ARTCULOS SOBRE AUDITORIAS DE SEGURIDAD INFORMTICA.

LVARO PAZ.

Auditorias de seguridad
Son muy importantes en lo que a seguridad informtica se refiere, normalmente usamos dos puntos de ista! desde el punto de ista del atacante que seria una auditoria ca"a negra y desde el punto de ista del administrador que seria auditoria de ca"a #lanca. Auditoria de ca"a negra! Se reali$a desde fuera y ofrece la isi%n de un &ac'er al no ser e"ecutada desde dentro esta auditoria nos da falsos positi os. Para estas auditorias pueden usar las siguientes &erramientas! SSS, (essus, )*+ Languard, Retina, +SS Real Secure, etc , Les oy &a &a#lar de la que yo recomiendo Lan)uard (et-or' Scanner, que es una aplicaci%n que te permite anali$ar tu red e identificar posi#les agu"eros de seguridad y tam#i.n ca#allos de /roya. )racias a su anali$ador de puertos podrs compro#ar si &ay alguna aplicaci%n no autori$ada e"ecutndose en tu sistema, e0aminar puertos de fire-all, telnet y pro0y, compro#ar los accesos al router, e"ecutar controles #sicos de seguridad, etc. Adems de todo eso, Lan)uard (et-or' Scanner proporciona informaci%n (1/2+OS so#re cada ordenador! nom#re de &ost, sesi%n de usuario, datos compartidos, y muc&o ms. Auditorias de ca"a #lanca! Se reali$an internamente con permisos de Administrador para poder isuali$ar todas las ulnera#ilidades. Para estas auditorias pueden usar las siguientes &erramientas! 32SA, 142PA, 3O3 5667 Personalmente a mi me gusta mas 3icrosoft 2aseline Security Analy$er. 8ue es una &erramienta con la que puedes reali$ar un anlisis de tu sistema en #usca de posi#les ulnera#ilidades y fallos de seguridad. 1l anlisis se efect9a automticamente, sin necesidad de inter enci%n por parte del usuario, ni de que tengas conocimientos de administraci%n. S%lo tienes que seleccionar el ordenador que quieres anali$ar, que puede ser el tuyo propio o cualquiera de los que est.n conectados en tu misma red, siempre y cuando tengas pri ilegios de administrador en dic&a mquina. :e esta forma podrs encontrar errores de administraci%n y fallos de seguridad comunes, pero no por ello menos importantes, tales como falta de actuali$aciones del sistema, contrase;as caducadas, e0istencia de ms de una cuenta de administrador o de una cuenta de in itado, qu. directorios se comparten y con qui.n, posi#les fallos en +nternet 10plorer, Office, S8L Ser er, +nternet +nformation Ser er, etc. <na e$ finali$ado el anlisis, el programa muestra los resultados en un atracti o informe en formato =/3L que puedes imprimir o copiar al Portapapeles. 3s informaci%n y descarga! )*+ Languard (et-or' Security Scanner &ttp!>>---.gfi&ispana.com> 3icrosoft 2aseline Security Analy$er &ttp!>>---.microsoft.com>spain>tec&net>seguridad>&erramientas>default.msp0

Herra ie!ta auditoria redes i!a"# $ri%as.

Se trata de ?ellenreiter una &erramienta para detectar y &acer auditorias de redes inalm#ricas. Soporta tar"etas #asadas arquitecturas! Prism5, Lucent y @isco. 1sta &erramienta es capa$ de descu#rir redes 2SS>+2SS y detecta 1SS+: #roadcasting y tam#i.n el nonA#roadcasting. 3uestra informaci%n so#re el cifrado, el fa#ricante del dispositi o, informaci%n so#re la asignaci%n del :=@P y descifra el trafico ARP para dar mas informaci%n so#re la red. 1s compati#le con la et&ereal>tcpdump &aciendo una com#inaci%n perfecta. 1s muy fcil de usar y configurar y puede ser usado para a eriguar la locali$aci%n de las redes descu#iertas. 1sta &erramienta solo funciona en sitemas Linu0, 3ac OS 4, *ree2S:. 3s informaci%n y descarga! &ttp!>>sourceforge.net>pro"ects>-ellenreiter>

Auditar seguridad e! dis&ositi'os Cis%o.

<sando la aplicaci%n (ipper que sir e para auditar la seguridad de dispositi os de red! S-itc&es, routers y fire-alls. 1ste auditor de seguridad soporta los siguientes dispositi os! @isco S-itc&es B+OSC @isco Routers B+OSC @isco *ire-alls BP+4, ASA, *?S3C @isco @atalysts B(3P, @atOS, +OSC @isco @ontent Ser ice S-itc&es B@SSC Duniper (etScreen *ire-alls BScreenOSC @&ec'Point *ire-allAE B*?EC (o'ia +P *ire-alls B*?EC (ortel Passport 2ay (et-or's Accelar S-itc&es Sonic?ALL SonicOS *ire-alls BSonicOSC

(ipper es gratuito y funciona #a"o las plataformas ?indo-s y Linu0. Su funcionamiento consiste en que, pasndole la configuraci%n del dispositi o, (ipper genera un log en =/3L con las posi#les fallos de seguridad, tales como! Si la ersi%n del soft-are tiene ulnera#ilidades y los n9meros de referencia para esas ulnera#ilidades. Recomendaciones de in&a#ilitar los ser icios que puede ser usado para tener acceso no permitido al dispositi o. @omandos necesarios para ayudar a asegurar el dispositi o. 3uestra la configuraci%n del dispositi o e0plicando cada ser icio y utilidad. Uso de Ni&&er. Primero se necesita conseguir la informaci%n del dispositi o, para e0traer esta informaci%n &ay que conectarse Fa /elnet o SS= al dispositi o y usamos el comando! show running-configuration G copiamos el resultado en un arc&i o de te0to que podemos copiar en la ruta de instalaci%n del (ipper. :espu.s e"ecutaremos (ipper con los siguientes parmetros!

nipper --ios-router --input=routerconfig.txt --output=resultado.html # --ios-router Su usa para el tipo de dispositivo # --imput El archivo de configuracin del dispositivo # --output El log Html generado con la evaluacin de seguridad. :espu.s solo tendremos que e"ecutar el arc&i o resultado.&tml en el na egador para isuali$ar los fallos de seguridad reportados por la aplicaci%n. 1n caso de duda de los parmetros de (ipper puede e"ecutar el comando! Nipper help 3s informaci%n y descarga de (ipper! &ttps!>>---.titania.com>

Auditar seguridad e! distri$u%io!es Li!u(.

