Archive for internet
Seguridad Sistemas y Redes (8)
Posted by: | CommentsCadenas identificativas y otros recursos 4
Complementando a las herramientas administración y servicios de internet, existen otras técnicas que permiten detectar maquinas en una red. A este tipo de técnicas junto con las herramientas administrativas se les suele conocer con el nombre de fingerprinting, que viene a significar “huella identificativa”. Esta huella identificativa suele ser para un atacante toda la información de la implementación de pila TCP/IP, esta información permite descubrir de forma bastante fiable el sistema operativo que esta ejecutando la maquina, esto junto a otras informaciones permiten averiguar las versiones de los servicios que utiliza el servidor, con lo que se puede consultar si existen vulnerabilidades y herramientas para aprovecharse de las mismas.
La mayoría de las técnicas utilizadas para la obtención de huellas identificativas están basadas en la información de la pila del protocolo TCP/IP. El protocolo TCP es un protocolo de la capa de transporte que asegura que el envió de datos sea correcto, es decir que la información recibida se corresponda con la información enviada.
A la hora de realizar una búsqueda de sistemas, podemos distinguir quizás dos partes, la primera seria simplemente detectar si un dispositivo esta activo en una red y la segunda seria examinar las características de dicho dispositivo, como servicios en funcionamiento, puertos abiertos en el dispositivo y sistema operativo que utiliza el mismo. Para realizar estos tipos de análisis se pueden utilizar dos tipos de análisis:
- Análisis activo: Un análisis activo es aquel que envía información a la red para que los sistemas conectados a la misma, detecten dicha información y respondan en base a dicha información. Según la información obtenida de las respuestas de los diferentes sistemas el programa de análisis utilizado o nosotros mismos podemos realizar las deducciones pertinentes.
- Análisis pasivo: A diferencia del anterior tipo de análisis, en este tipo de análisis la maquina que quiere realizar el análisis no envía información a la red, sino que “escucha” la información que viaja por la misma y determina los resultados en base a la captura de dicha información. Lógicamente este tipo de análisis es mas difícil de detectar por parte de las maquinas analizadas.
Normalmente un intruso después de haber obtenido información de un sistema, intentara un intento de acceso utilizando técnicas de escaneo, estas acciones tendrán como finalidad conocer los servicios que tiene el sistema como ftp, web, telnet, mail, etc… Estos servicios se interpretan como puertos activos o abiertos en el sistema. La función de saber que puertos están disponibles por parte del intruso es la de conocer dichos puertos, ya que suelen ser las puertas de entrada al sistema. Si el intruso llegar a conocer el sistema operativo y las versiones de los servicios utilizados, es posible que pueda documentarse sobre alguna vulnerabilidad, herramienta o exploit que permita el acceso a la maquina atacada.
Los puertos disponibles van desde el 1 hasta el 65535 que se pueden clasificar de la siguiente forma:
Puertos estándar: su rango oscila entre el 1 y 1024.
Puertos registrados: su rango oscila entre el 1025 hasta el 49151
Puertos dinámicos: su rango oscila entre el 49152 y el valor 65535
La formas de analizar redes a través de paquetes tcp o udp, se suelen englobar dentro de los análisis activos. Ya que suelen enviar paquetes para determinar que puertos están activos o a la espera de recibir una conexión. Este hecho de cierta forma favorece al encargado de la seguridad del sistema, ya que se puede decir que este tipo de análisis “hacen mucho ruido”, y un sistema de detección de intrusos seria capaz de determinar el ataque y de donde proviene. Aun así ciertas herramientas utilizadas por intrusos son capaces de modificar el ataque para que su detección sea mas problemática por el ids (“sistema de detección de intrusos”), siendo estos distribuidos de la siguiente forma:
Análisis lentos: el análisis realizado de esta forma consiste en demorar o retardar el tiempo de envió entre paquetes aumentando los tiempos de espera, el análisis durara mucho mas tiempo, pero por otra parte el ids no tendrá claro si es un ataque o un acceso normal.
Análisis de puertos aleatorios: otra forma de realizar este tipo de ataque para que el ids no lo detecte es realizar el análisis de los puertos aleatoriamente y no siguiendo un orden secuencial, que podría “despertar” sospechas al ids, este tipo de ataque se suele combinar con el análisis lento, por parte del atacante su análisis durara mucho mas tiempo, pero no se notara tanto en la maquina atacada.
