NetworkMiner, analizando un pcap
Hola!
Muy buenas a todos/as!
Cuando capturamos, por ejemplo, con Wireshark el tráfico de red, el formato de salida es un pcap. Este pcap podemos leerlo con el propio Wireshark o podemos pasarle herramientas y extraer aquella información quenos interese de manera útil.
Una de esas herramientas es NetworkMiner, yo para la prueba he ejecutado un troyano pendiente de analizar y me he guardado el pcap, y ahora veremos la salida del arechivo que ha generado.
Este es el aspecto de NetworkMiner, NetworkMiner nos permite también hacer la parte de capturar el tráfico. Como nosotros ya tenemos la captura ahora sólo tenedremos que abrir el archivo pcap
Aquí podemos ver que el troyano en cuestión ha echo varias conexiones a Wanadoo.
Además podemos observar que por SMTP, ha enviado unas credenciales en texto plano.
Extraemos del pcap las sesiones establecidas, entre ellas SSL y SMTP.
Y las resoluciones DNS.
habéis podido comprobar que con varios clics es sencillo extraer de manera sencilla cierta información del pcap.
Un saludo
Kippo Honeypot para SSH
Hola!
Muy buenas a todos/as!
Revisando las entradas pendientes que tenía y herramientas por probar me encuentro con Kippo un Honeypot para SSH.
Podemos bajarlo desde aquí.
Una vez ya lo hemos bajado podemos probarlo en nuestra distribución favorita en mi caso lo he probado en Ubuntu.
Los paquetes necesarios eran:
sudo apt-get install python-dev openssl python-openssl python-pyasn1 python-twisted
Una vez ya los tenemos instalados, podemos empezar con el shell script que lleva haciendo:
./start.sh
Kippo empezará a correr en background y registrará todos los intentos de acceso. Veamos un ejemplo de que pasa cuando intento acceder:
El resto del log lo podéis encontrar en Pastebin
Ya podéis jugar con Kippo para registrar accesos por SSH y mas funcionalidades que tiene.
Un saludo
Haciendo tu SSH mas seguro
Empecemos por lo básico que es SSH?
SSH (Secure SHell, en español: intérprete de órdenes seguro) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.
Además de la conexión a otras máquinas, SSH nos permite copiar datos de forma segura (tanto ficheros sueltos como simular sesiones FTP cifradas), gestionar claves RSA para no escribir claves al conectar a las máquinas y pasar los datos de cualquier otra aplicación por un canal seguro tunelizado mediante SSH.
Bueno, primero de todo vamos a Instalar nuestro paquete ssh en Linux, yo lo he echo desde Ubuntu, si utilizas otras distribución cambia en el comando el gestor de paquetes y listo.
Para instalar ssh hacemos:
seifreed@seifreed-linux-labs:~$ sudo aptitude install ssh
Esto nos instalará el paquete que necesitamos.
Ahora empezaremos haciendo SSH más seguro.
Tecleamos en el terminal, para editar el archivo. Por defecto en Ubuntu el archivo se encuentra en /etc/ssh/sshd_config:
seifreed@seifreed-linux-labs:~$ sudo nano /etc/ssh/sshd_config
Ahora vamos a mirar el archivo de configuración, recordad que las lineas que lleven# es que están comentados significan que no se leeran al ejecutar el servicio.
Cambiando el Puerto:
Por defecto SSH trabaja en el puerto 22, como esto ya es sabido por todos, los exploits y escaneos ya se centran en el puerto 22. Así que vamos a cambiarlo:
# What ports, IPs and protocols we listen for
Port 8142
Ahora ssh trabajará en el puerto 8142
Ahora veremos como funciona hagamos una prueba.
Recordad que todos los cambios efectuados requieren un reinicio del servicio,
para reiniciar ssh:
seifreed@seifreed-linux-labs:~$ sudo /etc/init.d/ssh restart
* Restarting OpenBSD Secure Shell server sshd [ OK ]
Hagamos la prueba. Si hiciéramos una conexión ssh normal, lo haríamos de la siguiente manera:
seifreed@seifreed-linux-labs:~$ ssh seifreed@192.168.241.128
ssh: connect to host 192.168.241.128 port 22: Connection refused
Como podéis comprobar nos sale que la conexión no se puede realizar.
