En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Herramientas para detectar ataques en Linux.

Se trata de tres herramientas para fortificar servidores Linux que forman un complemento muy interesante de seguridad.

La primera es PortSentry una herramienta de seguridad que además de detectar escaneo de puertos puede monitorizar rastreos tipo NULL, SYN, TCP, ARP… Su configuración se realiza en el archivo portsentry.conf en la ruta por defecto “/usr/local/psionic/portsentry/portsentry.conf”

Podemos configurar tres modos:

  • Modo clásico: Usando este modo solo configuraremos en el portsentry.conf los parámetros UDP_PORTS y TCP_PORTS que se asignan a puertos que no usamos, para que en caso de detectar tráfico PortSentry nos avise. Para iniciar el sistema en este modo debemos cargar en el archivo “/etc/rc.local” las siguientes líneas “portsentry –udp” para registrar los puertos UDP y “portsentry –tcp” para registrar los puertos TCP.
  • Modo stealth: es un modo para detectar rastreos de tipo NULL, SYN, TCP, ARP. Es experimental y no es muy recomendable. Para iniciar el sistema en este modo debemos cargar en el archivo “/etc/rc.local” las siguientes líneas “portsentry –sudp” para registrar los puertos UDP y “portsentry –stcp” para registrar los puertos TCP
  • Modo avanzado: Este modo es para notificar los puertos en los que hay muchas peticiones que se incluyan en los parámetros ADVANCED_PORTS_TCP y ADVANCED_PORTS_UDP de portsentry.conf, para excluir puertos que sabemos que tienen peticiones y no queremos auditar usamos los parámetros ADVANCED_EXCLUDE_TCP y ADVANCED_EXCLUDE_UDP. Para iniciar el sistema en este modo debemos cargar en el archivo “/etc/rc.local” las siguientes líneas “portsentry –audp” para registrar los puertos UDP y “portsentry –atcp” para registrar los puertos TCP

La siguiente herramienta es HostSentry que nos permite detectar login sospechosos en nuestra maquina. Esta herramienta es capaz de aprender los patrones de comportamientos de conexión de los usuarios para después detectar comportamientos inusuales.

La otra herramienta es LogSentry para auditar log del sistema. Es muy eficaz y además instala el programa logtail en "/usr/local/bin" para tener un log de archivos analizados y los siguientes scipts:

Logcheck.sh, de configuración básica.
Logcheck.hacking, para identificar los niveles de actividad.
Logcheck.ignore, expresiones que no deben incluirse en el log.
Logcheck.violations, expresiones consideradas como violaciones de seguridad.
Logcheck.violations.ignore, un script para exclusiones.

Más información y descarga de estas tres herramientas:
http://sourceforge.net/projects/sentrytools/
Herramientas para detectar ataques en Linux. Herramientas para detectar ataques en Linux. Reviewed by Álvaro Paz on lunes, noviembre 19, 2007 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.