1s muy fcil con la &erramienta Lynis dise;ada para sistemas #asados en <(+4. @on Lynis podemos detectar errores de configuraci%n que pueden ser apro ec&ados para atacar nuestro sistema, tam#i.n detecta ulnera#ilidades en soft-are, permisos, @on esta &erramienta podemos auditar las distri#uciones! @entOS 7. :e#ian H.6. *edora @ore H y superiores. *ree2S: I.0, J.6. 3ac OS 4 E6.0 B/iger, LeopardC. Open2S: H.5, H.K. OpenSolaris. OpenSuS1. Red =at, R=1L 7.0. Slac'-are E5.E. <#untu J.6H, J.E6, L.6H.

1s una &erramienta muy recomenda#le para administradores de sistema, para ayudar a corregir errores de configuraci%n en implementaciones, que puede producir fallos de seguridad o disminuir el rendimiento del sistema. 1s muy importante aclarar que Lynis no corrige las ulnera#ilidades, informa de ellas y muestra informaci%n de c%mo solucionarlas. 3s informaci%n y descarga de Lynis! &ttp!>>---.root'it.nl>pro"ects>lynis.&tml

:ocumentaci%n de Lynis! &ttp!>>---.root'it.nl>files>lynisAdocumentation.&tml

Auditar seguridad e! dis&ositi'os )oI* $asados e! SI*.

@on la &erramienta S+PVicious un 'it de utilidades dise;adas para auditar la seguridad en dispositi os Vo+P #asados en el protocolo S+P. S+PVicious esta compuesto de las siguientes &erramientas! S' a&+ es un escaner del protocolo S+P. 1scanea rangos de +P y identifica cualquier ser idor que tra#a"e en S+P. /am#i.n tiene la opci%n para e0plorar rangos de puertos. Puede o#tener todos los tel.fonos en una red para &acerlos sonar al mismo tiempo Busando el m.todo +(V+/1C. 3odo de empleo! &ttp!>>code.google.com>p>sip icious>-i'i>S map<sage S',ar+ 3uy parecido a un -ar dialer usado para llamar a n9meros de tel.fono en la red para identificarlos. 1sto aplicado en el protocolo S+P, permite identificar a usuarios acti os. 3odo de empleo! &ttp!>>code.google.com>p>sip icious>-i'i>S -arusage S'%ra%-+ Sir e para atacar la autentificaci%n de los dispositi os. Puede atacar contrase;as en los ser idores Vo+P y los ser idores pro0y. Para reali$ar est.s ataques de diccionario necesita un arc&i o pre iamente asignado. S're&ort+ 3ane"a las sesiones creadas por el resto de las &erramientas y permite e0portarlas a pdf, 0ml, cs y testo plano. Lo que facilita el tra#a"o para generar informes de la auditoria. 1stas &erramientas que componen S+PVicious estn escritas en pyt&on y necesitan para ser e"ecutadas la ersi%n 5.H o superior. Su funcionamiento esta totalmente pro#ado en! Linu0, 3ac OS 4, ?indo-s y en *ree2S: I.5. 3s informaci%n y descarga de S+PVicious! &ttp!>>code.google.com>p>sip icious> @aso practico de uso de S+PVicious! &ttp!>>code.google.com>p>sip icious>-i'i>)ettingStarted +nterceptar con ersaciones Vo+P! &ttp!>> troger.#logspot.com>566L>6I>interceptarAcon ersacionesA oip.&tml 1scner de ulnera#ilidades de telefonFa Vo+P! &ttp!>> troger.#logspot.com>566L>6E>escnerAdeA ulnera#ilidadesAdeAtelefona.&tml =erramienta de test de penetraci%n para Vo+P! &ttp!>> troger.#logspot.com>566J>E6>&erramientaAdeAtestAdeApenetracinApara.&tml

Herra ie!tas &ara asegurar dis&ositi'os Cis%o.

1n este post descri#ir. unas &erramientas muy 9tiles para asegurar dispositi os @isco. Router Audit Tool (RAT). RA/ esta dise;ada en Perl. Su funcionamiento consiste en descargar los arc&i os de configuraci%n del router y anali$ar los agu"eros de seguridad y despu.s aporta datos de como solucionar los fallos con unas guFas que incluye. @onsta de H programas! S!ar. + Sir e para descargar los arc&i os de configuraci%n del router. N%at+ Para leer los arc&i os de configuraci%n y reglas #ase para la e aluaci%n, genera un arc&i o con los resultados. N%at/re&ort+ @rea el =/3L de los arc&i os planos del resultado. N%at/%o!.ig+ Se utili$a para locali$ar de los arc&i os de reglas #sicas. 1s una &erramienta ideal para asegurar la configuraci%n de routers @isco y para reali$ar auditorias de ca"a #lanca de los mismos. 3s informaci%n y descarga de RA/ y guFas de ayuda! &ttp!>>---.cisecurity.org>#enc&Mcisco.&tml Cisco Snmp Tool. 1s una &erramienta para administrar las configuraciones de routers @isco en redes LA( y ?A(. Adems tiene una interface isual con un mapa del dise;o de la red. 1ntre sus funciones destaca! Puede descargar y cargar las configuraciones del router. Puede escri#ir en la memoria (VRA3 del router. =erramientas de ping y tracert. 3onitori$a el estado de los dispositi os de red en tiempo real. Reali$a log del estado de los dispositi os y sus fallos. Puede anali$ar trafico @P:. Posee una &erramienta para isuali$ar la configuraci%n de los dispositi os.

