Pues ahora nos dedicaremos a explicar las diferentes herramientas que estan disponibles a lo largo del cyberespacio, y lo mejor es que casi todas son 'freeware' (gratis), por lo que no existe excusa alguna para no usarlas. Ademas usando habitualmente estas herramientas mantendremos nuestro sistema seguro demostrando a nuestros jefes lo bueno que somos administrando el servidor.
Las herramientas que describire a lo largo de este apartado, van desde anti-zapper's, detectores de sniffers, detectores de troyanos, asi como diversas herramientas de analisis, e incluso algunas herramientas que tambien utilizan los piratas, para nuestro propio beneficio. Debido a la gran cantidad de herramientas disponibles (no he puesto todas las que existen, debido a que es imposible), no he incluido la utilizacion de las mismas, ya que entonces este documento ocuparia demasiado, por lo que dejo el lector la direccion en Internet donde encontrarlas y asi poder familirizarse con estas herramientas.
Detectores de Sniffers.
* Podemos usar el comando 'netstat', pero no es 100% fiable.
* promisc.c: Es un programa escrito en lenguaje C, el cual nos ayuda a detectar un sniffer en nuestra red. (
promisc.c).
* cpm (ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/cpm.1.2.tar.gz).
* ifstatus (ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/ifstatus.tar.Z).
* NePED: Es un detector de sniffers. (ftp://apostols.org/AposTools/snapshots/neped/).
Debido a que muchos sniffers logean las conexiones de la misma forma, la cual es la siguiente:
-- TCP/IP LOG -- TM: Tue Nov 15 15:12:29
PATH: not_at_risk.domain.com(1567) => at_risk.domain.com(telnet)
por lo que facilmente podemos escribir un pequeño shell script que busque ficheros de sniffers:
% grep PATH: $sniffer_log_file | awk '{print $4}' | \ awk -F\( '{print $1}'| sort -u
logicamente debemos ajustar este script a nuestras necesidades.
Detectores de troyanos.
* Podemos usar el comando 'sum' pero tampoco es 100% fiable.
* Tambien podemos usar el comando 'cmp', pero lo mismo que el comando anterior.
* El popular, y mas aconsejable de usar, es el programa de verificacion MD5. (MD5).
* Otro, tambien bastante utilizado es Tripwire. (Tripwire).
Detectores de zapper's.
* Antizap.c
* Antizap2.c
Herramientas de Analisis.
* Satan111: Posiblemente la herramienta mas conocida. (
SATAN). Extensiones.(
SATAN Extensions).
* TCP_Wrapper: Es un recomendado conjunto de utilidades para controlar nuestro servidor. (
tcp_wrappers_7.6.tar.gz).
* Netcat 1.10: Para saber por donde nos puede entrar un pirata, ya que este programa es capaz de crear cualquier tipo de conexion. (
netcat 1.10 for Unix).
* COPS: Otro conjunto de herramientas de muy buena calidad. (ftp://info.cert.org/pub/tools/cops).
* Roses Software Check Tool V.1.2.2: Interesante herramienta de analisis para servidores Linux. (http://web.jet.es/~simon_roses/).
* Rhino9 Security Check Tool: Interesante programa. (
http://rhino9.technotronic.com).
* Stalker Audit-Trail Tool: Interesante herramienta para auditar los log's. (
http://www.haystack.com).
* IDES/NIDES (Intrusion-Detection Expert System/Next-Generation IDES): Una herramienta de deteccion de piratas en tiempo real. (http://www.sri.com).
* WatchDog: Herramienta para auditar los log's para SunOS. (http://www.infstream.com).
* Saint (Security Analisys INtegration Tool): Herramienta en español para auditar. (http://www.super.unam.mx).
* Asax (Advanced Security Audit Trail Analysis on Unix): Programa en Frances. (http://www.info.fundp.ac.be/~cri/DOCS/asax.html).
* Aid (Adaptive Intrusion Detection System): Herramienta en Aleman. (http://www-rnks.informatik.tu-cottbus.de/~sobirey/aid.e.html).
* NetSuite Professional Audit: Herramienta profesional para auditar. (http://www.netsuite.com/Pi/audit.htm).
* Audit Trails: Lo mismo que el anterior. (http://promatrix.com/audit.htm).
* ISS SafeSuite: Potente herramienta de analisis. (
http://www.iss.net).
* Proyecto Nessus: Una recomendable herramienta de auditoria. (The Nessus Project).
* Firewalk: Interesante tecnica para analizar una red. (Enterprise Security Services, Inc.).
* Lsof (List Open Files): Programa que lista todos los ficheros abiertos, incluidos los sockets abiertos. (ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/).
* tcplist: Lista todos los puertos abiertos que tenemos, ademas de diversa informacion mas. (ftp://ftp.cdf.toronto.edu/pub/tcplist).
Crakeadores de passwords.
* Crack V5: Posiblemente el crakeador mas conocido. (
Crack v5 (Source)).
* John The Ripper: Un excelente crakeador. (
John the Ripper 1.5 linux).
