Portada

Mostrando entradas con la etiqueta seguridad. Mostrar todas las entradas
Mostrando entradas con la etiqueta seguridad. Mostrar todas las entradas

jueves, 22 de enero de 2015

Switch Configuration and Network Setup 3Com 4226T

Lo dejo acá para que no les cueste configurarlos:

Switch Configuration and Network Setup
The 3Com 4226T switch comes with a default IP address which is 169.254.100.100. You will start by changing this IP address to 10.10.10.10 using a Web interface (HTML GUI + HTTP protocol). The 3Com 4226T runs an HTTP Server. You will connect to this HTTP Server from the Windows machine using Internet Explorer browser.
5.1  Explain why the IP address of the Windows machine should be set to 169.254.x.y. (169.254.100.99 for example). Fill in the answer sheet.
5.2  Connect the Windows machine to 3Com 4226T switch using RJ-45 cable and any port on the switch (see figure1).
5.3  Launch Internet Explorer and type in the address field: http://169.254.100.100
5.4  Enter admin as username and leave the password blank. Don’t change the admin password
5.5  Use the Web interface to change the IP address of the switch to 10.10.10.10.
5.6  Change the network parameters of the Windows machine to the following:
IP address: 10.10.10.2
Subnet mask: 255.255.255.0 (24 bits)
5.7  Setup a LAN using the architecture shown in figure 1. Use port 1 for Linux machine and port 2 for Windows machine. (Off course you can use any port of the switch).
5.8  Report the link state described by the LED on each port. Fill in the answer sheet.
5.9  Make sure that machines are well connected by issuing a ping from one machine to the other one.
5.10                      Use IPRoute utility to disable ARP on Linux machine. Fill in the answer sheet with the command issued.
5.11                      Delete ARP cache on Windows machine by issuing:
arp –d * 
Issue a ping from Windows machine to Linux machine. This later should be unreachable. Explain. Fill in the answer sheet.
5.12                      Use IPRoute utility to re-enable ARP on Linux machine.

martes, 16 de septiembre de 2014

Error Tarjeta de red wifi Intel Equipos DELL y otros. [SOLUCIONADO]


Normalmente nos encontramos con equipos armados como los de DELL, HP y un sin fin  de marcas, lo común es pensar que ellos fabrican todo lo que se encuentra en los equipos pero eso no es real.

La verdad es que es el fabricante INTEL el que esta detrás de las tarjetas de red, placas madres y otros.

Por lo general equipos nuevos de fabricación reciente suelen presentar problemas en sus controladores, situación que hace pensar a los usuarios que el equipo que compraron esta MALO.

Muchas veces he entrado a foros y los usuarios piden ayuda, y deambulan entre drivers aplicaciones y consejos varios.

Entonces si ud. tiene un equipo de de cualquier marca pero su tarjeta es INTEL, vaya a la fuente, visite:

-  www.intel.com

-   Pinche en el link de "descargas"     https://downloadcenter.intel.com/default.aspx

-  Luego de eso puede buscar su controlador.

-   Yo recomiendo el update manager   http://www.intel.com/p/en_US/support/detect?iid=dc_iduu

-  USE INTERNET EXPLORER COMO NAVEGADOR.

-  Instale el control active x, lo que identificara automáticamente sus productos intel y le ofrecerá las descargas actualizadas de los DRIVERS mas recientes. como en la imagen que les dejo:



Con eso solo bastaría descargar e instalar. Lo anterior es valido para equipos nuevos y equipos usados debido a que tener sus drivers actualizados, le permitirá disfrutar de una performance óptima.

Espero sea de ayuda este post.

NOTA: En los equipos LENEVO también existe una herramienta que detecta automáticamente los drivers faltantes, ideal para después de formatear.  Lenovo System Update (latest version), pero no olvidar que siempre es necesario chequear el administrador de dispositivos. No vaya a ser que falte algo.




martes, 15 de diciembre de 2009

Como remover el virus Configker

Aunque tal vez no sea solo Para W7, puede ser de interes estos pasos..

¡Hola, mundo! Está siendo atacada su red por Conficker? Están atacando a la toda su red por Conficker? hahaha .. hahaha .. no te enfades este virus puede eliminarse con sólo aplicar algunas de las lineas presentes. no te enfades. De todos modos este virus hace que algunas personas se vuelvan locas, ya que ataca a la red (que podrían tener más problemas cuando tratan de limpiar) y, por supuesto pone a prueba su protección y seguridad:


Esta IP está infectada (o natting para un equipo que está infectado) con la botnet Conficker.

Más información acerca de Conficker se puede obtener de Wikipedia.

Recuerde: Conficker no es una botnet envío de spam. No envía mensajes de correo electrónico o correo no deseado. No utiliza el puerto 25.

