Software libre: Herramientas de seguridad

El software de libre distribución es una parte tan integral de Internet que posiblemente la Red no existiría tal y como la conocemos actualmente, ni hubiera crecido de modo tan rápido y dinámico, sin este tipo de software. En el terreno de la seguridad, existen infinidad de programas dirigidos a todas las áreas de la seguridad IT: cortafuegos de libre distribución, sistemas de detección de intrusión, escáneres de vulnerabilidad, herramientas forenses y aplicaciones para las áreas más actuales como las comunicaciones inalámbricas.
La combinación de los conceptos de seguridad de información y software de libre distribución ofrece una de las vías más poderosas para asegurar la infraestructura de su empresa, tanto frente a amenazas internas como externas, y por extensión, de Internet.
En esta obra se han seleccionado las mejores aplicaciones en cada área de seguridad de la información, presentándolas de manera detallada, para descubrirle no sólo las claves de su funcionamiento, sino también cómo optimizar su uso en el trabajo diario para tener una red más segura.

Contenido

Introducción
Audiencia
Contenido
Índice de herramientas de seguridad de libre distribución
Entradas o variables
Índice de herramientas de seguridad de código abierto

1. Seguridad de la información y software de libre distribución
Introducción
Asegurar el perímetro
Tapar las brechas
Establecer un sistema de aviso previo
Crear un sistema de administración para los datos de seguridad
Implantar una solución inalámbrica
Asegurar archivos y comunicaciones importantes
Investigar las intrusiones
La práctica de la seguridad de la información
Confidencialidad
Integridad
Disponibilidad
Estado del crimen informático
La llegada de Internet
La ubicua y económica banda ancha
Ataque de los Script Kiddies
Gusanos, detectores automáticos de raíces y otro software maligno
Riesgos de la seguridad de la información
Pérdida de datos
Denegación de servicio
Molestias y pérdidas de clientes
Responsabilidad
Divulgación de secretos y datos corporativos
Sabotear con registros
Pérdida de productividad
Historia de la libre distribución
Entra en escena Linux
Ventajas de la libre distribución
Coste
Extensibilidad
Seguridad
Independencia
Soporte al usuario
Productos que duran toda la vida
Educación
Reputación
Cuando la libre distribución no reúne nuestras necesidades
Empresa de software de seguridad
IT subcontratado al cien por cien
Estándares IT corporativos restrictivos
Windows y la libre distribución
Licencias de libre distribución
Licencia general pública GNU
La licencia BSD

2. Herramientas del sistema operativo
Introducción
Fortalecer nuestro sistema de herramientas de seguridad
Bastille Linux: Programa de fortalecimiento de sistema operativo para Linux
Instalar Bastille Linux
Ejecutar Bastille Linux
ping: Una herramienta de diagnóstico de red
traceroute (UNIX) o tracert (Windows): Herramientas de diagnóstico de red
whois: Herramienta de consulta DNS
dig: Herramienta de consulta DNS
finger: Servicio de información del usuario
ps: comando de consulta de proceso UNIX
Cliente OpenSSH: Servicio de terminal segura
Consideraciones para fortalecer Windows
Sam Spade para Windows: Herramienta de consulta de red para Windows
Instalar y utilizar Sam Spade para Windows
PuTTY: Cliente SSH para Windows
Instalación y ejecución de PuTTY

3. Cortafuegos
Introducción
Elementos básicos de la arquitectura de redes
Capa física
Capa de enlace de datos
Capa de red
Capa de transporte
Capa de sesión
Capa de presentación
Capa de aplicación
Sistemas de redes TCP/IP
Procesos comerciales de seguridad
Iptables: Cortafuegos de distribución libre de Linux
Instalar Iptables
Utilizar Iptables
Crear un cortafuegos Iptables
Enmascarar IP con Iptables
Turtle Firewall: Cortafuegos basado en Iptables con una interfazde usuario gráfica
Instalar Turtle Firewall
SmoothWall Express: Un completo cortafuegos de múltiples funciones
Requerimientos de hardware para SmoothWall
SmoothWall Express frente a SmoothWall Corporate
Instalar SmoothWall
Administrar el cortafuegos SmoothWall
Crear una VPN en el cortafuegos SmoothWall
Aplicaciones adicionales con SmoothWall
Cortafuegos basados en Windows

