Resultados 1 al 2 de 2

Tema: Las diez herramientas de seguridad mas populares.

  1. #1 Las diez herramientas de seguridad mas populares. 
    Moderadora HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Cordoba.Argentina.
    Mensajes
    1.009
    Descargas
    0
    Uploads
    0
    Estas son las diez herramientas de seguridad mas populares..los detalles son basicos pero al menos nos sirven para tener una idea si aun no las conocemos a todas.


    Nessus:


    es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en nessusd, el daemon Nessus, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance y reporte de los escaneos. Desde consola nessus puede ser programado para hacer escaneos programados con cron.

    En operación normal, nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos en NASL (Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas en inglés), un lenguaje scripting optimizado para interacciones personalizadas en redes.

    Opcionalmente, los resultados del escaneo pueden ser exportados en reportes en varios formatos, como texto plano, XML, HTML, y LaTeX. Los resultados también pueden ser guardados en una base de conocimiento para referencia en futuros escaneos de vulnerabilidades.

    Algunas de las pruebas de vulnerabilidades de Nessus pueden causar que los servicios o sistemas operativos se corrompan y caigan. El usuario puede evitar esto desactivando "unsafe test" (pruebas no seguras) antes de escanear.

    Wireshark

    el nuevo nombre para Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos.

    La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark.

    Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesión de TCP.

    Wireshark es software libre, y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, y Mac OS X, así como en Microsoft Windows.

    * mantenido bajo la licencia GPL
    * Trabaja tanto en modo promiscuo como en modo no promiscuo
    * Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura previa.)
    * Basado en la librería pcap
    * Tiene una interfaz muy flexible
    * Capacidades de filtrado muy ricas
    * Admite el formato estándar de archivos tcpdump
    * Reconstrucción de sesiones TCP
    * Se ejecuta en más de 20 plataformas
    * Es compatible con más de 480 protocolos
    * Puede leer archivos de captura de más de 20 productos

    Snort

    es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.

    Este IDS implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap...

    Puede funcionar como sniffer (podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS). Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se logea. Así se sabe cuando, de donde y cómo se produjo el ataque.

    Aún cuando tcpdump es considerada una herramienta de auditoría muy útil, no se considera un verdadero IDS puesto que no analiza ni señala paquetes por anomalías. tcpdump imprime toda la información de paquetes a la salida en pantalla o a un archivo de registro sin ningún tipo de análisis. Un verdadero IDS analiza los paquetes, marca las transmisiones que sean potencialmente maliciosas y las almacena en un registro formateado, así, Snort utiliza la libreria estándar libcap y tcpdump como registro de paquetes en el fondo.

    Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.

    La característica más apreciada de Snort, además de su funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una base de datos de ataques que se está actualizando constantemente y a la cual se puede añadir o actualizar a través de la Internet. Los usuarios pueden crear 'firmas' basadas en las características de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, para que así todos los usuarios de Snort se puedan beneficiar. Esta ética de comunidad y compartir ha convertido a Snort en uno de los IDSes basados en red más populares, actualizados y robustos.

    Captura de la consola del sistema:



    Netcat

    A menudo referida como la navaja multiusos de los hackers, es una herramienta de red bajo licencia GPL disponible para sistemas UNIX, Microsoft y Apple que permite a través de intérprete de comandos y con una sintaxis muy sencilla abrir puertos TCP/UDP en un HOST (quedando netcat a la escucha), asociar una shell a un puerto en concreto (para conectarse por ejemplo a MSDOS o al intérprete bash de Linux remotamente) y forzar conexiones UDP/TCP (útil por ejemplo para realizar rastreos de puertos o realizar transferencias de archivos bit a bit entre dos equipos).

    Sus capacidades hacen que sea a menudo usada como una herramienta para abrir puertas traseras una vez invadido un sistema y obtenido privilegios de administrador o root del equipo.

    Metasploit framework


    El Proyecto Metasploit es un proyecto open source de seguridad informática que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración y en el desarrollo de firmas para Sistemas de Detección de Intrusos. Sus subproyecto más conocido es el Metasploit Framework, una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Otros subproyectos importantes son la bases de datos de opcodes (códigos de operación), un archivo de shellcodes, e investigación sobre seguridad. Inicialmente fue creado utilizando el lenguaje de programación de scripting Perl, aunque actualmente el Metasploit Framework ha sido escrito de nuevo completamente en el lenguaje Ruby.

