INTERNET SECURITY SCANNER

¿Qué es el Internet Security Scanner?

Internet Security Systems escáner de Internet (ISS) es un producto de seguridad

que evalúa los dispositivos en una red en busca de vulnerabilidades. Pasa a
través de una larga lista de pruebas y ensayos, cuidadosamente reunir las piezas
adecuadas de las vulnerabilidades de la información y presentación de
informes. Se localiza la vulnerabilidad como un intruso, mediante el examen de los
dispositivos de una red, los servicios, y sus interrelaciones.

Internet Scanner proporciona información detallada sobre cada punto vulnerable

detectado, incluyendo la población de acogida, una descripción de la
vulnerabilidad, y los pasos a seguir para eliminar la vulnerabilidad. Estos hallazgos
son puramente para el conocimiento de un administrador, él / ella no esté de
acuerdo con la conclusión o puede decidir que el hallazgo no es aplicable o algo
que se quiere remediar. Las acciones correctivas son sólo recomendaciones, pero
cada uno debe ser estudiado con detenimiento.

Internet Scanner trata de identificar el sistema operativo de la máquina está

escaneando mediante la ejecución a través de una lista de comprobaciones. No
produce un informe simple de todo el software en una máquina, sin embargo, se
detecta el uso de algún software como parte de la búsqueda de vulnerabilidades
conocidas en ese software.

La base de datos del escáner de vulnerabilidad que se actualiza

periódicamente. Estas actualizaciones incluyen las vulnerabilidades encontradas
recientemente para todos los sistemas operativos. Internet Scanner Ahora puede
probar por más de 700 vulnerabilidades.

¿Cómo usarlo?

SU ofrece el escaneo de los dispositivos de la Universidad de Virginia la red como

un servicio gratuito. Por defecto, sus máquinas escanea las vulnerabilidades de
riesgo más alta y media. A petición del departamento, también se puede realizar
un análisis separado para vulnerabilidades de denegación de servicio. Hay una
precaución con la denegación de servicio de exploración que existe el potencial de
causar una interrupción. Estos dos análisis se han tomado típicamente de 10 a 20
minutos para una sola máquina, para las subredes enteras, que han tomado entre
30 y 45 minutos.
¿Qué sucede una vez que el escaneo se realiza?

De los análisis, los informes son producidos para su revisión. Al igual que con las
directivas de análisis, los informes se pueden adaptar de muchas maneras. Por lo
general, se producen un informe que mostrará una lista de todas las
vulnerabilidades encontradas por nivel de riesgo. Por lo general, también producen
una variación del mismo informe que se limita a enumerar todas las máquinas
analizadas por la dirección IP junto con las vulnerabilidades encontradas en cada
máquina. SU hace que estos informes estén disponibles en páginas web

LOGCHECK
¿Qué es logcheck?

Logcheck revisa periódicamente las bitácoras del sistema, analizando cada una de
las líneas y clasificándola según diferentes niveles de alerta, reportándolo al
administrador del sistema en un formato fácil de leer, descartando las líneas que
no tengan relevancia, y --típicamente-- enviándolo por correo. Logcheck checará
cada línea contra cuatro niveles de seguridad: Ignorar, actividad inusual, violación
de seguridad y ataque.

El programa ayuda a detectar problemas logcheck y violaciones de seguridad en

sus archivos de registro automáticamente y enviar los resultados a que
periódicamente comente en un e-mail. Por logcheck por defecto se ejecuta como
una tarea programada por hora justa fuera de la hora y después de cada reinicio.

Logcheck soporta tres niveles de filtrado: "Paranoid" es de alta máquinas de

seguridad se ejecuta como los servicios posibles. No utilice si usted no puede
manejar sus mensajes detallados. "Servidor" es el valor predeterminado y
contiene normas para muchos demonios diferentes. "Estación de trabajo" es para
shell- máquinas registradas y filtros mayoría de los mensajes. El caso omiso de
las normas de trabajo en forma aditiva. "Paranoid" reglas también están incluidos
en el ámbito "Servidor" y "estación de trabajo".

Los mensajes reportados se clasifican en tres niveles, los eventos del sistema, los
eventos de seguridad y alertas de ataque. El nivel de detalle de los eventos del
sistema es controlado por el cual el nivel que elija, servidor de paranoico, o
estación de trabajo.

Sin embargo, los eventos de seguridad y alertas de ataque no se ven afectados

por esto.
EJEMPLOS

logcheck se pueden invocar directamente gracias a su (8) o sudo (8) , que

cambiar el ID de usuario. El ejemplo siguiente comprueba los archivos de registro,
sin la actualización de la compensación y saca todo a STDOUT.

