Como ver los logs en linux

Muchas Veces no nos funciona Xorg(o trabajamosos con un Linux sin interfaz grafica) y necesitamos revisar los Logs. La forma mas comun es la siguiente tail /var/log/messages Esto nos traera las ultimas 10 lineas de /var/log/messages.

Si queremos 30 lineas tail -n 30 /var/log/messages Para ver los Logs en "Tiempo Real" escribir(Control+C para salir) tail -t /var/log/messages Otros Logs Importantes /var/log/messages Los logs que llegan con prioridad info(informacin), notice (notificacin) o warn (aviso). /var/log/kern.log aqu se almacenan los logs del kernel, generados por klogd. /var/log/auth.log en este log se registran los login en el sistema, las veces que hacemos su, etc. Los intentos fallidos se registran en lneas con informacin del tipo invalid password o authentication failure. /var/log/dmesg en este archivo se almacena la informacin que genera el kernel durante el arranque del sistema. (tambien se puede ver con el comando dmesg). /var/log/Xorg.0.log aca los mensajes de Xorg(interfaz grafica)

Prueba de penetracin. Es la mejor opcin para evidenciar debilidades y vulnerabilidades de una manera segura. Tambin llamado a veces "hacking tico" es una evaluacin activa de las medidas de seguridad de la informacin. En los entornos de red complejos actuales, la exposicin potencial al riesgo es cada vez mayor y securizar los sistemas se convierten en un autntico reto. A travs del Test de Penetracin es posible detectar el nivel de Seguridad Interna y Externa de los Sistemas de Informacin de la empresa, determinando el grado de acceso que tendra un atacante con intenciones maliciosas. Adems, el servicio chequea las vulnerabilidades que pueden ser vistas y explotadas por individuos no autorizados, "crackers", agentes de informacin, ladrones, antiguos empleados, competidores, etc.

Servicios de Test de Penetracin

Evaluar vulnerabilidades por medio de la identificacin de debilidades de configuracin que puedan ser explotadas. Analizar y categorizar las debilidades explotables basadas en el impacto potencial y posibilidad de ocurrencia. Proveer recomendaciones prioritizadas para mitigar y eliminar las debilidades.

Riesgos de las pruebas de penetracin

DISPONIBILIDAD. De acuerdo con Chapela, durante la aplicacin de las pruebas es necesario minimizar el peligro de interrupcionesno programadas en servicios o procesos. Para esto, es necesario calendarizar las irrupciones de alto riesgo, desarrollar un plan de respaldo y conformar un equipo de respuesta capaz de actuar con rapidez. Adems, debe determinarse con toda claridad qu probar y qu no. Tal es el caso

