Mortal Scorpion
05 02 2010, 06:41 PM
Auditar el impacto de ataques de denegación de servicios y fuerza bruta.
Los ataques de denegación de servicios y fuerza bruta son los más típicos que puede sufrir un sistema, por eso se debe comprobar si el sistema está preparado para soportarlos y como se comporta ante dichos ataques. En este post tratare sobre dos herramientas: una para reproducir ataques de fuerza bruta y otra para reproducir ataques de denegación de servicios.
Ataque de fuerza bruta:
Para auditar el impacto de ataques de fuerza bruta utilizaremos la herramienta Medusa para reproducir dicho ataque y estudiar el comportamiento del sistema. Medusa es una potente herramienta que realiza múltiples ataques de fuerza bruta de forma paralela a varios servicios. Medusa soporta los siguientes servicios: CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP (NetWare), NNTP, PcAnywhere, POP3, PostgreSQL, rexec,rlogin, rsh, SMB, SMTP (AUTH/VRFY), SNMP, SSHv2, SVN, Telnet, VmAuthd y VNC.
Más información y descarga de Medusa:
http://www.foofus.net/jmk/medusa/medusa.html
Ataque de denegación de servicios:
Para auditar el impacto de ataques de denegación de servicios DoS y denegación de servicios distribuido (DDoS) utilizaremos la herramienta Hyenae para reproducir dicho ataque y estudiar el comportamiento del sistema. Hyenae es un generador de paquetes para realizar ataques DoS e incluye un demonio clusterable para ataques DDoS.
Entre sus características destaca:
* Ataques DoS ICMP-Echo (IPv4).
* Ataques DoS TCP (IPv4 e IPv6).
* Ataques DoS UDP (IPv4 e IPv6).
* Detección inteligente de la dirección y del protocolo de la dirección.
Más información y descarga de Hyenae:
http://hyenae.sourceforge.net/
Luego puertos TCP de salida permitidos.
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80, 110,443"
Puertos UDP de salida permitidos.
# Common egress (outbound) UDP ports
EG_UDP_CPORTS=" 110"
Entradas ICMP permitidas:
# Common ICMP (inbound) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
Bloquear IP que realizan ataques de fuerza bruta.
Los ataques de fuerza bruta suelen ser los más utilizados para atacar un servicio, ya que son los ataques más populares y fáciles de ejecutar con herramientas automatizadas. En este post voy a hablar de dos herramientas para Linux y Windows para evitar este tipo de ataques en determinados servicios, bloqueando la IP del atacante. Por ejemplo, si un usuario falla más de 5 veces el login en SSH, bloquear dicha IP y el usuario.
En Linux.
Utilizamos la herramienta Fail2ban, su funcionamiento se basa en buscar en los registros (ficheros log) de los demonios y programas indicios de ataques. Una vez encontrado un ataque aplica las acciones que tiene configuradas. La acción más corriente es bloquear el usuario o la Ip en iptables.
El fichero de configuración es el /etc/fail2ban/jail.conf. En este fichero se pueden definir las acciones en caso de ataque, existen parámetros como:
* ignoreip: IPs de nuestra área local que aunque se equivoquen en el login no serán bloqueadas y por tanto quedan excluidas de las acciones de Fail2ban.
* maxretry: Número máximo de intentos de login.
* bantime: Tiempo en segundos que el usuario que falló el login se quedara sin poder acceder al servicio especificado. Si se asigna el valor -1 será permanente.
* filter: Se utiliza para aplicar los filtro que incluye la herramienta en el subdirectorio /etc/fail2ban/filter.d.
* destemail: Dirección de correo electrónico donde enviara las alertas.
Todo las acciones realizadas por Fail2ban y las se registran en el archivo de log /var/log/fail2ban.log.
Esta herramienta está disponible para las distribuciones: Slackware, ArchLinux, SUSE, Mandriva, Ipcop, Gral Linux, RedHat/Fedora, Ubuntu, Debian y Gentoo.
