Tag Archives: eh

Lynis: Herramienta de Seguridad y Auditoria para Sistemas *nix

lynisLynis es una herramienta de auditoria para sistemas *nix (Unix/Linux). La misma ejecuta un análisis de seguridad y determina el estado de “hardering” del host. Cualquier problema de seguridad que sea detectado proporcionara una sugerencia o una advertencia. Junto con la información relacionada con la seguridad también buscara información general del sistema, paquetes instalados y posibles errores de configuración. En general, es una herramienta de auditoria y seguridad para “hardering” de sistemas *nix (Unix/Linux).

Este software tiene como objetivo asistir de manera automatica en la auditoria, “hardering”, gestion de parches, y el analisis de vulnerabilidades y malware de sistemas *nix (Unix/Linux). Se puede ejecutar sin necesidad de instalación, por lo que se puede utilizar en medios extraibles como ser CD/DVD, pendrives, etc.

Es una herramienta que ayuda a los auditores en la realizacion de auditorias basadas en los estandares Basel II, GLBA, HIPAA, PCI DSS and SOx (Sarbanes-Oxley).

Lynis esta desarrollada para ser utilizada por especialistas de seguridad, pentesters, auditores de sistemas, administradores de sistemas.

Algunos ejemplos de testeos:

  • Métodos disponibles de autenticación
  • Certificados SSL expirados
  • Software desactualizado
  • Cuentas de usuario sin password
  • Permisos de archivos incorrectos
  • Errores de configuración
  • Auditoria de Firewall

lynis-screenshot

Lynis es un script de auditoria escrito en lenguaje de scripting shell (sh). Por lo tanto, se ejecuta en la mayoría de los sistemas sin ningún tipo de configuración. Los paquetes están creados para facilitar su instalación. Aun así, si nos interesa bajar la versión mas reciente, basta con descargar el “tarball”, extraerlo en un directorio temporal y ejecutar la herramienta.

Testeado en los siguientes SO:

  • ArchLinux
  • CentOS
  • Debian
  • FedoraCore
  • FreeBSD
  • Gentoo
  • Knoppix
  • LinuxMint
  • MacOSX
  • Mandriva
  • OpenBSD
  • OpenSolaris
  • OpenSuSE
  • OracleLinux
  • PcBSD
  • PCLinuxOS
  • RedHatEnterpriseLinux(RHEL)
  • RedHatderivatives
  • Slackware
  • Solaris10
  • Ubuntu

Descarga

BackTrack 5 R2 – VirtualBox Guest Additions + Solución problemas USB

VirtualBox, es por excelencia, la solución mas adecuada de virtualización para ejecutar BackTrack. Desafortunadamente, con la ultima release de BackTrack, los “guest additions” de VirtualBox no se pueden instalar en una nueva instalación limpia. Afortunadamente  después de realizar algunas modificaciones, todo se puede acomodar para compilar “guest additions” para el Kernel 3.2.6 de Linux BackTrack 5 R2.

Si deseamos soporte para dispositivos USB 2.0 debemos descargar e instalar Oracle VM Extension Pack para VirtualBox

No voy a describir los pasos para instalar BackTrack en VirtualBox. Se pueden encontrar una gran cantidad de tutoriales en Internet para hacer una instalación desde cero o pueden pasar por mi tutorial para actualizar a BackTrack 5 R2.

Problema 1 (solucionado) Error de descriptor en Dispositivo USB

Solución

El numero de procesadores para el sistema operativo invitado (Guest OS) debe establecerse en 1 o eventualmente en 2…

Por ejemplo, mi PC de escritorio tiene un quad core, pero debo establecerlo en 2 para solucionar este problema…

(Incluso si el numero recomendado en pantalla por VirtualBox es 4)

Problema 2 (solucionado) VirtualBox Guest Additions

Cuando intentamos instalar “Guest Additions” alguno o ambos de estos dos tipos errores pueden ocurrir y conducir a una extensión de kernel vboxguest imposible de cargar.

The headers for the current running kernel were not found. If the following module compilation fails then this could be the reason.

y

Building the main Guest Additions module …fail!

(Look at /var/log/vboxadd-install.log to find out what went wrong)

Ambos problemas dan lugar a:

Starting the VirtualBox Guest Additions …fail!

(modprobe vboxguest failed)

Solución

Listo para instalar “VirtualBox Guest Additions” …. 😉

Buen Trabajo! Ahora a reiniciar y disfrutar de la resolucion de pantalla adaptable, movimientos del mouse fluidos, uso compartido de carpetas y archivos, copiar/pegar desde el host y visceversa… y demás!

Preparando un entorno vulnerable para pruebas de penetración (Pentesting)

Si queremos hacer prácticas con Metasploit u otras herramientas en un entorno controlado es bueno poder tener un sistema operativo configurado de manera que pueda ser susceptible a ataques para poder practicar. En la web de Offensive Security existe una guía de como configurar un Windows XP Service Pack 2 para habilitar servicios y aplicaciones vulnerables. Me he basado en la web de Offensive Security para realizar el siguiente tutorial.

No entraré en detalles de como realizar una instalación de Windows, sólo hay que instalarla con las opciones por defecto.

Una vez instalado vamos a configurar ciertas cosas.

  • Primero lo que haremos será deshabilitar protecciones nativas del sistema operativo además de desactivar las notificaciones.

Nos vamos al centro de Seguridad en Windows XP.

Desactivamos Firewall, antivirus, y vamos a las opciones de notificación que hay marcadas en la imagen

Desmarcamos las checkboxes.

