Cuando uno habla de herramientas de hacking para windows, normalmente siempre se acuerda de sysinternals y sus pstools. Sin embargo, suele obviarse el estupendo conjunto de herramientas de nirsoft y, en particular, sus herramientas para “recuperar” passwords, que se encuentran aquí.
2009/09/29
2009/08/12
Securización de switches en nuestra red
Un interesante artículo en CSIRTCV (Centro de Seguridad TIC de la Comunidad Valenciana) sobre securización de estos elementos de la electrónica de red a los que raramente prestamos atención.
Reproduciendo parte del artículo..
Los switches se pueden empezar a securizar mediante la realización de estas tareas:
- Contraseñas por defecto – cambiar las contraseñas por defecto del dispositivo, todas, no solo las de la cuenta que vayamos a utilizar. Muchos switches tienen múltiples cuentas que vienen de fábrica, algunas de las cuales se olvidan fácilmente.
- SNMP v3 – si el dispositivo lo soporta úsalo, de otro modo emplea un community name largo, hay que ser consciente de que será comprometido y que como mínimo ganarán acceso de solo lectura.
- Logging – Usar logging centralizado.
- AAA – Crear un grupo de gestión en el Directorio Activo, ubica en el mismo a aquellos que necesitan acceder a los dispositivos en el grupo y entonces emplear Radius para autenticar a los usuarios. Esto convertirá el acceso en tan bueno como el password empleado por el equipo, aunque también se pueden usar tokens para autenticarse.
- Backup userid/password – si se está empleando autenticación AAA debemos asegurarnos de que tenemos un usuario local y un password que pueda ser empleado en el caso de que los servidores Radius no estén disponibles.
- Gestión VLAN – Muchos switches soportan la gestión de VLAN, por ello se debe configurar y definir ACL para el control de acceso a la VLAN. Esto imposibilita la función de gestión de la red principal y dificulta la vida del pentester (o del atacante potencial).
- Segmentación de la red – Configurar VLANs para segregar los segmentos de red, emplear ACLs para controlar el tráfico entre las mismas (Nota: debe usarse con preacución, ya que es muy fácil cometer un error). También se deben usar diferentes switches físicos para distintos segmentos de red con diferentes requisitos de seguridad, como por ejemplo la DMZ.
- Etiquetado de puertos – No es una medida que incremente la seguridad, pero muchos switches permiten nombrar puertos. Esto significa que escribiendo simplemente ’show’ podemos ver que puertos están siendo utilizados. Resulta muy útil en caso de que no dispongamos del diagrama de red o éste esté obsoleto. Por supuesto, si alguien consigue comprometer el dispositivo tendrá más información sobre que atacar.
- SSH /Telnet – Emplear SSHv2 y deshabilitar el telnet.
- Interfaz Web – Si lo necesitas emplear SSL, sino deshabilitarlo.
- TFTP – Si lo necesitas, como mínimo configura la localización válida.
- Gestión de IPs – Hay switches que permiten configurar la gestión de Ips del dispositivo. Configurarlo conviene para dificultar las acciones de los atacantes.
Leer el artículo completo en el ISC.
2009/08/10
Mantente a salvo de las direcciones IP amenazantes
El ISC (Internet Storm Center) del portal SANS.org guarda una relación de direcciones IP a modo de TOP que clasifica aquellas que están suponiendo una amenaza para nuestras máquinas. En dicha tabla, que se puede encontrar en esta dirección, se incluye el número de ataques reportados, así como las fechas de cuando se reportó por primera y última vez.
En este portal de seguridad también podemos encontrar otros tops y clasificaciones actualizadas diariamente en base a diversos factores (puertos con mayor actividad, países orígen con más ataques reportados…). Vienen bien, sobretodo para saber si “algo se avecina”…
Puedes ver el artículo completo en Security by Default.
2009/08/09
Firewall de Mac OS X
Interesante página sobre el firewall para Mac OS X con un ejemplo de como poner las reglas y controlar el estado de las conexiones. Firewall Tunning on Mac OS X
Si no quieres preocuparte de la linea de comando, puedes utilizar un aplicación gráfica como WaterRoof de Hanynet que hará todo el trabajo por tí. Además dispone de varios conjuntos de reglas de ejemplo para aplicar de inmediato.
2009/08/06
Detectar ordenadores zombis en la red local
En este artículo del “Gurú de la informática” habla sobre una herramienta para detectar ordenadores zombies es una red local llamada “BotHunter”.
BotHunter está diseñado para seguir los flujos de comunicación entre los activos internos y las entidades externas de una botnet, buscando el rastro de evidencias de los intercambios de datos que se producen en la secuencia de infección del malware.
BotHunter consiste en un motor basado en: partes del motor de la versión 2 de Snort y algunas mejoras.
2009/08/02
nmap y otras utilidades
Hace ya un tiempo que leí en “Security by Default” un artículo sobre la suite de herramientas de Fyodor, creador de la herramienta de seguridad por excelencia, nmap. Pero esta no es la única aplicación interesante que nos podemos encontrar dentro de su web http://insecure.org.
Entre las más interesantes:
- Zenmap, como frontend para las utilidades
- ncat, evolución de antigua netcat
- nping, evolución del hping
- ncrack, para probar los sistemas de autenticación de servicios como ssh, ftp, pop3, …
2009/07/14
Sandbox
La traducción de esta palabreja es “caja de arena”, aunque un poco lejos de lo que realmente hace.
Un “Sandbox”, en el mundillo informático, es un método para aislar procesos o programas, con la consiguiente seguridad de no alterar todo aquello que está fuera de la caja donde se ejecuta.
Un software encargado de hacer exactamente eso es Sandboxie.
Con este software se podría ejecutar una instancia de Navegador de Internet o programa de correo electrónico dentro de una cajita de forma que no alteraría al resto del Sistema Operativo.
La ventaja está en que cualquier virus o malware que se intente colar a través de estos programas serían retenidos dentro de la susodicha “cajita” sin alterar el resto del sistema.
2009/07/13
Eliminar información de User-Agent en Navegador y Cliente de Correo
Hay veces que navegando por internet o al enviar un correo no queremos que sepan que programa y/o versión estamos utilizando. Una opción fácil es cambiar en la cabecera el parámetro “User-Agent”.
En Firefox hay que editar la configuración poniendo en la barra de direcciones “about:config” y añadir una línea nueva que ponga “general.useragent.override“. El valor de ese parámetro puede ser, por ejemplo, “Mi Firefox”
En Thunderbird, también existe esa posibilidad. Para ello hay que ir al menú “Herramientas -> Opciones ->Avanzadas -> Editor configuración” y añadir la línea “general.useragent.override“. El valor para ese parámetro puede establecerse a “Mi Thunderbird“.
En Windows se puede hacer algo parecido en Internet Explorer. Pincha en este enlace para ver como.