Sudo-u logcheck logcheck-o-t

OPCIONES

Un resumen de las opciones se incluye a continuación.

C-CFG hacer caso omiso de archivo de configuración por defecto.

D-El modo de depuración.

H Mostrar información de uso.

-H Usar esta cadena el nombre de host en el asunto del correo logcheck.

-L registro de ejecución de archivo de registro a través logcheck.

L-CFG hacer caso omiso de la lista por defecto los archivos de registro.

M informe de correo al destinatario.

-O el modo STDOUT, no enviar el correo.

P-Establecer el nivel de informe a la "paranoia".

DIR-r omiso de directorio por defecto de normas.

-R añade "Reboot" a la línea de asunto del correo electrónico.

-S Ajuste el nivel de informe al "servidor".

S-DIR hacer caso omiso de directorio por defecto del estado.

-T modo de pruebas no se actualiza offset.

T-No extraiga la TMPDIR.

-U Enable syslog-resumen.

-V versión de impresión actual.

-W Ajuste el nivel de informe a la "estación de trabajo".

ARCHIVOS

/ Etc / logcheck / logcheck.conf es el archivo de configuración principal.

/ Etc / logcheck / logcheck.logfiles es la lista de archivos para controlar.

/ Usr / share / doc / logcheck-database / README.logcheck-database.gz en

busca de pistas sobre la forma de escribir, probar y mantener las reglas. 0 en el
éxito, un caso de fallo Logcheck no es un programa reciente --la última revisión es
de 1997. Sin embargo, su filosofía básica lo hacen aún válido y muy útil, y
probablemente no han aparecido nuevas versiones pues no hay nada que
agregar, y siendo un programa tan simple, ninguna vulnerabilidad ha sido
encontrada desde entonces.

NGREP
DESCRIPCIÓN

Ngrep es una impresionante herramienta para analizar y filtrar el tráfico de red a

nivel de red, se esfuerza en proporcionar la mayor parte de las características
comunes de grep de GNU, aplicándolas a la capa de red. Ngrep es una
herramienta de cap-consciente de que se le permiten especificar expresiones
regulares extendidas para coincidir con cargas de datos de paquetes. Actualmente
reconoce TCP, UDP e ICMP a través de Ethernet, PPP, SLIP, FDDI e interfaces
nulos, y entiende la lógica bpf filtro en la misma forma de paquetes más comunes
oler herramientas, tales como tcpdump y snoop. Para un administrador de la red
familiar con coincidencia de patrones con grep, ngrep requiere un mínimo de
entrenamiento.

Este software es muy bueno porque permite una lectura fácil, ya que combina la
potencia de grep con una herramienta de depuración de la red.

OPCIONES

-H Muestra la ayuda / información de uso.

-X Tratar la expresión de coincidencia como una cadena hexadecimal.

-V Muestra información de versión.

-I Ignora caso de la expresión de expresiones regulares.

-W coincide con la expresión regex como una palabra.

-Q ¡Cállate, no muestra ningún otro tipo de información que cabeceras de los

paquetes y sus cargas útiles (si procede).
 -P No poner la interfaz en modo promiscuo.

-E Muestra los paquetes vacíos. Normalmente, los paquetes vacíos son

descartados porque no tienen capacidad de carga para la búsqueda. Si los
paquetes específicos, vacíos se mostrará, consideran menos de la expresión
regex especificado.

-V Invierte el partido, sólo los paquetes de visualización que no igualar. HH: MM:
cada vez que SS.UUUUUU un paquete coincide.

-T Imprimir una marca de tiempo en forma de + S.UUUUUU, indicando cando el

delta entre los partidos de paquetes.

-S snaplen Ajuste el Caplen bpf de snaplen (por defecto 65536).

-I pcap_dump Entrada pcap_dump archivo en ngrep. Funciona con cualquier

PCAP compatible con el formato de archivo de volcado. Esta opción es útil para
la búsqueda de una amplia gama de diferentes patrones sobre el mismo flujo de
paquetes.

-O pcap_dump Coinciden los paquetes de salida a un vertedero pcap compatible

archivo. Esta función no interfiera con la normal, en la consola.

-N número Coincidir sólo num total de paquetes, y luego salir. D-dev ngrep Por
defecto se selecciona un interfaz por defecto de escuchar. Utilice esta opción para
forzar ngrep de lis diez en la interfaz dev .

-A num volcado num paquetes de contexto posterior después de contrastar laun

paquete. Coincida con la expresión Una expresión es o bien un partido regular
extendidaexpresión, o si el

-X se especifica la opción, una cadena de lo que significa un valor hexadecimal.

