viernes, diciembre 26, 2008

Herramientas para un administrador de red II.

Continuando el post anterior voy hablar de otras dos herramientas muy interesantes para analizar y probar el correcto funcionamiento de una red, se trata de: Ntop y MRGT.

Ntop.

Es un analizador de red para Windows y Linux, que nos permite identificar problemas en la red y malas configuraciones. Puede analizar los siguientes protocolos: TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk y Netbios.
Para poder usarlo se necesita tener instalado: lsof, nmap, Librerías OpenSSL y Servidor MySQL.

Ejemplo de uso de Ntop:

ntop -P /var/lib/ntop -w 3003 -W 3006 -i eth0 -b localhost:4000 -d -E -L -a /www/logs/ntop.log

-P /var/lib/ntop: Donde se almacenan las tablas hash.
-w 3003: Correr el servidor Web en el puerto 3000.
-W 3006: Correr el servidor Web utilizando SSL en el puerto 3003.
-i eth0: Capturar todo el tráfico que pasa por el interface de red eth0.
-b localhost:4000: Donde se encuentra el servicio puente para el servidor MySQL.
-d: Para ejecutar Ntop como demonio.
-E: Para que ejecute herramientas externas como: lsof, nmap ...
-L: Para que realice un archivo de log.
-a /www/logs/ntop.log: Fichero de acceso a la página web del ntop.

En la web que genera Ntop podemos ver los siguientes apartados:

  • Data Rcvd, Data Sent: Muestra los datos recibido/transmitido. Permite agruparlo por protocolos, qué cantidad se ha tratado, actividad de cada host y netflows.
  • Stats: Es el apartado de estadísticas, muestra información muy completa acerca del estado de la red. Muestra si el tráfico unicast o multicast, también: la longitud de los paquetes, el Time To Live del paquete y el tipo de tráfico.
  • IP Traffic: Muestra información del sentido del tráfico de red.
  • IP Protos: Estadísticas de protocolo, pero a nivel de red como conjunto de hosts.
  • Admin: Sirve para configurar el uso de Ntop una vez en ejecución: cambiar el inerfaz de red, crear filtros y gestión de usuarios.

Más información y descarga de Ntop:
http://www.ntop.org/

Documentación de Ntop:
http://www.ntop.org/documentation.html

MRGT.

Multi Router Traffic Grafer (MRTG) monitoriza la carga en routers. Monitoriza los dispositivos SNMP y crea los gráficos con la información de cada interfaz. MRTG genera páginas HTML con imágenes en formato GIF o PNG que representan la carga que soportan los router.

Necesita de los paquetes: gd, libpng y zlib. Es esta disponible para Windows y Linux.

Más información y descarga de MRGT:
http://oss.oetiker.ch/mrtg/

Post relacionados con el tema:

Herramientas para un administrador de red I:
http://vtroger.blogspot.com/2008/12/herramientas-para-un-administrador-de.html

“Stress test” a servicios de red:
http://vtroger.blogspot.com/2008/04/stress-test-servicios-de-red.html

Publicado por Alvaro Paz en 5:41 PM http://www.wikio.es 4 comentarios
Etiquetas: ,

jueves, diciembre 18, 2008

Averiguar si un sitio web es sensible a técnicas de Google Hacking.

Utilizando la una herramienta que se clasifica entre el típico escáner de servidores y el escáner de aplicaciones web, se trata de Wikto. Con Wikto podemos localizar directorios y ficheros que comprometan la seguridad del sitio web y vulnerabilidades más comunes.

Los componentes de Wikto son:

Mirror & Fingerprint: Por una parte se examinan los link que tiene el sitio para descubrir los directorios. El otro componente examina las huellas del servidor web para identificarlo.

Wikto: Es el motor de Nikto un explorador basado texto de vulnerabilidades de servidores web, escrito en Perl. Nikto explora más de 3000 problemas potenciales de seguridad, en un web server.

BackEnd: Se basa en buscar directorios en el sistio web basándose en una lista de los nombres de directorios que suelen tener información sensible.