4. Escáneres de puerto
Introducción
Generalidades de los escáneres de puertos
Consideraciones acerca del escaneado de puertos
Usos de los escáneres de puertos
Inventario de red
Optimización red/servidor
Buscar programas espías, troyanos y gusanos de red
Búsqueda de servicios no autorizados o ilícitos
Nmap: Un escáner de puerto versátil y una herramientade identificación OS
Instalar Nmap en Linux
Instalar Nmap para Windows
Escanear redes con Nmap
Operación de línea de comandos Nmap
Tipos de escaneado Nmap
Opciones de descubrimiento de Nmap
Opciones de ajuste de frecuencia de Nmap
Otras opciones Nmap
Ejecutar Nmap como un servicio
Salida de Nmap
Nlog: Una herramienta para ordenar y organizar salidas de Nmap
Instalar Nlog
Utilizar Nlog
Complementos Nlog
Crear sus propias extensiones Nlog
Usos interesantes para Nlog y Nmap
Escaneado para servicios menos comunes
Búsqueda de servidores Web ilícitos/desconocidos.
Escaneado para servidores que se ejecutan en escritorios
Búsqueda de troyanos
Comprobar la exposición de la red externa

5. Escáneres de vulnerabilidad
Introducción
Identificación de brechas en sistemas
Sobrecargas de búfer
Vulnerabilidad del enrutador o del cortafuegos
Ataques al servidor Web
Ataques al servidor de correo
Servidores DNS
Ataque a bases de datos
Administración de usuarios y archivos
Cuentas predeterminadas del fabricante
Contraseñas en blanco o vulnerables
Servicios innecesarios
Filtros de información
Denegación de servicio
Escáneres de vulnerabilidad
Nessus: Un escáner de vulnerabilidad con escáner de puertos integrado
Profundidad de pruebas
Arquitectura cliente-servidor
Independencia
Lenguaje de escritura integrado
Integración con otras herramientas
Prueba inteligente
Base de conocimientos
Múltiples formatos de informe
Red de soporte sólido
Instalar Nessus para sistemas Linux
Configurar Nessus
Página de inicio de sesión de Nessus
Ficha de complementos de Nessus
Ficha de preferencias de Nessus
Nmap
Ping en el anfitrión remoto
Configuraciones de inicio de sesión
Inicio de sesión a la fuerza (Hydra)
SMB utiliza SID anfitrión para enumerar usuarios locales
Servicios
Reflejo Web
Información diversa sobre el servidor de noticias
Métodos peligrosos de pruebas HTTP
Directorios FTP que se pueden escribir
Configuraciones SMTP
Opciones Libwhisker
SMB utiliza dominio SID para enumerar usuarios
Evasión NIDS HTTP
Evasión NIDS
Opciones de escaneado
Rango de puertos
Considerar puertos sin escanear como cerrados
Número de anfitriones a probar simultáneamente
Número de comprobaciones a ejecutar simultáneamente
Ruta de acceso a las CGI
Búsqueda inversa en el IP antes de probarlo
Optimizar la prueba
Revisiones seguras
Designar anfitriones por su dirección MAC
Escaneado independiente
Escaneado continuo
Escáner de puerto
Ficha de selección de destino
Leer archivo
Ejecutar una transferencia de zona DNS
Guardar esta sesión
Guardar sesiones vacías
Sesiones anteriores
Ficha de usuario
Ficha KB
Probar todos los anfitriones
Probar sólo los anfitriones que se han probado en el pasado
Probar sólo los anfitriones que nunca se han probado en el pasado
Reutilizar las bases de conocimiento sobre los anfitrionespara la prueba
Máxima edad de una KB guardada en segundos
Opciones de escaneado de Nessus en progreso
NessusWX: Un cliente de Windows para Nessus
Instalar NessusWX
Utilizar el cliente NessusWX Windows
Creación de un perfil de sesión
Informes de NessusWX
Configuraciones de ejemplo de escaneado Nessus
Configuración de ejemplo 1: Escaneado externo de múltiplesdirecciones IP; sin cortafuegos
Configuración de ejemplo 2: Escaneado externo de una redcon una sola dirección IP externa en el cortafuegos
Configuración de ejemplo 3: Escaneado externo de una redcon múltiples direcciones IP públicas en el cortafuegos y DMZ
Configuración de ejemplo 4: Múltiples direcciones IP externascon un sistema de detección de intrusión de red
Configuración de ejemplo 5: Escaneado interno detrásdel cortafuegos
Consideraciones sobre el escaneado de vulnerabilidad
Escanear con permiso
Asegurarse de que las copias de seguridad están actualizadas
Cronometrar el escaneado
No escanear excesivamente
Colocar su servidor de escaneado correctamente
Lo que no encuentran las pruebas de vulnerabilidad
Errores lógicos
Vulnerabilidades no descubiertas
Aplicaciones personalizadas
Seguridad de las personas
Ataques en progreso o ya producidos