Ahora vamos ha hacer una conexión como se tendría que hacer una vez hemos cambiado el puerto
seifreed@seifreed-linux-labs:~$ ssh -p 8142 seifreed@192.168.241.128
The authenticity of host ‘[192.168.241.128]:8142 ([192.168.241.128]:8142)’ can’t be established.
RSA key fingerprint is 58:bd:21:76:a9:1d:cc:25:e2:76:fd:82:00:43:81:6c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘[192.168.241.128]:8142′ (RSA) to the list of known hosts.
seifreed@192.168.241.128′s password:
Linux seifreed-linux-labs 2.6.28-15-generic #51-Ubuntu SMP Mon Aug 31 13:33:16 UTC 2009 i686
Cambiando direcciones Ip de escucha:
Por defecto SSH escucha a todo el mundo. Ahora en cambio sólo lo habilitaremos para una dirección:
# Use these options to restrict which interfaces/protocols sshd will bind to
ListenAddress 192.168.241.130
Reiniciamos el servicio y hagamos una prueba, nos conectamos desde una máquina con ip distinta a la 192.168.241.130:
seifreed@seifreed-linux-labs:~$ ifconfig eth0
eth0 Link encap:Ethernet direcciónHW 00:0c:29:86:4c:ed
Direc. inet:192.168.241.128 Difus.:192.168.241.255 Másc:255.255.255.0
Dirección inet6: fe80::20c:29ff:fe86:4ced/64 Alcance:Enlace
ACTIVO DIFUSIÓN FUNCIONANDO MULTICAST MTU:1500 Métrica:1
Paquetes RX:3834 errores:0 perdidos:0 overruns:0 frame:0
Paquetes TX:3421 errores:0 perdidos:0 overruns:0 carrier:0
colisiones:0 long.colaTX:1000
Bytes RX:3415609 (3.4 MB) TX bytes:533316 (533.3 KB)
Interrupción:19 Dirección base: 0×2000seifreed@seifreed-linux-labs:~$ ssh -p 8142 seifreed@192.168.241.128
ssh: connect to host 192.168.241.128 port 8142: Connection refused
Ahora haremos la prueba desde una máquina que sí tenga la ip que queremos:
seifreed@seifreed-linux-labs:~$ ifconfig eth0
eth0 Link encap:Ethernet direcciónHW 00:0c:29:86:4c:ed
Direc. inet:192.168.241.130 Difus.:192.168.241.255 Másc:255.255.255.0
Dirección inet6: fe80::20c:29ff:fe86:4ced/64 Alcance:Enlace
ACTIVO DIFUSIÓN FUNCIONANDO MULTICAST MTU:1500 Métrica:1
Paquetes RX:24398 errores:0 perdidos:0 overruns:0 frame:0
Paquetes TX:11525 errores:0 perdidos:0 overruns:0 carrier:0
colisiones:0 long.colaTX:1000
Bytes RX:29914995 (29.9 MB) TX bytes:1406365 (1.4 MB)
Interrupción:19 Dirección base: 0×2000seifreed@seifreed-linux-labs:~$ ssh -p 8142 seifreed@192.168.241.130
seifreed@192.168.241.130′s password:
Linux seifreed-linux-labs 2.6.28-15-generic #51-Ubuntu SMP Mon Aug 31 13:33:16 UTC 2009 i686
Estableciendo Protocolo de SSH:
SSH puede trabajar con protocolo 1 o 2. Lo estabelecemos en 2. Aunque creo que por defecto en las nuevas versiones ya viene con protocolo 2 implementado.
Protocol 2
LoginGrace Time.