de hardware y aplicaciones obsoletas, aplicaciones crticas, equipo sin respaldo o carente de un plan de contingencia y sistemas fciles de colapsar cuando se examinan. CONFIDENCIALIDAD. Para evitar que se pierda o fugue contenido valioso durante el desarrollo de las pruebas, debe establecerse claramente qu pueden copiar o leer quienes las ejecuten. Asimismo, conviene hacer un cambio completo de cdigos de acceso al final de los ejercicios de penetracin y establecer algunas prohibiciones, como: no copiar ni leer correo electrnico o informacin de bases de datos o archivos. Sobre este punto, Rafael Garca, gerente regional de productos de Symantec para Amrica Latina, detalla: "Los Pen Tests deben involucrar todas aquellas reas que estn ms relacionadas con el core del negocio, por lo que la metodologa a emplear y sus lmites dependen siempre del giro de la empresa, el grado de profundidad de las pruebas y el anlisis requerido. En este marco, debe privilegiarse la firma de acuerdos de secreca en los contratos y dar prioridad a la honestidad de los consultores". INTEGRIDAD Y RESPONSABILIDAD. Durante el desarrollo de las pruebas, las empresas deben reducir al mnimo la probabilidad de alteraciones en aplicaciones o datos. Por lo tanto, entre las prohibiciones a fijar a quienes las ejecutarn estn: no instalar jams puertas traseras (back doors), ni ocultar soluciones de acceso remoto (bots, troyanos, rootkits y dems); no borrar, alterar o inhabilitar registros y, desde luego, no apagar o modificar el comportamiento de las herramientas de deteccin establecidas. Un punto muy importante en todo esto es registrar quin hace qu, para evitar abuso de terceras partes en los Pen Tests, as como dejar claro que no deben eliminarse u ocultarse los rastros de las pruebas. Este proceso implica tambin autenticar a los consultores, con el propsito de identificarlos claramente en los sistemas evaluados. RIESGO POLTICO. Qu pasa si una falla no prevista en ciertos servicios crticos ocurre como resultado de las propias pruebas? Deben minimizarse las probabilidades de que se generen choques internos entre las diferentes reas involucradas o confrontaciones con proveedores, y evitar factores que reduzcan el valor percibido o el profesionalismo de las pen test. Dada la lucha de poder entre reas que existe, en algunas empresas, asegura Garcasi el departamento de sistemas es el encargado de contratar las pruebas debe sentirse respaldado previamente por la alta direccin, para que los resultados, sobre todo si no son del todo positivos, no se utilicen como arma de pugnas. INCUMPLIMIENTO. Diversas pruebas de penetracin buscan dar cauce a requerimientos legales y regulaciones para evitar multas o sanciones a la hora de efectuarlas. Asimismo, los resultados de la revisin van de acuerdo con los lineamientos y estndares corporativos aplicables en cada caso (ISO 27001 / BS 7799, CoBIT, ITIL y dems). Danny Allan, analista de investigacin de la empresa Watchfire, hace nfasis en la carga creciente que toma el cumplimiento de todo tipo de regulaciones. No slo para cuestiones tcnicas, sino tambin en temas que tienen que ver con rubros como: competencia, proteccin de datos, privacidad, terrorismo, operaciones de outsourcing, reputacin y propiedad intelectual, entre otros. RIESGOS DE CONTRATO. Este tipo de incidentes surge al emplear consultores inapropiados. Para evitarlos, deber evaluarse correctamente al proveedor del servicio y definir un plan de riesgos bien estructurado. Desde luego, no se debe contratar a asesores que slo usan herramientas o nicamente conocen un aspecto de la tecnologa. Adems se debe ser cuidadoso al utilizar los servicios de aquellos que fueron black-hat hackers y ahora se han convertido en especialistas en Pen Test. Incluso, el Consejo Internacional de Consultores de Comercio Electrnico (The International Council of ECommerce Consultants: EC-Council) propone una certificacin en hackerismo tico, que cubre pruebas de penetracin y directrices sobre cmo actuar en la materia. La recomendacin de no emplear black-hat hackers tiende a convertirse as en una de las mejores prcticas a seguir. Si se consideran todos estos riesgos y se acta en consecuencia para mitigarlos, las pruebas de penetracin se vuelven un ejercicio til, que puede aportar diversos puntos positivos a las empresas.

Beneficios de las pruebas de penetracin

GENERAR INFORMES OPORTUNOS. Un buen informe de los riesgos y vulnerabilidades de una empresa, derivado de las pruebas de penetracin, funge como herramienta efectiva de negociacin para reafirmar o vender las estrategias de seguridad a la alta direccin, adems de sostener y legitimar todo el proyecto de proteccin, por lo que el mencionado documento debe estar completo, bien hecho y sin errores. Entre los puntos que debe contener este informe estn: un resumen para la alta administracin; un anlisis de los riesgos principales; recomendaciones agrupadas por tipo de dispositivo, sistema operativo, bases de datos o servidores de dominio, y las acciones concretas a seguir. De acuerdo con Sm4rt, el informe (que deber realizar el rea de seguridad) requiere incorporar, adems, acciones de mitigacin priorizadas y clasificadas por esfuerzo, enfatizando detalles tcnicos y recomendaciones; as como evidencia de las principales vulnerabilidades encontradas. Pero tambin deber incluir una clasificacin de riesgos, y una evaluacin que considere tres conceptos: valor de los activos, nivel de debilidades y probabilidad de ataques. Un autor bien conocido como Pete Herzog (Open Source Security Testing Methodology Manual: OSSTMM), sugiere, al respecto, una metodologa dividida en secciones, mdulos y tareas, en la que propone desarrollar un mapa de seguridad con seis apartados: informacin, procesos, tecnologas de Internet, comunicaciones, proteccin inalmbrica y fsica como base para la evaluacin de riesgos. DAR NFASIS A LA ESTRATEGIA. Los Pen Test permiten priorizar riesgos y proponer acciones, con acento en las reas alrededor de las amenazas principales. Las buenas pruebas ayudan a entender por qu los problemas pueden ser crticos, mientras dan sentido y direccin a los cambios sugeridos. El plan de accin que derive de las pruebas debe considerar el impacto desde el punto de vista de la probabilidad de ataques, vulnerabilidad y valor de los activos, as como el esfuerzo a realizar en materia de planeacin, implementacin y administracin. En todo caso, las pruebas de penetracin ms eficaces permiten correlacionar el impacto de los riesgos y su probabilidad, encontrando el punto ptimo para cada empresa. CONTAR CON UN CATALIZADOR EFECTIVO. Los Pen Tests sirven tambin para: motivar el cambio hacia el incremento de controles, enfocar los esfuerzos tcnicos, generar conciencia y sentido de urgencia. Pero, si de verdad se quiere lograr esto es necesario organizar una demostracin final de los ejercicios de irrupcin, pues de acuerdo con Chapela: esto dice ms que mil documentos. Y para cerrar el crculo conviene tambin organizar una reunin tcnica con el fin de valorar a detalle los hallazgos, definir la forma de presentarlos a la alta direccin y trazar la estrategia a seguir. Entre las prohibiciones a fijar entre quienes ejecutarn las pruebas estn: no instalar jams puertas traseras (back doors), ni ocultar aplicaciones de acceso remoto (bots, troyanos, rootkits y dems); no borrar, alterar o inhabilitar registros y, desde luego, no apagar o modificar el comportamiento de las herramientas de deteccin establecidas. Entre los puntos que debe contener el informe posterior a las pruebas de penetracin estn: un resumen para la alta administracin; un anlisis de los riesgos principales; recomendaciones agrupadas por tipo de dispositivo, sistema operativo, bases de datos o servidores de dominio y las acciones concretas a seguir.