6. Escucha clandestina de paquetes para redes
Introducción
Una breve historia de Ethernet
Consideraciones sobre las escuchas de paquetes para redes
Pedir permiso siempre
Conocer la topología de la red
Utilizar criterios de búsqueda ajustados
Establecer una línea básica para la red
Tcpdump: Un analizador de tráfico de Ethernet
Instalar Tcpdump
Ejecutar Tcpdump
Encabezados de paquetes TCP/IP
Expresiones Tcpdump
Ejemplos Tcpdump
Ver todo el tráfico hacia y desde un anfitrión determinado
Observar sólo el tráfico entrante o saliente de un determinado puerto
Ver todo el tráfico hacia y desde un anfitrión determinadopero eliminar algún tipo de tráfico
Buscar una estación de trabajo ficticia
Supervisar una estación de trabajo específica
Buscar tráfico sospechoso en la red
WinDump: Un analizador de tráfico Ethernet para Windows
Instalar WinDump
Utilizar WinDump
Ethereal: Un analizador de protocolo de red para UNIX y Windows
Instalar Ethereal para Linux
Instalar Ethereal para Windows
Utilizar Ethereal
Iniciar una sesión de captura
Opciones de presentación
Herramientas Ethereal
Guardar las salidas de Ethereal
Aplicaciones Etehreal
Optimización de red
Solución de problemas de servidor

7. Sistemas de detección de intrusión
Introducción
Ejemplos de firmas NIDS
El problema de los positivos falsos de NIDS
Causas comunes de falsos positivos
Actividad del sistema de supervisión de red
Escaneado de vulnerabilidad/escáneres de puerto de Red
Actividad del usuario
Comportamientos parecidos al troyano o al gusano
Cadenas largas de autenticación básica
Actividad de autenticación de base de datos
Obtener lo máximo del IDS
Configuración apropiada del sistema
Ajuste del IDS
Herramientas de análisis IDS
Snort: Un IDS de libre distribución para UNIX
Opciones únicas de Snort
Instalar Snort
Ejecutar Snort
Modo de sniffer de paquetes
Modo de registro de paquetes
Modo de detección de intrusión
Modos de alerta de Snort
Configurar Snort para obtener un rendimiento máximo
Deshabilitar reglas en Snort
Ejecutar Snort como un servicio
Interfaz Webmin de Snort: Una interfaz gráfica para Snort
Snort para Windows: Un IDS de libre distribución para Windows
Requerimientos para la instalación de Snort para Windows
Instalar Snort para Windows
Configurar Snort para Windows
Detección de intrusión basada en anfitrión
Ventajas de métodos de detección de intrusión basados en anfitriones
Inconvenientes de los métodos de detección de intrusión basadosen anfitriones
Tripwire: Un programa de comprobación de integridad de archivos
Instalar Tripwire
Configurar Tripwire
Inicializar la base de datos básica
Comprobar la integridad del archivo
Actualizar la base de datos
Actualizar el archivo de políticas

