Banner 1

Mostrando entradas con la etiqueta firewalls. Mostrar todas las entradas
Mostrando entradas con la etiqueta firewalls. Mostrar todas las entradas

Saltar firewall con ssh

Publicado por Unknown en 10:37 domingo, 30 de noviembre de 2014 Etiquetas: , , 0 comentarios
Para los que no lo sepan SSH (openSSH para ser mas específicos) es una utilidad que nos permite gestionar una maquina *nix de manera remota, la gestión se realiza vía linea de comandos, pero como sabrán la mayoría de los entendidos en este tema, con un acceso a consola es mas que suficiente.
En ocasiones dependiendo de la funcionalidad que deseemos implementar es necesario que tengamos abierto puertos para algún servicio ya sea un servidor web, DNS, impresión ,etc. Pero en ocasiones esas posibilidades no se encuentran a nuestro alcance ya que simplemente o nuestro ISP nos tiene dentro de un NAT gigante (muchas cableras) o nuestros Modem/Router vienen capado de fabrica para que los mismos no se puedan tocar a nuestro antojo, y por ende poder abrir los puertos que requerimos.

SSH en un túnel Reverso

Como bien sabremos SSH tiene diversas funcionalidades entre las cuales destacan :forwardeo de puertos, ejecución de programas por medio del gestor X11, etc. Pero una de las mas interesantes a mi parecer y que en un sinfín de ocasiones me ha sacado de apuros es el túnel reverso. Esta funcionalidad nos da la posibilidad de redireccionar puertos hacia nosotros pudiendo así hacer bypass de cualquier firewall, haciendo una analogía es como hace muchos a~nos se realizaban infecciones con troyanos reversos.
A continuación ampliaremos mas el tema:
Regularmente una conexión SSH se realiza de la siguiente manera:
Cliente SSH ———> Servidor SSH
Como podremos observar en una conexión SSH tradicional el cliente SSH es el que realiza la conexión hacia el servidor y es así como se establece la conexión. Ahora bien, es importante considerar que para que esta conexión exista es necesario que en el servidor se tenga abierto el puerto de SSH.
En el esquema de conexión de túnel SSH reverso la conexión es hacia nosotros, para ello se ejemplificara mejor con la siguiente imagen:
Servidor A —–> Servidor C (pasarela) <——-> Servidor B
Donde imaginemos que A es el servidor donde tenemos una aplicación corriendo (un servidor web por ejemplo), C es un servidor que ocuparemos como pasarela y B sera el servidor donde requerimos ver el servidor web del servidor A.
En un esquema de funcionamiento tradicional tan solo bastaría con abrir el puerto web en el firewall del Servidor A para que el servidor B pudiera acceder de forma ordinaria al web server, pero imaginemos que por restricciones del Sysadmin, simplemente esto no es posible. Aquí es donde entra el SSH reverso. El servidor A se conectara por medio de un túnel reverso SSH al servidor C y de ahí con un cliente SSH nos conectaremos del servidor B al servidor C, para poder acceder al webserver de A.
A continuación algunos ejemplos didácticos para hacer mas comprensible esta metodología de funcionamiento.

Ver el WebService escuchando en el puerto 80 del Servidor A en el navegador del Servidor B

Servidor A < ————-> Servidor B
Sintaxis:
ssh usuario@servdorA -L 80:localhost:80
Esto lo que hará es redireccionar el puerto 80 del servidor A hacia el puerto 80 del servidor B

Túnel Reverso del servidor A al servidor C, para que el servidor B pueda acceder a la consola SSH del servidor A.

Sintaxis:
Consola servidor A:
ssh usuario@servidorC -N -R 2222:localhost:22
Donde:
-N Es una opción para que el servidor A NO PUEDA ejecutar comandos en la consola del servidor C
-R indica que es un túnel reverso.
22 Es el puerto donde esta escuchando el demonio SSH del servidor A
2222 Es el puerto donde se mandara el puerto SSH del servidor A en el servidor C
Consola Servidor B:
ssh usuario@servidorC
Después de esto una vez dentro del servidor C, tan solo nos restara hacer una conexión SSH a nuestro localhost en el puerto antes forwardeadado:
Consola servidor B:
ssh usuario@localhost -p 2222
Donde:
-p indica el puerto al cual deseamos conectarnos
2222 Es el puerto donde se forwardeo el puerto del servidor A

Lo mas interesante de esto es que al ser el túnel SSH una conexión saliente la misma no es bloqueda por el firewall, esto es algo que he probado en diversas instituciones tanto publicas como privadas y en ninguna me han bloqueado la salida de mi tunel SSH. Esto en teoría podría prevenirse con un IDS bien configurado, pero siendo honestos, es algo que nadie se toma muy en cuenta.

