INTERNET SECURITY SCANNER Qu es el Internet Security Scanner?

Internet Security Systems escner de Internet (ISS) es un producto de seguridad que evala los dispositivos en una red en busca de vulnerabilidades. Pasa a travs de una larga lista de pruebas y ensayos, cuidadosamente reunir las piezas adecuadas de las vulnerabilidades de la informacin y presentacin de informes. Se localiza la vulnerabilidad como un intruso, mediante el examen de los dispositivos de una red, los servicios, y sus interrelaciones. Internet Scanner proporciona informacin detallada sobre cada punto vulnerable detectado, incluyendo la poblacin de acogida, una descripcin de la vulnerabilidad, y los pasos a seguir para eliminar la vulnerabilidad. Estos hallazgos son puramente para el conocimiento de un administrador, l / ella no est de acuerdo con la conclusin o puede decidir que el hallazgo no es aplicable o algo que se quiere remediar. Las acciones correctivas son slo recomendaciones, pero cada uno debe ser estudiado con detenimiento. Internet Scanner trata de identificar el sistema operativo de la mquina est escaneando mediante la ejecucin a travs de una lista de comprobaciones. No produce un informe simple de todo el software en una mquina, sin embargo, se detecta el uso de algn software como parte de la bsqueda de vulnerabilidades conocidas en ese software. La base de datos del escner de vulnerabilidad que se actualiza peridicamente. Estas actualizaciones incluyen las vulnerabilidades encontradas recientemente para todos los sistemas operativos. Internet Scanner Ahora puede probar por ms de 700 vulnerabilidades. Cmo usarlo? SU ofrece el escaneo de los dispositivos de la Universidad de Virginia la red como un servicio gratuito. Por defecto, sus mquinas escanea las vulnerabilidades de riesgo ms alta y media. A peticin del departamento, tambin se puede realizar un anlisis separado para vulnerabilidades de denegacin de servicio. Hay una precaucin con la denegacin de servicio de exploracin que existe el potencial de causar una interrupcin. Estos dos anlisis se han tomado tpicamente de 10 a 20 minutos para una sola mquina, para las subredes enteras, que han tomado entre 30 y 45 minutos.

Qu sucede una vez que el escaneo se realiza? De los anlisis, los informes son producidos para su revisin. Al igual que con las directivas de anlisis, los informes se pueden adaptar de muchas maneras. Por lo general, se producen un informe que mostrar una lista de todas las vulnerabilidades encontradas por nivel de riesgo. Por lo general, tambin producen una variacin del mismo informe que se limita a enumerar todas las mquinas analizadas por la direccin IP junto con las vulnerabilidades encontradas en cada mquina. SU hace que estos informes estn disponibles en pginas web

LOGCHECK
Qu es logcheck? Logcheck revisa peridicamente las bitcoras del sistema, analizando cada una de las lneas y clasificndola segn diferentes niveles de alerta, reportndolo al administrador del sistema en un formato fcil de leer, descartando las lneas que no tengan relevancia, y --tpicamente-- envindolo por correo. Logcheck checar cada lnea contra cuatro niveles de seguridad: Ignorar, actividad inusual, violacin de seguridad y ataque. El programa ayuda a detectar problemas logcheck y violaciones de seguridad en sus archivos de registro automticamente y enviar los resultados a que peridicamente comente en un e-mail. Por logcheck por defecto se ejecuta como una tarea programada por hora justa fuera de la hora y despus de cada reinicio. Logcheck soporta tres niveles de filtrado: "Paranoid" es de alta mquinas de seguridad se ejecuta como los servicios posibles. No utilice si usted no puede manejar sus mensajes detallados. "Servidor" es el valor predeterminado y contiene normas para muchos demonios diferentes. "Estacin de trabajo" es para shell- mquinas registradas y filtros mayora de los mensajes. El caso omiso de las normas de trabajo en forma aditiva. "Paranoid" reglas tambin estn incluidos en el mbito "Servidor" y "estacin de trabajo". Los mensajes reportados se clasifican en tres niveles, los eventos del sistema, los eventos de seguridad y alertas de ataque. El nivel de detalle de los eventos del sistema es controlado por el cual el nivel que elija, servidor de paranoico, o estacin de trabajo. Sin embargo, los eventos de seguridad y alertas de ataque no se ven afectados por esto.

