jueves, 24 de febrero de 2011

Instalar flash en Ubuntu 10.10 para Firefox y Chrome

Para instalar flash para firefox y chrome :

Primero instalamos los complementos restrictivos con apt (para instalar java, flash, etc), después debemos copiar el fichero flash desde,

/var/lib/flashplugin-installer/npwrapper.libflashplayer.so

Al fichero de firefox,

/usr/lib/firefox-3.6.13/plugins/
 

miércoles, 23 de febrero de 2011

Mi primera experiencia con un sniffer. (Parte 2)

Ahora voy a activar el sniffer desde un PC sobremesa conectado directamente al router mediante un cable ethernet.
Los pasos a seguir igual que en el paso 1, activar el reenvío de paquetes y envenenar la tabla ARP.
Activo el sniffer:

#dsniff -i eth0

Desde mi laptop accedo a la pagina de www.msn.es y www.elpais.es.
La salida que me da es la que sigue:

dsniff: listening on eth1

martes, 22 de febrero de 2011

Mi primera experiencia con un sniffer. (Parte 1)

Cuantas veces no habeis tenido algún vecino que os roba internet? Pues con un sniffer podeis ver todo lo que hace y enviarle un mail pidiendo amablemente que deje de robarte, eso le hará pensar. Para esto vamos a usar Dsniff.

Dsniff es un sniffer muy potente. Hoy voy a relatar mi primera experiencia con este sniffer.
Para ello voy a usar una cuenta propia de gmail, mediante el cliente Evolucion, opera para navegar por internet y skype.

lunes, 21 de febrero de 2011

Iptables, --hashlimit

Hashlimit es una opción muy potente de iptables que tiene la capacidad de limitar el número de conexiones entrantes, a un servidor http, ssh, ftp...

Basicamente la estructura para poder usar esta opcion es :


iptables -A INPUT -m hashlimit --hashlimit-upto X/min --hashlimit-burst X --hashlimit-mode srcip --hashlimit-name ssh -p tcp --dport 22 -j ACCEPT

--hashlimit-upto -->  Si el numero de paquetes es igual o inferior a la cantidad indicada, se aplica la regla (ACCEPT en este caso).

--hashlimit-burst --> Máximo numero de paquetes a "machear".

--hashlimit-mode --> Especifica que valor usaremos como valor "hash".

--hashlimit-name --> Nombre para la entrada en /proc/net/ipt_hashlimit/

Técnicas de deteccion de Sniffer en nuestra red.

Interesante articulo que explica las diferentes técnicas de detección de sniffer.


El test DNS En este método, la herramienta de detección en sí misma está en modo promiscuo. Creamos numerosas conexiones TCP falsas en nuestro segmento de red, esperando un sniffer pobremente escrito para atrapar estas conexiones y resolver la dirección IP de los inexistentes hosts. Algunos sniffers realizan búsquedas inversas DNS en los paquetes que capturan. Cuando se realiza una búsqueda inversa DNS, un utilidad de detección de sniffers "huele" la petición de las operaciones de búsqueda para ver si el objetivo es aquel que realiza la petición del host inexistente.

Como proteger mi ordenador para que no se metan en èl desde internet?

Pues la solución es bien sencilla, desconectalo de internet y ya está. Seguro.

;)

Ataques DDOS, como protegernos de estos ataques

Existen multitud de ataques DDoS: Direct Attacks, TTL expiry attack, IP unreachable attack, ICMP transit attacks, Reflection Attacks, etc.
La contención de los mismos resulta muy complicada sobre todo cuando se trata de un gran volumen de tráfico.
Contar con dispositivos que permitan frenar estos ataques resulta costoso, por este motivo contactar con el ISP es la idea más acertada.

Sin embargo, cuando el ataque DDoS no es extremadamente excesivo, una
configuración adecuada del sistema operativo y de los servicios afectados puede
ayudar en gran parte a contrarrestar el ataque. Ejemplo de ello son ciertos parámetros del kernel de Linux que nos permiten modificar el comportamiento de éste bajo ciertas condiciones y que resultarán muy útiles para blindar nuestro servidor en ciertas circunstancias.

domingo, 20 de febrero de 2011

Fichero /etc/services

El fichero /etc/services contiene un listado de todos los puertos (tcp y udp)  y los servicios que corren por ellos según la IANA.

Este fichero es usado por todo programa, que necesite usar internet, para examinar que puerto y protocolo debe usar. Así como outlook buscará el puerto a usar para recibir correos a través de POP (106, 109, 110) o enviar a través de SMTP (25, 465 a través de SSL/TTL).

Si queremos actualizar esta información podemos hacerlo a través de este link:

http://www.freebsd.org/cgi/cvsweb.cgi/~checkout~/src/etc/services?rev=1.113.2.2.2.1;content-type=text%2Fplain

Mas detalles: man services

Iptables, ejemplos (politica DROP)

## Vaciamos las reglas
iptables -F
iptables -X
iptables -t nat -F

## Establecemos predeterminada
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# permitimos el tráfico loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Configuramos el acceso a nuestra IP
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --sport 1:1024 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 1025:65535 ! --syn -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --sport 1:1024 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 0/0 -p tcp --sport 1025:65535 -j ACCEPT

iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT

sábado, 19 de febrero de 2011

ShmooCon 2011: USB Autorun attacks against Linux

Un vídeo explicativo acerca de los Ataques autorun USB:

[Aplicacion] Linux Malware Detect

Linux Malware Detect es una sistema deteccion de intrusiones para linux con licencia GPL v2 que extrae ese malware usado para acceder a nuestro PC con capacidad para crear nuevas firmas de detección.


