Repositorio de artículos própios y artículos mios publicados en otros medios.
Seguridad y Redes. Snort, Wireshark. Análisis tráfico de redes y forense, IDS, Windump, Antisniffers… Página personal de Alfon.-
- LICENCIA CONTENIDOS: Atribución-No Comercial-Sin Derivadas 3.0 Unported
ALGUNAS REFERENCIAS:
Seguridad y Redes figura desde hace unos años en el directorio DMOZ/Google. Top/World/Español/Computadoras/Seguridad/
Seguridad y Redes aparece también en el documento Análisis de tráfico con Wireshark de INTECO Instituto Nacional de Tecnologías de la Comunicación - Plan Avanza2 y Ministerio de Industria turismo y Comercio. http://cert.inteco.es
Seguridad y Redes aparece también en el libro El Atacante Informático Cp-2 de la empresa especializada en networking y computo forense www.itforensic-la.com
MATY: FILTRADO Y BLOQUEO DE PUBLICIDAD (ACTUALIZADO 08-02-2011):>>> Filtrado y Bloqueo de Publicidad <<<
- abp.mozilla-hispano.org/.../filtros.txt 08.02.2011
- Filtrado-Gecko-FKM.zip 08.02.2011
Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark.
A lo largos de todos estas años, desde el blog, hemos estudiado las muchas formas que tenemos de usar Tshark. Hemos visto artículos sobre Geolocalización GeoIP mediante Column format/proto.colinfo, análisis de eventos SMB/CIFS – Netbios, captura remota de paquetes, personalización Column format mediante %Cus y tcp.stream, filtrado frame/frame.protocols, estadísticas COUNT, SUM, MIN, MAX, AVG, filtros XML/RSS y estádisticas, filtros HTTP, detección de problemas en la red, análisis de correo SMTP, detección borrado ficheros de nuestra red, filtros y estádisticas, etc, etc.
En esta ocasión vamos a realizar un Follow TCP Stream pero no desde Wireshark, que sería lo normal, lo haremos desde Tshark mediante línea de comandos.
Tcpick. Capturando y visualizando impresiones en red con -wR desde fichero .pcap.
Ya vimos en su momento que la herramienta Tcpick realiza el seguimiento de flujos TCP, los ordena y reensambla, mostrando información de estados de conexión, información de payload o carga últil, datos de conexiones FTP, HTTP, download de archivos involucrados en una captura, etc. Subrayo lo de mostrar información de payload o carga últil porque, en esta ocasión, vamos a usar esta característica de Tcpick para visualizar información de archivos de impresiones en red.
PRADS. Passive Real-time Asset Detection System.
Para la detección de sistema operativo basado en OS fingerprinting exite diversas herramientas y técnicas, pueden ser también herramientas de análisis pasivo o activo, etc. Tenemos por ejemplo p0f y QuesSO (implementadas en herramientas como scapy), Satori, etc. NetworkMiner también lo hace.
En esta ocasión vamos a instalar y ver el funcionamiento de PRADS (Passive Real-time Asset Detection System), una herramienta perl para la detección de sistema operativo en tiempo real.
Publicado en Seguridad y redes
1 comentario
Suricata IDS/IPS 1.4b1 Instalación y configuración en Ubuntu mediante PPA. Custom HTTP logging.
Inicio este nuevo año “escolar” con un nuevo artículo sobre Suricata IDS/IPS. En esta ocasión vamos a instalarlo en Ubuntu 12.04 mediante PPA (Personal Package Archives), veremos nuevas características y aprovecharemos para avanzar un poco más (Custom HTTP Logging).
Publicado en Seguridad y redes, Suricata
Etiquetado suricata ids deteccion-intrusos
Dejar un comentario
Gulp y los mecanismos de rendimiento en herramientas de captura de red .pcap.
Hace algún tiempo, en twitter, escribí sobre los mecanismos que algunas herramientas como Bro IDS, Suricata IDS/IPS, netsniff-ng, Snort, Vortex IDS, etc, implementan para evitar pérdida de paquetes y aumentar el rendimiento, muy importante en redes de más de 1Gbit y mucho tráfico. En este artículo pongo en orden estos tips sobre rendimiento y avanzaremos un poco más.
En esta ocasión, además, instalaremos y podremos en prueba la herramienta Gulp para mejorar el rendimiento de tcpdump, tshark, etc.
Al lío……
Tcpick un sniffer que realiza seguimiento y reensamblado de flujos tcp. Mostrando datos payload.
Hemos visto muchas herramientas .pcap que realizan la tarea de gestionar y mostrar información .pcap o live-capture de múltiples maneras, cada una con sus características que las diferencia de las demás. De esta forma hemos visto justniffer, netsniff-ng, assniffer, Argus, Vortex, Tshark, windump, tcptrace, Xplico CLI, tcpxtract, scapy, etc, etc.
En esta ocasión vamos a ver la herramienta .pcap tcpick. Tcpick realiza el seguimiento de flujos TCP, los ordena y reensambla, mostrando información de estados de conexión, información de payload o carga últil, datos de conexiones FTP, HTTP, download de archivos involucrados en una captura, etc. Se trata de una herramienta ya algo antigua (2005) pero totalmente usable.
Suricata IDS/IPS 1.2.1 Extracción de ficheros de sesiones HTTP tráfico de red.
Ya hemos visto en artículos anteriores como instalar, configurar, incluso añadir un sensor suricata a un SIEM Prelude. Esto lo hicimos con la versión 1.0.2 de Suricata.
En esta ocasión instalaremos y configuraremos la versión 1.2.1 de Suricata pero, además, añadiremos la funcionalidad de extracción de ficheros de sesiones HTTP.
Ya hemos hablado en varias ocasiones de la forma que tenemos de extraer ficheros de datos Binarios / Objetos HTTP a partir de una captura de tráfico de red, e incluso la forma de extraer fichero de impresión en red. También la forma de hacerlo con Tcpxtract, Justniffer, Assniffer, con Xplico, etc.
Al lio..
Bro–IDS. Un sistema de detección de intrusiones basado en políticas especializadas. Parte 4. Bro 2.0.
Seguimos avanzando en la serie dedicada a Bro-IDS. En el anterior artículo vimos como instalar el nuevo Bro 2.0, vimos alguans novedades y avanzamos en el uso de Bro 2.0 con herramientas como awk, bro-cut, y vimos distintas formas de extraer información de los logs.
En esta ocasión seguimos avanzando y veremos también como redefinir variables de scripts, gráficas de tráfico de red desde los logs de Bro-IDS, estádisticas, objetos HTTP, uso de Bro Control, Capstats, etc. Vamos a ello…
Bro–IDS. Un sistema de detección de intrusiones basado en políticas especializadas. Parte 3. Bro 2.0.
Ya vimos en la primera parte dedicada a Bro-IDS su instalación, configuración y uso básico (Bro – IDS. Un sistema de detección de intrusiones basado en políticas especializadas.). Más adelante, en la segunda parte (Bro – IDS. Un sistema de detección de intrusiones basado en políticas especializadas. Parte 2) vimos algunos ejemplos de uso e interpretación de logs, estados de conexión, generación de estadísticas de tráfico, detección de scan de puertos, etc.
En esta ocasión vamos a instalar Bro-IDS 2.1, analizaremos algunas novedades y avanzaremos en el uso de este IDS.
(Actualizado 19-12-2012 para instalar y usar Bro-IDS 2.1)
Dedicado a mi amigo @daboblog
STOP SOPA ¿Imaginas un mundo sin conocimiento libre..?
Contra la Ley #SOPA y en defensa de nuestros Derechos y Libertades Civiles
“¿Imaginas un mundo sin conocimiento libre..?”
Publicado en Seguridad y redes
1 comentario
