Monitorizar el ancho de banda de la red local.

Dentro de la seguridad informática la disponibilidad es un factor muy importante al que normalmente se le suele menospreciar. Entendemos por disponibilidad a la garantía de que los usuarios autorizados puedan acceder a la información y recursos de red cuando los necesiten. Es necesario monitorizar el ancho de banda para identificar posibles cuellos de botella o exceso de carga en la red para garantizar la disponibilidad.

Con la aplicación para Linux Trisul, podemos medir el ancho de banda de la red y la utilización de la misma por parte de los host. También nos permite profundizar en los servicios que se están usando, quien los está usando y cuales utilizan más ancho de banda.

Entre sus características destaca:

• Monitorización del tráfico en tiempo real.
• Todos los datos del tráfico se almacenan en una base de datos SQLITE3.
• Se puede seleccionar un intervalo de tiempo pasado, para averiguar incidentes sucedidos. Trisul reanalizará el tráfico para ese intervalo, que tendrá guardado en su base de datos.
• Posee estadísticas y gráficos sobre el ancho de banda de la red y sus servicios.
• Su presentación se realiza mediante una aplicación Web que puede estar instalada en el sistema monitor o en el exterior y comunicarse vía protocolo remoto de Trisul (TRP).

Además de monitorizar el ancho de banda nos permite estudiar incidentes sucedidos en la red, ya que podemos profundizar en los datos almacenados filtrarlos por: host, protocolo, puerto… De esta forma también se podrían investigar ataques que generan mucho tráfico de red como: ataques de denegación de servicios (DoS) o fuerza bruta.

Más información y descarga de Trisul:
http://www.unleashnetworks.com/trisul/doku.php
“Stress test” a servicios de red:
http://vtroger.blogspot.com/2008/04/stress-test-servicios-de-red.html

Herramienta para gestionar la seguridad de sistemas en un entorno grande y complejo.

La herramienta Babel Enterprise es ideal para gestionar la seguridad de sistemas en un entorno grande y complejo con diferentes tecnologías y diferentes Sistemas Operativos con distintas versiones y configuraciones.

Esta herramienta intenta evaluar los puntos que representan un riesgo en la seguridad y pueden ser mejorados con la intervención de un administrador. Es una herramienta no intrusiva, no realiza absolutamente ningún cambio en los sistemas que audita, sólo ejecuta los test que se necesitan y da los resultados en un informe detallado, incluyendo un indicador numérico con el nivel de seguridad de los sistemas o entornos a auditar.

Con Babel Enterprise se puede construir un cuadro de mando de la seguridad, 100% adaptado a las necesidades concretas de cada empresa.

Las características de esta potente herramienta son:

• Capacidad de valorar el grado de cumplimiento de una normativa (en España LOPD, LSSI e ISO/UNE 17799). En multinacionales, principalmente SOX (Sarbanes-Oxley).
• Capacidad de implementar controles software para validar el cumplimiento de esas políticas. Utilizando agentes que se pueden ejecutar en: Windows 2003, Windows XP, Windows Vista, en los sistemas Unix más comunes como Solaris™ 9, AIX™5.1, SUSE GNU/Linux 9 ES y Debian/Ubuntu Dapper. Además, los agentes de Babel Enterprise pueden ser fácilmente adoptados para otras versiones u otros sistemas como BSD o HPUX™.
• Capacidad de valorar los riesgos de los activos.
• Capacidad de valorar los riesgos presentes desde el exterior. Se ha integrado con Nessus, y Snort y tiene capacidad de integración con prácticamente cualquier aplicación de este tipo.
• Capacidad de monitorizar niveles de servicio (SLA) y disponibilidad de los servicios y procesos de negocio, integrándolo con Pandora FMS.
• Gestión de eventos de seguridad reportados por activos de seguridad mediante integración con Pandora FMS, recolectores de eventos, Antivirus o AntiSpam. Se trata de que Babel pueda presentar y relacionar entre sí esos datos ya procesados por cada una de las herramientas anteriormente expuestas, no de hacer que Babel “almacene” toda esa información.
• Capacidad de salvaguardar esa información durante un tiempo limitado para su consulta por parte de una auditoría independiente.

Babel Enterprise es Software Libre, tiene una API abierta, todos sus detalles internos son abiertos, tiene un repositorio público y toda la documentación ha sido generada usando estándares libres como DocBook SGML.


Más información y descarga de Babel Enterprise:
http://babel.sourceforge.net

Documentación Babel Enterprise.
http://openideas.info/wiki/index.php?title=Babel:Documentation_es

Demo de Babel Enterprise, se puede loguearse y probar la aplicacion como un "operador", con permisos de lectura. El usuario es "demo" y la contraseña es "demo".
http://artica.homelinux.com/babel

Auditoria de seguridad de servicios Web, basada en OWASP.

OWASP (Open Web Application Security Project) es una comunidad creada con la finalidad de establecer métodos de trabajo seguro a la hora de desarrollar aplicaciones web. OWASP posee un modelo de mecanismos de seguridad ante amenazas incluyendo recomendaciones al respecto. El proyecto está formado por una amplia colección de guías y herramientas, para ayudar al desarrollo seguro de aplicaciones y auditorias.