8. Herramientas de análisis y administración
Introducción
Swatch: Un programa de supervisión de registros
Instalar Swatch
Configurar y ejecutar Swatch
El archivo de configuración de Swatch
Utilizar bases de datos y servidores Web para administrar los datosde seguridad
Configurar un servidor MySQL
Configurar el servidor Web Apache
Configurar PHP
ACID (Consola de análisis para bases de datos de intrusión)
ADOdb
PHPLOT
JpGraph
GD
Configurar Snort para MySQL
Instalar ACID
Configurar ACID
Introducción para utilizar ACID
Utilizar ACID para ajustar y administrar su NIDS
Otras formas de analizar datos de alerta utilizando ACID
¿Quién es el objetivo del ataque?
¿Quién está atacando?
¿Cuál es el servicio más atacado?
Utilizar ACID diariamente
Gráficos de los datos ACID
Mantener la base de datos ACID
NPI (Interfaz PHP de Nessus)
Instalar NPI
Importar escaneados de Nessus a NPI
Utilizar NPI
El nacimiento de un proyecto de libre distribución
¿Hay algo similar creado ya?
¿Existe una necesidad más general para el programa?
¿Tiene permiso para lanzar el código como de libre distribución?
Nessus Command Center (NCC)
Plataformas para NCC
Instalar NCC
Utilizar NCC
Añadir usuarios
Añadir destinos
Programar el escaneado

9. Herramientas de cifrado
Introducción
Tipos de cifrado
Algoritmos de cifrado
Estándar de cifrado de datos
TripleDES
RC4, RC5 y RC6
AES
Aplicaciones de cifrado
Hash
Certificados digitales
Protocolos de cifrado
IPsec
Protocolo de túnel de punto a punto
Protocolo de túnel de dos capas
Capa segura de zócalos
Aplicaciones de cifrado
PGP freeware: Una herramienta de cifrado de clave pública
Instalar PGP y generar su propio par de clave pública/privada
Utilizar PGP
PGPKeys
Encrypt
Sign
Encrypt and Sign
Decrypt/Verify
Wipe
Freespace Wipe
Opciones PGP
GNU Privacy Guard (GnuPG): Una implantación GPL de PGP
Instalar GnuPG
Crear pares de clave
Crear un certificado de revocación
Publicar la clave pública
Cifrar archivos con GnuPG
Descifrar archivos
Firmar archivos
Web de modelo de confianza de PGP/GnuPG
Firmar claves y administrar claves de confianza
OpenSSH: Una familia de herramientas de cifrado de sesiónde libre distribución
Instalar e iniciar el servidor OpenSSH
Puerto de envío con OpenSSH
Ejemplo 1: Crear una conexión de correo electrónico cifradocon OpenSSH
Ejemplo 2: Crear una conexión Web segura
Redes privadas virtuales
FreeS/WAN: Software VPN IPsec de libre distribución
Instalar e iniciar FreeS/WAN
Utilizar FreeS/WAN
Modo de red de punto a punto
Modo de usuario itinerante
Cifrado oportunista
Descifradores de claves
John the Ripper: Una herramienta para descifrar contraseñas
Instalación Windows
Instalación UNIX
Utilizar John the Ripper