NOTA: a día de hoy esta funcionalidad solo la he probado en puertos TCP

Fuente: http://dexter-one.net/in-seguridad/el-poder-de-ssh-como-bypassear-un-firewall-de-manera-facil/

Instalacion de PfSense - Un firewall con interfaz amigable

Publicado por Unknown en 12:20 viernes, 21 de noviembre de 2014 Etiquetas: , , 0 comentarios
PfSense es una distribución basada en FreeBSD, derivada de m0n0wall. Su objetivo principal es tener un Firewall fácil de configurar, a través de un interfaz amigable con el usuario y que se pudiera instalar en cualquier PC, incluyendo PCS de una sola tarjeta.

Se trata de una solución muy completa, que esta licenciada bajo BSD lo que significa que es de libre distribución.

OpenBsd considerado el sistema operativo más seguro del mundo tiene presente packet filter (PF) (filtro de paquetes sistema de OpenBsd para filtrar el trafico tcp/ip proporciona además control de ancho de banda y priorización de paquetes.) como estándar desde noviembre de 2004.
Bueno para comenzar con la instalacion lo primero que debemos de tener a la mano es la imagen de pfSense, despues de quemarla podremos comenzar con la instalacion. Manos a la obra.

Comienzo instalacion
Comienzo instalacion
Asi es el primer pantallazo que observamos cuando nuestro cd comienza con la instalacion.
Principio de instalacion
Principio de instalacion
Crear vlans
Crear vlans
En este paso el sistema nos pregunta si queremos crear Vlans. lo cual decimos que no (n)
Interfaces
Interfaces
Este es el paso donde el sistema identifica las interfaceslan y wan. Las cuales se pueden hacer automaticas pero en mi caso yo las quice escojer como se muestra en la figura.
Seleccion de interfaces
Seleccion de interfaces
Despues de haber seleccionado que tarjeta va hacer wan y lan. Presionamos enter para continuar, despues de este paso este se puede demorar unos cuantos segundos.
Instalacion
Instalacion
En este menu escogeremos la opcion 99. Lo cual iniciaria el asistente de instalacion.
Video
Video
Lo primero que debemos de configurar es el video se aconseja dejarlo por defecto.
instalacion
instalacion
En este paso si se comienza a dar la instalacion por completo, en este punto se hace el formateo del disco y el particionado del mismo.
Formateo del disco
Formateo del disco
Se comenzara el formateo del disco recordar que todos los datos que tengamos grabados en esta unidad se perderan.
Geometria disco
Geometria disco
Selecionamos la geometria del disco.
formato
formato
Damos inicio al formato del disco.
Particionamiiento
Particionamiiento
Se nos pide particionar el disco. Esto es para poder instalar el sistema operativo
Particionado
Particionado
Se puede instalar otros sistemas de archivos pero por defecto viene seleccionado FreBSD.
Particion
Particion
Nos pregunta en que particion vamos a instalar pero como en este caso solo tenemos esta presionamos enter.
Carateristicas de particion
Carateristicas de particion
En este paso nos dice  que la particion es primaria y que todo se borrara sin forma de recuperar. Que si estamos seguros presionamos enter.
Particionamiento final
Particionamiento final
Nos muestra como quedo el particionado en nuestro disco.
Copiando archivos
Copiando archivos
En este momento se estan copiando todos los archivos al disco, despues de que esto termine practicamente tendremos instalado nuestr PfSense en nuestro equipo.
Reiniciar
Reiniciar

Solo queda reiniciar nuestro computador para poder deleitarnos de todos los servicos que trae nuestro PfSense.
Ingresamos a nuestro PfSense por medio de nuestro navegador copiamos la direccion ip de la tarjeta lan que por defecto es 192.168.1.1.Luego nos pedira autenticarnos lo que realizamos con:

User: admin
Password: pfsense

Despues de autenticarte estaras dentro del entorno web que hay que cambiar algunos parametros que estan por defecto.

imagen PfSense
imagen PfSense

Bueno poco a poco ire adentrandome un poco mas en este sistema  que realmente es muy interesante  !!!!!!

