TRES HERRAMIENTAS DE MONITOREO LINUX
NESSUS: es un programa de escaneo de vulnerabilidades en
diversos sistemas operativos. Consiste en un daemon, nessusd, que realiza el
escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o
gráfico) que muestra el avance y reporte de los escaneos. Desde consola nessus
puede ser programado para hacer escaneos programados con cron.
En operación
normal, nessus comienza escaneando los puertos con nmap o con su propio
escaneador de puertos para buscar puertos abiertos y después intentar varios
exploits para atacarlo. Las pruebas de vulnerabilidad, disponibles como una
larga lista de plugins, son escritos en NASL (Nessus Attack Scripting Language,
Lenguaje de Scripting de Ataque Nessus por sus siglas en inglés), un lenguaje
scripting optimizado para interacciones personalizadas en redes.
Opcionalmente,
los resultados del escaneo pueden ser exportados en reportes en varios
formatos, como texto plano, XML, HTML, y LaTeX. Los resultados también pueden
ser guardados en una base de conocimiento para referencia en futuros escaneos
de vulnerabilidades.
Algunas de
las pruebas de vulnerabilidades de Nessus pueden causar que los servicios o
sistemas operativos se corrompan y caigan. El usuario puede evitar esto
desactivando "unsafe test" (pruebas no seguras) antes de escanear.
SNORT: es un sniffer de paquetes y un detector de intrusos
basado en red (se monitoriza todo un dominio de colisión). Es un software muy
flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en
archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa
un motor de detección de ataques y barrido de puertos que permite registrar,
alertar y responder ante cualquier anomalía previamente definida. Así mismo
existen herramientas de terceros para mostrar informes en tiempo real (ACID) o
para convertirlo en un Sistema Detector y Preventor de Intrusos.
Este IDS
implementa un lenguaje de creación de reglas flexible, potente y sencillo.
Durante su instalación ya nos provee de cientos de filtros o reglas para
backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap...
Puede
funcionar como sniffer (podemos ver en consola y en tiempo real qué ocurre en
nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un
archivo los logs para su posterior análisis, un análisis offline) o como un IDS
normal (en este caso NIDS). Cuando un paquete coincide con algún patrón
establecido en las reglas de configuración, se logea. Así se sabe cuándo, de
dónde y cómo se produjo el ataque.
Aún cuando
tcpdump es considerada una herramienta de auditoría muy útil, no se considera
un verdadero IDS puesto que no analiza ni señala paquetes por anomalías.
tcpdump imprime toda la información de paquetes a la salida en pantalla o a un
archivo de registro sin ningún tipo de análisis. Un verdadero IDS analiza los
paquetes, marca las transmisiones que sean potencialmente maliciosas y las
almacena en un registro formateado, así, Snort utiliza la biblioteca estándar
libcap y tcpdump como registro de paquetes en el fondo.
NETCAT: es una herramienta de
red originalmente desarrollada por Hobbit en 1996 y liberada bajo una licencia
de software libre permisiva (no copyleft, similar a BSD, MIT) para UNIX.
Posteriormente fue portada a Windows y Mac OS X entre otras plataformas. Netcat
permite a través de intérprete de comandos y con una sintaxis sencilla abrir
puertos TCP/UDP en un HOST (quedando netcat a la escucha), asociar una shell a
un puerto en concreto (para conectarse por ejemplo a MS-DOS o al intérprete
bash de Linux remotamente) y forzar conexiones UDP/TCP (útil por ejemplo para
realizar rastreos de puertos o realizar transferencias de archivos bit a bit
entre dos equipos). Existen muchos forks de esta herramienta que añaden
características nuevas como GNU Netcat o Cryptcat.
Entre sus múltiples aplicaciones, es frecuente la depuración de
aplicaciones de red. También es utilizada a menudo para abrir puertas traseras
en un sistema.
No hay comentarios:
Publicar un comentario