Administracion de Redes

Administracion de Redes
En este blog encontraran todo lo relacionado con el modulo de seguridad de administracion de redes, aunque tambien encontraran documentos relacionados con tecnologia e informatica.

martes, 17 de junio de 2008



SSH (Secure Shell)

SSH (Secure Shell) es un conjunto de estándares y protocolo de red que permite establecer una comunicación a través de un canal seguro entre un cliente local y un servidor remoto. Utiliza una clave pública cifrada para autenticar el servidor remoto y, opcionalmente, permitir al servidor remoto autenticar al usuario. SSH provee confidencialidad e integridad en la transferencia de los datos utilizando criptografía y MAC (Message Authentication Codes, o Códigos de Autenticación de Mensaje). De modo predeterminado, escucha peticiones a través del puerto 22 por TCP.


SFTP

SFTP (SSH File Transfer Protocol) es un protocolo que provee funcionalidad de transferencia y manipulación de ficheros a través de un flujo confiable de datos. Comúnmente se utiliza con SSH para proveer a éste de transferencia segura de ficheros.

SCP

SCP (Secure Copy, o Copia Segura) es una protcolo seguro para transferir ficheros entre un anfitrión local y otro remoto, a través de SSH. Básicamente, es idéntico a RCP (Remote Copy, o Copia Remota), con la diferencia de que los datos son cifrados durante la transferencia para evitar la extracción potencial de información a través de programas de captura de las tramas de red (packet sniffers). SCP solo implementa la transferencia de ficheros, pues la autenticación requerida es realizada a través de SSH.

OpenSSH

OpenSSH (Open Secure Shell) es una alternativa de código abierto, con licencia BSD, hacia la implementación propietaria y de código cerrado SSH creada por Tatu Ylönen. OpenSSH es un proyecto creado por el equipo de desarrollo de OpenBSD y actualmente dirigido por Theo de Raadt. Se considera es más segura que su contraparte propietaria debido a la constante auditoría que se realiza sobre el código fuente por parte de una gran comunidad de desarrolladores, una ventaja que brinda al tratarse de un proyecto de fuente abierta.

Ficheros de configuración

/etc/ssh/sshd_config --> Fichero central de configuración del servicio SSH.


A continuación se analizarán los parámetros a modificar.

Parámetro Port

Una forma de elevar considerablemente la seguridad al servicio de SSH, es cambiar el número de puerto utilizado por el servicio, por otro que solo conozca el administrador del sistema. A este tipo de técnicas se les conoce como Seguridad por Oscuridad. La mayoría de los delincuentes informáticos utiliza guiones que buscan servidores que respondan a peticiones a través del puerto 22. Cambiar de puerto el servicio de SSH disminuye considerablemente la posibilidad de una intrusión a través de este servicio.

Port 22

SSH trabaja a través del puerto 22 por TCP. Puede elegirse cualquier otro puerto entre el 1025 y 65535. ejemplo:

Port 52341


Parámetro ListenAddress

Por defecto, el servicio de SSH responderá peticiones a través de todas las interfaces del sistema. En algunos casos es posible que no se desee esto y se prefiera limitar el acceso sólo a través de una interfaz a la que sólo se pueda acceder desde la red local. Para tal fin puede establecerse lo siguiente, considerando que el servidor a configurar posee la IP 192.168.1.254:

ListenAddress 192.168.1.254


Parámetro PermitRootLogin

Establece si se va a permitir el acceso directo del usuario root al servidor SSH. Si se va a permitir el acceso hacia el servidor desde redes públicas, resultará prudente utilizar este parámetro con el valor no.

PermitRootLogin no


Parámetro X11Forwarding

Establece si se permite o no la ejecución remota de aplicaciones gráficas. Si se va a acceder hacia el servidor desde red local, este parámetro puede quedarse con el valor yes. Si se va a permitir el acceso hacia el servidor desde redes públicas, resultará prudente utilizar este parámetro con el valor no.

X11Forwarding yes


Parámetro AllowUsers

Permite restringir el acceso por usuario y, opcionalmente, anfitrión desde el cual pueden hacerlo. El siguiente ejemplo restringe el acceso hacia el servidor SSH para que solo puedan hacerlo los usuarios fulano y mengano, desde cualquier anfitrión.

AllowUsers fulano mengano

Permite restringir el acceso por usuario y, opcionalmente, anfitrión desde el cual pueden hacerlo. El siguiente ejemplo restringe el acceso hacia el servidor SSH para que solo puedan hacerlo los usuarios fulano y mengano, solamente desde los anfitriones 10.1.1.1 y 10.2.2.1.

AllowUsers fulano@10.1.1.1 mengano@10.1.1.1 fulano@10.2.2.1 mengano@10.2.2.1


Probando OpenSSH

Para acceder a través de intérprete de mandatos hacia el servidor, basta con ejecutar desde el sistema cliente el mandato ssh definiendo el usuario a utilizar y el servidor al cual conectar:

ssh usuario@servidor

Para acceder hacia un puerto en particular, se utiliza el parámetro -p. En el siguiente ejemplo, utilizando la cuanta del usuario juan, se intentará acceder hacia el servidor con dirección IP 192.168.0.99, el cual tiene un servicio de SSH que responde peticiones a través del puerto 52341.

ssh -p 52341 juan@192.168.0.99


Transferencia de ficheros a través de SFTP.