Hasta la proxima

Referencias:
http://es.wikipedia.org/wiki/PfSense

Fuente:
https://alexalvarez0310.wordpress.com/category/portal-cautivo-con-pfsense/instalacion-de-pfsense/

Técnicas de evasión de "portales cautivos" Cap2 (iodine: tunel DNS para saltarnos un portal cautivo)

Publicado por Unknown en 15:16 viernes, 23 de mayo de 2014 Etiquetas: , , , , 0 comentarios
Buenas.

En vista que el anterior post se trataba de técnicas de evasión de portales cautivos y ha sido el capitulo 1, buscando no encontré el capitulo 2 por el mismo autor, lastimosamente al parecer actualmente se encuentra inactivo.

Debo reconocer que tenia muy buenos aportes y en su tiempo siempre leía sus aportes. Como es claro no podemos dejar el tema tirado así que vamos a seguir con una técnica mas "reciente" para saltar los portales cautivos y también sirve para dar Internet gratis en pc y móviles.

_______________________________________________________________________________

En ocasiones, y cada vez más, encontramos redes Wi-Fi públicas y abiertas (sin codificación de datos) que requieren autenticación. Cuando te conectas y accedes a cualquier dirección Web, salta un portal cautivo donde tienes que introducir un login, controlan el tráfico HTTP. Algunas están restringidas a cierto público cerrado, como estudiantes de una universidad o empleados de una empresa. Y otras son de pago, del estilo: envía un SMS y te dejamos navegar durante 30 minutos. ¿Existe alguna manera de vulnerar dicha restricción? La respuesta es ¡si!, la gran mayoría de esas redes tienen un pequeño fallo de seguridad que seguidamente explicamos como explotar.

La puerta trasea

El funcionamiento del portal cautivo, a grandes rasgos, es este:
    1. El cliente asocia con el AP, y obtiene una configuración de red
    2. El cliente hace una petición DNS, y le es resuelta (por ejemplo google.com)
    3. Cuando el cliente intenta acceder a la IP de google.com, el AP (normalmente asociado a un servidor RADIUS), le deniega el acceso y lo redirecciona al portal cautivo, donde deberá introducir su login.
    4. Si el login es correcto, el AP deja que navege libremente. Sino, a cada petición redireccionará al portal.
En esos 4 puntos, ya podemos ver donde está la puerta que nos permitirá gozar de una conexión libre: las peticiones DNS. Son el único protocolo que esos sistemas dejan utilizar sin estar autenticado. Ahora bien, ¿como lo explotamos?

Explotación

Los paquetes DNS (que utilizan el protocolo UDP), disponen de un pequeño payload de datos, 512 Bytes donde va almacenada información. La gracia está en utilizarlo para comunicarte con un servidor exterior (previamente configurado ) que nos hará de router para comunicarnos con Internet. Dicho en otras palabras, un tunel DNS

IOdine

Iodine es un pequeño software para *nix y windows, compuesto por dos partes. El servidor escucha en el puerto UDP 53, a la espera de peticiones DNS. El cliente que se conecta a él, crea una interfaz de red virtual IPv4 asociada al servidor, mediante el tunel TUN/TAP, por donde enviará las peticiones para que las enrute. Realmente bello!!

El servidor

¡Cuidado! Necesitamos un server conectado a internet, y un dominio que podamos gestionar. Como ejemplo utilizaremos: foo.com, y supondremos que hace referencia a la ip de nuestro server.
foo.com -> 77.44.33.22
En la gestión del dominio, tenemos que introducir una entrada del tipo NS:
tunel.foo.com NS foo.com
[En lugar de foo.com podría ser también la dirección IP del servidor]
Con la que indicamos que las peticiones a tunel.foo.com las resuelve el servidor de nombres instalado en foo.com.

Hay que tener en cuenta que el servidor no debería ser quien resuelva la DNS foo.com, ya que no podriamos tener iodine escuchando en el puerto UDP 53. O si no nos importa que la resolución de nuestro dominio foo.com quede "inaccesible", podemos utilizar el mismo dominio.
Lógicamente necesitamos tener instalado iodine en nuestro sistema, para ello podemos utilizar nuestro gestor de paquetes. En caso de debian/ubuntu:
aptitude install iodine
o descargarlo de la web.

