Soft etherPeek
Quisiera saber donde puedo conseguir un manual del soft EtherPeek, en lo posible en español.
Respuesta de khepper
1
1
He encontrado esto, no se si ter servirá.
EtherPeek
--------------------------------------------------------------------------------
EtherPeek 3.5 para MacOS, del Grupo AG en http://www.aggroup.com; e IP-Watcher para Unix de En Garde Systems, http://www.engarde.com. Elegí estos dos porque prometían una potencia excepcional para detectar ataques y, en el caso de IP-Watcher, para defenderse si llega el caso. En especial EtherPeek es muy recomendado por los administradores de sistemas que conozco en la red troncal de Internet AGIS, y el Rt66, el mayor ISP de Nuevo México. Ambos, AGIS y Rt66, han tenido su ración de ataques de delincuentes informáticos, por ello tienen una experiencia real con EtherPeek. Otro extra de EtherPeek e IP-Watcher es que ambos son ideales para comprobar otros productos de seguridad tales como cortafuegos o routers con filtrado de paquetes, y localizar y obtener las evidencias necesarias para enviar a los delincuentes informáticos a la cárcel.
Empecemos con EtherPeek. Aparte de la versión para Mac, hay una versión para Windows NT, e incluso sobre Windows 95/98. Sin embargo, recomendaría la versión de Mac ya que no hay muchos hackers que sepan cómo comprometer, desactivar o reventar la seguridad de los Mac. Por el contrario, Windows es vulnerable a muchos ataques de denegación de servicio. Mientras que puedes proteger tus máquinas Windows de ataques desde Internet con un router y un cortafuegos bien configurados, ¿qué pasa si el intruso está en tu LAN?
--------------------------------------------------------------------------------
Truco: Si tienes un módem para cable, prueba EtherPeek en él. Probablemente descubrirás que tu módem para cable es un nodo de una Ethernet: ¡Podrás ver lo que cualquiera está haciendo en tu sistema de cable! Esto significa, por supuesto, que los demás pueden verte a ti. Incluso sin EtherPeek, podría ser un gran reto comprobar la posibilidad de descifrar los detalles de todo el hardware de la red de módems para cable.
--------------------------------------------------------------------------------
Advertencia: Es muy probable que no sea buena idea explotar lo que EtherPeek te diga para tomarle el pelo a tu vecino de al lado sobre su visita la pasada noche a Bianca's Smut Shack.
--------------------------------------------------------------------------------
EtherPeek es bueno para evaluar tu configuración de seguridad. Puede utilizarse, por ejemplo, para comprobar la forma en la que la gente entra en los ordenadores de tu red y descubrir si estas máquinas están correctamente configuradas para enviar passwords cifradas por la red local. Esto es necesario ya que, aunque parezca increíble, muchos servidores de ficheros, sistemas de correo, y bases de datos se instalan automáticamente de tal forma que envían passwords sin cifrar por la red. Una vez que un atacante se cuela en una máquina de una red como esta, puede instalar un programa como Sniffit y rápidamente capturar todas las passwords.
Nota importante: Si tu red utiliza el Point-to-Point Tunneling Protocol (PPTP) de Microsoft para cifrar passwords, y si tienes una máquina Solaris en tu red local, no estás a salvo. Hay un sniffer gratuito en http://www.l0pht.com/l0phtcrack que se ejecuta sobre Solaris y captura las passwords cifradas mediante PPTP. Otro programa que puedes encontrar en este sitio las descifra. En el momento que leas esto, podría haber versiones de este sniffer que también se ejecuten en otros sistemas operativos. Para un análisis criptográfico de por qué es fácil reventar PPTP, véase http://www.counterpane.com/pptp.html. Sin embargo, volviendo a EtherPeek, hay un menú "Tools" (herramientas) que te permite comprobar cortafuegos y routers. Por ejemplo, puedes comprobar que hacer seguro el cortafuegos consiste en evitar que los ordenadores de tu LAN respondan con información significativa ante una exploración de puertos de alguien de fuera.