EJEMPLOS logcheck se pueden invocar directamente gracias a su (8) o sudo (8) , que cambiar el ID de usuario. El ejemplo siguiente comprueba los archivos de registro, sin la actualizacin de la compensacin y saca todo a STDOUT. Sudo-u logcheck logcheck-o-t OPCIONES Un resumen de las opciones se incluye a continuacin. C-CFG hacer caso omiso de archivo de configuracin por defecto. D-El modo de depuracin. H Mostrar informacin de uso. -H Usar esta cadena el nombre de host en el asunto del correo logcheck. -L registro de ejecucin de archivo de registro a travs logcheck. L-CFG hacer caso omiso de la lista por defecto los archivos de registro. M informe de correo al destinatario. -O el modo STDOUT, no enviar el correo. P-Establecer el nivel de informe a la "paranoia". DIR-r omiso de directorio por defecto de normas. -R aade "Reboot" a la lnea de asunto del correo electrnico. -S Ajuste el nivel de informe al "servidor". S-DIR hacer caso omiso de directorio por defecto del estado. -T modo de pruebas no se actualiza offset. T-No extraiga la TMPDIR. -U Enable syslog-resumen. -V versin de impresin actual. -W Ajuste el nivel de informe a la "estacin de trabajo".

ARCHIVOS / Etc / logcheck / logcheck.conf es el archivo de configuracin principal. / Etc / logcheck / logcheck.logfiles es la lista de archivos para controlar. / Usr / share / doc / logcheck-database / README.logcheck-database.gz en busca de pistas sobre la forma de escribir, probar y mantener las reglas. 0 en el xito, un caso de fallo Logcheck no es un programa reciente --la ltima revisin es de 1997. Sin embargo, su filosofa bsica lo hacen an vlido y muy til, y probablemente no han aparecido nuevas versiones pues no hay nada que agregar, y siendo un programa tan simple, ninguna vulnerabilidad ha sido encontrada desde entonces.

NGREP
DESCRIPCIN Ngrep es una impresionante herramienta para analizar y filtrar el trfico de red a nivel de red, se esfuerza en proporcionar la mayor parte de las caractersticas comunes de grep de GNU, aplicndolas a la capa de red. Ngrep es una herramienta de cap-consciente de que se le permiten especificar expresiones regulares extendidas para coincidir con cargas de datos de paquetes. Actualmente reconoce TCP, UDP e ICMP a travs de Ethernet, PPP, SLIP, FDDI e interfaces nulos, y entiende la lgica bpf filtro en la misma forma de paquetes ms comunes oler herramientas, tales como tcpdump y snoop. Para un administrador de la red familiar con coincidencia de patrones con grep, ngrep requiere un mnimo de entrenamiento. Este software es muy bueno porque permite una lectura fcil, ya que combina la potencia de grep con una herramienta de depuracin de la red. OPCIONES -H Muestra la ayuda / informacin de uso. -X Tratar la expresin de coincidencia como una cadena hexadecimal. -V Muestra informacin de versin. -I Ignora caso de la expresin de expresiones regulares. -W coincide con la expresin regex como una palabra. -Q Cllate, no muestra ningn otro tipo de informacin que cabeceras de los paquetes y sus cargas tiles (si procede).

-P No poner la interfaz en modo promiscuo. -E Muestra los paquetes vacos. Normalmente, los paquetes vacos son descartados porque no tienen capacidad de carga para la bsqueda. Si los paquetes especficos, vacos se mostrar, consideran menos de la expresin regex especificado. -V Invierte el partido, slo los paquetes de visualizacin que no igualar. HH: MM: cada vez que SS.UUUUUU un paquete coincide. -T Imprimir una marca de tiempo en forma de + S.UUUUUU, indicando cando el delta entre los partidos de paquetes. -S snaplen Ajuste el Caplen bpf de snaplen (por defecto 65536). -I pcap_dump Entrada pcap_dump archivo en ngrep. Funciona con cualquier PCAP compatible con el formato de archivo de volcado. Esta opcin es til para la bsqueda de una amplia gama de diferentes patrones sobre el mismo flujo de paquetes. -O pcap_dump Coinciden los paquetes de salida a un vertedero pcap compatible archivo. Esta funcin no interfiera con la normal, en la consola. -N nmero Coincidir slo num total de paquetes, y luego salir. D-dev ngrep Por defecto se selecciona un interfaz por defecto de escuchar. Utilice esta opcin para forzar ngrep de lis diez en la interfaz dev . -A num volcado num paquetes de contexto posterior despus de contrastar laun paquete. Coincida con la expresin Una expresin es o bien un partido regular extendidaexpresin, o si el -X se especifica la opcin, una cadena de lo que significa un valor hexadecimal. Una prolongada expresin regular se ajusta a las normas tal como se aplicanpor la GNU regex biblioteca. Expresiones hexadecimales. bpf filtro: Selecciona un filtro que especifica qu paquetes se objeto de dumping. Si no bpf filtro se da, todo paquete IP ETS se ven en la interfaz seleccionada ser objeto de dumping. De lo contrario, solamente los paquetes para que bpf filtro es Verdad 'ser objeto de dumping. Dst `net 1.2.3 ',' src o dst puerto de ftp-data". Si no hay calificativo directorio, src o dst se supone. Para `capas de enlace de los nulos (es decir, un punto a otro protocols, tales como deslizamiento) de la entrada y salida cali Fiers se puede utilizar para especificar una direccin deseada.