Procedimiento

Iniciamos iodine y activamos forwarding para enrutar las peticiones.
iodined -f 10.0.0.1 tunel.foo.com
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -o eth0 -j MASQUERADE
[Suponiendo que eth0 es nuestra interfaz de salida a internet]
Nos pedirá un password, nos lo inventamos y lo conservamos en mente (luego será necesario). Ahora iodine se quedará escuchando en el puerto 53 UDP, lo podemos verificar con:
netstat -anup

El cliente

Bien, ahora hemos salido a la calle, y estamos conectados a una red Wi-Fi con portal cautivo que requiere autenticación. Ya hemos asociado y obtenido la configuración de red mediante dhcp.
La tabla de rutas, quedaría algo así:
Destino         Pasarela        Genmask         Indic Métric Ref    Uso Int
10.182.0.0      0.0.0.0         255.254.0.0     U     0      0        0 ath0
0.0.0.0         10.182.1.1      0.0.0.0         UG    0      0        0 ath0
Suponemos la ip del AP es 10.182.1.1

Procedimiento

Eliminamos el default gateway que nos ha asignado, y añadimos entradas manuales para poder acceder a nuestro servidor y a los servidores DNS que nos ha asignado el AP:
route add -host 77.44.33.22 gw 10.182.1.1
route add -host DNS1 gw 10.182.1.1
route add -host DNS2 gw 10.182.1.1
route del default gw 10.182.1.1
Donde 77.44.33.22 es la IP de foo.comm, y DNS1/2 son los dos servidores de nombres que nos han asignado por dhcp (cat /etc/resolv.conf).

Ahora mismo, mediante el AP sólo podemos comunicarnos con los 2 servidores DNS, y nuestro server.
Nos quedará una tabla similar a esta:
Destino         Pasarela        Genmask         Indic Métric Ref    Uso Int
DNS1            10.182.1.1      255.255.255.255 UGH   0      0        0 ath0
77.44.33.22     10.182.1.1      255.255.255.255 UGH   0      0        0 ath0
DNS2            10.182.1.1      255.255.255.255 UGH   0      0        0 ath0
10.182.0.0      0.0.0.0         255.254.0.0     U     0      0        0 ath0
Ahora iniciamos el cliente de iodine, que se conectará mediante peticiones DNS a nuestro servidor y creará una interfaz virtual dns0.
iodine -f 77.44.33.22 tunel.foo.com
Como podemos ver automaticamente el servidor iodine nos ha asignado una dirección ip
ifconfig dns0
 ...
 Direc. inet:10.0.0.3  P-t-P:10.0.0.3  Másc:255.255.255.0
 ...
Ya tenemos el tunel creado! Podemos utilizar dns0 para comunicarnos con el exterior. Sólo nos falta añadir como ruta por defecto la IP del servidor.
route add default gw 10.0.0.1
Y nos quedará la tabla así:
DNS1            10.182.1.1      255.255.255.255 UGH   0      0        0 ath0
77.44.33.22     10.182.1.1      255.255.255.255 UGH   0      0        0 ath0
DNS2            10.182.1.1      255.255.255.255 UGH   0      0        0 ath0
10.182.0.0      0.0.0.0         255.254.0.0     U     0      0        0 ath0
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 dns0
0.0.0.0         10.0.0.1        0.0.0.0         UG    0      0        0 dns0
Como resumen, podemos ver que por la interfaz ath0 utilizamos el AP para comunicarnos únicamente con los servidores DNS (las puertas que usamos para llegar hasta iodine), y nuestro server foo.com.

La interfaz dns0 para el resto de peticionies, incluidas las de internet.

Un esquema de como han quedado las conexiones sería este:
Veamos el resultado de un ping
root@tr4v313r:~# ping google.com
PING google.com (209.85.227.147) 56(84) bytes of data.
64 bytes from wy-in-f147.1e100.net (209.85.227.147): icmp_seq=1 ttl=56
time=865 ms
64 bytes from wy-in-f147.1e100.net (209.85.227.147): icmp_seq=2 ttl=56
time=250 ms
64 bytes from wy-in-f147.1e100.net (209.85.227.147): icmp_seq=3 ttl=56
time=1047 ms
64 bytes from wy-in-f147.1e100.net (209.85.227.147): icmp_seq=4 ttl=56
time=262 ms
Funciona!!
El test adsl de velocidad.info ha dado los siguientes resultados:
405 Kbit/s bajada
41 Kbit/s subida
No está nada mal!
Iodine nos permite jugar con el tamaño del MTU, podemos hacer varias pruebas para ver cual nos da mejores resultados.