Análisis distribuidos: Este tipo de análisis consiste en realizar el análisis utilizando varias maquinas distintas, de esta forma y combinando el análisis con los dos anteriores, es prácticamente imposible que el ids detecte el análisis.
Análisis a través de proxy: este tipo de análisis lo realiza la maquina atacante utilizando un proxy, es decir una maquina intermedia que hace de proxy entre la maquina atacada y el atacante, así aun cuando se descubra el ataque se obtendrá información sobre el proxy y no sobre la maquina atacante.
Análisis fragmentación de paquetes: en análisis de la maquina atacada se realiza enviando paquetes lo suficientemente pequeños para así dividir la información de cabecera del paquete. Así el ids es posible que no sea capaz de reconstruir el paquete fragmentando y por tanto su identificación o detección se vuelve errónea, este tipo de análisis también puede afectar a los cortafuegos o “firewalls”. Como es lógico los paquetes son reconstruidos por la maquina atacada al llegar a la misma. La fragmentación se suele hacer generando trozos pequeños de 8 bytes, de esta forma los flag de cabecera TCP no van en el primer paquete o se envía un paquete fragmentado, que el segundo fragmento tiene desplazamiento negativo, con lo cual al unirlos en el destino se sobrescribe la información del mismo.
Análisis por cebos o señuelos: El envió de señuelos consiste en enviar paquetes a la maquina atacada con direcciones ip falsas y entre una de estas direcciones se envía la verdadera, con lo que el ids cree que no es un ataque y resulta muy difícil que lo detecte.
Seguridad Sistemas y Redes (7)
Posted by: | CommentsCadenas identificativas y otros recursos 3
Telnet
Telnet (TELecommunication NETwork) es un protocolo que se utiliza para conectar de forma remota a través de una red con otra maquina y manejarla como si se estuviera sentado en la propia maquina. Aparte de recibir el nombre de Telnet el protocolo, también se denomina al programa cliente para conectar al servidor de la misma forma. El puerto utilizado normalmente por el protocolo y sus programas asociados es el numero 23.
El programa cliente permite normalmente acceder en modo consola o terminal, no se utilizan gráficos. Se solía utilizar normalmente para configurar, arreglar o consultar datos de forma remota. Uno de los principales problemas de este protocolo y sus programas asociados, es en si la comunicación que se realiza, ya que esta no es cifrada y por tanto son transmitidas como texto plano, así que si algún intruso consiguiera realizar un sniffer (fisgón), conseguiría fácilmente las contraseñas y nombres de usuarios de la personas que se conecten utilizando este servicio.
Actualmente si se utiliza es conveniente realizar una conexión cifrada SSH, la cual permite tener mas privacidad ante ataques de escuchas de red. Telnet funciona en un entorno de cliente/servidor, lo que significa que el equipo remoto es el que actúa como servidor y por tanto se ha de configurar para ello. En sistemas Unix/Linux este servicio es proporcionado por lo que se conoce como un daemon (demonio), El demonio utilizado para este servicio se denomina Telnetd.
Entre los programas cliente mas conocidos para acceder a un servidor y teniendo en cuenta de antemano el propio programa telnet, que por regla general esta incluido en todos los sistemas operativos, los mas famosos programas clientes son mTelnet!, NetRunner, Zoc, y quizás uno de los mas utilizados Putty.
Su forma de utilización básica es muy simple, la sintaxis de la orden es la siguiente:
telnet nombre_maquina_servidor
telnet dirección_ip_maquina_servidor
Una vez se haya realizado la conexión con la maquina servidor, el equipo remoto solicitara un nombre de usuario y contraseña como medida de seguridad, de esta forma el usuario se ha de identificar sobre los usuarios definidos en el servidor o equipo remoto.
los comandos mas usuales que se pueden utilizar son los que se muestran a continuación, aunque se ha de tener en cuenta que al tener acceso de forma remota a la maquina se tendrá a disposición por parte del usuario todos los comandos que el administrador del sistema haya permitido ejecutar sobre este tipo de conexiones.
?
visualiza la ayuda correspondiente al programa.
close
cierra la sesión de telnet
display
muestra información sobre la conexión en pantalla.
logout
cierra la sesión
mode
permite cambiar entre los modos de trasferencia ASCII y BINARIA.
open
Abrir otra conexión a la actual.
quit
Cierra la aplicación de telnet.
set
Cambia la configuración de la conexión.
unset
Cargar la configuración de conexión predeterminada.
