miércoles, julio 01, 2015

Sistema integrado para la detección de vulnerabilidades en redes locales.

MIG se compone de agentes instalados en todos los sistemas de una red, formando una infraestructura que permite consultar e investigar en tiempo real: cambios en sistemas de archivos, estado de la red, la memoria o configuración.


MIG es tremendamente efectivo para la búsqueda de vulnerabilidades. Utilizando el módulo de archivos se pueden buscar vulnerabilidades en aplicaciones empleando: un md5 de un archivo, una expresión regular del archivo o simplemente un nombre de archivo.  Del mismo modo se pueden rastrear indicios de que el sistema esta comprometido como: entradas de registro específicas, hashes, direcciones IP de las redes de botnet y firmas en procesos.

Los agentes MIG están diseñados para ser ligeros, seguros y fáciles de implementar para que los administradores de sistemas puedan añadirlos a un despliegue sin miedo inhabilitar la red de producción. Todos los parámetros están integradas en el agente en tiempo de compilación, incluyendo las ACL de usuarios autorizados. La seguridad se refuerza con el uso de claves PGP, e incluso si los servidores de MIG se ven comprometidos, siempre y cuando las llaves están a salvo en poder del administrador, no se puede acceder a los agentes.

MIG está diseñado para ser rápido, y asíncrono. Utiliza AMQP para distribuir acciones en puntos finales y se basa en canales para  evitar el bloqueo de los componentes. Las acciones y comandos se almacenan en una base de datos PostgreSQL, de tal forma que la fiabilidad de la plataforma no depende de procesos de larga duración.

La velocidad es un punto fuerte de MIG. La mayoría de las acciones sólo tardaran unos cientos de milisegundos  ejecutarse en los agentes. Las mas complejas, por ejemplo, la búsqueda de un hash en un gran directorio, debe completarse en menos de un minuto o dos. Con todo, una investigación por lo general termina en entre 10 y 300 segundos.

Privacidad y seguridad son primordiales. Los agentes nunca envían los datos sin procesar de nuevo a la plataforma, sólo responden cuando son interrogados. Todas las acciones están firmadas por claves GPG que no se almacenan en la plataforma, lo que impide un ataque puntual comprometa toda la infraestructura.

MIG utiliza firma de acciones JSON que representa la operación de la investigación realizada por un grupo de agentes. El formato JSON está diseñado para ser fácil de leer y fácil de escribir sin la ayuda de un programa. El objetivo a largo plazo es permitir a los investigadores compartir documentos fácilmente.

La línea de comandos es la interfaz principal de MIG. Proporciona el conjunto básico de comandos para crear las investigaciones, firmarlas, publicarlos en la API y analizar los resultados.

Más información y descarga de MIG:
https://github.com/mozilla/mig

miércoles, junio 24, 2015

Herramientas para auditar seguridad de servidores DNS.

DNSA y DNSA-NG son herramientas  para Linux diseñados para probar los problemas de seguridad de servidores DNS. Puede trabajar con libnet-ng y soporta nuevas características. Como soporte para los controladores de host-ap y madwifi por parte de DNSA-NG. La más importante es un soporte Wifi completo usando 2 tarjetas:


  • La primera en modo monitor que captan trafico IEE 802.11.
  • El segundo asociado a los paquetes de AP y inyectando paquetes DNS. 

DNSA fue diseñada, fruto de la falta de herramientas de auditoría de servidores DNS. Utiliza libnet y libpcap. Libnet es una API de alto nivel  que permite construir aplicaciones e inyectar paquetes de red. Proporciona una interfaz portátil y simplificada para: la generación de paquetes de red de bajo nivel, la manipulación y la inyección. Libnet facilita gran parte del tedio de la creación de paquetes tales como la multiplexación, gestión de memoria intermedia, la información de cabecera de paquetes, ordenación de bytes... Libnet dispone de interfaces de creación de paquetes portátiles en la capa IP y la capa de enlace, así como una serie de complementos y la funcionalidades. Usando libnet, se puede prepararon rápidamente con poco esfuerzo aplicaciones de generación de paquetes rápida y sencilla. Traceroute y ping fueron reescritos fácilmente usando libnet y libpcap.

Más información y descarga de DNSA y DNSA-NG:
http://packetfactory.openwall.net/projects/dnsa/index.html

Obtener hábitos de navegación de servidor DNS con técnicas de DNS Snooper.
http://www.gurudelainformatica.es/2015/01/obtener-habitos-de-navegacion-de.html

miércoles, junio 17, 2015

Auditar topologia de redes MPLS.

MPLS (Multiprotocol Label Switching) es un protocolo de transporte de datos estándar creado por la IETF y definido en el RFC 3031. En el modelo OSI estaría situado entre la capa de enlace de datos y la capa de red. Fue diseñado para unificar el servicio de transporte de datos para las redes basadas en circuitos y las basadas en paquetes, reemplazando rápidamente frame relay y ATM como la tecnología preferida para llevar datos de alta velocidad y voz digital en una sola conexión. MPLS  proporciona una mayor fiabilidad y un mayor rendimiento, a menudo puede reducir los costos generales mediante una mayor eficiencia de la red. Permite dar prioridad a los paquetes que transportan tráfico de voz, esto lo convierte en la solución ideal para transportar las llamadas VoIP.


Existen dos herramientas ideales para auditar la topologia de redes MPLS y ver los cambios de enrrutamiento para reforzar la seguridad de la red:


LinkRank es una herramienta para visualizar los cambios de enrutamiento BGP (protocolo utilizado en MPLS). Esta herramienta puede ser utilizada para entender la dinámica de enrutamiento, o para aprender más sobre BGP. LinkRank resume los megabytes de actualizaciones BGP recibidos de los puntos de recogida y genera gráficos que indican los segmentos de rutas afectadas. Captura la dinámica de enrutamiento en forma gráfico que muestra claramente que los enlaces AS-AS han perdido rutas y cuáles han ganado rutas.Cada enlace AS-AS se pesa por el número de rutas BGP realizan y los cambios en los pesos de enlace se utilizan para visualizar los eventos de enrutamiento.

Más información y descarga de LinkRank:
http://sourceforge.net/projects/link-rank/?source=directory

Netaudit es una herramienta para hacer auditorías de una red MPLS. La auditoría se realiza mediante la ejecución de una serie de comandos y tablas SNMP para reunir información sobre el estado actual de los dispositivos. La información obtenida se puede comparar con las dos salidas diferencias.

El principal uso de la herramienta es tomar una instantánea del estado de un red antes de: una actualización de software, incorporación de nuevos elementos... Los datos se almacenan en una base de datos SQLite3 y se puede ver ya sea consultas SQL directas, o (recomendado) la función "netreport" incluidas en la distribución.

Más información y descarga de Netaudit:
https://github.com/hemmop/netaudit