Ética

He disfrazado un poco el artículo para que resulte más "llamativo" e "interesante". Pero el propósito de este no es incitar a hacer nada ilegal. El tunel DNS es una tecnología más que nos proporciona el mundo de la informática. La podemos utilizar en infinitas utilidades prácticas, sin que ello conlleve a vulnerar ninguna ley.
Fuente:
http://dabax.net/tunel_dns

Links de interés:
http://dabax.net/tunel_dns
http://www.securitybydefault.com/2013/03/sobre-wifi-robar-y-los-portales-cautivos.html
http://www.securitybydefault.com/2010/01/tunelizando-dns-otra-opcion-con-iodine.html
http://c1b3rh4ck.blogspot.com/2011/10/portal-cautivo-comcel-3g-1-de-2.html
http://foro.hackhispano.com/showthread.php?35768-iodine-tunel-DNS-para-saltarnos-un-portal-cautivo
http://foro.hackhispano.com/showthread.php?35763-IoDine-t%FAnel-DNS-para-saltarse-un-portal-cautivo

Bypassing ES_ (Censura y firewalls empresariales) Introduccion rapida

Publicado por Unknown en 15:03 jueves, 22 de mayo de 2014 Etiquetas: , , 0 comentarios
INTRODUCCIÓN RAPIDA
Internet es censurado cuando personas o grupos que controlan la red impiden acceder a los usuarios de Internet a algún contenido o servicio en particular.La censura de Internet adopta muchas formas. Por ejemplo, los gobiernos pueden bloquear servicios de correo electrónico regulares con el objetivo de obligar a los ciudadanos a usar el correo electrónico establecido por el gobierno que puede ser fácilmente monitoreado, filtrado o apagado. Algunos padres pueden controlar el acceso de sus hijos. Una universidad puede impedir a sus estudiantes el acceso a Facebook desde la biblioteca. Un dueño de un Cibercafé puede bloquear la transferencia de ficheros punto a punto. Gobiernos autoritarios pueden censurar reportes de abusos de los derechos humanos o de la última elección robada. Las personas tienen una amplia variedad de puntos de vista acerca de la legitimidad o ilegitimidad de estas formas.
EVASIÓN DE LA CENSURA
Evadir la censura es el acto de sortear o burlar las prohibiciones que rigen el acceso a Internet. Hay muchas formas de hacer esto, pero casi todas las herramientas de evasión funcionan aproximadamente de la misma forma. Hacen que nuestro navegador Web tome un desvío a través de una computadora intermediaria, llamada proxy, que:
está localizado en algún lugar que no está sujeto a la censura de Internet
no ha sido bloqueado en nuestra localización
sabe cómo buscar y devolver el contenido a usuarios como nosotros.
SEGURIDAD Y ANONIMATO
Es preciso tener en mente que ninguna herramienta es la solución perfecta para nuestra situación. Diferentes herramientas ofrecen varios grados de seguridad, pero la tecnología no puede eliminar los riesgos físicos que aceptamos cuando nos oponemos a las personas que tienen el poder. Este libro contiene varios capítulos que explican cómo funciona Internet lo que es muy importante para entender cómo estar más seguros cuando evadimos la censura.
HAY MUCHAS VARIACIONES
Algunas herramientas solo trabajan con el navegador Web, mientras otras pueden ser usadas por varios programas a la vez. Estos programas necesitan ser configurados para enviar el tráfico a Internet a través de un proxy. Con un poco de paciencia extra, podemos hacer todo esto sin necesidad de instalar ningún software en la máquina. Es bueno notar que las herramientas que buscan páginas Web pueden mostrar el sitio de forma incorrecta.
Algunas herramientas usan más de un intermediario con el objetivo de ocultar el hecho de que estamos visitando servicios bloqueados. Esto también oculta nuestras actividades del proveedor de la herramienta, lo que puede ser importante para el anonimato. Una herramienta puede tener una forma inteligente de aprender sobre proxis alternativos, y puede conectarse a ellos en caso de que el que estemos usando haya sido censurado. Idealmente, el tráfico creado por estas peticiones, ya sean búsquedas o envíos, es encriptado con el objetivo de protegernos de los entrometidos.
Pero la selección de la herramienta adecuada para una situación particular no es la decisión más importante que tomaremos cuando accedamos o produzcamos contenido frente a la censura de Internet. Aunque es difícil proporcionar un consejo concreto en estas cosas, es muy importante que nos dediquemos a evaluar:
Cómo, cuándo y dónde pretendemos usar estas herramientas
Quién puede querer impedir que hagamos las cosas que permiten hacer las herramientas
Qué tan fuerte esas organizaciones e individuos se oponen a su uso
Qué recursos tienen a su disposición para alcanzar su meta deseada, incluyendo la violencia
ACCEDIENDO A LOS SITIOS WEB MÁS BLOQUEADOS SIN PROGRAMAS EXTRAS
La herramienta de evasión de censura de Internet básica es un proxy Web. Mientras existen muchas razones por las cuales esta no sea la solución óptima, para propósitos de sorteo de censura básicos este puede ser un buen comienzo. Asumiendo que aún no ha sido bloqueado desde nuestra localidad, visita la siguiente dirección: http://sesaweenglishforum.net