Para acceder a través de SFTP hacia el servidor, basta con ejecutar desde el sistema cliente el mandato sftp definiendo el usuario a utilizar y el servidor al cual conectar:

sftp usuario@servidor


Pasos para la instalacion de ssh

primero debemos instalar ssh:

#apt-get install ssh

Como esta anteriormente debio crear varios archivos, el mas importantes en nuestro caso por ahora es el archivo que esta en la ruta /etc/ssh/sshd_config

Editamos el archivo ssh_config que es el archivo para la configuracion del servidor:

#pico /etc/ssh/sshd_config

Para que nuestro servidor exija las llaves al ingresar a el equipo debemos de descomentar las lineas AuthorizedKeysFile /root/.ssh/authorized_keys donde /root/.ssh/authorized_keys es la ruta donde vamos a almacenar las llaves publicas de los usuarios que van a iniciar sesion ssh en nuestro equipo.

Tambien se debe descomentar la linea PasswordAuthentication yes y cambiar el yes por un no para que al iniciar sesion no pida contraseña pero que pida la llave.

Despues ingresamos la llaves de los equipos que van a iniciar sesion por ssh a nuestro equipo en la ruta que le dimos en el archivo sshd_config, asi:

#cat /root/.ssh/id_dsa.pub (llave publica del usuario a iniciar sesion) >> /root/.ssh/authorized_keys (es la ruta que le dimos en el archivo de servidor ssh para guardar la llaves)

Luego debemos reiniciar el servicio para surjan efecto los cambios

#/etc/init.d/ssh restart


Configuracion para cliente ssh con openssh en linux

Primero se debe instalar el cliente ssh para linux:

#apt-get install ssh-client

Luego debemos crear la llaves:

Generar un par de llaves dsa

#ssh-keygen -t dsa

Acepte la localización por defecto del archivo ~/.ssh/id_rsa. Introduzca una palabra de paso diferente de la contraseña de su cuenta y confírmela introduciéndola nuevamente.

La llave pública se llama id_rsa.pub. La clave privada se llama id_rsa.

No se debe compartir la llave privada a nadie.










Se debe copiar la llave publica al servidor ssh para que nos acepte cuando intentemos iniciar una sesion ssh:

#cat /root/.ssh/id_dsa.pub (llave publica del usuario a iniciar sesion) >> /root/.ssh/authorized_keys (es la ruta que le dimos en el archivo de servidor ssh para guardar la llaves)

Provamos para ver si deje iniciar una sesion:

#ssh 10.3.2.2 (ip del equipo en el que vayamos a iniciar sesion)












Analisis de la conectivida de SSH

En la siguiente imagen podemos observar como se se esteblece una conexion con ssh:














El cliente hace una peticion ssh con un SYN al servidor

El servidor le responde con un SYN,ACK

Vuelve a responder el cliente con un ACK

El servidor responde arrojando datos del protocolo y del equipo.

El cliente hace lo mismo, arroja informacion de su equipo y demas.

Luego el cliente inicia el intercambio de llaves del servidor.

El servidor responde con un ACK, y inicia en intercamo de llaves del servidor.

Luego establecen un algoritmo de encriptacion, crean unas nuevas llaves para crear el tunel ssh y luego inician una comunicacion encriptada.













Para finalizar la conexion ssh el cliente le manda una peticion de FIN, ACK al servidor el servidor le responde con otro FIN, ACK y el cliente le confirma con un ACK.

lunes, 16 de junio de 2008

NOTICIA INFORMATICA

KOFFICE

KOffice es una suite ofimática o colección de programas ofimáticos libres para el proyecto KDE, aunque es independiente de éste.

«Anuncian en el sitio oficial que el lanzamiento de KOffice 2.0 será multiplataforma, y estará disponible para Unix, Windows y MacOS X. Ya se encuentra disponible la descarga para probarlo. Uno de los principales esfuerzos de los desarrolladores es incluir el formato OpenDocument. Especialmente en lo que a texto se refiere, intentando tener la mayor compatibilidad posible con otros editores. Además KPresenter tendrá ahora soporte para audio. Ahora las presentaciones tendran sonido».


Koffice contiene las siguientes aplicaciones:

Aplicaciones para la productividad
KWord: procesador de texto, maneja hojas de estilo y marcos.
KSpread: hoja de cálculo, soporta múltiples hojas por documento, plantillas, series y más de 100 fórmulas matemáticas.
KPresenter: presentaciones, acepta imágenes y efectos.
Kexi: entorno integrado para el manejo de bases de datos, al estilo de Microsoft Access o Filemaker, con compatibilidad (limitada) con el formato de base de datos de Microsoft Access.