3s informaci%n y descarga de @isco Snmp /ool! &ttp!>>#illyt&e'ids.demirdesign.com>

Cisco Torch. 1s un escner fingerprinting para descu#rir dispositi os @isco. 1ste escner identifica los dispositi os y rastrea sus ser icios! telnet, SS=, los ser icios ?e#, (/P y S(3P. G tam#i.n permite reali$ar ataques de fuer$a #ruta. 1s ideal para auditorias de ca"a negra. :escarga de @isco /orc&! &ttp!>>---.ar&ont.com>digitalAssets>5E6MciscoAtorc&A6.H#.tar.g$ 3s informaci%n y modo de empleo @isco /orc&! &ttp!>>---.ar&ont.com>digitalAssets>566MR1A:31.t0t EIGRP Tools. 1s una sniffer para el protocolo 1+)RP que tam#i.n tiene la posi#ilidad de generar paquetes. :esarrollado para pro#ar la seguridad y eficiencia de este protocolo. 3odo de empleo! eigrp.pl NAAsniffO N AAifacePinterface O NAAtimeoutPiO 3odificadores! AAsniff Sniff eigrp pac'ets AAiface Listen on an interface AAiflist List all a aila#le net-or' interfaces AAsource Source +P address AAdest Pac'et destination +P. :efault multicast +P A 55H.6.6.E6 AAtimeoutPn pcap init timeout B766 defaultC AA&ello Send 1+)RP =1LLO AAupdate <pdate route AAquery Send N8ueryO B<nreac&a#le destination C AAe0ternal 10ternal route AAinternal +nternal route AAipgood#yePs +P to N)ood#ye messageO Aut&entication replay not implemented AAfile5ipPs Send ra- sniffed eigrp data from file to +P AApay#ac' Sniff t&e <P:A/1 pac'et, c&ange N:elayO and send it #ac' BPo@C AAopPn 1+)RP opcode no. to trigger, capture a p't defined #y t&e trigger onto a dis' AAsnPn 1+)RP sequence num#er to trigger AAaut& Aut&entication data for t&e reply attac' Bcopy past &e0 from sniffC AAopcode @ustom opcode for &ello pac'ets fu$$ing AAflagsPn 1+)RP flags B6,E or 5C AA ersionPn 1+)RP ersion NL #it integerO :efault P 5 AAasPn Autonomous system num#er, :efault P E AA'EPn 3etric QE :efault E AA'5Pn 3ertic Q5 :efault 6 AA'KPn 3ertic QK :efault E AA'HPn 3ertic QH :efault 6 AA'7Pn 3ertic QH :efault 6 AAmtuPn 3/< AAnmsPn Add (3S B(e0t multicast messageC to =ello pac'et AAeigrp Ps 1+)RP release ersion

AAiosPs +OS ersion AA&opcountPn =op count AArelia#ilityPn Relia#ility AAloadPn Load AAdelayPn :elay AAsequencePn Sequence BK5#it sequenceC :efault P 6 AAac'Pn Ac'no-ledge BK5#it sequenceC :efault P 6 AAne0t&opPs (e0t =op AA#and-idt&Pn 2and-idt& AAroutedestPs Route destination AAorigrouterPs Originating router AAorigasPn Originating Autonomous system num#er AAar#itatagPn Ar#itrary tag AAmetricPn protocol metric Be0ternal 1+)RP metric for t&e e0ternal updatesC AAe0tprotoPn 10ternal protocol +: +)RPBEC 1+)RPB5C Static RouteBKC R+PBHC =1LLOB7C OSP*BIC +SM+SBJC 1)PBLC 2)PBRC +:RPBE6C @onnected lin'BEEC AA&oldPn =old time in seconds AA&ellotimePn =ello send retries timeout . :efault P 7 sec AA&ellodosPs +P su#net. (asty :OS attac'S Send =1LLO 1+)RP Argument from +P range. AAretriesPn Pac'et send retries :efault P ET :escarga de 1+)RP /ools. &ttp!>>---.&ac'ingciscoe0posed.com>Ulin'Ptools

Auditar seguridad en dispositi os @isco! &ttp!>> troger.#logspot.com>566L>6H>auditarAseguridadAenAdispositi osAcisco.&tml

A!a"i0ar 'u"!era$i"idades a tra'1s de "a red.

<tili$ando una &erramienta llamada SARA BSecurity AuditorVs Researc& AssistantC #asada en el escner de ulnera#ilidades SA/A(. 1s una &erramienta muy efica$ ideal para auditorias de seguridad. Soporta las plataformas! <ni0, Linu0, 3A@ OS>4 y ?indo-s Busando coLinu0C. 1ntre sus principales caracterFsticas destaca! +ntegra ulnera#ilidades o#tenidas de (V: B(ational Vulnera#ility :ata#aseC. Posee arios test de S8L in"ection. +ncluye e0&austi os test 4SS. Puede adaptarse a entornos de red con diferentes fire-alls.

 Permite reali$ar escaneados remotos a tra .s de fciles AP+. Soportas estndares @V1. <na lista de nom#res estandari$ada para las ulnera#ilidades y otras e0posiciones de seguridad de la informaci%n. Puede e"ecutarse usar en modo normal o modo demonio. Permite reali$ar test de #9squeda in ersa para :(S y en enenamiento de cac&e :(S. Se actuali$a todos los meses. 3s informaci%n y descarga de SARA BSecurity AuditorVs Researc& AssistantC! &ttp!>>---Aarc.com>sara :ocumentaci%n de SARA! &ttp!>>---Aarc.com>sara>saraL.&tml (V: B(ational Vulnera#ility :ata#aseC! &ttp!>>n d.nist.go > @V1 B@ommon Vulnera#ilities and 10posuresC! &ttp!>>---Aarc.com>sara>c e>c e.&tml 3s informaci%n y descarga de coLinu0! &ttp!>>---.colinu0.org>

A!a"i0ar $ugs e! a&"i%a%io!es 2a'a.

