29/3/07

Network Security Podcast

Debo confesar que soy bastante nuevo en este tema de los podcast. Le he tomado interes recientemente, como una forma de practicar escuchando el inglés, que dicho sea de paso, para mi es una necesidad, y en general, con las oportunidades que esta abriendo el TLC en esta región creo que es una necesidad para todos, especialmente para los involucrados en el área tecnológica.



En base a lo anterior, he estado buscando lugares donde puedaba bajar archivos mp3, para cargarlos en la Pocket PC, o en el MP3 player (lamentablemente no puedo decir que en el ipod, pero al menos es un reproductor mp3 bastante funcional).


El día de hoy, encontre un sitio muy bueno, que puede ser de interes, para aquellos interesados en la seguridad de redes, se trata de Network Security Podcast, estos podcasts, son generados por un profesional de la seguridad (Martin McKeay), y pues se ve que se lo ha tomado en serio, una característica que es lo que más me intereso, es que en sus programas entrevista a personalidades de la seguridad, además, comenta sobre noticias y temas de actualidad.

Los podcast son de muy buena calidad, previamente experimente con podcast de algunas otras fuentes, pero la calidad no era muy buena, el contra de esto es que los archivos son grandes ya que esta codificados a 128k, el tamaño oscila entre los 30 y 40 Mb por Podcast, esa es una limitante, pero la calidad es muy buena.


Para los interesados en estar al día en el tema de la seguridad, practicar un poco la comprensión del ingles, y aprovechar bien el tiempo en los atascos de tráfico, colas etc, esta es una buena opción.


Si estas interesado en estos temas, o conoces podcast de tecnología en español o en ingles, tus comentarios son bienvenidos.

28/3/07

Wireshark University Announced

Hace algunos días, inice un tutorial sobre Wireshark, esta mañana visitando el sitio oficial de esta herramienta, me encuentro con el anuncio de Wireshark University!, parece que se me adelantaron en la idea :-), bueno, no es que mi tutorial pretenda estar al nivel de esta oferta educativa de Wireshark, de hecho, creo que demuestra que este software a llegado a un nivel de madurez tal, que genera la necesidad de una capacitación más formal.

Esta universidad esta fundada por Laura Chappell, muy conocida y respetada en el ambiente de análisis de paquetes y protocolos, Gerald Combs, el autor original de Ethereal (ahora Wireshark), John Bruno, cofundador de CACE Technologies (el lugar donde ahora trabaja Gerald Combs), y Loris Degioanni, confundador de CACE y también creador original de WinPcap (componente fundamental para que Wireshark pueda capturar paquetes en Windows).

De acuerdo con el sitio, además de cursos estan trabajando en una certificación WSCNA (Wireshark Certified Network Analyst), además para mediados de este año estan planificando la publicación de una revista FIN Bit Magazine, también estan planificando entrentamiento presencial y para esto han hecho una alianza con Executrain, así que probablemente en un futuro próximo tengamos estos cursos disponibles en Guatemala (y en otros paises de centro america), al menos el caso de Guatemala aparece listado, asi que eso da alguna esperanza.

Lamentablemente a diferencia del software que es open source, los cursos no lo son, cada curso (de un total de 4) de autoestudio esta disponible a un costo de $300, pero esta disponible una muestra de uno de los cursos (estoy pensando bajarla el fin de semana ya que son 74 Mb).

Así que si te interesa incorporar esta herramienta a tu arsenal de soporte, y tu presupuesto lo permite, Wireshark University te espera.

27/3/07

Vyatta, el fin de los Routers Cisco?


Durante los ultimos 2 años, he tomado mucho interes por software y herramientas open source, especialmente orientadas a redes, pero pocas veces el descubrimiento de un paquete open source había despertado mi interes de la manera que lo ha hecho Vyatta, un Router Open Source, que pretende ser para el mundo de los routers, lo que Red Hat ha sido para Linux, o lo que Asterisk ha sido para la telefonía IP, es decir, proporcionar software open source de calidad comercial.

