Go Back   Champions of Regnum > Español > La Taberna

La Taberna Un lugar para conversar sobre casi cualquier tema

Reply
 
Thread Tools Display Modes
Old 10-17-2008, 10:13 PM   #1241
arlick
Duke
 
arlick's Avatar
 
Join Date: Jan 2007
Posts: 3,939
arlick is a jewel in the rougharlick is a jewel in the rougharlick is a jewel in the rough
Default

estaba buscando información sobre algún host ids para linux y me he encontrado con esto:

http://www.linuxsecurity.com/resourc...-tutorial.html

Para mí el mejor manual de iptables que he visto hasta ahora, queda archivado para futura lectura . Muy completo y muy bien explicado todo.

ya que estoy... alguno conoce algún host ids que funciona bajo linux? :P
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia
"uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan
arlick no ha iniciado sesión   Reply With Quote
Old 10-17-2008, 10:15 PM   #1242
pescaupintau
Marquis
 
pescaupintau's Avatar
 
Join Date: Oct 2006
Location: no se pudo establecar conexión con el servidor
Posts: 2,057
pescaupintau is a jewel in the roughpescaupintau is a jewel in the roughpescaupintau is a jewel in the rough
Default

si me decís a cual de todas estas definiciones corresponde ids te ayudo a buscar programa:
http://www.google.com/search?q=defin...nt=iceweasel-a

pd: ¿manual de iptables?... mejor ir a las fuentes http://www.netfilter.org/
__________________
in theCopyleft—all rights reversed
pescaupintau no ha iniciado sesión   Reply With Quote
Old 10-17-2008, 10:18 PM   #1243
arlick
Duke
 
arlick's Avatar
 
Join Date: Jan 2007
Posts: 3,939
arlick is a jewel in the rougharlick is a jewel in the rougharlick is a jewel in the rough
Default

Quote:
Originally Posted by pescau
si me decís a cual de todas estas definiciones corresponde ids te ayudo a buscar programa:
http://www.google.com/search?q=defin...nt=iceweasel-a

pd: ¿manual de iptables?... mejor ir a las fuentes http://www.netfilter.org/
ids = sistema de detección de intrusos.
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia
"uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan
arlick no ha iniciado sesión   Reply With Quote
Old 10-17-2008, 10:22 PM   #1244
pescaupintau
Marquis
 
pescaupintau's Avatar
 
Join Date: Oct 2006
Location: no se pudo establecar conexión con el servidor
Posts: 2,057
pescaupintau is a jewel in the roughpescaupintau is a jewel in the roughpescaupintau is a jewel in the rough
Default

apt-cache show aide
Description: Advanced Intrusion Detection Environment - static binary
AIDE is an intrusion detection system that detects changes to files on
the local system. It creates a database from the regular expression rules
that it finds from the config file. Once this database is initialized
it can be used to verify the integrity of the files. It has several
message digest algorithms (md5, sha1, rmd160, tiger, haval, etc.) that are
used to check the integrity of the file. More algorithms can be added
with relative ease. All of the usual file attributes can also be checked
for inconsistencies.
.
This package contains the statically linked binary for "normal"
systems.
.
You will almost certainly want to tweak the configuration file in
/etc/aide/aide.conf or drop your own config snippets into
/etc/aide/aide.conf.d.

apt-cache show snort
Snort is a libpcap-based packet sniffer/logger which can be used as a
lightweight network intrusion detection system. It features rules
based logging and can perform content searching/matching in addition
to being used to detect a variety of other attacks and probes, such
as buffer overflows, stealth port scans, CGI attacks, SMB probes, and
much more. Snort has a real-time alerting capability, with alerts being
sent to syslog, a separate "alert" file, or even to a Windows computer
via Samba.
.
This package provides the plain-vanilla version of Snort and does not
provide database (available in snort-pgsql and snort-mysql) support.
Homepage: http://www.snort.org/
Ese snort es muy zarpado
__________________
in theCopyleft—all rights reversed
pescaupintau no ha iniciado sesión   Reply With Quote
Old 10-17-2008, 10:51 PM   #1245
ArcticWolf
Duke
 
ArcticWolf's Avatar
 
Join Date: Nov 2006
Location: 0x00CAFE
Posts: 3,366
ArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of light
Default

Según tengo entendido, AIDA debería ser utilizado con un honeypot.
__________________
I don't have a solution, but I admire the problem.
ArcticWolf no ha iniciado sesión   Reply With Quote
Old 10-17-2008, 10:54 PM   #1246
pescaupintau
Marquis
 
pescaupintau's Avatar
 
Join Date: Oct 2006
Location: no se pudo establecar conexión con el servidor
Posts: 2,057
pescaupintau is a jewel in the roughpescaupintau is a jewel in the roughpescaupintau is a jewel in the rough
Default

acabo de grabar un live-usb de e-live. ¿y cual es la cosa?, que en su momento lo consideré como una de mis opciones para instalarle a mi compactita, pero no encontré que mencionen algo (como que traiga drivers y esas cosas)
Hoy no se que se me dió por bajar uno y ahora lo puse en el pendrive, reinicio y una de las opciones del grub es: eee-pc...
será que la formateo para ponerle este?
__________________
in theCopyleft—all rights reversed
pescaupintau no ha iniciado sesión   Reply With Quote
Old 10-18-2008, 04:28 AM   #1247
arlick
Duke
 
arlick's Avatar
 
Join Date: Jan 2007
Posts: 3,939
arlick is a jewel in the rougharlick is a jewel in the rougharlick is a jewel in the rough
Default

snort lo conozco, pero lo que quiero no es solo un programa que registre las actividades en logs, lo que concretamente busco es uno que sea capaz de buscar comportamientos concretos y actuar, por ejemplo un escaneado de puertos, o tratar de meter un una comunicación nociva con fragmetación ip (así suelen saltearse algunos firewalls).