Aceptamos las Condiciones del Servicio e introducimos en la barra de URL la dirección del sitio bloqueado que queremos visitar:
Presionamos Enter o hacemos click en GO, y si navegamos satisfactoriamente al sitio solicitado entonces funciona. Si el enlace de arriba no funciona, debemos buscar un método de sorteo de censura alternativo. Los capítulos Proxy Web y Psiphon de este libro ofrecen algunas recomendaciones sobre cómo encontrar un proxy web y muchos consejos sobre si nos conviene usarlo o no una vez que decidamos hacerlo.
Si necesitamos acceso a todo un sitio como Facebook, podemos usar una herramienta instalable como Ultrasurf en lugar de un proxy Web. Si deseamos o requerimos una solución que pase por una prueba rigurosa de seguridad y que nos ayude a mantener en el anonimato sin necesidad de saber quien administra el servicio podemos usar Tor. Si necesitamos acceder a recursos no-web filtrados, como plataformas de mensajería instantánea o servidores de correo filtrado (del tipo que usan programas como Mozilla Thunderbird o Microsoft Outlook), podemos intentar con HotSpot Shield o algún otro servicio OpenVPN. Todas estas herramientas, que tienen su propio capítulo en este libro, son brevemente descritas debajo.
ACCEDIENDO A TODOS LOS SITIOS WEB BLOQUEADOS Y PLATAFORMAS
Ultrasurf es una herramienta proxy gratis para el sistema operativo Windows que puede ser descargado en http://www.ultrareach.com/http://www.ultrareach.net/ o http://www.wujie.net/. El fichero descargable zip se extrae con un clic derecho y seleccionando “Extraer todo…”. El fichero resultante .exe puede ser inicializado directamente (incluso desde una memoria extraíble USB en un Cibercafé) sin instalación.
Ultrasurf se conecta automáticamente y lanza una nueva instancia del Internet Explorer que puede ser usado para abrir sitios bloqueados.
EVADIENDO LOS FILTROS Y MANTENIENDO EL ANONIMATO EN LA RED
Tor es una red de servidores proxy sofisticada. Es un programa de código abierto gratis desarrollado principalmente para permitir navegación Web anónima, pero es además una herramienta de sorteo de censura genial. El Tor Browser Bundle para Windows, Mac OS X o GNU/Linux puede descargarse desde:https://www.torproject.org/download/download.html.en. Si el sitio Web torproject.org está bloqueado, podemos intentar descargarlo escribiendo en el motor de búsqueda favorito “tor mirror” o enviando un correo electrónico a gettor@torproject.org con la palabra “help” en el cuerpo del mensaje.
Cuando hacemos clic en el fichero descargable, el se extrae en el lugar que seleccionamos. Esto puede ser también en una memoria extraíble USB en un Cibercafé. Podemos iniciar Tor haciendo clic en “Start Tor Browser” (debemos asegurarnos de cerrar cualquier instancia de Tor o Firefox que se esté ejecutando). Después de unos segundos, Tor inicia automáticamente una versión especial del navegador Web Firefox con una página de prueba. Si vemos el mensaje verde “Congratulations. Your browser is configured to use Tor ” entonces podemos usar esa ventana para abrir sitios Web bloqueados.
ENVIANDO TODO EL TRÁFICO DE INTENRNET A TRAVÉS DE UN TÚNEL SEGURO
Si deseamos acceder a otros servicios de Internet, por ejemplo a un cliente de correo electrónico como Outlook o Thunderbird, una forma fácil y segura es usar una red privada virtual (VPN). Una VPN cifra y envía todo el tráfico de Internet entre nuestra computadora y otra computadora, así que no solo hará que todo el tráfico de Internet parezca similar ante una “escucha” sino que el cifrado hará ilegible el tráfico del túnel a cualquiera que esté escuchando en el camino. Mientras estamos conectados a una VPN el ISP no verá nuestro contenido, pero podrá ver que nos estamos conectando a una VPN. Como muchas compañías internacionales usan la tecnología VPN para conectar de forma segura sus oficinas remotas, es poco probable bloquear está tecnología completamente.
Hotspot Shield
Una forma fácil de empezar con VPN es usando Hotspot Shield. Hotspot Shield es una solución VPN gratis (pero es comercial) disponible para los sistemas operativos Windows y Mac OS X.
Para instalar Hotspot Shield debemos descargar el programa desde https://www.hotspotshield.com. El tamaño es de 6MB, así que en una conexión dial-up lenta tomará para descargarlo 25 minutos o más. Para instalarlo, hacemos doble clic en el fichero descargado y seguimos los pasos del asistente de instalación.
Una vez que la instalación esté completa, iniciamos Hotspot Shield desde el ícono en el escritorio o por la vía “Programas > Hotspot Shield”. Una ventana de navegación se abre con una página de estado que muestra varias etapas de conexión como “Authenticating” y “Assigning IP address”. Una vez que nos conectemos, Hotspot Shield nos redirecciona a la página de bienvenida. Clic en “Start” para comenzar a navegar.
Para parar Hotspot Shield, clic derecho en el icono de la barra de tareas y seleccionamos “Disconnect/OFF”.