Dicho lo anterior, obviamente el titular de este post es sensacionalista y para todos aquellos con una buena base de equipo Cisco instalada, definitivamente no hay por que preocuparse, sin embargo, considero que este software tiene mucho potencial. Aun no tengo la oportunidad de instalarlo y probarlo, espero hacerlo en los proximos días para poder explorar sus bondades.

Porque me ha llamado tanto la atención este software?, bueno, despues de 9 años, trabajando con routers Cisco, se que uno de los mayores "issues", con estos routers al menos en mi País, es el costo, asi que la posibilidad de tener un router con muy buenos features, me parece extraordinario y como comente antes, estoy considerando seriamente la instalación y prueba de uno de estos sistemas.

En cuanto al software en si, Vyatta dispone de una versión gratuita (denominada Community Edition) para la cual no brindan soporte, y unicamente se pueden actualizar parches y fixes cada 6 meses (esta es una limitante para muchas empresas, pero creo que no tanto en nuestro medio), también hay una versión comercial proffesional y enterprise por $497 y $ 647 (suscripciçon de 1 año) que incluye soporte y actualizaciones.

Este router, soporta interfaces ethernet 10/100/1000 e interfaces T1/E1 (para enlaces WAN), soporta los protocolos de ruteo más comunes (OSPF, BGP-4, RIPV2 y rutas estaticas), incluye un Firewall y software para VPNs y NAT, es administrable via SNMP, configurable via línea de comandos o vía http, y por si fuera poco, también permite analizar el tráfico que pasa por el mediante Wireshark (si ese software del que tanto hablo :-), en resumen luce como un router muy completo.

Pero bueno, es suficiente por hoy, espero pronto tener la oportunidad de instalar este software y con toda seguridad estare comentando sobre el en el futuro.

Alguien consideraría el uso de este software en su red?, si alguien tiene comentarios, seran bienvenidos.

Windows Vista Security


Microsoft ha denominado a Windows Vista, como su sistema operativo más seguro a la fecha, esto le ha tomado 4 años de trabajo y billones de dolares en inversión, será esto suficiente?

Symantec ha estado analizando Windows Vista desde el 2005, y ha publicado algunos resultados, que se pueden encontrar aquí. Le di un vistazo a uno de estos documentos y estan muy interesantes y recomiendo su lectura.

Se trata de Security Implications of Windows Vista, este documento se propone mostrar de manera objetiva y balanceada, el impacto que Vista tendrá en el contexto global de amenanazas a la seguridad. En este documento se describen las mejoras que se han hecho al sistema operativo, resumidas en tres áreas específicas, mitigación de exploits genéricos, integridad del kernel e integridad del sistema y defensas en modo de usuario. Cada una de estas áreas comprende diferentes tecnologías que son descritas en el documento.

Symantec considera las mejoras en seguridad como una evolución más que revolución, derivada de trabajos hechos en sistemas operativos open source, como Linux y OpenBSD. También indica que la mayoria de mejoras estaban disponibles en el service pack 2 de Windows, aunque en muchos casos no estan habilitadas por defecto.

En el área de redes, Microsoft reescribio la pila de protocolos de seguridad, un proyecto que Symantec describe como ambicioso, ya que el desarrollo de una pila de protocolos toma muchos años para madurar y ser confiable, durante sus investigaciones con versiones beta, encontraron tres condiciones que permitian ataques de denegación de servicio, también tres ataques de red historicos fueron posibles, estas condiciones afirma Symantec que fueron corregidas en la versión final, lo cual desmuestra que se esta en un proceso de mejora, sin embargo predice que nuevas vulnerabilidades van a aparecer dado el volumen del nuevo código.

Entre las conclusiones del estudio, Symantec resalta el hecho de que pese a los esfuerzos de Seguridad, los ataques se han estado moviendo y enfocandose más en vulnerabilidades de aplicaciones web un área en la que Vista no provee mejoras en la seguridad. También se menciona el hecho que nuevas tecnologías, proveen nuevas oportunidades, pero también nuevos riesgos, los sidebars y gadgets de windows, se mencionan como nuevas tecnologías, que potencialmente pueden ser utilizadas con fines malignos.

