Detectando intrusos en una red con Snort

lunes 8 de marzo de 2010
No suelo escribir sobre temas relacionados con redes pero hoy haré una excepción ya que he visto un sistema (ya había oído hablar mucho de el) de detección de intrusos muy interesante y completo, por eso me gustaría dedicarle una entrada en mi blog a Snort.

Snort es un sistema para detección de amenazas para un sistema o red, es decir monitoriza distinto tráfico que puede haber desde intrusos,diferentes tipos de ataques...muy útil para auditar un sistema o mantener un control de éste. La idea no es la de proteger frente a posibles ataques sino dar información sobre estos.


Dentro las características más notables de Snort cabe destacar las siguiente:

  • Tiene la función de sniffer para controlar el tráfico de un sistema,red o host.
  • Detecta intrusiones.
  • Da información sobre puertos con el fin de evitar agujeros de seguridad o anomalías en ellos.
  • Tiene un sistema de firmas de ataques actualizable que funciona a partir de patrones de ataques reales.
  • Dispositivo de almacenaje mediante logs sobre anomalías detectadas.
  • Previene de ataques ddos, backdoors y otros sistemas intrusivos, incluso de escáneres como el conocido Nmap.
  • Puede trabajar en distintos sistemas operativos como windows, Unix y Linux.
  • Uso de filtros personalizables mediante la libreria libpcap, la misma utilizada por TCPDump.
Por otra parte, el sistema de alertas es muy completo ya que podemos elegir de que forma queremos que se nos notifique, por ejemplo que se nos envié la alerta a otra aplicación, o que el mismo Snort nos lo indique por pantalla o por ejemplo que envie la alerta a otra estación de trabajo mediante un popup.

Para más información pueden visitar la página del proyecto, es open source y cuenta con una gran comunidad de usuarios para soporte,novedades y desarrollo.

http://www.snort.org/
Publicado por Albert López en 23:46 Etiquetas: ,
0 comentarios

Buscando Honeypots en la red

Para quien todavía no sepa lo que es un honypot, es un sistema web preparado para atraer a atacantes con el fin de recopilar información sobre el atacante, sobre las tendencias de ataque o simplemente para hacerle perder el tiempo.

El buscador de google es una buena herramienta para buscar honeypots, solamente hace falta un poco de gracia e intentar hacer una buena búsqueda con palabras que puedan contener un archivo interesante para un atacante, el mas sencillo seria por ejemplo pass.txt. Los honeypots pueden tener distintos grados de complejidad, inclúso pueden simular servidores reales con el fin de recojer detalladamente como se lleva a cabo un ataque.

Con mi búsqueda, simplemente a lo pronto he encontrado un honeypot muy sencillo, simplemente muestra al usuario un sistema raíz lleno de archivos con nombres sugerentes pero con ninguna finalidad más alla de avisar que es un honeypot. Pueden hecharle una ojeada en el siguiente enlace:

  • http://gray-world.net/etc/passwd/#wtf
Los atacantes generalmente aprovechan la potencia que brinda google para encontrar archivos comprometidos en servidores, no es difícil por descuido encontrar algúna base de contraseñas que alguien descuidado ha dejado en el servidor, inclúso datos confidenciales de personas.

Para hacer éste tipo de búsqueda generalmente se usa el comando inurl="busqueda" para buscar palabras directamente en el nombre de las páginas, por ejemplo podríamos buscar:

  • inurl = "/etc/passwd"
Con esa búsqueda acabaríamos encontrando por ejemplo el honeypot que he indicado antes, aunque también podríamos encontrar algún sistema real con usuarios, contraseñas... Con éste sencillo y curioso artículo espero que les despierte curiosidad el concepto de honeypot y es divertído localizarlos por la red.
Publicado por Albert López en 01:03 Etiquetas:
0 comentarios