Más información y descarga de Fail2ban:
http://www.fail2ban.org/wiki/index.php/Main_Page
FAQ de Fail2ban (en español):
http://www.fail2ban.org/wiki/index.php/FAQ_spanish
HOWTO de Fail2ban (en español):
http://www.fail2ban.org/wiki/index.php/HOWTO_fail2ban_spanish
En Windows.
Se trata de WinFail2ban, su funcionamiento está basado en Fail2ban de Linux pero es menos versátil. WinFail2ban se ejecuta como servicio y analiza los log de: SQL Server, FTP (IIS) y firewall XP en caso de ser un Windows XP. Buscando ataques de fuerza bruta y bloqueando las IP en el firewall o usando un falso enrutamiento. WinFail2ban también incluye la opción de enviar las alertas por correo electrónico.
Más información y descarga de WinFail2ban:
http://winfail2ban.sourceforge.net/
“Stress test” a servicios de red.
Dentro de la seguridad informática la disponibilidad es un factor muy importante al que normalmente se le suele menospreciar. Entendemos por disponibilidad a la garantía de que los usuarios autorizados puedan acceder a la información y recursos de red cuando los necesiten.
Por eso es necesario hacer Strees test (pruebas de carga) de nuestros servicios de red para asegurar la disponibilidad. Aquí les dejo una completa colección de herramientas para realizar pruebas de carga a diferentes servicios y dispositivos de red:
Pruebas a dispositivos de red:
Nsasoft Network Traffic Emulator.
Nsasoft Network Traffic Emulator puede generar trafico IP / ICMP / TCP / UDP. Puede ser usado para testear servidores, aunque su uso es más indicado para routers y firewalls. Es muy sencillo y portable, solo funciona en la plataforma Windows.
Más información y descarga:
http://www.nsauditor.com/network_tools/network_traffic_generator.html
Servidores Web:
Tsung.
Tsung es una herramienta de prueba de carga. Puede ser utilizado para testear: HTTP, SOAP y los servidores Jabber (soporta SSL). Simula el comportamiento de varios usuarios usando un archivo XML, muestra muchas medidas en tiempo real: tiempos de reacción incluyendo, uso de la CPU y de la memoria… Disponible plataforma Linux.
Más información y descarga:
http://tsung.erlang-projects.org/
Hammerhead 2.
Hammerhead 2 es una herramienta de prueba de carga diseñada para probar desde fuera servidores y sitos web. Puede generar múltiples conexiones y usuarios a una hora programada. Tiene muchas opciones para generar distintos problemas a sitios Web. Disponible para plataformas Linux, Solaris y FreeBSD.
Más información y descarga:
http://hammerhead.sourceforge.net/
Apache JMeter.
Apache JMeter es una aplicación diseñada en Java. Fue diseñado exclusivamente para carga de sitios Web pero ha ampliando sus funciones. Apache JMeter se puede utilizar para probar funcionamiento de: Servlets, Perl, objetos en Java, bases de datos y consultas y servidores. Puede ser utilizado para simular una carga pesada en un servidor, una red o un objeto, para analizar su funcionamiento total bajo diversos tipos de carga. realizando un análisis grafico. Al ser desarrollado en Java es multiplataforma.
Más información y descarga:
http://jakarta.apache.org/jmeter/
Bases de datos:
DBMonster.
DBMonster es una herramienta desarrollada en Java que genera datos de prueba al azar y los inserta en la base de datos SQL. Ayuda a realizar Stress test de la base de datos. Multiplataforma
Más información y descarga:
http://sourceforge.net/projects/dbmonster/
SQLIOSim.
La utilidad SQLIOSim se ha actualizado desde la utilidad SQLIOStress. La utilidad SQLIOSim simula los modelos de E/S de Microsoft SQL Server 2005, SQL Server 2000 y SQL Server 7.0 con más precisión. Solo para Windows
Más información y descarga:
http://support.microsoft.com/?id=231619
Hammerora.
