2012-01-17

Herramienta para Test de Firewall

Existen muchas herramientas con las que podrías hacer pruebas en un FW, pero una más no te hará daño y si te sirve como un elemento más para dar un veredicto claro y profesional del estado de un FW. Esta herramienta la encontré en una entrada de binaryti, el cual es un muy buen blog de seguridad de la información y de auditoria. 

La herramienta se llama FTESTER la cual esta desarrollada por inversepath y es compuesta principalmente por tres scrpt hechos en perl, los cuales son los siguientes y su función es:

ftest --> Script que permite enviar el tráfico con la características que requieras para probar la respuesta del firewall.
ftestd --> Script que permite colocar un sniffer para capturar los requerimientos y las respuestas de prueba al sistema.
freport --> Script que basado en el registro de los otros dos genera un reporte de los sucesos.

Bueno empemos a ver como se instala y se usa este paquete. Lo primero que se debe tener en cuenta es cumplir con los requerimientos de perl que se tienen, por lo que se instalan los paquetes, así;

root@localhost:–# apt-get -y install libnet-rawip-perl libnet-pcap-perl libpoe-component-pcap-perl pcaputils libnetpacket-perl

Una vez tenemos estos paquetes instalados entonces pasamos a descargar el paquete que queremos usar, lo cual podemos hacer de la siguiente manera:

root@localhost:-# wget http://dev.inversepath.com/download/ftester/ftester-1.0.tar.gz

Bueno como ya todos deben saber lo descomprimimos, pero este no se compila por que son unos scrpts, entonces solo con descomprimir ya pueden ser usados.

Ahora veremos como usarlos. Empezamos con el ftest que nos permite enviar cadenas construidas fácilmente por nosotros para la auditoria, acá solo colocare la más usada que es la opción c la cual tiene la siguiente estructura

root@localhost:-# ./ftest -c iporigen:puertoorigen:ipdestino:puertodestino:bandera:protocolo:TOS

Entonces cada uno debe contener el dato con el que desees enviar para la prueba de respuesta del firewall. las banderas son las del protocolo TCP, o sea que puedes usar las letras S (SYN), A (ACK), P (PSH), U (URG), F (FIN) y R (RST), por lo que uno típico para probar que una IP externa no conteste a solicitudes de tráfico de redes privadas sería así:

root@localhost:-# ./ftest -c 10.0.0.1:5646:190.215.0.1:22:S:TCP:0

Este comando nos genera un log que se llama ftesd.log y que queda guardado en el mismo directorio donde esta el ejecutable.

Bueno entonces ahora el segundo script,  este nos permite colocar un sniffer sobre el tráfico que se genera con el otro comando, para lo cual lo único que se requiere como mínimo es decirle que interface escuchar, lo que se hace así

root@llocalhost:–# ./ftestd -i eth0

Este comando nos genera un log que se llama ftestd.log y que queda guardado en el mismo directorio donde esta el ejecutable.

Por último, el script que realiza el reporte, el cual es freport y se debe usar los registros generados anteriormente de la siguiente forma:

root@localhost:–# ./freport ftest.log ftestd.log

Este te dira las posibles vulnerabilidades del firewall. Espero les sirva.

2012-01-12

Capturar Contraseña de WPA/WPA2 con REAVER

Gracias a una vulnerabilidad del sistema de configuración de los enrutadores inalámbricos, en un software denominado Wifi Protected Setup (WPS) el señor Craig Heffner desarrollo un software denominado REAVER, que permite obtener la contraseña de seguridad de WPA o WPA2, donde el enrutador configure usando el WPS.