Dentro de las herramientas de seguridad que engloba OWASP, una de las más interesantes es WSFuzzer. Una herramienta de test de penetración para servicios web basados en HTTP SOAP.

Sus características son:

• Hace pruebas de intrusión en un servicio Web basado en HTTP SOAP ya sea en un WSDL, un punto final (endpoint) o un nombre (namespace).
• Puede detectar inteligentemente WSDL.
• Incluye un scanner de puertos TCP simple.
• WSFuzzer tiene la habilidad de manipular métodos con múltiples parámetros. Hay 2 modos de ataque: "individual" y "simultaneo". Cada parámetro puede ser tratado como una entidad única (modo individual), o múltiples parámetros son atacados simultáneamente.
• La generación de ataques consiste en: una combinación de un archivo de diccionario, algunos grandes patrones de inyección dinámicos opcionales y algunos ataques específicos incluyendo generación de ataques automáticos de XXE y WSSE.
• La herramienta también proporciona la opción de usar algunas técnicas de evasión de IDS, lo que lo hace una poderosa experiencia de pruebas de seguridad de infraestructura (IDS/IPS). Realiza una medida de tiempo entre cada petición y respuesta para ayudar potencialmente en el análisis de resultados.
• Para cualquier ejecución del programa los vectores de ataque generados son guardados en un archivo xml. El archivo XML es ubicado en el mismo directorio donde se guardan el archivo de resultados HTML.
• Un archivo XML previamente generado de vectores de ataque puede ser utilizado en lugar de la combinación de diccionario/automatizado. Esto sirve para cuando se necesitan los mismos vectores para ser usados una y otra vez.

Más información de OWASP:
http://www.owasp.org/index.php/Main_Page

Más información y descarga de WSFuzzer:
http://sourceforge.net/projects/wsfuzzer/

Asegurar distribuciones Linux basadas en RPM.

Con sectool una herramienta de seguridad que puede ser usada para auditorias de seguridad y como parte de un sistema de detección de intrusión. Su meta es corregir los errores causados por los administradores o precisar fallos de seguridad de los que no son conscientes.

Comprueba la configuración del sistema y ajustes sospechosos. Las pruebas se clasifican en grupos y niveles de seguridad. Los administradores pueden utilizar pruebas seleccionadas, grupos o niveles de seguridad enteros. Las pruebas se clasifican en 5 niveles de seguridad, cada nivel corresponde a una filosofía de trabajo de cada sistema y de la seguridad que necesita para dicha tarea. Sus niveles de seguridad son:

• Naive: Para un sistema con un nivel de seguridad básico.
• Desktop: Se prueba la seguridad de un sistema que nunca estaría conectado a la red.
• Network: Sistema de cliente estándar conectado a la red.
• Server: Servidor de red.
• Paranoid : Para los administradores paranoicos.

Las pruebas muestran varios tipos de mensajes durante su ejecución. Los mensajes se utilizan para informar sobre los riesgos de seguridad descubiertos. Posee cuatro tipos:

• PASS: No se describió ningún riesgo para la seguridad.
• WARNING: Mensajes de alerta que en algunas ocasiones no son fallos de seguridad.
• ERROR: Fallos graves de seguridad.
• FAIL: Errores de sectool en sus test de seguridad.

Los tres últimos tienen asociados dos mensajes " Hint" y " Info" que indican:

• Hint: Ayuda de cómo resolver los fallos de seguridad encontrados.
• Info: Información de cómo podría ser explotado ese fallo de seguridad.

Más información y descarga de sectool:
https://fedorahosted.org/sectool/wiki

Chequeo rápido de vulnerabilidades Web.

Realizar un chequeo rápido de vulnerabilidades Web es posible con la herramienta para pruebas de seguridad de aplicaciones Web, Grendel-Scan. Es una herramienta que combina las funciones de proxy tipo Paros y las funciones de escáner de vulnerabilidades tipo Nikto.

Es ideal para chequeos rápidos de vulnerabilidades solo hay que definir: la URL raíz del sitio, donde se guardarán los archivos que genere el chequeo (Scan Output en la pestaña de General settings) y luego seleccionar los módulos utilizados en el escaneo (pestaña de Test Module Section). Se pueden realizar escaneos mas específicos configurando las opciones en Target Details/Scan restrictions, de forma que se puede: excluir o incluir parámetros a ser revisados, configurar parámetros ID especiales, leer nombres de sesiones no comunes…

Para el chequeo de vulnerabilidades utiliza los siguientes módulos:

• SQL Injection.
• Nikto.
• Miscellaneous attacks.
• Application architecture.
• Web server configuration.
• Spider.
• File enumeration.
• Information leakage.
• Session Management.
• XSS.

Con su función proxy podemos: configurar el user-agent y modificar valores de peticiones GET, POST, headers…

Es una herramienta portable que solo necesita de Java 5 para ejecutarla lo que permite usarla en las plataformas: Windows, Linux and Macintosh.

Más información y descarga de Grendel-Scan:
http://grendel-scan.com/download.htm