Por favor, siga estas instrucciones.
DShield tiene un artículo diario que contiene muchos recursos de terceros, especialmente de herramientas de eliminación como Norton Power Eraser, Stinger, MSRT etc.

Uno de los elementos más importantes es asegurarse de que todos los equipos tienen el parche MS08-067 instalado. Pero incluso con el parche instalado, las máquinas pueden conseguir a infectarse.

Hay varias maneras de identificar las infecciones de Conficker de forma remota. Para un enfoque bastante completo, consulte Sophos.

Si usted tiene los registros del firewall completos encendidos en el momento de la detección, esto puede ser suficiente para encontrar la infección en un NAT:


Si usted no tiene el registro del cortafuegos completo, tal vez usted puede configurar un servidor de seguridad de bloque / registro de todos los accesos (cualquier puerto) a la dirección IP 216.66.15.109 y velar por éxitos.

ADVERTENCIA: NO simplemente bloquear el acceso a a alguna IP en especifico y esperar no estar en la lista de nuevo. Hay muchas dolinas Conficker - algunas se mueven alrededor y aun no sabemos donde están todos. Bloquear el acceso a un solo sumidero no significa que usted ha bloqueado todas las dolinas, por lo relistings son posibles. Usted tiene que controlar sus registros del firewall, identificar la máquina infectada, y repararlos si desea permanecer retirado de la lista.

Las versiones recientes de Nmap pueden detectar Conficker, pero no es fiable al 100% a la búsqueda de todas las infecciones. Nmap está disponible para Linux, xxxBSD, Windows y Mac. Nessus también puede encontrar las infecciones de Conficker de forma remota. Varios otros escáneres están disponibles aquí.

Escáner de Enigma Software es aparentemente bueno para encontrar Conficker A.

Universidad de Bonn tiene una serie de herramientas de exploración / eliminación.

Si usted es incapaz de encontrar la infección, considere:

Si utilizó un escáner de red, asegúrese de que la especificación de red que utilizó para comprobar su red tenía razón, y que entiende cómo interpretar una detección conficker.
Algunos escáneres de red Conficker sólo detectan algunas variedades de Conficker. Por ejemplo, nmap echa de menos algunos. Si no lo encuentra con nmap, probar otros escáneres como McAfee. En otras palabras, intentar por lo menos dos.
¿Seguro de que haya encontrado _todas_ equipos de su red? A veces hay máquinas tranquilamente sentados en habitaciones de atrás en alguna parte que quedó olvidado. Sería una buena idea ejecutar
nmap -sP <TODOS sus especificaciones de red>
que debe enumerar todos sus ordenadores, impresoras y otros dispositivos de red. ¿Has visto a todos los equipos que esperabas ver?
La computadora infectada puede ser apagado en el momento de ejecutar el escaneo o no en la red. Vuelva a comprobar que todo estaba encendido durante la exploración.
Si usted tiene inalámbrico, asegúrese de que está asegurada con WPA o WPA2, y que "los extranjeros" no pueden conectarse. Seguridad WEP no es lo suficientemente bueno.
Muchas versiones de Conficker se propagan a través de thumbdrives / memorias USB infectadas. Cuando se encuentra una máquina infectada, todos los dispositivos asociados a la máquina deben ser considerados sospechosos y destruidas o completamente reformateado.
Conficker también se propaga por recursos compartidos de archivos e impresoras.
Si sólo tiene que quitar la lista sin asegurarse de que se elimina la infección (o la NAT asegurado), es probable que poner en venta de nuevo.

Cómo resolver problemas en el futuro y evitar poner en venta

Norton Power Eraser es una herramienta gratuita y no requiere instalación. Sólo tiene que descargar y ejecutar. Uno de nuestro equipo ha probado la herramienta con Zeus, Ice-X, Ciudadela, ZeroAccess y Cutwail. Era capaz de detectar y limpiar el sistema en cada caso. Probablemente trabaja con muchas otras infecciones.

¿Es esta la dirección IP de una pasarela NAT / firewall / router? En otras palabras, es esta dirección IP compartida con otros equipos? Ver NAT para más información sobre NAT y cómo asegurarlas.

Si esta dirección IP es compartida con otros equipos, sólo el administrador de esta dirección IP puede evitar que esto ocurra de nuevo siguiendo las instrucciones de NAT para fijar el NAT contra futuras infecciones. De esta manera, no importa lo mal infectados la red detrás de la NAT es decir, la red no puede spam Internet. El administrador también puede referirse a la detección avanzada BOT para consejos sobre cómo encontrar el ordenador infectado detrás de un NAT.

¿Qué efecto está teniendo este anuncio en su vida?

El CBL está destinado a ser utilizado únicamente en el correo electrónico entrante de Internet.