Tipos de pruebas de penetracin

Las pruebas giran en torno a la variacin, es decir, detectar los aspectos del software y su entorno que pueden haber variado y ver cmo responde el software. El objetivo consiste en garantizar que el software

funcione de una manera confiable y segura en escenarios de produccin tanto razonables como, incluso, no razonables. Por lo que la planeacin ms importante que debe llevar a cabo un evaluador es conocer los aspectos que pueden variar y de qu formas dicha variacin necesita configurarse para las pruebas. Desde el punto de vista de la seguridad, el entorno, la entrada de usuario, as como los datos y lgica internos son los lugares principales donde dicha variacin puede revelar problemas de seguridad. El entorno consiste en los archivos, aplicaciones, recursos del sistema y otros recursos locales o de red que la aplicacin use. Cualquiera de stos podra ser el punto de entrada de un ataque. La entrada de usuario la constituyen los datos que se originan con entidades externas (normalmente no confiables) que el software analiza y usa. Los datos y lgica internos son las variables y rutas lgicas almacenadas internamente que tienen cualquier nmero de enumeraciones potenciales.

Ataques del entorno

El software no se ejecuta aislado. Depende de cualquier nmero de archivos binarios y mdulos de cdigo equivalente, como scripts y complementos. Puede usar tambin informacin de configuracin del Registro o del sistema de archivos, as como de bases de datos y de servicios que podran residir en cualquier parte. Cada una de estas interacciones del entorno puede constituir la fuente de una infraccin de seguridad y, por lo tanto, deben someterse a prueba. Hay tambin una serie de preguntas importantes que debe plantearse acerca del grado de confianza que la aplicacin posee en estas interacciones, incluidas las siguientes: Qu grado de confianza posee la aplicacin en su entorno local y en los recursos remotos? Coloca la aplicacin informacin confidencial en un recurso (por ejemplo, el Registro) que pueda leerse por otras aplicaciones? Confa en cada uno de los archivos o bibliotecas que carga sin comprobar el contenido? Puede un atacante aprovechar esta confianza para obligar a la aplicacin a hacer lo que ste desee? Adems de estas cuestiones acerca de la confianza, los evaluadores de penetracin deben observar los DLL que puedan estar defectuosos o que un atacante haya podido reemplazar (o modificar), archivos binarios o archivos con los cuales la aplicacin interacte y que no estn completamente protegidos a travs de listas de control de acceso (ACL) o que se encuentren desprotegidos de cualquier otra manera. Los evaluadores deben estar tambin pendientes de otras aplicaciones que tengan acceso a recursos de memoria compartida o que almacenen datos confidenciales en el Registro o en archivos temporales. Por ltimo, los evaluadores deben considerar factores que generen sobrecarga en el sistema como, por ejemplo, una red lenta, memoria baja, etc., as como determinar el impacto de estos factores en las caractersticas de seguridad. Los ataques del entorno se llevan a cabo, a menudo, organizando de forma malintencionada un entorno inseguro y ejecutando, a continuacin, la aplicacin en ese entorno para ver cmo responde. Se trata de una forma indirecta de pruebas; los ataques se emprenden contra el entorno en el cual funciona la aplicacin. Observemos ahora las pruebas directas.

