lunes, 8 de diciembre de 2014

Debian IDS Labrea


Labrea es un  sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System).
LaBrea se asigna las direcciones IP no utilizadas, y crea servidores virtuales que sean "atractivos" para los virus, hackers. El programa responde a los intentos de conexión de tal manera que la máquina en el otro extremo queda "atrapado", a veces durante un tiempo muy largo. Esto tambien se le conoce como Honeypot.

el comando puede correrse de la siguinete manera

#labrea -i eth0 -d -l-v-z

para detalle de la sintaxis puedes verla con man desde la consola

Bien ya esta corriendo nuestro honeypot ahora vamos a ver las abejas esto dentro del syslog

#tail -f /var/log/syslog

busca las lineas parecidas a las de abajo e ip's que se repitan como abajo veras la 10.0.0.132

Dec  8 11:33:13 decepticon : Capturing local IP 10.0.0.208
Dec  8 11:33:13 decepticon : Initial Connect - tarpitting: 10.0.0.33 53180 -> 10.0.0.109 80
Dec  8 11:33:13 decepticon : Initial Connect - tarpitting: 10.0.0.33 53180 -> 10.0.0.109 80
Dec  8 11:33:14 decepticon : Initial Connect - tarpitting: 10.0.10.132 61122 -> 10.0.0.110 8080 *
Dec  8 11:33:14 decepticon : Initial Connect - tarpitting: 10.0.10.132 61122 -> 10.0.0.110 8080 *
Dec  8 11:33:14 decepticon : Initial Connect - tarpitting: 10.0.10.132 61123 -> 10.0.0.110 8080
Dec  8 11:33:14 decepticon : Initial Connect - tarpitting: 10.0.10.132 61123 -> 10.0.0.110 8080

Publicadas por a la/s No hay comentarios.:
Etiquetas: , ,

Fortigate Politica de Firewall por Addrees

Para crear una politica y aplicarsela a una direccion ip en especifica necesitamos seguir los siguientes:

Dentro de la interfaz web Firewall Objects -> Addresses -> Create New
Escribimos el rango o la ip que necesitamos por que interfaz la recibimos.

Ahora en Policy -> Policy - Create New
Policy Type = Firewall
Policy Subtype = Address

Source Address = Buscamos el objeteo que creamos al principio
Aplicamos las demas reglas segun se necesiten

y listo ya hemos terminado
Publicadas por a la/s No hay comentarios.:
Etiquetas: , ,

viernes, 5 de diciembre de 2014

Linux Debian arpwatch

Esta es una herramienta de monitorizacion muy simple utilizada para ver cambios sospechosos en las direcciones ip o mac address en una red o subnet. Para instalar la herrmienta en Debian

#apt-get install arpwatch

para ver lo que se va generando en el syslog

#tail -f  /var/log/syslog | grep "arpwatch"

un ejemplo de la salida es:

Dec  5 11:27:34 decepticon arpwatch: new station 10.4.0.115 00:xx:5a:e9:a2:70 eth0

Lo que la herramienta te puede reportar

       new activity
              Esta direccion se esta utilizando por primera vez en seis meses o mas.

       new station
              La mac address no se habia visto antes.

       flip flop
               La mac address ha cambiado desde la última visita
               frente a la segunda dirección más recientemente visto. ESTO ES EL IMPORTANTE

       changed ethernet address
              El anfitrión cambió a una nueva dirección ethernet.

En el syslog tenia muchisimas entradas asi:

Dec  5 12:16:44 decepticon arpwatch: bogon 0.0.0.0 00:40:48:75:94:2e eth0

la documentación dice bogon: la ip origen no corresponde a la subred local, si no te interesa este tipo de entredas

paramos el servicio

# /etc/init.d/arpwatch stop

Ahora no iniciamos para que ignore el bogon 

# arpwatch -N
Publicadas por a la/s 1 comentario:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)