HttpBugger

Saludos Mundo Libre.






HttpBugger Tutorial


Lo primero es lo primero, usted va a necesitar para conseguir algunos proxies. Te sugiero ir a google y buscar alguna. Use su imaginación. Hacer una búsqueda de sustitutos, las listas de proxy, foros proxy, etc. etc. Usted podría descubrir que su mejor opción es unirse a algunos foros proxy. Sí, puede que tenga que registrarse, pero las recompensas son definitivamente vale la pena smile.gif.


Ok, ahora usted tiene algunos poderes, cosa siguiente a hacer es utilizar charon para asegurarse de que están trabajando y son anónimos. Yo sólo uso L1 y L2 proxies y usted también debería. Ahora no me voy a ir en el uso de Caronte, o de lo contrario este tutorial se llamaría "el uso de Caronte" en lugar de httpbugger, por lo que descubrirlo por su cuenta.


A continuación, una vez que haya algunas buenas aproximaciones que van a necesitar una lista buen combo. Una vez más hay una gran cantidad de tutoriales en la mesa sobre cómo armar una lista de palabras buenas, así que echa un vistazo.


Una vez que tenga todas estas cosas que usted puede comenzar a agrietarse: love2:. Ok así que hoy voy a ser grietas realitykings. Este sitio es muy fácil y me sugieren para los principiantes. Configurar todo como lo tengo en esta imagen

Como se puede ver en esta foto se va a poner su nombre de los sitios en la parte superior de httpbugger. Entonces, como puedes ver, hay una casilla arriba de donde usted elige sus listas de palabras que dice "usuario / contraseña de las listas mismo combo". Si usted tiene este httpbugger facturado, carga su combolists. Si usted quiere, aunque usted puede dejar esta opción sin marcar y cargar una lista de nombre de usuario y una lista de pasar.


Ahora pulse sobre la pestaña "herramientas de poder en la parte inferior. Luego vaya a Opciones y asegúrese de que" el uso ProxyList "botón de radio está marcada, y saltar de proxy en tiempo de espera es muy marcada. Después haga clic en" Mi lista ". Ahora deberías ver lo siguiente:



Lo que usted necesita hacer es abrir la lista de proxy y pulse Ctrl + A para seleccionar todos, a continuación, pulse Ctrl + C para copiar todo, y luego haga clic en "mi lista" caja y pulse Ctrl + V para pegar a sus representantes. A continuación, pulse en "mi lista" y usted debería ver httpbugger reconocer a sus representantes. Debe decir en el lado derecho como muchos proxies que ha cargado. Después de haber hecho esto, haga clic en el "Formulario de Settings" en el medio.


Ahora usted debería ver esta página. Aquí es donde sucede la magia:





Aquí es donde todos los parámetros están establecidos. En realidad, esto puede parecer intimidante, pero httpbugger más o menos lo configuran para usted. Todo lo que tienes que hacer es clic en la opción "Detectar la forma" botón. Ahora, algunas cosas van a cambiar. Asegúrese de que si usted está golpeando una ventana de autenticación básica hasta el sitio que el botón de radio básicas de autenticación está marcado a la derecha. Si usted está golpeando un sitio de forma asegurarse de que el botón de forma de autenticación está marcado a la derecha. Ahora el siguiente paso es hacer clic en "Auto-detección de palabras clave para el ataque html" Esto debería poner unas cuantas palabras a su disposición para detectar la falla. A continuación, si usted sabe algunas claves de éxito de marcar la casilla y ponerlos pulg mismo con las teclas de fracaso también, si usted tiene algún ponerlas aquí. Después de que la prensa "está Ok inicio de la sesión de fuerza bruta".

Se le trajo de vuelta a la primera página inicial de httpbugger. Ahora todo lo que hay que hacer es establecer la cantidad de bots y pulse el botón de reproducción. Ahora lo único que usted tiene que recordar para hacer una pausa la sesión una vez a sus representantes van a bajar y pegar cualquier vuelta en a continuación, reinicie la sesión. Espero que si lo has hecho todo correctamente y armar una lista de palabras bien estará navegando el pron favorito en muy poco tiempo: bounce2:. Yo sé que hay más opciones para httpbugger, pero yo sólo quería que esto es una simple introducción a httpbugger. Espero que esto le ayuda a chicos y tienen grietas diversión.

Fuente:

http://www.xtremeroot.net/Offensive/index.php?showtopic=28360

Traduccion: Dellcom1@

Saludos Mundo Libre.

WebSurgery

Saludos Mundo Libre.


WebSurgery es un conjunto de herramientas para pruebas de seguridad de aplicaciones web. Fue diseñado para que los auditores de seguridad para ayudar en la planificación de las aplicaciones web y la explotación. En la actualidad, se utiliza un Web Crawler eficiente, rápido y estable, Archivo / Dir forcer Bruto, Fuzzer para la explotación avanzada de vulnerabilidades conocidas y poco comunes, tales como inyecciones SQL, Cross Site Scripting (XSS), La fuerza bruta de las formas de acceso, identificación de los cortafuegos reglas de filtrado, ataques DOS y Web Proxy para analizar, interceptar y manipular el tráfico entre el navegador y la aplicación web de destino.

Web Crawler

Rastreador web fue diseñado para ser rápido, preciso, estable, parametrable por completo y el uso de técnicas avanzadas para extraer los enlaces de las etiquetas HTML y Javascript. Funciona con la configuración de tiempo parametrable (tiempo de espera, Threading, Tamaño máximo de los datos, los reintentos) y una serie de parámetros de las reglas para evitar bucles de infinitivo y el escaneo sin sentido (mayúsculas y minúsculas de profundidad, Dir, Proceso de arriba / abajo, presentar un formulario, descargar un índice / Sitemaps, Max solicitudes por los parámetros del archivo / Guión). También es posible aplicar las cabeceras personalizadas (agente de usuario, etc cookies) y de inclusión / exclusión de filtros. Web Crawler vienen con un archivo incrustado / Forcer Bruto Dir, que ayuda a la fuerza bruta directa de los archivos / directorios en los directorios encontrados de rastreo.

WEB Bruteforcer

WEB Bruteforcer es un forzador bruta de los archivos y directorios dentro de la aplicación web que ayuda a identificar la estructura oculta. También es multi-threaded y completamente parametrable para los ajustes de tiempo (tiempo de espera, Threading, Tamaño máximo de los datos, los reintentos) y reglas (encabezados, Base de Dir, Dirs fuerza bruta / Files, extensión de archivo recursiva, es, envía / HEAD, las redirecciones, Las cookies y configuración del proceso generador de la lista).
Por defecto, será la fuerza bruta del directorio raíz / base recurrentemente para los archivos y directorios. Se envía la cabeza y las peticiones GET cuando se necesita (HEAD para identificar si el archivo / directorio existe y luego llegar a recuperar la respuesta completa).

WEB Fuzzer

WEB Fuzzer es una herramienta más avanzada para crear una serie de peticiones sobre la base de una solicitud inicial. Fuzzer no tiene límites y puede ser utilizado para explotar las vulnerabilidades conocidas, (ciegos) Inections SQL y las formas más inusuales como el manejo identificando datos incorrectos, firewall / reglas de filtrado, los ataques DoS.

WEB Editor

Un editor web sencillo para enviar las solicitudes individuales. También contiene un editor hexadecimal para las peticiones más avanzados.

Web Proxy

Web Proxy es un proxy server que funciona a nivel local y le permitirá analizar, interceptar y manipular HTTP / HTTPS solicitudes procedentes de su navegador u otra aplicación que soportan proxies.

Descarga:

http://www.surgeonix.com/blog/index.php/archives/117

Traduccion: Dellcom1@

Saludos Mundo Libre.

Hiren’s BootCD

Saludos Mundo Libre.

Hoy quiero ablar de un diestro  Hirens BootCD.


Hiren BootCD es (HBCD) es un CD gratis de arranque que contiene un montón de herramientas útiles que pueden hacer uso de una variedad de situaciones como el análisis, recuperación y fijación de su equipo, aunque el sistema operativo primario no puede ser arrancado.

Es un gran recurso para cualquier persona con problemas de la computadora que está teniendo problemas para acceder a Internet para descargar los programas en un intento para solucionarlo. Tiene una gran cantidad de herramientas divididas en varias categorías como herramientas de particionado, backup, recuperación y BIOS / CMOS Herramientas para nombrar unos pocos.

Con un poco de conocimiento simple de lo que está contenido en el CD, se puede utilizar para reparar equipo muchos problemas como fallos del disco duro, las infecciones de virus, particiones, la recuperación de contraseñas y recuperación de datos.

Herramientas de partición

Si necesita realizar cambios en las particiones en el equipo, hay varias aplicaciones que ofrece varios niveles de funcionalidad para el logro de este objetivo. Usted puede crear y borrar particiones de tu ordenador, aunque hay otras particiones en el disco duro que va a modificar. Usted también puede ajustar si es necesario, para cambiar la cantidad de espacio que se les asignan.

Backup y recuperación

Hay varias copias de seguridad y herramientas de recuperación de Hiren BootCD es. Herramientas de copia de seguridad como GetDataBack, HDD Scan, Buscar partición y el Monte, PhotoRec, Recuva, Undelete ... le permiten copiar los datos de su disco duro y programar copias de seguridad automáticas para garantizar que sus datos se guardan en otro lugar. También puede recuperar los datos eliminados, ya sea que hayan sido previamente eliminados intencionalmente o accidentalmente. También hay algunas herramientas que le ayudarán a recuperar los datos de las partes dañadas o dañados de tu disco duro si no son capaces de recuperar a través de otros métodos.

Antivirus Herramientas

Una parte principal de la función de disco del software antivirus. Spybot-Search and Destroy examina un equipo para el spyware más probable y lo elimina. Malwarebytes Anti-Malware detecta virus rootkit y troyanos que puedan afectar a los ordenadores y propagarse a través de redes. Super Antispyware es un escáner de todo-en-uno que detecta y elimina todo tipo de virus. Ejecutar una exploración a la vez. Hacer exploraciones múltiples, porque un programa puede ser que encuentre un virus que otro programa se pierde.