Esta aplicacion es una buena forma de protegernos frente a amenazas que solo afectan a equipos con Linux.

Dirección de la aplicacion:
http://www.rfxn.com/projects/linux-malware-detect/

Tipos de Virus

Fuente Wikipedia:

EL listado que se muestra a continuacion, es un listado de virus que pueden infectar un PC con Linux como S.O. Aunque el numero de virus es minimo, como se puede ver, si un binario tuviera uno de estos virus el nivel de infección dependería del nivel de privilegios que tuviera el usuario que lo ejecuta :


Malware en Linux a traves de Wine

En ciertas ocasiones un usuario necesita usar alguna aplicación Windows , bien por motivos profesionales o personales, en un PC Linux. Para esto es muy frecuente usar Wine, una aplicacion que te permite ejecutar aplicaciones Windows en Linux.

Ahora bien, un investigador de Mcafee ha descubierto que bajo ciertas circunstancias si se ejecuta una aplicacion windows en linux mediante Wine, dicho equipo Linux podría originar una infección a otros dispositivos o PC, sin que esto le afectara a si mismo.


[PTE DE REVISION] Como detectar escalada de privilegios en Linux

¿Que protección dispone nuestro linux una vez que un  atacante se hace con un usuario no administrador de nuestro PC?

En principio no disponemos mas que de la "Lista de Control de Acceso" propia de nuestro linux. aun asi es bueno disponer de alguna herramienta que nos avise cuando algún binario, demonio, etc intenta ejecutarse en modo root..

Ninja es un programa que nos avisa de cuando algun binario, demonio, etc está intentando ejecutarse con derechos de Root. Ninja, además es capaz de detener este proceso por seguridad.

                                                                                              Fuente: http://www.dragonjar.org


jueves, 17 de febrero de 2011

[Articulo de Cisco] CISCO RESPONSE TO DICTIONARY ATTACKS

CISCO RESPONSE TO DICTIONARY ATTACKS ON CISCO LEAP

OVERVIEW

ISSUE

DEFINING A DICTIONARY ATTACK

Offline Dictionary Attack Against MS-CHAP

DICTIONARY ATTACK MITIGATION

KEEPING YOUR WIRELESS NETWORK SECURE

IMPLEMENTING STRONG PASSWORD POLICIES

CISCO SECURE ACCESS CONTROL SERVER PASSWORD ENFORCEMENT

EAP-FAST IMPLEMENTATION

PEAP IMPLEMENTATION

ADDITIONAL INFORMATION

APPENDIX A: PASSWORD CREATION AND MANAGEMENT INFORMATION

Reviewing The Strength Of User Passwords

LC4

lunes, 14 de febrero de 2011

Sincroniza el reloj del hardware (también llamado reloj de la BIOS y reloj CMOS)

La hora del sistema puede no coincidir con el reloj del hardware. Con el siguiente comando sincronizamos ambos.

sudo hwclock --systohc

Video recomendado de Cisco

Video recomendado de Cisco. Enseña como funciona una red de comunicaciones, como Internet.

[Problema] CE: hpet increased min_delta_ns to 7500 nsec

Wikipedia:

HPET (High Precision Event Timer, anteriormente conocido como Multimedia Timer) es un hardware de tiempo usado en computadoras. Este sistema fue desarrollado por Intel y Microsoft.

Anteriormente los sistemas operativos no usaban el HPET y solo corrían en hardware que contenga que tenia menos tiempos de ejecución.

sábado, 12 de febrero de 2011

Certificaciones Profesionales relacionadas con Linux

Pulsa aqui para ir a la web relacionada con Certificacion Linux LPI

Selinux

1.¿QUE ES, QUIEN LO CREO , ETC... ? .......................................3

2.ARCHIVOS DE CONFIGURCIÓN.................................................4

3. ARRANCANDO SELINUX......................................................8

4. PRIMER ARRANQUE.........................................................9

5. OBTENER EL ESTADO DE SELINUX...........................................10

6. SEMANAGE...............................................................11

7. SELINUX-POLICY-MLS.....................................................13

8. Selinux MCS (Multi-category Security)..................................13

9. PRIMER INICIO AGREGANDO PERMISOS.......................................15

10. FUNCIONANDO CON ARCHIVOS...............................................16

11. Selinux Default en Debian 5.0 y Ubuntu ..............................

12. ALGUNAS PREGUNTAS DE INTERES..........................................16






Fstab

/ ext4 errors=remount-ro 0 1
/home ext4 defaults,noexec,nosuid,nodev 0 2
/tmp ext4 defaults,noexec,nosuid,nodev 0 2
/usr ext4 defaults,ro 0 2
/var ext4 defaults,noexec,nosuid,nodev 0 2
none swap sw 0 0
~

Iptables

#!/bin/sh
# Establecemos politicas por defecto
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
# /sbin/iptables -t nat -P PREROUTING DROP
# /sbin/iptables -t nat -P POSTROUTING DROP
#
# Empezamos a introducir reglas para el trafico entrante.
# Evitamos scanners de puertos limitando los paquetes icmp y flags.
#
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN -m limit --limit 1/sec -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN -j DROP
/sbin/iptables -A INPUT -p icmp -m limit --limit 2/sec -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j DROP
/sbin/iptables -I INPUT -d localhost -j ACCEPT
#
# Reglas que impiden el spoofing.
#