grax de todas formas :P

aca el manual de snort:

http://www.snort.org/docs/snort_htmanuals/htmanual_283/

nunca encontré que hiciese lo que busco.

edit:

shit! recien veo esto, por qué no lo había visto antes?:

http://www.snort.org/docs/snort_htma...83/node72.html

mañana le hecho un ojo, ya va siendo hora de ir a la cama
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia
"uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan
arlick no ha iniciado sesión   Reply With Quote
Old 10-18-2008, 12:40 PM   #1248
pescaupintau
Marquis
 
pescaupintau's Avatar
 
Join Date: Oct 2006
Location: no se pudo establecar conexión con el servidor
Posts: 2,057
pescaupintau is a jewel in the roughpescaupintau is a jewel in the roughpescaupintau is a jewel in the rough
Default

En realidad te conviene ser pro-activo (hacer las cosas antes que ocurran), te recomiendo nessus
Quote:
Description: Remote network security auditor, the client
The Nessus Security Scanner is a security auditing tool. It makes
possible to test security modules in an attempt to find vulnerable
spots that should be fixed.
.
It is made up of two parts: a server, and a client. The server/daemon,
nessusd, is in charge of the attacks, whereas the client, nessus,
provides the user a nice X11/GTK+ interface.
.
This package contains the GTK+ client, which exists in other
forms and on other platforms, too.
cuando lo usé me dieron ganas de desenchufar la computadora, sacarle el disco rígido, romperlo, prenderle fuego y enterrar las cenizas en el jardín... ese nessus sabe demasiado
Lo bueno es que en la mayoría de los casos te dice que tocar para arreglar
__________________
in theCopyleft—all rights reversed
pescaupintau no ha iniciado sesión   Reply With Quote
Old 10-18-2008, 01:27 PM   #1249
arlick
Duke
 
arlick's Avatar
 
Join Date: Jan 2007
Posts: 3,939
arlick is a jewel in the rougharlick is a jewel in the rougharlick is a jewel in the rough
Default

Quote:
Originally Posted by pescau
En realidad te conviene ser pro-activo (hacer las cosas antes que ocurran), te recomiendo nessus


cuando lo usé me dieron ganas de desenchufar la computadora, sacarle el disco rígido, romperlo, prenderle fuego y enterrar las cenizas en el jardín... ese nessus sabe demasiado
Lo bueno es que en la mayoría de los casos te dice que tocar para arreglar
lo tengo instalado :P

los paquetes más peligrosos de ser explotados por alguna vulnerabilidad son cosas del kpdf

no necesito auditar! lo que quiero es detectar un patrón de ataque como un escaneo y que el equipo reaccione en consecuencia! :P
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia
"uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan
arlick no ha iniciado sesión   Reply With Quote
Old 10-18-2008, 06:12 PM   #1250
arlick
Duke
 
arlick's Avatar
 
Join Date: Jan 2007
Posts: 3,939
arlick is a jewel in the rougharlick is a jewel in the rougharlick is a jewel in the rough
Default

snort instalado y funcionando

lo he puesto a funcionar junto con mysql y administrado bajo apache [1]. Muy útil porque ahora puedo ver las alertas por medio de la web. Lo que he hecho también es deshabilitar los logs que se generan en /var/log para que no se llene de basura.

He tenido que personalizar la instalación porque por ejemplo me detectaba que mi explorador es un spyware por usar como agente megaupload . O reportaba también que el cliente de correo se intentaba conectar a un puerto no común por medio de TSL/SSL.

Por lo demás funciona muy bien.

Por ahora no me detecta mis propios escaneos de puertos, ni poniéndome como DMZ.

Estoy contento con mi sistema iptables + snort, ahora me falta configurar correctamente apache y aprender a hacer mis propias reglas de snort

[1]: He usado una mezcla entre estos dos manuales:

http://www.snort.org/docs/setup_guid...-snort-0.2.txt
http://www.snort.org/docs/setup_guid...re_spanish.pdf

El segundo es de una sencillez extrema, y aunque pone que es para slackware vale para cualquiera.

PD: porque carajo el apache no me solicita autentificación cuando le digo que lo haga por medio de un .htaccess? creo que el problema está en el httpd.conf, pero no se porque T.T
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia
"uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan
arlick no ha iniciado sesión   Reply With Quote
Reply

Tags
linux, noticias

Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump


All times are GMT. The time now is 01:52 AM.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
NGD Studios 2002-2024 © All rights reserved