Debe introducir al menos 3 caracteres en el buscador.
Inicio / Wikis / Tutoriales / Guía de Seguridad del Administrador de Linux - Herramientas de escaneo y detección de intrusos

Guía de Seguridad del Administrador de Linux - Herramientas de escaneo y detección de intrusos

 ***** (7 opiniones)
Creative Commons Tutorial de Kurt Seifried - 16 de Febrero de 2006
Temas Relacionados: Linux
58. Herramientas de escaneo y detección de intrusos
Si la sección anterior te tiene preocupado, así debería ser. Sin embargo existen muchas defensas, activas y pasivas, contra esos tipos de ataques. Las mejores formas de combatir escaneos de red son mantener el software actualizado, sólo ejecutar lo que se necesite, y restringir fuertemente lo demás mediante el uso de cortafuegos y otros mecanismos.

Por suerte, en Linux estas herramientas son gratis y se encuentran fácilmente disponibles, de nuevo sólo me dedicaré a las herramientas de código abierto, puesto que la idea de un cortafuegos propietario es bastante preocupante. La primera línea de defensa debería ser un cortafuegos robusto, seguido de filtros de paquetes en todas las máquinas accesibles desde Internet, uso liberal de TCP-WRAPPERS, logs y lo más importante, software automatizado para que examine los logs en tu lugar (hoy en día para un administrador es impracticable que pueda leer los ficheros de log).



Herramientas para logs

Psionic PortSentry

El tercer componente de la suite Abacus, detecta y guarda un log de los escaneos de puertos, incluyendo escaneos clandestinos (stealth) (básicamente debería ser capaz de detectar cualquier cosa que sea posible hacer con Nmap). Se puede configurar el Psionic Portsentry para que bloquee la máquina atacante (en mi opinión es una mala idea, pues se podría utilizar para generar un ataque de denegación de servicio en hosts legítimos), haciendo difícil el completar un escaneo de puertos. Puesto que esta herramienta está en fase beta, no recomendaría su uso, sin embargo, con el tiempo debería madurar hasta convertirse en una herramienta sólida y útil. Psionic Portsentry se encuentra disponible en: http://www.psionic.com/abacus/portsentry/



Detección de ataques basada en Host

Cortafuegos

La mayoría de los cortafuegos soportan guardar logs de los datos, y el ipfwadm/ipchains no son una excepción, utilizando la opción –l se debería generar una entrada en el syslog para cada paquete, utilizando filtros automatizados (para esto es bueno el Perl) se pueden detectar tendencias/ataques hostiles, etcétera. Puesto que la mayoría de los cortafuegos (basados en UNIX, y Cisco en cualquier caso) guardan un log vía syslog, se puede centralizar todo el log de paquetes del cortafuegos en un único host (con mucho espacio en disco duro).



TCP-WRAPPERS

El TCP-WRAPPERS de Wietse te permite restringir las conexiones a varios servicios basándose en direcciones IP, pero incluso más importante es el hecho de que te permite configurar una respuesta, se puede hacer que te envíe un correo, haga finger a la máquina atacante, etcétera (sin embargo, hay que utilizarlo con cuidado). El TCP_WRAPPERS viene standard con la mayoría de las distribuciones y está disponible en: ftp://ftp.porcupine.org/pub/security/



Klaxon

Si bien ha quedado obsoleto por el TCP_WRAPPERS y los logs de los cortafuegos, Klaxon todavía puede ser útil para detectar escaneos de puertos, si no se quiere bloquear por completo la máquina. Se encuentra disponible en: ftp://ftp.eng.auburn.edu/pub/doug



Psionic HostSentry

Aunque este software todavía no está listo para el consumo en masa, he pensado que lo mencionaría de todas formas, pues forma parte de un proyecto más grande (el proyecto Abacus, http://www.psionic.com/abacus/). En resumen, el Psionic HostSentry construye un perfil de accesos del usuario y después lo compara con la actividad actual, para resaltar cualquier actividad sospechosa. Se encuentra disponible en: http://www.psionic.com/abacus/hostsentry/



Pikt

El Pikt es una herramienta extremadamente interesante, en realidad es más un trozo de lenguaje script dirigido a la administración de sistemas que un simple programa. El Pikt te permite hacer cosas como matar procesos libres (idle) de usuarios, reforzar las cuotas de correo, monitorizar el sistema en busca de patrones de uso sospechosos (fuera de horas, etc) y mucho más. El único problema de Pikt es la empinada curva de aprendizaje de las herramientas, puesto que utiliza su propio lenguaje de scripts, pero creo que dominar este lenguaje te recompensará si se tienen muchos sistemas que administrar (especialmente debido a que actualmente Pikt se ejecuta en Solaris, Linux y FreeBSD). El Pikt se encuentra disponible en: http://pikt.uchicago.edu/pikt



Detección de ataques basada en red

NFR

El NFR (Registro de Vuelo de Red, Network Flight Recorder) es mucho más que un sniffer de paquetes, en realidad guarda un log de los datos y detecta en tiempo real los ataques, escaneos, etcétera. Es una herramienta muy potente y para ejecutarse requiere una significativa inversión de tiempo, energías y potencia de máquina, pero está en la cima de la cadena alimenticia en cuanto a detección. El NFR está disponible en: http://www.nfr.com/