Herramientas de prueba

Hiren BootCD proporciona una variedad de herramientas para probar los diferentes aspectos de su equipo. Si usted sospecha que su memoria RAM está dañada o que una pieza de hardware en el equipo no está funcionando correctamente, hay varias aplicaciones que puede ejecutar para determinar los problemas. También puede realizar las pruebas de disco duro para ver si el disco duro está dañado físicamente, y obtener un informe sobre cuánto tiempo más el disco duro se espera que funcione.

Herramientas contraseña

De recuperación de contraseñas y herramientas de modificación también se proporcionan en BootCD Hiren es. Puede cambiar la contraseña del administrador en las máquinas de Windows, y hay utilidades para guardar contraseñas de sus cuentas en línea en un formato codificado. También puede cifrar todo el disco duro con Hiren BootCD es lo que se necesita una contraseña para leer o escribir datos desde o hacia el disco duro.

Mini Windows XP

Para eliminar un virus y el uso de una gran colección de herramientas de HBCD, elija la opción Windows XP Mini. Una versión simple de Windows XP se abre en el ordenador. Puede ser que tome unos minutos para cargar todo, ya que procesa los archivos directamente desde el CD. Una vez que se haya cargado, esperar a que el menú del Hiren Boot disco de pop-up. Seleccione la opción "Menú" opción y desplazarse a través de los programas. El disco cuenta con los piratas de contraseñas de Windows, limpiadores de registro y una gran colección de software antivirus.

Descarga:

http://www.hirensbootcd.org/about/

Traduccion: Dellcom1@

Saludos Mundo Libre.

Recuperacion del password en todos los windows

Saludos Mundo Libre.

Ya he platicado de esta exelente diestro que es Ophcrack es un diestro que desencripta la password del archivo de windows por fuerza bruta.

Es una implementación muy eficiente de las tablas rainbow hecha por los inventores del método. Viene con una interfaz gráfica de usuario y se ejecuta en múltiples plataformas.


Lo podemos descargar desde su web:


http://ophcrack.sourceforge.net/

Contamos con la version live o de instalacion para windows.
Con dos diestros para windows xp y windows vista y 7.

Su uso es tan sencillo que solo hay que arrancar desde el bios el cd o el usb y el sistema se encarga de todo si la clave es sencilla el diestro termina rapido si la palabra de paso es muy dificil puede tardar solo es de pasiencia pero los resultados son exelentes y a destruir.

Pues a disfrutas de este diestro.

Saludos Mundo Libre.

De la A a la Z en Bash Comandos Linux

Saludos Mundo Libre.

Hoy les traigo de la A a la Z en bash de linux.

adduser  Add a user to the system
  addgroup Add a group to the system
  alias    Create an alias •
  apropos  Search Help manual pages (man -k)
  apt-get  Search for and install software packages (Debian/Ubuntu)
  aptitude Search for and install software packages (Debian/Ubuntu)
  aspell   Spell Checker
  awk      Find and Replace text, database sort/validate/index
b
  basename Strip directory and suffix from filenames
  bash     GNU Bourne-Again SHell 
  bc       Arbitrary precision calculator language 
  bg       Send to background
  break    Exit from a loop •
  builtin  Run a shell builtin
  bzip2    Compress or decompress named file(s)
c
  cal      Display a calendar
  case     Conditionally perform a command
  cat      Concatenate and print (display) the contents of file(s)
  cd       Change Directory
  cfdisk   Partition table manipulator for Linux
  chgrp    Change group ownership
  chmod    Change access permissions
  chown    Change file owner and group
  chroot   Run a command with a different root directory
  chkconfig System services (runlevel)
  cksum    Print CRC checksum and byte counts
  clear    Clear terminal screen
  cmp      Compare two files
  comm     Compare two sorted files line by line
  command  Run a command - ignoring shell functions •
  continue Resume the next iteration of a loop •
  cp       Copy one or more files to another location
  cron     Daemon to execute scheduled commands
  crontab  Schedule a command to run at a later time
  csplit   Split a file into context-determined pieces
  cut      Divide a file into several parts
d
  date     Display or change the date & time
  dc       Desk Calculator
  dd       Convert and copy a file, write disk headers, boot records
  ddrescue Data recovery tool
  declare  Declare variables and give them attributes •
  df       Display free disk space
  diff     Display the differences between two files
  diff3    Show differences among three files
  dig      DNS lookup
  dir      Briefly list directory contents
  dircolors Colour setup for `ls'
  dirname  Convert a full pathname to just a path
  dirs     Display list of remembered directories
  dmesg    Print kernel & driver messages 
  du       Estimate file space usage
e
  echo     Display message on screen •
  egrep    Search file(s) for lines that match an extended expression
  eject    Eject removable media
  enable   Enable and disable builtin shell commands •
  env      Environment variables
  ethtool  Ethernet card settings
  eval     Evaluate several commands/arguments
  exec     Execute a command
  exit     Exit the shell
  expect   Automate arbitrary applications accessed over a terminal
  expand   Convert tabs to spaces
  export   Set an environment variable
  expr     Evaluate expressions
f
  false    Do nothing, unsuccessfully
  fdformat Low-level format a floppy disk
  fdisk    Partition table manipulator for Linux
  fg       Send job to foreground 
  fgrep    Search file(s) for lines that match a fixed string
  file     Determine file type
  find     Search for files that meet a desired criteria
  fmt      Reformat paragraph text
  fold     Wrap text to fit a specified width.
  for      Expand words, and execute commands
  format   Format disks or tapes
  free     Display memory usage
  fsck     File system consistency check and repair
  ftp      File Transfer Protocol
  function Define Function Macros
  fuser    Identify/kill the process that is accessing a file
g
  gawk     Find and Replace text within file(s)
  getopts  Parse positional parameters
  grep     Search file(s) for lines that match a given pattern
  groups   Print group names a user is in
  gzip     Compress or decompress named file(s)
h
  hash     Remember the full pathname of a name argument
  head     Output the first part of file(s)
  help     Display help for a built-in command •
  history  Command History
  hostname Print or set system name
i
  iconv    Convert the character set of a file
  id       Print user and group id's
  if       Conditionally perform a command
  ifconfig Configure a network interface
  ifdown   Stop a network interface 
  ifup     Start a network interface up
  import   Capture an X server screen and save the image to file
  install  Copy files and set attributes
j
  jobs     List active jobs •
  join     Join lines on a common field
k
  kill     Stop a process from running
  killall  Kill processes by name
l
  less     Display output one screen at a time
  let      Perform arithmetic on shell variables •
  ln       Make links between files
  local    Create variables •
  locate   Find files
  logname  Print current login name
  logout   Exit a login shell •
  look     Display lines beginning with a given string
  lpc      Line printer control program
  lpr      Off line print
  lprint   Print a file
  lprintd  Abort a print job
  lprintq  List the print queue
  lprm     Remove jobs from the print queue
  ls       List information about file(s)
  lsof     List open files
m
  make     Recompile a group of programs
  man      Help manual
  mkdir    Create new folder(s)
  mkfifo   Make FIFOs (named pipes)
  mkisofs  Create an hybrid ISO9660/JOLIET/HFS filesystem
  mknod    Make block or character special files
  more     Display output one screen at a time
  mount    Mount a file system
  mtools   Manipulate MS-DOS files
  mtr      Network diagnostics (traceroute/ping)
  mv       Move or rename files or directories
  mmv      Mass Move and rename (files)
n
  netstat  Networking information
  nice     Set the priority of a command or job
  nl       Number lines and write files
  nohup    Run a command immune to hangups
  notify-send  Send desktop notifications
  nslookup Query Internet name servers interactively
o
  open     Open a file in its default application
  op       Operator access 
p
  passwd   Modify a user password
  paste    Merge lines of files
  pathchk  Check file name portability
  ping     Test a network connection
  pkill    Stop processes from running
  popd     Restore the previous value of the current directory
  pr       Prepare files for printing
  printcap Printer capability database
  printenv Print environment variables
  printf   Format and print data •
  ps       Process status
  pushd    Save and then change the current directory
  pwd      Print Working Directory
q
  quota    Display disk usage and limits
  quotacheck Scan a file system for disk usage
  quotactl Set disk quotas
r
  ram      ram disk device
  rcp      Copy files between two machines
  read     Read a line from standard input •
  readarray Read from stdin into an array variable •
  readonly Mark variables/functions as readonly
  reboot   Reboot the system
  rename   Rename files
  renice   Alter priority of running processes 
  remsync  Synchronize remote files via email
  return   Exit a shell function
  rev      Reverse lines of a file
  rm       Remove files
  rmdir    Remove folder(s)
  rsync    Remote file copy (Synchronize file trees)
s
  screen   Multiplex terminal, run remote shells via ssh
  scp      Secure copy (remote file copy)
  sdiff    Merge two files interactively
  sed      Stream Editor
  select   Accept keyboard input
  seq      Print numeric sequences
  set      Manipulate shell variables and functions
  sftp     Secure File Transfer Program
  shift    Shift positional parameters
  shopt    Shell Options
  shutdown Shutdown or restart linux
  sleep    Delay for a specified time
  slocate  Find files
  sort     Sort text files
  source   Run commands from a file `.'
  split    Split a file into fixed-size pieces
  ssh      Secure Shell client (remote login program)
  strace   Trace system calls and signals
  su       Substitute user identity
  sudo     Execute a command as another user
  sum      Print a checksum for a file
  suspend  Suspend execution of this shell •
  symlink  Make a new name for a file
  sync     Synchronize data on disk with memory
t
  tail     Output the last part of files
  tar      Tape ARchiver
  tee      Redirect output to multiple files
  test     Evaluate a conditional expression
  time     Measure Program running time
  times    User and system times
  touch    Change file timestamps
  top      List processes running on the system
  traceroute Trace Route to Host
  trap     Run a command when a signal is set(bourne)
  tr       Translate, squeeze, and/or delete characters
  true     Do nothing, successfully
  tsort    Topological sort
  tty      Print filename of terminal on stdin
  type     Describe a command •
u
  ulimit   Limit user resources •
  umask    Users file creation mask
  umount   Unmount a device
  unalias  Remove an alias •
  uname    Print system information
  unexpand Convert spaces to tabs
  uniq     Uniquify files
  units    Convert units from one scale to another
  unset    Remove variable or function names
  unshar   Unpack shell archive scripts
  until    Execute commands (until error)
  useradd  Create new user account
  usermod  Modify user account
  users    List users currently logged in
  uuencode Encode a binary file 
  uudecode Decode a file created by uuencode
v
  v        Verbosely list directory contents (`ls -l -b')
  vdir     Verbosely list directory contents (`ls -l -b')
  vi       Text Editor
  vmstat   Report virtual memory statistics
w
  watch    Execute/display a program periodically
  wc       Print byte, word, and line counts
  whereis  Search the user's $path, man pages and source files for a program
  which    Search the user's $path for a program file
  while    Execute commands
  who      Print all usernames currently logged in
  whoami   Print the current user id and name (`id -un')
  Wget     Retrieve web pages or files via HTTP, HTTPS or FTP
  write    Send a message to another user 
x
  xargs    Execute utility, passing constructed argument list(s)
  xdg-open Open a file or URL in the user's preferred application.
  yes      Print a string until interrupted
  .        Run a command script in the current shell
  ###      Comment / Remark

