OBJETIVOS
ConoceralgunasherramientasparadetectarproblemasenLinux.
Conoceralgunasherramientasparasolucionarproblemas.
Conoceralgunoscomandosimportantesparaladeteccinysolucindeproblemas.
HERRAMIENTASPARALADETECCINYSOLUCINDEPROBLEMAS
HERRAMIENTASDEDEBIAN
Debianpresentaalgunascaractersticassustancialesimportantes:
1.Carecedefinescomercialesynoobedeceaurgenciasmercantiles.
2.Tieneunbuenseguimientodeerrores,problemassonarregladosenmenosde48horas.
3.Desdeelprincipiosuprincipalprioridadesdesarrollarunsistemaoperativocompletoyconfiable.
4.Esdesarrolladoporvoluntariosentodoelmundo.
Cadanuevaversinsoportanuevasarquitecturasdehardware,actualmenteestnsoportadas:Alpha,ARM,HPPARISC,Intel
x86,IntelIA64,Motorola680x0,MIPS,MIPS(DEC),PowerPC,IBMS/390,SparcyestnporsoportarSunUltraSparcy
SuperHdeHitachisiendoelsistemaLinuxquemsarquitecturassoporta.
DentrodelospaquetesexistentesenDebiantenemosvariasherramientasparaladeteccindeintrusionesentiemporealque
detectancomportamientoshostilesenunaconexin,sesuelenclasificarde2tipos,losquemonitoreanintentosdeataquea
todaunaredolosquesolomonitoreanlasactividadesdeunhostdeterminado.
HERRAMIENTASDEHOST
LaherramientaPortSentryseutilizaparadetectarescaneodepuertos,TripWireparadetectarmodificacionesalosarchivosde
sistemayLogSentryparaelanlisisdebitcorassiendoelprimeroyelltimopartedelasuitedeherramientasllamada
TriSentrydePsionicTechnologies.
DETECCINDEESCANEODEPUERTOS
ElsistemaPortSentryvigilalospuertosdelsistemayejecutaunaaccin(generalmenteunbloqueo)encasodedetectarun
intentodeconexinaunpuertoquenosequieraseaescuchado.Supginaprincipalseencuentraen
http://www.psionic.com/products/portsentry.htmlyestdisponibleparasistemasSolaris,BSD,AIX,SCO,DigitalUnix,HPUX
yLinux.EnDebianpuedeinstalarsetecleandolainstruccin:
aptgetinstallportsentry
Sepuedenespecificardiferentesnivelesdeactividad,elmodoclsico,stealthyavanzado,todalaconfiguracinseencuentra
enelarchivo/usr/local/psionic/portsentry/portsentry.conf
ANLISISDEINTEGRIDAD
ElsistemaTripWirepermitemonitorearlaintegridaddelosarchivosdelsistema,supginaprincipalseencuentraen
http://www.tripwire.org/yestdisponibleparaelsistemaoperativoLinuxydemaneracomercialparaWindowsNT,Solaris,AIX
yHPUX.EnDebianpuedeinstalarsetecleandolainstruccin:aptgetinstalltripwire
Seutilizandosclavesparaalmacenarlainformacin,laprimera"sitekey"seutilizaparacifrarlosarchivosdepolticasy
configuracin,la"localkey"seutilizaparacifrarlainformacinquemuestraelestadodelosarchivosquesonmonitoreados.
Laconfiguracinserealizademanerasencillaenelarchivo/etc/tripwrie/twpol.txtyunavezmodificadose"instala"
tecleandolainstruccin:twadminmP/etc/tripwire/twpol.txt
Paragenerarlabasededatosinicialconelestadoactualdelosarchivosejecutamoslainstruccin:
tripwiremi2
Paraverificarlaintegridaddelsistemadearchivosejecutamoslainstruccin:
tripwiremc
Elarchivodeconfiguracinpuedeserborradoparaqueunposibleintrusonopuedaverculesarchivossonrevisadospor
loqueejecutamoslasiguienteinstruccin:
rm/etc/tripwire/twcfg.txt/etc/tripwire/twpol.txt
Paracrearlosencasodesernecesariotecleamoslainstruccin:
twadminmp>/etc/tripwire/twpol1.txttwadminmf>/etc/tripwire/twcfg.txt
ANLISISDEBITCORAS
ElsistemaLogCheckformapartedeLogSentry,nospermitehacerunarevisindebitcorasdemaneramsefectivapues
clasificaygenerareportesdelasactividadesyerroresquerealmentesedebenconsultar.Lohaceen4niveles:ignorar,
actividadnousual,violacindeseguridadyataque.EnDebianpuedeinstalarsetecleandolainstruccin:
aptgetinstalllogcheck
Instalaelprogramalogtailen/usr/local/binparamantenerunregistrodequelogsyahansidoanalizados,tambininstalalos
siguientesarchivos:
HERRAMIENTASDERED
UtilizamoslaherramientaSnortpararegistrarlosintentosdeataqueanuestrared.Supginaprincipalseencuentraen
http://www.snort.org/yestdisponibleparaBSD,Solaris,AIX,Irix,Windows,MacOSyLinux.EnDebianpuedeinstalarse
tecleandolainstruccin:
aptgetinstallsnort
Funcionaentresmodos,comosniffer,packetloggerycomodetectordeintrusos.Tienelossiguientesparmetros:
ldirectorioIndicamoseldirectoriodondesealmacenarnlosarchivos.
hIPEspecificamoselIPdenuestraredquequeramosmonitorear.
bCapturatodoslospaquetesenformabinaria.
rarchivo
MODOSNIFFERYPACKETLOGGERDESNORT.