Hammerora es una herramienta de generación de carga para las base de datos Oracle. Hammerora incluye las pruebas pre-construidas basadas en patrones estándares de TPC-C y de TPC-H. Disponible para Windows y Linux.
Más información y descarga:
http://hammerora.sourceforge.net/
Servidores de correo:
MultiMail 2.0.
MultiMail 2.0 es un programa de carga de smtp que también puede ser usado como herramienta práctica para el desarrollo del software contra-Spam. Solo para Windows.
Más información y descarga:
http://www.codeproject.com/KB/applications/multimail.aspx
X-Postal.
Otra aplicación de Stress test para servidores de correo soporta smtp y pop. Que solo funciona en Linux.
Más información y descarga:
http://www.coker.com.au/postal/
Load Simulator 2003.
Load Simulator 2003 (LoadSim) simula el uso que realizan las conexiones de nuestros clientes MAPI. Loadsim determina si cada uno de nuestros servidores está preparado para soportar la carga de los clientes que queremos reunir en dicho servidor.
Más información y descarga:
http://go.microsoft.com/fwlink/?LinkId=27882
Exchange Stress and Performance (ESP).
Esta herramienta simula varias sesiones de clientes arbitrarias que están concurrentemente accediendo a uno o varios servidores de Exchange 2003.
ESP Provee módulos que simulan el acceso de clients bajo los siguientes protocolos y APIs:
WebDAV (for Microsoft Office Outlook® Web Access)
Internet Message Access Protocol version 4rev1 (IMAP4)
Lightweight Directory Access Protocol (LDAP)
OLE DB
Network News Transfer Protocol (NNTP)
Post Office Protocol version 3 (POP3)
Simple Mail Transfer Protocol (SMTP)
Exchange ActiveSync®
Outlook Mobile Access
Más información y descarga:
http://go.microsoft.com/fwlink/?LinkId=27881
Es una info q encontre por ahi espero que a Alguien le sirve :P
Los ataques de denegación de servicios y fuerza bruta son los más típicos que puede sufrir un sistema, por eso se debe comprobar si el sistema está preparado para soportarlos y como se comporta ante dichos ataques. En este post tratare sobre dos herramientas: una para reproducir ataques de fuerza bruta y otra para reproducir ataques de denegación de servicios.
Ataque de fuerza bruta:
Para auditar el impacto de ataques de fuerza bruta utilizaremos la herramienta Medusa para reproducir dicho ataque y estudiar el comportamiento del sistema. Medusa es una potente herramienta que realiza múltiples ataques de fuerza bruta de forma paralela a varios servicios. Medusa soporta los siguientes servicios: CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP (NetWare), NNTP, PcAnywhere, POP3, PostgreSQL, rexec,rlogin, rsh, SMB, SMTP (AUTH/VRFY), SNMP, SSHv2, SVN, Telnet, VmAuthd y VNC.
Más información y descarga de Medusa:
http://www.foofus.net/jmk/medusa/medusa.html
Ataque de denegación de servicios:
Para auditar el impacto de ataques de denegación de servicios DoS y denegación de servicios distribuido (DDoS) utilizaremos la herramienta Hyenae para reproducir dicho ataque y estudiar el comportamiento del sistema. Hyenae es un generador de paquetes para realizar ataques DoS e incluye un demonio clusterable para ataques DDoS.
Entre sus características destaca:
* Ataques DoS ICMP-Echo (IPv4).
* Ataques DoS TCP (IPv4 e IPv6).
* Ataques DoS UDP (IPv4 e IPv6).
* Detección inteligente de la dirección y del protocolo de la dirección.
Más información y descarga de Hyenae:
http://hyenae.sourceforge.net/
Luego puertos TCP de salida permitidos.
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80, 110,443"
Puertos UDP de salida permitidos.