<na de los me"ores anali$adores #ugs en Da a es *ind2ugs, que utili$a el m.todo de anlisis esttico. 1s muy fcil de utili$ar solo &ay que indicarle el arc&i o "ar y el c%digo asociado, para que lo analice. *ind2ugs despu.s de anali$ar, mostrara un r#ol con los errores arc&i ados por categorFas, indicando c%mo de#erFa me"orarse cada error. 1sta &erramienta esta disponi#le para las plataformas! ?indo-s, Linu0 y 3ac OS 4. (ecesita para su funcionamiento Da a 5 Standard 1dition ersi%n E.7 o superior. @on esta &erramienta se puede incrementar el rendimiento de las aplicaciones desarrolladas en Da a y su seguridad ante el apro ec&amiento de #ugs. 3s informaci%n y descarga de *ind2ugs! &ttp!>>find#ugs.sourceforge.net> 3anual *ind2ugs! &ttp!>>find#ugs.sourceforge.net>manual>inde0.&tml

Asegurar distri$u%io!es Li!u( $asadas e! R*M.

@on sectool una &erramienta de seguridad que puede ser usada para auditorias de seguridad y como parte de un sistema de detecci%n de intrusi%n. Su meta es corregir los errores causados por los

administradores o precisar fallos de seguridad de los que no son conscientes. @omprue#a la configuraci%n del sistema y a"ustes sospec&osos. Las prue#as se clasifican en grupos y ni eles de seguridad. Los administradores pueden utili$ar prue#as seleccionadas, grupos o ni eles de seguridad enteros. Las prue#as se clasifican en 7 ni eles de seguridad, cada ni el corresponde a una filosofFa de tra#a"o de cada sistema y de la seguridad que necesita para dic&a tarea. Sus ni eles de seguridad son! (ai e! Para un sistema con un ni el de seguridad #sico. :es'top! Se prue#a la seguridad de un sistema que nunca estarFa conectado a la red. (et-or'! Sistema de cliente estndar conectado a la red. Ser er! Ser idor de red. Paranoid ! Para los administradores paranoicos.

Las prue#as muestran arios tipos de mensa"es durante su e"ecuci%n. Los mensa"es se utili$an para informar so#re los riesgos de seguridad descu#iertos. Posee cuatro tipos! PASS! (o se descri#i% ning9n riesgo para la seguridad. ?AR(+()! 3ensa"es de alerta que en algunas ocasiones no son fallos de seguridad. 1RROR! *allos gra es de seguridad. *A+L! 1rrores de sectool en sus test de seguridad.

Los tres 9ltimos tienen asociados dos mensa"es W =intW y W +nfoW que indican! =int! Ayuda de c%mo resol er los fallos de seguridad encontrados. +nfo! +nformaci%n de c%mo podrFa ser e0plotado ese fallo de seguridad. 3s informaci%n y descarga de sectool! &ttps!>>fedora&osted.org>sectool>-i'i

Auditoria de seguridad de ser'i%ios 3e$4 $asada e! O3AS*.

O?ASP BOpen ?e# Application Security Pro"ectC es una comunidad creada con la finalidad de esta#lecer m.todos de tra#a"o seguro a la &ora de desarrollar aplicaciones -e#. O?ASP posee un modelo de mecanismos de seguridad ante amena$as incluyendo recomendaciones al respecto. 1l proyecto est formado por una amplia colecci%n de guFas y &erramientas, para ayudar al desarrollo seguro de aplicaciones y auditorias. :entro de las &erramientas de seguridad que englo#a O?ASP, una de las ms interesantes es ?S*u$$er. <na &erramienta de test de penetraci%n para ser icios -e# #asados en =//P SOAP. Sus caracterFsticas son! =ace prue#as de intrusi%n en un ser icio ?e# #asado en =//P SOAP ya sea en un ?S:L, un punto final BendpointC o un nom#re BnamespaceC. Puede detectar inteligentemente ?S:L. +ncluye un scanner de puertos /@P simple. ?S*u$$er tiene la &a#ilidad de manipular m.todos con m9ltiples parmetros. =ay 5 modos

de ataque! Windi idualW y WsimultaneoW. @ada parmetro puede ser tratado como una entidad 9nica Bmodo indi idualC, o m9ltiples parmetros son atacados simultneamente. La generaci%n de ataques consiste en! una com#inaci%n de un arc&i o de diccionario, algunos grandes patrones de inyecci%n dinmicos opcionales y algunos ataques especFficos incluyendo generaci%n de ataques automticos de 441 y ?SS1. La &erramienta tam#i.n proporciona la opci%n de usar algunas t.cnicas de e asi%n de +:S, lo que lo &ace una poderosa e0periencia de prue#as de seguridad de infraestructura B+:S>+PSC. Reali$a una medida de tiempo entre cada petici%n y respuesta para ayudar potencialmente en el anlisis de resultados. Para cualquier e"ecuci%n del programa los ectores de ataque generados son guardados en un arc&i o 0ml. 1l arc&i o 43L es u#icado en el mismo directorio donde se guardan el arc&i o de resultados =/3L. <n arc&i o 43L pre iamente generado de ectores de ataque puede ser utili$ado en lugar de la com#inaci%n de diccionario>automati$ado. 1sto sir e para cuando se necesitan los mismos ectores para ser usados una y otra e$.

3s informaci%n de O?ASP! &ttp!>>---.o-asp.org>inde0.p&p>3ainMPage 3s informaci%n y descarga de ?S*u$$er! &ttp!>>sourceforge.net>pro"ects>-sfu$$er>

