viernes, 27 de junio de 2008

OPEN OFFICE SE ACTUALIZA POR SEGURIDAD

Open Office es una suite ofimatica de software libre de distribución gratuita que incluye herramientas como procesador de textos, hoja de calculo y presentaciones power point entre otros.

Ahora se ha descubierto una vulnerabilidad en la
suite ofimática OpenOffice.org que permitiría a un atacante tomar el control total del sistema, todas las versiones entre la 2.0 y la 2.4 se ven afectadas.
OpenOffice.org es un software multiplataforma y por lo tanto el bug mencionado se encuentra presente en todos los sistemas operativos soportados. Si bien por el momento no se ha detectado en circulación códigos que lo exploten, se recomienda la actualización a la última versión disponible (2.4.1) que además incluye mejoras en sus componentes básicos.

OpenOffice.org 2.4.1 puede ser descargado desde su página oficial

Informacion tomada de Rompecadenas

martes, 24 de junio de 2008

INFORME DE VULNERABILIDAD

Informe de las vulnerabilidades encontradas en un equipo de la red con direccion ip 10.3.8.236 y su sistema operativo es windows xp service pack 2

El equipo tiene los siguientes servicios
ssh (22/tcp)
ntp (123/udp)
netbios-ssn(137/udp) Alerta
microsoft-ds (445/tcp)
general/tcp Alerta
epmap (135/tcp) vulnerabilidad

Informe de las alertas y las Vulnerabilidades
netbios-ssn(137/udp) Alerta

los siguientes 6 nombres NetBIOS se han reunido
PRUEBAXP = este es el nombre del equipo de trabajo registrados por los servicios de un cliente.
PRUEBAXP = nombre del ordenador.
GRUPO_TRABAJO = grupo de trabajo/nombre de dominio.
GRUPO_TRABAJO = grupo de trabajo/nombre de dominio, el host remoto tiene la siguiente direccion mac en su adaptador (08:00:27:cc:fe:14) si usted no quiere permitir que todo el mundo pueda encontrar el nombre Netbios de su ordenador, debe filtrar el trafico entrante a este puerto.
factor de riesgo: Medio
CVE : CAN-1999-0621



general/tcp Alerta se esta ejecutando una version de nessus que no esta configurado para recibir un completo plugin feed. Como resultado de ello, la auditoria de la seguridad de la maquina remota ha producido un resultado incompleto. tendra que registrar su nessus escaner en red en http://www.nessus.org/register/ y luego ejecute
# nessus-update-plugins para obtener los plugins de nessus
.

En el enlace anterior podemos registrar nuestro producto para obtener otros plugins de nessus pero no es necesario para este caso




epmap (135/tcp) vulnerabilidad en el host remoto se esta ejecutando una version de Windows que tiene una falla en su interfaz RPC que puede permitir a un atacante ejecutar codigo arbitrario y obtener privilegios del sistema. hay al menos un gusano que esta aprovechando esta vulnerabilidad, el gusano MsBlaster.
Solucion:
consulte http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx

Factor de riesgo:
Alto
BID: 8205
Otras referencias: IAVA :2003-A-0011

Consultando la pagina web que aparece en el enlace anterior nos ofrece mas informacion sobre lo que debemos hacer para solucionar esta vulnerabilidad.


jueves, 19 de junio de 2008

NETCAT

Netcat es un pequeño programa creado para uso de los administradores de redes (y por supuesto para los Hackers), Netcat tiene infinidad de funciones. La especialidad de NetCat es el Protocolo tcp/ip, y le dá a la máquina de windows, cierto poder sobre este protocolo, en UNIX trabaja con lineas de comandos desde una Shell y según parece, puede hacer casi cualquier cosa sobre TCP/IP. El comando principal es nc con su respectiva variable u opción al mas puro estilio Unix. Con el parámetro -h obtenemos un listado con las opciones disponibles

#nc -h

A continuacion un ejemplo
Para nuestro ejemplo utilizamos las siguientes opciones

-z Escanear puertos
-v modo verbose, mas información, se le puede añadir otra -v para mas
info todavia) Bastante util y necesario, sobre todo para estudiar demonios en profundidad y observar todos los detalles en un Sniffing.
-w Con esta opción le especificas un tiempo determinado para realizar conecciones.
1-1024 le especificamos que escanee ese rango de puertos


Enlaces intresantes
Wikipedia
Sobre Netcat

martes, 17 de junio de 2008

NMAP

Es una de las herramientas utilizadas para realizar auditorias de seguridad usando los paquetes IP, tambien se usa para descubrir servicios o servidores en una red informatica.
Nmap puede funcionar en muchos sistemas operativos, como las diversas distribuciones de Unix (Linux, Solaris, Mac OS X, y BSD), y también en otros como Microsoft Windows
ademas puede utilizarse de muchas maneras pero las principales son:
-> Descubrimiento de servidores: Identifica computadoras en una red, por ejemplo listando aquellas que responden a un ping.
-> Identifica puertos abiertos en una computadora.
-> Determina qué servicios está ejecutando la misma.
-> Determinar qué sistema operativo y versión utilizada en la maquina. entre otras

