuevo sitio web parecido a YouTube en el que podemos encontrar videos de seguridad de la información.

Permite una fácil integración en nuestras páginas web, blogs, etc. Ofreciendo una pequeña pestaña llamada “Embed Code”, la cual permite generar el código necesario para enlazar un vídeo en nuestra página web.

SecurityTube esta en fase beta la cual se clasifica en cuatro categorias:

1. Coding - Estos videos se centran en la enseñanza de las bases de programación.
2. Tools - Se centra principalmente en entender el uso y operación de la herramientas.
3. Basics - Fundamentación sobre diversos temas (para novatos).
4. Fun - Un poco más de diversión.