Aplicaciones de terceros también son mencionados como punto debil del sistema operativo, ya que estas aplicaciones, pueden no tener el mismo nivel de desarrollo seguro que el softwarte desarrollado por microsoft, esto al menos a corto o medio plazo.

Finalmente, Symantec hace notar algo muy importante, Vista no constituye en si misma una solución de seguridad, es más bien la versión más segura de Windows a la fecha, por lo que los usuarios empresariales y consumidores en general, segiran enfrentando amenazas para las cuales Microsoft Windows Vista no es suficiente.

En resumen, recomiendo la lectura de este documento de 15 páginas, puede ser de gran ayuda, como introducción a las mejoras de Seguridad de Windos Vista, además de este hay otros documentos muy interesantes los cuales planeo leer en los proximos días, todos orientados a el impacto de Windows Vista en el área de seguridad.

26/3/07

Wireshark 101 - Como capturar trafico


Con este post, estoy dando inicio a lo que se podría llamar un tutorial sobre Wireshark, como he comentado en otros posts, Wireshark es un analizador de protocolos open source y es una de mis herramientas favoritas, que además es de suma utilidad para la resolución de problemas de redes.

Antes que nada, una palabra de advertencia, la captura de tráfico en una red puede ser ilegal, o puede estar prohibida por las reglas de seguridad de la empresa, asi que antes de conectar un analizador de tráfico a cualquier red, favor asegurarse que cuenta con el permiso respectivo y que esta conciente de las implicaciones que puedan derivarse de esta actividad, para efectos de este tuturial, lo mejor es establecer un laboratorio aislado sin conexión a la red de la empresa, o hacerlo desde una red casera.



Una vez hecha la advertencia, el primer aspecto que me gustaría tratar, es sobre como capturar tráfico, especificamente donde ubicar el wireshark para poder capturar el tráfico que se desea ver en la red, para ello estaré haciendo referencia a la siguiente figura

Supongamos que queremos capturar (desde una laptop), el tráfico entre un servidor y la PC de un usuario que esta experimientando problemas para acceder a dicho servidor. Lo más probable es que esten conectados a través de un switch como se muestra en la figura 1a, si este es el caso, al conectar la laptop, no podremos ver el tráfico entre la PC y el Servidor, unicamente será posible ver el tráfico destinado a la laptop y tráfico de Broadcast, para sobreponernos a esto tenemos tres opciones:


Opción 1 El switch es administrable: En este caso, consultar en la documentación del mismo, como configurar un Port Mirroring, suponiendo que el Servidor esta ubicado en el puerto 1, la PC en el puerto 2, y la laptop con wireshark en el puerto 3, debería configurarse el port mirroring para copiar los puertos 1 y 2 en el puerto 3. Como configurar el port mirroring depende de cada fabricante, lo ideal es consultar el manual del switch, o en la página web del fabricante, en el caso de Cisco, el port mirroring se le denomina SPAN (Switch Port Analizer).

Opción 2 El switch es administrable pero no soporta port mirroring, o no es administrable: En este caso, la opción que tenemos es conectar un pequeño hub, como se ilustra en la figura 1b, en este caso, la idea es conectar el hub a un puerto del switch y conectar la PC, el servidor y la laptop al hub, en este caso si se podrá ver todo el tráfico ya que en un hub, el tráfico en cada puerto es visible en todos los demás puertos. Las desventajas de esto, es que el hub no funciona a full duplex, además es muy probable que la velocidad sea a 10 mientras que los puertos del switch funcionen a 100 o aún a 1000, así que si esta es una red en producción el acceso al servidor se puede ver severamente afectado para el resto de usuarios, asi que usar esta opción con mucha precaución y solo despues de haber considerado el impacto que tendrá en los usuarios.