Aplicaciones para la creatividad
Kivio: diagramas de flujo.
Karbon14: dibujo vectorial.
Krita: manipulación de imágenes de mapa de bits.

Aplicaciones de gestión
KPlato: gestión de proyectos, capaz de generar diagramas de Gantt.

Aplicaciones de apoyo
KChart: herramienta para representar gráficos y diagramas.
KFormula: editor de fórmulas matemáticas.
Kugar: generador de informes de calidad.

jueves, 12 de junio de 2008

INFORME DE VULNERABILIDADES


Escaneo de vulnerabilidades








Vulnerabilidad critica en en el equipo 10.3.9.174:

Después de escanear con nessus las posibles vulnerabilidades del equipo 10.3.9.174 se ha encontrado una vulnerabilidad critica en el protocolo SMB (protocolo para compartir archivos).













Resultado del escaneo:

La vulnerabilidad en SMB podría permitir la ejecución remota de código (896422) - Check Red
Sinopsis:
Código arbitrario puede ser ejecutado en la máquina remota debido a una falla en el
SMB aplicación.

Descripción:
El mando a distancia versión de Windows contiene una falla en el servidor de mensajes Block (SMB) de aplicación que podrían permitir a un atacante ejecutar arbitrarias código en la máquina remota.
Un atacante no necesita ser autenticado para explotar esta falla.
Descripción:
El host remoto es vulnerable a una saturación del búfer en el campo 'Servidor' servicio que podrían permitir a un atacante ejecutar código arbitrario en el host remoto con el 'sistema' privilegios.

Descripción:
El host remoto es vulnerable al desbordamiento de pila en el campo 'Servidor' que el servicio puede permitir a un atacante ejecutar código arbitrario en la máquina remota con
el 'sistema' privilegios.
Además de esto, la máquina remota es también vulnerable a una información la revelación de vulnerabilidad en SMB que podría permitir a un atacante obtener
porciones de la memoria de la máquina remota.


Solución:
Microsoft ha publicado un conjunto de parches para Windows 2000, XP y 2003:
http://www.microsoft.com/technet/security/bulletin/ms05-027.mspx

Factor de riesgo:
Crítica / CVSS Base Puntuación: 10,0
(CVSS2 # AV: N / AC: L / Au: N / C: C / I: C / A: C)
CVE: CVE-2005-1206
Oferta: 13942
Otras referencias: IAVA :2005-t-0019, OSVDB: 17308


Resumen:
Se ha detectado un problema de seguridad en SMB (Server Message Block) que podría permitir a un usuario malintencionado la ejecución remota de código.
SMB es el protocolo estándar de Internet que se utiliza para compartir archivos, impresoras, puertos serie y para comunicarse entre los equipos. Para hacerlo, SMB utiliza canalizaciones con nombre y ranuras de correo.

En un entorno de red, los servidores ponen los sistemas de archivos y los recursos a disposición de los usuarios. Los clientes efectúan peticiones SMB para obtener recursos. Los servidores generan respuestas SMB. Esto se describe como un protocolo de solicitudes y respuestas entre el servidor y el cliente.

Si el usuario actual tiene privilegios administrativos, el atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios.



Soluciones:

Bloquear los puertos TCP 139 y 445 en el servidor de seguridad:

Estos puertos se utilizan para iniciar una conexión con el protocolo afectado. Al bloquearlos en el servidor de seguridad, tanto entrante como saliente, evitará que los sistemas situados detrás de dicho servidor de seguridad de intentos de aprovechar esta vulnerabilidad. Le recomendamos bloquear toda la comunicación entrante no solicitada de Internet para ayudar a impedir ataques que puedan utilizar otros puertos.

Para protegerse de los intentos basados en red que aprovechen esta vulnerabilidad, bloquee los puertos afectados mediante IPSec en los sistemas afectados.

Utilice Seguridad del protocolo de Internet (IPSec) para ayudar a proteger las comunicaciones de red. Para esto se debe crear una política de filtrado con IPSec.

Activar el firewall en los equipos para bloquear las conexiones no deseadas a los equipos.

  • Inicio.
  • Panel de control.
  • Firewall de windows.
  • Clic en Activar.
  • Clic en no permitir excepciones.
  • Aceptar.

miércoles, 11 de junio de 2008

SOFTWARE DE AUDITORIA DE SEGURIDAD

NMAP

Nmap es una herramienta desarrollada por Fyodor de www.insecure.org, es una herramienta básica que permite realizar una labor sencilla de revisión (escaneo) de puertos y reporte del tipo de sistema operativo que usa la máquina.

Estas máquinas que escanearemos tienen cualquier tipo de sistema operativo, es un escaneo de puertos tcp (o udp) que es un estándar de internet y no depende del sistema operativo. Es decir, la máquina a ser escaneada puede estar en windows, linux, puede ser un switch o un ruteador o cualquier elemento de una red con dirección IP.