Este software lo puedes conseguir en google code en la URL http://code.google.com/p/reaver-wps/ de donde pueden descargar la última versión de este programa. Antes de compilarlo en Ubuntu o Debian deben asegurarse de tener unos paquetes, por lo que sería bueno que ejecutaran el siguiente comando:

root@localhost:~# apt-get install build-essential libpcap0.8-dev libsqlite3-dev


Bueno una vez que tienes estos paquetes instalados entonces procedes a descomprimir el tar.gz y a compilar el paquete, eso se hace con los siguientes pasos:


root@localhost:~# wget http://code.google.com/p/reaver-wps/downloads/detail?name=reaver-1.3.tar.gz&can=2&q= && cd reaver-1.3/src
root@localhost:src# ./configure
root@localhost:src# make    
root@localhost:src# make install

Si lo vas a instalar en Backtrack 5 R1 solo debes hacer


root@localhost:~# apt-get install reaver


Listo ya con esto lo tienes instalado ahora toca aprender a usarlo, por lo que vamos a ver como lo use en un Backtrack 5 R1. Lo primero es colocar la tarjeta inalámbrica en modo monitor, lo que se hace con el comando airmon-ng, de la siguiente manera:



Después de esto usas el comando airodump-ng, que te permite visualizar todas las redes inalámbricas que capta tu antena y conocer su identificador BSSID, con el cual el reaver podrá iniciar la explotación de la posible vulnerabilidad. Al ejecutar este comando verás algo como lo siguiente y debes tomar una de los BSSID y con un poco de suerte ese estará configurado usando WPS.




Bueno una vez hayas escogido la red entonces ejecutas el comando reaver con la siguiente estructura


root@localhost:# reaver -i [interface en modo monitor] -b [BSSID escogido]

Como se puede ver en la siguiente imagen el inicia el proceso de asociación y la carga de datos para  vulnerar el WPS, este proceso puede durar al rededor de 4 horas (como siempre en esto, toca tener calma), 



Pero tiene algo muy bueno y es que puedes detenerlo y cuando lo envíes de nuevo arrancar desde lo detuviste , así:


Espero que no lo usen para males, es con el animo de educar no de dar herramientas de ataques o violación a la privacidad de las personas. Recuerda que el HACKER es aquel que usa su conocimiento para ayudar y para mejorar las herramientas y montajes de los demás, el CRACKER es que usa su conocimiento para beneficio propio y hacer mal a su prójimo, decide de que lado deseas estar.

2012-01-06

Configurar Zimbra en Evolution

Teniendo en cuenta la popularidad que ha tenido el sistema de correo electrónico Zimbra y que ahora lo uso como servidor de correo, en esta entrada colocare como poder usar todo lo que provee en el cliente Evolution, que es el que viene por defecto en Ubuntu y Debian.

El Zimbra es una suite completa que te permite tener calendario, libreta de contactos, tareas y maletín de documentos, fuera de tener el correo obviamente. Entonces empezaremos con los datos que necesitaremos del Zimbra, por lo que si acceden al entorno web en la pestaña de Preferencias encontraran una opción que indica Compartir, donde ustedes seleccionan que desean compartir.

Yo tome como ejemplo la agenda de contactos, entonces al dale compartir el te muestra la siguiente ventana:


Como ven en la parte inferior aparece una URL que es la que se debe usar en el evolution, por lo que le das click derecho y le das copiar la URL, el te debe copiar una URL con la estructura así:

https://tuserver.dominio.com/home/usuario@dominio.com/Contacts

Bueno entonces ahora si ingresas a Evolution y en Contactos le das crear una nueva Lista de Direcciones, por lo que te va a salir una ventana como la siguiente:


El tipo que vas a crear es WebDAV por lo que lo dejas igual, los demás datos los llenas así:

Nombre : El que desees colocar a la lista de direcciones
URL :  Pegas lo que copiaste de Zimbra
Usuario :  El usuario que tengas creado en el sistema

Pero para que puedas escribir hay que hacer un cambio, que me enseño mi compañero Luis Salazar y es que en la URL cambias el home por dav, esto se debe a que en el sistema de zimbra la carpeta home no tiene permisos de escritura, pero la de dav si los tiene. Por esto la ventana quedaría con los siguientes datos:


Espero que les sirva.