Enmodosnifferleetodoslospaquetesquepasanporlaredylosmuestraenconsola,enmodopacketloggerenvalosdatos
aunarchivodentrodeundirectorio.
SnortvMuestraelIPylascabeceras.
SnortdvTambinmuestralosdatosquepasan.
SnortdevDemaneramsdetallada.
MODODETECCINDEINTRUSOSDESNORT.
Enestemodonosinformardeescaneosdepuertos,ataquesdedenegacindeservicio,ejecucindeexploits,etc.
Basndoseenreglasespecificadasenelarchivo/usr/local/share/snortestasreglaspuedenserdescargadasdelapgina
principalysonactualizadasdelservidorcadahoraaproximadamente.
Suconfiguracinestansencillacomomodificarelarchivosnort.confdondeespecificamoslosdetallesdenuestraredy
directoriosdetrabajo,semodificsolamentelaIP:
varHOME_NETIP
Paraejecutarsnorttecleamoslainstruccin:
snortcsnort.conf
Losarchivosderegistrosealmacenanen/var/log/snortdondepodemosverlasIPsatacantes.Porsupuesto,estaesuna
revisinbsicadeloquepodemoshacerconSnort,terecomiendoquerevisesmsdocumentacin,yaqueesuna
herramientaexcelenteque,porcierto,hasidocomparadaporrevistasygruposdeseguridadrecomendndolacomolamejor
herramientadedeteccindeintrusosparacualquierplataformaUnixyWindows.
ExistesoportecomercialporempresascomoSiliconDefenseySourceFireascomointerfacesgrficasqueempiezana
surgirparaunamejorymsestticapresentacinderesultados.Enalgunasocasionessurgenemergenciasquenofueron
contempladasconanterioridadytienenqueresolversedemanerainmediata.Estosproblemasgeneralmentesonocasionados
porpersonasmalintencionadasointrusosqueintentanaccederporalgnmotivoanuestrosservidores,desderobaroalterar
nuestrainformacinhastaatacaraotrosequiposdesdeelnuestro,desdeinstalarunprogramasnifferoalgnrootkit.
OTRASHERRAMIENTASTILES
DETECCINDESNIFFERS.
Unsnifferesunaherramientaqueponeenmodopromiscuonuestrainterfazderedconlaintencindecapturartodoeltrfico
quepasaporlared,elcomandoifconfignosmuestrainformacincompletasobrenuestrainterfaz:
>Perosielcomandoifconfigfuesustituidooelsnifferseencuentrasituadoenotramquinadelaredesnecesariomonitorear
lasconexionesalexterior,porejemplo,elenvodeemailacuentasextraasodetectarlogsdelsniffer.Existeuna
herramientallamadanepedcreadaporungrupodehackersespaoleslacualnosinformasobrelasinterfacesderedquese
encuentranenmodopromiscuodentrodenuestrared.
Alejecutarelprogramaobtendremosunresultadosimilaralosiguiente:
AlenviarunpaqueteIPdesde191.168.0.1hacia192.168.0.2necesitamosconocersudireccinMAC,paraestoseenvaun
paquetebroadcastatodalaredpreguntandoladireccinMACdelIPespecificado,todoslosequiposdelaredescuchanla
peticinperosolorespondeelhostdestino.
EnestecasonepedrealizaunapeticinparacadaIPasignadaenlaredperonobroadcastsinoaunadireccinIPinexistente.
Sololoshostsconsuinterfazenmodopromiscuocontestarnestapeticin,puessonlasnicascapacesdeveresos
paquetes.
Esteprogramaloconocporunartculodedeteccindeespasqueencontrporlaredeincluaunejemplosimilaraeste,si
alguiensabeelsitioenInternetdondeseencuentraelartculoenvemeladireccinporcorreoelectrnicoporquelaperd:)
Lea,analiceyrespondaverdaderoofalso,segncorresponda
1.NagiosestlicenciadobajolaGNUGeneralPublicLicenseVersion2publicadapor
laFreeSoftwareFundation.
Verdadero Falso
2.UtilizamoslaherramientaCactipararegistrarlosintentosdeataqueanuestrared.
Verdadero Falso
Revisar Limpiar
DOCUMENTOSDECONSULTA
ConfiguracindesistemasLinux.DanielL.Morrill,Ed.AnayaMultimedia,2002,ISBN:8441514658.
SitiosWebbajoLinuxconCDROM:UsuariosExpertos.HctorFacundoArena,MPEdiciones,2001,ISBN:9875260746.
LaBibliadeAdministracindeSistemasLinux.DeeAnnLeblanc,col.LaBibliade,Ed.AnayaMultimedia,2001,ISBN:
8441511268.
GuaAvanzadaFirewallsLinux.RobertZiegleryJosIgnacioSnchez,PrenticeHallPTR,1.edicin,2001,ISBN:
8420529494.
AprendaRedHatLinuxVisualmente(SerieTridimensional).RuthMaran,STEditorial,2001,ISBN:9968370339.
DeWindowsaLinuxParaDistribucionesRedHat.MichelMartin,Marcombo,2001,ISBN:8426713068.
Linuxaldaenunahora.SusanaGalnyLinoFloriano,Coleccinaldaenunahora,EditorialAnayaMultimedia,ISBN:
8441500657.
Linux.Guadereferenciayaprendizaje.MattWelsh,MatthiasKalleDalheimeryLarKaufman,col.O'Reilly,Ed.Anaya
Multimedia,2000,ISBN:8441510717.
LinuxFcil:ManualconCDROM.HctorFacundoArena,MPEdiciones,2000,ISBN:9875260436.
LinuxGuadelAdministradorconCDROM.HctorFacundoArena,MPEdiciones,2000,ISBN:9875260355.