Advertencia: Este programa puede ser utilizado para realizar auditorias de seguridad en una red y a la vez brindarle seguridad parchando las posibles vulnerabilidades, pero también puede ser utilizada para fines delictivos, ya que pone al descubierto, puertos abiertos en las computadoras de una red, así como también es posible conocer como se encuentra organizada, y de cuantas computadoras consta una red. Es una herramienta pública que está disponible en internet y esté hecho mayormente para ayudar a mejorar nuestra red y es para esto que la explicamos

Tipos de escaneo

-sT(Escaneo TCP connect())
Se usa para establecer una conexión con todos los puertos interesantes de la máquina

-sS (Escaneo TCP SYN)
Nos abre una conexión TCP completa. Se envía un paquete SYN y se espera a la respuesta. Un SYN/ACK indica que el puerto está a la escucha y se envía un RST para cortar la conexión. Se necesitan privilegios de Root para construir estos paquetes.

-sF -sX -sN(Modos Stealth FIN, Xmas Tree o Nul scan)
La idea es que se requiere que los puertos cerrados respondan a nuestro paquetes de prueba con un RST, mientras que los puertos abiertos deben ignorar los paquetes en cuestión.
El escaneo FIN utiliza un paquete FIN vacio (sorpresa) como prueba, Xmas tree
activa las flags FIN, URG y PUSH y NULL desactiva todas las flags. Si el escaneo encuentra puertos cerrados, probablemente se trate de una maquina UNIX, mientras que todos los puertos abiertos es indicativo de Windows.

-sP (Escaneo ping)
Algunos sitios web como microsoft.com pueden rechazar este tipo de paquetes.

-sU (Escaneo Udp)
Este método se usa para saber que puertos UDP (Protocolo de Datagrama de Usuario, RFC 768) están abiertos en un servidor.

-b (ataque de rebote ftp)
Se usa un servidor ftp que este detrás de un firewall como proxy para escanear las máquinas que puedan estar detrás del mismo. El formato es:nombre_de_usuario:password@servidor:puerto

-p0
Nos intenta hacer ping a un servidor antes de escanearlo.(microsoft.com)

-PT
Usa el ping TCP para determinar que servidores están activos. En vez de enviar paquetes de petición de ecos ICMP y esperar una respuesta, se lanzan paquetes TCP ACK y se espera a que lleguen las respuestas.

-PS
Esta opción usa paquetes SYN en vez de los paquetes ACK para usuarios root.

-PI
Esta opción usa una petición de eco ICMP. Encuentra servidores que están activos y también busca direcciones de broadcast dirigidas a subredes en una red. Se trata de direcciones

-PB
Este es el tipo de ping por defecto. Usa los barridos ACK ( -PT ) e ICMP ( -PI ) en paralelo.

-O
Esta opción activa la detección remota del sistema operativo por medio de la huella TCP/IP y lo compara con una base de datos de conocidas huellas TCP/IP para decidir que tipo de sistema se esta escaneando.

-p
Esta opción determina los puertos que se quieren especificar.

-i
Lee especificaciones de servidores o redes de destino a partir del archivo especificado en vez de hacerlo de la línea de comandos.

-g
Establece el numero de puerto de origen a usar en los escaneos.

-h
Ayuda sobre los comandos de nmap

--packet_trace
nmap imprime información detallada de cada paquete que envía y recibe

--version_trace
Resumen de packet_trace detallando la versión del servicio

-sI : Idle scan que se basa en números de secuencia predecibles para lanzar ataques a través de equipos zombis (las impresoras jetdirect son buenas candidatas)
#nmap -p 3467 -P0 -sI IP_zombie IP_objetivo

-b : opción utilizada para realizar escaneos utilizando algunos servidores FTP como proxys o relays de escaneos. Técnica de escaneos por rebote.

-D : opción decoy para camuflar dentro de un rango de direcciones la IP de origen del escaneo
#nmap -P0 -D IP_decoy IP_objetivo

-L : opción que permite listar y resolver Ips sin escanear
#nmap -sL 192.168.2.1-120


Ejemplos

#nmap -v objetivo.ejemplo.com

Escanear todos los puertos TCP reservados de una maquina

#nmap -v -p 80 '*.*.2.3-5'

Encontrar servidores web en maquinas cuyas direcciones IP terminen en .2.3, .2.4

#nmap -v -sS -O www.miweb.net 192.168.2.0/24 '192.88-90.*.*'
Escanea con SYNs detectando el sistema operativo destino en diferentes hosts

#nmap -p 443 -O -sV 192.168.2.1
Escanea el puerto 443 del host intentando adivinar las aplicaciones que se ejecutan

#nmap -sU -A -T Insane 192.168.2.1
Escanea con UDP y -A=( -sV y -O) de forma agresiva presentando resultados rápidos

#nmap -T Insane -n -O -sS 192.168.2.*
Escanea toda la red con SYNs de forma agresiva y detectando sistemas operativos

#nmap -oA nmaplog 192.168.2.1
Escanea y escribe logs de diferentes tipos al archivo nmaplog

#nmap -p 3389 -P0 -sF 192.168.2.1 FIN SCAN
Escanea con FIN scan sin ping el puerto 3389. Más silencioso para los FWs/IDSs

