A estas alturas ya todos sabemos qué es Skype. No voy a descubrir nada nuevo sobre este software para realizar llamadas (voz), chat, etc, a través de internet desde un PC a otro PC.

Solo comentar, como peqeño resúmen, que hace uso de VoIP gracias a la tecnología P2P (algo vimos aquí sobre detectar P2P en nuestra red ) y usa cifrado fuerte para las comunicaciones. Según Skype:

“Skype usa AES (el Estándar de Cifrado Avanzado), también conocido como Rijndel, que también es usado por organizaciones estadounidenses de gobierno para proteger la información sensible. Skype usa el cifrado de 256 bit, que tiene un total de 1.1 x 10E77 llaves posibles, para cifrar los datos activamente en cada llamada de Skype o en cada mensaje instantáneo. Skype usa 1536 a 2048 bit RSA (Algorithm for Public-Key Encryption) para negociar llaves simétricas AES. Las llaves de usuario público son certificadas por el servidor Skype en la conexión.”

Es decir, que en principio, descifrar una conversación Skype es algo prácticamente imposible. Además, el software o protocolo de seguridad de Skype es propietario, cerrado y secreto.

En este artículo nos centraremos en como bloquear el uso de este software. Eso sí, haciendo uso de las herramientas de captura de tráfico como Wireshark, y Snort en todo lo que nos sea posible. Además no servirá para bloquear otros tipos de tráfico usando la misma "técnica".

NOTA: Iré actualizando con soluciones de bloqueo avanzadas de distintos dispositivos hardare.

Seguir leyendo el resto »

Ya sabemos que son los preprocesadores de Snort, como funcionan y donde se sitúan. Ahora vamos a ir estudiendo uno a uno. Empezamos con frag3.

Seguir leyendo el resto »

Después de varios artículos sobre opciones de la reglas Snort, relacionadas con el contenido y no relacionadas con el contenido, hacemos un paréntesis para hablar de los proprocesadores.

Los preprocesadores, básicamente, son unos módulos, añadidos o plugins que usa Snort para arreglar, rearmar, modificar tramas que vienen del decodificador de paquetes antes de que pasen por el motor de detección y las reglas. Pero donde se sitúan, como actúan, que preprocesadores tiene Snort y como funcionan....

Seguir leyendo el resto »

Seguimos con las opciones de Snort que no está relacionadas con el contenido o Payload. Ya vimos en la primera parte las opciones Fragoffset y Fragbits. También vimos en la segunda parte TTL, ID, Dsize, Seq, Ack, Icode, Itype y Tos, que forman parte de campos de la cabecera IP, segmento TCP, e ICMP.

En este capítulo terminaremos con este tipo de opciones de reglas con ipopts, flags, flow y window.

Seguir leyendo el resto »

Snort Security Platform 3.0 Beta es la nueva plataforma IDS con una nueva arquitectura. De esta manera, ahora Snort separa el engine o motor de manejo de paquetes de la parte de detección de intrusos en forma de plugins, de forma que se puedan manejar una o más engines a la vez.

Se reescribe por completo todo el código. Otro cambio es la aparición de una línea de comandos para interactuar con Snort en el mismo momento de ejecutarlo o conectarnos con este mediante la herramientas “snortsp_tool”, pudiendo cambiar la configuración de Snort en "tiempo real".

El control de Snort se realizarán meidamnte el lenguage LUA que ya vimos de forma básica en Tshark, Wireshark en línea de comandos. (IV Parte.) Usando el lenguaje Lua.

Otras características implementadas son:

• Snort toma "consciencia" del entorno de red en el que encuentra, de esta forma es ahora capaz de priorizar alarmas, detectar posibles ataques basados en técnicas de evasión y reducir en todo lo posible la configuración manual.
• Soporte nativo para IPv6, IPv4, MPLS y GR.
• Soporte para operar en modo inline.
• Aumento de plugins y módulos para adquisición de datos, decodificadores y analizadores de tráfico.
• Ejecución multihilo. De esta forma, como ya hemos visto, se ejecutan varios engines que pueden analizar de forma simultánea el mismo tráfico.
• Mejora del rendimiento.
• .......

Podemos descargarlo desde snort-3.0.0-b2.tar.gz.

Seguimos con las opciones de Snort que no está relacionadas con el contenido o Payload. Ya vimos en la primera parte las opciones Fragoffset y Fragbits. ahora nos centraremos en TTL, ID, Dsize, Seq, Ack, Icode, Itype y Tos, que forman parte de campos de la cabecera IP, segmento TCP, e ICMP.

Seguir leyendo el resto »

Después de las vacaciones y una temporada de relajación bitacoril, además de temporada de bastante trabajo, sigo añadiendo contenido. En este caso seguimos con las opciones de las reglas Snort. Ya he hablado de las reglas en los diferentes artículos al respecto, el último de ellos referido a las reglas de contenido, las opciones para crear reglas Snort, y, en general, todo lo respecto a Snort com IDS (Sistema Detección de Intrusos). En este artículo vamos a tratar las opciones de reglas Snort que no está relacionadas con el contenido o Payload. Entre estas opciones veremos, a través de varios artículos, algunas como:

• fragoffset
• ttl
• id
• dsize
• fragbits
• seq
• ack
• icode
• tos
• .......

Seguir leyendo el resto »

Aunque estamos viendo, en los diferentes artículos al respecto, las opciones para crear reglas Snort, y, en general, todo lo respecto a Snort com IDS (Sistema Detección de Intrusos), vamos a realizar una parada, para estudiarlo con más detenimiento, en content, opción de la regla que busca contenidos en la carga útil de un paquete o payload y las opciones de content como pueden ser:

• Depth
• Offset
• Nocase
• Distance
• Within

Seguir leyendo el resto »

Ya vimos en la serie dedicadda a Snort, en uno de los capítulos dedicado a la creación de reglas Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (II). Opciones de las reglas. ,la opcion content. Recordemos:

Content busca un determinado patrón en el contenido del paquete. Es sensible a mayúsculas/minúsculas. Puede ser texto, binario o una mezcla de ambos. el contenido binario se encierra entre || y se representa en hexadecimal. Podemos negar también un contenido.

Pero hay más. Content entiende también de expresiones regulares mediante PCRE.

Seguir leyendo el resto »

Fruto de algún comentario y correos voy a tratar en este artículo la configuración, de forma muy sencilla, de Snort para el envío de las alertas a una base de datos, en este caso MySql. Crearemos la base de datos y toda la configuración necesaria para la comunicación entre Snort y MySql.

Seguir leyendo el resto »