El creador de EtherPeek y presidente del Grupo AG, Mahboud Zabetian, explica también que este programa puede recoger "mensajes en busca de passwords". EtherPeek tiene una "aplicación ftp en la suite TCP/IP que usa la orden PASSWORD que se envía en la conexión de órdenes que es ideal para filtrar lo que se escribe. Configurando EtherPeek con un filtro para órdenes PASSWORD de FTP, el responsable de seguridad puede examinar rápidamente por qué hay conexiones con passwords incorrectas o de dónde vienen los intentos repetidos de conexión con passwords incorrectas cuando estamos intentamos localizar el origen de los intentos para colarse en el sistema".
Vale, estoy de acuerdo, el tipo de cracker que de forma repetida intenta colarse en un servidor ftp probando passwords de forma aleatoria es poco convincente. Sin embargo, incluso los hackers torpes a veces tienen suerte. Te sorprendería cuantos usuarios eligen una password que es la misma que su nombre de usuario, o incluso eligen no tener password (sólo hay que pulsar "enter"). La mejor manera de tratar este problema es ejecutar un programa que fuerza a los usuarios a elegir passwords seguras. La biblioteca de Alec Muffet hará este trabajo. Esta disponible de forma gratuita en http://www.nmrc.org/files/sunix/index.html.
Zabetian también da consejos sobre cómo pillar a los más refinados artistas del intrusismo informático in fraganti. "Mediante la búsqueda de lo que no pertenece a las conexiones de red así como lo que sí que pertenece... se puede descubrir fallos potenciales de seguridad antes de que se conviertan en un problema. Por ejemplo, si hay un montón de intentos de conexión desde una determinada dirección externa para el grupo autorizado, es hora de hacer una visita al delincuente y descubrir qué está haciendo antes de que se convierta en algo serio."
Sí, es cierto, un hacker puede conseguir que le den en los morros y le hagan una "visita," si hace demasiadas exploraciones de puertos y fisgonea la red de alguien.
Para obtener mejores resultados, EtherPeek (o cualquier buen programa de lucha contra la delincuencia informática) se debe colocar en un ordenador que esté en la red de acceso externo, en la parte no protegida por el cortafuegos (tienes, ¿no?) Y en otro que esté en el interior para enfrentarse a los intrusos que intentan colarse de cualquier manera. Además, casi la mitad de los delitos informáticos los cometen personas que son usuarios de la red de área local que atacan.
EtherPeek viene con un programa asociado, AGNetTools, que puede explorar puertos en tu red mientras EtherPeek graba los resultados. Como se mencionó arriba, una de las señales de aviso de que tienes un visitante inesperado es la actividad anormal de los puertos. También, a veces alguien puede ser descuidado y accidentalmente abrir un puerto web o ftp que tiene poca o ninguna seguridad... y abre la puerta a invasores.
EtherPeek también es una gran herramienta de investigación informática. Puede detectar los paquetes corruptos de exploits tales como Land y Teardrop que desactivan ordenadores vulnerables. Puede guardarte estos paquetes para reenviarlos a un ordenador de prueba de forma que puedas aprender cómo realizan su sucio trabajo. Además, a veces hay ruido hardware que produce de forma accidental corrupción de paquetes, dando lugar a paquetes corruptos que dañarán las conexiones. Una vez que el Rt66 estaba sufriendo corrupción de paquetes, EtherPeek ayudó al administrador de sistemas a encontrar en unos minutos el hardware responsable.
Ocasionalmente puedes ser atacado por un oponente auténticamente sofisticado. Por ejemplo, un truco es ejecutar un ataque de denegación de servicio como el syn flood, en el que cada paquete tiene una dirección IP de origen diferente. Esto engañará a muchas defensas (tipo router o cortafuegos) al no darse cuenta que están bajo un ataque que pronto tumbará el servidor. Sin embargo, EtherPeek puede avisar de este ataque, pero no repelerlo.
