domingo, 31 de mayo de 2009

PROYECTO OSSIM

OSSIM
Open Source Security Information Management


Una de las tareas más árduas que puede llevar a cabo un administrador de redes tiene que ver con la auditoría y control de seguridad de una red, esto es, ser capaces de ver qué está ocurriendo en una red, a ser posible en tiempo real, y si hay alguna anomalía en la misma intentar entender a qué se debe: ataques, fallos, desde fuera, desde la propia red, qué usuarios, quién consume ancho de banda y en qué servicios,....

Hasta ahora, existen "multitud" de programas, algunos de ellos comerciales que nos permiten realizar estas tareas, por ejemplo para auditar, comercialmente de modo activo la red tendríamos GFI Languard, o Network Probe en modo pasivo,... IDS como el incluido por el propio ISA Server,...

Todas ellas constituyen herramientas que, de modo aislado -cada una serviría para realizar una tarea-, nos permiten detectar intrusiones en nuestra red, auditar los protocolos existentes y el tráfico,...

Los problemas a los que nos enfrentamos cuando somos los encargados de una red se derivan, fundamentalmente de los siguientes aspectos: en primer lugar todas estas herramientas generan gran cantidad de ficheros de registro (logs) que deberemos auditar por separado, en segundo lugar la complejidad de estas herramientas y su configuración, y por último y no menos significativo, la gran cantidad de falsos positivos que suelen generar.

Para paliar el resultado de todos estos factores cuyo sentimiento sobre los administradores de red se puede resumir, usando palabras de los diseñadores de ossim, en el siguiente párrafo: "Nos sorprende que con el fuerte desarrollo tecnológico producido en los últimos años que nos ha provisto de herramientas de con capacidades como la de los IDS, sea tan complejo desde el punto de vista de seguridad obtener una foto de una red y obtener una información con un grado de abstracción que permita una revisión práctica y asumible." han desarrollado, básicamente, un entorno común e interrelacionado, usando herramientas libres ya disponibles, de reconocido prestigio para sistemas Linux, integrándolas en un interfaz en el que además se relaciona la información proveniente de distintas fuentes para así tener una información mucho más fiable.

Básicamente esta plataforma agrupa bajo una interfaz web, las siguientes herramientas:
Otra de las ventajas de este proyecto es que se encuentran disponibles para distribuciones basadas en Debian y Fedora. Pero además nos podemos bajar una ISO que nos instalará en un equipo una distribución basada en Debian con todos los paquetes necesarios, facilitando de este modo la instalación de un equipo para monitorizar nuestra red.

Para mayor informacion http://www.ossim.net/whatis_es.php

Por viafarajw

viernes, 15 de mayo de 2009

Telnet

Introducción a Telnet

Telnet es un protocolo que sirve para emular una terminal remota, lo que significa que se puede utilizar para ejecutar comandos introducidos con un teclado en un equipo remoto. La herramienta Telnet está implementada por el protocolo Telnet. Esto significa que traduce las especificaciones del protocolo al lenguaje de programación a fin de crear un programa que pueda emular una terminal.

Telnet opera en un entorno de cliente/servidor, lo que implica que el equipo remoto se configura como servidor, por lo que espera que el otro equipo le solicite un servicio. Por lo tanto, dado que este equipo remoto envía datos que se deben mostrar, el usuario siente que está trabajando directamente en un ordenador remoto. En UNIX, este servicio se brinda por medio de lo que se conoce como un daemon (daemon), una tarea pequeña que se ejecuta de fondo. El daemon de Telnet se denomina Telnetd.

Protocolos e implementación

Telnet también es un protocolo, un conjunto de reglas y procedimientos que se definieron para estandarizar la comunicación de Telnet. Por esta razón, Telnet se implementó en muchas plataformas, en base a las especificaciones del protocolo.

Cómo ejecutar Telnet

Telnet se proporciona con varias plataformas, incluidas UNIX, Windows 95, Windows NT, y Linux.
El comando para iniciar una sesión Telnet generalmente es:

telnet nombre_del_servidor

nombre_del_servidor representa el nombre o la dirección IP del equipo remoto al que se quiere conectar el usuario. También puede usar su dirección IP, por ejemplo:

telnet 125.64.124.77

Por último, también puede especificar el puerto que desea usar introduciendo el número de puerto después de la dirección IP o el nombre del servidor:

telnet 125.64.124.77 80

Comandos en Telnet

Una vez conectado al equipo remoto, se le solicitará que introduzca un nombre de usuario y una contraseña por razones de seguridad para permitir el acceso únicamente a los individuos autorizados. De hecho, la razón por la que Telnet es un protocolo tan potente es el hecho de que permite que los comandos se ejecuten en forma remota. El administrador de red define los comandos que se pueden ejecutar en una sesión Telnet. Generalmente son comandos UNIX, ya que la mayoría de los servidores Telnet pueden ejecutar UNIX. Los comandos estándar son:

ComandoDescripción
? mostrar ayuda
close Cerrar sesión Telnet
display Mostrar la configuración de la conexión en pantalla (tipo de terminal y puerto)
entorno Para definir las variables del entorno del sistema operativo
logout Para cerrar la sesión
mode Cambia entre los modos de transferencia ASCII (transferencia de un archivo como texto) y los modos BINARIOS (transferencia de un archivo en modo binario)
open Abre otra conexión de la actual
quit Sale de la aplicación Telnet
set Cambia la configuración de conexión
unsetCarga la configuración de conexión predeterminada