Herra ie!ta &ara gestio!ar "a seguridad de siste as e! u! e!tor!o gra!de 5 %o &"e6o.
La &erramienta 2a#el 1nterprise es ideal para gestionar la seguridad de sistemas en un entorno grande y comple"o con diferentes tecnologFas y diferentes Sistemas Operati os con distintas ersiones y conXguraciones. 1sta &erramienta intenta e aluar los puntos que representan un riesgo en la seguridad y pueden ser me"orados con la inter enci%n de un administrador. 1s una &erramienta no intrusi a, no reali$a a#solutamente ning9n cam#io en los sistemas que audita, s%lo e"ecuta los test que se necesitan y da los resultados en un informe detallado, incluyendo un indicador num.rico con el ni el de seguridad de los sistemas o entornos a auditar. @on 2a#el 1nterprise se puede construir un cuadro de mando de la seguridad, E66Y adaptado a las necesidades concretas de cada empresa. Las caracterFsticas de esta potente &erramienta son! @apacidad de alorar el grado de cumplimiento de una normati a Ben 1spa;a LOP:, LSS+ e +SO><(1 EJJRRC. 1n multinacionales, principalmente SO4 BSar#anesAO0leyC. @apacidad de implementar controles soft-are para alidar el cumplimiento de esas polFticas. <tili$ando agentes que se pueden e"ecutar en! ?indo-s 566K, ?indo-s 4P, ?indo-s Vista, en los sistemas <ni0 ms comunes como SolarisZ R, A+4Z7.E, S<S1 )(<>Linu0 R 1S y :e#ian><#untu :apper. Adems, los agentes de 2a#el 1nterprise pueden ser fcilmente adoptados para otras ersiones u otros sistemas como 2S: o =P<4Z. @apacidad de alorar los riesgos de los acti os. @apacidad de alorar los riesgos presentes desde el e0terior. Se &a integrado con (essus, y Snort y tiene capacidad de integraci%n con prcticamente cualquier aplicaci%n de este tipo. @apacidad de monitori$ar ni eles de ser icio BSLAC y disponi#ilidad de los ser icios y

procesos de negocio, integrndolo con Pandora *3S. )esti%n de e entos de seguridad reportados por acti os de seguridad mediante integraci%n con Pandora *3S, recolectores de e entos, Anti irus o AntiSpam. Se trata de que 2a#el pueda presentar y relacionar entre sF esos datos ya procesados por cada una de las &erramientas anteriormente e0puestas, no de &acer que 2a#el [almacene\ toda esa informaci%n. @apacidad de sal aguardar esa informaci%n durante un tiempo limitado para su consulta por parte de una auditorFa independiente. 2a#el 1nterprise es Soft-are Li#re, tiene una AP+ a#ierta, todos sus detalles internos son a#iertos, tiene un repositorio p9#lico y toda la documentaci%n &a sido generada usando estndares li#res como :oc2oo' S)3L. 3s informaci%n y descarga de 2a#el 1nterprise! &ttp!>>#a#el.sourceforge.net :ocumentaci%n 2a#el 1nterprise. &ttp!>>openideas.info>-i'i>inde0.p&pUtitleP2a#el!:ocumentationMes :emo de 2a#el 1nterprise, se puede loguearse y pro#ar la aplicacion como un WoperadorW, con permisos de lectura. 1l usuario es WdemoW y la contrase;a es WdemoW. &ttp!>>artica.&omelinu0.com>#a#el

Auditoria de siste as RHEL 7Red Hat E!ter&rise Li!u(8.

10iste una &erramienta especFfica para la auditoria de esta distri#uci%n, se llama Linu0 Audit contiene utilidades para crear reglas de auditorFa, almacenadlas en e0pedientes generados por el su#sistema de inter enci%n del n9cleo. /am#i.n tiene una detecci%n #sica de intrusi%n #asado en mensa"es +:31*. 1l +:31* es un formato de intercam#io de mensa"es de detecci%n de intrusi%n, reglado por R*@ HJI7 del +1/*. 8ue descri#e el formato de 43L utili$ado, parmetros disponi#les, c%mo representar alores, protocolos de red, acontecimientos, :e forma que los diferentes sistemas de detecci%n de intrusos puedan comunicarse. )racias al +:31* esta &erramienta puede integrarse en prelude y mostrar los datos en una interfa$ grafica. 3s informaci%n y descarga de Linu0 Audit! &ttp!>>people.red&at.com>sgru##>audit Prelude +:S! &ttp!>>---.preludeAids.com>en>-elcome>inde0.&tml R*@ HJI7 del +1/*! &ttp!>>---.normesAinternet.com>normes.p&pUrfcPrfcHJII]langPes

A'eriguar si u! sitio ,e$ es se!si$"e a t1%!i%as de Goog"e Ha%-i!g.

<tili$ando la una &erramienta que se clasifica entre el tFpico escner de ser idores y el escner de aplicaciones -e#, se trata de ?i'to. @on ?i'to podemos locali$ar directorios y fic&eros que comprometan la seguridad del sitio -e# y ulnera#ilidades ms comunes. Los componentes de ?i'to son! Mirror 9 Fi!ger&ri!t+ Por una parte se e0aminan los lin' que tiene el sitio para descu#rir los directorios. 1l otro componente e0amina las &uellas del ser idor -e# para identificarlo. 3i-to+ 1s el motor de (i'to un e0plorador #asado te0to de ulnera#ilidades de ser idores -e#, escrito en Perl. (i'to e0plora ms de K666 pro#lemas potenciales de seguridad, en un -e# ser er. Ba%-E!d+ Se #asa en #uscar directorios en el sistio -e# #asndose en una lista de los nom#res de directorios que suelen tener informaci%n sensi#le. Goog"er+ 2usca directorios y arc&i os sensi#les en el sitio -e#, usando #9squedas especiales en google. <tili$a operadores como! WfiletypeW, WsiteW, com#inndoles entre sF. <na e$ e"ecutada la #usqueda, se muestran los resultados de directorios e0traFdos desde las <RLS que se de#e inspeccionar manualmente. Goog"e:a%-s+ 1sta secci%n reali$a #9squedas en )oogle, utili$ando la #ase de datos )=:2 B)oogle =ac'ing :ata#aseC, donde se encuentran todas las cadenas de #9squeda suscepti#les de de ol er informaci%n sensi#le. Se puede e"ecutar las cadenas de forma indi idual, modificarla manualmente y ol er a e"ecutarla. 3s informaci%n y descarga de ?i'to! &ttp!>>---.sensepost.com>researc&>-i'to> 3odo de empleo de ?i'to! &ttp!>>---.sensepost.com>researc&>-i'to>usingM-i'to.pdf 1scner de ulnera#ilidades de ser idores -e#! &ttp!>> troger.#logspot.com>566J>E6>escnerAdeA ulnera#ilidadesAde.&tml

A!#"isis de 'u"!era$i"idades 3e$ a tra'1s de $us%adores.