Como se mencionó anteriormente, EtherPeek puede identificar fácilmente a los que usan exploradores silenciosos de puertos. También detecta la verdadera dirección IP de alguien que configura una conexión IP falsa. El atacante está enviando mensajes a la víctima pensando que la identidad de su ordenador está oculta. En el otro lado el administrador de sistemas está viendo en la pantalla de su Mac G3 la dirección IP, riéndose a la vez que lanza un ataque con Teardrop para reventar el ordenador atacante.
Lo siento, EtherPeek no contraataca. Tienes que ir a un sitio como http://www.rootshell.com para descargar algún programa de denegación de servicios como Teardrop para atacar a los chicos malos.
--------------------------------------------------------------------------------
Advertencia: ¿Qué pasa si el atacante está en una cuenta robada a una víctima inocente? Puedes meterte en problemas si le contraatacas con un ataque de denegación de servicio.
--------------------------------------------------------------------------------
Consejo: Si puedes determinar que tu atacante está en una dirección IP asignada dinámicamente, sería posible luchar contra él con impunidad. Una buena manera de ver si la dirección IP es asignada dinámicamente es el comando "nslookup hostname" donde sustituyes la dirección IP atacante por "hostname". Si obtienes la respuesta "Non-existente host/domain," ¡Puede ser la hora de combatir! Sin embargo, esto te puede meter en líos: recuerda lo que te he advertido.
--------------------------------------------------------------------------------
Entonces, ¿qué se hace cuándo los chicos malos atacan? EtherPeek puede activar un buscapersonas cuando detecta actividad sospechosa. Cuando llega el día en que estás bajo un ataque serio, necesitas estar físicamente en la red, incluso si ello significa que tengas que salir de la cama. A veces la única cosa que puedes hacer para parar a tu atacante es desconectar físicamente tu red de Internet. Si tienes un acceso a tu red a través de módem, tienes que hacer también ciertas cosas donde están todos los módems y desactivar las llamadas entrantes. (Utiliza un wardialer para detectar conexiones secretas a través de módems a tu LAN).
EtherPeek es también útil para grabar las pruebas que necesitas para meter a tus atacantes en la cárcel.
Khepper es dios
EtherPeek
--------------------------------------------------------------------------------
EtherPeek 3.5 para MacOS, del Grupo AG en http://www.aggroup.com; e IP-Watcher para Unix de En Garde Systems, http://www.engarde.com. Elegí estos dos porque prometían una potencia excepcional para detectar ataques y, en el caso de IP-Watcher, para defenderse si llega el caso. En especial EtherPeek es muy recomendado por los administradores de sistemas que conozco en la red troncal de Internet AGIS, y el Rt66, el mayor ISP de Nuevo México. Ambos, AGIS y Rt66, han tenido su ración de ataques de delincuentes informáticos, por ello tienen una experiencia real con EtherPeek. Otro extra de EtherPeek e IP-Watcher es que ambos son ideales para comprobar otros productos de seguridad tales como cortafuegos o routers con filtrado de paquetes, y localizar y obtener las evidencias necesarias para enviar a los delincuentes informáticos a la cárcel.
Empecemos con EtherPeek. Aparte de la versión para Mac, hay una versión para Windows NT, e incluso sobre Windows 95/98. Sin embargo, recomendaría la versión de Mac ya que no hay muchos hackers que sepan cómo comprometer, desactivar o reventar la seguridad de los Mac. Por el contrario, Windows es vulnerable a muchos ataques de denegación de servicio. Mientras que puedes proteger tus máquinas Windows de ataques desde Internet con un router y un cortafuegos bien configurados, ¿qué pasa si el intruso está en tu LAN?
--------------------------------------------------------------------------------
Truco: Si tienes un módem para cable, prueba EtherPeek en él. Probablemente descubrirás que tu módem para cable es un nodo de una Ethernet: ¡Podrás ver lo que cualquiera está haciendo en tu sistema de cable! Esto significa, por supuesto, que los demás pueden verte a ti. Incluso sin EtherPeek, podría ser un gran reto comprobar la posibilidad de descifrar los detalles de todo el hardware de la red de módems para cable.