Googler: Busca directorios y archivos sensibles en el sitio web, usando búsquedas especiales en google. Utiliza operadores como: "filetype", "site"… combinándoles entre sí. Una vez ejecutada la busqueda, se muestran los resultados de directorios extraídos desde las URLS que se debe inspeccionar manualmente.

Googlehacks: Esta sección realiza búsquedas en Google, utilizando la base de datos GHDB (Google Hacking Database), donde se encuentran todas las cadenas de búsqueda susceptibles de devolver información sensible. Se puede ejecutar las cadenas de forma individual, modificarla manualmente y volver a ejecutarla.

Más información y descarga de Wikto:
http://www.sensepost.com/research/wikto/

Modo de empleo de Wikto:
http://www.sensepost.com/research/wikto/using_wikto.pdf

Escáner de vulnerabilidades de servidores web:
http://vtroger.blogspot.com/2007/10/escner-de-vulnerabilidades-de.html

Publicado por Alvaro Paz en 7:57 PM http://www.wikio.es 0 comentarios
Etiquetas: , , ,

jueves, diciembre 11, 2008

Herramientas para un administrador de red I.

Este es el primero de una serie de post, que en principio no serán consecutivos, en los que tratare sobre herramientas útiles para un administrador de redes. Las herramientas serán tanto para la plataforma Windows como para la plataforma Linux y algunas multiplataforma.

En este post voy hablar dos herramientas: una para Windows llamada Free IP Tools y otra multiplataforma llamada Nemesis.

Free IP Tools.

Esta aplicación es un conjunto de herramienta de red, agrupadas en una cómoda interfaz grafica.

Free IP Tools contiene además del clásico ping y traceroute las siguientes herramientas:

  • PortScan es un escáner de puertos, que permite explorar la red buscando puertos abiertos. Utiliza el modo silencioso para evitar ser detectado.
  • HostAlive es una herramienta para supervisar disponibilidad de un anfitrión y de los servicios en red proporcionados por el anfitrión (tal como HTTP o ftp server).
  • EmailVerify comprueba si existe una dirección de correo electrónico, verificándola en el servidor correspondiente.
  • SNMPAudit es un explorador avanzado del dispositivo SNMP que puede localizar rápidamente los dispositivos SNMP.
  • SysFiles ofrece una manera fácil de corregir cinco ficheros del sistema que son importantes para el establecimiento de una red: servicios, protocolo, redes, hosts y lmhosts.
  • IPBlackList es una utilidad que comprueba si la dirección IP o el nombre del host proporcionado está incluido en una lista negra como emisor de Spam. Algunas veces se le deniegan servicios a host por estar incluidos en estas listas.
  • NBScan explorara la red buscando recursos compartidos por sistemas Windows: las carpetas, las impresoras y otros dispositivos. Este explorador de NetBIOS es muy rápido debido a la característica de la exploración paralela, así que puede explorar y enumerar todos los recursos compartidos de una red de clase C en un minuto.
  • RawSocket puede crear socket de TCP y de UDP para probar y ajustar diversos servicios en red.
  • Shares supervisa recursos compartidos en la computadora y monitoriza las conexiones a dichos recursos. Puede también ser utilizada para conectar recursos compartidos fácilmente.
  • NSLookup es un programa, para saber si el DNS está resolviendo correctamente los nombres y las IPs.

Más información y descarga de Free IP Tools:
http://www.all-nettools.com/network-utilities-28/free-ip-tools-48453.htm

Nemesis.

Es un inyector de paquetes, su funcionamiento consiste en enviar tramas de datos a una red utilizando el protocolo tcp/ip. Se utiliza para probar y depurar servicios de red específicos. Es ideal para auditar servicios de red pero también puede ser utilizada para realizar ataques a una red, como una inundación UDP.