Si usted está siendo bloqueado de IRC, Chat, sitios web, interfaces de correo electrónico web (por ejemplo: usted está utilizando Internet Explorer o Firefox para enviar correo electrónico) o de otro tipo que el correo electrónico básico cualquier cosa con un lector de correo, como Exchange, Thunderbird, etc, el proveedor de este servicio está utilizando el CBL contra nuestras recomendaciones. Póngase en contacto con el proveedor y remitirlos a http://cbl.abuseat.org/tandc.html y remitirlos a los puntos 2 y 7.

Si usted es un usuario final: Si usted recibe un popup inmediata indicando su dirección de correo electrónico se bloquea cuando intenta enviar correo electrónico, esto significa una de dos cosas:

No está utilizando la configuración de su proveedor preferido para el envío de correo electrónico. Esto es más frecuente con los usuarios móviles (por ejemplo: usted está usando un café Internet, y está usando su proveedor de origen para enviar correo electrónico). Un proveedor normalmente le dará instrucciones sobre cómo su lector de correo debe autenticarse en sus servidores de correo, tal vez en un puerto diferente (normalmente 587). Asegúrese de que usted cumpla con las instrucciones del proveedor en la configuración del lector electrónico donde se refiere al "servidor de retransmisión SMTP", "Autenticación SMTP", etc.
Si usted está cumpliendo con las instrucciones de su proveedor, su proveedor está violando los Términos y Condiciones CBL y el bloqueo de sus propios usuarios. Comuníquese con su proveedor y remitirlos a http://cbl.abuseat.org/tandc.html y remitirlos al punto 6 y 7.
Si recibe el mensaje de correo electrónico de bloqueo a vuelta de correo electrónico (en lugar de por el emergente inmediato), su proveedor aparece en la CBL, no usted. Póngase en contacto con su proveedor y decirles que su dirección IP está listada por la CBL.

Tenga en cuenta que el CBL no se hace responsable de cómo los proveedores de mal uso de la CBL. Esta es su problema, no el nuestro.

Si su dirección IP cambia periódicamente (por ejemplo, con volver a conectarse a su proveedor, la conexión a través de un café Internet, etc.), esto suele ser una dirección IP dinámica (DHCP), lo que significa que es muy probable que no que está infectado. Como el anterior, asegúrese de que su lector de correo está configurado correctamente según su proveedor. En este caso, exclusión de la lista la dirección IP probablemente no hacer nada útil.

Si el anuncio es de una dirección IP no compartido, y el acceso afectado es el correo electrónico, a continuación, el equipo correspondiente a esta dirección IP en el momento de la detección (ver arriba) está infectado con un robot de spam, o, si se trata de un servidor de correo, en algunos raros casos esto puede ser una mala configuración o error grave.

El primer paso es ejecutar al menos un (preferiblemente más) herramientas anti-spam / spyware de buena reputación en el equipo. Si tienes suerte, uno de ellos será encontrar y eliminar la infección.

Si no puede encontrarlo utilizando herramientas anti-virus, es posible que desee echar un vistazo de cerca a las discusiones de netstat o tcpview en la sección "métodos por equipo" de encontrar los robots en una LAN.

Si lo anterior no funciona, puede que tenga que recurrir a tomar su equipo a un distribuidor de computadoras / empresa de servicio y hacer que limpiarlo.

Si todo lo demás falla, puede que tenga que tener el software de su equipo vuelva a instalar desde cero.


miércoles, 20 de mayo de 2009

Reglas para mantener la seguridad al tope--

Navegando por aqui y por alla encontre estas simples reglas que me parecen de lo mas entretenidas:



Hacer copias de seguridad periódicas de los datos importantes. En CDs, DVDs o discos duros externos: no hay excusa funcional para no hacerlas, y muy pocas en el aspecto económico.

Analizar con uno o dos antivirus actualizados TODO archivo que provenga del exterior. Nunca se debe ejecutar o visualizar directamente: hay que guardarlo en una carpeta y analizarlo. Importa poco su extensión, si proviene de alguien conocido o si lo estamos esperando. Especial atención a lo que se nos ofrece "gratis" siendo normalmente de pago (programas, juegos, porno, material audiovisual, etc), así como a todo adjunto unido a un correo electrónico.

Mantener actualizado tanto el sistema operativo (Windows Update) como los programas que se usen, especialmente los que se conectan a internet (navegadores, clientes de E-mail, messengers...) y los visualizadores de archivos que normalmente se reciben por esta vía (visores de imágenes, lectores de PDF, el reproductor de Flash, el entorno Java...)