--------------------------------------------------------------------------------
Advertencia: Es muy probable que no sea buena idea explotar lo que EtherPeek te diga para tomarle el pelo a tu vecino de al lado sobre su visita la pasada noche a Bianca's Smut Shack.
--------------------------------------------------------------------------------
EtherPeek es bueno para evaluar tu configuración de seguridad. Puede utilizarse, por ejemplo, para comprobar la forma en la que la gente entra en los ordenadores de tu red y descubrir si estas máquinas están correctamente configuradas para enviar passwords cifradas por la red local. Esto es necesario ya que, aunque parezca increíble, muchos servidores de ficheros, sistemas de correo, y bases de datos se instalan automáticamente de tal forma que envían passwords sin cifrar por la red. Una vez que un atacante se cuela en una máquina de una red como esta, puede instalar un programa como Sniffit y rápidamente capturar todas las passwords.
Nota importante: Si tu red utiliza el Point-to-Point Tunneling Protocol (PPTP) de Microsoft para cifrar passwords, y si tienes una máquina Solaris en tu red local, no estás a salvo. Hay un sniffer gratuito en http://www.l0pht.com/l0phtcrack que se ejecuta sobre Solaris y captura las passwords cifradas mediante PPTP. Otro programa que puedes encontrar en este sitio las descifra. En el momento que leas esto, podría haber versiones de este sniffer que también se ejecuten en otros sistemas operativos. Para un análisis criptográfico de por qué es fácil reventar PPTP, véase http://www.counterpane.com/pptp.html. Sin embargo, volviendo a EtherPeek, hay un menú "Tools" (herramientas) que te permite comprobar cortafuegos y routers. Por ejemplo, puedes comprobar que hacer seguro el cortafuegos consiste en evitar que los ordenadores de tu LAN respondan con información significativa ante una exploración de puertos de alguien de fuera.
El creador de EtherPeek y presidente del Grupo AG, Mahboud Zabetian, explica también que este programa puede recoger "mensajes en busca de passwords". EtherPeek tiene una "aplicación ftp en la suite TCP/IP que usa la orden PASSWORD que se envía en la conexión de órdenes que es ideal para filtrar lo que se escribe. Configurando EtherPeek con un filtro para órdenes PASSWORD de FTP, el responsable de seguridad puede examinar rápidamente por qué hay conexiones con passwords incorrectas o de dónde vienen los intentos repetidos de conexión con passwords incorrectas cuando estamos intentamos localizar el origen de los intentos para colarse en el sistema".
Vale, estoy de acuerdo, el tipo de cracker que de forma repetida intenta colarse en un servidor ftp probando passwords de forma aleatoria es poco convincente. Sin embargo, incluso los hackers torpes a veces tienen suerte. Te sorprendería cuantos usuarios eligen una password que es la misma que su nombre de usuario, o incluso eligen no tener password (sólo hay que pulsar "enter"). La mejor manera de tratar este problema es ejecutar un programa que fuerza a los usuarios a elegir passwords seguras. La biblioteca de Alec Muffet hará este trabajo. Esta disponible de forma gratuita en http://www.nmrc.org/files/sunix/index.html.
Zabetian también da consejos sobre cómo pillar a los más refinados artistas del intrusismo informático in fraganti. "Mediante la búsqueda de lo que no pertenece a las conexiones de red así como lo que sí que pertenece... se puede descubrir fallos potenciales de seguridad antes de que se conviertan en un problema. Por ejemplo, si hay un montón de intentos de conexión desde una determinada dirección externa para el grupo autorizado, es hora de hacer una visita al delincuente y descubrir qué está haciendo antes de que se convierta en algo serio."
Sí, es cierto, un hacker puede conseguir que le den en los morros y le hagan una "visita," si hace demasiadas exploraciones de puertos y fisgonea la red de alguien.
Para obtener mejores resultados, EtherPeek (o cualquier buen programa de lucha contra la delincuencia informática) se debe colocar en un ordenador que esté en la red de acceso externo, en la parte no protegida por el cortafuegos (tienes, ¿no?) Y en otro que esté en el interior para enfrentarse a los intrusos que intentan colarse de cualquier manera. Además, casi la mitad de los delitos informáticos los cometen personas que son usuarios de la red de área local que atacan.
