Comprueba si el Firewall funciona con Ftester

Ftester es una herramienta que permite averiguar si el Firewall funciona correctamente como espera que lo haga, cuando ya lo ha puesto en marcha. Pero ¿ha comprobado que está bloqueando todo lo que se supone que debe bloquear? Quizá no porque haya pensado que le llevara mucho tiempo o es muy complejo utilizar fragmentación de paquetes manualmente.

Por suerte existe Ftester, una herramienta gratuita para probar en una auditoria o Hacking Etico intensivamente un Firewall cualquiera que sea.

Ftester está compuesto por tres programas escritos en Perl y permite inyectar paquetes personalizados desde un punto interno o externo de la red, entregando un log donde se evidencia cuales son los paquetes capaces de a travesar el cortafuegos.

El formato para inyectar paquetes UDP o TCP es el siguiente:

DirecciónIPOrigen:PuertoOrigen:DirecciónIPDestino:PuertoDestino:Protocolo:tos

En el campo opciones puede indicar que opciones TCP quiere que se incluyan en cada paquete. Los valores posibles son:

  • S para SYN
  • A para ACK
  • P para PSH
  • U para URG
  • R para RST
  • F para FIN

El campo protocolo permite seleccionar entre los protocolos TCP y UDP y tos contiene el numero que identifica el tipo de servicio (Type of Service) dentro de la cabecera IP. A veces, los routers utilizan el contenido de este campo para tomar decisiones sobre la prioridad del trafico. Para mas información del campo ToS lea el documeto RFC 791.

Por ejemplo la siguiente orden envia un paquete que parte de la IP 172.16.14.31 y el puerto 1025 a la IP 172.16.9.4 (<— Firewall) por el puerto 10000.

./ftester -c 172.16.9.31:1025:172.16.9.4:10000:s:tcp:0

Antes de ejecutar ftest debera poner en funcionamiento ftestd asi:

./ftestd -i eth0

Despues ejecute ftest

./ftest -f ftest.conf

La orden anterior le creara un log llamado ftest.log donde podra ver todos los datos de la auditoria, una buena pratica es utilizar ftest cada vez que realiza una nueva configuracion en el Firewall.

Descargar FTester

Diferencia entre Linux y Unix

¿Que es Linux?

Linux es actualmente un nombre común para una gran variedad de sistemas operativos. Muchas empresas venden Linux y es posible que haya oído hablar de algunas de ellas, Red Hat, Debian, SuSe, Slackware, etc. Linux es un buen SO, ya que es compatible con el popular lenguaje de programación PHP. Es también elegido por muchas empresas de hosting web, en la que, en general, tiene un historial de seguridad muy bueno y tiende en promedio a ser un sistema operativo estable. Además, el software Linux es gratis.

¿Que es Unix?

La ultima versión se dice que se encuentra muy cera en comparación con las versiones de Linux. La principal diferencia es la historia de como las dos versiones llegaron a existir. Linux es una rama del sistema operativo Unix, donde los sistemas operativos “Unix-based” son refinamientos de Unix mismo. Linux, básicamente, es un primo de los sistemas operativos “Unix-Based”. Los principales sistemas operativos “Unix-based” son FreeBSD y OpenBSD. Estos sistemas operativos suelen ser muy estables, una vez instalados. OpenBSD también tiene la reputación de ser muy seguro, se dice que en los últimos 6 años solo había un agujero de seguridad en el propio software. Sin embargo, OpenBSD no permite todo, tienes que sacrificar algo de flexibilidad por seguridad. Estos sistemas operativos (FreeBSD y OpenBSD) son gratis al igual que Linux. Por lo general las empresas de hosting Unix son mas baratas que Windows Server, esto se debe a que la mayoría de los sistemas operativos Unix y su software son gratuitos. Sin lugar a dudas los servicios de hosting del tipo Unix/Linux (nix, **nix) son mas populares y si tiene la intención de utilizar programas Perl, Python en su sitio, les recomiendo Unix, aunque Perl y Python  están disponibles para Windows Server no son soportados nativamente. La mayoría de los scripts Perl y Python en Internet son para Unix/Linux y algunos incluyen funciones que solo funcionaran en un sistema Unix/Linux, tales como el uso de sendmail. Muchos desarrolladores están de acuerdo en que la combinación de Perl o Python y MySQL/mSQL en un servidor Unix es la mejor combinación para aplicaciones web y el acceso a base de datos, es barato y puede soportar muchos procesos simultáneos.

Sistemas de Detección de Intrusos (Parte I)

Si están interesados en la seguridad de red, o si estas interesado en data mining, o si estas interesado en seguridad informática, en este post explicare todo lo que deben saber sobre los Sistemas de Detección de Intrusos (IDS).

Los Sistemas de Detección de Intrusos (IDS) se han hecho muy populares en los últimos tiempos debido a la cantidad y variedad en los métodos de intrusión, en la era de la tecnología que estamos viviendo los investigadores y expertos de seguridad enfrentan a diario muchos desafíos, por lo que es una necesidad crear algo que permita monitorear toda la red.

En el campo de la seguridad de la información, una intrusión puede significar un hacker, un cracker o simplemente una actividad anormal, si un atacante obtiene acceso dentro de la red y el mismo intenta robar información confidencial, puede causar un gran daño a la empresa, lo que significa que dispone de toda la información.

Si existe el Firewall para protegerse de estos ataques entonces porque necesitamos este nuevo termino IDS?

Limitaciones del Firewall

Aunque el Firewall es muy bueno para asegurar una red de computadoras, tienen algunas limitaciones, el firewall es simplemente un “muro” entre su red de computadoras y el mundo exterior (Internet). Este permite el paso a cierto tipo de tráfico y bloquear que otro tipo de tráfico se introduzca dentro de la red, no puede tomar decisiones en la estructura básica de los paquetes que ingresan.

Hay diferentes maneras de eludir y engañar a un Firewall. Este no puede ayudar cuando:

  • Las conexiones que lo evitan (Reglas Permitidas)
  • Una Nueva Amenaza
  • Un programa malicioso se oculta en un archivo adjunto del e-mail

Visión general de un Sistema de Detección de Intrusos (IDS)

Un Sistema de Detección de Intrusos controla el tráfico de red y toma decisiones acerca de los paquetes que entran y salen de la misma, estas decisiones están basadas en la información que recoge de los sensores del IDS. En resumen, un Sistema de Detección de Intrusos (IDS) se utiliza para controlar toda la red, detecta intrusos, es decir, programas o personas no autorizadas, inesperadas o no deseadas en la red. Un IDS ofrece lo siguiente:

  • Auditar el SO (Sistema Operativo)
  • Monitorear y analizar el tráfico de red y la actividad de usuarios y del sistema
  • Audita el sistema buscando vulnerabilidades

El IDS tiene múltiples sensores utilizados para controlar las actividades inesperadas y no deseadas.

  • Un sensor que monitorea los archivos de log
  • Un sensor que monitorea las conexiones TCP entrantes y salientes.

Un IDS puede funcionar de forma manual, pero se recomienda en su mayoría que un Adminitrador IT automatice el IDS para garantizar la seguridad. Podemos clasificar los IDS en dos tipos principales:

  • Sistema de Detección de Intrusos de Red (NIDS)
  • Sistema de Detección de Intrusos de Host o Maquina (HIDS)

Continuara….