Evitando ser victimas del PWNED! (Parte I)

• Por payperme en December 12, 2008 archivo en Debian
• 3 Comentarioss »

Que tal Debianes, ya tenia rato que no escribia un articulo, ya que como todos sabemos el trabajo, universidad, y demas cosas roban el tiempo, pero ha llegado la temporada vacacional y es hora de escribir. En estos ultimos meses he requerido herramientas de seguridad y administracion las cuales me han ayudado ha conocer mi red al 100%, y todo esta para evitar ser “pwneado” por algun intruso. Pero bueno de nada sirve estar buscando tanto si no se puede compartir con la comunidad.

Asi que he preparado topicos muy buenos, y ya que es demasiado amplio decidi dividirlo en capitulos, para que implementen una buen “Debian Security Box”, en la cual agregaremos servicios como:

 

- Parte I, Smokeping, conociendo nuestra red en latencias y sus horas pico.

    - Parte Ia, Retomando Nessus.

- Parte II, Iptables, gateway/router, firewall.

- Parte III, Realizando scripts con expect, automatizar “backups”.

- Parte IV, Final y mejor, IDS, IPS con SNORT, PRELUDE, PREWIKKA, atrapando al enemigo antes de la masacre.

 

Actualmente a nivel Mexico, contamos con tasas de bits (popularmente conocido como ancho de banda, termino mal empleado), limitadas, y con esto me refiero a que los proveedores nos ofrecen muchas velocidades, pero las interesantes, refiriendome a mas de 2mb, su costo suele ser demasiado alto, en comporativa con otros paises que ofrecen conexiones muy altas a precios bajos. Es por esto que las personas encargadas del monitoreo de una red LAN tienen que cuidar perfectamente esta consumo de bits, ya sea monitoreando sus servidores, encaminadores y otros dispositivos de red. Asi que en esta ocasion utilizaremos algo llamado “smokeping”, que es una herramienta de monitoreo que grafica nuestra red dependiendo de la latencia que existe en esta, ya sea dirigiendola a servidores o encaminadores, nos proveera de una manera visual como se comporta la red, la perdida de paquetes y tener historial de todo esto. Su instalacion y configuracion es demasiado facil:

Instalando Smopkeping

Para instalacion necesitamos de las dependencias del servicio, ademas de APACHE2:

# apt-get install smokeping curl libauthen-radius-perl libnet-ldap-perl libnet-dns-perl libio-socket-ssl-perl libnet-telnet-perl libsocket6-perl libio-socket-inet6-perl apache2

Recomendacion: Debido a que nos encontramos en el cambio de Etch a Lenny, si tu realizaras esto, es mejor que tus listas las cambies a Lenny, asi tendras los paquetes mas nuevos, ademas de que es solo cuestion de semanas para obtener nuestra nueva version estable liberada.

Ahora el siguiente paso es crear nuestros parametros con nuestros servicios a monitorear por lo que modificaremos nuestro archivo:

# nano /etc/smokeping/config

En este fichero encontraremos muchos parametros, los que modificaremos seran los siguientes:

————————————————————————

# Please edit this to suit your installation
owner    = Debian Mexico
contact  = me@example.com #En caso de tener, lo apuntamos todo a nuestro mail server
cgiurl   = http://localhost/cgi-bin/smokeping.cgi #Modificado para servicio localhost
mailhost = smtp.example.com
# specify this to get syslog logging
syslogfacility = local0
# each probe is now run in its own process
# disable this to revert to the old behaviour
# concurrentprobes = no

*** Alerts ***
to = me@example.com
from = smokealert@example.com

———————————————————

Ahora lo mas importante dar de alta los servicios a monitorear, en la instalacion base de smokeping vienen algunos dados de alta, como es localhost y otros servidores. Hablando de mi experiencia con el paquete, les recomiendo que entiendan como funciona el agregar, ya que como es texto plano, suele tener ciertas fallas si no entendemos, he aqui como trabaja:

el signo ” + ” es el que crea un nuevo menu, y este tendra que ir titulado, como en el ejemplo

+ Servicios
menu = Servidores Debian Mexico
title = Debian Mexico Servidores

Atencion: Un problema que es muy comun es que la palabra que va junto a el signo ” + ” tiene un limite de caracteres, si llegan experimentar problemas, cuando corren el servicio, reduzcan los nombres de esto ya que suele tener dificultades con esto.

Ahora crearemos un Submenu, el cual contiene el dato del host asi como el del menu y el titulo:

++ deb1

menu = Debian Server 1
title = Servidor Debian Mexico Uno
host = servidor1.debian-mx.com #En este tambien se puede sustituir con una IP

Si se tuviese mas servidores, o una gama grande de monitoreo se puede agregar otro submenu al segundo, solo escribiendo ” +++ ” y el nombre del servicio.

Solo es cuestion de reiniciar nuestro servicio, y monitorear nuestra red:

/etc/init.d/smokeping restart

Resultados del monitoreo:

Ahora que si ustedes quieren ver el paquete funcionando en servidores reales, basta con ir a la pagina de smokeping y ver el demo, pero les ahorrare el esfuerzo y les dejo el link:

http://oss.oetiker.ch/smokeping-demo/?target=Customers.OP

Conclusiones y comentarios, Extras:

Esta herramienta a muchos de ustedes les parece algo absurda, y bueno si tu no mas cuentas con tu computadora de hogar pues no te servira de nada. Aunque para la gente en el ambienta laboral, universitario es de gran ayuda.

Imaginemos una situacion, tu tienes una conexion la cual con smokeping se monitorea dos semanas, durante estas los resultados son parecidos, sabes cuales son las horas pico de trafico. Resulta que uno de tus servidores contiene una latencia alta, la cual no es usual, lo cual tu puedes diagnosticar que es posible que estes bajo un ataque de DoS o DDoS, o simplemente tengas algun contenido popular que muchos requieran. Por lo que puedes tomar decisiones, si estes bajo ataque bloquear esa ip, o si tienes un gran trafico dedicar mas tiempo de CPU a APACHE2. Ahora otra situacion imagina que tu grafica te detecta una gran perdida de paquetes, o simplemente dejo de traficar, con esto podriar deducir que tienes probablemente un altercado fisico, o esta fallando un dispositivo de red.

Uso para el hogar, si nosotros contamos con un servidor, y tenemos otra computadora, podemos realizar el monitoreo de nuestro servidor y saber su trafico y sus anomalias si las llegara a tener.

ATENCION: Esta herramienta se basa bajo el uso del protocolo ICMP, si tu cuentas con cortafuegos muy restrictivos tendras probemas ya que no graficara nada, asi que modifica tus reglas para que puedar utilizar fping y ping, a esa IP.

 

Fuentes: Smokeping