Con esto ponemos el tiempo en el que puede un usuario estar con la ventanita de introduce el password. Si pasa el tiempo que establecemos y no se autentica se le cierra la conexión. Para cambiar el parámetro, cambiamos esto del archivo de configuración:
# Authentication:
LoginGraceTime 30
Vamos a ver que pasa cuando nos pasamos del tiempo:
seifreed@seifreed-linux-labs:~$ ssh -p 8142 seifreed@192.168.241.130
seifreed@192.168.241.130′s password:
Connection closed by UNKNOWN
Conectarse como root.
Por defecto SSH hace que te puedas conectar como root a la máquina.
Veamos un ejemplo:
seifreed@seifreed-linux-labs:~$ ssh -p 8142 root@192.168.241.130
root@192.168.241.130′s password:
Linux seifreed-linux-labs 2.6.28-15-generic #51-Ubuntu SMP Mon Aug 31 13:33:16 UTC 2009 i686The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.To access official Ubuntu documentation, please visit:
http://help.ubuntu.com/
root@seifreed-linux-labs:~#
Esto NO debería permitirse. Asi que cambiamos esta linea en el archivo de configuración:
# Authentication:
PermitRootLogin no
Y ahora hacemos la prueba:
seifreed@seifreed-linux-labs:~$ ssh -p 8142 root@192.168.241.130
root@192.168.241.130′s password:
Permission denied, please try again.
root@192.168.241.130′s password:
No permitir contraseñas vacías.
Por defecto viene que no, pero no está de mas revisarlo.
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
X11Forwanding.
Con esto podríamos habilitar un ssh gráfico. En teroría si es un servidor lo dehjamos en NO.
X11Forwarding no
Autenticación mediantante certificados:
La manera mas segura de autenticarse contra un servidor SSH es mediante un certficado. Lo cambiamos a YES
# Change to no to disable tunnelled clear text passwords
PasswordAuthentication yes
Encaminamiento:
SSH permite usar su propio cliente de encaminamiento. Para habilitarlo ponemos:
#Habilitar encaminamiento:
AllowAgentForwarding yes
Encaminamiento TCP:
Con esto podemos bailitar encaminamiento TCP
AllowTcpForwarding yes
Máximo de intentos de contraseña:
MaxStartups 4
Por defecto viene habilitado en 10. Nosotros los estableceremos a 3. Cuando haya fallado 3 veces se le cortará la conexión:
seifreed@seifreed-linux-labs:~$ ssh -p 8142 seifreed@192.168.241.130
seifreed@192.168.241.130′s password:
Permission denied, please try again.
seifreed@192.168.241.130′s password:Permission denied, please try again.
seifreed@192.168.241.130′s password:seifreed@192.168.241.130′s password:
Permission denied (publickey,password).
seifreed@seifreed-linux-labs:~$
Intento de conexión fallida guardada en Log.
Con esta línea lo que haremos es que, cuando llegue a la mitad del número que establecemos se guarda en un log:
Sep 5 16:28:59 seifreed-linux-labs sshd[12210]: Failed password for seifreed from 192.168.241.130 port 51527 ssh2
Ahora estableceremos nuestro cifrado seguro de SSH:
Ciphers aes128-ctr,aes256-ctr,arcfour256,arcfour,aes128-cbc,aes256-cbc
Habilitando mensaje para cuando nos conectemos por ssh,
ahora lo que hacemos quitar la almohadilla de esta linea:
Banner /etc/issue.net
Ahora editamos ese archivo y le ponemos el mensaje que queramos:
seifreed@seifreed-linux-labs:~$ ssh -p 8142 seifreed@192.168.241.130
Bienvenido al SSH seguro para la Comunidad De DragoNjar
seifreed@192.168.241.130′s password:
Habilitando usuarios:
Podemos hacer que sólo se puedan autenticar los usuarios que notros queramos:
#Usuarios permitidos
AllowUsers marc
Ahora veremos un ejemeplo:
seifreed@seifreed-linux-labs:~$ ssh -p 8142 seifreed@192.168.241.130
Bienvenido al SSH seguro para la Comunidad De DragoNjar
seifreed@192.168.241.130′s password:
Permission denied, please try again.