<tili$ando la &erramienta S1A/ BSearc& 1ngine Assessment /oolC que permite anali$ar ulnera#ilidades ?e# a tra .s de #uscadores de internet. Su funcionamiento se #asa en la #9squeda en #uscadores de internet comparando la <RL asignada como #lanco, con m9ltiples #ases de datos de ulnera#ilidades. 1ntre sus caracterFsticas destaca! Soporta los motores de #9squeda! )oogle, Ga&oo, 3S(, AltaVista, All/&e?e#, AOL y :3OZ. <tili$a las #ases de datos de ulnera#ilidades! )=:2, (+Q/O,

)S:2, ?3AP, <RL@=Q y (1S/1A. Permite a;adir nue os #uscadores y modificar los que posee. 1s una &erramienta dise;ada para sistemas Linu0, ideal para auditorias de seguridad que me"ora las t.cnicas de )oogle &ac'ing utili$adas por otras &erramientas. 3s informaci%n y descarga de S1A/! &ttp!>>midnig&tresearc&.com>pro"ects>searc&AengineAassessmentAtool> :ocumentaci%n de S1A/! &ttp!>>midnig&tresearc&.com>common>seat>documentation.pdf A eriguar si un sitio -e# es sensi#le a t.cnicas de )oogle =ac'ing! &ttp!>> troger.#logspot.com>566L>E5>a eriguarAsiAunAsitioA-e#AesAsensi#le.&tml

I!ter%e&tar %o!'ersa%io!es )oI*;UC.

+nterceptar con ersaciones Vo+P><@ BVo+P y FdeoC gracias a la &erramienta <@Sniff. <na &erramienta dise;a para auditar la seguridad de redes Vo+P><@. 1scrita en @, y lan$ada inicialmente para los sistemas Linu0 #a"o de la licencia )PL K. 1ntre sus caracterFsticas destaca! Permite descu#rir los usuarios de Vo+P #asados en directorios y e0tensiones corporati os. Permite automticamente registrar con ersaciones pri adas de VFdeo a tra .s de +P. Reconstruye automticamente con ersaciones enteras a un solo arc&i o reproduci#le. Soporta los codificadores y decodificador de la compresi%n de ).J55 y ).JEE. Soporta el codificador y decodificador de Fdeo =.5IH. Soporta descu#rimiento VLA(. Posee un Sniffer de <@ BVo+P y FdeoC com#inado con una &erramienta de redireccionamiento usando 3it3. 1s una &erramienta muy 9til para auditar la seguridad en redes Vo+P><@ y reali$ar prue#as de concepto de posi#les ataques. 3s informaci%n y descarga de <@Sniff! &ttp!>>sourceforge.net>pro"ects>ucsniff> Post relacionados con el tema! +nterceptar con ersaciones Vo+P! &ttp!>> troger.#logspot.com>566L>6I>interceptarAcon ersacionesA oip.&tml

Auditar seguridad en dispositi os Vo+P #asados en S+P! &ttp!>> troger.#logspot.com>566L>6J>auditarAseguridadAenAdispositi osA oip.&tml Seguridad en Vo+P a tra .s del protocolo ZR/P! &ttp!>> troger.#logspot.com>566J>E6>seguridadAenA oipAtra sAdelAprotocolo.&tml =erramienta de test de penetraci%n para Vo+P! &ttp!>> troger.#logspot.com>566J>E6>&erramientaAdeAtestAdeApenetracinApara.&tml

Herra ie!ta &ara auditar "a seguridad de O..i%e Co

u!i%atio! Ser'er <==>.

<tili$ando la &erramienta OA/ se pueden reali$ar auditorFas de seguridad de Office @ommunication Ser er 566J. OA/ es una &erramienta de seguridad dise;ada para compro#ar la ro#uste$ de las contrase;as de los usuarios del Office @ommunication Ser er 566J. :espu.s de que se comprometa una contrase;a, OA/ demuestra el potencial de los ataques que se pueden reali$ar, utili$ando usuarios legFtimos, si los controles de seguridad apropiados no estn configurados. OA/ tiene dos modos de tra#a"o para reali$ar auditorFas! odo interno ideal para auditorias ca!a "lanca. 1l modo interno simula ataques de la red interna, donde el atacante tiene acceso sin restricci%n a los recursos compartidos y a los ser idores. OA/ e0plora la red interna preguntando al controlador de dominio por todos los usuarios permitidos de Office @ommunication Ser er entonces agrega estos usuarios a la lista del ataque. Los ataques siguientes se pueden reali$ar a una red interna Ataque +3 *lood a solo un usuario. Ataque +3 *lood a un dominio. Ataque denegaci%n ser icios. odo externo ideal para auditorias ca!a negra. 1l modo e0terno simula el panorama del ataque en el cual un atacante est fuera de la red corporati a. <na e$ que el ataque de diccionario contra usuario #lanco funciona, OA/ act9a como un cliente legFtimo de Office @ommunication Ser er, interactuando con el ser idor. G utili$a las credenciales del usuario para o#tener la lista de los contactos del usuario y aplicaciones, esta informaci%n es 9til para la fase pr%0ima del ataque. Las prue#as siguientes se pueden reali$ar desde una red e0terna. @onseguir lista de contactos. Ataque +3 *lood de la lista de contactos. Ataque denegaci%n ser icios. 3s informaci%n y descarga de OA/! &ttp!>> oat.sourceforge.net> Office @ommunications Ser er 566J! &ttp!>>office.microsoft.com>esAes>communicationsser er>default.asp0

)arias distri$u%io!es de seguridad e! u! so"o USB.