Los motivos de seguridad por los que no se recomienda actualmente su utilización en sistemas actuales o modernos, pueden ser las siguientes: las aplicaciones de telnet tienen varias vulnerabilidades descubiertas a lo largo de los años. Otro de los motivos es que no cifra los datos transmitidos, por lo cual un “fisgón” podría intervenir la comunicación y conseguir datos relevantes para la seguridad del sistema, otro motivo es que telnet no tiene un sistema de autentificación que permita asegurar que la comunicación se realiza entre los dos anfitriones deseados y no sobre un tercero que haya interceptado la comunicación.
Seguridad sistemas y redes ( 4 )
Posted by: | CommentsUtilización de herramientas de administración ( 2 )
Host,dig,nslookup
Estos comandos permiten obtener información relativa a los dominios asociados a la organización, así como a las subredes correspondientes. Esta información se obtiene mediante consultas al servicio de nombre de dominios (DNS). Si el servidor que ofrece la información de dominio no esta correctamente configurado, es posible realizar una consulta de transferencia de zona completa, lo que permite obtener toda la información de traducción de direcciones ip a nombres de maquina.
El Domain Name System (DNS) es una base de datos distribuida y jerárquica que
almacena información asociada a nombres de dominio en redes como Internet. DNS es
capaz de asociar a cada nombre de dominio distintos tipos de información, que se
almacena en registros. Los más comunes son los registros de tipo A (que nos indican las
relaciones nombre-IP), CNAME (nombres o alias que tiene esa máquina), MX (servidores
de correo que se deben utilizar para un dominio concreto) y NS (servidores de nombre
asociados), aunque existen otros registros tan curiosos como LOC, que permite introducir
datos sobre la localización geográfica de una máquina sobre la superficie terrestre (latitud
y longitud en grados minutos y segundos) además de otros datos complementarios.
Los usos más comunes son la resolución de nombres, que consiste en la conversión de
nombres de dominio (www.rediris.es) a direcciones IP (130.206.1.2) y la localización de
los servidores de correo electrónico de cada dominio. Otro uso habitual es el proceso de
conversión de direcciones IP (159.237.12.60) a nombres de dominio (www.unav.es),
conocido con el original nombre de resolución inversa.
la sintaxis de los comandos es la siguiente:
host dirección_ip
host nombre_dominio
Las opciones que se pueden utilizar son las siguientes:
-a
Visualiza todos los registros de DNS para el nombre especificado
-C
Visualiza los registros SOA (Start of Authority, los registros contienen identificadores del servidor de nombres con autoridad sobre la denominación y su operador, así como diversos contadores que regulan el funcionamiento general del sistema de nombres por dominio para la denominación)
-v
resultado detallado por el anfitrión
-d
equivalente a –v
-l
lista de todos los host alojados en un dominio
-W
especifica cuanto tiempo debe esperar una respuesta
-t
se utiliza para seleccionar el tipo de consulta a realizar. CNAME,SOA,NS,etc..
-T
utiliza tcp en vez de utilizar udp
la sintaxis de los comandos es la siguiente:
dig [@servidor DNS] nombre [opciones] [tipo]
El comando dig (Domain information Groper) permite realizar consultas a los servidores DNS, por lo que es útil para comprobar si el DNS esta correctamente configurado en la maquina. Permite tanto el mapeo de nombres a IP’s como el mapeo inverso de IP’s a nombres. Solo se utiliza para internet ya que no consulta el archivo /etc/host del sistema.
los parámetros especificados son los siguientes:
[@servidor DNS]
nombre o ip del servidor DNS al que se quiere dirigir la consulta. si no se utiliza el parámetro se utilizan los servidores ubicados en el archivo /etc/resolv.conf
nombre
nombre de dominio cuya ip se quiere resolver.
[tipo]
tipo de consulta a realizar siendo los valores posibles los siguientes:
A – IP del servidor que aloja al dominio (por defecto)
NS – servidores DNS
MX – servidores de correo
ANY – todas las opciones anteriores
AAAA – IP en IPV6 (si se tiene)
Ejemplos del comando dig:
mapeo de nombres a IP’s
$ dig telefonica.net ;; ANSWER SECTION: telefonica.net. 10356 IN A 213.4.130.95
mapeo inverso de IP’s a nombres
$ dig -x 127.0.0.1 ;; ANSWER SECTION: 1.0.0.127.in-addr.arpa. 0 IN PTR localhost.