# Common egress (outbound) UDP ports
EG_UDP_CPORTS=" 110"
Entradas ICMP permitidas:
# Common ICMP (inbound) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
Bloquear IP que realizan ataques de fuerza bruta.
Los ataques de fuerza bruta suelen ser los más utilizados para atacar un servicio, ya que son los ataques más populares y fáciles de ejecutar con herramientas automatizadas. En este post voy a hablar de dos herramientas para Linux y Windows para evitar este tipo de ataques en determinados servicios, bloqueando la IP del atacante. Por ejemplo, si un usuario falla más de 5 veces el login en SSH, bloquear dicha IP y el usuario.
En Linux.
Utilizamos la herramienta Fail2ban, su funcionamiento se basa en buscar en los registros (ficheros log) de los demonios y programas indicios de ataques. Una vez encontrado un ataque aplica las acciones que tiene configuradas. La acción más corriente es bloquear el usuario o la Ip en iptables.
El fichero de configuración es el /etc/fail2ban/jail.conf. En este fichero se pueden definir las acciones en caso de ataque, existen parámetros como:
* ignoreip: IPs de nuestra área local que aunque se equivoquen en el login no serán bloqueadas y por tanto quedan excluidas de las acciones de Fail2ban.
* maxretry: Número máximo de intentos de login.
* bantime: Tiempo en segundos que el usuario que falló el login se quedara sin poder acceder al servicio especificado. Si se asigna el valor -1 será permanente.
* filter: Se utiliza para aplicar los filtro que incluye la herramienta en el subdirectorio /etc/fail2ban/filter.d.
* destemail: Dirección de correo electrónico donde enviara las alertas.
Todo las acciones realizadas por Fail2ban y las se registran en el archivo de log /var/log/fail2ban.log.
Esta herramienta está disponible para las distribuciones: Slackware, ArchLinux, SUSE, Mandriva, Ipcop, Gral Linux, RedHat/Fedora, Ubuntu, Debian y Gentoo.
Más información y descarga de Fail2ban:
http://www.fail2ban.org/wiki/index.php/Main_Page
FAQ de Fail2ban (en español):
http://www.fail2ban.org/wiki/index.php/FAQ_spanish
HOWTO de Fail2ban (en español):
http://www.fail2ban.org/wiki/index.php/HOWTO_fail2ban_spanish
En Windows.
Se trata de WinFail2ban, su funcionamiento está basado en Fail2ban de Linux pero es menos versátil. WinFail2ban se ejecuta como servicio y analiza los log de: SQL Server, FTP (IIS) y firewall XP en caso de ser un Windows XP. Buscando ataques de fuerza bruta y bloqueando las IP en el firewall o usando un falso enrutamiento. WinFail2ban también incluye la opción de enviar las alertas por correo electrónico.
Más información y descarga de WinFail2ban:
http://winfail2ban.sourceforge.net/
“Stress test” a servicios de red.
Dentro de la seguridad informática la disponibilidad es un factor muy importante al que normalmente se le suele menospreciar. Entendemos por disponibilidad a la garantía de que los usuarios autorizados puedan acceder a la información y recursos de red cuando los necesiten.
Por eso es necesario hacer Strees test (pruebas de carga) de nuestros servicios de red para asegurar la disponibilidad. Aquí les dejo una completa colección de herramientas para realizar pruebas de carga a diferentes servicios y dispositivos de red:
Pruebas a dispositivos de red:
Nsasoft Network Traffic Emulator.
Nsasoft Network Traffic Emulator puede generar trafico IP / ICMP / TCP / UDP. Puede ser usado para testear servidores, aunque su uso es más indicado para routers y firewalls. Es muy sencillo y portable, solo funciona en la plataforma Windows.
Más información y descarga:
http://www.nsauditor.com/network_tools/network_traffic_generator.html
Servidores Web:
Tsung.