 Saludos Mundo Libre.

Instalando Framework-4.0.0 metasploit en linux

Saludos Mundo Libre.


Ya he explicado anteriormente como instalar Framework metasploit v 4.0.0 en linux pero siempre es bueno un repaso.

Primer paso las dependencias de Ruby muy Importante este paso

sudo apt-get install ruby libyaml-ruby libdl-ruby libiconv-ruby ri rubygems ruby-dev ruby1.8-dev build-essential

Instalando el cliente de subversión

sudo apt-get install subversión

Segundo paso las dependencias de Ruby muy Importante este paso

sudo apt-get build-dep ruby
sudo apt-get install ruby-dev libpcap-dev

Tercer paso la funcionalidad de base de datos

sudo apt-get install rubygems libsqlite3-dev
sudo gem install sqlite3-ruby

Cuarto paso El MySQL

Si tu prefieres este sino la base de datos que tu prefieras.

sudo apt-get install rubygems libmysqlclient-dev
sudo gem install mysql

Quinto paso

Descargamos el framework-4.0.0-linux-full.run de su pagina web.
http://www.metasploit.com/download/

Sexto paso

Cambiamos los permisos de excusión

#sudo chmod +x framework-4.0.0-linux-full.run

Septimo paso

La Instalación del archivo

#sudo ./framework-4.0.0-linux-full.run

Octavo paso

La actualizacion del paquete

#svn update /opt/framework-4.0.0/msf3

Noveno paso

A Disfrutar del framework.

Saludos Mundo Libre.

Distrubuciones de Seguridad Linux

Saludos Mundo Libre.

He aqui una gama de distribuciones para la seguridad pentesting en linux.


BackTrack

BackTrack es una distribución basada fuera de lo que solía ser WHax y Auditor. Se trata de una distribución de tamaño completo construido fuera de SLAX.



DAMN Vulnerable Linux (DVL)

"DAMN Vulnerable Linux (DVL) es una herramienta basada en Linux para la seguridad de TI que se inició a las tareas de entrenamiento durante las clases de la universidad por el IITAC (Instituto Internacional para la Formación, Evaluación y Certificación) y S ² e -. Ingeniería de Software seguro en cooperación con Invertir la selección francesa de ingeniería. " - DamnVulnerableLinux.org



DEFT

DEFT (acrónimo de "Evidencia Digital & Forensic Toolkit) es una distribución personalizada de la Kubuntu Linux en vivo CD. Es muy fácil de utilizar que incluye una excelente detección de hardware y las aplicaciones de código abierto dedicado a la mejor respuesta a incidentes y análisis forense informático. -Deft.yourside.it


Hakin9

"Una distribución de arranque que contiene todas las herramientas y materiales necesarios para la práctica de métodos y técnicas que se describen en la revista hackin9"
-Http: / / www.hakin9.org/en/index.php?page=hakin9_live-



Hélice

"Helix es una distribución personalizada de Knoppix Linux Live CD. Helix es más que un Live CD de arranque. Podrá arrancar en un entorno Linux personalizado que incluye los núcleos de Linux personalizada, excelente detección de hardware y muchas aplicaciones dedicadas a la respuesta a incidentes y análisis forense . "
-Http: / / www.e-fense.com/helix/-



nUbuntu

"El objetivo principal de nUbuntu es crear una distribución que se deriva de la distribución Ubuntu, y añadir los paquetes relacionados con las pruebas de seguridad, y eliminar paquetes innecesarios, tales como Gnome, Openoffice.org, y Evolución". - Nubuntu.org



Network Security Toolkit (NST)

"Este arranque ISO live CD basada en Fedora. El kit de herramientas fue diseñada para proporcionar un fácil acceso a las mejores aplicaciones de su clase de código abierto Red de Seguridad y debería funcionar en la mayoría de las plataformas x86." -Networksecuritytoolkit.org



OWASP Labrat

"La OWASP Live CD (LabRat) es un CD de arranque similar a knoppix pero dedicado a la seguridad de las aplicaciones. Servirá como medio de vehículos y distrubition de herramientas y guías de OWASP." -OWASP.org



Frenesí

"Frenesí es una" caja de herramientas portátiles de administrador del sistema, "LiveCD basado en FreeBSD. Por lo general, contiene software para pruebas de hardware, consulte el sistema de archivos, control de seguridad y configuración de la red y el análisis. Tamaño de la imagen ISO es de 200 MBytes (3" CD) "
-Http: / / frenzy.org.ua / eng /



grml

"Grml es un CD de arranque (Live-CD) basada en Knoppix y Debian. Grml incluye una colección de software GNU / Linux, especialmente para los usuarios de texttools y administradores de sistemas. Grml ofrece detección automática de hardware. Puede utilizar grml por ejemplo, como un rescate sistema, para el análisis de sistemas / redes o como un entorno de trabajo. " -Http: / / grml.org /



Ophcrack

"El LiveCD Ophcrack contiene un pequeño sistema Linux (SLAX6), ophcrack para Linux y el arco iris de las tablas alfanuméricas passwords.The liveCD grietas contraseñas automáticamente, sin instalación, sin contraseña de administrador es necesario (siempre y cuando se puede iniciar desde el CD). Windows Vista SAM también puede ser roto. " -Ophcrack.sourceforge.net



FCCU

El arranque de GNU / Linux en CD-Rom es hecha por el belga Unidad Federal de Delitos Informáticos (FCCU)
Se basa en la versión Live CD de KNOPPIX 4,02 por Klaus Knopper.
El objetivo principal de la CD: ayudar a los forenses analizan las computadoras
Todos los guiones realizados por el FCCU comenzar con la "FCCU" prefijo lnx4n6.be


OSWA Asistente

". El ™ OSWA-Assistant es una auto-contenido, de descarga gratuita, conexión inalámbrica de auditoría conjunto de herramientas para los profesionales de seguridad de TI y usuarios finales por igual"-http: / / oswa-assistant.securitystartshere.org /



Russix

Russix Slax es una base inalámbrica Linux Live. Ha sido diseñado para ser ligero (alrededor de 230Mb) y dedicada exclusivamente a la auditoría inalámbrica. No es un script de phishing kiddy herramienta y como tal, al tiempo que le permite romper una clave WEP en 6 teclas y realizar un "mal Pequeños Twin" ataque en menos de 5, no le permitirá convertirse en la versión más reciente de Barclays Bank.



Samurai

El Samurai Web Testing Framework es un LiveCD se centró en las pruebas de aplicaciones web. Hemos recogido las herramientas de prueba superior y pre-instalado para crear el ambiente perfecto para aplicaciones de pruebas.



Chaox-NG



SECmic

SECmic3 es un Kubuntu 10.04 LTS lúcido Lynx distribución basada en la seguridad. Es gratis para descargar, y será para siempre. Cuenta con más de 200 aplicaciones de seguridad orientado preinstalado. SECmic3 es Ubuntu / Kubuntu actualización compatible. Lo que significa que será capaz de recibir actualizaciones de seguridad directamente desde el Ubuntu / Kubuntu repositorios para la vigencia de este Kubuntu 10,04 LTS base. SECmic3 es una copia de seguridad Remastersys. SECmic foros se han configurado para permitir que el usuario, para expresar sus opiniones, identificar los errores relacionados con este comunicado y que nos permita incluir nuevas aplicaciones que sugieren que en futuras versiones. Nunca escucharás a nadie de SECmic decirle: "Si no te gusta, construir su distribución propia seguridad." Damos la bienvenida a todos los comentarios de mejora. Las donaciones pueden incluir hardware de prueba y los valores monetarios a través del enlace donar en la parte superior derecha de la página. - SECmic.org



GnackTrack

GnackTrack es un vivo (e instalable) Distibution Linux diseñado para pruebas de penetración y se basa en Ubuntu. Aunque esto suena como BackTrack, no es sin duda, es muy similar, pero basado en el muy querido GNOME! -GnackTrack.co.uk



Matriux



Katana



Securix-NSM



Auditor

"La colección de la seguridad Auditor es un sistema vivo, basada en Knoppix. Sin necesidad de instalación alguna, la plataforma de análisis se inicia directamente desde el CD-Rom y es totalmente accesible en cuestión de minutos. Independiente del hardware en uso, la colección ofrece una seguridad Auditor entorno normalizado de trabajo, de modo que la acumulación de know-how y el apoyo a distancia es más fácil. " - Http://www.remote-exploit.org/index.php/Auditor_main-



Knoppix-NSM

"Knoppix-NSM se dedica a proporcionar un marco para las personas que quieran aprender sobre la supervisión de seguridad de red o que desean implementar qucikly y fiable NSM en su red. Nuestro objetivo es proporcionar una introducción a NSM y una distribución que puede ser utilizado como un la plataforma de lanzamiento para cosas más grandes. " -Www.securixlive.com



Knoppix-STD

"ETS es una herramienta de seguridad basado en Linux. En realidad, es una colección de cientos si no miles de herramientas de código abierto de seguridad. Se trata de una distribución Linux Live, lo que significa que se ejecuta desde un CD de arranque en la memoria sin cambiar el sistema operativo nativo de la el equipo host. " - Http://www.knoppix-std.org/-



KCPentrix

"El proyecto Kcpentrix fue fundada en mayo de 2005, fue KCPentrix 1.0 liveCD diseñado para ser un conjunto de herramientas para pruebas de penetración independiente pentesters, los analistas de seguridad y administradores de sistemas" - KCPentrix.com



Protech

Protech es una distribución de Linux especialmente diseñada para los técnicos de seguridad y programadores.