$ dig -x 213.4.130.95 ;; ANSWER SECTION: 95.130.4.213.in-addr.arpa. 60809 IN PTR www.telefonica.net.
servidores DNS de un dominio
$ dig telefonica.net. ns ;; ANSWER SECTION: telefonica.net. 28800 IN NS dns2.terra.es. telefonica.net. 28800 IN NS dns1.terra.es. ;; ADDITIONAL SECTION: dns2.terra.es. 28714 IN A 213.4.141.1 dns1.terra.es. 28714 IN A 213.4.132.1
la sintaxis de los comandos es la siguiente:
nslookup
nslookup nombre.del.host
nslookup nombre.del.host –nombre.del.servidor
Es una herramienta que permite consultar un servidor de nombres y obtener información relacionada con el dominio o host y así diagnosticar posibles problemas de configuración que pudieran haber surgido en el DNS.
Si se utiliza sin ningún tipo de argumento el comando muestra el nombre y la ip del servidor de nombres primario y presenta un prompt propio para realizar consultas.
Es posible utilizar el tipo de consulta a realizar utilizando el argumento set de la siguiente forma:
set type=mx
obtiene información relacionada con los servidores de correo de un dominio.
set type=ns
obtiene información del servidor de nombres relacionado al dominio.
set type=a
obtiene información de un host de la red. modo de consulta predeterminado.
set type=soa
muestra la información del campo soa.
set type=cname
muestra información relacionada con el alias.
set type=hinfo
muestra siempre y cuando este disponible información sobre el material y el sistema operativo del host.
Para salir del comando nslookup se ha de teclear la opción exit.
Seguridad Sistemas y Redes ( 3 )
Posted by: | CommentsUtilización de herramientas de administración ( 1 )
Como es lógico, cualquier atacante que pretenda atacar nuestro sistema, ha de tener conocimientos sobre una serie de herramientas que le permitan obtener información sobre el sistema que esta atacando en busca de alguna debilidad. Las siguientes herramientas permiten obtener información sobre el sistema tanto a nosotros como administradores del sistema como a los atacantes.
Ping
Esta herramienta permite comprobar el estado de la conexión de uno o varios equipos remotos utilizando los paquetes de solicitud de eco y de respuesta del mismo (definidos en el protocolo ICMP), de esta forma es posible determinar si un equipo es accesible a través de la red. También se utiliza para medir el tiempo de respuesta ( latencia ) entre dos equipos remotos.
Como curiosidad el nombre de esta utilidad viene dado por el sonar de los submarinos, que enviaban una señal para esperar el eco de la misma y así obtener información. el protocolo utilizado por ping es ICMP que es el acrónimo de Internet Control Message Protocol, este protocolo es el encargado de controlar si existen errores en la comunicación entre dos redes. Para realizar esta acción ICMP envía un mensaje a un destino concreto y dependiendo de lo que suceda con el mensaje el remitente tendrá una respuesta. La respuesta viene determinada por un campo dentro del paquete ICMP que contiene un valor de respuesta, según el valor se determina el diagnostico y el resultado. Los valores de este campo con su significado pueden ser:
0 Respuesta de eco ( Echo Reply )
3 Destino inaccesible ( Destination Unreachable )
4 Disminución del trafico desde el origen ( Source Quench )
5 Redireccionar , cambio de ruta ( Redirect )
8 Solicitud de eco ( Echo )
11 Tiempo excedido por un datagrama ( Time Exceeded )
12 Problema de parámetros ( Parameter problem )
13 Solicitud de marca de tiempo ( Timestamp )
14 Respuesta de marca de tiempo ( Timestamp Reply )
15 Solicitud de información ( Information Request ) – obsoleto
16 Respuesta de información ( Information Reply ) – obsoleto
17 Solicitud de mascara ( Addressmask )
18 Respuesta de mascara ( Addressmask Reply )
La sintaxis del comando es la siguiente:
ping [Opciones] nombre ordenador | dirección ip
Las opciones que se pueden utilizar son las siguientes:
-c cuantos
esta opción para la ejecución del comando cuando se hayan enviado y recibido cierto numero ( cuantos ) de paquetes ECHO_RESPONSE. Si esta opción no se especifica el comando continua enviando hasta que sea interrumpido, por ejemplo con Ctrl + C.
-a
esta opción emite un pitido audible cada vez que envía un paquete.