@on Qatana un con"unto de distri#uciones de seguridad y &erramientas agrupadas en una sola distri#uci%n arranca#le en <S2. Qatana es la me"or opci%n para tener a mano &erramientas que pueden ser ir para! test de penetraci%n, auditoria, romper contrase;as, anlisis forense y =oneypots. Qatana incluye las siguientes distri#uciones y &erramientas! 2ac'trac' H pre. /&e <ltimate 2oot @:. Organi$ational Systems ?ireless Auditor BOS?AC Assistiant. /&e <ltimate 2oot @: for ?indo-s. )ot RootU Sla0. Op&crac' Li e. :amn Small Linu0. :amn Vulnera#le Linu0. #nstalacin de $atana. 1s necesaria una memoria <S2 de L)2 con I)2 de espacio li#re. G despu.s seguir los siguientes pasos! E. :escargar el arc&i o ['atanaA E.rar\ y descomprimirlo. 5. @rear una carpeta de nom#re [#oot\ en el <S2 y copiar en ella los arc&i os descomprimidos. K. =acer arranca#le el <S2. 1n Linu0 e"ecutar el script [#oostinst.s&\ de la carpeta #oot y en ?indo-s e"ecutar [#oostinst.#at\ de la carpeta [#oot\. 3s informaci%n de Qatana! &ttp!>>---.&ac'fromaca e.com>'atana.&tml :escargar Qatana! &ttp!>>mirror.cc. t.edu>pu#>'atana>'atanaA E.rar

Auditar "a seguridad de "a %o!.igura%i?! de" $a"a!%eo de %arga de ser'idores 3e$.
Para poder &acer frente al trfico ?e# muc&as eces los administradores de ser idores ?e# tienen que implementar #alanceadores de carga. Los #alanceadores de carga ocultan muc&os ser idores -e# erdaderos detrs de una +P irtual. Reci#en peticiones =//P y las dirigen a los ser idores -e# para compartir el trfico entre ellos.

@on la &erramienta =al#erd permite descu#rir los ser idores que se encuentras detrs del #alanceador de carga y auditar la seguridad de la

configuraci%n. 1l modo de funcionamiento de =al#erd se di ide en tres etapas! +nicialmente, en Fa peticiones m9ltiples al ser idor ?e# a auditar y registra sus respuestas. 1sto se denomina fase de muestreo. :espu.s, el programa procesa las contestaciones y #usca muestras del equili#rio de carga. 1sto se llama la fase de anlisis. *inalmente, la =al#erd escri#e un informe de sus resultados. =al#erd utili$a las siguientes t.cnicas! Co &ara%i?! de "a .e%:a. Las respuestas =//P re elan el relo" interno del ser idor ?e# que las produce. Si aparecen arios resultados con tiempos de relo" diferente, =al#erd identifica n9mero de ser idores erdaderos. 1ste m.todo funciona si los ser idores ?e# no estn sincroni$ados con un (/P. Di.ere!%ia de !o $res de %a &o de "as %a$e%eras de" MIME. Las diferencias en los campos que aparecen en respuestas del ser idor pueden permitir que la =al#erd identifique los ser idores. Ge!era%i?! de a"tas %a!tidades de tr#.i%o. 2a"o ciertas configuraciones, los #alanceadores de la carga comien$an a distri#uir trfico, solamente despu.s de que se alcance cierto um#ral. 1sta &erramienta intenta generar un olumen de trfico importante para accionar esta condici%n y alcan$ar tantos ser idores erdaderos como sea posi#le. Usa!do di'ersas URL. <n #alanceador de carga se puede configurar para redirigir el trfico a distintos ser idores seg9n la <RL a la que se acceda. 1sta &erramienta utili$a una ara;a para na egar por las diferentes <RL para diferenciar los distintos ser idores que contestan. Dete%%i?! de %a%:e de" ser'idor. :etecta si los ser idores -e# utili$an cac&e para acelerar las peticiones con programas tipo Squid. O$te!%i?! de I* &@$"i%as. A eces las coo'ies o los campos especiales del 3+31 en respuestas del ser idor pueden re elar direcciones +P p9#licas de los ser idores -e#. 1n estos casos se puede puentear el #alanceador de carga y acceder directamente al ser idor -e#. 3s informaci%n y descarga de =al#erd! &ttp!>>&al#erd.superadditi e.com> 3anual de =al#erd! &ttp!>>&al#erd.superadditi e.com>doc>manual> [Stress test\ a ser icios de red! &ttp!>> troger.#logspot.com>566L>6H>stressAtestAser iciosAdeAred.&tml

Auditar de u!a .or a r#&ida "a seguridad de "a %o!.igura%i?! de distri$u%io!es Li!u(.
@on la &erramienta Gasat podemos auditar de una forma rpida la seguridad de la configuraci%n de distri#uciones Linu0. 1s una &erramienta muy potente y tremendamente efica$. Puede auditar configuraciones de las distri#uciones!

)entoo. :e#ian. <#untu. *ree2S:. Open2S:.

Gasat c&equea la configuraci%n en #usca de fallos de seguridad en! @onfiguraci%n del Qernel. @onfiguraci%n de red. Actuali$aci%n de paquetes. @uentas de usuario. Apac&e. 2ind :(S. P=P. 3ysql. Open pn. Snmpd. /omcat. Vsftpd. 4inetd.

Gasat es una &erramienta ideal para los que dan sus primeros pasos en Linu0 y quieren implementar sistemas seguros. Pero tam#i.n es 9til para usuarios a an$ados, porque siempre se puede escapar alg9n detalle y con un m.todo de c&equeo tan rpido ale la pena utili$arlo. 3s informaci%n de Gasat y descarga! &ttp!>>yasat.sourceforge.net>

Herra ie!ta de Bi!g Ha%-i!g.

1n anteriores post &e escrito so#re &erramientas de Goog"e Ha%-i!g, en este post oy a &a#lar de 2inging una &erramienta para t.cnicas de 2ing =ac'ing. 2ing Banteriormente Li e Searc&, ?indo-s Li e Searc& y 3S( Searc&C es un #uscador -e# de 3icrosoft, que podemos utili$ar igual que )oogle para descu#rimiento de ulnera#ilidades y #uscar informaci%n en una auditoria. 1ntre los usos de 2inging destaca!

1numeraci%n de &ost de un dominio. 2usca directorios y arc&i os sensi#les en el sitio -e#. 29squeda in ersa :(S. 3onitori$aci%n de un sitio ?e#, a tra .s de resultados del #uscador. Posi#ilidades de filtrar resultados y almacenarlos.

