Ya hemos visto en el artículo dedicado a IDS Policy Manager aquí y aquí como, entre otras cosas, podemos actualizar las reglas de varios sensores Snort remotos. Ahora vamos a algo más simple. Vamos a actualizar las reglas Snort de una forma más sencilla a través de Oinkmaster, un script de perl que nos facilita dicha operación. Al ser un sript de perl tenemos varias opciones para ejecutar Oinkmaster en un sistema Windows. Por su facilidad usaremos ActivePerl.

Seguir leyendo el resto »

Este artículo es fruto de algunos correos y algún comentario relativo a como filtrar en Wireshrak.

Wireshark contempla dos tipos de Filtros. Filtros de capura y Filtros de visualización. Como ya hemos comentado en otras ocasiones, en Wireshark para los filtros de captura podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump, ya que usa la misma libreria pcap.

Los filtros de captura (Capture Filter) son los que se establecen para mostrar solo los paquetes de cumplan los requisitos indicados en el filtro.

Los filtros de visualización (Display Filer) establecen un criterio de filtro sobre las paquetes capturados y que estamos visualizando en la pantalla principal de Wireshark. Estos filtros son mas flexibles y pontentes.

Vamos a estudiar cada uno de ellos.

Seguir leyendo el resto »

Snort tiene 3 modos de alerta. Por defecto en formato pcap, ascii y none o no logging. Tanto el formato ascii como pcap son enviados y guardados por Snort en el logdir o carpeta de logs ubicada normalmte en snort/log que establecemos con el comando -l

Formato pcap:

El formato pcap puede ser interpretado por analizadores tales como Windump/Tcpdump o Wireshark para su mejor comprensión y análisis.

Seguir leyendo el resto »

Ya vimos en el primer artículo dedicado a IDS Policy Manager la instalación y configuración de políticas y sensores Snort de forma local. En este artículo avanzamos un poco más. Vamos a instalar y configurar un sensor remoto. De esta manera tenemos en un host todas las políticas de nuestros sensores remotos en Local que administraremos, modificaremos y actualizaremos. Una vez realizado esto se enviaran las configuraciones a los sensores remotos a tavés de Internet utilizando el protocolo FTP.

Actualizado 06-03-09 (14:24.)

Seguir leyendo el resto »

Una de las aplicaciones que podemos dar a SSH es la creación de túneles seguros, es decir, crear conexiones TCP seguras a través de una canal o red insegura. Ya sabemos que muchas aplicaciones usan protocolos inseguros que envían, por ejemplo, nombre de usuario y contraseña en texto. SSH cifra los datos para que viajen seguros tanto por redes locales como hosts remotos a través de internet. Podemos también, por poner otro ejemplo, crear un canal seguro entre un servidor y un cliente MySQL, leer correo o tunelizar conexiones remotas via VNC.

La primera aplicación que vamos a explicar aquí es el uso de SSH con OpenSSH para tunelizar conexiones con VNC o RealVNC.

Seguir leyendo el resto »

IDS Policy Manager es una herramienta para la administración en sistemas Windows de múltiples sensores IDS Snort para entornos distribuidos. Permite administrar las reglas en forma de políticas por sensor. Además de las reglas también es posible configurar todo el entorno del Sensor tal como preprocesadores, variables, módulos de salida y, en general, todo lo configurable en Snort a través del fichero de configuración snort.conf.

IDS Policy Manager puede, además, administrar sensores remotos, de tal forma que cualquier modificación de reglas o configuración del sensor lo podemos actualizar desde un solo host hacia varios sensores en hosts remotos.

En este artículo aprenderemos a configurar los sensores, crear una política y aplicarla.

Seguir leyendo el resto »

Este artículo es una mejora y actualización de otro que ya publiqué hace unos años (Servidor OpenSSH en windows NT/2k/XP).

Que es SSH y OpenSSH

OpenSSH es una implementación abierta y gratuita de SSH. SSH es un protocolo que permite establecer conexiones seguras a través de redes que no lo son, además es capaz de servir de tunel seguro para otros protocolos que tampoco lo son. Podemos entonces realizar tareas de mantenimientos de sistemas y conexiones remotas al estilo UNIX de forma segura.

