MONTANDO UN HONEYPOT (sebek, honeywall en virtualbox) parte 3

Hola a todos!
Vamos a continuar configurando nuestro honeypod con sebek y honeywall desde el punto en el cual lo dejamos, recordareis que habíamos finalizado, hace ya mucho tiempo, la segunda sección de la configuración de honeywall, en este post finalizaremos la configuración totalmente.
Para ello continuamos donde lo dejamos… al inicio de la tercera sección, vamos a abreviar en la medida de lo posible ahorrándonos pasos obvios y solo recalcando lo importante, al lió
Para que veáis donde nos encontramos en la tercera sección comenzamos a configurar las limitaciones que la gateway_firewall va a tener al nivel de conexiones, y también como nos va a presentar los reportes, en la captura siguiente hemos elegido la opción de hora para dicha escala…

1

En los siguientes cuatro pasos, elegiremos el numero de conexiones por protocolo en este orden tcp, udp, icmp, y el resto de protocolos, en cada una asignaremos los valores que se observan…

Sigue leyendo

UNA SOBRE MITM (CAIN,EVIL FOCA,ETTERCAP Y SET…HACIENDO TRAVESURAS)

Hola a todos, en esta ocasión vamos a tratar algo visto hasta la saciedad, pero que sigue dando juego (y lo que le queda…) no estoy hablando de otra cosa más que de los ataques MITM …

Vamos a ver ejemplos prácticos, vamos a realizar ejemplos de arp spoofing, dns spoofing con distintas herramientas Cain, Evil Foca (combinada con SET), y por último un clásico ettercap con sslstrip en Kali Linux.

Antes de todo ello tenemos que tocar la teoría para poder comprender en toda su magnitud a lo que nos enfrentamos, tenemos varios tipos de ataques los más comunes que podemos ver y reproducir son:

• ARP Poisoning (o ARP Spoofing)

• DNS spoofing

• DHCP spoofing

  • ARP Spoofing se trata de un ataque de MITM para redes ethernet, que permite al atacante capturar el tráfico que pasa por la red así como detenerlo (provocando una denegación de servicio), consistente en enviar mensajes ARP falsos, estas tramas ethernet contienen las direcciones MAC manipuladas se envían a los dispositivos de red encargados de la correcta distribución de las mismas, esto provoca que las tramas sean enviadas por las víctimas al atacante o a un destino no válido provocando una denegación de servicio
  • DNS spoofing utiliza respuestas falsas a las peticiones de resolución DNS enviadas por una “víctima” existen dos métodos en los que puede basarse el atacante
  • ID Spoofing se basa en obtener el ID de las peticiones de resolución, el atacante puede lograr esto a través de algún ataque de sniffing, como por ejemplo desbordar la tabla ARP “MAC Flooding” de los switchs para ponerlos en un modo conocido como fail open os lo explico en el post sobre CAM … pudiendo el atacante, a partir de ese momento, ser capaz de escuchar los ID de las peticiones, intentando responder a estas peticiones antes que el servidor real, logrando de esta forma engañar a la víctima y llevarla así a la dirección ip que tenga preparada para aprovechamiento.
  • Cache poisoning es similar al anterior, salvo que se dirige a los servidores de cache de DNS, redirigiendo así a todos sus clientes al host que indique el atacante, siendo esta la más común de las dos.
  • DHCP spoofing requerimientos de direcciones asignadas por DHCP son hechos con tramas de tipo broadcast, ya que deben ser escuchados por todos los dispositivos dentro de la red local si un atacante responde antes que el verdadero servidor, este puede pasarle información errónea a la víctima, como por ejemplo puede decirle que la puerta de enlace es él. Pudiendo ser bastante sencillo responder antes que el servidor, debido a que muchos verifican si no hay otro dispositivo en la red con la dirección que van a entregar, el atacante tiene una fracción de tiempo en la cual puede responder.

Bien hasta aquí la teoría, empecemos a ver ejemplos, comenzaremos por un clásico donde los halla, CAIN, con el realizaremos un ejemplo de ARP spoofing y robo de credenciales, daremos por sentado que tenemos la aplicación instalada en nuestro sistema, por tanto lo ejecutaremos y procederemos a su configuración, para ello habremos de haber seleccionado nuestra interfaz de red en la pestaña de configuración de Caín tal y como se observa en la captura…

1

Una vez seleccionada nos aparecerá en el apartado adaptador de red actual  y pulsaremos aceptar…

Sigue leyendo

Creacion de servidor web IIS, FTP, SSL y despues una de APACHE parte 1ª

Creación de un servidor Web con Windows Server 2008.

Hola a todos, hoy os presento como crear nuestro propio servidor web en Windows Server 2008 R2, corriendo sobre IIS 7.5, es muy directo grafico y entretenido, tratamos en esta primera parte del la instalación de ISS 7.5, de la creación de un sitio para una supuesta empresa, y de como crear un acceso seguro con SSL.

Espero que os resulte interesante…

Instalación del servidor Web.

Para la realización de esta práctica se ha descargado e instalado el S.O. Windows Server 2008 R2 Enterprise una vez instalado y configurado se procede a la instalación del rol de Servidor Web en este caso mediante la instalación de Internet Information Server o IIS versión 7.5 de Microsoft.

Sigue leyendo

EMPEZANDO CON ACTIVE DIRECTORY…(parte 1º)

Vamos a comenzar una serie sobre Active directory de Microsoft, de manera muy directa y sin teoría eminentemente practica, espero que os resulte entretenida:

Tenemos una máquina virtual con el sistema operativo Windows Server 2008 R2 con una configuración estándar, con el adaptador de red en modo puente, con el que tendremos conectividad interna (la red virtual) y salida a Internet, Arrancamos la máquina virtual.
Una vez arrancada la máquina virtual y después de loggearnos como administrador local del equipo, observamos la dirección IP asignada en principio por DHCP de virtualbox, la copiamos y la introducimos como IP fija de la máquina virtual, para que pueda trabajar como un servidor de Dominio en Active Directory, en este caso, como se verá en la captura final de esta actividad, la IP es 192.168.0.201 con una máscara de red 255.255.255.0 con puerta de entrada 192.168.0.1 y servidor DNS 192.168.0.1.
Una vez realizado esto, cambiaremos el nombre DNS de nuestro sistema operativo, para que este nombrado correctamente según se solicita en la tarea, este se llamara “pdc.” en este punto, para ello nos iremos al botón inicio y pulsaremos con el botón derecho en el texto equipo y seleccionaremos propiedades del desplegable aparecerá la ventana sistema y seleccionaremos configuración avanzada del sistema en el menú de la izquierda, aparecerá la ventana de propiedades del sistema y elegiremos la pestaña nombre del equipo, pulsáremos el botón cambiar y en la ventana que aparece introduciremos “pdc” reiniciamos el equipo y el nombre del mismo habrá cambiado a “pdc.”

                                        
Cuyas indicaciones seguiremos, pulsamos siguiente.

Sigue leyendo

Configurando un Servidor DNS Bind 9 en Ubuntu Linux.

Hola de nuevodns

Tal y como prometí poco a poco vamos llenando de contenido interesante el Blog, en este caso os invito a descargar nuestro primer manual sobre la instalación del servicio DNS llamado Configurando un Servidor DNS en Bind 9 en una maquina Ubuntu linux.

Espero que os resulte interesante.

Un saludo