Por defecto viene activado la compartición de archivos simple, pero no está de mas revisarlo. En opciones de carpeta comprobamos que este marcado:

Ahora ya hemos configurado una parte de sistema operativo…

Continue reading

Actualizando a Backtrack 5 R2

Ya esta disponible para todos la tan esperada actualización del kernel R2 para Backtrack 5 en los repositorios oficiales. Con el flamante kernel 3.2.6, una gran cantidad de herramientas nuevas y actualizadas y muchos parches de seguridad, BT5 R2 proporcionara un entorno de pruebas de pentesting mas estable y completo que nunca. Realizare una serie de publicaciones en el blog acerca de como actualizar, hacer frente a los entornos virtuales (VMWare, VirtualBox, etc) e incluso armar tu propia versión de la actualización BT5 R2. Por ahora, explicare como obtener el nuevo kernel y todas las novedades de esta actualización:

1. Actualizando nuestra instalación de BT5 (R1):

apt-get update

apt-get dist-upgrade

apt-get install beef

reboot

Una vez que hacemos esto, ya tenemos el nuevo kernel instalado, así como las ultimas actualizaciones oficiales que tenemos para la versión R2. Es necesario reiniciar el sistema para que los nuevos cambios funciones y empiece a funcionar el kernel 3.2.6

2. (Opcional) Una vez reiniciado, entramos al sistema y restauramos el splash screen:

fix-splash

reboot

En el próximo reinicio, deberíamos ver que la splash screen funcionara correctamente.

3. Verificamos que se esta ejecutando el nuevo kernel 3.2.6:

uname -a

Deberíamos ver algo así como “Linux 3.2.6 bt….”

4. También podemos instalar algunas o todas las nuevas herramientas que aparecen en Backtrack 5 R2:

apt-get install pipal findmyhash metasploit joomscan hashcat-gui golismero easy-creds pyrit sqlsus vega libhijack tlssled hash-identifier wol-e dirb reaver wce sslyze magictree nipper-ng rec-studio hotpatch xspy arduino rebind horst watobo patator thc-ssl-dos redfang findmyhash killerbee goofile bt-audit bluelog extundelete se-toolkit casefile sucrack dpscan dnschef

5. Agregamos los nuevos repositorios de actualizaciones de seguridad a /etc/apt/sources.list, y ejecutamos otra actualización:

echo “deb http://updates.repository.backtrack-linux.org revolution main microverse non-free testing” >> /etc/apt/sources.list

apt-get update

apt-get dist-upgrade

Durante la ultima actualización nos preguntara sobre el archivo de revisión de actualizaciones. Tenemos que asegurarnos de mantener siempre el archivo de instalación local. Tenemos que pulsar la tecla “Enter” y aceptar todos los valores predeterminados.

6. Algunos de los servicios recién instalados se configuran para iniciarse al arrancar. Si nos gusta desactivarlos y habilitarlos cuando sea necesario:

/etc/init.d/apache2 stop

/etc/init.d/cups stop

/etc/init.d/winbind stop

update-rc.d -f cups remove

update-rc.d -f apache2 remove

update-rc.d -f winbind remove

Y listo.. ya tenemos BackTrack 5 actualizado a su Release 2 (R2), con todos los parches de seguridad y las nuevas herramientas!

Comprueba si el Firewall funciona con Ftester

Ftester es una herramienta que permite averiguar si el Firewall funciona correctamente como espera que lo haga, cuando ya lo ha puesto en marcha. Pero ¿ha comprobado que está bloqueando todo lo que se supone que debe bloquear? Quizá no porque haya pensado que le llevara mucho tiempo o es muy complejo utilizar fragmentación de paquetes manualmente.

Por suerte existe Ftester, una herramienta gratuita para probar en una auditoria o Hacking Etico intensivamente un Firewall cualquiera que sea.

Ftester está compuesto por tres programas escritos en Perl y permite inyectar paquetes personalizados desde un punto interno o externo de la red, entregando un log donde se evidencia cuales son los paquetes capaces de a travesar el cortafuegos.

El formato para inyectar paquetes UDP o TCP es el siguiente:

DirecciónIPOrigen:PuertoOrigen:DirecciónIPDestino:PuertoDestino:Protocolo:tos

En el campo opciones puede indicar que opciones TCP quiere que se incluyan en cada paquete. Los valores posibles son:

  • S para SYN
  • A para ACK
  • P para PSH
  • U para URG
  • R para RST
  • F para FIN

El campo protocolo permite seleccionar entre los protocolos TCP y UDP y tos contiene el numero que identifica el tipo de servicio (Type of Service) dentro de la cabecera IP. A veces, los routers utilizan el contenido de este campo para tomar decisiones sobre la prioridad del trafico. Para mas información del campo ToS lea el documeto RFC 791.

Por ejemplo la siguiente orden envia un paquete que parte de la IP 172.16.14.31 y el puerto 1025 a la IP 172.16.9.4 (<— Firewall) por el puerto 10000.

./ftester -c 172.16.9.31:1025:172.16.9.4:10000:s:tcp:0

Antes de ejecutar ftest debera poner en funcionamiento ftestd asi:

./ftestd -i eth0

Despues ejecute ftest

./ftest -f ftest.conf

La orden anterior le creara un log llamado ftest.log donde podra ver todos los datos de la auditoria, una buena pratica es utilizar ftest cada vez que realiza una nueva configuracion en el Firewall.

Descargar FTester