Killtrojan Usb Firewall

jueves 4 de marzo de 2010
Descripción

Killtrojan Usb Firewall es una herramienta pensada para proteger cualquier ordenador de virus o gusanos que se propagan mediante dispositivos de discos extraíbles. La herramienta trabaja en modo de firewall, es decir, detecta cualquier tipo de malware que intenta infectar un ordenador desde un dispositivo extraíble usb y viceversa dando la opción al usuario de eliminar el fichero detectado o omitir el proceso permitiendo la propagación del archivo. Siempre la decisión final es del usuario ya que hay ciertas aplicaciones que crean archivos de autoarranque en unidades de disco extraíbles pero no suponen ningún peligro ni tienen acciones propias de malware. Además la aplicación es totalmente transparente a los ojos del usuario ya que la única interfaz gráfica es en los avisos. En la barra de herramientas junto al reloj, verán que cuando la herramienta está activada aparecerá el icono del programa. El kuf se auto ejecutara con el arranque del sistema, así tendrán protección permanente sin tener que preocuparse de ejecutarlo.



Una vez hecho el pago por paypal, de forma automática, se le facilitará un enlace donde descargar el producto. El enlace tiene una validez de 24 horas, de ésta forma se evitará demóras o problemas en el envío del producto.

"Proteja su ordenador por solo 16.50$/12€"

Detalles Técnicos

Nombre: kuf.exe
Nombre proceso: kuf.exe
Ruta: C:\killtrojan\kuf.exe
Tamaño: 152 kb
Propietario: Albert López
Versión del producto: 1.20
Clave de autoarranque: HKLM...Run/killtrojan "C:\killtrojan\kuf.exe"
Lenguaje de programación/Compilador: Visual basic 6

"Olvídese de los molestos virus que se propagan mediante medios extraíbles"

Requisítos Mínimos

  • Pentium 2 o superior a 300Mhz.
  • 32Mb de ram. - Disco duro de 8 gigas.
  • Puertos USB 1.0 o 2.0
  • Windows 2000/XP/Vista/Win7

*Compatible con cualquier software antivírus o firewall.
** La compra se realiza mediante paypal de forma segura.
Publicado por Albert López en 01:10 Etiquetas:
0 comentarios

Otro antivirus en la nube: Trend Micro Housecall

Otra empresa se ha animado para apostar software basado en la nube, en este caso se trata de Trend micro con su nuevo antivirus de nuevas tecnologías Housecall muy lijero y preparado para proteger equípos utilizando pocos recursos y con una simple conexión a internet. Protege cualquier ordenador de virus, gusanos,troyanos, espías y utiliza la tecnología Smart protection Network para detectar las amenazas más recientes.

Housecall presenta un gran abanico de novedades en cada versión que aparece y es que no lo tiene nada fácil con sus principales competidores como Panda Cloud o Inmunet Protection. En la última versión descargable pueden beneficiarse de las siguientes características.

  • Opciones de exploración completa del sistema y personalizada que permiten a los usuarios especificar las carpetas que desean explorar (nueva en la versión 7.1).
  • Opción de exploración rápida que permite realizar una búsqueda dirigida de áreas cruciales del sistema y de amenazas activas, lo cual reduce los tiempos de exploración a escasos minutos.
  • Implementación autónoma independiente del navegador que elimina los problemas de compatibilidad asociados a los exploradores activados por navegador.
  • Tecnología de exploración inteligente que consulta los patrones por Internet, ofreciendo la protección más actualizada a la par que reduce los tiempos de descarga.
  • Función de comentarios inteligentes para compartir información sobre las amenazas con Smart Protection Network, una infraestructura que correlaciona los datos de una red de información global con objeto de descubrir rápidamente las nuevas amenazas.
  • Funciones de revisión y restauración para comprobar y comparar los resultados de exploraciones y recuperar archivos.
  • Detección y limpieza mejoradas para rootkits y otras amenazas sofisticadas.

Requisítos:
  • Al menos un procesador IntelPentium™ a 300 MHz o equivalente.
  • 256 MB de memoria como mínimo.
  • Windows Xp, vista, Win7 con versión de 32 y 64 bits.
  • 200 MB de espacio disponible en disco como mínimo.
Descarga:
Publicado por Albert López en 00:01 Etiquetas:
0 comentarios
Suscribirse a: Entradas (Atom)