Instalacion de Nmap en Linux

# apt-get install nmap

si no sabes como utilizar nmap puedes utilizar la ayuda
# nmap --help
# man nmap

Sintaxis para utilizar nmap
nmap [Tipos de escaneo] [Opciones] [Destino]

Como utilizar nmap

-sP ping "scan". Este es utilizado solo para saber si determinado(s) host(s) estan en ese momento vivos o conectados. Normalmente ésto lo realiza Nmap enviando paquetes al puerto 80 de un host pero si éste tiene un filtrado de ese puerto podrá ser detectado de todas formas.

-sU. Este es un Scan de Puertos abiertos con protocolo UDP, solo como root o Administrador de puede ejecutar.

-PI Utiliza paquetes ICMP para determinar que hosts están conectados y en especial si deseamos hacer un scan a travez de un firewall.

-O Utiliza el TCP/IP para determinar qué Sistema Operativo está corriendo en un host remoto.

-sV intenta identificar los servicios por los puertos abiertos en el sistema esto permite evaluar cada servicio de forma individual para intentar ubicar vulnerabilidades en los mismos.

-PT21 Utiliza el Ping tcp para hacer prueba de coneccion a el puerto 21 o a cualquier otro especificado despues del -PT ejm: -PT110 .

-I
Toma informacion de quien es el dueño del
proceso que se esta ejecutando pero solo se puede ejecutar con el -sT por lo
cual deja una traza enorme en el log de la victima por ello debe evitar
utilizar esta opcion.

-n
no hace converciones DNS para hacer el -sP mas
rapido.

-v aumenta la informacion mas detalladamente

Ejemplos




Algunos enlaces de interes
Manual Nmap
Algunas funciones Nmap

NIKTO

Nikto puede ser usado no solamente como herramienta escaneador de puertos, si no como una herramienta de seguridad. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática.
Con esta utilidad podremos realizar tests de seguridad contra nuestro servidor que incluyen la comprobación de ficheros/CGIs potencialmente peligrosos o situaciones específicas que pueden afectar al correcto funcionamiento del mismo.
lo primero que debemos hacer para usar este escáner, será instalarlo desde los repositorios (usuarios Debian/Ubuntu) o descargarlo desde su sitio web.

INSTALACION DE NIKTO

#apt-get install nikto

Escaneamos un equipo de la siguiente manera

#nikto -h 10.3.19.x

puedes ver la siguiente imagen de un equipo que fue escaneado


Enlaces de interes
Nikto
Algunas Herramientas de seguridad

lunes, 16 de junio de 2008

NESSUS

Es un potente programa que escanea vulnerabilidades publicado bajo licencia GPL y consta de dos partes: cliente/servidor que pueden estar instaladas en la misma maquina.
su objetivo es detectar posibles vulnerabilidades en sistemas operativos como:
  • Vulnerabilidades que permiten que un cracker pueda controlar el acceso o datos sensibles en un sistema.
  • Configuracion Incorrecta (la falta de parches) etc.
Esta herramienta se considera que es una de las mas utilizadas por un atacante para recolectar informacion y utilizarla con distintos fines, tambien puede ser utilizada por un administrador para mejorar la seguridad de su organizacion

Instalacion de NESSUS

--apt-get install nessus --> Nessus cliente
--apt-get install nessusd--> Nesus servidor

ejecutamos en la consola los siguientes comandos

--nessusd p 1241 a 10.3.19.x --> puerto por el que correra Nessus y direccion ip del equipo que sera el servidor

Ahora agregamos un usuario para acceder a administrar Nessus

Ahora vamos a utilizar nessus
  • Aplicaciones -> Internet -> Nessus y nos aparecera una consola como la siguienteLuego de logearnos nos aparecera que nessus tiene un certificado y lo aceptamos

Cuando ya estamos logeados podemos ver los plugins que utiliza nessus

Entonces procedemos a escanear un equipo

Ahora comienza el proceso del escaneo, debemos de esperar a que termine para ver los resultados

Este es el reporte que se genero durante el escaneo

Algunas otras imagenes sobre Nessus




sábado, 14 de junio de 2008

AUDITORIAS DE SEGURIDAD

una Auditoria consiste en realizar pruebas para encontrar vulnerabilidades en los servicios disponibles utilizando la direccion IP de algun cliente.
Luego de obtener los resultados se examinan las causas y se sigue un proceso para mejorar la seguridad.
Las auditorías de seguridad permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Para comenzar a realizar las auditorias consultamos los metodos con los que se pueden realizar y para ello encontramos los siguientes.

