SNEZ una interface gráfica web para Snort.

Hola de nuevo a todos.  Después de un tiempo sin escribir por fin me animo a crear nuevos artículos.
Relacionado con Snort y herramientas de análisis de alertas, centros IDS/IPS, etc ya hemos visto aquí otras otras soluciones similares como Snorby, EASY IDS, Security Onion, SIEM Prelude IDS/IPS, Smooth-Sec, Suricata, IDS Policy Manager, etc, etc.
En esta ocasión vamos a hablar de SNEZ. Se trata de una GUI o interface gráfica web basada en PHP/mysql para gestión y análisis de alertas Snort. La gran ventaja de SNEZ es su facilidad de instalación y configuración.
Al lío.

Seguir leyendo

Publicado en Seguridad y redes, Snort | 3 comentarios

Representación gráfica Apache access.log con apache2dot y Graphviz

Hemos visto muchas formas de representar el tráfico de red, alertas Snort, scan nmap, etc, de forma gráfica usando AfterGlow y Graphviz (dot, neato, circo, etc).
En esta ocasión vamos a parsear un fichero access.log de Apache para convertirlo en un fichero .dot y crear una gráfica a partir de éste.

Seguir leyendo

Publicado en AfterGlow., Interpretación capturas tráfico red. pcap, Seguridad y redes, Visualización Gráfica Tráfico red. | 5 comentarios

Visualización gráfica datos GeoIP con Argus, ra y Afterglow.

Ya vimos sobre Geolocalización GeoIP con Argus Auditing Network Activity la forma de mostrar este tipo de datos. También las muchas formas que tenemos de mostrar cualquier tipo de dato Argus de forma gráfica usando AfterGlow.

En esta ocasión vamos a mostrar gráficas Argus /Afterglow con datos GeoIP.

Seguir leyendo

Publicado en AfterGlow., Argus, Seguridad y redes, Visualización Gráfica Tráfico red. | 2 comentarios

Visualización interactiva de tráfico de red con INAV.

Seguimos con la serie dedicada a Visualización gráfica de tráfico de red. En esta serie hemos visto InetVis , InetVis para detección de escan de puertos (representación tridimiensional de tráfico de red), NetGrok, Representación gráfica de tráfico de red con Argus Xplot /Jplot, Afterglow, TNV, etc, e icluso geolocalización con Snort / snoge, geolocalización con prelude correlator, Xplico, …

En esta ocasión vamos a ver una herramienta de visualización interactiva, en tiempo real, con una arquitectura cliente-servidor. Se trata de INAV (Interactive Network Active-Traffic Visualization). Seguir leyendo

Publicado en INAV, Seguridad y redes, Visualización Gráfica Tráfico red. | Deja un comentario

Análisis de tráfico de red de sesiones TCP con Streams.

Hemos vistos diversas herramientas de análisis de tráfico de red. Hemos estudiados estas herramientas de forma onffline a través de ficheros de captura de red .pcap, online o en tiempo real y, además, hemos visto herramientas de análisis de forma visual.

En esta ocasión vamos a ver una herramienta para el análisis de flujos TCP. Se trata de Streams, una herramienta desarrollada por Tillmann Werner que procesa y analiza los streams TCP a partir de ficheros .pcap. Se basa en línea de comandos para el proceso, filtrado, etc datos de las sesiones.

Veremos brévemete su uso a través del análisis de un fichero .pcap.

Seguir leyendo

Publicado en Herramientas, Interpretación capturas tráfico red. pcap, Seguridad y redes | 1 Comentario

Analizando capturas .pcap TCP con tcptrace. Generación de gráficas con Xplot. Parte 4. Avanzando.

Seguimos avanzando con la Serie de artículos dedicada a Tcptrace.

En esta ocasión vamos a ver el uso de tcptrace en tiempo real o real-time, el módulo slice, módulo http y sus gráficas.

Seguir leyendo

Publicado en Interpretación capturas tráfico red. pcap, Seguridad y redes, tcptrace | Deja un comentario

Modificando ficheros de tráfico de red .pcap con Bittwiste.

