Herramientas de Redes

Sitio: Facultad de Ingeniería U.Na.M.
Curso: Redes II - IC421
Libro: Herramientas de Redes
Imprimido por: Invitado
Día: miércoles, 4 de diciembre de 2024, 23:37

1. Honey Pot

Un HoneyPot (Pote de Miel), o sistema trampa​ o señuelo,​ es una herramienta de la seguridad informática dispuesto en una red o sistema informático para ser el objetivo de un posible ataque informático, y así poder detectarlo y obtener información del mismo y del atacante.

Si el sistema dispuesto para ser atacado forma toda una red de herramientas y computadoras dedicadas en exclusiva a esta tarea se le denomina Honeynet.

Hay varios tipos diferentes de honeypots:

  • Honeypot de investigación: este tipo de trampa es utilizada por desarrolladores, administradores de sistemas y gerentes que trabajan en instituciones como universidades, colegios, escuelas y otras asociaciones relacionadas.
  • Honeypot de producción: es utilizado por instituciones públicas y privadas, empresas y corporaciones para investigar el comportamiento y las técnicas de los piratas informáticos que buscan atacar redes en Internet.
La interacción de estos Honeypots puede ser Baja, Media o Alta, entendiendo por esto el parecido que puede tener a un equipo real. En ese contexto la interacción Alta sería como igual a un equipo real. Lógicamente el nivel de interacción está asociado con los recursos que va a utilizar.

Estos sistemas de trampas a menudo se configuran en una máquina virtual o un servidor en la nube conectado a una red, pero aislados y monitoreados estrictamente por equipos de sistemas y redes. Para ayudarlos a ser notados por los malos, los honeypots están diseñados para ser intencionalmente vulnerables, con debilidades que un atacante detectará e intentará explotar.

Estas debilidades pueden ser parte de un agujero de seguridad dentro de una aplicación o vulnerabilidades del sistema, como puertos abiertos innecesarios, versiones de software desactualizadas, una contraseña débil o un kernel antiguo sin parchear.

Una vez que el atacante haya encontrado su objetivo vulnerable, intentará lanzar un ataque y escalar los privilegios hasta que pueda obtener cierto control de la caja o la aplicación.

Veamos algunos.

Honeypots Genéricos.

T-POT: T-Pot es la plataforma honeypot "todo en uno", opcionalmente distribuida, multiarch (amd64, arm64), compatible con más de 20 honeypots e innumerables opciones de visualización mediante Elastic Stack, mapas animados de ataque en vivo y muchas herramientas de seguridad para mejorar aún más la experiencia de engaño.

FaPro: FaPro es una herramienta de servidor de protocolo falso, puede iniciar o detener fácilmente múltiples servicios de red. El objetivo es admitir tantos protocolos como sea posible y admitir tantas interacciones profundas como sea posible para cada protocolo: DNS, DCE/RPC, EIP, Elasticsearch, FTP, HTTP, IEC 104, Memcached, Modbus, MQTT, MySQL, RDP, Redis, S7, SMB, SMTP, SNMP, SSH, Telnet, VNC, IMAP, POP3, NTP, RTSP, PORTMAP, PostgreSQL, SIP, SSDP, BACnet, Oracle TNS, AMQP, NFS, COAP, WEMO, DHT, Ethereum, SOCKS5, EOS.IO, ONVIF, NetBIOS, WebLogic, ICAP, MSSQL, LDAP

Honeypot de Escritorios Remotos.

rdpy: RDPY es una implementación pura de Python del protocolo Microsoft RDP (Remote Desktop Protocol) (lado del cliente y del servidor). RDPY se basa en el motor de red impulsado por eventos Twisted. RDPY admite la capa de seguridad RDP estándar, RDP sobre SSL y autenticación NLA (a través del protocolo de autenticación ntlmv2).

OpenCanary: En esencia, OpenCanary crea un honeypot de red que le permite atrapar a los atacantes antes de que comprometan completamente sus sistemas. Como definición técnica, OpenCanary es un demonio que ejecuta varias versiones de canary de servicios que alerta cuando se usa un servicio (ab). Soporta SNMP, RDP y SAMBA [Opcional] SNMP requiere la biblioteca de Python scapy [Opcional] RDP requiere la biblioteca python rdpy [Opcional] El módulo Samba necesita una instalación funcional de samba.

Honeypots de SSH:
Kippo: este honeypot SSH escrito en Python ha sido diseñado para detectar y registrar ataques de fuerza bruta y, lo que es más importante, el historial completo de shell realizado por el atacante. Está disponible para la mayoría de las distribuciones de Linux modernas y ofrece configuración y administración de comandos cli, así como una interfaz basada en web. Kippo ofrece un sistema de archivos falso y la capacidad de ofrecer contenido falso a los atacantes (como archivos de contraseña de usuario, etc.), así como un poderoso sistema de estadísticas llamado Kippo Graph.
Cowrie: este honeypot SSH de interacción media funciona emulando una shell. Ofrece un sistema de archivos falso basado en Debian 5.0, lo que le permite agregar y eliminar archivos como desee. Esta aplicación también guarda todos los archivos descargados y cargados en un área segura y en cuarentena, para que pueda realizar análisis posteriores si es necesario. Además del shell emulado SSH, se puede utilizar como proxy SSH y Telnet, y le permite reenviar conexiones SMTP a otro honeypot SMTP. Permite reportar Ip's a Fail2ban.
Honeypot de HTTP.
  • Glastopf: este honeypot basado en HTTP le permite detectar ataques de aplicaciones web de forma eficaz. Escrito en Python, Glastopf puede emular varios tipos de vulnerabilidades, incluida la inserción de archivos local y remota, así como la inyección de SQL (SQLi) y el uso de un sistema de registro centralizado con HPFeeds.
  • Nodepot: este honeypot de aplicación web se centra en Node.js, e incluso te permite ejecutarlo en hardware limitado como Raspberry Pi / Cubietruck. Si está ejecutando una aplicación Node.js y busca obtener información valiosa sobre los ataques entrantes y descubrir qué tan vulnerable es, entonces este es uno de los honeypots más relevantes para usted. Disponible en la mayoría de las distribuciones de Linux modernas, su ejecución depende de unos pocos requisitos.
  • Google Hack Honeypot: comúnmente conocido como GHH, este honeypot emula una aplicación web vulnerable que los rastreadores web pueden indexar, pero permanece oculta a las solicitudes directas del navegador. El enlace transparente utilizado para este propósito reduce los falsos positivos y evita que se detecte el honeypot. Esto le permite probar su aplicación contra los siempre tan populares de Google Dorks. GHH ofrece un archivo de configuración fácil, así como algunas capacidades de registro agradables para obtener información crítica del atacante, como IP, agente de usuario y otros detalles del encabezado.
Honeypots de base de datos
  • ElasticHoney: con Elasticsearch explotado con tanta frecuencia en la naturaleza, nunca es una mala idea invertir en un honeypot creado específicamente para este tipo de base de datos. Este es un honeypot simple pero efectivo que le permitirá detectar solicitudes maliciosas que intentan explotar las vulnerabilidades de RCE. Funciona al recibir solicitudes de ataque en varios puntos finales populares como /, / _search y / _nodes, y luego responde brindando una respuesta JSON que es idéntica a la instancia vulnerable de Elasticsearch. Todos los registros se guardan en un archivo llamado elastichoney.log. Una de las mejores cosas es que esta herramienta honeypot está disponible para los sistemas operativos Windows y Linux.
  • HoneyMysql: este sencillo honeypot MySQL se crea para proteger sus bases de datos basadas en SQL. Escrito en Python, funciona en la mayoría de las plataformas y se puede instalar fácilmente clonando su repositorio de GitHub.
  • MongoDB-HoneyProxy: uno de los honeypots de MongoDB más populares, se trata específicamente de un proxy honeypot que puede ejecutar y registrar todo el tráfico malicioso en un servidor MongoDB de terceros. Se requieren Node.js, npm, GCC, g ++ y un servidor MongoDB para que este honeypot de MongoDB funcione correctamente. Se puede ejecutar dentro de un contenedor Docker o cualquier otro entorno de VM.
HoneyPots de Correo Electrónico.
  • Honeymail: si está buscando una forma de detener los ataques basados ​​en SMTP, esta es la solución perfecta. Escrito en Golang, este honeypot para correo electrónico le permitirá configurar numerosas funciones para detectar y prevenir ataques contra sus servidores SMTP. Sus principales características incluyen: configurar mensajes de respuesta personalizados, habilitar el cifrado StartSSL / TLS, almacenar correos electrónicos en un archivo BoltDB y extraer información del atacante como dominio de origen, país, archivos adjuntos y partes del correo electrónico (HTML o TXT). También proporciona una protección DDoS simple pero potente contra conexiones masivas.
  • Mailoney: Este es un gran honeypot de correo electrónico escrito en Python. Se puede ejecutar en diferentes modos, como open_relay (registrando todos los correos electrónicos que se intentaron enviar), postfix_creds (utilizado para registrar las credenciales de los intentos de inicio de sesión) y schizo_open_relay (que le permite registrar todo).
  • SpamHAT: esta trampa está diseñada para atrapar y evitar que el spam ataque cualquiera de sus buzones de correo electrónico. Para que esto funcione, asegúrese de tener instalado Perl 5.10 o superior, así como algunos módulos CPAN como IO :: Socket, Mail :: MboxParser, LWP :: Simple, LWP :: UserAgent, DBD :: mysql, Digest: : MD5 :: Archivo, además de tener un servidor MySQL en ejecución con una base de datos llamada 'spampot'.

Honeypots de IOT
  • HoneyThing: Creado para Internet de los servicios habilitados para TR-069, este honeypot funciona actuando como un módem / enrutador completo que ejecuta el servidor web RomPager y es compatible con el protocolo TR-069 (CWMP). Este honeypot de IOT es capaz de emular vulnerabilidades populares para Rom-0, Misfortune Cookie, RomPager y más. Ofrece soporte para el protocolo TR-069, incluyendo la mayoría de sus comandos CPE populares, como GetRPCMethods, Get / Set parameter values, Download, etc. A diferencia de otros, este honeypot ofrece una interfaz basada en web fácil y pulida. Finalmente, todos los datos críticos se registran en un archivo llamado honeything.log
  • Kako: la configuración predeterminada ejecutará una serie de simulaciones de servicio para capturar información de ataque de todas las solicitudes entrantes, incluido el cuerpo completo. Incluye servidores Telnet, HTTP y HTTPS. Kako requiere los siguientes paquetes de Python para funcionar correctamente: Click, Boto3, Requests y Cerberus. Una vez que esté cubierto con los paquetes requeridos, puede configurar este honeypot de IOT usando un archivo YAML simple llamado kako.yaml. Todos los datos se registran y se exportan a AWS SNS y al formato JSON de archivo plano.
Otros Honeypots.

  • Dionaea: este honeypot de baja interacción escrito en C y Python usa la biblioteca Libemu para emular la ejecución de instrucciones Intel x86 y detectar códigos de shell. Además, podemos decir que es un honeypot multiprotocolo que ofrece soporte para protocolos como FTP, HTTP, Memcache, MSSQL, MySQL, SMB, TFTP, UPNP etc. Sus capacidades de registro ofrecen compatibilidad con Fail2Ban, hpfeeds, log_json y log_sqlite.
  •  Miniprint: Dado que las impresoras son algunos de los dispositivos que más se pasan por alto en las redes informáticas, Miniprint es el aliado perfecto cuando necesita detectar y recopilar ataques basados en impresoras. Funciona al exponer la impresora a Internet mediante un sistema de archivos virtual donde los atacantes pueden leer y escribir datos simulados. Miniprint ofrece un mecanismo de registro muy profundo y guarda cualquier trabajo de impresión de postscript o texto plano en un directorio de carga para su posterior análisis.
  • Honeypot-ftp: Escrito en Python, este honeypot FTP ofrece soporte completo para FTP simple y FTPS para que pueda realizar un seguimiento profundo de las credenciales de usuario y contraseña utilizadas en intentos de inicio de sesión ilegales, así como los archivos cargados para cada sesión FTP / FTPS.
  • HoneyNTP: NTP es uno de los protocolos que más se pasa por alto en Internet, y por eso es una buena idea ejecutar un Honeypot NTP. Este es un servidor NTP simulado de Python que se ejecuta sin problemas en los sistemas operativos Windows y Linux. Funciona al registrar todos los paquetes NTP y los números de puerto en una base de datos de Redis para que pueda realizar un análisis posterior.
  • DShield HoneypotDShield Honeypot es un honeypot ligero destinado a imitar un sistema vulnerable para recopilar información sobre amenazas. Luego, estos datos se envían al vasto repositorio de datos de SANS ISC con fines de investigación. Puede funcionar en una RaspBerry Pi.
HoneyPots en RaspBerry Pi

De acuerdo a la documentación existente, honeeepi, es un desarrollo para raspberry pi que se basa en el sistema operativo raspbian personalizado que posee varias honeypots que se pueden utilizar de acuerdo a la necesidad, dentro de las cuales se encuentran:

  • Conpot: Es un honeypot de sistemas de control industrial de baja interactividad, fácil de implementar, modificar y extender, capaz de emular una infraestructura industrial compleja. Cuenta con una interfaz de interacción humana para aumentar la superficie de ataque del honeypot.
  • Dionaea: Es un honeypot diseñado para atrapar el malware que explota las vulnerabilidades publicadas por los servicios de red. El objetivo es obtener una copia del malware. Puede realizar la publicación de servicios como SIP, FTP, TFTP, SMB, bases de datos, entre otros.
  • Glastopf: Es una aplicación web desarrollada en Python que emula vulnerabilidades.
  • Cowrie: Es un honeypot de servicios SSH y Telnet de interacción media para registrar ataques de fuerza bruta y captura la interacción realizada por un atacante.
  • Kippo: Es un honeypot SSH de interacción media que registra ataques de fuerza bruta y proporciona toda la información asociada a la interacción del atacante.
  • Honeyd: Realiza la creación de host virtuales en una red. Estos dispositivos pueden configurarse para que ejecuten ciertos servicios y un sistema operativo determinado.
  • Amun: Es un honeypot desarrollado en python de baja interacción que permite la captura de malware. Emula múltiples vulnerabilidades asociadas a sistemas operativos.
Obtenido de:

2. Wireshark

Para determinar el funcionamiento de tu red, tendrás que saber cuáles son los dispositivos conectados y el ancho de banda que utiliza cada uno. Wireshark te facilita todas las herramientas necesarias para ver el tráfico de la red e identificar los problemas.

Wireshark (antes conocido como Ethereal) es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para análisis de datos y protocolos, y como una herramienta didáctica. Cuenta con todas las características estándar de un analizador de protocolos de forma únicamente hueca.

La funcionalidad que provee es similar a la del comando "tcpdump", pero añade una interfaz gráfica, muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo.

Con el soporte multi-protocolo, podrás analizar cualquier sección de la red, wired Ethernet, Wifi y Bluetooth incluido, desde una sola consola. Además, Wireshark es totalmente gratis mantenido bajo la licencia GPL.

En este link podemos ver una variada documentación sobre Whireshark: https://www.wireshark.org/docs/

En este otro link un manual del mismo: https://www.wireshark.org/docs/wsug_html_chunked/ChapterIntroduction.html

3. SOFTWARE: Angry IP Scanner

Considerado por muchos especialistas como una opción gratis, liviana y con un escáner fácil de utilizar (interfaz sencilla), puede ser de gran utilidad para aprender a implementar y trabajar de manera rutinaria con un software de administración de redes.

Actualmente ha disminuido su popularidad debido a que para aumentar sus ganancias, el software ha comenzado a mostrar publicidad invasiva y los usuarios prefieren usar otros servicios. A pesar de ello sigue contando con grandes beneficios como:

  •     Portabilidad: Es un Software multiplataforma.
  •     Mostrar los nombres de host.
  •     Incluye funciones de escaneo variados mostrados en varios subprocesos.
  •     Los resultados pueden exportarse en Excel, texto plano y XML.

LINK DE DESCARGA: https://angryip.org/

Está disponible para varios Sistemas Operativos.

4. SOFTWARE : Advanced IP Scanner

Es un escáner gratuito SOLO PARA WINDOWS, recomendada como el primer software al que deberían acceder profesionales de TI, puede conectarse a servicios de HTTP y FTP, otras ventajas de Advanced IP Scanner son: 

  • Facilidad de acceso a unidades compartidas.
  • Control remoto de equipos con RDP y Radmin.
  • Detección de direcciones MAC.
  • Activación y apagado remoto de los equipos.

LINK DE DESCARGA: https://www.advanced-ip-scanner.com/es/

5. SOFTWARE: Nmap

Nmap es un software de código abierto que se utiliza para escanear una red y sus puertos, con el objetivo de obtener información importante sobre la misma para controlar y gestionar su seguridad. Es una aplicación que se utiliza normalmente para realizar auditorías de seguridad y monitoreo de redes.

Desde NMAP se pueden realizar diferentes tipos de escaneos:
  • Ping/Arp: son escaneos muy útiles a la hora de conocer qué host se encuentran activos en la red (Ping) o para obtener información específica sobre los host activos (Arp).
  • TCP Connect: sirve para realizar una conexión completa de todos los puertos.
  • Sondeo de lista: tiene la finalidad de obtener los nombres de equipo de los distintos dispositivos conectados a la red, sin la necesidad de enviar un paquete para ello (realiza una resolución inversa de DNS).
  • FIN: sirve para determinar si el host e encuentra tras un cortafuego.

NMAP utiliza una serie de comandos para escanear y monitorizar una red. Por ejemplo, para realizar un escaneo de utilizando direcciones IP se tendrá que introducir el siguiente comando:

  • nmap 192.168.1.56 (para un host) o nmap -F 192.168.1.56 (para un análisis rápido).
  • nmap 192.168.1.56 192.168.1.57 192.168.1.58 (para varios hosts).
  • nmap 192.168.1.56-100 (para un rango de direcciones IP).
  • nmap 192.168.1.* (para escanear y analizar toda la red).
  • nmap serverq.nombredelhost.com (para realizar un escaneo utilizando el nombre de host).
  • nmap -A 192.168.1.56 (para averiguar el sistema operativo y la versión de un host).

LINK DEL MANUAL EN ESPAÑOL: https://nmap.org/man/es/index.html

    6. Zenmap

    Es la interfaz gráfica del proyecto Open Source Nmap, es un programa especializado para rastrear puertos de computadora.

    Zenmap permite: 

    • Inventario de la red. 
    • Gestión de programas para actualizar los servicios que usa la red.
    • Seguimiento del host o tiempo de servicio.
    • Identificar puertos abiertos en computadores objetivos.

    Zenmap es gratuito y permite identificar no solo el flujo de la red de la empresa sino también detalles de los diferentes dispositivos, incluyendo sistemas operativos. 

    LINK DE DESCARGA: https://nmap.org/zenmap/

    7. Nagios

    Nagios es, probablemente, la herramienta libre más conocida. Lanzada oficialmente en marzo del '99.

    Desde 1996 están trabajando en USA para construir este software de monitorización. El CORE de Nagios es la parte más importante de la herramienta y sobre él se pueden construir plugins para monitorear elementos particulares.

    Es interesante ver cómo la tendencia de su demanda en Internet ha ido disminuyendo con el paso del tiempo. Lo que antes fue una de las herramientas de red más potentes y conocidas, está ahora perdiendo terreno.

    Entre sus características principales figuran la monitorización de servicios de red (SMTP, POP3, HTTP, SNMP...), la monitorización de los recursos de sistemas hardware (carga del procesador, uso de los discos, memoria, estado de los puertos...), independencia de sistemas operativos, posibilidad de monitorización remota mediante túneles SSL cifrados o SSH, entre otras.

    Nagios

    8. OCSInventory

    OCS Inventory NG utiliza un agente, que administra el inventario en los equipos cliente y un servidor de administración, que centraliza los resultados del inventario, permite visualizar los resultados del inventario y los dispositivos de red detectados y crear paquetes de implementación.

    Esta opción es interesante para "inventariar" los diferentes equipos conectados a nuestra red: routers, switch o firewall, así como impresoras de red. Para ello nos facilitará dirección IP del equipo y dirección MAC para su posterior identificación. Además, si algún equipo no tiene instalado el agente, también nos aparecerá.

    OCS se basa en 4 servicios que podemos montar en un solo equipo o distribuirlos en varios:

    1.     El servicio de base de datos es el encargado de almacenar los datos del inventario.
    2.     El servicio de comunicaciones gestiona las comunicaciones a través de HTTP entre el servicio de base de datos y los agentes instalados en los equipos.
    3.     La consola de administración permite a los administradores acceder a los datos del inventario a través de una interface web.
    4.     El servicio de despliegue almacena las configuraciones que después se desplegarán en los equipos.

    Si vamos a gestionar por encima de 1000 agentes, se recomienda instalarlo de manera distribuida para equilibrar la carga.

    CARACTERÍSTICAS DE OCS INVENTORY:

    Estas son algunas características que tiene OCS Inventory:

    •     Interfaz web fácil de usar.
    •     Soporte para muchos sistemas operativos incluyendo:
      •     Microsoft Windows, Linux, BSD, Sun Solaris, IBM AIX, HP-UX, MacOS X, Android
    •     Servicio web accesible a través de la interfaz SOAP.
    •     Soporta plugins a través de APIs.
    •     La interfaz web muestra el detalle de cada servidor incluyendo:  Hardware: CPU, RAM, red, placa madre, video, sonido entre otros.
    •     Detalles de red o redes activas.
    •     Versión de BIOS.
    •     Sincronización con herramientas de terceros (iTop, GLPI…).
    •     Poderoso sistema de despliegue (Deployment) que permite la instalación de software distribuido o ejecutar scripts sin saturar la red.
    •   La administración se realiza a través de la consola web, facilitando las tareas.
    •   Soporta Microsoft Windows (Server, Vista, Seven, Xp), Linux, Sun Solaris, IBM AIX, HP-UX, MacOS X.

      

    9. MRTG

    MRTG (Multi Router Traffic Grapher) es una herramienta, escrita en C y Perl por Tobias Oetiker y Dave Rand, que se utiliza para supervisar la carga de tráfico de interfaces de red. MRTG genera un informe en formato HTML con gráficas que proveen una representación visual de la evolución del tráfico a lo largo del tiempo.

    Esta herramienta está bajo licencia GNU GPL (Libre).

    Usa SNMP (Simple Network Management Protocol - Protocolo Simple de Manejo de Red) para obtener información. Es un protocolo de capa de aplicación basado en IP que intercambia información entre una solución de administración de red y cualquier dispositivo habilitado para SNMP.

    Este protocolo proporciona la información "en crudo" de la cantidad de bytes que han pasado por ellos distinguiendo entre entrada y salida. Esta cantidad bruta deberá ser tratada adecuadamente para la generación de informes

    Ejemplo de visualización de trafico.

    Protocolo Simple de Manejo de Red

    10. SNORT

    Snort es el sistema de detección y prevención de intrusiones (Intrusion detection system - IPS) de código abierto más importante del mundo.
    Snort IPS usa una serie de reglas que ayudan a definir la actividad de red maliciosa y usa esas reglas para encontrar paquetes que coincidan con ellos y generar alertas para los usuarios.

    Snort también se puede implementar en línea para detener estos paquetes. Snort tiene tres usos principales:
    1. como rastreador de paquetes como tcpdump.
    2. como registrador de paquetes, que es útil para la depuración del tráfico de red.
    3. como un sistema completo de prevención de intrusiones en la red.
    Snort se puede descargar y configurar para uso personal y comercial por igual.

    Ofrece la capacidad de almacenamiento de bitácoras en archivos de texto y en bases de datos abiertas, como MySQL. Implementa un motor de detección de ataques y escaneo de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida.
    Términos:
    • IPS: Intrusion Prevention System (Sistema de Prevención de Intrusos).
    • IDS: Intrusion Detection System (Sistema de Detección de Intrusos).

    Este IDS implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante su instalación, provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap, entre otros.

    Puede funcionar como sniffer y registro de paquetes. Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se "loguea". Así se sabe cuándo, de dónde y cómo se produjo el ataque.

    Snort mantiene una base de datos de ataques que se actualiza constantemente a través de internet. Los usuarios pueden crear firmas basadas en las características de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, esta ética de comunidad y compartir ha convertido a Snort en uno de los IDS basados en red más populares, actualizados y robustos. 

    11. Cacti

    Cacti proporciona un marco de gestión de fallas y monitoreo operativo sólido y extensible para usuarios de todo el mundo. También es una solución completa de gráficos de red diseñada para aprovechar el poder de la funcionalidad de gráficos y almacenamiento de datos de RRDTool.

    Cacti incluye un marco de recopilación de datos totalmente distribuido y tolerante a fallas, funciones avanzadas de automatización basadas en plantillas para dispositivos, gráficos y árboles, múltiples métodos de adquisición de datos, la capacidad de extenderse a través de complementos, funciones de administración de usuarios, grupos y dominios basadas en funciones, además de un Motor de temas y compatibilidad con varios idiomas desde el primer momento.

    Todo esto está envuelto en una interfaz intuitiva y fácil de usar que tiene sentido para instalaciones del tamaño de una LAN hasta redes complejas con decenas de miles de dispositivos.


    Spine es una herramienta creada por Cacti, para recopilar la información ofrecida por los dispositivos controlados mediante SNMP. Se trata de una entrada complementario a otras sobre la instalación de Cacti en Centos 7 o Ubuntu 18.04.

    12. SQUID

    Squid es un proxy de almacenamiento en caché para la Web que admite HTTP, HTTPS, FTP y más. Reduce el ancho de banda y mejora los tiempos de respuesta al almacenar en caché y reutilizar las páginas web solicitadas con frecuencia, guardando en caché peticiones repetidas a DNS (Servidor de nombre de dominio) y otras búsquedas para un grupo de gente que comparte recursos de la red, hasta caché de Web, además de añadir seguridad filtrando el tráfico.

    Squid tiene amplios controles de acceso y es un excelente acelerador de servidores.

    Se ejecuta en la mayoría de los sistemas operativos disponibles, incluido Windows, y tiene licencia GNU GPL.


    El servidor Squid, almacena TODAS las respuestas que provienen de Internet. De manera que si en algún momento un cliente de la red local quiere un contenido que ya fue cacheado o almacenado en el proxy Squid, el proxy entrega la copia local de la información.

    Squid puede ser configurado para ser usado como proxy transparente de manera que las conexiones son enrutadas dentro del proxy sin configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. De modo predefinido Squid utiliza el puerto 3128 para atender peticiones, sin embargo se puede especificar que lo haga en cualquier otro puerto disponible o bien que lo haga en varios puertos disponibles a la vez.

    A partir de la versión 2.3 Squid implementa WCCP (Protocolo de control de cache web). Permite interceptar y redirigir el tráfico que recibe un router hacia uno o más proxys caché ( array de proxys), haciendo control de la conectividad de los mismos. Además permite que uno de los proxys caché designado pueda determinar como distribuir el tráfico redirigido a lo largo de todo el array de proxys caché.

    13. NBTSCAN

    NBTscan es un programa para escanear redes IP en busca de información de nombres NetBIOS.

    NetBIOS es un protocolo de red que venía activado por defecto en las tarjetas de red en Windows, actualmente se está dejando de lado. Los nombres de los equipos tienen una longitud máxima de un nombre de 15 caracteres. Esta es capaz de soportar tres servicios, donde cada uno cumple una función. También entre ellos varían los puertos TCP/UDP utilizados.

    • Servicio de sesión: Se trata de un protocolo orientado a la conexión (peer-to-peer y cliente/servidor). 
    • Servicio de Datagramas: Se utiliza para enviar broadcast. Aquí da uso del puerto 138 UDP.
    • Servicio Nombre: Existe alguna posibilidad de correr NetBIOS sobre TCP/IP, y otra es que necesitamos un nombre de resolución. En este servicio, usará el puerto 137 UDP. Para esto hay dos opciones, el archivo LMHOST y un servidor WINS (Windows Internet Name Service). WINS es un servicio heredado de registro y resolución de nombres de equipo que asigna nombres NetBIOS de equipo a direcciones IP ( WINS sería el DNS para NetBIOS).
    • NO se aconseja NetBIOS sobre TCP/IP!!

    Veamos como sería en Windows.

     

    El protocolo NETBIOS envía una consulta de estado de NetBIOS a cada dirección en el rango proporcionado y enumera la información recibida en forma legible por humanos. Para cada host de respuesta, enumera la dirección IP, el nombre de la computadora NetBIOS, el nombre de usuario registrado y la dirección MAC (como Ethernet).
    Este programa es útil para controles de seguridad, descubrimiento de redes e investigaciones forenses.

    En linux se instala con sudo apt-get install nbtscan.

    Luego para usarlo por ejemplo:

    14. UltraVNC

    UltraVNC es un software de acceso remoto a PC poderoso, fácil de usar y gratuito que puede mostrar la pantalla de otra computadora (a través de Internet o red) en su propia pantalla. Tiene un gran parecido a la versión libre de RealVNC, sin embargo, además de control remoto, el programa añade varias características, como un plugin de cifrado para hacer más segura la conexión cliente/servidor.

    El programa le permite usar su mouse y teclado para controlar la otra PC de forma remota. Significa que puede trabajar en una computadora remota, como si estuviera sentado frente a ella, directamente desde su ubicación actual.

    VNC, usa un protocolo llamado  Remote Frame Buffer (RFB -Buffer de Cuadro Remoto) permite ver y controlar un escritorio de forma remota a través de Internet. Se debe ejecutar un servidor VNC en la computadora que comparte el escritorio, se debe ejecutar un cliente VNC en la computadora que accederá al escritorio compartido.

    Vamos a tener en consecuencia un UltraVNC Viewer (Cliente) y un UltraVNC Server.

    Un consejo importante es configurar el firewall del servidor para que acepte las conexiones de UltraVNC Server por los puertos 5800 y 5900 que son las usadas por UltraVNC.

    NOTA IMPORTANTE: Tener presente que si el servidor está dentro de una LAN vamos a tener que configurar el Port Forwarding en el Router.



    15. TightVNC

    TightVNC es una aplicación informática de código abierto para administración remota multiplataforma que utiliza extensivamente el protocolo Remote Frame Buffer (RFB) de VNC (Visto anteriormente) para controlar la pantalla de otro equipo de forma remota.

    TightVNC utiliza la llamada "codificación apretada" de áreas, que efectivamente es una combinación de compresión JPEG y otros tipos de codificación. Es posible ver vídeos y juegos DirectX a través de la herramienta y con una conexión de banda ancha, aunque a una velocidad de fotogramas baja. TightVNC incluye muchas otras características comunes de derivados de VNC, tales como la capacidad de transferencia de archivos.

    Como el caso del Software anterior: TightVNC Server y un cliente que permite conectarse.

    Tiene una Edición Portable (no es necesario instalarla).