Documentos de Detección de Intrusos

FAQ: Sistemas de Red de Detección de Intrusos, un FAQ excelente que se ocupa de los principales (y otros menores) asuntos relativos a los sistemas IDS. Disponible en: http://www.robertgraham.com/pubs/network-intrusion-detection.html
Tabla de contenidos
  1. 1 - Cómo determinar qué asegurar y cómo asegurarlo
  2. 2 - Instalación segura de Linux
  3. 3 - Conceptos generales, servidores versus estaciones de trabajo, etc
  4. 4 - Ficheros del sistema
  5. 5 - Seguridad de Ficheros / Sistema de ficheros
  6. 6 - PAM
  7. 7 - Seguridad Física / de Arranque
  8. 8 - Seguridad de contraseñas
  9. 9 - Almacenamiento de Contraseñas
  10. 10 - Seguridad basica de servicios de red
  11. 11 - Ficheros basicos de configuración de red
  12. 12 - TCP-IP y seguridad de redes
  13. 13 - Seguridad PPP
  14. 14 - Seguridad IP (IPSec)
  15. 15 - Cifrado de servicios / datos
  16. 16 - Rutado
  17. 17 - Software de Proxy
  18. 18 - Cortafuegos
  19. 19 - Telnet
  20. 20 - SSH
  21. 21 - FTP
  22. 22 - HTTP / HTTPS
  23. 23 - SMTP
  24. 24 - POP
  25. 25 - IMAPD
  26. 26 - DNS
  27. 27 - NNTP
  28. 28 - DHCPD
  29. 29 - RSH, REXEC, RCP
  30. 30 - NFSD
  31. 31 - TFTP
  32. 32 - BOOTP
  33. 33 - SNMP
  34. 34 - Finger
  35. 35 - Identd
  36. 36 - NTPD
  37. 37 - CVS
  38. 38 - rsync
  1. 39 - lpd
  2. 40 - Samba
  3. 41 - Servidores LDAP Linux
  4. 42 - Sistema X Window
  5. 43 - Conectividad SNA
  6. 44 - Software de Autoridad de Certificación para Linux
  7. 45 - El kernel de Linux
  8. 46 - Parches de seguridad del kernel y del compilador
  9. 47 - Herramientas administrativas
  10. 48 - Gestión de Software
  11. 49 - Herramientas de monitorización de Hosts
  12. 50 - Ficheros de Log y otros métodos de monitorización
  13. 51 - Limitación y monitorización de usuarios
  14. 52 - Lista de comprobación para la conexión a Internet
  15. 53 - Métodos de compartición de ficheros
  16. 54 - Lectores de correo basados en WWW
  17. 55 - Autentificación Basada en Red
  18. 56 - Software de Listas de correo
  19. 57 - Escaneo / herramientas de prueba de intrusos
  20. 58 - Herramientas de escaneo y detección de intrusos
  21. 59 - Sniffers de Paquetes
  22. 60 - Normas de comportamiento / integridad de ficheros
  23. 61 - Gestión de auditorías
  24. 62 - Copias de Seguridad
  25. 63 - Enfrentandose a los ataques
  26. 64 - Ataques de Negación de Servicio
  27. 65 - Ejemplos de ataques
  28. 66 - Virus, Caballos de Troya y Gusanos
  29. 67 - Distribuciones seguras de Linux
  30. 68 - Información específica por Distribuidor / Vendedor
  31. 69 - Información de contacto con vendedores
  32. 70 - Programación segura
  33. 71 - Apéndice A: Libros y Revistas
  34. 72 - Apéndice B: Otra documentación de seguridad sobre Linux
  35. 73 - Apéndice C: Documentación de seguridad en línea
  36. 74 - Apéndice D: Sitios de seguridad en general
  37. 75 - Apéndice E: Sitios de Linux en general
Autor y licencia de 'Guía de Seguridad del Administrador de Linux - Herramientas de escaneo y detección de intrusos'
Kurt Seifried Extraído de: http://es.tldp.org/Manuales-LuCAS/GSAL/gsal-19991128-htm/

Creative Commons License Esta obra está bajo una licencia de Creative Commons.
Este contenido ha sido recopilado por el equipo de Wikilearning. Todo el contenido recopilado se ha obtenido respetando y comunicando en nuestro site la licencia de cada fuente.
Wikilearning tiene permiso expreso por escrito de los autores para publicar los contenidos que ha extraído de otras webs, incluyendo su uso comercial.

Wikis relacionados con 'Guía de Seguridad del Administrador de Linux - Herramientas de escaneo y detección de intrusos'

Detección de intrusos
Este documento esta dirigido hacia aquellas personas con un cierto conocimiento de la materia o... Más »
Seguridad en Unix y redes
A lo largo de este trabajo se va a intentar hacer un repaso de los... Más »
Spanish Linux
Esta es la primerísima edición del Linux en Castellano COMO. La audiencia a la que... Más »
HowTo de Linux
Este documento pretende ser el punto de entrada de los hispanohablantes al mundo Linux, intentando... Más »
LDAP Linux
En este documento se presenta la información acerca de la instalación, configuración, ejecución y mantenimiento... Más »
¿Estás seguro de que deseas eliminar este capítulo?