miércoles, 14 de mayo de 2008

Uncomplicated Firewall como configurarlo


Ufw (Uncomplicated Firewall), es un tipo de programa-ayuda que ha sido incorporado en esta nuevo distribución de Ubuntu, la 8.04 Hardy Heron. En este tutorial os enseñare como abrir los tan deseosos puertos TCP o UDP para nuestros programas p2p.

Para empezar, os explico que es Uncomplicated Firewall:

Ufw es una herramienta que nos ayuda a gestionar iptables, el puro firewall de Ubuntu, de una manera muy sencilla y sin tener que estudiarnos un manual para abrir puertos ni realizar comunicaciones, etc.

Pues bien, una vez sabido lo que Ufw significa y es, pasemos a la práctica de como abrir puertos, que es muy sencillo.

*Nota: durante todo el tutorial usaremos el terminal.

Primero deberíamos instalarlo con:

sudo aptitude install ufw



También podemos activarlo o desactivarlo.
  • Activarlo: sudo ufw enable.
  • Desactivarlo: sudo ufw disable.


Abrir puertos “TCP” o “UDP”.
  • Para abrir los puertos tcp: sudo ufw allow xxx/tcp
  • Para abrir los puertos udp: sudo ufw allow xxx/udp
Cerrar puertos “TCP” o “UDP”.
  • Para cerrar los puertos tcp: sudo ufw deny xxx/tcp
  • Para cerrar los puertos udp: sudo ufw deny xxx/udp
Pues bien, esto solo es lo más básico y lo que todo usuario a nivel bajo necesita aprenderse o por lo menos saber de esto por si se necesitara abrir los puertos de nuestro Amule, por ejemplo.

¿Qué hacemos para evitar que el equipo responda a peticiones echo request?
Condición mínima para la invisibilidad de nuestro equipo y para pasar un escáner de puertos en condiciones.
Debes de entrar al fichero de configuración.
sudo nano /etc/ufw/before.rules
En la linea:
-A ufw-before-input
-p icmp--icmp-type echo-request
-j ACCEPT


https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpNLdBDtK_b-8ibqqtuUOGVmuZAUxykGrVhAxSmSif968OVQSmEgVTr2eJHpk-Zlgw-saCAul5N_uxrq2gSlGmCanJe0pzz17T1x9nO7OXBJSLoxx6qKQRtC7Hzb6aiyh_cEK10brDyGbz/s1600-h/linea+de+codigo.png

Deberia de kedar así:


#-A ufw-before-input -p
icmp --icmp-type echo-request
-j ACCEPT




Por último debemos reiniciar el firewal con:

sudo /etc/init.d/ufw restart

SaLuDoS y HaSTa OtRa!!!!!**

lunes, 12 de mayo de 2008

Squirrelmail

Puede ser instalado en la mayoría de servidores web siempre y cuando éste soporte PHP y el servidor web tenga acceso a un servidor IMAP y a otro SMTP.
Página del Squirrelmail.
Para instalar el squirrelmail es fácil.
sudo aptitude install squirrelmail



Bien, ahora llega el momento de instalar el servidor imap para que nuestro squirrelmail pueda leer el correo sin tener que bajárselo a través de un puerto que abrirá el servidor, normalmente el puerto 143.
Ahora debemos instalar el servidor "dovecot" desde el synaptic y buscamos "dovecot" e instalamos.



Ahora nos dispondremos a configurar el squirrelmail. Para los cómodos existe un script que podemos utilizar para configurar el squirrelmail en un modo de semi texto. Para llamarlo desde la linea de ordenes llamamos a:
/etc/squirrelmail/conf.pl


Entramos a la opción D. Escribimos en este caso dovecot, ya que es lo que hemos instalado.



Guardamos y salimos.

Para poder acceder a squirrelmail desde el navegador introduciendo http://localhost/squirrelmail, nos vamos a /var/www y una vez alli introducimos sudo ln -s /usr/share/squirrelmail squirrelmail



Ahora introduciremos nuestro nombre de usuario y contraseña (los mismos que para iniciar sesión en nuestra máquina) y estaremos dentro de squirrel.

Ahora probaremos a mandarnos un correo a nosotros mismos, clic en compose y escribiremos en "To:" el nombre de nuestro usuario (alumno). Y lo que queramos enviarle.



Ahora deberemos comprobar que ha llegado nuestro mensaje al destinatario, entramos a los logs:

/var/log/mail.err
/var/log/mail.info

May 13 09:31:32 1asi-pc02 postfix/qmgr[5684]: 23480799E4: from=, size=717, nrcpt=1 (queue active)
May 13 09:31:32 1asi-pc02 dovecot: imap-login: Login: user=, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
May 13 09:31:32 1asi-pc02 postfix/local[6536]: 23480799E4: to=, relay=local, delay=0.07, delays=0.05/0.01/0/0.01, dsn=2.0.0, status=sent (delivered to mailbox)
May 13 09:31:32 1asi-pc02 postfix/qmgr[5684]: 23480799E4: removed
May 13 09:31:32 1asi-pc02 dovecot: IMAP(alumno): Disconnected: Logged out

/var/log/mail.log
/var/log/mail.warn

También podemos ver en la carpeta de mensajes entrantes dentro del squirrel.




