Tcpick un sniffer que realiza seguimiento y reensamblado de flujos tcp. Mostrando datos payload.

Hemos visto muchas herramientas .pcap que realizan la tarea de gestionar y mostrar información .pcap o live-capture de múltiples maneras, cada una con sus características que las  diferencia de las demás. De esta forma hemos visto justniffer, netsniff-ng, assniffer, Argus, Vortex, Tshark, windump, tcptrace, Xplico CLI, tcpxtract, scapy, etc, etc.

En esta ocasión vamos a ver la herramienta .pcap tcpick. Tcpick realiza el seguimiento de flujos TCP, los ordena y reensambla, mostrando información de estados de conexión, información de payload o carga últil, datos de conexiones FTP, HTTP, download de archivos involucrados en una captura, etc. Se trata de una herramienta ya algo antigua (2005) pero totalmente usable.

Seguir leyendo

Publicado en Herramientas, Interpretación capturas tráfico red. pcap, Interpretación capturas tráfico red. pcap, Seguridad y redes | Etiquetado | 7 comentarios

Suricata IDS/IPS 1.2.1 Extracción de ficheros de sesiones HTTP tráfico de red.

Ya hemos visto en artículos anteriores como instalar, configurar, incluso añadir un sensor suricata a un SIEM Prelude. Esto lo hicimos con la versión 1.0.2 de Suricata.
En esta ocasión instalaremos y configuraremos la versión 1.2.1 de Suricata pero, además, añadiremos la funcionalidad de extracción de ficheros de sesiones HTTP.
Ya hemos hablado en varias ocasiones de la forma que tenemos de extraer ficheros de datos Binarios / Objetos HTTP a partir de una captura de tráfico de red, e incluso la forma de extraer fichero de impresión en red. También la forma de hacerlo con Tcpxtract, Justniffer, Assniffer, con Xplico, etc.
Al lio..

Seguir leyendo

Publicado en Interpretación capturas tráfico red. pcap, Interpretación capturas tráfico red. pcap, Seguridad y redes, Suricata | Etiquetado , , , , | 6 comentarios

Bro–IDS. Un sistema de detección de intrusiones basado en políticas especializadas. Parte 4. Bro 2.0.

Seguimos avanzando en la serie dedicada a  Bro-IDS. En el anterior artículo vimos como instalar el nuevo Bro 2.0, vimos alguans novedades y avanzamos en el uso de Bro 2.0 con herramientas como awk, bro-cut, y vimos distintas formas de extraer información de los logs.

En esta ocasión seguimos avanzando y veremos también como redefinir variables de scripts, gráficas de tráfico de red desde los logs de Bro-IDS, estádisticas, objetos HTTP, uso de Bro Control, Capstats, etc. Vamos a ello…

Seguir leyendo

Publicado en Actualizaciones de Artículos, Bro-IDS, Interpretación capturas tráfico red. pcap, Interpretación capturas tráfico red. pcap, Seguridad y redes | Etiquetado | 1 Comentario

Bro–IDS. Un sistema de detección de intrusiones basado en políticas especializadas. Parte 3. Bro 2.0.

Ya vimos en la primera parte dedicada a Bro-IDS su instalación, configuración y uso básico (Bro – IDS. Un sistema de detección de intrusiones basado en políticas especializadas.). Más adelante, en la segunda parte (Bro – IDS. Un sistema de detección de intrusiones basado en políticas especializadas. Parte 2) vimos algunos ejemplos de uso e interpretación de logs, estados de conexión, generación de estadísticas de tráfico, detección de scan de puertos, etc.

Logo broEn esta ocasión vamos a instalar Bro-IDS 2.1, analizaremos algunas novedades y avanzaremos en el uso de este IDS.

(Actualizado 19-12-2012 para instalar y usar Bro-IDS 2.1)
Dedicado a mi amigo @daboblog

Seguir leyendo

Publicado en Bro-IDS, Seguridad y redes | Etiquetado | 4 comentarios

STOP SOPA ¿Imaginas un mundo sin conocimiento libre..?

stop sopa

Contra la Ley #SOPA y en defensa de nuestros Derechos y Libertades Civiles

¿Imaginas un mundo sin conocimiento libre..?

Publicado en Seguridad y redes | 1 Comentario

Vortex IDS. Detección de intrusiones y análisis forense tráfico de red. Parte I

Seguimos estudiando herramientas para la detección de intrusiones, análisis de tráfico de red a partir de ficheros .pcap y análisis forense.

Arquitectura Vortex IDS

En esta ocasión vamos a tratar una herramienta IDS que, a partir de un fichero .pcap , es capaz de reensamblar los flujos TCP para crear una serie de fichero con los datos de la captura para su posterior análisis. Se trata de Vortex IDS. Para analizar los datos podemos usar otras herramientas como grep, sed, awk, cut, etc. Como siempre, mejor lo vemos en la práctica.

Seguir leyendo

Publicado en Herramientas, Interpretación capturas tráfico red. pcap, Seguridad y redes, Vortex IDS | 7 comentarios

Netsniff-ng. Un sniffer diferente de alto rendimiento. Parte I.

Seguimos con un nuevo artículo dedicado a sniffers o capturadores de paquetes tráfico de red.
En esta ocasión una herramienta algo diferente a las demás: netsniff-ng.  Principalmente porque no le hace falta las típicas librerías libpcap, aunque se pueden tratar archivos en formato .pcap, tiene un modo de ejecución de alto rendimiento y la salida tampoco se ajusta a lo visto, por ejemplo, con tshark, windump, TCPDump, argus, bro, etc. Vermos también, a lo largo de otros capítulos, alguans de las herramienta que acompañan.
  • (Actualizado 14/12/2012 para instalación versión 0.5.7)
  • 22-03- 2013 – Disponible ya la Parte 2.
Lo vemos.

Seguir leyendo

Publicado en Interpretación capturas tráfico red. pcap, Interpretación capturas tráfico red. pcap, Seguridad y redes | 5 comentarios

Assniffer. Extracción de tipos MIME / objetos HTTP desde ficheros captura tráfico red.

Ya hemos hablado en varias ocasiones de la forma que tenemos de extraer ficheros de datos Binarios / Objetos HTTP a partir de una captura de tráfico de red, e incluso la forma de extraer fichero de impresión en red. También la forma de hacerlo con Tcpxtract, Justniffer, con Xplico, etc. Mencionar también el artículo de Sergio Hernando “5 métodos para la extracción forense de ficheros en capturas de tráfico de red”  con otras aplicaciones/métodos.
En esta ocasión vamos a ver la herramienta assniffer, un sniffer HTTP para sistemas Windows, que tomando como fuente una interface de red o un fichero de captura tráfico de red en formato .pcap, vuelca toda la información por carpetas según los dominios visitados. Lo vemos.

Seguir leyendo

Publicado en Herramientas, Interpretación capturas tráfico red. pcap, Interpretación capturas tráfico red. pcap, Seguridad y redes | 4 comentarios

Justniffer. Un sniffer que reensambla, reordena y muestras los flujos TCP.

Sobre sniffers, aquí hemos visto muchas y diferentes herramientas. La mayoría de ellas cuyo uso se basa en línea de comandos, con sus ventajas, diferencias y uso específico: tshark, tcpdump/windump, argus, bro-ids, scapy, snort en modo sniffer, etc.
En esta ocasión vamso a ver un sniffer que reensambla, reordena y mustra flujos TCP de forma muy personalizable, con una salida “humanizada” en diferentes tipos de formatos. Realiza también defragmentación e imita en su salida el formato de logs Apache… y muchas cosas más. Se trata de Justniffer. Es ideal para tratar tráfico en servidores web, correo, etc. Lo vamos viendo, de momento, para un uso básico.
(actualizado 18/11/2012)
Al lío..

Seguir leyendo

Publicado en Herramientas, Interpretación capturas tráfico red. pcap, Interpretación capturas tráfico red. pcap, Seguridad y redes | 3 comentarios

glTail.rb. Visualización gráfica en tiempo real de ficheros logs en servidores.

Hemos visto muchas herramientas para visualización gráfica de capturas de red, logs, etc. Tenéis mucha más información y artículos en la serie creada al respecto: Visualización gráfica tráfico de red.
En esta ocasión vamos a estudiar una heramienta desarrollada en ruby que, conectando a un servidor local o remoto mediante SSH, es capaz de mostrar en tiempo real una serie de datos que toma de los ficheros logs. De esta forma es capaz de mostrar datos de logs de herramientas como Apache, Rails, IIS, Postfix/spamd/clamd, Nginx, Squid, PostgreSQL, PureFTPD, MySQL, Tshark, qmail/vmpop3d. Además es capaz de mostrarlos de forma simultánea. Esta herramiente es glTail.rb.
Muestra, en tiempo real, datos como: dirección de orígen/destino, protocolos usados, peticiones por minuto, ancho de banda, etc.

Seguir leyendo

Publicado en Seguridad y redes | 6 comentarios

SNEZ una interface gráfica web para Snort.

Hola de nuevo a todos.  Después de un tiempo sin escribir por fin me animo a crear nuevos artículos.
Relacionado con Snort y herramientas de análisis de alertas, centros IDS/IPS, etc ya hemos visto aquí otras otras soluciones similares como Snorby, EASY IDS, Security Onion, SIEM Prelude IDS/IPS, Smooth-Sec, Suricata, IDS Policy Manager, etc, etc.
En esta ocasión vamos a hablar de SNEZ. Se trata de una GUI o interface gráfica web basada en PHP/mysql para gestión y análisis de alertas Snort. La gran ventaja de SNEZ es su facilidad de instalación y configuración.
Al lío.

Seguir leyendo

Publicado en Seguridad y redes, Snort | 3 comentarios