10. Herramientas inalámbricas
Introducción
Visión general de la tecnología LAN inalámbrica
Términos de Wi-Fi
Peligros de las LAN inalámbricas
Escuchas clandestinas
Acceder a los PC sin cables
Acceder a la LAN
Acceso anónimo a Internet
Vulnerabilidades específicas de 802.11
SSID predeterminados
Transmisión de señales luminosas
Comunicaciones sin cifrar de forma predeterminada
Punto débil de WEP
El fenómeno del "paseo de batalla"
Ejecutar una evaluación de seguridad de una red inalámbrica
Selección del equipamiento
Tarjetas inalámbricas
Hardware y software
Antenas
NetStumbler: Un programa de descubrimiento de redes inalámbricaspara Windows
Instalar NetStumbler
Utilizar NetStumbler
Opciones de NetStumbler
Guardar sesiones de NetStumbler
StumbVerter: Un programa de conversión de mapas para NetStumbler
Instalar StumbVerter
Utilizar StumbVerter
Kismet Wireless: Un programa de descubrimiento de red inalámbricapara Linux
Instalar la tarjeta de interfaz de red y los controladores
Instalar Kismet
Utilizar Kismet Wireless
Soporte GPS de Kismet
IDS de Kismet
AirSnort: Un programa de recuperación de claves de cifrado WEP
Usos de AirSnort
Instalar AirSnort
Ejecutar AirSnort
Pasos a seguir para tener una LAN inalámbrica más segura
Activar el WEP
Utilizar equipamiento inalámbrico con un protocolode cifrado mejorado
Requerir a los usuarios inalámbricos que entren a travésde un túnel VPN
Tratar la red inalámbrica como de no confianza
Auditar su perímetro inalámbrico regularmente
Mover los puntos de acceso
Configurar correctamente la red inalámbrica
Formar al personal

11. Herramientas forenses
Introducción
Usos de las herramientas forenses
Limpiar y reconstruir
Investigación criminal
Investigaciones internas
Quejas al ISP
Crear un plan de respuesta del incidente
Preparación para obtener buenos datos forenses
Granularidad del registro
Ejecutar un servidor de registro central
Sincronizar el tiempo de los servidores
Dónde buscar datos forenses
Principios de un buen análisis forense
Operar sobre un sistema desconectado
Utilizar una copia de la evidencia
Utilizar valores de hash para proporcionar evidencia de integridad
Utilizar medios de arranque y de ejecución de confianza
Herramientas de análisis forense
Fport: Una herramienta de identificación de procesos para Windows
Instalar Fport
Utilizar Fport
Isof: Una herramienta de identificación de puertos y procesos para UNIX
Instalar Isof
Utilizar Isof
Revisar los archivos de registro
Hacer copias de la evidencia forense
dd: Una herramienta de réplica de discos y archivos
Instalar dd
Utilizar dd
The Sleuth Kit/Autopsy Forensic Browser: Una colecciónde herramientas forenses para UNIX.
Instalar Sleuth Kit
Instalar Autopsy Forensic Browser
Utilizar Sleuth Kit y Autopsy Forensic Browser
Crear e iniciar una sesión de caso
Añadir un anfitrión
Añadir una imagen
Analizar sus datos
The Forensic Toolkit: Una colección de herramientas forensespara Windows
Instalar Forensic Toolkit
Utilizar Forensic Toolkit
Afind
Hfind
Sfind
FileStat
Hunt

12. Más acerca del software de libre distribución
Recursos de libre distribución
Grupos de noticias USENET
Listas de correo
Sitios Web
SourceForge
Slashdot
Freshmeat
Open Source Initiative
Free Software Foundation
Unirse al movimiento de la libre distribución
Probador y buscador de errores
Participar en grupos de discusión y ayudar a otros usuarios
Proporcionar recursos para el proyecto
Patrocinar empresas que utilizan o soportan productosde libre distribución
Más sobre herramientas de seguridad de libre distribución

Apéndices

A. Licencias comunes de libre distribución
The GNU General Public License (GPL)
GNU General Public License
Preamble
GNU General Public License terms and conditions for copying, distribution and modification
No warranty
End of terms and conditions
How to Apply These Terms to Your New Programs
La Licencia Pública General GNU (GPL)
Licencia Púbica General GNU
Preámbulo
Términos y condiciones para copia, modificacióny distribución
Sin garantías
Fin de términos y condiciones
Cómo aplicar estos términos a sus nuevos programas
BSD Open Source License
BSD Open Source License

B. Comandos básicos de Linux/UNIX

C. Números de puertos TCP/IP bien conocidos

D. Formulario del documento de renuncia y permiso general
Escaneado de puertos y prueba de vulnerabilidad
Documento de renuncia y permiso general
Garantías

E. Complementos Nessus

F. Referencias
Sitios Web
Libros y artículos

G. Contenido del CD-ROM