Ataques de entrada
En las pruebas de penetracin, el subconjunto de entradas que procede de fuentes que no son de confianza es el ms importante. stas incluyen rutas de comunicacin como, por ejemplo, protocolos de red y sockets, funcionalidades remotas expuestas como DCOM, llamadas a procedimiento remoto (RPC, Remote Procedure Calls) y servicios web, archivos de datos (binarios o de texto), archivos temporales creados durante la ejecucin y archivos de control como scripts y archivos XML, todos los cuales estn sujetos a manipulaciones. Por ltimo, deben comprobarse tambin los controles de interfaz

de usuario que permiten la entrada directa del usuario como, por ejemplo, las pantallas de inicio de sesin, los clientes web, etc. En especial, desear determinar si la entrada est controlada adecuadamente: Se permiten las entradas consideradas seguras y se evitan las no seguras (por ejemplo, cadenas largas, paquetes formados incorrectamente, etc.)? La comprobacin de entradas adecuadas y el anlisis de archivos son crticos. Necesitar realizar pruebas para ver si se pueden llevar a cabo entradas peligrosas en los controles de la interfaz de usuario y para averiguar qu podra ocurrir en caso de que esto se produjera. Esto incluye caracteres especiales, entradas codificadas, fragmentos de scripts, cadenas de formato, secuencias de escape, etc. Necesitar determinar si es posible que penetren cadenas largas que se encuentran incrustadas en los campos de paquetes o en los archivos y que puedan provocar el desbordamiento de la memoria. Los paquetes daados en las secuencias de protocolo constituyen tambin una preocupacin. Debe vigilar la presencia de bloqueos y comprobar la pila por si existieran vulnerabilidades potenciales en la memoria. Por ltimo, debe estar completamente seguro de que tanto la validacin como los mensajes de error ocurren en el lugar correcto (en el lado cliente y no en el lado servidor), esto constituir una defensa apropiada frente a las entradas no seguras. Los ataques de entrada constituyen autnticos ataques de artillera contra una aplicacin. Algunos de ellos podrn esquivarse adecuadamente, mientras que otros provocarn daos en el software. Depender del equipo de penetracin determinar qu ataques se considerarn ataques de entrada, as como la aplicacin de las soluciones apropiadas.

Ataques de datos y de lgica

Algunos errores se encuentran incrustados en los mecanismos internos de almacenamiento de datos de la aplicacin y en la lgica de algoritmos. En dichos casos, parece haber errores de diseo y de codificacin en los que el desarrollador ha asumido la presencia de un usuario benevolente o bien no se dio cuenta de la presencia de ciertas rutas de cdigo en las que el usuario debe tener cuidado. La denegacin de servicio es el ejemplo principal de esta categora, pero no la ms peligrosa. Los ataques de denegacin de servicio pueden realizarse correctamente si los desarrolladores han cometido errores en la planeacin para un amplio nmero de usuarios (o conexiones, archivos, as como cualquier entrada que provoque que ciertos recursos se sobrecarguen hasta el lmite). No obstante, existen defectos lgicos mucho ms insidiosos que necesitan someterse a prueba. Por ejemplo, la divulgacin de informacin puede ocurrir cuando las entradas que controlan los mensajes de error y otros resultados generados revelen informacin vulnerable a un atacante. Un ejemplo prctico de los datos que deben eliminarse siempre sera cualquier cuenta de prueba codificada o API de prueba (las cuales se incluyen, con frecuencia, en compilaciones internas para ayudar en la automatizacin de las pruebas). Esto podra facilitar el acceso a un atacante. Dos pruebas ms que debera ejecutar son la introduccin de credenciales falsas para determinar si los mecanismos internos de autorizacin son seguros, as como la eleccin de entradas que varen las rutas de cdigo. La mayora de las rutas de cdigo son seguras, pero es posible obtener acceso a la misma funcionalidad de maneras diferentes, lo cual podra omitir de forma inadvertida algunas comprobaciones cruciales.

Herramientas penetracin

para

realizar

pruebas

de

Inguma: es una herramientas para realizar de prueba de penetracin escrita enteramente en python. El framework incluye los mdulos para descubrir los hosts, informacin sobre ellos, sacar nombres de usuario y las contraseas por fuerza bruta y por supuesto exploits para muchos productos.

DSniff: Un juego de poderosas herramientas de auditora y pruebas de penetracin de redes. Este popular y bien diseado set hecho por Dug Song incluye varias herramientas. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, y webspy monitorean pasivamente una red en busca de datos interesantes (passwords, e-mail, archivos, etc.). arpspoof, dnsspoof, y macof facilitan la intercepcin de trfico en la red normalmente no disponible para un atacante -- por ej. debido al uso de switches {"layer-2 switches"}. sshmitm y webmitm implementan ataques del tipo monkey-in-the-middle activos hacia sesiones redirigidas de SSH y HTTPS abusando de relaciones {"bindings"} dbiles en sistemas con una infraestructura de llaves pblicas {PKI} improvisados.