Cuando un puerto está cerrado habitualmente el host responde con un RESET , cuando está abierto o filtrado no envía nada por lo que se puede obtener un listado de puertos decente si esto lo combinamos con la opción -sV que nos dice el tipo de servicio que está escuchando

#nmap -p 3389 -P0 -sX 192.168.2.1 XMAS SCAN
Similar al FIN scan pero activa los flags URG y PUSH

#nmap -p 3389 -P0 -sN 192.168.2.1 NULL SCAN
No activa flags de los paquetes

#nmap -P0 --packet_trace 192.168.2.1

Escanea con trazas detalladas



NESSUS

Nessus es un programa que busca cualquier tipo de vulnerabilidad en la red y te ofrece un análisis completo de su nivel de seguridad. Incluso analiza los servicios ejecutados más de una vez por un mismo cliente.

El objetivo de los desarrolladores de Nessus es mantener su herramienta siempre actualizada, ya que día a día se descubren nuevas amenazas, como las que se ciernen sobre clientes de correo y navegadores, cada vez más “abandonados” por otros sistemas.

Nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos en NASL (Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas en inglés).

Opcionalmente, los resultados del escaneo pueden ser exportados en reportes en varios formatos, como texto plano, XML, HTML, y LaTeX. Los resultados también pueden ser guardados en una base de conocimiento para referencia en futuros escaneos de vulnerabilidades.


Para utilizar Nessus necesitas:

· Sistema operativo: Win2000/XP/2003



NETCAT

Netcat (a menudo referida como la navaja multiusos de los hackers) es una herramienta de red bajo licencia GPL disponible para sistemas UNIX, Microsoft y Apple que permite a través de intérprete de comandos y con una sintaxis muy sencilla abrir puertos TCP/UDP en un HOST (quedando netcat a la escucha), asociar una shell a un puerto en concreto (para conectarse por ejemplo a MSDOS o al intérprete bash de Linux remotamente) y forzar conexiones UDP/TCP (útil por ejemplo para realizar rastreos de puertos o realizar transferencias de archivos bit a bit entre dos equipos).

Sus capacidades hacen que sea a menudo usada como una herramienta para abrir puertas traseras una vez invadido un sistema y obtenido privilegios de administrador o root del equipo. También resulta extremadamente útil a efectos de depuración para aplicaciones de red.


Varios ejemplos sencillos para usar netcat:

Ejecutar un shell en máquina remota
nc -l -p 23 xxx.xxx.xxx.xx 23 -t -e cmd.exe

Estudiar puertos
nc -v (puedes añadir otra -v)

Bruteforce en un puerto
nc -v 79 <> log.txt
(envía user.txt y guarda la respuesta en log.txt)

Scanner de puertos en localhost (rango 1-53)
nc -v -v -z 127.0.0.1 1-53

Sniffer en pantalla
nc -v -v -L 127.0.0.1 -p 23

Sniffer en un log
nc -v -v -L -p 23 127.0.0.1 -t >login.txt

Conexiones no autorizadas en un puerto
nc -u -v -v -L -p 31337 127.0.0.1 31337

Mandar un archivo a víctima
nc -v -v -L -p 21 nombre del host -t <>

martes, 10 de junio de 2008

NOTICIA INFORMATICA

PrettyPark, el posible sucesor de Happy99

PrettyPark
es un nuevo gusano con características de troyano, que en los últimos días está reproduciéndose rápidamente a través de Internet. Por su forma de reproducción ya se apunta como candidato a sucesor del conocido Happy99.

PrettyPark se reproduce a través del correo email, en forma de fichero enlazado. Al igual que happy99.exe es capaz de autoenviarse a través del correo electrónico con total desconocimiento del usuario afectado. Sólo queda comprobar si PrettyPark alcanza realmente la misma repercusión que Happy99, o se consigue parar a tiempo la propagación de este elemento malicioso.

En esta ocasión PrettyPark se envía a las direcciones que forman la libreta de direcciones del usuario infectado. El programa se recibe como archivo adjunto en un correo con el asunto C:\CoolProgs\Pretty Park.exe y sin ningún texto en el mensaje.

PrettyPark es un PE (Portable executable) de Windows programado en Delphi. Cuando llega enlazado en un mensaje tiene un tamaño de 37 Kbytes, aunque se encuentra comprimido con la utilidad WWPack32, por lo que su tamaño real es de 58 Kbytes. Cuando se instala en el sistema, el virus se copia en el directorio system de Windows bajo el nombre files32.vxd, inscribiéndose en el registro para ser ejecutado cada vez que se inicie otra aplicación. Para ello modifica la clave del registro HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\ open\command de su valor original "%1" %* a files32.vxd "%1" %*.

Además de enviarse así mismo por email, el virus trata de conectarse cada 30 segundos a un servidor irc, de una lista de trece disponibles, para enviar notificaciones de los sistemas infectados. De esta forma, el autor del virus puede controlar los ordenadores afectados.

