miércoles, 14 de mayo de 2008

Uncomplicated Firewall como configurarlo


Ufw (Uncomplicated Firewall), es un tipo de programa-ayuda que ha sido incorporado en esta nuevo distribución de Ubuntu, la 8.04 Hardy Heron. En este tutorial os enseñare como abrir los tan deseosos puertos TCP o UDP para nuestros programas p2p.

Para empezar, os explico que es Uncomplicated Firewall:

Ufw es una herramienta que nos ayuda a gestionar iptables, el puro firewall de Ubuntu, de una manera muy sencilla y sin tener que estudiarnos un manual para abrir puertos ni realizar comunicaciones, etc.

Pues bien, una vez sabido lo que Ufw significa y es, pasemos a la práctica de como abrir puertos, que es muy sencillo.

*Nota: durante todo el tutorial usaremos el terminal.

Primero deberíamos instalarlo con:

sudo aptitude install ufw



También podemos activarlo o desactivarlo.
  • Activarlo: sudo ufw enable.
  • Desactivarlo: sudo ufw disable.


Abrir puertos “TCP” o “UDP”.
  • Para abrir los puertos tcp: sudo ufw allow xxx/tcp
  • Para abrir los puertos udp: sudo ufw allow xxx/udp
Cerrar puertos “TCP” o “UDP”.
  • Para cerrar los puertos tcp: sudo ufw deny xxx/tcp
  • Para cerrar los puertos udp: sudo ufw deny xxx/udp
Pues bien, esto solo es lo más básico y lo que todo usuario a nivel bajo necesita aprenderse o por lo menos saber de esto por si se necesitara abrir los puertos de nuestro Amule, por ejemplo.

¿Qué hacemos para evitar que el equipo responda a peticiones echo request?
Condición mínima para la invisibilidad de nuestro equipo y para pasar un escáner de puertos en condiciones.
Debes de entrar al fichero de configuración.
sudo nano /etc/ufw/before.rules
En la linea:
-A ufw-before-input
-p icmp--icmp-type echo-request
-j ACCEPT


https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpNLdBDtK_b-8ibqqtuUOGVmuZAUxykGrVhAxSmSif968OVQSmEgVTr2eJHpk-Zlgw-saCAul5N_uxrq2gSlGmCanJe0pzz17T1x9nO7OXBJSLoxx6qKQRtC7Hzb6aiyh_cEK10brDyGbz/s1600-h/linea+de+codigo.png

Deberia de kedar así:


#-A ufw-before-input -p
icmp --icmp-type echo-request
-j ACCEPT




Por último debemos reiniciar el firewal con:

sudo /etc/init.d/ufw restart

SaLuDoS y HaSTa OtRa!!!!!**

lunes, 12 de mayo de 2008

Squirrelmail

Puede ser instalado en la mayoría de servidores web siempre y cuando éste soporte PHP y el servidor web tenga acceso a un servidor IMAP y a otro SMTP.
Página del Squirrelmail.
Para instalar el squirrelmail es fácil.
sudo aptitude install squirrelmail



Bien, ahora llega el momento de instalar el servidor imap para que nuestro squirrelmail pueda leer el correo sin tener que bajárselo a través de un puerto que abrirá el servidor, normalmente el puerto 143.
Ahora debemos instalar el servidor "dovecot" desde el synaptic y buscamos "dovecot" e instalamos.



Ahora nos dispondremos a configurar el squirrelmail. Para los cómodos existe un script que podemos utilizar para configurar el squirrelmail en un modo de semi texto. Para llamarlo desde la linea de ordenes llamamos a:
/etc/squirrelmail/conf.pl


Entramos a la opción D. Escribimos en este caso dovecot, ya que es lo que hemos instalado.



Guardamos y salimos.

Para poder acceder a squirrelmail desde el navegador introduciendo http://localhost/squirrelmail, nos vamos a /var/www y una vez alli introducimos sudo ln -s /usr/share/squirrelmail squirrelmail



Ahora introduciremos nuestro nombre de usuario y contraseña (los mismos que para iniciar sesión en nuestra máquina) y estaremos dentro de squirrel.

Ahora probaremos a mandarnos un correo a nosotros mismos, clic en compose y escribiremos en "To:" el nombre de nuestro usuario (alumno). Y lo que queramos enviarle.