    Hping2

    hping2 es una herramienta de red capaz de enviar paquetes ICMP/UDP/TCP hechos a medida y de mostrar las respuestas del host destino de la misma manera en la que lo hace la herramienta `ping' los las respuestas de ICMP. Puede manejar fragmentación y tamaños y cuerpo arbitrarios de paquetes; además puede ser utilizado para transferir archivo usando protocolos soportados. Al usar hping2, se puede: evaluar el desempeño de la red utilizando diferentes protocolos, tamaños de paquetes, TOS (type of service, o sea, tipo de servicio), y fragmentación; realizar descubrimiento de camino utilizando el campo MTU (onda traceroute); transferir archivos (incluso ante reglas de firewall muy fascistas); realizar funciones al estilo `traceroute' pero bajo diferentes protocolos; detección remota de OS (`remote OS fingerprinting'); auditar una implementación de TCP/IP (`TCP/IP stack') en particular; etc. hping2 es una buena herramienta para aprender acerca de TCP/IP.

    Kismet

    es un sniffer, un husmeador de paquetes, y un sistema de detección de intrusiones para redes inalámbricas 802.11. Kismet funciona con cualquier tarjeta inalámbrica que soporte el modo de monitorización raw, y puede rastrear tráfico 802.11b, 802.11a y 802.11g. El programa corre bajo Linux, FreeBSD, NetBSD, OpenBSD, y Mac OS X. El cliente puede también funcionar en Windows, aunque la única fuente entrante de paquetes compatible es otra sonda.

    Características

    Kismet se diferencia de la mayoría de los otros sniffers inalámbricos en su funcionamiento pasivo. Es decir que lo hace sin enviar ningún paquete detectable, permitiendo detectar la presencia de varios puntos de acceso y clientes inalámbricos, asociando unos con otros.

    Kismet también incluye características básicas de Sistemas de detección de intrusos como detectar programas de rastreo inalámbricos incluyendo a NetStumbler, así como también ciertos ataques de red inalámbricos.

    Servidor/sonda/infraestructura cliente

    Kismet tiene tres partes diferenciadas. Una Sonda que puede usarse para recoger paquetes, que son enviados a un servidor para su interpretación. Un servidor que puede o bien ser usado en conjunción con una sonda, o consigo mismo, interpretando los datos de los paquetes, extrapolando la información inalámbrica, y organizándola. El cliente se comunica con el servidor y muestra la información que el servidor recoge.



    es un herramienta en línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red.

    Permite al usuario capturar y mostrar a tiempo real los paquetes transmitidos y recibidos en la red a la cual el ordenador está atado. Está escrito por Van Jacobson, Craig Leres, y Steven McCanne que trabajaban en este tiempo en el Grupo de Investigación de Red del Laboratorio Lawrence Berkeley. Más tarde el programa fue ampliado por Andrew Tridgell.

    tcpdump funciona en la mayoría de los sistemas operativos UNIX: Linux, Solaris, BSD, Mac OS X, HP-UX and AIX entre otros. En esos sistemas, tcpdump hace uso de la librería libpcap para capturar los paquetes que circulan por la red.

    Existe una adaptación de tcpdump para los sistemas Windows que se llama WinDump y que hace uso de la librería Winpcap.

    En UNIX y otros sistemas operativos, es necesario tener los privilegios del root para utilizar tcpdump.

    El usuario puede aplicar varios filtros para que sea más depurada la salida. Un filtro es una expresión que va detrás de las opciones y que nos permite seleccionar los paquetes que estamos buscando. En ausencia de ésta, el tcpdump volcará todo el tráfico que vea el adaptador de red seleccionado.

    Utilización frecuente de tcpdump

    * Para depurar aplicaciones que utilizan la red para comunicar.
    * Para depurar la red misma.
    * Para capturar y leer datos enviados por otros usarios o ordenadores. Algunos protocolos como telnet y HTTP no cifran los datos que envían en la red. Un usuario que tiene el control de un router a través del cual circula tráfico no cifrado puede usar tcpdump para lograr contraseñas u otras informaciones.

    Funcionamiento

    Parámetros

    tcpdump [-aAdDeflLnNOpqRStuUvxX] [-c count] [ -C file_size ]
    [ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ]
    [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
    [ -W filecount ] [ -y datalinktype ] [ -Z user ]
    [ expression ]

    * -A: Imprime cada paquete en código ASCII
    * -D: Imprime la lista de interfaces disponibles
    * -n: No convierte las direcciones de salida
    * -p: No utliza el interfaz especificado en modo promiscuo
    * -t: No imprime la hora de captura de cada trama
    * -x: Imprime cada paquete en hexadecimal
    * -X: Imprime cada paquete en hexadecimal y código ASCII

    * -c count: Cierra el programa tras recibir 'count' paquetes
    * -C file_size
    * -E algo:secret
    * -F file
    * -i interface: Escucha en el interfaz especificado
    * -M secret
    * -r file
    * -s snaplen
    * -T type
    * -w file: Guarda la salida en el fichero 'file'
    * -W filecount
    * -y datalinktype
    * -Z user

    Filtros

    * type [host|net|port]: Máquina en particular [host], red completa [net] o puerto concreto [port].
    * dir [srt|dst|src or dst|src and dst]: Especifica desde [srt] o hacia dónde [dst] se dirige la información.
    * proto [tcp|udp|ip|ether]: Protocolo que queremos capturar.