Zero-da ataque
De Wikipedia, la enciclopedia libre

Este artculo es acerca de las vulnerabilidades tcnicas. Para otras aplicaciones, ver el da cero (desambiguacin) . Un da cero (o cero horas o da cero ) ataque o amenaza es un ataque que explota una desconocida vulnerabilidad en una aplicacin informtica , lo que significa que el ataque se produce en el "da cero" de la conciencia de la vulnerabilidad. [ 1 ] Este significa que los desarrolladores han tenido cero das para tratar y arreglar la vulnerabilidad. Da cero exploits (programas informticos real que utiliza un agujero de seguridad para llevar a cabo un ataque ) se utilizan o compartidos por los atacantes antes de que el desarrollador del software de destino sabe acerca de la vulnerabilidad.
Contenido
[ ocultar ]

Un ataque 2 Vulnerabilidad ventana 3 Descubrimiento 4 Proteccin 5 tica 6 Vase tambin 7 Notas al pie 8 Referencias 9 Enlaces externos

edit ]ataque

Malware escritores son capaces de explotar de da cero vulnerabilidades a travs de varios ataques diferentes vectores . Navegadores Web son un objetivo en particular debido a su amplia distribucin y su uso. Los atacantes tambin puede enviar adjuntos de correo electrnico, los cuales aprovechan las vulnerabilidades en la aplicacin abriendo el archivo adjunto. [ 2 ] Los exploits que se aprovechan de los tipos de archivo comunes se enumeran en bases de datos como US-CERT . El malware puede ser diseado para tomar ventaja de estos exploits de tipo de archivo para comprometer los sistemas atacados o robar datos confidenciales como contraseas bancarias e informacin de identidad personal. [ 3 ]

editar ]Vulnerabilidad ventana

De da cero ataques ocurren durante la ventana de vulnerabilidad que existe en el tiempo entre el momento de una vulnerabilidad explotada por primera vez y cuando los desarrolladores de software comienzan a desarrollar y publicar un contador a esa amenaza. Para los virus , troyanos y otros ataques de da cero, la ventana de vulnerabilidad sigue esta lnea de tiempo:

El desarrollador crea software que contiene una vulnerabilidad desconocida El atacante descubre la vulnerabilidad antes de que el desarrollador hace El atacante escribe y distribuye un exploit mientras que la vulnerabilidad no se sabe que el programador

El desarrollador se da cuenta de la vulnerabilidad y comienza a desarrollar una solucin.

La medicin de la longitud de la ventana de vulnerabilidad puede ser difcil, ya que los atacantes no anuncian cuando la vulnerabilidad fue descubierta por primera vez. Los desarrolladores no lo desea, puede distribuir los datos por razones comerciales o de seguridad. Los desarrolladores tambin pueden no saber si la vulnerabilidad se est explotando cuando lo arreglan, por lo que no puede registrar la vulnerabilidad como un ataque de da cero. Segn una estimacin, "los hackers explotan las vulnerabilidades de seguridad en el software durante 10 meses en promedio antes de los detalles de la superficie de los agujeros en pblico", es decir, la ventana de vulnerabilidad promedio de un exploit de da cero es de aproximadamente 10 meses. [ 4 ] Sin embargo, puede ser fcilmente demostrado que esta ventana puede ser de varios aos de largo. Por ejemplo, en 2008 Microsoft confirma una vulnerabilidad en Internet Explorer , que afect a algunas versiones que se publicaron en 2001. [ 5 ] La fecha en que se encontr la primera vulnerabilidad un atacante no se conoce, sin embargo, la ventana de vulnerabilidad en este caso podra haber sido hasta 7 aos.

editar ]Descubrimiento

Un tipo especial de proceso de gestin de vulnerabilidades se centra en encontrar y eliminar las debilidades de da cero. Este ciclo de vida de gestin de vulnerabilidades desconocido es un proceso de seguridad y garanta de calidad que tiene como objetivo garantizar la seguridad y solidez

de los dos en la casa y productos de software de tercera parte por encontrar y corregir desconocidos (da cero) puntos vulnerables. El proceso de gestin de vulnerabilidades desconocidas consta de cuatro fases:. Analizar, probar y mitigar informe [ 6 ]

Analizar: esta fase se centra en la superficie de ataque anlisis Test: esta fase se centra en las pruebas fuzz los vectores de ataque identificados Informe: esta fase se centra en la comunicacin de los problemas encontrados a los desarrolladores

Mitigar: esta fase se ve en las medidas de proteccin se explica a continuacin

editar ]Proteccin

Proteccin de da cero es la capacidad de proporcionar proteccin contra ataques de da cero. Ataques de da cero tambin pueden ser detectados despus de su lanzamiento.[ 7 ] Existen muchas tcnicas para limitar la efectividad de vulnerabilidades de da cero de corrupcin de memoria, tales como desbordamientos de bfer . [ cita requerida ] Estos mecanismos de proteccin existen en los sistemas operativos actuales como Windows 7 , Microsoft Windows Vista , Apple Mac OS X , el reciente Oracle Solaris , Linux y posiblemente otros Unix y Unix-como ambientes; Microsoft Windows . XP Service Pack 2 incluye una proteccin limitada contra las vulnerabilidades de corrupcin de memoria genricos [ 8 ] . escritorio y software de proteccin de servidor tambin existe para mitigar da cero vulnerabilidades de desbordamiento de bfer [ cita requerida ] "Las capas mltiples" proporciona servicios agnstico proteccin y es la primera lnea de defensa debera un exploit en cualquiera de las capas por descubrir. Un ejemplo de esto para un servicio en particular est implementando listas de control de acceso en el servicio en s, la restriccin de acceso a la red a travs del servidor local de cortafuegos (por ejemplo, tablas IP ) y, a continuacin, la proteccin de toda la red con un firewall de hardware. Las tres capas se proporcionan proteccin redundante en el caso de un compromiso en cualquiera de ellos se produce. El uso de golpes puerto o individuales demonios autorizacin de paquetes pueden proporcionar una proteccin eficaz contra ataques de da cero en los servicios de red. Sin embargo, estas tcnicas no son adecuados para ambientes con un gran nmero de usuarios. Whitelisting protege eficazmente contra amenazas de da cero. Whitelisting slo permitir conocidas buenas aplicaciones para acceder a un sistema y por lo que cualquier nuevos exploits desconocidos o no se les permite el acceso. Aunque la lista blanca es eficaz contra los ataques de da cero, una aplicacin "conocido" para ser bueno en realidad puede tener vulnerabilidades que se perdieron en las pruebas. A fin de reforzar su capacidad de proteccin, a menudo se combina con otros mtodos de proteccin, como basado en el host del sistema de prevencin de intrusiones o una lista negra de definiciones de virus, y que a veces puede ser muy restrictivo para el usuario.

Los ingenieros y vendedores, como Gama-Sec en Israel y en los laboratorios de DataClone en Reno, Nevada estn tratando de proporcionar apoyo al Proyecto da-cero, [ 9 ] , que pretende proporcionar informacin sobre los ataques futuros y prestar apoyo a los sistemas vulnerables. Mantener el software de la computadora hasta al da es muy importante tambin y se ayudan. Los usuarios deben tener cuidado al hacer clic en enlaces o abrir archivos adjuntos de correo electrnico con imgenes o archivos PDF a partir de usuarios desconocidos. As es como muchos criminales cibernticos engaan a los usuarios, al pretender que son algo que no son y ganarse la confianza del usuario. Utilizar los sitios con Secure Socket Layer (SSL), que asegura la informacin que pasa entre el usuario y el sitio visitado.

COMO CHECO LOS LOGS EN LINUX

Cmo funciona el sistema de logs
o

o o o

El sistema de logs arranca con el script /etc/init.d/sysklogd, y tiene dos demonios: syslogd: gestiona los logs del sistema. Distribuye los mensajes a archivos, tuberas, destinos remotos, terminales o usuarios, usando las indicaciones especificadas en su archivo de configuracin /etc/syslog.conf, donde se indica qu se loguea y a dnde se envan estos logs. klogd: se encarga de los logs del kernel. Lo normal es que klogd enve sus mensajes a syslogd pero no siempre es as, sobre todo en los eventos de alta prioridad, que salen directamente por pantalla. Los logs se guardan en archivos ubicados en el directorio /var/log, aunque muchos programas manejan sus propios logs y los guardan en /var/log/<programa>. Adems, es posible especificar mltiples destinos para un mismo mensaje. Algunos de los log ms importantes son: /var/log/messages: aqu encontraremos los logs que llegan con prioridad info(informacin), notice (notificacin) o warn (aviso). /var/log/kern.log: aqu se almacenan los logs del kernel, generados por klogd. /var/log/auth.log: en este log se registran los login en el sistema, las veces que hacemos su, etc. Los intentos fallidos se registran en lneas con informacin del tipo invalid password o authentication failure. /var/log/dmesg: en este archivo se almacena la informacin que genera el kernel durante el arranque del sistema. Podemos ver su contenido con el comandodmesg:
$ dmesg

Los archivos de log crecen y con el tiempo se pueden volver muy extensos, pero no tenemos que preocuparnos porque

en /etc/cron.daily (tareas que se ejecutan cada da) est el script /etc/cron.daily/logrotate, (cuyo archivo de configuracin es/etc/logrotate.conf), que se encarga de comprimirlos y aplicar una rotacin de archivos, aadindoles la extensin .1.gz, .2.gz, etc., volviendo a crear uno vaco (cuanto mayor sea el nmero ms antiguo ser el log).