Ahora deberemos comprobar que ha llegado nuestro mensaje al destinatario, entramos a los logs:

/var/log/mail.err
/var/log/mail.info

May 13 09:31:32 1asi-pc02 postfix/qmgr[5684]: 23480799E4: from=, size=717, nrcpt=1 (queue active)
May 13 09:31:32 1asi-pc02 dovecot: imap-login: Login: user=, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
May 13 09:31:32 1asi-pc02 postfix/local[6536]: 23480799E4: to=, relay=local, delay=0.07, delays=0.05/0.01/0/0.01, dsn=2.0.0, status=sent (delivered to mailbox)
May 13 09:31:32 1asi-pc02 postfix/qmgr[5684]: 23480799E4: removed
May 13 09:31:32 1asi-pc02 dovecot: IMAP(alumno): Disconnected: Logged out

/var/log/mail.log
/var/log/mail.warn

También podemos ver en la carpeta de mensajes entrantes dentro del squirrel.




SaLuDoS Y HaSTa oTrA*!!!
=)






















jueves, 8 de mayo de 2008

Tutorial snort

Hola a todos hoy nos ocuparemos de "Snort" es un sniffer de paquetes y un detector de intrusos basado en la red. Podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico. Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se logea. Así se sabe cuando, de donde y cómo se produjo el ataque.

Pues empezaremos instalando el snort, para ello debemos ir a Sistema>Administración>Gestor de paquetes sinaptyc, buscamos e instalamos los siguientes paquetes:
  • Libpcap0.8-dev
  • libmysqlclient15-dev
  • mysql-client-5.0
  • mysql-server-5.0
  • bison
  • flex
  • apache2
  • libapache2-mod-php5
  • php5-gd
  • php5-mysql
  • libphp-adodb
  • php-pear


En el proceso de instalación deberemos de configurar el snort basico, simplemente, le dais a Adelante.





Una vez terminada la instalación nos dirigimos al terminal y empezaremos el proceso de configuración.
Primero nos logemos como superusuario:
sudo -i
Luego tu password
Deberemos de añadir un nuevo paquete.
apt-get install libc6-dev g++ gcc
Debemos de crear un nuevo directorio para descargarnos los archivos
cd /root mkdir snorttmp cd /root/snorttmp

Get PCRE


Una vez que tenemos esto debemos de bajarnos unas cuantas cosas mas. Introducimos en el terminal:
wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-7.7.tar.gz




Descomprimimos y borramos el archivo .tar.gz. Para ello:
tar -xzvf /root/snorttmp/pcre-7.7.tar.gz
rm /root/snorttmp/pcre-7.7.tar.gz



Get BASE

Introducimos en el terminal:
wget http://sourceforge.net/project/downloading.php?group_id=103348&use_mirror=garr&filename=base-1.4.0.tar.gz&88479566



Descomprimimos y borramos el archivo .tar.gz. Para ello:
tar -xzvf /root/snorttmp/base-1.3.8.tar.gz
rm /root/snorttmp/base-1.3.8.tar.gz


Get ADOdbe

Ahora lo haremos de otra forma, abrimos firefox y entramos en esta pág http://sourceforge.net/project/showfiles.php?group_id=42718
nos bajamos la ultima actualizacion de adodb.
Descomprimimos y borramos el archivo .tar. Para ello:
tar -xzvf /root/snorttmp/adodb504a.tgz
rm /root/snorttmp/adodb504a.tgz



Instalación

PCRE.

cd /root/snorttmp/pcre-7.4

./configure
make
make install

Copying files

Necesitamos crear una carpeta dentro de /etc para el correcto funcionamiento de snort y copiar algunos archivos alli.Para ello:
mkdir /etc/snort /etc/snort/rules /var/log/snort
Copiamos algunos archivos.
cp /usr/local/lib/libpcre.so.0 /usr/lib

Configurando Snort

Necesitamos modifcar snort.conf file para tu propia necesidad.
vim /etc/snort/snort.conf
Cambia "var HOME_NET any" a "var HOME_NET 192.168.1.0/24"
Cambia "var EXTERNAL_NET any" a "var EXTERNAL_NET !$HOME_NET"
Cambia "var RULE_PATE ../rules" a "var RULE_PATH /etc/snort/rules"














lunes, 5 de mayo de 2008

Tutorial Nessus en Windows

Hoy veremos como utilizar un excelente analizador de equipos. Nessus es uno de los scanners de vulnerabilidades más utilizados en el mundo, ya que no tiene costo por instalación y uso, y a la vez uno de los más respetados debido a la gran cantidad de información que es capaz de obtener de los sistemas que audita.

Originalmente fue desarrollado para funcionar únicamente sobre plataformas Unix, pero con el tiempo se abrió paso a la posibilidad de funcionar con la misma eficacia sobre sistemas Windows. Nessus es un software que trabaja en modo cliente-servidor. El servidor es quien se encarga de realizar todas las auditorías y el cliente es la interfaz por donde se le dan las indicaciones correspondientes, como por ejemplo IP o dominio de la máquina a escanear, tipo de auditoría, modo de informe, etc.