    Salida del comando

    src > dst: flags [dataseq ack window urgent options]

    15:23:44.772291 IP 192.168.1.17.52798 > 85.Red-83-37-170.dynamicIP.rima-tde.net.65000: . ack 1791 win 7851 <nop,nop,timestamp 5520421 997821>

    * src: Dirección y puerto origen.
    * dst: Dirección y puerto destino.
    * flags: [Flags] de la cabecera TCP. (.) si no hay flags o combinación de S (SYN), F (FIN), P (PUSH), W (reducción de la ventana de congestión), E (ECN eco).
    * dataseq: Número de secuencia del primer byte de datos en este segmento TCP. El formato es primero:ultimo(n).
    * ack: El número de asentimiento. Indica el número siguiente de secuencia que se espera recibir.
    * window: Tamaño de la ventana de recepción.
    * urgent: Existen datos urgentes.
    * options: Indica la existencia de opciones. Van entre "<"...">".

    Ejemplos

    Capturar trafico cuya IP origen sea 192.168.3.1

    tcpdump src host 192.168.3.1

    Capturar tráfico cuya dirección origen o destino sea 192.168.3.2

    tcpdump host 192.168.3.2

    Capturar tráfico con destino a la dirección MAC 50:43:A5:AE:69:55

    tcpdump ether dst 50:43:A5:AE:69:55

    Capturar tráfico con red destino 192.168.3.0

    tcpdump dst net 192.168.3.0

    Capturar tráfico con red origen 192.168.3.0/28

    tcpdump src net 192.168.3.0 mask 255.255.255.240
    tcpdump src net 192.168.3.0/28

    Capturar tráfico con destino el puerto 23

    tcpdump dst port 23

    Capturar tráfico con origen o destino el puerto 110

    tcpdump port 110

    Capturar los paquetes de tipo ICMP

    tcpdump ip proto \\ip

    Capturar los paquetes de tipo UDP


    tcpdump ip proto \\udp
    tcpdump udp

    Capturar el tráfico Web

    tcpdump tcp and port 80

    Capturar las peticiones de DNS

    tcpdump udp and dst port 53

    Capturar el tráfico al puerto telnet o SSH

    tcpdump tcp and \(port 22 or port 23\)

    Capturar todo el tráfico excepto el web

    tcpdump tcp and not port 80

    Cain and Abel

    una herramienta para recuperar contraseñas para Windows, que también incluye funciones de sniffer y detector de redes Wi-Fi.

    John the Ripper

    es un programa de criptografía que aplica fuerza bruta para descifrar contraseñas. Es capaz de romper varios algoritmos de cifrado, como DES, SHA-1 y otros.

    Es una herramienta de seguridad muy popular, ya que permite a los administradores de sistemas comprobar que las contraseñas de los usuarios son suficientemente buenas.

    John the Ripper es capaz de autodetectar el tipo de cifrado de entre muchos disponibles, y se puede personalizar su algoritmo de prueba de contraseñas. Eso ha hecho que sea uno de los más usados en este campo.

    Algoritmos que entiende

    * los que se han usado comúnmente en Unix (con la llamada al sistema crypt): DES, MD5, Blowfish
    * Kerberos AFS
    * hash LM (Lan Manager), el sistema usado en Windows NT/2000/XP/2003

    Mediante módulos externos, se puede hacer que también trabaje con:

    * MD4
    * LDAP
    * MySQL
    * y otros

    Características

    * optimizado para muchos modelos de procesador.
    * funciona en muchas arquitecturas y sistemas operativos.
    * ataques de diccionario y por fuerza bruta.
    * muy personalizable (es software libre).
    * permite definir el rango de letras que se usará para construir las palabras, y las longitudes.
    * permite parar el proceso, y continuarlo más adelante.
    * permite incluir reglas en el diccionario para decir cómo han de hacerse las variaciones tipográficas
    * se puede automatizar; por ejemplo, ponerlo en cron.