Entre las muchas herramientas de que disponemos para el tratamiento de ficheros .pcap, hay una que nos permite la edición de campos de las cabeceras IP, ARP, ICMP, TCP y UDP. Se trata de Bittwiste.

Las motivaciones pueden ser variadas, por ejemplo la ocultación de direcciones reales IP por otras ficticias, ocultación de direcciones MAC, etc.

Vamos a ver com usar esta heramienta. Aunque existe tanto para GNU/Linux como para Windows, en esta ocasión lo veremos en Windows.

Seguir leyendo

Publicado en Esas pequeñas utilidades, Interpretación capturas tráfico red. pcap, Seguridad y redes | Deja un comentario

Snort. Geolocalización GeoIP de alertas con Snort, snoge y Google Earth.

Sobre Geolocalización IP usando GeoIP y tomando como fuente de datos archivos .pcap, hemos visto ya como hacerlo con Wireshark, Tshark, Xplico, Prelude correlator, Argus (Auditing Network Activity),

snoge snort resultado alertas snort google earth

En esta ocasión vamos a generar un archivo .klm con información de geolocalización IP de las alertas de Snort para visualizar con Google Earth.

Seguir leyendo

Publicado en Seguridad y redes, Snort, Visualización Gráfica Tráfico red. | 3 comentarios

Argus. Auditando el tráfico de red. Parte 6. Argus y Geolocalización con GeoIP.

Seguimos con la serie dedidada a Argus (Auditing Network Activity). Hemos visto su instalación, uso básico y avanzado, gráficas, auditoría remota, generación de gráficas con Ragraph y Afterglow. Las diversas herramientas que componen la suite como ra, racluster, rasort, argus, etc, etc.

En esta ocasión vamos a usar ralabel y ra para extraer y mostrar datos de Geolocalización mediante GeoIP.

(actualizado 30-11-2112)

Seguir leyendo

Publicado en Actualizaciones de Artículos, Argus, Seguridad y redes | 2 comentarios

Análisis de tráfico de red usando Xplico en modo consola.

Ya hemos visto aquí varios artículos de Xplico, basados siempre en una la interface visual. Recordad que decíamos:

En ocasiones, para interpretar nuestras capturas .pcap realizadas en Tshark, Wireshark, Windump, TCPDump, etc, disponemos de poco tiempo o, simplemente, queremos tener los datos interpretados de una forma sencilla y muy visual. Para ello disponemos de una herramienta de muy facil uso que es Xplico (GNU/GPL). Con Xplico podemos abrir un archivo .pcap o realizar una captura in-situ (live), al momento y después “destripar” y analizar los datos. También es usado para análisis forense.”

Vimos como instalarlo, uso y algunos ejemplo. También vimos com Geolocalizar con Xplico y Google Earth.

Pues bien, en esta ocasión vamos a instalar y usar Xplico en modo consola.

Seguir leyendo

Publicado en Interpretación capturas tráfico red. pcap, Seguridad y redes, Xplico | 3 comentarios

He publicado en Daboweb.com: Análisis de capturas de red con CACE Pilot Personal Edition.

Hemos visto, a lo largo de varios artículos, como analizar captura de red a través de ficheros en formato .pcap o  de una interface de red. Las opciones y herramientas de análisis para esta herramientas son muchas, sin embargo, en ocasiones es necesario un conocimiento medio o avanzado para análisis más complejos o simplemente para usar algunos filtros, gráficas, información estadística, etc.

Hoy vamos a ver una herramienta que facilitará mucho las operaciones más complejas, incluso las más usuales de forma, si cabe, más visual e intuitiva, proporcionando una forma más eficaz para detectar problemas en una red.   Se trata de CACE Pilot, de Riverbed Technology.

El artículo publicado en Daboweb.com completo aquí:

Análisis de capturas de red con CACE Pilot Personal Edition.

Publicado en Seguridad y redes | 4 comentarios