-i intervalo
esta opción permite especificar el numero de segundos antes de enviar el siguiente paquete de prueba, el valor por defecto es 1 segundo.
-s valor
esta opción permite especificar el numero de bytes de datos que se envían. A este valor hay que sumarle los 8 bytes correspondientes a la cabecera ICMP. El valor por defecto es de 56 bytes.
-q
esta opción solo muestra el resumen final del comando.
Traceroute
Esta utilidad es una herramienta de diagnostico de red que permite trazar la ruta que siguen los paquetes transmitidos desde un punto de red ( host ) a otro punto. Se consigue también información sobre RTT ( Round-Trip delay Time ), que es el tiempo que tarda un paquete enviado desde un emisor en volver al mismo emisor después de haber pasado por el receptor. Este comando es efectivo para realizar un mapa de los routers que se encuentran entre el punto de origen y el punto de destino. Un ejemplo de trazado es el que se muestra a continuación:
user@localhost:/# traceroute www.google.com traceroute to www.l.google.com (64.233.169.99), 64 hops max, 40 byte packets 1 * * * 2 172.16.183.1 (172.16.183.1) 23 ms 23 ms 22 ms 3 10.127.66.229 (10.127.66.229) [MPLS: Label 1479 Exp 0] 38 ms 51 ms 38 ms 4 cnt-00-tge1-0-0.gw.cantv.net (200.44.43.85) 38 ms 38 ms 37 ms 5 cri-00-pos1-0-0.border.cantv.net (200.44.43.50) 51 ms 43 ms 43 ms 6 sl-st21-mia-14-1-0.sprintlink.net (144.223.245.233) 94 ms 93 ms 93 ms 7 sl-bb20-mia-5-0-0.sprintlink.net (144.232.9.198) 95 ms 93 ms 93 ms 8 sl-crs1-mia-0-4-0-0.sprintlink.net (144.232.2.248) 94 ms 95 ms 95 ms 9 sl-crs1-atl-0-0-0-1.sprintlink.net (144.232.20.48) 104 ms 104 ms 103 ms 10 sl-st20-atl-1-0-0.sprintlink.net (144.232.18.133) 104 ms 103 ms * 11 144.223.47.234 (144.223.47.234) 103 ms 103 ms 103 ms 12 64.233.174.86 (64.233.174.86) 98 ms 97 ms 64.233.174.84 (64.233.174.84) 103 ms 13 216.239.48.68 (216.239.48.68) 105 ms 104 ms 106 ms 14 72.14.236.200 (72.14.236.200) 106 ms * 105 ms 15 72.14.232.21 (72.14.232.21) 110 ms 109 ms 107 ms 16 * yo-in-f99.google.com (64.233.169.99) 100 ms 99 ms
El valor de la primera columna es el numero de salto, a continuación se muestra el nombre y dirección IP del nodo por el que pasa, a continuación se muestran tres valores que son los tiempos de respuesta para los paquetes enviados ( en caso de aparecer un símbolo de *, es que no se ha obtenido respuesta ).
este comando envía un paquete UDP de prueba hacia el host destino y hacia un puerto en el que confía que no haya ninguna aplicación esperando datos. Cuando se envía el paquete de prueba la primera vez, el campo TTL (Time-to-live) de la cabecera IP vale 1. El valor de este campo representa el numero máximo de nodos por los que puede circular un paquete. En la practica, cada nodo de la red decrementa en una unidad el campo TTL así que, cuando el paquete de prueba inicial alcance el primer router, el TTL se decrementara y, como el valor de este campo será igual a 0, el paquete habrá de ser descartado. Además, el router enviara a la dirección IP origen del paquete de prueba un paquete ICMP del tipo TIME EXCEEDED.
Cuando el host que esta haciendo el traceroute reciba este paquete de error sabrá que con un TTL igual a 1 no se puede llegar hasta el host destino y además habrá averiguado la dirección IP del primer router en el camino hacia el destino. A continuación, se ira incrementando sucesivamente el valor inicial del campo TTL hasta conseguir que el paquete de prueba alcance el host destino. En ese momento, si efectivamente no hay ninguna aplicación atendiendo al puerto seleccionado, se enviara un mensaje ICMP del tipo PORT UNREACHABLE al host origen del paquete de prueba.
la sintaxis del comando mas básica es la siguiente:
traceroute nombre.de.servidor
A continuación se describen brevemente las principales opciones de este comando:
-f n
con esta opción, se establece el valor inicial del campo TTL en el primer paquete de prueba (valor por defecto: 1).