Escaneo de puertos

Uso del Escaner de puertos Nmap

1. Copyleft 2004 debianitas.net

Emilio Guirado Hernndez Se puede copiar , modificar o distribuir este manual bajo las condiciones de la licencia GNU General Public License ( GNU GPL ) Si se desea hacer una copia total o parcial del documento se deber adjuntar debidamente la identidad del autor as como la direccin www.debianitas.net en las partes superior e inferior del manual. El autor no se hace responsable de los daos producidos por la utilizacin de la informacin del documento. www.debianitas.net Copyleft 2004 GeeSeCillo geesecillo@debianitas.net

2. Introduccin y Objetivos

Que es Nmap ? Es una herramienta para administradores de sistemas y gente interesada en el escaneo de grandes o pequeas redes para determinar los equipos que se encuentran activos y cuales son sus servicios. En definitiva un escner de puertos muy potente.

El objetivo seria poder determinar si un servidor o mquina est en uso y que servicios ofrece.

3. Conceptos Previos
Muy brevemente para que los usuarios poco adentrados en el tema puedan seguir con facilidad el manual debemos tener claras algunas ideas.
Que es un puerto?:

Un puerto es una zona en la que dos ordenadores (hosts) intercambian informacin

Que es un servicio?:

Un servicio es el tipo de informacin que se intercambia con una utilidad determinada como ssh o telnet.
Que es un Firewall?:

Un firewall acepta o no el trafico entrante o saliente de un ordenador.

Que son paquetes SYN?:

As por encima, pueden ser paquetes que abren un intento de establecer una conexin TCP.

4. Instalacin
Para instalar Nmap en debian podemos recurrir a Apt, tan fcil como siempre.
bash# apt-get install nmap

Si deseamos instalarlo bajndonos las fuentes del programa, iremos a la direccin: http://www.insecure.org/nmap/nmap_download.html Una vez bajadas las fuentes solo nos queda descomprimirlas y compilarlas.
Bash$ Bash$ Bash$ Bash$ Bash$ Bash# bzip2 -cd nmap-VERSION.tar.bz2 | tar xvf cd nmap-VERSION ./configure make su make install

Una vez compilado tendremos el ejecutable "nmap" y podremos usarlo como detallaremos posteriormente.

4.1. Aplicacin Grfica para Nmap (NMAPFE) Si queremos una utilidad grfica a click de ratn, podemos instalar este interprete y usarlo fcilmente. Para instalarlo simplemente lo descargamos por apt de la siguiente manera.
bash# apt-get install nmapfe

Aqu podemos ver la utilidad y lo fcil que nos ser manejarla, gracias a poder ver todas las opciones en visual.

5. Usando Nmap
Vamos ahora a entrar un poco en la practica y a ver como se usa bsicamente el Nmap. Lo ejecutamos seguido de la ip que nos gustara escanear.
Bash$ nmap 172.26.0.3 Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-20 02:13 CEST Interesting ports on 172.26.0.3: (The 1654 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 9/tcp open discard 13/tcp open daytime 22/tcp open ssh 37/tcp open time 74/tcp filtered netrjs-4 80/tcp open http 349/tcp filtered mftp 6000/tcp open X11 Nmap run completed -- 1 IP address (1 host up) scanned in 2.529 seconds

Como podis observar la salida del programa tras escanear es bastante simple y se entiende perfectamente, Nos dice que la ip 172.26.0.3, tiene los puertos 9,13,22,37,80 y 6000 abiertos y al servicio a los cuales pertenecen. Esto es un scaneo bsico, empecemos a introducir opciones y comentar para que es cada una.

5.1. Escaneando Rango de puertos. Para escanear un rango determinado de puertos para una ip lo haremos de la siguiente manera. Opcin -p
bash$ nmap -p 1-80 172.26.0.3 Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-20 02:29 CEST Interesting ports on 172.26.0.3 (The 74 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 9/tcp open discard 13/tcp open daytime 22/tcp open ssh 25/tcp open smtp

37/tcp open 80/tcp open

time http

Nmap run completed -- 1 IP address (1 host up) scanned in 3.612 seconds

La opcin -p nos permite acotar un rango de puertos incluyendo el primero y el ultimo, muy til para tardar menos escaneando si sabemos que solo nos interesa unos determinados puertos. Tambin con -p 22,53,110,143 as escanearemos solo los puertos especificados.