Ahora debemos de descargarlo, la página oficial de nessus, le damos a download.



Una vez descargado lo instalamos en el sistema operativo.



Ahora tenemos que registrarnos para que nos envien el código de activación a nuestra dirección de correo electrónico.
El primer paso que debemos hacer para empezar a utilizar nessus es crear un nuevo usuario. Para ello nos vamos a nessus y le damos a "User managament".



Nos saldrá la pantalla de usuarios, deberá de estar vacía, le damos a "adduser" y añadimos un nuevo usuario, nombre y contraseña.



Debería quedar algo así.



Una vez agregado un usuario abrimos el nessus cliente. Deberemos conectarnos, dandole al botón conect y luego agregar la ip a la que queremos hacer el ataque.





Una vez conectado al localhost, debemos de añadir la ip de nuestra víctima. En este caso introduciré la ip de mi equipo para ver los puertos que tengo abiertos.



Ya lo tenemos todo, solo nos falta darle a "conect" y veremos el resultado de nuestro scan. Le damos a report y tendremos el resultado.



Para tener mas información del escaneo desplegamos la flecha de la izquierda y nos mostrará todos los puertos abiertos y una pequeña explicación.



Con esto terminamos el tutorial de nessus en windows.

SaLuDoSssSss *! =)




martes, 29 de abril de 2008

The KoP algo más que un sector de estadio.

Anfield es algo más que un estadio de fútbol y la grada sur mucho más que un fondo desde el que ver jugar al Liverpool.



The Kop
representa una manera de entender el fútbol tanto para quienes crecieron allí como para aficionados como para los futbolistas que conocieron los años de gloria.
En The Kop se aplaude al portero y al equipo rival si gana con merecimiento, las banderas inglesas están prohibidas y nunca se insulta a la otra afición... salvo si es la del Manchester.
Miles de personas voceando, cantando, aplaudiendo al portero contrario cuando sale a calentar, aplaudiendo a su propio equipo a rabiar incluso cuando pierden, aplaudiendo al entrenador cada vez que sale a dar una instrucción... Denunciando la tragedia de 1989 en Hillsborough, donde murieron 96 hinchas reds, con un mural en el que 15.000 personas formaron las palabras the truth (la verdad) durante seis minutos. Fue espectacular. The Kop es la hinchada que cualquier club del mundo querría tener. Excepto uno. El propio Liverpool.
Problemas de identidad . "The Kop está en crisis. Ya no es lo que era". Lo dice todo el mundo. Animan como nadie, pero para ellos no es suficiente. Sí, es un concepto difícil de entender para aficiones más reposadas como, por ejemplo, la del Barça. Cualquiera se daría con un canto con los dientes con el repertorio de canciones, el himno, y con la educación de la mayoría de sus miembros.
Están totalmente prohibidos los cantos racistas, la burla a la afición contraria, los abucheos al propio equipo. "No te vayas antes del final del partido, sea el resultado que sea. Nosotros no somos espectadores, sino que participamos en el partido", dicen las tablas de la ley de The Kop, que advierten sobre un pecado mortal de terribles consecuencias: "Nunca compres The Sun". Fue el tabloide sensacionalista el que más criticó a la afición red de la catástrofe de Hillsborough.

No podemos olvidarnos de "The KiD" la nueva estrella del liverpool que con sus 30 goles en su primera temporada esta despertando pasiones. "Torre Torres (8)"



Y no nos podemos olvidar del vídeo ;) "Fernando Torres Liverpool`s number nine!!!"

lunes, 28 de abril de 2008

Tutorial Nmap

Hoy podremos investigar uno de los mejores analizadores de puertos, Nmap, es una herramienta open source, diseñada para explorar y para realizar auditorías de seguridad en una red de computadoras.

Nota:
esta herramienta puede ser utilizada para realizar auditorías de seguridad en una red, pero también puede ser utilizada para fines delictivos, ya que esta herramienta pone al descubierto, puertos abiertos en las computadoras de una red, así como también es posible conocer como se encuentra organizada, y de cuantas computadoras consta una red.

Este tutorial lo vamos a hacer en ubuntu 8.04 , para instalar el nmap puede hacerse de varias formas distintas, desde el sitio oficial, o bien desde el mismo terminal escribiendo, sudo apt-get install nmap.


También debemos instalar el paquete nmapfe con sudo apt-get install nmapfe.



Antes de empezar a trastear un poco con el nmap vamos a ver los principales modificadores:

· sT se intenta hacer un barrido de puertos por TCP la ventaja de esta técnica es que no requiere usuarios privilegiados, opuesto a sS

· sU se intenta hacer un barrido de puertos por UDP, es útil cuando se intentan descubrir puertos de nivel superior que pueden estar detrás de un firewall, lenta pero permite hacer auditorías mas exactas.

