IDS Policy Manager es una herramienta para la administración en sistemas Windows de múltiples sensores IDS Snort para entornos distribuidos. Permite administrar las reglas en forma de políticas por sensor. Además de las reglas también es posible configurar todo el entorno del Sensor tal como preprocesadores, variables, módulos de salida y, en general, todo lo configurable en Snort a través del fichero de configuración snort.conf.

IDS Policy Manager puede, además, administrar sensores remotos, de tal forma que cualquier modificación de reglas o configuración del sensor lo podemos actualizar desde un solo host hacia varios sensores en hosts remotos.

En este artículo aprenderemos a configurar los sensores, crear una política y aplicarla.

Seguir leyendo el resto »

Este artículo es una mejora y actualización de otro que ya publiqué hace unos años (Servidor OpenSSH en windows NT/2k/XP).

Que es SSH y OpenSSH

OpenSSH es una implementación abierta y gratuita de SSH. SSH es un protocolo que permite establecer conexiones seguras a través de redes que no lo son, además es capaz de servir de tunel seguro para otros protocolos que tampoco lo son. Podemos entonces realizar tareas de mantenimientos de sistemas y conexiones remotas al estilo UNIX de forma segura.

SSH2, la segunda versión de SSH, resuelve algunas de las deficiencias de su antecesor SSH1, ofreciendo de esta manera un alto nivel de cifrado de datos y un método de autentificación bastante fiable. Es además una alternativa fiable a no seguro telnet ó rlogin, rsh, rcp, rdist.

Secure Shell previene, además, de una serie de ataques como son:

· Ataques proveniente de Sniffers.
· IP Spoofing
· MACpoofing
· DNS Spoofing
· Telnet Hickjacking
· ARP Spoofing
· ARP Spoofing
· IP Routing Spoofing
· ICMP Spoofing

Nos puede servir también para crear canales o túneles seguros para otras aplicaciones como correo, VNC, ftp, etc.

En esta artículo pues vamos a aprender a instalar un servidor SSH para Windows.

Seguir leyendo el resto »

Vamos a estudiar en este artículo otro de los mensajes frecuentes:
Time to Live exceeded in Transit.

Cuando realizamos en un sistema Windows un tracert para ver la ruta o camino que toman los paquetes, routers intermedios y lantencia de cada salto, este se ecuentra implementado transmitiendo paquetes ICMP con distintos valores en el campo TTL "Time To Live" de la cabecera IP. En sistemas Linux traceroute envía datagramas UDP.

Tracert determina la ruta enviando el primer paquete de eco con un TTL de 1 y aumentando el TTL en 1 en cada transmisión posterior, hasta que el destino responde o hasta que se alcanza el TTL máximo. La ruta se determina examinando los mensajes de ICMP Tiempo agotado devueltos por los enrutadores intermedios.

Cada router que recibe un paquete es responsable de reducir el TTL en 1, cuando un router recibe un paquete con TTL de 0, lo descarta y debe responder al equipo origen con un paquete icmp tipo 11 (time to live exceeded).

El campo TTL es reducido en cada salto, es decir, cada vez que un router recibe el paquete. Cuando un router reduce el campo TTL de un paquete a cero, lo descarta y genera un paquete ICMP con código "Time to Live exceeded in Transit".

El campo TTL además tiene una gran importancia dentro del datagrama IP en en el cual va encapsulado ICMP ya que impide que un mensaje esté dando vueltas de forma indefinida por la red.

Seguir leyendo el resto »

En este artículo vamos a estudiar la interpretación de los valores hexadecimales de la salida de TCPDump/WinDump referente al tráfico ICMP.

El protocolo internet (IP) no está diseñado para ser absolutamente fiable, es por tanto necesario un mecanismo, entre otros objetivos, sirva para la información de errores en el procesamiento de datagramas. Es aquí donde entra ICMP. Solo informa y no garantiza que un datagrama sea entregado.

ICMP se encapsula dentro del datagrama IP y se considera en la misma capa que IP.

Aspectos que diferencian a ICMP de TCP o UDP pueden ser que no tiene números de puerto como ya hemos estudiado en anteriores capítulos, no existe el concepto cliente-servidor y no garantiza entrega alguna. Soporta tráfico de difusión, es decir, se puede transmitir ICMP a varios hosts. Ping o traceroute son aplicaciones que usan ICMP.

Para la notificación de errores e incidencias ICMP tiene una serie de mensajes que se generan para cada situación.

Seguir leyendo el resto »

En este artículo vamos a ver una funcionalidad de Snort. Se trata de usar la opción de envío de alertas a un syslog remoto.

Este artículo es una actualización de otro que publiqué en otros medios.

Syslog es el servicio de registro de actividad presente en la mayoría de sistemas Unix.

Para Windows disponemos de varios programas que hacen de servidor syslog. Veamos uno de ellos. Se trata de Kiwi Syslog Daemon (8.3.7), aunque puede ser otro cualquiera.

Una vez instalado el servidor syslog, que podemos hacerlo como aplicación o como servicio, procedemos a configurarlo para que escuche por un determinado puerto y así Snort pueda de forma remota enviar los logs a través de la red.

Seguir leyendo el resto »

Wireshark es una herramieta multiplataforma de análisis de red, producto de la evolución de Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Este artículo es fruto de varios correos que me han llegado sobre como interpretar los datos mostrados en una captura.

Relacionado:
Análisis de red con Wireshark. Interpretando Las graficas. (I Parte).

Seguir leyendo el resto »

Ya vimos en la primera parte y segunda parte de este estudio sobre Análisis de capturas de tráfico de red la interpretación del datagrama IP y el segmento TCP, la interpretación de los valores hexadecimales de la salida de TCPDump/WinDump referente al datagrama IP y segmento TCP. Ahora vamos a estudiar e interpretar el datagrama UDP. UDP es el protocolo del nivel de transporte que, a diferencia de TCP, no es orientado a conexión y no es fiable. Es el protocolo más sencillo, más rápido, usado para aplicaciones multimedia y comunicaciones en las que se puede permitir la perdida de algún datagrama. Los datagramas UDP se encapsulan dentro de la parte de datos de un datagrama IP.

Seguir leyendo el resto »