Una prolongada expresión regular se ajusta a las normas tal como se aplicanpor la
GNU regex biblioteca. Expresiones hexadecimales.

bpf filtro: Selecciona un filtro que especifica qué paquetes se objeto de dumping.
Si no bpf filtro se da, todo paquete IP ETS se ven en la interfaz seleccionada será
objeto de dumping. De lo contrario, solamente los paquetes para que bpf filtro es
’Verdad 'será objeto de dumping. Dst `net 1.2.3 ',' src o dst puerto de ftp-data". Si
no hay calificativo directorio, src o dst se supone. Para `capas de enlace de los
nulos (es decir, un punto a otro protocols, tales como deslizamiento) de la entrada
y salida cali Fiers se puede utilizar para especificar una dirección deseada.
Además de lo anterior, hay algunos especial `Primi

TIVOS palabras clave "que no siguen el patrón: puerta de entrada ,

de difusión , menos , mayor y de las expresiones aritméticas. Todo

de éstos se describen a continuación.

Las expresiones de filtro más complejos se construyen mediante el uso de la

las palabras y , la o y no para combinar primitivas. Por ejemplo, `anfitrión

blort y no el puerto ftp y no el puerto "ftp-data. Para guardar

mecanografía, listas idénticas de clasificación puede ser omitida. Por ejemplo,

`Tcp dst puerto de FTP o de datos o el dominio 'es exactamente la

lo mismo que `tcp dst puerto de FTP o el puerto tcp dst ftp-data o TCP

dst puerto de dominio '.

Primitivas permitidas son las siguientes:

dst host de acogida

True si el campo IP de destino del paquete es

anfitrión , que puede ser o bien una dirección o un nombre.

src acogida de acogida

True si el campo IP de origen del paquete es de acogida .

de acogida de acogida

Verdadero si bien la IP de origen o de destino de la

 paquete es de acogida . Cualquiera de las expresiones de lenguaje por
encima de

pueden ser precedidas por las palabras clave, ip , la ARP o

RARP como por ejemplo:

ip de acogida de acogida

que es equivalente a:

éter dst ehost

True si la dirección de destino Ethernet se ehost .

pero ni la IP de origen ni el destino de IP

fue acogida . Host debe ser un nombre, y se debe encontrar en

ambos / etc / hosts y / etc / ethers. (Un equivalente

expresión es

éter de acogida ehost y no de acogida de acogida

que puede utilizarse con cualquiera de los nombres o números para

acogida / ehost .)

dst neta neta

True si la dirección IP de destino del paquete

tiene un número de red de red . neto puede ser o bien un

nombre del / etc / networks o un número de red (ver

redes (4) para más detalles).

src neta neta

True si la dirección IP de origen del paquete tiene un

 red número de red .

neta neta

Verdadero si bien la IP de origen o destino

del paquete tiene un número de red de red .

neta neta máscara de la máscara de

Verdad si la dirección IP coincide neta con el SPE

máscara de red específicos. Puede ser calificado con src o dst .

neta neta / len

Verdad si la dirección IP coincide con red de una máscara de red len

bits de ancho. Puede ser calificado con src o dst .

dst puerto de puerto de

Cierto si el paquete es IP / TCP o IP / UDP y tiene una

destino de valor del puerto del puerto . El puerto puede ser un

número o un nombre que se usa en / etc / services (ver TCP (4P)

y UDP (4P) ). Si se utiliza un nombre, tanto el puerto

el número y el protocolo se comprueban. Si un número o

nombre ambiguo se utiliza, sólo el número de puerto es

comprobar (por ejemplo, horario de verano el puerto 513 se

imprimirá tanto

TCP / login tráfico y el tráfico UDP / OMS, y el puerto

de dominio se imprimirá tanto en TCP / UDP de dominio y / dominio

 tráfico).

src puerto de puerto de

Verdad si el paquete tiene un valor de puerto de origen el puerto .

len <= longitud .

una mayor duración de

Cierto si el paquete tiene una longitud mayor que o

igual a la longitud . Esto es equivalente a:

len > = longitud .

ip proto protocolo de

Verdad si el paquete es un paquete IP (ver IP (4P) ) de

tipo de protocolo protocolo . Protocolo puede ser un número

o uno de los nombres de tcp , udp o icmp . Nótese que

identificadores del TCP y UDP son también las palabras clave y

debe ser filtrado a través de la barra invertida (\), que es \ \ en el

el. C-shell

IP de difusión

Cierto si el paquete es un paquete de difusión IP. Lo

controles tanto para los ceros todo, y todos los seres de amplios

emitir las convenciones, y mira hacia arriba de la subred local

máscara.