Opción 3 Utilizar un network tap: Esta pienso que es la poción ideal, un network tap, es un dispositivo pasivo que se puede insertar en la red y permite ver el tráfico que esta pasando a través de la misma, por ser un dispositivo pasivo no interfiere en ninguna manera en la configuración, incluso en caso de falla del tap el tráfico sigue pasando por la red. Existen diferentes tipos de taps, pero en esencia la función es la misma, permitirnos visibilidad del tráfico. Aunque esta es la opción ideal, es probable que sea la más dificil de conseguir, sin embargo, si es posible, vale la pena conseguir algunos taps y tenerlos a la mano para cuando se presenten esos problemas extraños en la red, para aprender más sobre taps, y ver lo que es posible con estos, recomiendo visitar la página de algunos fabricantes, normalmente se encontraran descritas las diferentes tecnologías de taps, y como utilizarlos eficientemente, entre los fabricamentes de taps puede mencionar, Datacom Systems, Netoptics, y Network Critical.

Estos son solo algunos de los escenarios, pero en general la idea es la misma, en un hub se puede observar todo el tráfico de la red (sin embargo es muy poco comun hoy en día encontrar una red basada unicamente en hubs), en un switch es necesario configurar port mirroring, y con un tap se pueden establecer puntos de monitoreo permanentes.

23/3/07

Top 100 Network Security Tools



Fyodor, el autor de nmap una de las herramientas de seguridad más populares (y favorita de hackers alrededor del mundo), publica periodicamente una lista del top 100 de herramientas de seguridad, esto lo hace consultando entre los usuarios de la lista de correo nmap-hackers, de acuerdo con Fyodor, en el 2006 3,243 personas respondieron a su petición permitiendole subir el listado de herramientas a 100 (originalmente era el top 50, despúes el top 75).

El listado del top 100 se puede ver en el sitio sectools.org hay muchas herramientas interesantes en este listado y recomiendo fuertemente darle un vistazo, la herramienta más popular, es Nessus, un detector de vulnerabilidades gratuito (previamente era open source, ahora es closed source, pero disponible gratuitamente para uso sobre una red clase C).

En segundo lugar esta Wireshark/Ethereal (mi favorito), esta si es una herramienta open source, igualmente el tercer lugar que corresponde a Snort, un detector de intrusos que es el favorito de la industria en el apartado de detección de vulnerabilidaes.

La lista sigue, y vale la pena darle un vistazo, las herramientas también se pueden ver clasificadas según su utilidad, por ejemplo sniffers, wireless, escaneo de vulnerabilidades, web scanners, y otras. La mayoria de las herramientas son open source, otras son comerciales, algunas funcionan en windows, la mayoría en Linux.

Nuevamente recomiendo darle un vistazo a estas herramientas, con seguridad podrás encontrar algo de utilidad que puedas utilizar para mejorar la seguridad de tu red.

22/3/07

Vale la pena un switch administrable?


Hace algún tiempo, un amigo me pregunto que Switch le podía recomendar para su red, mi respuesta fue que se asegurara de obtener un switch administrable, sin embargo, mi consejo no fue seguido, primordialmente por razones de costo, a pesar de eso, sigo pensando que es mucho mejor invertir en un switch administrable, ya que reporta muchos beneficios.

Porque invertir $1000 o más, en un switch si puedo obtener las mismas funciones en un switch de $30?

Obviamente, la respuesta depende de muchos factores, por ejemplo, si el switch es para una red en el hogar, con 3 o 4 puntos, adelante, un switch de $30 o menos, es lo ideal, sin embargo, para una red de oficina, definitivamente no es lo recomendado, muchas veces estos switchs baratos, no tienen la capacidad de manejar una carga alta de usuarios, he sabido de muchos switches de este tipo, que se recalientan y empiezan a dar problemas intermitentes, en resumen, para un alto volumen de usuarios, este tipo de switches no serán más que un dolor de cabeza continuo.
Sin embargo, la razón principal, por la que recomiendo comprar switches administrables, es porque estos me permiten (como su nombre lo indica) una mejor administración, me permiten ver que esta pasando en la red, básicamente estar tomando el pulso de la red y reaccionar mejor cuando se presentan problemas.

Un switch administrable, también permite implementar tecnologías como VLANs que ayudan a optimizar el tráfico, mejorar la seguridad, en resumen se tiene la flexibilidad para reaccionar ante el crecimiento de la red, y mejorar la confiabilidad y disponibilidad de su red.