Una vez reconocido por el autor del virus, PrettyPark puede pasar a convertirse en un troyano para enviarle a este toda la configuración del sistema, logins y passwords de las conexiones a Internet, información confidencial, así como todas las acciones típicas de este tipo de programas malignos, como creación y eliminación de archivos y directorios, ejecución de programas, etc.

Se puede eliminar manualmente y de forma sencilla este gusano troyano de cualquier ordenador infectado. Basta con seguir los siguientes pasos:

1- Borrar el archivo windows\system\files32.vxd
2- Borrar el archivo Pretty Park.exe
3- Ejecutar Regedit y modificar la entrada del registro:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\ open\command de FILES32.VXD "%1" %* a "%1" %*
Esto puede hacerse fácilmente mediante una búsqueda de files32.vxd en el registro y tras ello, eliminar el nombre del archivo manteniendo el comando de ejecución original.
4- Reiniciar el ordenador.

sábado, 7 de junio de 2008

FIREWALL VPN OfficeConnect 3com

FIREWALL EN HARDWARE


Un Firewall, también llamado Cortafuegos es un programa que sirve para filtrar las comunicaciones de un ordenador o de una red, tanto entrantes como salientes, permitiendo o denegando estas comunicaciones en función de una serie de criterios, llamados Reglas.

Firewall en hardware:













Se trata de un tipo de Firewall instalado en un periférico de aspecto parecido a un router. Es una muy buena solución cuando hablamos de una red, ya que nos permite hacer toda la configuración de Firewall en un solo punto al que se conectan los ordenadores.


CONFIGURACION DEL FIREWALL

Configuraremos un OfficeConnect VPN Firewall, marca 3com. Este firewall trae las siguientes herramientas para su administración:
-1 CD
-Manuales
-1 Adaptador
-1 Cable UTP Directo
-1 Base (En caso de tener mas dispositivos)

Este firewall posee varias características tales como:
-Filtrado de paquetes (Stateful Packet Inspection)
-VPN (LAN to LAN, LAN to Client)
-Proxy cache (Filtro de contenidos)
-Traffic shapping
-Publicación de servicios (DNAT)



CONEXION DEL DISPOSITIVO CON EL EQUIPO

















La conexión del dispositivo es muy simple:

1.Con el cable directo que trae el dispositivo conectamos el dispositivo desde una interface LAN a la tarjeta de red del equipo.

2. Con otro cable directo conectamos el dispositivo desde la interface WAN a el punto de red.

3. Con el adaptador que trae el dispositivo lo conectamos a la energia.


Para poder administrar nuestro firewall por primera vez, debemos insertar el cd que trae el firewall, luego nos abrirá un asistente, como no sabeos la dirección IP por defecto del firewall escogemos la segunda opción para ingresar a la consola de administratorio del firewall.
















Después de escoger la segunda opción nos aparece un mensaje de bienvenida y nos pide que seleccionemos la tarjeta de red con la cual vamos a administrar el dispositivo.

Siguiente.

















Luego nos mostrara la dirección IP del dispositivo.

Siguiente.
















Finaliza el procedimiento para la conexión.

Finalizar.

Abrirá una página web donde podremos administrar el firewall.












PRACTICA ADMINISTRANDO EL DISPOSITIVO


Para nuestra práctica nos exigieron varios ejercicios tales cómos:
-Darle conexión a la red interna.
-Publicación de servicios (DMZ)
-Respuesta de ping (Interna-Externa)
-Control de Acceso.

-Conexión Cliente-LAN

-Conexión LAN to LAN

Lo primero que debemos hacer para poder administrar nuestro dispositivo es loguearnos con el password que tiene el dispositivo (por defecto es ADMIN).











Esta es la pantalla de bienvenida del dispositivo.











Vamos a configurar el dispositivo.

Primero debemos asignarle una dirección IP a nuestro dispositivo.

En la casilla Network Settings y en la pestaña conection to ISP podemos configurar nuestra conexión de red.

Asignaremos una IP al dispositivo por DHCP.











En la casilla Network Settings y en la pestaña LAN Settings asignaremos un rango de direcciones IP para nuestra red interna si nuestro dispositivo va a funcionar como DHCP.

Y en la casilla de más abajo podemos configurar de qué dirección a cual va a repartir direcciones IP, esto dependiendo de nuestras IP reservadas.

Después de asignar el rango damos aplicar.

El dispositivo empezara a cambiar la dirección ip de la VPN.

Si tenemos una configuración de proxy debemos editarlo diciéndole que no consulte al proxy cuando intente ingresar a nuestra nueva dirección IP que se le ha asignado a la VPN de nuestro dispositivo.

Esto se hace para poder administrar el dispositivo por que al momento de darle aplicar cambia la dirección VPN del dispositivo entonces el dispositivo se administrara por esta dirección.











En la casilla Network Settings y en la pestaña DHCP Client List podemos observar las direcciones IP que ha asignado nuestro dispositivo.









En la casilla Advanced Networking y en la pestaña NAT tenemos configurado el dispositivo para que nos hago NAT de mi IP a cualquier IP.