Adems de lo anterior, hay algunos especial `Primi TIVOS palabras clave "que no siguen el patrn: puerta de entrada , de difusin , menos , mayor y de las expresiones aritmticas. Todo de stos se describen a continuacin.

Las expresiones de filtro ms complejos se construyen mediante el uso de la las palabras y , la o y no para combinar primitivas. Por ejemplo, `anfitrin blort y no el puerto ftp y no el puerto "ftp-data. Para guardar mecanografa, listas idnticas de clasificacin puede ser omitida. Por ejemplo, `Tcp dst puerto de FTP o de datos o el dominio 'es exactamente la lo mismo que `tcp dst puerto de FTP o el puerto tcp dst ftp-data o TCP dst puerto de dominio '.

Primitivas permitidas son las siguientes:

dst host de acogida True si el campo IP de destino del paquete es anfitrin , que puede ser o bien una direccin o un nombre.

src acogida de acogida True si el campo IP de origen del paquete es de acogida .

de acogida de acogida Verdadero si bien la IP de origen o de destino de la

paquete es de acogida . Cualquiera de las expresiones de lenguaje por encima de pueden ser precedidas por las palabras clave, ip , la ARP o RARP como por ejemplo: ip de acogida de acogida que es equivalente a:

ter dst ehost True si la direccin de destino Ethernet se ehost . pero ni la IP de origen ni el destino de IP fue acogida . Host debe ser un nombre, y se debe encontrar en ambos / etc / hosts y / etc / ethers. (Un equivalente expresin es ter de acogida ehost y no de acogida de acogida que puede utilizarse con cualquiera de los nombres o nmeros para acogida / ehost .)

dst neta neta True si la direccin IP de destino del paquete tiene un nmero de red de red . neto puede ser o bien un nombre del / etc / networks o un nmero de red (ver redes (4) para ms detalles).

src neta neta True si la direccin IP de origen del paquete tiene un

red nmero de red .

neta neta Verdadero si bien la IP de origen o destino del paquete tiene un nmero de red de red .

neta neta mscara de la mscara de Verdad si la direccin IP coincide neta con el SPE mscara de red especficos. Puede ser calificado con src o dst .

neta neta / len Verdad si la direccin IP coincide con red de una mscara de red len bits de ancho. Puede ser calificado con src o dst .

dst puerto de puerto de Cierto si el paquete es IP / TCP o IP / UDP y tiene una destino de valor del puerto del puerto . El puerto puede ser un nmero o un nombre que se usa en / etc / services (ver TCP (4P) y UDP (4P) ). Si se utiliza un nombre, tanto el puerto el nmero y el protocolo se comprueban. Si un nmero o nombre ambiguo se utiliza, slo el nmero de puerto es comprobar (por ejemplo, imprimir tanto horario de verano el puerto 513 se

TCP / login trfico y el trfico UDP / OMS, y el puerto de dominio se imprimir tanto en TCP / UDP de dominio y / dominio

trfico).

src puerto de puerto de Verdad si el paquete tiene un valor de puerto de origen el puerto .

len <= longitud .

una mayor duracin de Cierto si el paquete tiene una longitud mayor que o igual a la longitud . Esto es equivalente a: len > = longitud .

ip proto protocolo de Verdad si el paquete es un paquete IP (ver IP (4P) ) de tipo de protocolo protocolo . Protocolo puede ser un nmero o uno de los nombres de tcp , udp o icmp . Ntese que identificadores del TCP y UDP son tambin las palabras clave y debe ser filtrado a travs de la barra invertida (\), que es \ \ en el el. C-shell

IP de difusin Cierto si el paquete es un paquete de difusin IP. Lo controles tanto para los ceros todo, y todos los seres de amplios emitir las convenciones, y mira hacia arriba de la subred local mscara.