Fuente: http://r4z0rbl4ck.wordpress.com/2013/02/17/bypassing-es_-introduccion-rapida/

Honeypot, Firewall, IPS HomeMade con Powershell.

Publicado por Unknown en 13:41 miércoles, 21 de mayo de 2014 Etiquetas: , , , , 0 comentarios
En el artículo de hoy vamos a trabajar con algunos conceptos básicos de Powershell.

El Script que os presento se basa en el registro del firewall de un equipo Windows 7 o superior.
Como vimos en esta entrada, es necesario configurar el detalle del log del servicio de firewall.

La idea del script es trabajar un poco con Powershell, y ya de paso, proporcionar un servicio a nuestra infraestructura.
Pido perdón de antemano a los expertos en Powershell o programación en general ya que soy de sistemas, y la programación para mi es un mundo desconocido.

El script nos pregunta por pantalla por un número de puerto. Con el número introducido levantamos un socket a la escucha para ese puerto. Esto actuaria como Honeypot, ya que es un puerto para un servicio que realmente no estamos ofreciendo. La idea es que en un ambiente de red local, dejar ese puerto a la escucha, por ejemplo un servidor SSH en el puerto 22, siempre y claro que no lo usemos legítimamente. Mediante el log del firewall de Windows voy a detectar intentos de conexión, que voy a permitir. Cada cierto tiempo incluiré una regla en el firewall denegando todas las conexiones entrantes para la ip que se ha intentado conectar al puerto emulado. Si publicamos ese honeypot hacia internet tendríamos protección ( ip baneada) solo para ese servidor. En el caso de tener varios servidores Windows ofreciendo servicios públicos, deberíamos añadir la capacidad de replicar esta regla al resto de servidores. También se me ocurre que mediante orquestación y automatización mediante SYSTEM CENTER 2012 Orchestrator podríamos lanzar un comando ssh hacia nuestro Firewall perimetral no-windows ( o cualquier sistema de comunicación que nos ofrezca el firewall) para banear la ip en todos los servicios expuestos, sean Windows o cualquier otro.

Este es el script primera versión, que aunque operativo, tiene mucho que mejorar.


[void] [System.Reflection.Assembly]::LoadWithPartialName("System.Drawing") 
[void] [System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms") 

$objForm = New-Object System.Windows.Forms.Form 
$objForm.Text = "Baneador IP.kinomakino"
$objForm.Size = New-Object System.Drawing.Size(300,200) 
$objForm.StartPosition = "CenterScreen"

$objForm.KeyPreview = $True
$objForm.Add_KeyDown({if ($_.KeyCode -eq "Banear") 
    {$x=$objTextBox.Text;$objForm.Close()}})
$objForm.Add_KeyDown({if ($_.KeyCode -eq "Cancelar") 
    {$objForm.Close()}})

$OKButton = New-Object System.Windows.Forms.Button
$OKButton.Location = New-Object System.Drawing.Size(75,120)
$OKButton.Size = New-Object System.Drawing.Size(75,23)
$OKButton.Text = "OK"
$OKButton.Add_Click({$x=$objTextBox.Text;$objForm.Close()})
$objForm.Controls.Add($OKButton)

$CancelButton = New-Object System.Windows.Forms.Button
$CancelButton.Location = New-Object System.Drawing.Size(150,120)
$CancelButton.Size = New-Object System.Drawing.Size(75,23)
$CancelButton.Text = "Cancela"
$CancelButton.Add_Click({$objForm.Close()})
$objForm.Controls.Add($CancelButton)