EtherPeek viene con un programa asociado, AGNetTools, que puede explorar puertos en tu red mientras EtherPeek graba los resultados. Como se mencionó arriba, una de las señales de aviso de que tienes un visitante inesperado es la actividad anormal de los puertos. También, a veces alguien puede ser descuidado y accidentalmente abrir un puerto web o ftp que tiene poca o ninguna seguridad... y abre la puerta a invasores.
EtherPeek también es una gran herramienta de investigación informática. Puede detectar los paquetes corruptos de exploits tales como Land y Teardrop que desactivan ordenadores vulnerables. Puede guardarte estos paquetes para reenviarlos a un ordenador de prueba de forma que puedas aprender cómo realizan su sucio trabajo. Además, a veces hay ruido hardware que produce de forma accidental corrupción de paquetes, dando lugar a paquetes corruptos que dañarán las conexiones. Una vez que el Rt66 estaba sufriendo corrupción de paquetes, EtherPeek ayudó al administrador de sistemas a encontrar en unos minutos el hardware responsable.
Ocasionalmente puedes ser atacado por un oponente auténticamente sofisticado. Por ejemplo, un truco es ejecutar un ataque de denegación de servicio como el syn flood, en el que cada paquete tiene una dirección IP de origen diferente. Esto engañará a muchas defensas (tipo router o cortafuegos) al no darse cuenta que están bajo un ataque que pronto tumbará el servidor. Sin embargo, EtherPeek puede avisar de este ataque, pero no repelerlo.
Como se mencionó anteriormente, EtherPeek puede identificar fácilmente a los que usan exploradores silenciosos de puertos. También detecta la verdadera dirección IP de alguien que configura una conexión IP falsa. El atacante está enviando mensajes a la víctima pensando que la identidad de su ordenador está oculta. En el otro lado el administrador de sistemas está viendo en la pantalla de su Mac G3 la dirección IP, riéndose a la vez que lanza un ataque con Teardrop para reventar el ordenador atacante.
Lo siento, EtherPeek no contraataca. Tienes que ir a un sitio como http://www.rootshell.com para descargar algún programa de denegación de servicios como Teardrop para atacar a los chicos malos.
--------------------------------------------------------------------------------
Advertencia: ¿Qué pasa si el atacante está en una cuenta robada a una víctima inocente? Puedes meterte en problemas si le contraatacas con un ataque de denegación de servicio.
--------------------------------------------------------------------------------
Consejo: Si puedes determinar que tu atacante está en una dirección IP asignada dinámicamente, sería posible luchar contra él con impunidad. Una buena manera de ver si la dirección IP es asignada dinámicamente es el comando "nslookup hostname" donde sustituyes la dirección IP atacante por "hostname". Si obtienes la respuesta "Non-existente host/domain," ¡Puede ser la hora de combatir! Sin embargo, esto te puede meter en líos: recuerda lo que te he advertido.
--------------------------------------------------------------------------------
Entonces, ¿qué se hace cuándo los chicos malos atacan? EtherPeek puede activar un buscapersonas cuando detecta actividad sospechosa. Cuando llega el día en que estás bajo un ataque serio, necesitas estar físicamente en la red, incluso si ello significa que tengas que salir de la cama. A veces la única cosa que puedes hacer para parar a tu atacante es desconectar físicamente tu red de Internet. Si tienes un acceso a tu red a través de módem, tienes que hacer también ciertas cosas donde están todos los módems y desactivar las llamadas entrantes. (Utiliza un wardialer para detectar conexiones secretas a través de módems a tu LAN).
EtherPeek es también útil para grabar las pruebas que necesitas para meter a tus atacantes en la cárcel.
Khepper es dios
- Compartir respuesta
- Anónimo
ahora mismo
1 respuesta más de otro experto
Respuesta de guinlea
1
1
- Compartir respuesta
- Anónimo
ahora mismo