Otra característica importante, es la posibilidad de configurar un puerto para analizar el tráfico de otros puertos, esta característica conocida como Port Mirroring (o SPAN en switches Cisco), permite hacer la copia del tráfico de un puerto en otro puerto, de esta manera se puede investigar con un analizador de protocolos algún problema específico con una PC, o un servidor, existen otras maneras de hacer esto, pero requieren la compra de equipo adicional.

Existen muchas más razones para comprar switches administrables, también existen diferencias entre una marca y otra, el mensaje que quiero dejar, es que en cuestión de switches, el costo no debe ser el parámetro más importante, y aun para una empresa pequeña, los beneficios de contar con switches administrables, hacen que la inversión valga la pena, así que con un poco de investigación, se puede armar un buen caso ante la gerencia, para que nos aprueben ese switch, que puede hacer la diferencia entre el caos continuo, o una administración más pro activa de nuestra red.

Algunos lugares, para obtener información sobre las virtudes de los switches, se puede encontrar directamente con los fabricantes, mi recomendación es empezar en:

Me interesa conocer tu opinión, en tu empresa, usan switches administrables?, es difícil convencer a la gerencia de la importancia de estos switches?, o realmente no te parece que existe algún beneficio real en un switch administrable?

Update: Dic 2016
Si te interesa aprender un poco sobre conceptos fundamentales de redes te invito al curso Fundamentos de Redes, te puedes inscribir en el siguiente link:

Curso fundamentos de redes

20/3/07

Internet Security Threat Report Volumen XI

El día de ayer 19 de Marzo, se publico el volumen XI del Internet Security Threat Report, este es un resumen del estado actual de amenazas en Internet, recopilado en períodos de 6 meses. Este ultimo reporte corresponde al periodo de Julio a Diciembre del 2006.

El documento esta disponible gratuitamente en el sitio de Symantec, y no es necesario registrarse para obtenerlo, es un documento muy valioso ya que revela estadísticas sobre los ataques, vulnerabilidades y amenazas más comunes en la actualidad, y las tendencias sobre amenazas que se pueden esperar en un futuro próximo.

Además del reporte completo (104 páginas), esta disponible un resumen, con los hallazgos claves y tendencias futuras (22 páginas), también se pueden obtener los 10 reportes anteriores, que en conjunto ayudan a observar como los ataques han ido evolucionando a lo largo de los últimos años.

El documento principal, también tiene algunos anexos interesantes, uno de ellos con prácticas de seguridad recomendadas, que provee un checklist de medidas importantes a tomar para proteger la confidencialidad, integridad y disponibilidad de su información.

El reporte puede ser obtenido aquí:

http://www.symantec.com/enterprise/theme.jsp?themeid=threatreport

2/3/07

Ethereal ahora es Wireshark










Muchos de ustedes probablemente han oido hablar de Ethereal, un analizador de protocolo open source, es de hecho un software de mucha utilidad ya que incluye funcionalidad digna de un analizador comercial que costaría miles de dolares.



Sin embargo, Ethereal cambio de nombre, ahora es Wireshark, y esto desde mayo del 2006 cuando Gerald Combs, el creador original de Ethereal, cambio de trabajo y no le permitieron llevarse el nombre ethereal, el comunicado oficial lo puedes encontrar aqui.



Lo importante de esta nota, es que si usas o estas interesado en usar el ethereal, hay que cambiarse a Wireshark, y es que no es solo un cambio de nombre, las actualizaciónes del software unicamente se estan dando en wireshark, ethereal aun esta disponible, sin embargo como puede verse en su pagina web, la ultima versión disponible es la 0.99.0 mientras que Wireshark ha seguido progresando, la ultima versión es la 0.99.5 asi que si deseas mantenerte actualizado, wireshark es la unica opción.



El sitio oficial, para obtener nuevas versiones, documentación y conocer lo que sucede alrededor de wireshark, es www.wireshark.org.



Más adelante estare publicando información sobre como sacarle provecho a este software, donde ubicarlo para poder ver el trafico, como escribir filtros de captura o de despliegue, y algunos usos interesantes de este software.