SaLuDoS Y HaSTa oTrA*!!!
=)






















jueves, 8 de mayo de 2008

Tutorial snort

Hola a todos hoy nos ocuparemos de "Snort" es un sniffer de paquetes y un detector de intrusos basado en la red. Podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico. Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se logea. Así se sabe cuando, de donde y cómo se produjo el ataque.

Pues empezaremos instalando el snort, para ello debemos ir a Sistema>Administración>Gestor de paquetes sinaptyc, buscamos e instalamos los siguientes paquetes:
  • Libpcap0.8-dev
  • libmysqlclient15-dev
  • mysql-client-5.0
  • mysql-server-5.0
  • bison
  • flex
  • apache2
  • libapache2-mod-php5
  • php5-gd
  • php5-mysql
  • libphp-adodb
  • php-pear


En el proceso de instalación deberemos de configurar el snort basico, simplemente, le dais a Adelante.





Una vez terminada la instalación nos dirigimos al terminal y empezaremos el proceso de configuración.
Primero nos logemos como superusuario:
sudo -i
Luego tu password
Deberemos de añadir un nuevo paquete.
apt-get install libc6-dev g++ gcc
Debemos de crear un nuevo directorio para descargarnos los archivos
cd /root mkdir snorttmp cd /root/snorttmp

Get PCRE


Una vez que tenemos esto debemos de bajarnos unas cuantas cosas mas. Introducimos en el terminal:
wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-7.7.tar.gz




Descomprimimos y borramos el archivo .tar.gz. Para ello:
tar -xzvf /root/snorttmp/pcre-7.7.tar.gz
rm /root/snorttmp/pcre-7.7.tar.gz



Get BASE

Introducimos en el terminal:
wget http://sourceforge.net/project/downloading.php?group_id=103348&use_mirror=garr&filename=base-1.4.0.tar.gz&88479566



Descomprimimos y borramos el archivo .tar.gz. Para ello:
tar -xzvf /root/snorttmp/base-1.3.8.tar.gz
rm /root/snorttmp/base-1.3.8.tar.gz


Get ADOdbe

Ahora lo haremos de otra forma, abrimos firefox y entramos en esta pág http://sourceforge.net/project/showfiles.php?group_id=42718
nos bajamos la ultima actualizacion de adodb.
Descomprimimos y borramos el archivo .tar. Para ello:
tar -xzvf /root/snorttmp/adodb504a.tgz
rm /root/snorttmp/adodb504a.tgz



Instalación

PCRE.

cd /root/snorttmp/pcre-7.4

./configure
make
make install

Copying files

Necesitamos crear una carpeta dentro de /etc para el correcto funcionamiento de snort y copiar algunos archivos alli.Para ello:
mkdir /etc/snort /etc/snort/rules /var/log/snort
Copiamos algunos archivos.
cp /usr/local/lib/libpcre.so.0 /usr/lib

Configurando Snort

Necesitamos modifcar snort.conf file para tu propia necesidad.
vim /etc/snort/snort.conf
Cambia "var HOME_NET any" a "var HOME_NET 192.168.1.0/24"
Cambia "var EXTERNAL_NET any" a "var EXTERNAL_NET !$HOME_NET"
Cambia "var RULE_PATE ../rules" a "var RULE_PATH /etc/snort/rules"














lunes, 5 de mayo de 2008

Tutorial Nessus en Windows

Hoy veremos como utilizar un excelente analizador de equipos. Nessus es uno de los scanners de vulnerabilidades más utilizados en el mundo, ya que no tiene costo por instalación y uso, y a la vez uno de los más respetados debido a la gran cantidad de información que es capaz de obtener de los sistemas que audita.

Originalmente fue desarrollado para funcionar únicamente sobre plataformas Unix, pero con el tiempo se abrió paso a la posibilidad de funcionar con la misma eficacia sobre sistemas Windows. Nessus es un software que trabaja en modo cliente-servidor. El servidor es quien se encarga de realizar todas las auditorías y el cliente es la interfaz por donde se le dan las indicaciones correspondientes, como por ejemplo IP o dominio de la máquina a escanear, tipo de auditoría, modo de informe, etc.

Ahora debemos de descargarlo, la página oficial de nessus, le damos a download.



Una vez descargado lo instalamos en el sistema operativo.



Ahora tenemos que registrarnos para que nos envien el código de activación a nuestra dirección de correo electrónico.
El primer paso que debemos hacer para empezar a utilizar nessus es crear un nuevo usuario. Para ello nos vamos a nessus y le damos a "User managament".



Nos saldrá la pantalla de usuarios, deberá de estar vacía, le damos a "adduser" y añadimos un nuevo usuario, nombre y contraseña.



Debería quedar algo así.



Una vez agregado un usuario abrimos el nessus cliente. Deberemos conectarnos, dandole al botón conect y luego agregar la ip a la que queremos hacer el ataque.





Una vez conectado al localhost, debemos de añadir la ip de nuestra víctima. En este caso introduciré la ip de mi equipo para ver los puertos que tengo abiertos.



Ya lo tenemos todo, solo nos falta darle a "conect" y veremos el resultado de nuestro scan. Le damos a report y tendremos el resultado.



Para tener mas información del escaneo desplegamos la flecha de la izquierda y nos mostrará todos los puertos abiertos y una pequeña explicación.



Con esto terminamos el tutorial de nessus en windows.

SaLuDoSssSss *! =)