--> Nessus
--> Nikto
--> Nmap
--> Netcat

Puedes encontrar mas informacion en este mismo Blog en los enlaces anteriores.

jueves, 5 de junio de 2008

VPN GATEWAY to GATEWAY

Estas conexiones se utilizan para conectar oficinas remotas a la sucursal principal de una organizacion, Para poder realizar este tipo de conexiones se debe tener siempre un vinculo a Internet.
Para que la comunicacion se pueda establecer se debe tener en cuenta que los dos gateway deben tener toda la informacion requerida del servidor remoto al que se quiere conectar de lo contrario la conexion no se establecera porque no encontrara al otro gateway para poder conectarse.

Encuentra mas informacion de configuracion en los siguientes enlaces
--Configurando Firewall VPN-3com
--Configuracion VPN Client to Lan


--> Cuando en la imagen anterior seleccionamos nuevo (crear nueva conexion) nos aparece la siguiente ventana.

lunes, 2 de junio de 2008

VPN CLIENT to LAN

Esta clase de VPN es la mas utilizada, actualmente consiste en conectarse a una empresa desde sitios remotos (oficinas independientes, domicilios) creando un tunel e utilizando Internet como el metodo de acceso, luego surje la autenticacion para acceder completamente a la red local.
Estas conexiones se realizan cuando un cliente quiere acceder a un servidor de su red privada, cuando la conexion ya esta establecida los paquetes son enviados a traves del tunel creado con la VPN.

Encuentra mas informacion sobre el tema en los siguientes enlaces
--Configurando Firewall VPN-3com
--Configuracion VPN Gateway to Gateway

CONFIGURACION EN EL FIREWALL
--> VPN
--> VPN Mode

--> VPN conections

CREAR CONEXION VPN EN EL CLIENTE
--> Inicio
-->Panel de control
-->Conexiones de red
-->Crear una conexion nueva


--> crear conexion VPN

--> Nombre que identificara la conexion en el equipo cliente
--> Direccion IP a la que nos vamos a conectar

--> Clic derecho sobre la conexion para editar las propiedades de la misma.
--> visualizamos la pestaña llamada general

--> en la pestaña de seguridad agregamos la clave precompartida
--> luego nos conectamos a traves de la conexion VPN--> Conexion ya establecida con el servidor
Luego de que ya estamos conectados procedimos a realizar unas capturas por la interfaz física y virtual de la conexion.

Imagen de la Captura por la Interfaz Física, en esta captura observamos que se comienza a formar el túnel entre las dos interfaces para proceder a intercambiar información


Captura por la Interfaz Virtual, en esta interfaz se transmite el trafico normal porque ya esta establecido un túnel entre esta interfaz y la física

viernes, 30 de mayo de 2008

CONFIGURANDO FIREWALL-VPN 3COM

Este firewall posee las siguientes caracteristicas:
--> realiza filtrado de paquetes.
--> posee soporte de NAT.
--> proxy cache.
--> soporte vpn.

En esta entrada enseñare como fue la configracion de un firewall- VPN de 3com para los siguientes parametros.


--> conexion a internet
--> publicacion de servicios http, ftp
--> peticion y respuesta de ping.
--> proxy transparente.
--> vpn LAN to LAN- LAN to CLIENT.

para poder comenzar a utilizar el firewall comenzamos leyendo los manuales, que por cierto son en ingles, para poder saber que funciones cumplia y como accediamos a el ya que no habiamos trabajado con uno. luego procedimos a conectarlo y a configuarar los requerimientos anteriores, es recomensable no cambiar el password ya que otros compañeros seguiran trabajando con ellos y el firewall no tiene la posibilidad de resetiarlo.

comenzaremos conectando un cable directo desde un punto de red al puerto ADSL del firewall, luego el cable de utp que trae el firewall desde un puerto lan del dispositivo al puerto ethernet del pc que se configurara el firewall y puedes añadir otros cables de la misma forma para los equipos que seran clientes y probar la configuracion.

luego accedemos con el cd para entrar a configurar todos los parametros por medio del navegador con la direccion ip que nos asignara el dhcp y recuerden porner la ip para que no utilice proxy.

A continuacion estan las imagenes de la configuracion.
Cuando introducimos el cd que acompaña al dispositivos iniciamos la aplicacion seleccionada en la siguiente imagen para comenzar con la configuracion inicial .

luego seleccionamos la interfaz de la tarjeta de red para el firewall en caso de tener dos.

ahora veremos la ip que tiene configurada el dispositivo que es por la que accederemos via web a configurar el dispositivo.
progreso de la instalacion
Finalizamos la instalacion y accedemos a la consola de administracion a traves del navegador

Ahora para poder configurar el firewall debemos estar en el mismo rango de la ip en que se encuentra el dispositivo, lurgo agregamos al navegador que no utilice proxy para las direcciones ip locales en este caso la del firewall.

firewall 3com
Encuentra mas informacion de configuracion en los siguientes enlaces
--Configuracion VPN Gateway to Gateway
--Configuracion VPN Client to Lan