· sA se usan mensajes de ACK para lograr que sistema responda y así dterminar si el puerto esta abierto algunos Firewall no filtran estos Mensajes y por ello puede ser efectivo en algunos casos.

· sX puede pasar algunos Firewall con malas configuraciones y detectar servicios prestándose dentro de la red

· sN puede pasar algunos Firewall con malas configuraciones y detectar servicios prestándose dentro de la red

· sF puede pasar algunos Firewall con malas configuraciones y detectar servicios prestándose dentro de la red

· sP este modificador ayuda a identificar que sistemas están arriba en la red (en funcionamiento) para luego poder hacer pruebas mas especificas, similar a Ping.

· sV intenta identificar los servicios por los puertos abiertos en el sistema esto permite evaluar cada servicio de forma individual para intentar ubicar vulnerabilidades en los mismos.

· sO con esta opción se identifica que protocolos de nivel superior a capa tres (Red o Network) responden en el sistema, de esta manera es mas fácil saber las características de la red o el sistema que se intenta evaluar.

Adicionalmente a las opciones de scan se pueden especificar opciones que permiten explotar mas aun la herramienta, dentro de las opciones que mas frecuentemente se usan están las de evitar el Ping o mostrar todos los resultados en pantalla al máximo detalle, veamos cuales son estas opciones:

· vv hacer la salida de la herramienta detallada en pantalla

· f habilita la fracmentacion de esta forma es mucho mas complejo para un un firewall u otro tipo de sistema lograr hacer el rastreo.

· oN redirige la salida a un archivo

· oX redirige la salida a un archivo XML

· –stylesheet con esta opción se usa una hoja de estilo que hace mas fácil la lectura de la salida en XML

· P0 indica que no se debe hacer ping a los sistemas objetivo antes de iniciar el análisis útil para evitar el bloque en algunos Firewall

· p se usa para especificar puertos de análisis o rango de puertos.

· T se usa para especificar la velocidad general del scan de esta forma se puede pasar inadvertido en algunos sistemas que detectan la velocidad de los paquetes entrantes.


Por ejemplo si tenemos un host en nuestra red, con dirección ip 172.26.103.27 y deseamos conocer que puertos tiene abiertos, ejecutamos: nmap 172.26.103.27.


Si queremos, conocer que tipo de sistema operativo, esta corriendo el host al
que le realizamos el escaneo, sólo basta agregar el parámetro -O a el comando
nmap. Nmap -O 172.26.103.27.


Si deseamos conocer que hosts se encuentran activos, fácilmente, lo podemos saber con nmap, con nmap -sP 172.26.0.0/17. con esto podemos ver los hosts activos en la red.



Para ver los equipos encendidos en la red introducimos, nmap -sP 172.26.103.0/24.



Ahora podremos ver todos los puertos activos de la red de ordenadores, esto, es muy útil, si tenemos una red de ordenadores, para saber que equipos están desprotegidos y cuáles hacen falta proteger. Para ello solo debemos escribir en el terminal: nmap -sT 172.26.103.0/24. Nos saldría algo como esto:



Ahora proponemos averiguar los puertos que utiliza el worms que esta en uno de los ordenadores de la red, para esto, introducimos el siguiente comando en el terminal. nmap -sU -p 1-20000 172.26.103.20.



En esta captura nos muestra como tiene abiertos los puertos 17010 y 17012 que son los puertos abiertos para el juego Worms.

Otro caso sería ver si un equipo en concreto está jugando al Worms, para ver el resultado. Veremos si el equipo con ip 172.26.103.20 esta jugando a los Worms, solo deberemos introducir lo siguiente en el terminal. nmap -sU -p 17010-17012 172.26.103.20.



Observamos que efectivamente los puertos que utiliza el juego worms están abiertos.

Otro uso para el nmap sería escanear los puertos del FTP, http o DNs que están abiertos en nuestra red.
Para ver los puertos del ftp abiertos en nuestra red se utiliza. nmap -p 21 172.26.103.0/24



Para ver los puertos abiertos de http(puerto 80), nmap -p 80 172.26.103.0/24.



Para ver los puertos abiertos de DNS(puerto 53), nmap -p 53 172.26.103.0/24.



También voy a incluir un video tutorial con la utilización del nmap.

Parte1 - Obteniendo información del sistema objetivo


Parte2 - Infiltración remota en el sistema

miércoles, 23 de abril de 2008

ToMa D CoNTaCTo^!

PROBANDOOOOOOOOOOOOOOOOOO

BLOG UTILIZADO PARA PUBLICAR PRACTICAS DEL MODULO DE INFORMATICA ;)