-m n
con esta opción, se establece el valor máximo del campo TTL que puede utilizarse en los paquetes de prueba (valor por defecto: 30).
-q n
esta opción permite especificar el numero de paquetes de prueba que se envían para cada valor del campo TTL (valor por defecto: 3).
-w s
con esta opción, se fija el tiempo máximo de espera por la respuesta a un paquete de prueba (valor por defecto: 5 segundos).
-p n
de esta forma se puede modificar el numero de puerto base utilizado en los paquetes de prueba (valor por defecto: 33435). El numero de puerto que se utiliza realmente en los paquetes de prueba se incrementa en una unidad para cada paquete.
-I
con esta opción, en vez de utilizar paquetes UDP de prueba, se utilizan paquetes ICMP.
Whois
Esta utilidad permite realizar una petición a una base de datos en la cual se puede obtener o determinar el propietario de un nombre de dominio o una dirección IP de internet. Existen dos formas de almacenar la información, el modo “ligero” y el modo “denso”. En el modo denso un servidor almacena toda la información de un conjunto de dominios o IP’s, con lo que es capaz de responder a cualquier consulta sobre un dominio. Mientras que en el modo “ligero”, el servidor guarda el nombre de otro servidor que contiene los datos completos del registrador del mismo. El siguiente ejemplo muestra el resultado de una consulta whois en este caso de wikipedia:
nacho@nacho-desktop:~$ whois wikipedia.org Domain ID:D51687756-LROR Domain Name:WIKIPEDIA.ORG Created On:13-Jan-2001 00:12:14 UTC Last Updated On:08-Jun-2007 05:48:52 UTC Expiration Date:13-Jan-2015 00:12:14 UTC Sponsoring Registrar:GoDaddy.com, Inc. (R91-LROR) Status:CLIENT DELETE PROHIBITED Status:CLIENT RENEW PROHIBITED Status:CLIENT TRANSFER PROHIBITED Status:CLIENT UPDATE PROHIBITED Registrant ID:GODA-09495921 Registrant Name:DNS Admin Registrant Organization:Wikimedia Foundation, Inc. Registrant Street1:P.O. Box 78350 Registrant Street2: Registrant Street3: Registrant City:San Francisco Registrant State/Province:California Registrant Postal Code:94107-8350 Registrant Country:US Registrant Phone:+1.4158396885 Registrant Phone Ext.: Registrant FAX:+1.4158820495 Registrant FAX Ext.: Registrant Email:dns-admin@wikimedia.org Admin ID:GODA-29495921 Admin Name:DNS Admin Admin Organization:Wikimedia Foundation, Inc. Admin Street1:P.O. Box 78350 Admin Street2: Admin Street3: Admin City:San Francisco Admin State/Province:California Admin Postal Code:94107-8350 Admin Country:US Admin Phone:+1.4158396885 Admin Phone Ext.: Admin FAX:+1.4158820495 Admin FAX Ext.: Admin Email:dns-admin@wikimedia.org Tech ID:GODA-19495921 Tech Name:DNS Admin Tech Organization:Wikimedia Foundation, Inc. Tech Street1:P.O. Box 78350 Tech Street2: Tech Street3: Tech City:San Francisco Tech State/Province:California Tech Postal Code:94107-8350 Tech Country:US Tech Phone:+1.4158396885 Tech Phone Ext.: Tech FAX:+1.4158820495 Tech FAX Ext.: Tech Email:dns-admin@wikimedia.org Name Server:NS0.WIKIMEDIA.ORG Name Server:NS1.WIKIMEDIA.ORG Name Server:NS2.WIKIMEDIA.ORG
La sintaxis mas básica del comando es la siguiente:
whois nombre.servidor
Las opciones mas comunes que se pueden utilizar con el comando son las siguientes:
- a
busca en todas las bases de datos
-F
modo rápido
-h host
se conecta al servidor especificado en host
-H
oculta el aviso legal
-r
desactiva la búsqueda recursiva
–verbose
muestra en pantalla lo que se esta haciendo
–version
muestra la versión del programa
Ejemplos de uso común
whois aprendoencasa.com –H
whois aprendoencasa.com –a –H
Finger