Tsung es una herramienta de prueba de carga. Puede ser utilizado para testear: HTTP, SOAP y los servidores Jabber (soporta SSL). Simula el comportamiento de varios usuarios usando un archivo XML, muestra muchas medidas en tiempo real: tiempos de reacción incluyendo, uso de la CPU y de la memoria… Disponible plataforma Linux.
Más información y descarga:
http://tsung.erlang-projects.org/
Hammerhead 2.
Hammerhead 2 es una herramienta de prueba de carga diseñada para probar desde fuera servidores y sitos web. Puede generar múltiples conexiones y usuarios a una hora programada. Tiene muchas opciones para generar distintos problemas a sitios Web. Disponible para plataformas Linux, Solaris y FreeBSD.
Más información y descarga:
http://hammerhead.sourceforge.net/
Apache JMeter.
Apache JMeter es una aplicación diseñada en Java. Fue diseñado exclusivamente para carga de sitios Web pero ha ampliando sus funciones. Apache JMeter se puede utilizar para probar funcionamiento de: Servlets, Perl, objetos en Java, bases de datos y consultas y servidores. Puede ser utilizado para simular una carga pesada en un servidor, una red o un objeto, para analizar su funcionamiento total bajo diversos tipos de carga. realizando un análisis grafico. Al ser desarrollado en Java es multiplataforma.
Más información y descarga:
http://jakarta.apache.org/jmeter/
Bases de datos:
DBMonster.
DBMonster es una herramienta desarrollada en Java que genera datos de prueba al azar y los inserta en la base de datos SQL. Ayuda a realizar Stress test de la base de datos. Multiplataforma
Más información y descarga:
http://sourceforge.net/projects/dbmonster/
SQLIOSim.
La utilidad SQLIOSim se ha actualizado desde la utilidad SQLIOStress. La utilidad SQLIOSim simula los modelos de E/S de Microsoft SQL Server 2005, SQL Server 2000 y SQL Server 7.0 con más precisión. Solo para Windows
Más información y descarga:
http://support.microsoft.com/?id=231619
Hammerora.
Hammerora es una herramienta de generación de carga para las base de datos Oracle. Hammerora incluye las pruebas pre-construidas basadas en patrones estándares de TPC-C y de TPC-H. Disponible para Windows y Linux.
Más información y descarga:
http://hammerora.sourceforge.net/
Servidores de correo:
MultiMail 2.0.
MultiMail 2.0 es un programa de carga de smtp que también puede ser usado como herramienta práctica para el desarrollo del software contra-Spam. Solo para Windows.
Más información y descarga:
http://www.codeproject.com/KB/applications/multimail.aspx
X-Postal.
Otra aplicación de Stress test para servidores de correo soporta smtp y pop. Que solo funciona en Linux.
Más información y descarga:
http://www.coker.com.au/postal/
Load Simulator 2003.
Load Simulator 2003 (LoadSim) simula el uso que realizan las conexiones de nuestros clientes MAPI. Loadsim determina si cada uno de nuestros servidores está preparado para soportar la carga de los clientes que queremos reunir en dicho servidor.
Más información y descarga:
http://go.microsoft.com/fwlink/?LinkId=27882
Exchange Stress and Performance (ESP).
Esta herramienta simula varias sesiones de clientes arbitrarias que están concurrentemente accediendo a uno o varios servidores de Exchange 2003.
ESP Provee módulos que simulan el acceso de clients bajo los siguientes protocolos y APIs:
WebDAV (for Microsoft Office Outlook® Web Access)
Internet Message Access Protocol version 4rev1 (IMAP4)
Lightweight Directory Access Protocol (LDAP)
OLE DB
Network News Transfer Protocol (NNTP)
Post Office Protocol version 3 (POP3)
Simple Mail Transfer Protocol (SMTP)
Exchange ActiveSync®
Outlook Mobile Access
Más información y descarga:
http://go.microsoft.com/fwlink/?LinkId=27881
Es una info q encontre por ahi espero que a Alguien le sirve :P