Es la facilidad de uso imcomparable y estabilidad hacen de este un producto único. -Techm4sters



FIRE

"El fuego es un portátil de CD-ROM de arranque de distribución basado en el objetivo de proporcionar un entorno inmediato para realizar un análisis forense, respuesta a incidentes, recuperación de datos, escaneo de virus y evaluación de la vulnerabilidad".
-Http: / / fire.dmzs.com-



Arudius

Arudius es un Linux Live CD con herramientas que tratan de abordar el aspecto de la seguridad de la red (las pruebas de penetración y análisis de la vulnerabilidad) de seguridad de la información. Está basado en Slackware (Zenwalk) para sistemas i386 y los objetivos de la audiencia seguridad de la información.



INSERT

"INSERT es un sistema completo, arranque de linux. Viene con una interfaz gráfica de usuario que ejecuta el gestor de ventanas Fluxbox sin dejar de ser lo suficientemente pequeño para caber en una tarjeta de crédito de tamaño CD-ROM".
-Http: / / www.inside-security.de/insert_en.html-



Seguridad de Área Local (LEA)



NavynOS

"Navyn OS es una distribución GNU / Linux basada en Gentoo. Gentoo no es una típica distribución como Debian o Slackware, que ni siquiera tiene un instalador, que es similar a hacer su propia distribución. La parte principal de Gentoo es Portage, un conjunto de secuencias de comandos para instalar y quitar programas ". -Http: / / navynos.linux.pl /


Operador

"Operador es un completo Linux (Debian) de distribución que se ejecuta desde un CD de arranque y solo se ejecuta por completo en la memoria RAM." - Http://www.ussysadmin.com/operator/


Pentoo

"Pentoo es una prueba de penetración de distribución LiveCD basado en Gentoo. Cuenta con una gran cantidad de herramientas de auditoría y pruebas de una red, de la exploración y el descubrimiento de las vulnerabilidades de la explotación."
-Http: / / www.pentoo.ch/-PENTOO-.html-



PHLAK

"PHLAK es un sistema modular en vivo de seguridad de distribución de Linux (también conocido como LiveCD). PHLAK viene con dos de luz gui (fluxbox y XFCE4), muchas herramientas de seguridad, y un cuaderno de espiral completa de la documentación de seguridad. PHLAK es un derivado de Morphix, creado por Alex de Landgraaf. " - Http://www.phlak.org/modules/news/-


PLAC

"PLAC es una tarjeta de visita tamaño de arranque CD-ROM con Linux. Dispone de auditoría de red, de recuperación de datos, y herramientas de análisis forense. ISO se avialable y guiones para rodar propio CD."
-Http: / / sourceforge.net/projects/plac/-



Plan-B

"Plan-B es un entorno de arranque de Linux sin necesidad de un disco duro, que se ejecuta por completo en la memoria RAM o desde el CD, sobre la base de una instalación básica, despojado de Red Hat Linux y el funcionamiento básico del CD SuperRescue"-http: / / www.projectplanb.org/



SENTINIX

"SENTINIX es una distribución GNU / Linux diseñada para la supervisión, detección de intrusos, análisis de vulnerabilidad, las estadísticas gráficas / y anti-spam es completamente gratis;. Libre de utilizar, libre de modificar y distribuir libremente SENTINIX incluye el siguiente software instalado y. pre-configurado; Nagios, Nagat, Snort, SnortCenter, ACID, Cactus, RRDtool, Nessus, Postfix, MailScanner, SpamAssassin, openMosix, MySQL, Apache, PHP, Perl, Python y mucho más ". -Http: / / sentinix.tigerteam.se /



Talos

"Talos es un LiveCD de seguridad, basado en SLAX 5.1.0, con más de 90 herramientas de seguridad preinstalado. Se ejecuta directamente desde el CD sin necesidad de instalar en el disco duro. Talos se encuentra actualmente en versión beta 0.1 y está disponible para descargar." -ISafe.gr



ThePacketMaster

ThePacketMaster - específico de la misión Live-CD de distribuciones Linux - thepacketmaster.com



Trinux

Ramdisk mínima distribución de Linux significa para el monitoreo de la red.



WarLinux

Una distribución Linux para wardrivers.



Whoppix

"Whoppix es independiente de pruebas de penetración Live CD basado en Knoppix. Con las últimas herramientas y exploits, es una necesidad para todas las pruebas de penetración y el auditor de seguridad. Whoppix incluye varios archivos explotar, como SecurityFocus, Packetstorm, SecurityForest y Milw0rm , así como una amplia variedad de herramientas de seguridad actualizado. " -Distrowatch



WHax

Proyecto actualizado de Whoppix. Descontinuado y se fusionó con BackTrack.



HeX

Hex es una distribución de seguridad en vivo que se centra en la vigilancia de la seguridad y análisis forense.



Stagos FSE

"Stagos FSE pretende ser un marco de equipo forense basada en sistema operativo de software libre. Builds de Ubuntu, tiene muchas características para hacer cosas forense. Soporta lectura del sistema de archivos variante, son ntfs. También soporta leer algún archivo de imágenes forenses de otro software forense tales como EnCase. " -Linuxforums.org


SNARL

gruñido es una ISO de arranque forense basado en FreeBSD y el uso de la autopsia de @ stake y tareas, así como la lista de conocidos scmoo sumas bien. -snarl.eecue.com

Pues no se pueden quejar ya tiene una gran lista de diestros para empesar.

Saludos Mundo Libre

ATM

Saludos Mundo Libre.

Ya he hablado en artículos anteriores de las técnica de robo en ATM y el clonado de las tarjetas de credito o debito en este articulo se comenta sobre las cámaras térmicas que podría ser una técnica que no solo abarca los atm sino los detectores de huellas que usan en diferentes bancos como seguridad con tan solo aventar un poco de calor o bao con la boca tendremos acceso a los datos del ultimo usuario intente lo y se sorprenderán.

 La transformación de la cultura de TI


Los investigadores de seguridad han descubierto que las cámaras térmicas se pueden combinar con algoritmos informáticos para automatizar el proceso de robar datos de tarjetas de pago procesadas por los cajeros automáticos.

En el Simposio Usenix de Seguridad en San Francisco la semana pasada, los investigadores dijeron que la técnica tiene ventajas sobre los métodos más comunes que utilizan ATM rozando las cámaras tradicionales para captar el PIN de la gente entra en las transacciones. Esto se debe a los clientes a menudo oscura visión de la cámara con sus cuerpos, ya sea sin querer oa propósito. Lo que es más, se puede tomar una cantidad considerable de tiempo para los delincuentes para ver las imágenes capturadas y registrar el código introducido en cada sesión.

La imagen térmica puede mejorar enormemente el proceso mediante la recuperación del código por algún tiempo después de cada PIN se introduce. Su producción también puede ser procesada por un algoritmo que automatiza el proceso de traducción en el código secreto.

Los resultados de ampliar en 2005 la investigación de Michal Zalewski, quien ahora es un miembro del equipo de seguridad de Google. Los presentadores Usenix probado la técnica de trazado por Zalewski, el 21 de los sujetos que usaron 27 PIN seleccionados al azar y encontró que la tasa de éxito varía dependiendo de variables como los tipos de teclados y la temperatura de los sujetos del cuerpo.

"En resumen, mientras que el documento post-hoc de los ataques de imágenes térmicas son viables y automatizable, también encontramos que la ventana de vulnerabilidad es mucho más modesto de lo que algunos temían y que no son simples medidas contra (es decir, el despliegue de teclados con elevada temperatura conductividad) que puede reducir esta vulnerabilidad aún más ", escribieron los investigadores.

Articulo Completo:

http://www.theregister.co.uk/2011/08/18/thermal_imaging_atm_fraud/

Fuente:

http://www.theregister.co.uk/2011/08/18/thermal_imaging_atm_fraud/

Traduccion: Dellcom1@

Saludos Mundo Libre.

Arachni

Saludos Mundo Libre.




Arachni es un sistema totalmente automatizado que trata de imponer el fuego y se olvidan los principios. Tan pronto como una exploración que se inicia no le molesta para nada, ni requieren la interacción del usuario. Al finalizar, los resultados del análisis se guardan en un archivo que posteriormente se puede convertir en diferentes formatos (HTML, texto plano, XML, etc)


El proyecto fue iniciado como un ejercicio educativo aunque desde entonces ha evolucionado hasta convertirse en un marco de gran alcance y modular que permite una rápida, precisa y flexible de seguridad / vulnerabilidad de las evaluaciones ..


Más que eso, es muy Arachni extender-capaz de permitir que cualquier persona mejorar mediante la incorporación de componentes personalizados y la adaptación de la mayoría de los aspectos para satisfacer las necesidades de la mayoría.


El autor nos ha notificado de una nueva versión (v3.0), que tiene algunas nuevas características, algunas de las que:


Una nueva custom-written, Spider ligero
Complemento en el apoyo a la WebUI
Exploración planificador
Autodeploy - Convertir cualquier caja habilitada SSH Linux en un Dispatcher
Mejora de la precisión de las auditorías de análisis diferencial
Mejora de la precisión de las auditorías de tiempo de ataque
Altamente optimizado ataques puntuales
Si usted está interesado en el aspecto WebUI puede ver algunas capturas de pantalla aquí, la más completa de cambios está disponible aquí.