$objLabel = New-Object System.Windows.Forms.Label
$objLabel.Location = New-Object System.Drawing.Size(10,20) 
$objLabel.Size = New-Object System.Drawing.Size(280,20) 
$objLabel.Text = "Introduce el puerto que quieres monitorizar:"
$objForm.Controls.Add($objLabel) 

$objTextBox = New-Object System.Windows.Forms.TextBox 
$objTextBox.Location = New-Object System.Drawing.Size(10,40) 
$objTextBox.Size = New-Object System.Drawing.Size(260,20) 
$objForm.Controls.Add($objTextBox) 

$objForm.Topmost = $True

$objForm.Add_Shown({$objForm.Activate()})
[void] $objForm.ShowDialog()

$x = $objTextBox.Text
#Toda la parte de arriba es para mostrar el textbox y almacenarlo en $x

$Honeypot = [System.Net.Sockets.TcpListener][int]$x;
$Honeypot.Start();
#Abre el socket con el puerto indicado en el Textbox
while($true)
{
sleep -s 300
#comprueba cada 5minutos si ha habido intento de conexión mediante el log del Firewall.

$logPath="C:\Windows\System32\LogFiles\Firewall\pfirewall.log"
$blackListPath= "C:\Windows\System32\LogFiles\Firewall\blacklist.txt"
$blacklist = Get-Content $blackListPath

$header=(Select-String -Path $logPath -Pattern "^#Fields").Line.Split(" ") | select -Skip 1
$ips=Get-Content $logPath | select -Skip 4 | 
ConvertFrom-Csv -Delimiter " " -Header $header |
where {$_."dst-port" -eq $x -and $_.path -eq "RECEIVE" -and $blacklist -notcontains $_."src-ip"} |
select -ExpandProperty "src-ip" 
$ips
$ips | Add-Content $blacklistPath
foreach ($ip in $ips){
  New-NetFirewallRule -DisplayName "Ip Bloqueada $ip" -Direction Inbound -Action Block -RemoteAddress $ip
   #si encuentra algún registro contra el puerto indicado, envia un correo.
                 $smtpserver = “smtp.gmail.com”
                 $msg = new-object Net.Mail.MailMessage
                 $smtp = new-object Net.Mail.SmtpClient($smtpServer )
                 $smtp.EnableSsl = $True
                 $smtp.Credentials = New-Object System.Net.NetworkCredential(“nick gmail sin @gmail, “clavegmail”); 
                 $msg.From = “correo origen
                 $msg.To.Add(”correo destino”)
                 $msg.Subject = “Ip baneada”
                 $msg.Body = “La ip $ip ha sido baneada por intento de conexión al honeypot”
                 $smtp.Send($msg)
                      }
                  
                        }
            
Para poder utilizarlo debes activar el detalle en el firewall de Windows así. En el mismo directorio debes crear un fichero vacio llamado blacklist.txt. Cambia los datos del correo y listo.

Una vez ejecutado comprobamos que el puerto introducido está a la escucha: netstat -ano


Ahora desde un equipo realizo un intento de conexión al puerto indicado, en este caso un scan completo.
Si todo ha ido bien, y esperando 5 minutos al menos, volvemos a realizar el scan y vemos que estamos baneados por el firewall.


En las reglas del Firewall de Windows compruebo que se ha creado la regla.


En unos segundos el sonido del correo en el móvil me indica que esto también ha ido bien.

En el fichero Blacklist almacenaremos las IP baneadas, que podemos usar como fuente de información en el supuesto de tener un firewall perimetral, por ejemplo pasándolo por ssh en un array de IP Baneadas.

Parsear el log para detectar el scan de puertos hubiera sido factible, pero si solo tengo publicado un servicio ( puerto) de este server no tendría ninguna manera, por eso lo del honeypot.

El lenguaje es bastante sencillo, y es muy fácil empezar a programar en Powershell. Este script lo he hecho mirando por la world wide web y con la ayuda de Dirk74 (technet forum).

Espero poder trabajar mas en esta idea, y añadir alguna mejora y capacidades nuevas, en próximas entregas de Inseguros lo intentaré.

Como siempre, espero que os guste, y gracias por leerme !!!

 Fuente: http://kinomakino.blogspot.com/2013/12/honeypot-firewall-idp-homemade-con.html
Suscribirse a: Entradas (Atom)
Powered by Bad Robot
Helped by Blackubay