En la casilla Advanced Networking y en la pestaña Static Routing configuraremos la ruta estática de nuestra red para que nos pueda dar la salida a internet.

Clic en new.

Agregamos lo datos de nuestra red WAN.

Add Agregar










.


En la pestaña Traffic Shaping de la misma casilla podemos configurar prioridades a servicios, pero por el momento al igual que Dynamic Routing y Dynamic DNS los vamos a dejar sin configuración.

En la casilla firewall y en la pestaña Virtual Servers seleccionaremos que redirija todo lo que entre por la ip externa de nuestro dispositivo a nuestra DMZ.

Click en Redirect request to Virtual DMZ host.

En IP address of DMZ Host: colocamos la IP de nuestra DMZ.

Save (guardar).












Mas abajo en Virtual Server podemos publicar los servicios.

New.

Colocamos la configuración de nuestro servicio a publicar (dentro de esta configuración podemos asignar quien podrá ver mis servicios publicados, una dirección IP especifica o cualquier dirección desde la LAN).













En la casilla firewall y en la pestaña PC Privileges podemos elegir quienes van a tener acceso a internet.

Por defecto el acceso a internet esta controlado.












Mas abajo en PC's IP Address podemos configurar a que protocolos tendrán salida, especificar que dir IP, y si desea bloquearla o permitirla.

New.

Seleccionamos nuestra configuración.

Add (agregar).













En la casilla firewall y en la pestaña Special Applications podemos elegir a que puertos le vamos a hacer seguimientos, esto se hace cuando un servicio establece su conexión por diferentes puertos, entonces se debe hacer un seguimiento para que tenga acceso la conexión con este servicio, además para que la conexión no se pierda.

New

Seleccionamos el servicio al que le vamos a hacer seguimiento.

Add (agregar)













En la casilla firewall y en la pestaña Advanced podemos configurar si nuestra maquina aceptara peticiones de ping.













En la casilla Content Filtering y en la pestaña Content Filtering podemos configurar los filtros.

Por defecto esta permitido todo el tráfico, por seguridad es recomendable filtrar todo el tráfico y asignar manualmente el tráfico entrante y saliente.

En nuestro caso dejaremos permitiendo todo el tráfico y asignaremos cual trafico o cuales sitios estarán bloqueados.












En la casilla Content Filtering y en la pestaña Allow/Block lists podemos ingresar las paginas que vamos a permitir o bloquear según la regla anterior.

Edit.

Ingresamos el link de la página que vamos a filtrar.

Apply (aplicar).













En la casilla Content Filtering y en la pestaña Filter Policy podemos elegir a quien le vamos a aplicar el filtrado de contenido.

Click en la opcion Control which Pcs have their web access filtered.

New.

Colocamos la dirección IP que vamos a permitir o filtrar.

Apply (aplicar).







En la casilla VPN y en la pestaña VPN Mode podemos configurar una conexión VPN, por el momento vamos a configurar una conexión Cliente-LAN


CONFIGURACION DEL DISPOSITIVO (LAN)

En la casilla VPN y en la pestaña VPN Mode eligiremos L2TP over IPSec enabled para establecer una conexión VPN.

Seleccionamos L2TP over IPSec enabled

This Firewall's ID: -->julian → es nuestro ID

Firewall ID Type: → IP Address

IPSec Shared Key → llave precompartida

Firewall's LAN IP Address 192.168.4.1

First Remote IP Address: → Primera IP del rango de direcciones IP que le va a repartir cuando se conecten al dispositivo.

Last Remote IP Address: → Ultima IP del rango de direcciones IP que le va a repartir cuando se conecten al dispositivo.











En la casilla VPN y en la pestaña VPN Connections agregamos una nueva conexión para establecer un túnel.

New.

Connection Type: → Remote User Access.

Tunnel Type: L2TP over IPSec.

Description: conexión cliente LAN

User Name: julian

Password: sena2008











CONFIGURACION CLIENTE

El cliente debe crear una conexión VPN en su equipo para poder crear un túnel para la conexión, así:

Inicio

Panel de control.

Conexiones de red.

Crear una conexión nueva.














Abre un asistente → Siguiente.

Conectarse a la red de mi lugar de trabajo.

Siguiente.
















Conexión de red privada virtual.

Siguiente.

















Nombre de la conexión → podemos asignarle el nombre que queramos.

Siguiente.
















Colocamos la IP del servidor VPN al que no vamos a conectar.

Siguiente.
















Crear esta conexión solo para mi uso.

Siguiente.

Finalizar.

Nos abrirá un asistente para marcar a nuestra conexión creada, si no nos abre la abrimos manualmente.

Donde nos pide el nombre de usuario colocamos la configuración que le asignamos en la configuración del dispositivo.

Nombre de usuario: julian

Contraseña: sena2008

Conectar.




















Ahora vamos a configurar una conexión LAN to LAN.


CONFIGURACION DEL DISPOSITIVO

En la casilla VPN y en la pestaña VPN Mode eligiremos IPSec enabled y L2TP over IPSec enabled para establecer una conexión VPN.