Para aquellos de vosotros en la evaluación comparativa y las pruebas que podría estar interesado en saber que durante una reciente prueba Arachni fue el único (de una larga lista de sistemas comerciales y de F / OSS) que afectó a 100% en ambos XSS y pruebas SQLi en el punto de referencia WAVSEP :


Aplicaciones comerciales Web Scanner Benchmark


El autor está haciendo un gran trabajo con esta herramienta y cerrando rápidamente la brecha entre los escáneres de seguridad libre y las opciones comerciales de alto precio. Si usted tiene algún comentario sobre v3.0 Arachni déjanos un comentario aquí o presione el Grupo Arachni Google.




Descarga:

http://arachni.segfault.gr/news

Saludos Mundo Libre.

Manuales

Saludos Mundo Libre.

Heres Nuevo en maravilloso mundo Linux y no sabes que distribicion de linux obtener pue aqui esta una exelente web donde encontraras los manuales de las mejores distribuciones linux descarga el manual que quieras y disfruta de el 100 % de tu sistema operativo linux.

http://linux-cd.com.ar/manuales/

Saludos Mundo Libre.

Beini

Saludos Mundo Libre.


Me he topado con una exelente diestro de hacking de wifi.


Con la reciente proliferación de redes inalámbricas (IEEE 802.11) la temática de la seguridad de dichas redes se convirtió en un foco de atención. Beini es una herramienta diseñada para comprobar el nivel de seguridad de las redes inalámbricas.


Beini: Un sistema completo desarrollado para comprobar la seguridad de las redes wireless, basado en Tiny Core Linux.

FeedingBottle：la GUI de aircrack-ng de Beini.

2011-08-14 Beini-1.2.3 --- Nueva versión de feeding-bottle (versión 3.2.1). Se arreglo el bug que impedía iniciar el programa haciendo clic derecho en el escritorio. --- A?adido el paquete "x_rtl8188ru_20110812.tce", el cual incluye controladores y firmware para los chipsets 8188RU de Realteck. --- Se borraron "x_ath9k_htc_compat-wireless-2.6.38-rc4-1.tce" y "firmware.tcz". --- Nota: Versión especialmente hecha para los chipsets 8188RU (de Realteck).  No se recomiende para otros chipsets.Para un ataque sin cliente  tendrán que usar la falsa asociación por fuerza en lugar de la clásica  asociación falsa (Aireplay-ng -1).

Fuente: http://www.ibeini.com/es/index.htm Saludos Mundo Libre.

Telcel, movistart, unefon, etc y etc

Saludos Mundo Libre.

En Mexico hay anuncios de publicidad que lo que quieres estas empresas es joder mas al usuario con anuncios como.

imagina contratar internet donde quieras , por hora, por dia tatatata.  telcel.

A pues.

imagina que tengo internet siempre donde quiera como quiera y sin costo jajaja.

como.

Aqui he expuesto damaciados consejos de como tener internet gratis facil y donde quieras.

No se te dejen enganar  mas  Mundo Libre He Internet libre sino seguiremos rompiendo sus sistemas.

INTERNET PARA TODOS.

Saludos Mundo Libre.

Hack Gmail

Saludos Mundo Libre.

Gmail se esta protegiendo de ataques provenientes de china estos ataques son dirigidos a cuentas interesantes como enpresarios o funcionarios posible metodo de hackeo seria el uso de apliacaciones como:



Método # 1: Un keylogger

Un keylogger es un programa que se instala en su ordenador y que secretamente grabar todas las teclas pulsadas en el teclado, esto le permitirá, por ejemplo, si usted comparte la computadora con su ser querido, después de iniciar sesión en su cuenta, para ver la contraseña que escribió.
Un keylogger grande y fácil de instalar con una prueba gratuita se puede encontrar en http://www.hackemailpasswords.com.

Método # 2 Uso de software libre

Este método funciona mediante el uso de algunos de los programas libres disponibles por ahí (al menos por ahora es gratis), uno de estos sitios se puede encontrar en:

http://www.gmailhackerpro.com

¿Cómo funcionan estos servicios?

Que explotan la vulnerabilidad en la base de datos de Gmail que permite cortar y recuperar cualquier contraseña de la cuenta de Gmail en un lapso muy corto de tiempo, generalmente menos de 3 minutos por cada cuenta cuando se utiliza el software.

Yo no he usado la aplicacion pero si ustedes lo han usado seria de ayuda el comentario de estos servicios  lo estoy descargando y en breve les comentare sobre su codigo de funsionamiento ya que vere sus entranas .

Saludos Mundo Libre.

FTP Control Manual De Conecciones Wifi

Saludos Mundo Libre.

Como dice la entrada esto es para poder sacar un archivo de un servidor ftp o dado su caso obtener un acceso al servidor ftp con un control total del servidor.

Este ejercio fue realizado en una distrivucion Backtrack 5 gnome.

Abrimos una Shell y enpesamos.

#ls /etc/network

con este comando  checamos los directorios o comandos que necesitamos para el siguiente comando.

#cat /etc/network/interfaces.stock

Es muy importante que contemos con este archivo interfaces.stock

#iwlist wlan0 scan | grep 'ESSID\|Encription\|WPA'

Este comando nos dirá los essid que tenemos en el rango wifi.

Ya localizada la víctima pondremos este comando.

#wpa_passphrase Victima password

En víctima es el essid y password la palabra de pasó que nos imaginemos aqui es donde es el hacking hay que usar un software de fuerza bruta para poder sacar la palabra de paso.

#wpa_passphrase Victima password > temp.conf

#wpa_Supplicant -B -Dwext -i wlan0 -c temp.conf

#dhclient wlan0

Pues hay se los dejo.

Saludos Mundo Libre.

Firewall en linux

Saludos Mundo Libre.

Introducción

El siguiente documento tiene como objetivo describir y documentar el trabajo practico realizado por los alumnos, Darreche Esteban, Ordoñez Javier, Camisar Fernando Andres Alfredo Berner y Jaca Pablo.

La cátedra ha solicitado que a fin de que logremos adquirir experiencia en el manejo de Linux propongamos un tema a tratar que tenga que ver con el uso de dicho sistema operativo y realizemos una demostración de la aplicación practica que se puede dar al tema elegido.

El tema que ha elegido el grupo es la aplicación de tecnología basada en Linux para brindar servicios de configuración dinámica, acceso a Internet, yProxy a una red de área local (LAN) garantizando un buen nivel de seguridad.

1. El objetivo del trabajo es demostrar como se puede implementar a bajo costo y reciclando hardware un sistema que permita el acceso seguro a Internet y la conectividad entre computadoras mediante sistemas linux.
   
   La idea es configurar un equipo bajo el sistema operativo Linux para que cumpla la función de Router y el Firewall.
2. Objetivo
3. Roles en la presentación.

Introducción

Durante este periodo de la presentación se explicara cuales son los temas que vamos a tratar, el objetivo del trabajo y se presentara a los integrantes del grupo.

Encargado Fernando Camisar

IP-Tables

Durante este periodo de la presentación se explicara que es IP-TABLES y como funciona, por que hemos elegido esta tecnología y se realizara una comparación con tecnologías anteriores.

Encargado Esteban Darreche

Distribución.

Durante este periodo de la presentación se mostrara la distribución que hemos elegido, se explicara como se instalo, como se configura, que formas deadministración tiene, que servicios provee, que tecnologías utiliza y como trabaja.

Encargado Javier Ordoñez

Test de penetración.

Este periodo de la presentación se dividirá en dos partes con el fin de mostrar en tiempo real el funcionamiento del firewall, se va a atacar a una PC primero sin el firewall mediante software especializado en seguridad, y luego con el firewall activado, luego se compararan los resultados en las dos etapas para que se pueda notar como el firewall permite proteger la red.

También se explicara el funcionamiento del software utilizado en el ataque.

Encargados:

Ataque sin firewall Andres Berner

Ataque con firewall Pablo Jaca

Solución de intrusión.

Este periodo de la presentación será la contraparte de el periodo anteriormente explicado, se mostrara como a medida que se reciben los ataques el firewall los detecta y se explicara que tipo de ataque se ha detectado.

Por otro lado se explicara el funcionamiento de el IDS utilizado por el firewall en ente caso SNORT.

Encargados:

Análisis de detección de intrusión Fernando Camisar

Explicación de IDS y SNORT Mariano Crimmi

Conclusiones

Se expondrán las conclusiones obtenidas tras la el trabajo y se responderán preguntas.

Encargado Pablo Jaca

1. IP Tables

La tecnología seleccionada para cumplir nuestro objetivo ha sido IP Tables.

A continuación daremos una breve explicación de su forma de trabajo.

El software de filtrado de paquetes denominado IP-Tables existe en las versiones de kernel 2.4 en adelante, estos son algunos otros métodos que se utilizaban anteriormente y las versiones de kernel que los contienen.

En los Kernel de versiones 2.1.X el  paquete de filtrado es el IP-FWADM.
En los Kernel de versiones 2.2.X el  paquete de filtrado es el IP-CHAINS.
En los Kernel de versiones 2.4.X el  paquete de filtrado es el IP-TABLES.

IPtables es un sistema de firewall vinculado al kernel de linux que se ha extendido enormemente a partir del kernel 2.4 de este sistema operativo. Al igual que el anterior sistema ipchains, un firewall de iptables no es como un servicio que iniciamos o detenemos o que se pueda caer por un error deprogramación(esto es una pequeña mentira, ha tenido alguna vulnerabilidad que permite DoS, pero nunca tendrá tanto peligro como las aplicaciones que escuchan en determinado puerto TCP): iptables esta integrado con el kernel, es parte del sistema operativo.