Ahora veremos si que nos deja entrar con el usuario que queremos:
seifreed@seifreed-linux-labs:~$ ssh -p 8142 marc@192.168.241.130
Bienvenido al SSH seguro para la Comunidad De DragoNjar
marc@192.168.241.130′s password:
Linux seifreed-linux-labs 2.6.28-15-generic #51-Ubuntu SMP Mon Aug 31 13:33:16 UTC 2009 i686
Habilitando Grupos:
Ahora sólo permitiremos usuario que estén dentro un grupo determinado, veamos como dejamos ahora el archivo de configuración:
#Habilitando Usuarios
AllowUsers marc seifreed
#Habilitando grupos
AllowGroups users_ssh
Probemos ahora con el usuario seifreed que ahora lo tenemos dentro de los usuario permitidos:
seifreed@seifreed-linux-labs:~$ ssh -p 8142 seifreed@192.168.241.130
Bienvenido al SSH seguro para la Comunidad De DragoNjar
seifreed@192.168.241.130′s password:
Permission denied, please try again.
seifreed@192.168.241.130′s password:
ES decir aunque este en la lista de usuarios permitidos tambiñen ha de estar dentro del grupo que le hemos dicho ahora hagmaos la prueba con el user metido:
seifreed@seifreed-linux-labs:~$ ssh -p 8142 seifreed@192.168.241.130
Bienvenido al SSH seguro para la Comunidad De DragoNjar
seifreed@192.168.241.130′s password:
Linux seifreed-linux-labs 2.6.28-15-generic #51-Ubuntu SMP Mon Aug
Esconder versión SSH:
Código: snprintf(buf, sizeof buf, “SSH-%d.%d-%.100s\n”, major, minor, SSH_VERSION); por tanto, para eliminar/cambiar el banner sólo hace falta modificar la macro SSH_VERSION que está definida en version.h:
Código: #define SSH_VERSION “OpenSSH_4.5″
NOTA: no existe otra forma posible de hacer esto, ya que OpenSSH no lee el banner de un fichero, sino que está incrustado en el propio código.
Y hasta aquí para configurar nuestro servidor SSH.
Gracias a security by default y Sor_Zitroen de Wadalbertia por las ayudas.
Creando Servidor FTP en windows
Bueno una cosa muy simple y, eficaz es poder crear un servidor FTP. Puedes compartir archivos ebn una red local que te montes en casa, o bien, puedes compartirlos hacia Internet mediante un servicio como por ejemplo NO-IP.
Bueno la instalación y configuración es bastante sencilla. Utilizaremos la versión de Filezilla Server que ya es mas que suficiente para lo que necesitamos.
Lo descargamos de aquí:
Una vez lo hayamos instalado todo siguiente, siguiente y nos pedirá conectarnos a localhost le damos aceptar y que recuerda la conexión
Luego nos vamos a Edit Settings, y nos vamos a la siguiente pantallay hacemos esto:
mensaje de bienvenida
Aqui establecemos el mensaje de bienvenida que les saldrá a la gente que se conecta a la página
Después de darle a OK nos vamos al apartado de Edit Users para establecer un usuario para el FTP.
Le damos a ADD y le ponemos una contraseña
Añadiendo usuario
Luego vamos a shared Folder y establecemos el path del usuario le damos los permisos que creamos convenientes, es decir, lectura escritura y modificación y aparte lo establecemos como /home del usuario. Eso quiere decir que cada vez que acceda al FTP verá ese contenido de su carpeta y ningún contenido mas.
Carpeta Compartida
Una ves ese eso echo nos vamos al navegador y ponemos
ftp://localhost
Y nos pedirá usuario y contraseña, ponemos la del usuario que creamos anteriormente
login
Una vez esté eso echo nos enseñará lo que contiene el /home de ese usuario que le hemos asignado.
Contenido
Y eso es todo algunda duda ya sabéis!