Seleccionamos L2TP over IPSec enabled y IPSec enabled

This Firewall's ID: -->julian → es nuestro ID

Firewall ID Type: → a name for this unit

IPSec Shared Key → llave precompartida

Firewall's LAN IP Address 192.168.4.1

First Remote IP Address: → Primera IP del rango de direcciones IP que le va a repartir cuando se conecten al dispositivo.

Last Remote IP Address: → Última IP del rango de direcciones IP que le va a repartir cuando se conecten al dispositivo.













En la casilla VPN y en la pestaña VPN Connections agregamos una nueva conexión para establecer un túnel.

New.

Connection Type: → Gateway to gateway

Tunnel Type: IPSec.

Description: conexión LAN to LAN

Remote IPSec Server ID: peludo (ID del usuario al que se ve a conectar)

Remote IPSec Server Address: 10.3.9.187 (ip externa de la LAN que nos vamos a conectar)

Remote Network Address: 192.168.1.0 (ip interna de la LAN que nos vamos a conectar)

Remote Subnet Mask: 255.255.255.0 (mascara de la red a la que nos vamos a conectar)

Tunnel Shared Key: sena2008 (llave precompartida)

Encryption Type: DES

Hash Algorithm: SHA-1

Exchange keys using: Diffie-Hellman Group 1 (768-bit) Diffie-Hellman Group 2 (1024-bit) Renegotiate After (seconds): 600

Apply












En la casilla VPN y en la pestaña IPSec Routers podemos ver las rutas de los rangos de direcciones IP que traza IPSec en las conexiones VPN.













NOTA: Como es obvio, la conexión para la otra LAN a la que nos vamos conectar es la misma, solo cambia el tipo de ID y demás configuración, todo depende de la respectiva configuración que tenga la otra LAN.

Seguiré explicando las de casillas configuración del dispositivo.

En la casilla System Tools y en la pestaña Restart podemos reiniciar el dispositivo.

RESTAR THE FIREWALL.

Aceptar.











En la casilla System Tools y en la pestaña Time Zone podemos configurar la zona horaria











En la casilla System Tools y en la pestaña Diagnostic Tools podemos hacer un diagnostico de conectividad de el dispositivo como ping, trazar una ruta.

Agregamos la dirección IP.

Clic en el icono de la acción que queramos realizar y nos arrojara la información requerida.












En la casilla System Tools y en la pestaña Configuration podemos hacer backup a la configuración de nuestro dispositivo, restablecer una configuración o resetiar nuestro dispositivo.

Clic en la opción que queramos realizar.

Colocamos la información pertinente.

Aceptar.










En la casilla System Tools y en la pestaña Upgrade podemos actualizar el software de nuestro dispositivo.

Clic en examinar.

Seleccionamos la ruta donde esta el archivo con el cual vamos a actualizar el software de nuestro dispositivo.

Aceptar.

Apply.






En la casilla Status and Logs y en la pestaña Status podemos ver el estado de nuestro dispositivo; General Information, Connection to ISP, LAN Settings, Firewall and VPN Status, Hardware Status, Memory Information.




















En la casilla Status and Logs y en la pestaña Routing Table podemos ver la tabla de enrutamiento de nuestro dispositivo.











En la casilla Status and Logs y en la pestaña Log Settings podemos administrar los Logs del dispositivo, como enviarle los registros de los logs a un servidor remoto en línea, que eventos de logs vamos a registrar.












En la casilla Status and Logs y en la pestaña Logs podemos ver los Log de nuestro dispositivo.











En la casilla Support/Feedback y en la pestaña support podemos ver licencias del dispositivo, una guía del contenido del dispositivo como protocolos, etc, también podemos ver asistentes para el soporte del dispositivo.










En la casilla Support/Feedback y en la pestaña Feedback se puede ayudar a proporcionar información sobre el dispositivo, puede hacerlo haciendo clic en el botón PROVIDEE FEEDBACK que le conectará a la página web de 3Com.








Analisis del trafico de la conectividad del dispositivo:

En la imagen siguiente tomada de una captura de la transmision del dispositivo se puede observar como es la conexión entre el dispositivo y el equipo que lo va a administrar:

El administrador manda una petición SYN al dispositivo.

El dispositivo responde la petición con un RST, ACK (RST es un bit que se encuentra en el campo del código en el protocolo TCP, y se utiliza para reiniciar la conexión. Un ejemplo práctico de utilización es el que realiza un servidor cuando le llega un paquete a un puerto no válido: este responde con el RST activado. )

Luego empiezan a compartir llaves por medio del protocolo criptografico ISAKMP.

Se identifican el administrador y el dispositivo y empieza la transmision.

En la imgen tambien podemos observar que hace presencia el protocolo STP que es el encargado de garantizar la disponibilidad de las conexiones.














En la siguiente imagen podemos observar la transmision con el dispositivo y despues de establecer la conexión entre el dispositivo y el usuario, el protocolo encargado de brindar seguridad a la conexio es el protocolo ESP que asegura la integridad de los paquetes.