Para utilizar IP Tables lo que se hace es aplicar reglas mediante la ejecución del comando iptables, con el que añadimos, borramos, o creamos reglas. Por ello un firewall de iptables no es sino un simple script de shell en el que se van ejecutando las reglas de firewall.

Se puede implementar un script de inicio en /etc/rc.d/INIT.d (o /etc/INIT.d ) con el que se puede lograr que iptables se "inicie o pare" como un servicio más. Lo podemos hacer nosotros o es probable que venga en la distribución (como en redhat por ejemplo). También se pueden salvar las reglas aplicadas con el comando iptables-save en un archivo y gestionar ese archivo con una aplicación o front-end desde la X o desde la web.

Ejemplo de funcionamiento:

Tenemos una máquina linux con soporte para iptables, tiene reglas aplicadas y empiezan a llegar/salir/pasar paquetes. No le daremos importancia a la cantidad de placas de red,direcciones ip y si los paquetes son entrantes o salientes. Las reglas de firewall están a nivel de kernel, y al kernel lo que le llega es un paquete y tiene que decidir que hacer con el. El kernel lo que hace es, dependiendo si el paquete es para la propia maquina o para otra maquina, consultar las reglas de firewall y decidir que hacer con el paquete según lo que establezcan dichas reglas.

Este es el camino que seguiría un paquete en el kernel:

Para ver el gráfico seleccione la opción "Descargar" del menú superior

Cuando un paquete u otra comunicación llega al kernel con iptables se sigue este camino

Como se ve en el gráfico, básicamente se mira si el paquete esta destinado a la propia maquina o si va a otra. Para los paquetes (o datagramas, según elprotocolo) que van a la propia maquina se aplican las reglas INPUT y OUTPUT, y para filtrar paquetes que van a otras redes o maquinas se aplican simplemente reglas FORWARD.
INPUT,OUTPUT y FORWARD son los tres tipos de reglas de filtrado. Pero antes de aplicar esas reglas es posible aplicar reglas de NAT: estas se usan para hacer redirecciones de puertos o cambios en las IPs de origen y destino.
E incluso antes de las reglas de NAT se pueden aplicar reglas de tipo MANGLE, destinadas a modificar los paquetes; aunque son reglas poco conocidas y no utilizadas frecuentemente nos pareció que vale la pena mencionarlas.
Por lo tanto tenemos tres tipos de reglas en iptables:
- MANGLE
- NAT: reglas PREROUTING, POSTROUTING
- FILTER: reglas INPUT, OUTPUT, FORWARD.

Ventajas de configurar linux como Firewall

• Linux es un sistema operativo gratuito.
• El equipo donde corre el firewall necesita requerimientos mínimos
• Alta fiabilidad, ya que linux presenta gran calidad y estabilidad : muchas empresas están eligiendo opciones de este tipo.
• Sobre el sistema operativo Linux se puede montar múltiples servicios tales como:
• • Servidor Proxy HTTP y  FTP con cache de disco para acelerar la navegación por Internet.
  • Informes generados en forma automática.
  • Bloqueo opcional para la navegación en mas de 30.000 sitios.
  • Conversión de las direcciones IP de su red privada (NAT)

1. La distribución elegida fue IP-COP, a continuación examinaremos esta distribución detalladamente y describiremos como fue el proceso de instalación, como se puede configurar y cueles son los métodos de administración.
   1. Características
2. Distribution

Estas son algunas de las principales características por las que se Eligio IP-COP:

• Segura, Estable y altamente configurable distribución basada en Firewall.
• Web Server con paginas que permiten la sencilla administración del firewall.
• Cliente DHCP que permite obtener la dirección IP automáticamente desde el ISP.
• Servidor DHCP que permite una rápida y sencilla configuración de estaciones de trabajo en la red interna.
• Proxy DNS cache, que permite incrementar la velocidad de resolución de consultas de nombre de dominio.
• Web Proxy con cache que incrementa la velocidad de navegación por web.
• Detección de intrusos para advertir ataques desde la red externa.
• Posibilidad de particionar la red en VERDE (Parte de la red protegida contra Internet ) y NARANJA o DMZ (Parte de la red que contiene servidorescon acceso publico parcialmente protegidos de Internet).
• VPN que permite que se conecte la red interna con otra red a través del Internet, formando una sola red lógica.

1. Modo de trabajo

IP-COP intenta imitar a los firewalls por hardware basándose en el concepto del firewall como una caja que cumple la única función de ser firewall pudiendo administrarse casi en su totalidad de forma remota.

Es evidente que esto no se cumple en su totalidad ya que además de la funcionalidad de firewall, a las versiones mas recientes de IP-COP se le han agregado otros servicios como DHCP y Proxy pero los creadores de la distribución siguen afirmando que cuantas mas funciones estén activas , mas

vulnerable se volverá la red interna.

En IP-COP se pueden configurar 3 tipos de interfaces.

VERDE (GREEN)

Esta internase se conecta a la parte de la red que IP-COP debe proteger, se presume que detrás de esta internase habrá trafico local que para acceder a otras redes deberá pasar por el IP-COP.

NARANJA (ORANGE)

Esta partición de la red es opcional y permite que se coloquen servidores de acceso publico en una red separada. Las computadoras en esta red no pueden comunicarse con las de a red VERDE, excepto por intermedio de agujeros firmemente controlados de DMZ

El tráfico a esta red se encamina a través de una Interfase. La NIC NARANJA debe ser diferente de la NIC VERDE.

ROJA (RED)

Esta red es Internet o otra red poco confiable. El propósito primario de IP-COP es proteger la red VERDE y NARANJA y sus equipos de el trafico originado en la red ROJA.

IP-COP puede trabajar de cuatro formas diferentes.

• GREEN (RED is modem/ISDN)
• GREEN + ORANGE (RED is modem/ISDN)
• GREEN + RED (RED is Ethernet)
• GREEN + ORANGE + RED (RED is Ethernet)

Esta es la forma lógica de trabajo de IP-COP en el caso de existir una DMZ.

Para ver el gráfico seleccione la opción "Descargar" del menú superior

IP-COP realizaría los trabajos de Router y Firewall.

Firewall

IP-COP trabaja mediante IP-TABLES, esta es la tecnología mas reciente que hay en el filtrado de paquetes bajo linux implementada en las versiones de kernel superiores a la 2.4. Permite el filtrado de paquetes a través de reglas.

Proxy

Se puede configurar ipcop para que trabaje el Proxy de forma normal o transparente.

• Si el Proxy se configura en modo normal el usuario deberá configurar su browser y todos los programas que accedan a Internet con la dirección del IP-COP para la interfase VERDE. Esto permite un mayor control de las actividades del usuario.
• En cambio si el Proxy se configura en modo transparente no se requiere ningún tipo de configuración de Proxy en las estaciones de trabajo de la red interna.

1. Instalación

A continuación vamos a detallar las distintas formas en las que se puede llevar a cabo la instalación de la distribución IP-COP y cual fue la elegida por el grupo.

Como primer comentario debemos aclarar que IP-COP es distribuido bajo los términos de licenciamiento GNU General Public License especificados enhttp://www.gnu.org/licenses/gpl.html

Lo primero que se debe hacer antes de comenzar la instalación es decidir cual será la topología de la red y que funciones va a cumplir el IP-COP

Como ya hemos explicado IP-COP puede trabajar con varias configuraciones

• GREEN (RED is modem/ISDN)
• GREEN + ORANGE (RED is modem/ISDN)
• GREEN + RED (RED is Ethernet)
• GREEN + ORANGE + RED (RED is Ethernet)

La configuración elegida por el grupo fue:

GREEN + RED (RED is Ethernet)

Esto quiere decir que vamos a tener una interfase de red Ethernet que se comunicara con la red interna (GREEN) y una interfase de red Ethernet que se comunicara por medio de un MODEM a Internet (RED).

En la practica la topología que se utiliza es la siguiente:

Tenemos 2 PC de escritorio y una portátil conectadas a un Switch ethernet que a su vez se conecta a la interfase de red (VERDE) de el firewall IP-COP.

Conectado a la interfase restante (ROJA) se encuentra un MODEM ADSL que suministra la conexión a Internet. En nuestra configuración no se utiliza interfase NARANJA (DMZ) ya que no disponemos de una tercera placa de red ethernet.

Debido a fines didácticos en la demostración se utilizara esta topología.

Tenemos una Portátil conectada a un switch que a su vez se conecta a la interfase VERDE de el firewall IP-COP (Esta portátil simulara a la red interna y recibirá los ataques). En la interfase ROJA del firewall conectaremos Otra portátil conectada a un switch que simulara a Internet e intentara ingresar a la red interna.

Hardware utilizado

Para la realización del proyecto se busco hardware relativamente obsoleto con el fin de demostrar la capacidad que posee linux de promocionar una gran funcionalidad reciclando equipo a bajo costo.

Especificaciones técnicas del hardware.

 La configuración del hardware se basaba en una PC Compaq deskpro 5100

Pentium 100 MHZ

32 MB RAM SIMM

Disco Rigido Western Digital 2.2GB

Lectora de CD 8X (No Funciona Correctamente)

Disketera 3 1/2 ' '

2MB Video Onboard

Creative Soundblaster 16 (ISA)

Modem 33600 US-Robotics

Puertos ps/2 para teclado y mouse

Puerto de RED Ethernet AT-1700 ONBOARD 10 Mbps (INTERFASE ROJA)

Se agrego una placa de red PCI con chip RT-8139 (INTERFASE VERDE)

También fue utilizado un MODEM ADSL marca Aresco en la practica pero este no será utilizado durante la demostración.

métodos de instalación

IP-COP permite su instalación mediante 3 métodos.

Method	Boot Floppy	Driver Floppy	CD Drive	FTP/Web Server
Bootable CD	N	N	Y	N
Bootable Floppy with CD	Y	N	Y	N
Bootable Floppy with FTP/Web Server	Y	Y	N	Y

En el primer metodo "Bootable CD" se bootea la PC por medio del CD y se instala el sistema operativo directamente desde en CD.

