- Seguridad Informática - Herramientas de monitoreo de red -

El monitoreo de la red es un mecanismo preventivo y de control para detectar y solucionar problemas diversos. Uno de esos problemas puede ser el ruido en la línea, el cual provoca errores (como direcciones falsas de nodos, etc.).

A continuación se presentarán algunas herramientas que pueden ayudar a mejorar el nivel de seguridad de una red.

Existe un gran número de herramientas de monitoreo en el mercado, las cuales se diferencian en distintos aspectos. En dependencia de los objetivos que se persigan una u otra herramienta podrá resultar más idónea en correspondencia con su funcionamiento y las preferencias de los administradores.

Las herramientas pueden dividirse en dos tipos: aquellas que alertan las conexiones no deseadas y que permiten hacer un seguimiento de éstas, así como poder decidir sobre qué conexiones deben permitirse y cuales no (herramientas de control y seguimiento de accesos) y aquellas que se ocupan de la seguridad del sistema (herramientas que chequean la integridad del sistema), para detectar el asalto a un sistema y determinar el alcance de los posibles daños.

- Herramientas de control y seguimiento de accesos
Estas herramientas permiten obtener información (mediante ficheros de trazas) de todos los intentos de conexión que se produzcan en el sistema o sobre otro que se indiquen, así como intentos de ataque de forma sistemática a puertos tanto de TCP como de UDP (herramientas de tipo SATAN).
Este tipo de herramientas permiten tener control sobre todos los paquetes que entran por el interfaz de red de la máquina: IP (TCP, UDP) e ICMP, o analizando paquetes a nivel de aplicaciones (TELNET, FTP, SMTP, LOGIN, SHELL...).
Estas herramientas pueden ser utilizadas junto con otras que permitan definir desde qué máquinas se permiten ciertas conexiones y de cuales se prohíben.
Algunas de estas herramientas no necesitan estar instaladas en la máquina que se quiere controlar (ya que se puede instalar en una máquina cuyo interfaz de red funcione en modo promiscuo, permitiendo seleccionar la dirección IP o máquina que se quiera auditar).
Algunas pueden tener un doble uso, es decir ofrecen protección ante posibles ataques, pero también podrían ser utilizadas para intentar comprometer sistemas. Por eso es importante que el uso de estas herramientas esté restringido (en la manera que se pueda) para que personal no autorizado no pueda utilizarlas de forma aleatoria y se oculte realmente un ataque. También podrán ser utilizadas para hacer seguimientos en la red cuando se sospeche que alguna de las máquinas en la red ha sido comprometida.

Las herramientas que permiten este tipo de actividad son:

Achilles netlog
AirSnort Network Stumbler
argus NGrep
arpwatch Nikto
Bastille nocol
Brutus NTop
Cain & Abel OpenBSD
cheops / cheops-ng OpenSSH / SSH
courtney OpenSSL
Crack / Cracklib Perl / Python
dig pf
DSniff pstools
etherape putty
Ethereal pwdump3
Ettercap Retina
Firewalk SAINT
Fping Sam Spade
Fport SARA
Fragroute SATAN
gabriel Shadow Security Scanner
GFI LANguard snoop
GnuPG / PGP Snort
hfnetchk SolarWinds Toolsets
Honeyd SPIKE Proxy
Hping2 Stunnel
ISS Internet Scanner SuperScan
IpTraf tcp-wrapper
John the Ripper TCPDump / WinDump
Kismet tcplist
LIDS tcpreplay
LibNet TCPTraceroute
L0phtCrack 4 TCT (The Coroner's Toolkit)
N-Stealth THC-Amap
NBTScan Tripwire
Nemesis Visual Route
Nessus Whisker/Libwhisker
Netcat Winfingerprint
Netfilter XProbe2
- Zone Alarm


- Herramientas que chequean la integridad del sistema
Estas herramientas ayudan a proteger el sistema.
Algunas se basan en el chequeo a los ficheros y otras alertan de posibles modificaciones de ficheros y de programas "sospechosos" que puedan estar ejecutándose en la máquina de forma camuflada. Ejemplos:

chklastlog lsof (List Open Files)
chkwtmp noshell
COPS (Computer Oracle and Password System) osh (Operator Shell)
cpm (Check Promiscuous Mode) spar
crack tiger
ifstatus Tripwire


previo
Imprimir..
Ultima actualisación: Tue, 24 ▪ May ▪ 2011
próximo