Ejemplos de uso de Nemesis:

nemesis tcp -v -S 192.168.1.1 -D 192.168.2.2 -fSA -y 22 -P foo

Enviar paquete tcp desde (-s) 192.168.1.1 hasta 8-D) 192.168.2.2 en el puerto destino 22 (-y) con confirmación de paquete enviado

nemesis udp -v -S 10.11.12.13 -D 10.1.1.2 -x 11111 -y 53 -P bindpkt

Enviar paquete udp desde (-S) 10.11.12.13 y puerto (-x) 11111 al puerto (-y) 53 con confirmación de paquete enviado

nemesis icmp redirect -S 10.10.10.3 -D 10.10.10.1 -G 10.10.10.3 -qR

Enviar paquete icmp desde (-S) 10.10.10.1 por la puerta de enlace (-G) 10.10.10.3. El redirect se indica en -qR.

nemesis arp -v -d ne0 -H 0:1:2:3:4:5 -S 10.11.30.5 -D 10.10.15.1

Enviar paquete arp a la primera tarjeta ethernet (-d) y mac (-H) 0:1:2:3:4:5 e IP (-S) 10.11.30.5 al destino cuya IP es (-S) 10.10.15.1.Esta opción podría ser utilizada para realizar un envenenamiento de la cache ARP, porque si a un sistema con IP 10.10.15.1 le llega un paquete ARP de que a la mac 0:1:2:3:4:5 le corresponde la IP 10.11.30.5, el sistema cuya IP real es 10.11.30.5 quedaría desconectado de la red y todos los paquetes destinados a él irían al sistema cuya mac es 0:1:2:3:4:5.

Más información y descarga de Nemesis.
http://www.packetfactory.net/projects/nemesis/

Publicado por Alvaro Paz en 1:35 PM http://www.wikio.es 5 comentarios
Etiquetas: , , ,

jueves, diciembre 04, 2008

Sistema centralizado para detección de vulnerabilidades de red y software.

Con OpenVAS se puede realizar un sistema centralizado para la detección de vulnerabilidades de red y software. Con esta herramienta se puede comprobar si el software de los sistemas que componen la red esta actualizado y tener informes detallados. El motor de OpenVAS es un desarrollo bifurcado de Nessus.

OpenVAS tiene dos componentes servidor y cliente:

OpenVAS Servidor:

Es un explorador de vulnerabilidades de red, que recoge informes y test de la herramienta cliente. Utiliza un protocolo de comunicación seguro para conectar con el cliente para: configurar, ejecutar una exploración y finalmente recibir los resultados para generar un informe. Las pruebas se ejecutan bajo plugins que necesitan ser puestos al día, para cubrir problemas de seguridad identificados recientemente.

El servidor de OpenVAS es un desarrollo bifurcado de Nessus 2.2. La bifurcación sucedió porque el desarrollo principal (Nessus 3) cambio a un modelo de licencia propietario y el desarrollo de Nessus 2.2.x está prácticamente cerrado para los contribuidores. OpenVAS continúa como software libre, bajo licencia GNU, con un estilo transparente y abierto al desarrollo. Y funciona en las distribuciones: Debian, Gentoo, OpenSUSE, RHEL, CentOS y Fedora.

El proyecto de OpenVAS ofrece unas actualizaciones públicas de las pruebas de la vulnerabilidad de red (NVTs). La actualización contiene todos los plugins de NASL disponibles en el depósito del código fuente de OpenVAS y ahora contiene cerca de 5000 plugins. Estas actualizaciones están configuradas por defecto para el servidor de OpenVAS.

OpenVAS Cliente:

El OpenVAS-Cliente es un terminal cliente para OpenVAS y Nessus. Aplica el protocolo de la transferencia de Nessus (NTP). El GUI se ejecuta usando GTK+ 2.4 y realiza sesiones de exploración de vulnerabilidades de red. El OpenVAS-Cliente es un sucesor de NessusClient 1.X. La bifurcación sucedió porque los autores originales de NessusClient decidieron lanzarlo como software propietario. Disponible en las plataformas: Debian, Ubuntu, Gentoo, OpenSUSE, RHEL, CentOS, Fedora y Windows XP SP2.

Más información y descarga de OpenVAS:
http://www.openvas.org/index.html

Acerca de OpenVAS Cliente:
http://www.openvas.org/openvas-client.html

Acerca de OpenVAS Servidor:
http://www.openvas.org/openvas-server.html

Publicado por Alvaro Paz en 5:27 PM http://www.wikio.es 0 comentarios
Etiquetas: , , ,
Suscribirse a: Entradas (Atom)