Este metodo es conveniente cuando se posee una PC con una lectora de CD que funciona correctamente y tiene la capacidad de booteo desde CD.

En el segundo metodo "Bootable Floppy with CD" Se inicia el sistema con un diskette y luego se inserta el CD para instalar el sistema operativo.

Este metodo es conveniente cuando se posee una PC con una lectora de CD que funciona correctamente y no se tiene la capacidad de booteo desde CD.

El método elegido por el grupo es "Bootable Floppy with FTP/Web Server" debido a que no funciona la lectora de CD y este es el único método que no la requiere.

En este método Se bootea con un diskette, se configura una interfase de red y se le proporciona al sistema una dirección URL de un servidor ftp conectado a la misma desde donde este copiara los archivos de instalación.

Tanto el cd como el diskette necesarios para la instalación se deben descargar previamente en formato de imagen ISO desde la pagina de IP-COP en Internet.

A continuación mostraremos brevemente como llevamos a cabo la instalación de IP-COP.

Instalación por el metodo Bootable Floppy with FTP/Web Server

Luego de insertar el diskette IP-COP en la diskettera se enciende el equipo.

Esto provoca que se active el LILO (Linux Loader) y se muestre la siguiente pantalla.

Esta pantalla es una advertencia de que la instalación eliminara todas las particiones existentes y se perderán todos los datos. Para continuar no pide presionar la tecla REURN.

Luego de confirmar nuestro deseo de instalar, el sistema corre el software instalador de ip-cop y nos pide que seleccionemos el idioma en el que se instalara.

Luego de esto se nos da a elegir el método de instalación anteriormente mencionado.

En nuestro caso se Eligio HTTP ya que no se posee una lectora de CD en operación.

Ahora el sistema nos pedirá el driver floppy que es un diskette que se puede descargar así como los demás en la pagina oficial de ipcop. Este disco contiene los drivers de todas las placas que se especifican en la HCL de IP-COP

Previamente a la instalación hemos comprobado si nuestro hardware era compatible con la HCL del producto y verificamos que tanto la placa AT-1700 como al RT-8139 pertenecen dicha lista.

La HCL de IP-COP esta disponible en la pagina oficial del producto en Internet.

Una vez insertado el driver floppy continuamos con la instalación.

El sistema configurara la interfase VERDE con los drivers proporcionados.

Una vez configurada la placa se nos solicita que le proporcionemos una dirección de IP y la correspondiente mascare de subred para dicha interfase del firewall, esta será la dirección con la que se vera al firewall desde la red interna de ahora en adelante.

Una vez suministrada la IP la interfase verde ya esta activa y configurada.

Ahora el sistema nos solicitara la URL de el servidor desde donde se deben descargar los archivos de instalación.

En nuestro caso se utilizo una PC Portátil con un Microsoft Internet Information Server instalado.

Una vez que los archivos fueron descargados e instalados el sistema solicita que se extraigan los diskettes que pueda haber en la unidad de diskettes y pide una confirmación para resetear el equipo.

Una vez que la PC se reinicio se abre nuevamente el programa de instalación que nos informa que la instalación finalizo correctamente.

A partir de este momento el programa de instalación abre el programa de configuración inicial. (Aqui empieza el proceso de configuración)

1. Configuración

Durante esta sección se explicara como se realiza la configuración estándar de la distribución, en la primera parte se vera la configuración inicial que es la que se realiza en el momento posterior a la instalación, luego examinaremos la configuración vía web por medio de https y por ultimo mostraremos como se refleja esta configuración en los archivos de linux por medio de la consola.

Configuración inicial

Esta es la configuración que se realiza en el momento inmediatamente posterior al proceso de instalación del producto.

 Las primeras pantallas nos solicitan información básica como la configuración del teclado, la zona horaria en donde nos encontramos, y el hostname.

A continuación se despliega la pantalla de configuración de ISDN. Esta pantalla no nos es de utilidad ya que no poseemos dispositivos ISDN.

En el siguiente paso se muestra la pantalla que permite elegir el modo de instalación. Como ya hemos explicado en la sección 3.2 el firewall tiene cuatro modos de trabajo.

• GREEN (RED is modem/ISDN)
• GREEN + ORANGE (RED is modem/ISDN)
• GREEN + RED (RED is Ethernet)
• GREEN + ORANGE + RED (RED is Ethernet)

Elegimos el modo GREEN + RED (RED is Ethernet)

Luego de elegir el modo de trabajo pasamos a configurar la interfase ROJA(RED).

En esta pantalla se nos pide que ingresemos el medio por el cual se obtendrá la dirección ip desde la red considerada como peligrosa o que ingresemos una IP estática para dicha interfase.

En la practica que realizo el grupo se Eligio PPPOE ya que se trataba de una interfase ethernet conectada a un MODEM ADSL.

La dirección IP es entregada en forma dinámica por el ISP.

Luego se solicita la configuración del DNS del equipo y el DHCP Server.

 Se solicitan los parámetros indispensables como DNS primario y secundario, y en el caso de el DHCP Server se pide el Scope de IP la mascara de subred el DNS primario y secundario y el sufijo de DNS para configurar en las estaciones de trabajo de la red VERDE.

Ahora se nos solicita que se ingresen las passwords para los 3 usuarios principales de la distribución:

Esta distribución genera automáticamente 3 usuarios para realizar las diferetes tareas de administración:

ROOT: Usuario utilizado para el acceso mediante la línea de comando.

SETUP: Usuario para acceder al programa de configuración.

ADMIN: Usuario para acceder vía HTTPS.

Aquí termina la Configuración inicial de IP-COP

A partir de este momento el firewall ya puede verse desde la red interna lo único que falta para que este operativo es la configuración de algunos parámetros como el marcado del MODEM, etc.

Para configurar estos parámetros utilizaremos la administración vía web que ofrece la distribución por medio de HTTPS:

Configuración vía WEB

Desde una PC en la red interna se abre un Browser y se ingresa a la dirección de la interfase verde del firewall por medio del protocolo https en el puerto 445. En nuestro caso la dirección seria https://192.168.1.1:445/

Una vez que se despliega la pagina de administración nos aparece un menú con varias opciones.

Apenas se seleccione cualquiera de las opciones se nos solicitara un usuario y password para ingresar a la pagina, Este usuario determinara nuestro nivel de acceso.

Para ver el gráfico seleccione la opción "Descargar" del menú superior

El usuario que utilizaremos será admin. Ya que es el usuario que esta destinado a la administración web y ya esta configurado, luego se pueden configurar otros usuarios como por ejemplo "dial" que solo tiene permisos para conectar y desconectar el MODEM.

Ahora procederemos a configurar la conexión con el MODEM.

Aquí se mostrara como realizar la configuración básica para que el firewall quede operativo, las demás funciones de el acceso vía web serán explicadas en el punto 3.5 (Administración).

Para realizar la configuración del MODEM nos dirigimos al menu Dial Up

En este menú se pueden encontrar todas las opciones de configuración para los diferentes tipos de acceso.

En esta pantalla se pueden configurar parametos como el tipo de conexión, el nombre de usuario y passwords, la cantidad de reintentos y los servidores de DNS.

Luego de ingresar estos datos ya se podrá conectar el firewall a Internet desde la pagina Home lo que lo dejaría en un estado operativo.

El resto de la funcionalidad que ofrece la administración vía web será explicado en la sección 3.5 dedicada a Administración.

1. Administración

En esta sección mostraremos como se administra IP-COP de forma remota.

IP-COP permite su administración mediante SSH o HTTPS.

Este es un breve resumen de las opciones disponibles, solo mostraremos las opciones que el grupo utilizo para configurar el firewall, la explicación del resto de las funcionalidades se puede encontrar en la bibliografía sugerida.

La pagina de administración nos permite navegar entre 7 diferentes menús:

• Home
• Information
• Dial-Up
• Services
• VPNs
• Logs
• System

Home:

Es la pagina principal y es la que permite conectar y desconectar el firewall de Internet, esta es la única pagina a la que tiene acceso el usuario dial que es un usuario destinado solo para conectar y desconectar el firewall.

además esta es la pagina que le da acceso al administrador a todos los demás menús.

1. Test de penetración
2. En esta etapa se efectuaran ataques desde la red no segura hacia la red interna en la situación protegida y no protegida y se compararan sus resultados para determinar la eficacia del firewall.
   1. Software Utilizado

El software que se utilizara para efectuar los ataques será el Shadow Security Scanner

Reconocido como el mas rápido scanner de seguridad en el mercado actual, Shadow Security Scanner esta diseñado para identificar las vulnerabilidades conocidas y las aun no descubiertas, sugiere soluciones a las vulnerabilidades ya conocidas y reporta los posibles agujeros de seguridad en entornos de red, Internet, Intranet o extranet. La tecnología patentada de este producto eclipsa por completo las capacidades de las pasadas generaciones de scanners de seguridad y empleando un motor único de AI (inteligencia artificial) que permite al producto pensar como un hacker o un analista de seguridad de redes que intenta penetrar en la red interna.

Otras herramientas conocidas en el mercado son:

• Retina Security Scanner.
• Nessus (Bajo plataformas Linux)
• Languard Security Scanner
• Internet Security Scanner

1. Shadow Security Scanner incluye módulos de auditoria de vulnerabilidades para la mayoría de sistemas y servicios. Estos incluyen:
   NetBIOS, HTTP, CGI y WinCGI, FTP, DNS, vulnerabilidades DoS, POP3, SMTP, LDAP, TCP/IP, UDP, Registro, Servicios, Usuarios y cuentas, vulnerabilidades en passwords, extensiones de publicación, MSSQL, IBM DB2, Oracle, MySQL, PostgressSQL, Interbase, MiniSQL, y muchos mas.
   Shadow Security Scanner corre bajo Windows, pero su uso no esta limitado a esta plataforma, ya que como herramienta de red, permite scannear todo tipo de sistemas, incluyendo sistemas UNIX y dispositivos de red (routers, firewall, etc) que utilicen sistemas nativos.
2. Tipos de ataques realizados
3. Comparación (Situación protegida y no protegida)

Cuando realizamos el escaneo en la situación no protegida se detectaron puertos de utilizacion interna como 1521 (Oracle) y otros puertos que figuraban abiertos, además se detecto el nombre de la estación de trabajo los recursos compartidos , los Fix faltantes en el sistema operativo, y otras vulnerabilidades como el password de administrador en blanco.