2inging solo funciona en plataformas ?indo-s y para su funcionamiento es necesario regFstrate en ?indo-s Li e +:. :espu.s editar el fic&ero [2inging.e0e.config\ y modificar la lFnea! add namePWApp+dW connectionStringPWW Poniendo el +: entre comillas.

:escarga de 2inging! &ttp!>>---.#lueinfy.com>2inging.$ip :ocumentaci%n de 2inging! &ttp!>>---.slides&are.net>#lueinfy>#ingingAfootprintingAdisco eryAEREKJHIUsrcPem#ed Anlisis de ulnera#ilidades ?e# a tra .s de #uscadores! &ttp!>> troger.#logspot.com>566R>65>analisisAdeA ulnera#ilidadesA-e#Atra es.&tml A eriguar si un sitio -e# es sensi#le a t.cnicas de )oogle =ac'ing! &ttp!>> troger.#logspot.com>566L>E5>a eriguarAsiAunAsitioA-e#AesAsensi#le.&tml

Herra ie!ta de ide!ti.i%a%i?! de a&"i%a%io!es 3e$.

1s posi#le identificar aplicaciones ?e# como! ?ordPress, serendipity, p&pmyadmin, con la &erramienta ?A*P B3e$ A&&"i%atio! Fi!ger *ri!terC.

?A*P utili$a para identificar una aplicaci%n ?e#, una #ase de datos

con las sumas de compro#aci%n 3:7 de los arc&i os de las aplicaciones y las compara con el sitio ?e# a in estigar. ?A*P funciona en la plataforma Linu0 y necesitas de los siguientes paquetes para e"ecutarse! Ru#y E.L. SqliteK K. SqliteKAru#y E.5.H. La #ase de #ase de datos se actuali$a online y adems permite a;adir sumas de compro#aci%n 3:7 de aplicaciones a la #ase de datos de una forma sencilla. 1s una &erramienta muy prctica para o#tener informaci%n de un sitio -e# en una auditoria o en un test de penetraci%n. 3s informaci%n y descarga de ?A*P! &ttp!>>mytty.org>-afp>

Herra ie!ta &ara a!a"i0ar &#gi!as 3e$ %o! %?digo

1ntres sus caracterFsticas destaca!

a"i%ioso.

*ile+nsig&t es una &erramienta gratuita de 3cAfee ideal para anali$ar pginas con c%digo malicioso.

Permite anali$ar e importar estructuras en @ y @^^. :ecodifica c%digos en +AAK5. :ecodifica scripts en Da aScript. @ontiene plugins de anlisis automati$ado y un plugin para en iar el fic&ero a Virustotal para un anlisis completo.

1s una &erramienta ideal para in estigar pginas con c%digo malicioso, tanto para un anlisis forense como para una auditoria. *ile+nsig&t solo est disponi#le para la plataforma ?indo-s. :escarga de *ile+nsig&t! &ttp!>>---.-e#-as&er.de>do-nload>fileinsig&t> /utorial de uso de *ile+nsig&t! &ttp!>>---.-e#-as&er.de>do-nload>fileinsig&t>tutorial.&tml

Auditar seguridad de SSL.

10isten dos &erramientas muy completas para auditar la seguridad de SSL! SSLScan y SSL Audit. SSLS%a!. Sir e para compro#ar el tipo de cifrado SSL que utili$a un ser icio. 1s una &erramienta para Linu0 que necesita el compilador )(< para @ y la li#reria OpenSSL.

3odo de empleo! @omando! sslscan NopcionesO N&ost! puertoO Opciones! AAtargetsP Sir e para pasarle un arc&i o que contiene una lista de &ost para c&equear. Los &ost se pueden suministrar con puertos puertos Bes decir &ost! puertoC. AAnoAfailed (o muestra los tipos de cifrado que no acepta el &ost. AAssl5 @omprue#a solamente el cifrado SSL 5. AAsslK @omprue#a solamente el cifrado SSL K. AAtlsE @omprue#a solamente el cifrado /LS E. AAp'P Sir e para pasarle un arc&i o PQ@S_E5. AAp'passP La contrase;a para PQ@S_E5.

AAcertsP Pasarle un arc&i o que contiene P13>AS(E. AAstarttls +ntroducir un S/AR//LS para ser icios smtp. AA=//P Prue#a una cone0i%n del =//P. AA #ugs 2uscar #ugs en SLL. AA0mlP 3ostrar resultados de la salida en arc&i o de 43L. 3s informaci%n y descarga de SSLScan! &ttps!>>---.titania.co.u'>inde0.p&pUoptionPcomMcontent] ie-Particle]idP7I]+temidPIL SSL Audit. 1s otra &erramienta para compro#ar el tipo de cifrado SSL. 8ue incorpora posi#ilidades de *ingerprint para identificar el motor SLL del ser idor, esta 9ltima opci%n es e0perimental y seg9n el autor reporta falsos positi os. +dentifica!

` ++SJ.7 BSc&annelC. ` ++SJ.6 BSc&annelC. ` ++S I.6 BSc&annelC. ` Apac&e BOpensslC. ` Apac&e B(SSC. ` @erticom. ` RSA 2SA*1. :ocumentaci%n de SSL Audit! &ttp!>>---.gAsec.lu>sslaudit>documentation.pdf :escarga de SSL Audit! &ttp!>>---.gAsec.lu>sslaudit>sslaudit.$ip

Herra ie!ta &ara ide!ti.i%ar 'ersio!es de ser'i%ios de red.

Se trata de Vmap una &erramienta disponi#le solo para Linu0, que permite identificar ersiones de ser icios de red. Vmap identifica las ersiones de los siguientes ser icios! ftp, smtp, popK, imap y

&ttp.

Su m.todo de funcionamiento se #asa en anali$ar las respuestas de los diferentes ser icios y compararlas con su #ase de datos para identificar la ersi%n del ser icio. 1s una &erramienta, muy 9til para auditorias ya que identificando las ersiones de los ser icios se puede #uscar las ulnera#ilidades de los mismos. :escarga de Vmap! &ttp!>>free-orld.t&c.org>root>tools> map.tar.g$