Otra de las utilidades para obtener información es con el uso de la utilidad y su protocolo asociado finger. Esta utilidad es una de las clásicas en el mundo Unix, Linux y como es lógico puede ocasionar ciertos problemas de seguridad. Esta utilidad muestra información sobre un usuario o grupo de usuarios de una maquina conectada a la red. Su utilizacion normal es la de saber si una persona concreta tiene cuenta en un sitio determinado, ya que muestra la información relativa a los usuarios que han iniciado una sesión en un sistema local o remoto, suele mostrar el nombre completo, la ultima vez que se conecto el usuario, el tiempo de inactividad y la línea del terminal y su ubicación si es aplicable. Por defecto utiliza el puerto 79. Se ha de tener en cuenta que la maquina ha de admitir el envió de información sobre una petición de finger, sino lógicamente la petición será rechazada. La sintaxis mas básica del comando es la siguiente:
finger @nombre.servidor
Los siguientes ejemplos muestran el resultado de una consulta finger de todos los usuarios del sistema que han tenido actividad:
nacho@nacho-desktop:~$ finger Login Name Tty Idle Login Time Office Office Phone nacho jose i.r. saez tty7 20:18 Nov 9 16:46 (:0) nacho jose i.r. saez pts/0 Nov 10 12:26 (:0.0)
nacho@nacho-desktop:~$ finger -l Login: nacho Name: jose i.r. saez Directory: /home/nacho Shell: /bin/bash On since Mon Nov 9 16:46 (CET) on tty7 from :0 20 hours 18 minutes idle On since Tue Nov 10 12:26 (CET) on pts/0 from :0.0 No mail. No Plan.
nacho@nacho-desktop:~$ finger @localhost [netbsd.bridge.nacho] Login Name TTY Idle When Where root Super-User console 3d Sun 19:14 :0 nacho Nacho *pts/3 43 Mon 19:24 openbsd.firewall.nacho
Las opciones mas comunes del comando son las siguientes:
-l
formato largo, se utiliza en peticiones a maquinas remotas.
-s
formato corto
Seguridad sistemas y redes ( 1 )
Posted by: | CommentsAtaques a redes tcp/ip
Introducción
El Tcp/Ip se creó en un determinado momento en el cual la seguridad no era considerada muy importante. Esto era asi ya que la red denominada actualmente Internet, se denomina Arpanet y estaba constituida por unos pocos servidores, pertenecientes a centros educativos, grandes empresas, gubernamentales y militares. Ya que el acceso estaba restringido a pocos entes la seguridad estaba contemplada ya que todo el mundo conectado se puede decir que se “conocían”, con lo que no se pensaba en que alguien pudiera entrar en el sistema sin autorización.
El protocolo Tcp/Ip es un protocolo de comunicaciones bastante robusto, pero no estaba preparado para la seguridad, en conceptos tales como autentificación, verificación, cifrado, etc.. Transcurrido el tiempo se han desarrollado nuevos ataques cada vez mas perfeccionados que explotan fallos en la seguridad tanto del diseño Tcp/Ip como en la configuración y operación de los sistemas que componen la redes conectadas en internet. Se pueden encontrar tres generaciones de ataques, siendo estas las siguientes:
Primera generación ( Ataques físicos )
Esta generación engloba los ataques que se centraban en los componentes físicos como pueden ser los propios equipos, los cables y dispositivos de red. Lógicamente esta generación de ataques tenia que tener acceso a los equipos para llevar a cabo los mismos.
Segunda generación ( Ataques sintácticos )
Esta generación es donde se producen ataques a la lógica de los sistemas es decir atacan vulnerabilidades de los sistemas debido a errores en la programación, también se realizan ataques a los códigos de cifrado y los protocolos.
Tercera generación ( Ataques semánticos )
Por ultimo están los ataques que se aprovechan de la confianza o ignorancia de los usuarios en la información. Ya que estos ataques hacen sustituciones de paginas web, falsos boletines informativos, correos electrónicos falsos, con el fin de obtener información privilegiada de los usuarios.
Curso XHTML Online – Actualizado
Posted by: | CommentsSe ha insertado un nuevo capitulo del curso gratuito online de XHTML, en este caso se trata del capitulo correspondiente a los modulos y concretamente al modulo de hipertexto, con el elemento a. Espero que os resulte util.
Un saludo y aprende comodamente !!!
PD: Disculpad los acentos, pero escribo desde un email via telefono movil y mis dedos son demasiado grandes para un teclado tan pequeñito :O))))