    Funcionamiento

    John the Ripper usa un ataque por diccionario: tiene un diccionario con palabras que pueden ser contraseñas típicas, y las va probando todas. Para cada palabra, la cifra y la compara con el hash a descifrar. Si coinciden, es que la palabra era la correcta.

    Esto funciona bien porque la mayor parte de las contraseñas que usa la gente son palabras de diccionario. Pero John the Ripper también prueba con variaciones de estas palabras: les añade números, signos, mayúsculas y minúsculas, cambia letras, combina palabras, etc.

    Además ofrece el típico sistema de fuerza bruta en el que se prueban todas las combinaciones posibles, sean palabras o no. Éste es el sistema más lento, y usado sólo en casos concretos, ya que los sistemas anteriores (el ataque por diccionario) ya permiten descubrir muy rápidamente las contraseñas débiles.

    Plataformas disponibles

    John the Ripper al principio fue diseñado para Unix, pero ahora funciona en al menos 15 sistemas operativos distintos: 11 tipos de Unix, MS-DOS, Windows, BeOS y OpenVMS. Se puede encontrar en la mayoría de distribuciones Linux.

    Es software libre distribuido bajo la licencia GPL, aunque permite que algunas partes del programa se usen con otras licencias, y otras están bajo el dominio público.

    Ética

    Aunque esté catalogada como herramienta de ******ing, John the Ripper es una utilidad para administradores, muy sencilla y que no comporta peligro para el usuario si la usa de forma adecuada.

    No pasa nada malo por ejecutar una herramienta de este tipo en un ordenador personal. Sin embargo, en ordenadores multi-usuario a veces se prohíbe su uso, ya que al hacer fuerza bruta, es fácil que consuma todo el tiempo de CPU.

    Los administradores de sistemas lo pueden usar para evitar que sus usuarios pongan contraseñas demasiado fáciles, pero lo habitual es hacerlo mediante un programa automático, que sólo se interese por si la clave se puede adivinar fácilmente o no. En ningún caso es necesario que el administrador conozca la clave exacta; sólo ha de saber si es buena o no.

    En un sistema Unix, algunos usuarios malintencionados pueden intentar usar este programa para obtener información de acceso. Para evitarlo, sólo hay que asegurarse de que las contraseñas cifradas no estén visibles en el fichero /etc/passwd, sino en el fichero /etc/shadow, que ha tener desactivado el permiso de lectura para los usuarios normales. Todos los sistemas actuales (2006) lo hacen así.


    Descarga de las mismas:


    http://www.nessus.org/

    http://www.wireshark.org/

    http://www.snort.org/

    http://www.vulnwatch.org/netcat/

    http://www.metasploit.com/

    http://www.hping.org/

    http://www.kismetwireless.net/

    http://www.tcpdump.org/

    http://www.oxid.it/cain.html

    http://www.openwall.com/john/

    Los datos los he recopilado de wikipedia (uno a uno)y de las propias web de las herramientas.

    Saludos
    Mimasol
    Citar  
     

  2. #2  
    Medio
    Fecha de ingreso
    May 2006
    Mensajes
    51
    Descargas
    0
    Uploads
    0
    Agrego el Nmap:

    • Un escaneador de puertos de código abierto y gratuito.
    • Permite realizar docenas de técnicas avanzadas como: Detección de sistemas operativos, detección de versión de servicios, evasión de ids, escaneos UDP
    • Fácil de usar.
    • Soporta casi todos los sistemas operativos Linux, Microsoft Windows*, FreeBSD, OpenBSD, Solaris, IRIX, Mac OS X, HP-UX, NetBSD, Sun OS.
    • Esta bien documentado**.
    • Incluye una opcion para ver todos los paqutes que envía y recibe.

    * Algunas funciones como por ejemplo: Fragmentar paquetes o escaneo SYN son un poco mas lentos y no funcionan adecuadamente. Se puede compilar unicamente con el Micro$oft Vi$ual C++ 2005
    **Pueden encontrar el manual en español aquí (http://insecure.org/nmap/man/es/)

    Pagina de descarga del Nmap: http://insecure.org/nmap/
    Citar  
     

Temas similares

  1. Diez herramientas para crackear Wi-Fi
    Por LUK en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 18-09-2015, 16:45
  2. LiveCD con herramientas de seguridad de red
    Por LUK en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 18-11-2009, 20:55
  3. Diez veces más de amenazas de seguridad en el 2008
    Por ABODUJANA en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 14-04-2008, 16:01
  4. Respuestas: 3
    Último mensaje: 27-06-2006, 04:12
  5. Las 75 herramientas de seguridad más usadas
    Por {^JaB3^} en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 11-05-2003, 03:37

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •