tag:blogger.com,1999:blog-12378839180643928152024-03-18T20:01:25.473-07:00SISTEM@S DE DECEPCIONCrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.comBlogger13125tag:blogger.com,1999:blog-1237883918064392815.post-78161200736598460602008-06-27T07:38:00.000-07:002008-07-01T05:25:27.323-07:00Instalacion y configuracion de una Honeypot<span style="font-weight: bold; font-style: italic;">Lo primero que vamos a hacer es instalar el paquete honeyd</span><br /><span style="font-weight: bold; font-style: italic;">#apt-get install honeyd</span><br /><br /><span style="font-weight: bold; font-style: italic;">Los principales archivos que se instalan son los siguientes </span><br /><pre style="font-weight: bold; font-style: italic;"><code id="contenuCoded0e168" class="contenuCode"><span style="font-family:georgia;">/etc/init.d/honeyd</span><br /><span style="font-family:georgia;">/etc/logrotate.d/honeyd</span><br /><span style="font-family:georgia;">/etc/default/honeyd</span><br /><span style="font-family:georgia;">/usr/lib/honeyd</span><br /><span style="font-family:georgia;">/usr/share/honeyd</span><br /><span style="font-family:georgia;">/usr/share/doc/honeyd</span><br /><span style="font-family:georgia;">/usr/include/honeyd</span><br /><span style="font-family:georgia;">/usr/bin/honeyd</span><br /><br /><br /><span style="font-family:arial;">ahora pasamos ala configuracion de nuestra honeypot y este seria el archivo de configuracion</span><br /><br /></code><code id="contenuCoded0e203" class="contenuCode">############################<br />#Configuration du réseau virtuel utilisé<br />route entry 10.0.0.1<br />route 10.0.0.1 link 10.2.0.0/24<br />route 10.0.0.1 add net 10.3.0.0/16 10.3.0.1 latency 8ms bandwidth 10Mbps<br />route 10.3.0.1 link 10.3.0.0/24<br />route 10.3.0.1 add net 10.3.1.0/24 10.3.1.1 latency 7ms loss 0.5<br />route 10.3.1.1 link 10.3.1.0/24<br /><br />############################<br /># Création d'un profil template<br />create template<br />set template personality "Microsoft Windows XP Professional SP1"<br />set template uptime 1728650<br />set template maxfds 35<br /># For a complex IIS server<br />add template tcp port 80 "sh /usr/share/honeyd/scripts/win32/web.sh"<br />add template tcp port 22 "/usr/share/honeyd/scripts/test.sh $ipsrc $dport"<br />add template tcp port 23 proxy $ipsrc:23<br />add template udp port 53 proxy 141.211.92.141:53<br />set template default tcp action reset<br /># Use this if you are not running honeyd as 'honeyd' user:<br /># Debian-specific (use nobody = 65534 instead of 32767)<br /># set template uid 65534 gid 65534<br /><br />############################<br />#Création d'un profil default<br />create default<br />set default default tcp action block<br />set default default udp action block<br />set default default icmp action block<br /><br />############################<br />#Création d'un profil router<br />create router<br />set router personality "Cisco 1601R router running IOS 12.1(5)"<br />set router default tcp action reset<br />add router tcp port 22 "/usr/share/honeyd/scripts/test.sh"<br />#add router tcp port 23 "/usr/share/honeyd/scripts/router-telnet.pl"<br />add router tcp port 23 "/usr/share/honeyd/scripts/telnet/fake.pl"<br /><br />###########################<br />#On démarre les hotes en spécifiant l'IP et le profil<br />bind 10.3.0.1 router<br />bind 10.3.1.1 router<br />bind 10.3.1.12 template<br />bind 10.3.1.11 template<br />bind 10.3.1.10 template<br />set 10.3.1.11 personality "Microsoft Windows NT 4.0 SP3"<br />set 10.3.1.10 personality "IBM AIX 4.2"</code><br /><code id="contenuCoded0e168" class="contenuCode"><br /></code></pre><span style="font-weight: bold; font-style: italic;" onmouseover="_tipon(this)" onmouseout="_tipoff()"> Para poner en marcha la red virtual más arriba tendremos que declarar un camino (real) en la tabla de enrutamiento para llegar a ella. <span class="google-src-text" style="direction: ltr; text-align: left;">La passerelle utilisée pour cette route sera l'interface loopback (localhost) afin de ne pas perturber le réseau existant.</span> El puente utilizado para esta ruta va a proporcionar una interfaz loopback (localhost) con el fin de no perturbar la red existente.<br /><br /></span><pre style="font-weight: bold; font-style: italic;"><code id="contenuCoded0e221" class="contenuCode">route add -net 10.0.0.0 netmask 255.0.0.0 gw localhost<br /><br /></code><span style="" onmouseover="_tipon(this)" onmouseout="_tipoff()"> Para<br />probar esta configuración nos Honeyd primer lanzamiento en modo interactivo ejecutando el<br />comando a continuación en una consola<br /><br /></span><code id="contenuCoded0e239" class="contenuCode">#honeyd -d -p /etc/honeypot/nmap.prints -l /var/log/honeypot/honeyd.log -f /etc/honeypot/honeyd.conf<br />-i lo 10.0.0.0/8</code><br /></pre><span style="font-style: italic; font-weight: bold;"></span><br /><pre style="font-weight: bold; font-style: italic;"><code id="contenuCoded0e257" class="contenuCode">gold@deb ~# honeyd -d -p /etc/honeypot/nmap.prints -l /var/log/honeypot/honeyd.log -f /etc/honeypot/honeyd.conf -i lo 10.0.0.0/8<br />Honeyd V1.5b Copyright (c) 2002-2004 Niels Provos<br />honeyd[3676]: started with -d -p /etc/honeypot/nmap.prints -l /var/log/honeypot/honeyd.log -f /etc/honeypot/honeyd.conf -i lo 10.0.0.0/8<br />honeyd[3676]: listening on lo: ip and (dst net 10.0.0.0/8)</code></pre><br /><span style="font-weight: bold; font-style: italic;">esto es lo que deveria salir si todo a marchado bien ahora lo paramos con ctrl+c</span><br /><span style="font-weight: bold; font-style: italic;">y vamos a funcionar nuestra honeypot como demonio</span><br /><br /><span style="font-weight: bold; font-style: italic;"> Para ello vamos a cambiar el archivo de configuración del diablo. editaremos el fichero </span><br /><span style="font-weight: bold; font-style: italic;">#pico /etc/default/honeyd</span><br /><span style="font-weight: bold; font-style: italic;" onmouseover="_tipon(this)" onmouseout="_tipoff()"> Como primer paso, tenemos que cambiar la constante RUN para iniciar el demonio<br /><br />RUN="yes"<br /><br />A continuación, indicar la interfaz utilizada y el rango de direcciones IP de la red:<br /></span><pre style="font-weight: bold; font-style: italic;"><code id="contenuCoded0e275" class="contenuCode">INTERFACE="eth0"<br />NETWORK=10.0.0.0/8</code></pre><br /><span style="font-weight: bold; font-style: italic;" onmouseover="_tipon(this)" onmouseout="_tipoff()"> A continuación, iniciar el demonio Honeyd con el comando</span> <div style="text-align: center; font-weight: bold; font-style: italic;"><table style="margin: 10px auto; width: 90%; border-collapse: collapse;" id="codeTabled0e281"><tbody><tr><td class="code"><div id="codeWrapperd0e281" class="codeWrapper"><div id="codeOverflowd0e281" style="overflow: auto;"><pre> <span onmouseover="_tipon(this)" onmouseout="_tipoff()"><span class="google-src-text" style="direction: ltr; text-align: left;"><code id="contenuCoded0e281" class="contenuCode">/etc/init.d/honeyd start</code></span> <code id="contenuCoded0e281" class="contenuCode">/ Etc / init.d / honeyd inicio</code></span> </pre></div></div></td></tr></tbody></table></div><div class="paragraph"> <span style="font-weight: bold; font-style: italic;" onmouseover="_tipon(this)" onmouseout="_tipoff()"><span class="google-src-text" style="direction: ltr; text-align: left;">Si no hay ningun error nos debe salir lo siguiente<br /></span></span><pre><code id="contenuCoded0e287" class="contenuCode"><span style="font-weight: bold; font-style: italic;">Starting Honeyd daemon: honeyd.</span><br /><br /><span style="font-weight: bold; font-style: italic;">para emular los servicios corriendo en una maquina virtual. honeyd permite el uso de unos scripts.</span><br /><span style="font-weight: bold; font-style: italic;">los ejemplos de estos scripts se encuentran en el directorio</span><br /><br /><span style="font-weight: bold; font-style: italic;">/usr/share/honeyd/scripts</span><br /><br /><br />conesto vamos a probar ke la honey esta funcionado<br /><br /></code><code id="contenuCoded0e325" class="contenuCode"> honeyd -d -p /etc/honeypot/nmap.prints -l /var/log/honeypot/honeyd.log -f /etc/honeypot/honeyd.conf -i lo 10.0.0.0/8<br />Honeyd V1.5b Copyright (c) 2002-2004 Niels Provos<br />honeyd[3753]: started with -d -p /etc/honeypot/nmap.prints -l /var/log/honeypot/honeyd.log -f /etc/honeypot/honeyd.conf -i lo 10.0.0.0/8<br />honeyd[3753]: listening on lo: ip and (dst net 10.0.0.0/8)<br /></code><br /><code id="contenuCoded0e287" class="contenuCode"><br /></code></pre> </div>ahora vamos a probar haciendo un ping<br /><pre><code id="contenuCoded0e331" class="contenuCode"># ping 10.3.0.1<br />PING 10.3.0.1 (10.3.0.1) 56(84) bytes of data.<br />64 bytes from 10.3.0.1: icmp_seq=1 ttl=63 time=10.0 ms<br />64 bytes from 10.3.0.1: icmp_seq=2 ttl=63 time=10.0 ms<br />64 bytes from 10.3.0.1: icmp_seq=3 ttl=63 time=10.0 ms<br />64 bytes from 10.3.0.1: icmp_seq=4 ttl=63 time=10.0 ms<br />64 bytes from 10.3.0.1: icmp_seq=5 ttl=63 time=10.0 ms<br />64 bytes from 10.3.0.1: icmp_seq=6 ttl=63 time=10.0 ms<br /><br /><br />y este seria el resultado de la honeyd respondiendo al ping<br /><br /></code><code id="contenuCoded0e337" class="contenuCode"># honeyd -d -p /etc/honeypot/nmap.prints -l /var/log/honeypot/honeyd.log -f /etc/honeypot/honeyd.conf -i lo 10.0.0.0/8<br />Honeyd V1.5b Copyright (c) 2002-2004 Niels Provos<br />honeyd[3753]: started with -d -p /etc/honeypot/nmap.prints -l /var/log/honeypot/honeyd.log -f /etc/honeypot/honeyd.conf -i lo 10.0.0.0/8<br />honeyd[3753]: listening on lo: ip and (dst net 10.0.0.0/8)<br />honeyd[3753]: Sending ICMP Echo Reply: 10.3.0.1 -> 192.168.0.249<br />honeyd[3753]: Sending ICMP Echo Reply: 10.3.0.1 -> 192.168.0.249<br />honeyd[3753]: Sending ICMP Echo Reply: 10.3.0.1 -> 192.168.0.249<br />honeyd[3753]: Sending ICMP Echo Reply: 10.3.0.1 -> 192.168.0.249<br />honeyd[3753]: Sending ICMP Echo Reply: 10.3.0.1 -> 192.168.0.249<br />honeyd[3753]: Sending ICMP Echo Reply: 10.3.0.1 -> 192.168.0.249<br />honeyd[3753]: Sending ICMP Echo Reply: 10.3.0.1 -> 192.168.0.249<br /></code><br />ahora vamos a probar utilizando un scrip de simulacion de sevicios<br /><br /><code id="contenuCoded0e355" class="contenuCode"># telnet 10.3.0.1 23<br />Trying 10.3.0.1...<br />Connected to 10.3.0.1.<br /></code>y la honeyd debe responder al telnet de la siguiente manera<br /><br /><code id="contenuCoded0e361" class="contenuCode">honeyd -d -p /etc/honeypot/nmap.prints -l /var/log/honeypot/honeyd.log -f /etc/honeypot/honeyd.conf -i lo 10.0.0.0/8<br />Honeyd V1.5b Copyright (c) 2002-2004 Niels Provos<br />honeyd[3753]: started with -d -p /etc/honeypot/nmap.prints -l /var/log/honeypot/honeyd.log -f /etc/honeypot/honeyd.conf -i lo 10.0.0.0/8<br />honeyd[3753]: listening on lo: ip and (dst net 10.0.0.0/8)<br />honeyd[3753]: Sending ICMP Echo Reply: 10.3.0.1 -> 192.168.0.249<br />honeyd[3753]: Connection request: tcp (192.168.0.249:1584 - 10.3.0.1:23)<br /></code><code id="contenuCoded0e361" class="contenuCode">honeyd[3753]: Connection established: tcp (192.168.0.249:1584 - 10.3.0.1:23) <-> /usr/share/honeyd/scripts/telnet/fake.pl<br /></code><br /><br /><code id="contenuCoded0e361" class="contenuCode"><br />y asi damos terminada la configuracion de esta honeypot y podemos ver que los<br /></code>resultados fueron satisfactorios con base en las perspectivas que teniamos sobre el tema.<br /><code id="contenuCoded0e331" class="contenuCode"></code></pre>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-1237883918064392815.post-88869463086330061002008-05-27T06:46:00.000-07:002008-06-27T06:07:37.791-07:00Fallo en seguridad en SNORT<pre><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >Salto de restricciones a través de valores TTL en Snort</span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" > </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >Se ha descubierto un fallo de seguridad en Snort que podría permitir a </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >un atacante remoto saltar restricciones de seguridad. </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" > </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >Snort es uno de los IDS (Sistema de Detección de Intrusiones) más </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >extendidos. Distribuido de forma gratuita como Open Source, Snort puede </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >detectar muchos de los patrones de ataque conocidos basándose en el </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >análisis de los paquetes de red según unas bases de datos de firmas, </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >además de reglas genéricas. Habitualmente la función de estos detectores </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >es la de alertar sobre actividades sospechosas a través de cualquier </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >mecanismo, aunque en ocasiones puede usarse para lanzar medidas </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >destinadas a mitigar de forma automática el posible problema descubierto </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >por el sensor. </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" > </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >El fallo reside en el reensamblado de paquetes IP fragmentados. Cuando </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >Snort recibe paquetes fragmentados compara sus valores TTL. Snort tiene </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >un valor predefinido para la diferencia de valores TTL entre paquetes, </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >si el valor de la diferencia entre el primero de ellos y el resto es </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >mayor que este valor los descartará y no aplicará ningún filtro o examen </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >sobre ellos. Un atacante remoto podría aprovechar este fallo para saltar </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >restricciones de seguridad modificando los valores TTL de los paquetes </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >IP. </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" > </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >El problema se ha confirmado en Snort 2.8 y 2.6. Snort 2.4 no es </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >vulnerable. Como contramedida en el archivo de configuración snort.conf, </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >se puede establecer el valor ttl_limit a 255 con la siguiente línea: </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >preprocessor frag3_engine: ttl_limit 255 </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" > </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >Además el fallo queda corregido en la versión 2.8.1 disponible en el </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >repositorio: </span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /></span><span style="font-weight: bold; font-style: italic;font-family:arial;font-size:130%;" >cvs.snort.org</span><span style="font-weight: bold; font-style: italic;font-family:courier new;font-size:130%;" ><br /><br />mas informacion en:<br /><a href="http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=701" target="_blank">http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=701</a></span><br /></pre>Ferney Martinezhttp://www.blogger.com/profile/13812168375836203307noreply@blogger.com0tag:blogger.com,1999:blog-1237883918064392815.post-89514869035206478392008-05-19T08:57:00.000-07:002008-05-19T09:14:28.393-07:00SNORT con base de datos en MYSQL<span style="color: rgb(255, 255, 255); font-weight: bold;">MYSQL Base de datos<br /><br />ahora pondremos el snort a funcionar con un base de datos en mysql.<br /><br />primero instalaremos el paquete snort-mysql<br /></span><span style="color: rgb(255, 255, 255); font-style: italic;"><br />#apt-get install snort-mysql</span><span style="color: rgb(255, 255, 255); font-weight: bold;"><br /><br />y pasamos a la configuracion de mysql<br /><br /></span><span style="color: rgb(255, 255, 255); font-style: italic;">#mysql<br />>create user snort identified by 'xxxx'(password);<br /><br />>grant all on snort.* to snort@localhost identified by 'xxxx'(password);<br /><br />>flush privileges</span><span style="color: rgb(255, 255, 255); font-weight: bold;"><br /><br />La base de datos llamada snort se crea por defecto con la instalcion el paquete snort-mysql.<br />En los comandos pasados lo que hicimos fue primero crear el usuario snort , luego garantizarle al usuario snort permiso sobre todas la tablas almacenadas en el mysql .<br /><br />ahora en el archivo snort.conf descomentaremos la linea que habias comentado anteriormente<br /></span><span style="color: rgb(255, 255, 255); font-style: italic;"><br />output database: log, mysql, user=snort password=sena dbname=snort host=localhost</span><span style="color: rgb(255, 255, 255); font-weight: bold;"><br /><br />cambiando los parametros poniendo el nombre de la base de datos el nombre de del usuario y el password<br /></span><span style="color: rgb(255, 255, 255);"><br /><span style="font-style: italic;">#snort -c snort/snort.conf</span><br /></span><span style="font-weight: bold; color: rgb(255, 255, 255);"><br /><span style="color: rgb(255, 255, 255);">luego con este comando iniciamos el snort y si todo esta bien el snort cargara sin ningun prolema.</span><span style="color: rgb(0, 0, 0);"><br /></span></span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-1237883918064392815.post-73363823217780886512008-05-15T06:28:00.000-07:002008-05-19T09:19:55.666-07:00SNORT Configuracion y Analisis de Ataques<span style="font-weight: bold; color: rgb(255, 255, 255);">En esta entrada vamos a explicar como fue la instalacion, configuracion y puesta en funcionamiento de snort.</span><br /><br /><span style="font-weight: bold; color: rgb(255, 255, 255);">primero instalamos el snort</span><br /><br /><span style="font-style: italic; color: rgb(255, 255, 255);">#apt-get install snort </span><br /><br /><span style="font-weight: bold; color: rgb(255, 255, 255);">en la instalacion nos hara unas preguntas sobre el rango de direcciones que queremos analizar, le damos la opcion </span><span style="font-style: italic; font-weight: bold; color: rgb(255, 255, 255);">any </span><span style="font-weight: bold; color: rgb(255, 255, 255);">que analize todas las direcciones ip de todos los rangos internos y externos.</span><br /><br /><span style="font-weight: bold; color: rgb(255, 255, 255);">luego pasamos a la configuracion que por el momento es algo muy basico, nos vamos al directorio </span><span style="font-style: italic; color: rgb(255, 255, 255);">#cd /etc/snort</span><span style="font-weight: bold; color: rgb(255, 255, 255);"> y este sera el archivo de configuracion del snort hay varias opciones como </span><span style="font-style: italic; color: rgb(255, 255, 255);">snort.debian.conf</span><span style="font-style: italic; font-weight: bold; color: rgb(255, 255, 255);"><br /><br /></span><span style="font-style: italic; color: rgb(255, 255, 255);">DEBIAN_SNORT_STARTUP="boot"</span><br /><span style="font-style: italic; color: rgb(255, 255, 255);">DEBIAN_SNORT_HOME_NET="any"<br />DEBIAN_SNORT_OPTIONS=""<br />DEBIAN_SNORT_INTERFACE="eth0"<br />DEBIAN_SNORT_SEND_STATS="true"<br />DEBIAN_SNORT_STATS_RCPT="root"<br />DEBIAN_SNORT_STATS_THRESHOLD="1"</span><span style="font-style: italic; font-weight: bold; color: rgb(255, 255, 255);"><br /><br /></span><span style="font-weight: bold; color: rgb(255, 255, 255);">que seria una configuracion muy basica escuchara en la eth0 y analizara los paquetes desde cualquier destino</span><br /><br /><span style="font-weight: bold; color: rgb(255, 255, 255);">Pero ahora nos concentraremos en el</span><span style="font-style: italic; font-weight: bold; color: rgb(255, 255, 255);"> </span><span style="font-style: italic; color: rgb(255, 255, 255);">snort.conf</span><span style="font-style: italic; font-weight: bold; color: rgb(255, 255, 255);"> </span><span style="font-weight: bold; color: rgb(255, 255, 255);">que es el archivo de configuracion de snort</span><br /><span style="font-style: italic; color: rgb(255, 255, 255);"># output database: log, mysql, user=root password=test dbname=db host=localhost</span><span style="font-style: italic; font-weight: bold; color: rgb(255, 255, 255);"><br /><span style="font-style: italic;"><br /></span></span><span style="font-weight: bold; color: rgb(255, 255, 255);">comentamos esta linea para decirle que no use una base de datos mysql sino que las alertas las genere en el directorio por defecto </span><span style="font-style: italic; color: rgb(255, 255, 255);">/var/log/snort/alert</span><br /><span style="font-style: italic; color: rgb(255, 255, 255);"><br /></span><span style="font-style: italic; color: rgb(255, 255, 255);">#snort -c /etc/snort/snort.conf &</span><span style="font-style: italic; font-weight: bold; color: rgb(255, 255, 255);"><br /></span><br /><span style="font-weight: bold; color: rgb(255, 255, 255);">con este comando inicamos el snort manualmete y nos saldran todas las opciones que se correran con el snort y en caso de problemas los errores que tengas</span><span style="font-style: italic; font-weight: bold; color: rgb(255, 255, 255);">.</span><span style="font-weight: bold; color: rgb(255, 255, 255);">Esta seria la configuracion basica del snort y haora vamos a hacer unas pruebas para probar el funcionamiento del snort ,haciendo un nmap desde un equipo en esta red y y el snort nos debe generan una alerta sobre este posible ataque.</span><a style="font-weight: bold; color: rgb(255, 255, 255);" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZlwIJBUlD7Dxv_XH9-bfVtRIA6gNXbIjuRYQoL36_XzO_fkUq5DC1K6vbPHSxI9OY_YDYiRdhHA9R8357VUZEUwVlYtp6DFf51vO0rZnB80XRK3EeIE2Sj0rQStgeRXSGNV_IEOt60mY/s1600-h/alert.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZlwIJBUlD7Dxv_XH9-bfVtRIA6gNXbIjuRYQoL36_XzO_fkUq5DC1K6vbPHSxI9OY_YDYiRdhHA9R8357VUZEUwVlYtp6DFf51vO0rZnB80XRK3EeIE2Sj0rQStgeRXSGNV_IEOt60mY/s320/alert.png" alt="" id="BLOGGER_PHOTO_ID_5200601945736749058" border="0" /></a><br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);"><span style="color: rgb(255, 255, 255);">como se puede ver en la imagen las alertas se generaron por que se hizo un analisis de puertos (NMAP) y como el snort toma esto como un p</span><span style="color: rgb(255, 255, 255);">osible ataque desde la direccion 10.3.16.107 que es la ip desde donde se hizo el presunto ataque, se generaron las alertas que nos </span><span style="color: rgb(204, 204, 204);"><span style="color: rgb(255, 255, 255);">demuestarn que nuestro snort tiene un buen funcionamiento</span><br /><br /></span></span><span style="font-weight: bold; color: rgb(255, 255, 255);"><span style="color: rgb(0, 0, 0);"><br /></span></span><span style="font-style: italic;"><span style="font-weight: bold;"><span style="font-style: italic;"><span style="font-weight: bold;"><span style="font-style: italic;"><span style="font-weight: bold;"></span></span></span></span></span></span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com1tag:blogger.com,1999:blog-1237883918064392815.post-88746492770006242482008-04-28T08:13:00.000-07:002008-04-28T08:15:52.727-07:00Tipos de Deteccion<span style="font-weight: bold;"> -Detección de anomalías.</span><br /><span style="font-weight: bold;">La base del funcionamiento de estos sistemas es suponer que una intrusión se puede ver como una anomalía de nuestro sistema, por lo que si fuéramos capaces de establecer un perfil del comportamiento habitual de los sistemas seríamos capaces de detectar las intrusiones por pura estadística: probablemente una intrusión sería una desviación excesiva de la media de nuestro perfil de comportamiento.</span><br /><br /><span style="font-weight: bold;">-Detección de usos indebidos.</span><br /><span style="font-weight: bold;">El funcionamiento de los IDSes basados en la detección de usos indebidos presupone que podemos establecer patrones para los diferentes ataques conocidos y algunas de sus variaciones; mientras que la detección de anomalías conoce lo normal (en ocasiones se dice que tienen un `conocimiento positivo', positive knowledge) y detecta lo que no lo es, este esquema se limita a conocer lo anormal para poderlo detectar (conocimiento negativo, negative knowledge).</span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-1237883918064392815.post-29657448789291674922008-04-28T06:47:00.000-07:002008-04-28T06:51:17.079-07:00CGIs<p style="font-weight: bold;">Interfaz de entrada común (<a href="http://es.wikipedia.org/wiki/Ingl%C3%A9s" class="mw-redirect" title="Inglés"></a> <i>Common Gateway Interface</i>, abreviado CGI) es una importante tecnología de la World Wide Web que permite a un cliente (explorador web) solicitar datos de un programa ejecutado en un servidorweb<a href="http://es.wikipedia.org/wiki/Servidor_web" title="Servidor web"></a>. CGI especifica un estandar para transferir datos entre el cliente y el programa. Es un mecanismo de comunicación entre el servidor web y una aplicación externa cuyo resultado final de la ejecución son objetos MIME. Las aplicaciones que se ejecutan en el servidor reciben el nombre de CGIs.</p> <p style="font-weight: bold;"><br />Las aplicaciones CGI fueron una de las primeras maneras prácticas de crear contenido dinamico para las paginas web. En una aplicación CGI, el servidor web pasa las solicitudes del cliente a un programa externo. Este programa puede estar hecho en cualquier lenguaje que soporte el servidor, aunque por razones de portabilidad se suelen usar lenguage script. La salida de dicho programa es enviada al cliente en lugar del archivo estático tradicional.</p> <p style="font-weight: bold;">CGI ha hecho posible la implementación de funciones nuevas y variadas en las páginas web, de tal manera que esta interfaz rápidamente se volvió un estándar, siendo implementada en todo tipo de servidores web.</p>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-1237883918064392815.post-75790836773467096072008-04-09T08:45:00.000-07:002008-04-09T08:56:18.652-07:00SNORT<span style="font-weight: bold;"> es un </span><i style="font-weight: bold;">sniffer</i><span style="font-weight: bold;"> capaz de actuar como sistema de detección de intrusos en redes de tráfico moderado; su facilidad de configuración, su adaptabilidad, sus requerimientos mínimos (funciona en diferentes Unices, incluyendo un simple PC con Linux, Solaris o cualquier BSD gratuito), y sobre todo su precio (se trata de un </span><i style="font-weight: bold;">software</i><span style="font-weight: bold;"> completamente gratuito que podemos descargar desde su página oficial en INet, </span><a style="font-weight: bold;" href="http://www.snort.org/"><tt>http://www.snort.org/</tt></a><span style="font-weight: bold;">) lo convierten en una óptima elección en multitud de entornos, frente a otros sistemas como NFR (</span><i style="font-weight: bold;">Network Flight Recorder</i><span style="font-weight: bold;">) o ISS RealSecure que, aunque quizás sean más potentes, son también mucho más pesados e infinitamente más caros.</span><br /><br /><span style="font-weight: bold;"> Para instalar un sistema de detección de intrusos basado en </span><small style="font-weight: bold;">SNORT</small><span style="font-weight: bold;"> en primer lugar necesitamos evidentemente este programa, que podemos descargar desde su página </span><i style="font-weight: bold;">web</i><span style="font-weight: bold;">. Además, para compilarlo correctamente es necesario disponer de las librerías </span><tt style="font-weight: bold;">libpcap</tt><span style="font-weight: bold;">, un interfaz para tratamiento de paquetes de red desde espacio de usuario, y es recomendable también (aunque no obligatorio) instalar </span><tt style="font-weight: bold;">Libnet</tt><span style="font-weight: bold;">, librería para la construcción y el manejo de paquetes de red. Con este </span><i style="font-weight: bold;">software</i><span style="font-weight: bold;"> correctamente instalado en nuestro sistema, la compilación de </span><small style="font-weight: bold;">SNORT</small><span style="font-weight: bold;"> sera muy buena.</span><br /><br /><span style="font-weight: bold;">el SNORT se clasifica como un IDS basado en red y que funciona mediante detección de usos indebidos. Estos usos indebidos - o cuanto menos </span><i style="font-weight: bold;">sospechosos</i><span style="font-weight: bold;"> - se reflejan en una base de datos formada por patrones de ataques; dicha base de datos se puede descargar también desde la propia página </span><i style="font-weight: bold;">web</i><span style="font-weight: bold;"> de </span><small style="font-weight: bold;">SNORT</small><span style="font-weight: bold;">, donde además se pueden generar bases de patrones `a medida' de diferentes entornos (por ejemplo, ataques contra servidores </span><i style="font-weight: bold;">web</i><span style="font-weight: bold;">, intentos de negaciones de servicio, </span><i style="font-weight: bold;">exploits</i><span style="font-weight: bold;">...). El archivo que utilicemos en nuestro entorno será la base para el correcto funcionamiento de nuestro sistema de detección de intrusos.</span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-1237883918064392815.post-57552012281438927602008-03-26T05:37:00.000-07:002008-04-09T08:57:56.992-07:00Honey NET<span style="font-weight: bold; color: rgb(255, 255, 255);"> Para finalizar este punto dedicado a los sistemas de detección de intrusos basados en red es necesario hablar de las </span><i style="font-weight: bold; color: rgb(255, 255, 255);">honeynets</i><span style="font-weight: bold; color: rgb(255, 255, 255);"> - literalmente, `redes de miel' -. Se trata de un concepto muy parecido al de los </span><i style="font-weight: bold; color: rgb(255, 255, 255);">honeypots</i><span style="font-weight: bold; color: rgb(255, 255, 255);">, de los que ya hemos hablado, pero extendido ahora a redes completas: redes diseñadas para ser comprometidas, formadas por sistemas reales de todo tipo que, una vez penetrados, permiten capturar y analizar las acciones que está realizando el atacante para así poder aprender más sobre aspectos como sus técnicas o sus objetivos. Realmente, aunque la idea general sea común, existen dos grandes diferencias de diseño entre un tarro de miel y una </span><i style="font-weight: bold; color: rgb(255, 255, 255);">honeynet</i><span style="font-weight: bold; color: rgb(255, 255, 255);">: por un lado, esta última evidentemente es una red completa que alberga diferentes entornos de trabajo, no se trata de una única máquina; por otro, los sistemas dentro de esta red son sistemas reales, en el sentido de que no simulan ninguna vulnerabilidad, sino que ejecutan aplicaciones típicas (bases de datos, sistemas de desarrollo...) similares a las que podemos encontrar en cualquier entorno de trabajo `normal'. El objetivo de una </span><i style="font-weight: bold; color: rgb(255, 255, 255);">honeynet</i><span style="font-weight: bold; color: rgb(255, 255, 255);"> no es la decepción, sino principalmente conocer los movimientos de un pirata en entornos semireales, de forma que aspectos como sus vulnerabilidades o sus configuraciones incorrectas se puedan extrapolar a muchos de los sistemas que cualquier empresa posee en la actualidad; de esta forma podemos prevenir nuevos ataques exitosos contra entornos reales.</span><br /><br /><span style="font-weight: bold; color: rgb(255, 255, 255);"> En el funcionamiento de una `red de miel' existen dos aspectos fundamentales y especialmente críticos, que son los que introducen la gran cantidad trabajo de administración extra que una </span><i style="font-weight: bold; color: rgb(255, 255, 255);">honeynet</i><span style="font-weight: bold; color: rgb(255, 255, 255);"> implica para cualquier organización. Por un lado, tenemos el control del flujo de los datos: es vital para nuestra seguridad garantizar que una vez que un sistema dentro de la </span><i style="font-weight: bold; color: rgb(255, 255, 255);">honeynet</i><span style="font-weight: bold; color: rgb(255, 255, 255);"> ha sido penetrado, este no se utilice como plataforma de salto para atacar otras máquinas, ni de nuestra organización ni de cualquier otra; la `red de miel' ha de permanecer perfectamente controlada, y por supuesto aislada del resto de los segmentos de nuestra organización. En segundo lugar, otro aspecto básico es la captura de datos, la monitorización de las actividades que un atacante lleva a cabo en la </span><i style="font-weight: bold; color: rgb(255, 255, 255);">honeynet</i><span style="font-weight: bold; color: rgb(255, 255, 255);">. Recordemos que nuestro objetivo principal era conocer los movimientos de la comunidad pirata para poder extrapolarlos a sistemas reales, por lo que también es muy importante para el correcto funcionamiento de una </span><i style="font-weight: bold; color: rgb(255, 255, 255);">honeynet</i><span style="font-weight: bold; color: rgb(255, 255, 255);"> una correcta recogida de datos generados por el atacante: ha de ser capturada toda la información posible de cada acción, de una forma poco agresiva (esto es, sin tener que realizar grandes cambios en cada uno de los sistemas) y por supuesto sin que el atacante se entere. Además (muy importante), estos datos recogidos nunca se han de mantener dentro del perímetro de la </span><i style="font-weight: bold; color: rgb(255, 255, 255);">honeynet</i><span style="font-weight: bold; color: rgb(255, 255, 255);">, ya que si fuera así cualquier pirata podría destruirlos con una probabilidad demasiado elevada. </span><br /><br /><span style="font-weight: bold; color: rgb(255, 255, 255);"> El concepto de </span><i style="font-weight: bold; color: rgb(255, 255, 255);">honeynet</i><span style="font-weight: bold; color: rgb(255, 255, 255);"> es relativamente nuevo dentro del mundo de la seguridad y, en concreto, de los sistemas de detección de intrusos; a pesar de ello, se trata de una idea muy interesante que presumiblemente va a extenderse de una forma más o menos rápida cada día más, las herramientas de seguridad no se conforman con detectar problemas conocidos, sino que tratan de anticiparse a nuevas vulnerabilidades que aún no se han publicado pero que pueden estar - y de hecho están - presentes en multitud de sistemas. Conocer cuanto antes cualquier avance de la comunidad </span><i style="font-weight: bold; color: rgb(255, 255, 255);">underground</i><span style="font-weight: bold; color: rgb(255, 0, 0);"><span style="color: rgb(255, 255, 255);"> es algo vital si queremos lograr este objetivo.</span> </span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-1237883918064392815.post-85939727650008796432008-03-11T08:52:00.000-07:002008-04-09T08:58:57.306-07:00QUE ES HONEYNET<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbXjbpz7b9UQXHtKzUUsccOBZneYdcYyGo6kYm9dwf-oQrQHdUvfDeof18yPI78yIIkAHVYn8pn_qPboWpgune4mpvwJoSg4G-JfqE7Ny7lLYTeL9Ompjm41DYLWdt5nweQJQWFC1p-SR9/s1600-h/honeypot.jpg"><img style="margin: 0pt 0pt 10px 10px; float: right; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbXjbpz7b9UQXHtKzUUsccOBZneYdcYyGo6kYm9dwf-oQrQHdUvfDeof18yPI78yIIkAHVYn8pn_qPboWpgune4mpvwJoSg4G-JfqE7Ny7lLYTeL9Ompjm41DYLWdt5nweQJQWFC1p-SR9/s200/honeypot.jpg" alt="" id="BLOGGER_PHOTO_ID_5176515483653621266" border="0" /></a><br /><p style="color: rgb(255, 255, 255); font-weight: bold;">Los Honeynet son un tipo especial de <a href="http://es.wikipedia.org/wiki/Honeypot" title="Honeypot">honeypots</a> de alta interacción que actúan sobre una red entera, diseñada para ser atacada y recobrar así mucha más información sobre posibles atacantes. Se usan equipos reales con <a href="http://es.wikipedia.org/w/index.php?title=Sistemas_operativos_reales&action=edit&redlink=1" class="new" title="Sistemas operativos reales (aún no redactado)">sistemas operativos reales</a> y corriendo aplicaciones reales.</p> <p style="color: rgb(255, 255, 255); font-weight: bold;">Este tipo de honeypots se usan principalmente para la investigación de nuevas técnicas de ataque y para comprobar el <i>modus-operandi</i> de los intrusos.</p>MARLONhttp://www.blogger.com/profile/15542891171667318362noreply@blogger.com0tag:blogger.com,1999:blog-1237883918064392815.post-89822620860599633182008-02-18T07:14:00.000-08:002008-05-19T07:29:16.761-07:00Tipos Honeypots<h4 style="color: rgb(255, 255, 255); font-weight: bold; font-style: italic;"><br /></h4><span style="font-weight: bold; font-style: italic; color: rgb(255, 255, 255);">Honeypots de baja interactividad:</span><br /><span style="font-weight: bold; font-style: italic; color: rgb(255, 255, 255);">Los honeypot de baja interactividad son instalados para emular sistemas operativos o servicios con los cuales los atacantes están acostumbrados a infringir. El atacante cree que se encuentra un servicio o una maquina cuando realmente es una aplicación escrita para hacerse pasar por tal. En este su estado de captura es muy bajo relacionado con los de alta interactividad.</span><br /><span style="font-weight: bold; font-style: italic; color: rgb(255, 255, 255);">Honeypots de alta interactividad:</span><br /><br /> <h4><span style="color: rgb(255, 255, 255);">En estos el atacante puede interactuar de forma total, es decir no emulan servicios son servicios reales, se suele montar en maquinas virtuales, o en otras maquinas, pues de esta forma estaríamos evitando el ingreso real a nuestras maquinas, su configuración es mas difícil, pero igual captura comandos, pulsaciones, trafico, etc.</span><span style="color: rgb(51, 204, 0);"><o:p></o:p></span></h4>MARLONhttp://www.blogger.com/profile/15542891171667318362noreply@blogger.com0tag:blogger.com,1999:blog-1237883918064392815.post-26398407865256549512008-02-18T05:00:00.000-08:002008-04-09T08:58:35.261-07:00IDS<h1 style="color: rgb(255, 255, 255);"><span style="font-style: italic;font-size:100%;" ><a name="SECTION00020000000000000000">¿Que es un sistema de detección de intrusos "IDS"?</a></span> <o:p></o:p></h1> <p style="color: rgb(255, 255, 255);"><b>La seguridad en un sistema podríamos clasificarla de dos modos: activa y preventiva. La seguridad activa de un sistema consiste en protegerlo todo lo posible ante potenciales intentos de abuso del mismo. Un firewall es un buen ejemplo de seguridad activa, trata de filtrar el acceso a ciertos servicios en determinadas conexiones para evitar el intento de forzamiento desde alguno de ellos. <o:p></o:p></b></p> <p style="color: rgb(255, 255, 255);"><b>Por otro lado, la seguridad preventiva es aquella que implantamos en nuestro sistema para que nos informe si en el está teniendo lugar una incidencia de seguridad. No pretende proteger el sistema, pretende alertarnos de que algo extraño esta sucediendo en el. Un buen ejemplo de seguridad preventiva es un sistema de detección de intrusos. <o:p></o:p></b></p> <p style="color: rgb(255, 255, 255);"><b>Un sistema de detección de intrusos es aquel que nos permite recabar información de distintas fuentes del sistema en el que se implanta para alertar de un posible intrusión en nuestras redes o máquinas. La alerta puede ser del hecho de que existe un intento de intrusión, como del modo en el que este se está realizando y en algunos casos por parte de quén esta siendo efectuado. Podemos considerar un sistema de detección de intrusos como un <i>control de auditoría</i> que nos permitirá tomar decisiones a la hora de realizar una auditoría de seguridad de nuestro sistema. <o:p></o:p></b></p> <p><b><span style="color: rgb(255, 255, 255);" >Un sistema de detección de intrusos surge como una medida preventiva, nunca como una medida para asegurar nuestros sistemas, ayudan al administrador de dicho sistema a permanecer al tanto de cualquier intención aviesa contra el sistema que administra.</span> <o:p></o:p></b></p>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-1237883918064392815.post-80130014763398824902008-02-18T04:35:00.000-08:002008-04-09T08:57:28.459-07:00tipos de IDS<p style="color: rgb(255, 255, 255);"><b>Existen tres tipos de sistemas de detección de intrusos:<o:p></o:p></b></p> <ol style="color: rgb(255, 255, 255);" start="1" type="1"><li class="MsoNormal"><b>HIDS (<i>HostIDS</i>): un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor.<o:p></o:p></b></li><li class="MsoNormal"><b>NIDS (<i>NetworkIDS</i>): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.<o:p></o:p></b></li><li class="MsoNormal" style=""><b>DIDS (<i>DistributedIDS</i>): sistema basado en <st1:personname productid="la ARQUITECTURA CLIENTE-SERVIDOR" st="on">la ARQUITECTURA CLIENTE-SERVIDOR</st1:personname> compuesto por una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de</b> <b>red. Es la estructura habitual en redes privadas virtueles (VPN)</b></li></ol>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-1237883918064392815.post-46915489030247374352008-02-15T08:28:00.000-08:002008-04-09T09:01:22.948-07:00Sistemas de Decepcion<span style="color: rgb(255, 255, 255); font-weight: bold;font-family:lucida grande;font-size:130%;" > Los sistemas de decepción o tarros de miel (</span><span style="color: rgb(255, 255, 255); font-weight: bold;font-size:130%;" ><i style="font-family: lucida grande;">honeypots</i></span><span style="color: rgb(255, 255, 255); font-weight: bold;font-family:lucida grande;font-size:130%;" >), como </span><span style="color: rgb(255, 255, 255); font-weight: bold;font-size:130%;" ><i style="font-family: lucida grande;">Deception Toolkit</i> </span><span style="color: rgb(255, 255, 255); font-weight: bold;font-family:lucida grande;font-size:130%;" >(DTK), son mecanismos encargados de simular servicios con problemas de seguridad de forma que un pirata piense que realmente el problema se puede aprovechar para acceder a un sistema, cuando realmente se está aprovechando para registrar todas sus actividades. Se trata de un mecanismo útil en muchas ocasiones como por ejemplo, para conseguir "entretener" al atacante mientras se tracea su conexión</span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0