5.2. Escaneando un rango de ips para un puerto determinado. Si estamos en una red donde nos interesa saber que ordenadores tienen por ejemplo el puerto 139 abierto lo haramos de la siguiente manera.
bash# nmap -p 139 172.26.0.1-10 Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-20 02:35 CEST Interesting ports on 172.26.0.2: PORT STATE SERVICE 139/tcp filtered netbios-ssn Interesting ports on 172.26.0.9): PORT STATE SERVICE 139/tcp open netbios-ssn Nmap run completed -- 10 IP addresses (2 hosts up) scanned in 4.002 second

La informacin que obtenemos seria la de dos ordenadores encendidos en ese rango de ips como bien podemos leer abajo del todo y que uno de ellos tiene abierto el servicio de netbios perteneciente al puerto 139.

5.3. Escanear un host sin hacerle ping La opcin -p0 Puede servirnos si no queremos que intente hacer ping a un servidor antes de escanearlo, es muy til para maquinas que tienen firewall o no responden a ping.

5.4. Escaneando Host por ping

Usando la opcin -sP le diremos al Nmap que nos haga un escaneo de los hosts haciendo ping.

5.5. Escaneando y sacando Versiones de los servicios Si queremos sacar las versiones de los servicios, por ejemplo la versin de ssh que se esta usando en una determinada ip o host, debemos usar la opcin -sV .
bash# # nmap -sV 172.26.0.3 Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-20 02:44 CEST Interesting ports on 172.26.0.3: (The 1654 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 9/tcp open discard? 13/tcp open daytime 22/tcp open ssh OpenSSH 3.8.1p1 (protocol 2.0) 37/tcp open time 80/tcp open http Apache httpd 1.3.31 ((Debian GNU/Linux)) 6000/tcp open X11 (access denied) Nmap run completed -- 1 IP address (1 host up) scanned in 103.108 seconds

Es tan til saber que se esta ejecutando en una maquina como cuanto tiempo hace que actualizan algn tipo de servicio. Como podemos ver nos dice la versin de OpenSsh y de Apache.

5.6. Como saber el sistema operativo que esta instalado en un host Con la opcin -O podemos saber que sistema tiene un host.
bash# nmap -O 172.26.0.6

Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-20 02:50 CEST Insufficient responses for TCP sequencing (3), OS detection may be less accurate Interesting ports on 172.26.0.6: (The 1654 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 9/tcp open discard 13/tcp open daytime 22/tcp open ssh 37/tcp open time 80/tcp open http 6000/tcp open X11 Device type: general purpose

Running: Linux 2.4.X|2.5.X|2.6.X OS details: Linux 2.4.0 - 2.5.20, Gentoo 1.2 linux (Kernel 2.4.19gentoo-rc5), Linux 2.4.20, Linux 2.4.20 - 2.4.22 w/grsecurity.org patch, Linux 2.5.25 - 2.6.3 or Gentoo 1.2 Linux 2.4.19 rc1-rc7) Uptime 0.132 days (since Tue Oct 19 23:41:15 2004) Nmap run completed -- 1 IP address (1 host up) scanned in 4.572 seconds

Dice que tiene un ncleo 2.4 y lleva Gentoo instalado, muy til para ciertas cosas. En un ordenador con windows, nos saldra un mensaje similar a este:
Device type: general purpose Running: Microsoft Windows 2003/.NET|NT/2K/XP OS details: Microsoft Windows Server 2003, Microsoft Windows 2000 SP3

Este seria un ordenador con Windows Server 2003 Decir tambin que puede equivocarse el Nmap y decirnos que es una gentoo y ser una debian pero no fallan de windows a linux o freebsd.

5.7. Escaneando a velocidades variables Para escanear mas o menos velocidad para no ser detectados o bien si no nos importa que a un administrador le salga si esta mirando o monitorizando la red un escaneo de puertos desde nuestra ip.
-T seguido de Paranoid, Sneaky, Polite, Normal, Aggressive, Insane

De mayor a menor nivel de cuidado o paranoia como dice una de las opciones.

5.8. Escaneos con opciones avanzadas I Opcin -sS Escaneo TCP SYN se envan paquetes SYN, denominada como escaneo medio abierto porque enva paquetes como si se fuese a abrir una conexin. Este mtodo requiere ser Root para el envio de estos paquetes.

5.9. Escaneo con opciones avanzadas II

Opciones -sF -sX -sN Modos Stealth FIN, Xmas Tree o Nul scan respectivamente. Con estos modos podremos ser suficientemente clandestinos por si hay un firewall o filtros que no dejan enviar paquetes SYN a determinados puertos. Debemos ser root para poder usar estas opciones.

5.10. Otras Opciones de inters

-v modo de informacin ampliada de lo que va haciendo el Nmap -h Nos da los comandos de ayuda general.