SSH2, la segunda versión de SSH, resuelve algunas de las deficiencias de su antecesor SSH1, ofreciendo de esta manera un alto nivel de cifrado de datos y un método de autentificación bastante fiable. Es además una alternativa fiable a no seguro telnet ó rlogin, rsh, rcp, rdist.

Secure Shell previene, además, de una serie de ataques como son:

· Ataques proveniente de Sniffers.
· IP Spoofing
· MACpoofing
· DNS Spoofing
· Telnet Hickjacking
· ARP Spoofing
· ARP Spoofing
· IP Routing Spoofing
· ICMP Spoofing

Nos puede servir también para crear canales o túneles seguros para otras aplicaciones como correo, VNC, ftp, etc.

En esta artículo pues vamos a aprender a instalar un servidor SSH para Windows.

Seguir leyendo el resto »

Vamos a estudiar en este artículo otro de los mensajes frecuentes:
Time to Live exceeded in Transit.

Cuando realizamos en un sistema Windows un tracert para ver la ruta o camino que toman los paquetes, routers intermedios y lantencia de cada salto, este se ecuentra implementado transmitiendo paquetes ICMP con distintos valores en el campo TTL "Time To Live" de la cabecera IP. En sistemas Linux traceroute envía datagramas UDP.

Tracert determina la ruta enviando el primer paquete de eco con un TTL de 1 y aumentando el TTL en 1 en cada transmisión posterior, hasta que el destino responde o hasta que se alcanza el TTL máximo. La ruta se determina examinando los mensajes de ICMP Tiempo agotado devueltos por los enrutadores intermedios.

Cada router que recibe un paquete es responsable de reducir el TTL en 1, cuando un router recibe un paquete con TTL de 0, lo descarta y debe responder al equipo origen con un paquete icmp tipo 11 (time to live exceeded).

El campo TTL es reducido en cada salto, es decir, cada vez que un router recibe el paquete. Cuando un router reduce el campo TTL de un paquete a cero, lo descarta y genera un paquete ICMP con código "Time to Live exceeded in Transit".

El campo TTL además tiene una gran importancia dentro del datagrama IP en en el cual va encapsulado ICMP ya que impide que un mensaje esté dando vueltas de forma indefinida por la red.

Seguir leyendo el resto »

En este artículo vamos a estudiar la interpretación de los valores hexadecimales de la salida de TCPDump/WinDump referente al tráfico ICMP.

El protocolo internet (IP) no está diseñado para ser absolutamente fiable, es por tanto necesario un mecanismo, entre otros objetivos, sirva para la información de errores en el procesamiento de datagramas. Es aquí donde entra ICMP. Solo informa y no garantiza que un datagrama sea entregado.

ICMP se encapsula dentro del datagrama IP y se considera en la misma capa que IP.

Aspectos que diferencian a ICMP de TCP o UDP pueden ser que no tiene números de puerto como ya hemos estudiado en anteriores capítulos, no existe el concepto cliente-servidor y no garantiza entrega alguna. Soporta tráfico de difusión, es decir, se puede transmitir ICMP a varios hosts. Ping o traceroute son aplicaciones que usan ICMP.

Para la notificación de errores e incidencias ICMP tiene una serie de mensajes que se generan para cada situación.

Seguir leyendo el resto »

En este artículo vamos a ver una funcionalidad de Snort. Se trata de usar la opción de envío de alertas a un syslog remoto.

Este artículo es una actualización de otro que publiqué en otros medios.

Syslog es el servicio de registro de actividad presente en la mayoría de sistemas Unix.

Para Windows disponemos de varios programas que hacen de servidor syslog. Veamos uno de ellos. Se trata de Kiwi Syslog Daemon (8.3.7), aunque puede ser otro cualquiera.

Una vez instalado el servidor syslog, que podemos hacerlo como aplicación o como servicio, procedemos a configurarlo para que escuche por un determinado puerto y así Snort pueda de forma remota enviar los logs a través de la red.

Seguir leyendo el resto »