En la situación protegida lo único que se pudo detectar como puertos abiertos fueron el puerto 445 y el puerto 222 que son los utilizados para la administración remota de IP-COP y era lo que teniamos pensado que se detecte.

1. Solución de intrusión
2. En esta sección se mostrara como funciona el sistema de detección de intrusos que utiliza IP-COP.
   El sistema utilizado es SNORT que es uno de los mas modernos y los mas utilizados en el mercado.
   A continuación se describirá su clasificación , funcionamiento y cual es su potencial a la hora de detectar intentos de intrusión en nuestra red.
   1. Detección de intrusos (SNORT)

Un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático o red informática en busca de intentos de comprometer la seguridad de dicho sistema.

Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.

Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa. No están diseñados para detener un ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos.

Los IDS: aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos, etc.

Tipos de IDS

Según sus características

  Por el tipo de respuesta

Pasivos

Son aquellos IDS que notifican a la autoridad competente o administrador de la red mediante el sistema que sea, alerta, etc. Pero no actúa sobre el ataque o atacante.

Activos

Generan algún tipo de respuesta sobre el sistema atacante o fuente de ataque como cerrar la conexión o enviar algún tipo de respuesta predefinida en nuestra configuración.

Snort puede funcionar de las dos maneras.

 Arquitectura de IDS

• Normalmente la arquitectura de un IDS, a grandes rasgos, está formada:
  La fuente de recogida de datos. Estas fuentes pueden ser un log, dispositivo de red, o como en el caso de los IDS basados en host, el propio sistema.
• Reglas que contienen los datos y patrones para detectar anomalías de seguridad en el sistema.
• Filtros que comparan los datos snifados de la red o de logs con los patrones almacenados en las reglas.
• Detectores de eventos anormales en el tráfico de red.
• Dispositivo generador de informes y alarmas. En algunos casos con la sofisticación suficiente como para enviar alertas vía mail, o SMS.
• Esto es a modo general. Ya veremos que cada IDS implementa la arquitectura de manera diferente.

Snort, por ejemplo, tiene una arquitectura dividida en tres subsistemas:

• Decodificador de paquetes
• Motor de detección
• Loggins y alertas

Evidentemente, son parte de la arquitectura global de un IDS que hemos comentado líneas más arriba. 

Donde es conveniente colocar el IDS.

Una actitud paranoica por nuestra parte nos podría llevar a instalar un IDS en cada host ó en cada tramo de red. Esto último sería un tanto lógico cuando se trata de grandes redes. Lo lógico sería instalar el IDS en un dispositivo por donde pase todo el tráfico de red que nos interese.

 Dificultades

Un problema de los IDS es cuando queremos implementarlos en redes commutadas ya que no hay segmento de red por donde pase todo el tráfico.

Otro problema para un IDS son las redes con velocidades de tráfico muy altas en las cuales es difícil procesar todos los paquetes.

 Posición de IDS

Si colocamos el IDS antes del firewall capturaremos todo el tráfico de entrada y salida de nuestra red. La posibilidad de falsas alarmas es grande.

La colocación detrás del firewall monitorizará todo el tráfico que no sea detectado y parado por el firewall, por lo que será considerado como malicioso en un alto porcentaje de los casos . La posibilidad de falsas alarmas es muy inferior.

Algunos administradores de sistemas colocan dos IDS, uno delante y otro detrás del cortafuegos para obtener información exacta de los tipos de ataques que recibe nuestra red ya que si el cortafuegos está bien configurado puede parar o filtrar muchos ataques.

En ambientes domésticos, que es el propósito de este trabajo, podemos colocar el IDS en la misma máquina que el firewall. En este caso actúan en paralelo, es decir, el firewall detecta los paquetes y el IDS los analiza.

Introducción a SNORT

Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS). Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de protocolos, etc conocidos. Todo esto en tiempo real.
Snort (www.snort.org) está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.
Este IDS implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para backdoor, ddos, finger, ftp, ataques web, CGI, escaneos Nmap....
Puede funcionar como sniffer (podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS).
La colocación de Snort en nuestra red puede realizarse según el tráfico

Es posible vigilar: paquetes que entran, paquetes salientes, dentro del firewall, fuera del firewall... y en realidad prácticamente donde queramos.
Una característica muy importante e implementada desde hace pocas versiones es FlexResp. Permite, dada una conexión que emita tráfico malicioso, darla de baja, hacerle un DROP mediante el envío de un paquete con el flag RST activa, con lo cual cumpliría funciones de firewall, cortando las conexiones que cumplan ciertas reglas predefinidas. No sólo corta la conexiones ya que puede realizar otras muchas acciones. Veremos más adelante su funcionamiento y ejemplos.

Formato de la cabecera (header) del TCP

Para ver el gráfico seleccione la opción "Descargar" del menú superior

 Snort como sniffer se basa en las librerías de captura de paquetes libcap que provee a snort de la capacidad de sniffer de paquetes. En windows la librería sería WinPCAP.
Snort puede, para su fácil configuración y gestión, usarse mediante una interfaz gráfica. Por Ejemplo IDScenter.

IDSCenter, ahora en su versión 1.09 Beta 2, es una internase gráfica que nos sirve para configurar todas las características de Snort como las alertas, tests, reglas, variables, funcionamiento junto a MySQL o BlackIce Defender, rotación de logs, notificaciones via mail o sonido, plugins, preprocesadores, FlexResp ... 

1. El Archivo Alert.ids es el archivo donde se almacenarán las alertas y registros de paquetes generados por Snort. Tiene un formato ASCII plano, fácilmente editable por cualquier procesador de textos.
   Alert.ids está ubicado en el directorio /log dentro de la carpeta donde se realizó la instalación.
   *En este directorio también se almacenarán otros Archivos, como los relacionados a salidas o registros del preprocesador de scan de puertos o los registros de alertas asociados a la dirección IP que generó la alerta.
    Para mejor comprensión de las alertas generadas por Snort, podemos configurar desde IDSCenter dos tipos de alertas:
   Set alert mode FAST o Alerta Rápida
   Set alert mode FULL o Alerta Completa
   El modo Alerta Rápida nos devolverá  información sobre: tiempo,  mensaje de la alerta, clasificación ,  prioridad de la alerta, IP y puerto de origen y destino.
   El modo de Alerta Completa nos devolverá información sobre: tiempo, mensaje de la alerta, clasificación, prioridad de la alerta, IP y puerto de origen/destino e información completa de las cabeceras de los paquetes registrados.
    Para configurar estos dos modos en IDScenter:
   Panel Log setting > Logging parameters
   Para ver el gráfico seleccione la opción "Descargar" del menú superior
   Marcamos en "Set alert mode (desactivate with Snort MySQL...)" y a continuación entre Full y Fast. Terminada la operación Aplicamos la regla ("Apply") y "Start Snort".
    Veamos dos ejemplos:
   Se trata de dos simples accesos a un servidor Proxy ubicado en el puerto 8080 de la máquina destino IP: 192.168.4.15 por parte del host IP: 192.168.4.3 que realiza la conexión mediante el puerto 1382 en el primer caso y 3159 en el segundo.
   Snort clasifica o describe esta alerta como un intento de pérdida de información, clasificado como prioridad 2.
   Modo Alerta Rápida:
   09/19-19:06:37.421286 [**] [1:620:2] SCAN Proxy (8080) attempt [**]
   [Classification: Attempted Information Leak] [Priority: 2] ...
   ... {TCP} 192.168.4.3:1382 -> 192.168.4.15:8080
   Modo Alerta Completa:
   [**] [1:620:2] SCAN Proxy (8080) attempt [**]
   [Classification: Attempted Information Leak] [Priority: 2]
   09/19-14:53:38.481065 192.168.4.3:3159 -> 192.168.4.15:8080
   TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF
   ******S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28
   TCP Options (4) => MSS: 1456 NOP NOP SackOK
    Información de la cabecera del paquete:
   TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF
   ******S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28
   TCP Options (4) => MSS: 1456 NOP NOP SackOK
2. Tipos de ataques detectados
3. Comparación (Situación protegida y no protegida)

Podemos notar que en la situación desprotegida una persona que estuviese en el exterior de nuestra red podría detectar las vulnerabilidades que teníamos fácilmente y explotarlas con fines maliciosos sin ser detectada por nuestra red.

En la situación protegida , no solo no se pudieron detectar las vulnerabilidades que hay detrás del firewall sino que además se eliminaron dichas vulnerabilidades y se detectaron por medio del IDS todos los ataques realizados.

1. Conclusiones
2. Creemos que IP-COP puede ser una muy buena solución para particulares o pequeñas empresas que requieran una eficaz protección de su red y no dispongan de un gran presupuesto, con este producto de licencia gratuita se puede reciclar hardware obsoleto y tener un sistema confiable que además puede utilizarse como Proxy, DHCP y hasta permite la comunicación por medio de VPN que podría ser útil para intercambiar datos entre sucursales.
   además hay que tener en cuenta que últimamente el mercado tiene una gran tendencia hacia el Software Abierto, y creemos que esta tendencia seguirá creciendo ya que entre otras ventajas es mucho mas económico que el software cerrado.
3. Bibliografia

http://www.snort.org/

http://www.netfilter.org/

http://www.ipcop.org/

http://www.safety-lab.com/en/products/1.htm

http://www.linux.org.ar/

Autores: 

Javier Ordoñez Ojeda

Fernando Gabriel Camisar

Andres Alfredo Berner

Mariano Crimmi

Esteban Darreche

Pablo Jaca

Fuente: 

http://www.monografias.com/trabajos15/firewall-linux/firewall-linux.shtml

Saludos Mundo Libre.