Clientes de correo electrónico: a mayor sencillez, mayor seguridad. La carga de scripts o imágenes debería deshabilitarse por defecto. JAMÁS hay que pinchar en un enlace contenido en un mensaje de correo electrónico: es la principal estrategia del phishing. Todo mail alarmista que nos avise de terribles consecuencias si no tomamos acciones inmediatas, debe ser considerado como sospechoso y verificado por otros medios (teléfono, visita presencial...)

Navegadores: no usar Internet Explorer. Los demás navegadores no son la panacea de la seguridad, pero al menos no son vía de entrada de adware y spyware. En todo caso, es recomendable navegar con los scripts desactivados, salvo en aquellas webs en que sean imprescindibles. Hay herramientas que ayudan a facilitar esta tarea, como la extensión "No Script" de Firefox.

Si pese a todo se prefiere Internet Explorer y/o Outlook/Live Mail, es muy recomendable instalar un limpiador de spyware y adware. Ojo a los limpiadores falsos.

Si no se dispone de router para la conexión a internet, es imprescindible instalar un cortafuegos por software. Si se tiene, también es recomendable, para el control de las conexiones salientes.
Contraseñas: mínimo ocho caracteres, mezclando al menos mayúsculas, minúsculas y números. No hay que usar palabras inteligibles en ningún idioma o números con algún significado, y menos aún si están relacionados con el usuario. Recomendable no emplear la misma contraseña en muchos sitios. La única manera admisible de enviar una contraseña al exterior es protegida mediante cifrado, ya sea el del navegador (https://) o el que escojamos nosotros (PGP, por ejemplo).

Seguridad inalámbrica: si no se quiere compartir la conexión adrede, es imprescindible el cifrado WPA con una buena contraseña. El filtro MAC complementa esta medida.
Si se guarda información delicada en un PC portátil, es obligatorio cifrarla. En un equipo de sobremesa, es muy recomendable.



como ven son reglas muy sencillas de mantener pero no siempre se tienen en cuenta....

viernes, 17 de abril de 2009

RESTAURACION !! Herramientas para recuperar Archivos Borrados

Bueno amigos, hace dias que no posteaba de herramientas de seguridad propiamente tal asi que hoy lo hare, y cargadito al analisis "forense", Herramientas como Foremost y Scalpel identifican estructuras de datos recuperan ficheros de una imagen del disco duro...y mas, para que ? diran Uds.. Pues fácil!! el ataque, de nuestros equipos puede conllevar el borrado, de información, ya sea por daño o por tratar de borrar las huellas, logs registros o cualquier tipo de acceso registrado en algun parametro.




Hablare un poco de los creadores y luego me lanzo con su uso, Jesse Kornblum y Kris Kendall en marzo del 2001, crearon estas aplicaciones, trabajando para la oficina de de investigaciones especiales de USA. Bueno Foremost es hijo de otro software llamado CarvThis, pero ese software nunca vio la luz, y fue creado por el laboratorio Forense de defensa Informática. Bueno Foremost si vio la luz y es codigo abierto en la actualidad, gracias a Nick Mikus se mantiene actualizado.


Golden Richard Desarrollo un programa separado llamado SCALPEL basandose en Foremost0.69, lo bueno para todos independiente de cual sea mejor, -rumores dicen que incluso desarrolladores de Foremos recomiendan scalpel- es que nos quedan dos excelentes herramientas a nuestra disposicion y para diferenctes plataformas de S.O. aunque aca voy a dejar un paper de linux.


En el pasado era facil recuperar los archivos borrados, por el siguiente motivo, antaño solo se borraban las entradas en el directorio. La meta-informacion que describe la localizacion fisica de los datos en el disco, se preservaba, mientras que herramamientas como the Sleuth Kit, te hacian la pega de recuperar los datos.


Actualmente la mayoria de los sistemas de ficheros, borran la totalidad de la informacion existente o metainfromacion dejando solamente los bloques de datos, y el trabajo de juntar estos bloques es la restauracion y desde alli se hace el analisis forense, o en español se arman nuevamente los archivos y se pueden analizar "RECUPERAR". Cabe y vale la pena mencionar un par mas que son: Photorec(no soporta la restauracion general de cualquier fichero), Ftimes(pero es tan alta la curva de aprendizaje que tiene, que yo no lo recomendaria ni para los mas expertos jejeje :-) )


bueno y los pasos que pronto espero ponerle fotitos:



Este programa puede ser compilado en Linux, como ya hemos mencionado, en Windows y Mac OS X.
Vamos a explicar como la podemos utilizar.


Primero tenemos que instalar scalpel, para lo cual podemos ir a Synaptic, buscar “scalpel”, seleccionar e instalar (haciendo click en “Aplicar”), o bien abrir un terminal y escribir:



$ sudo apt-get install scalpel



Estas dos operaciones instalará la aplicación en el sistema. El programa esta muy bien ya que es una herramienta potente, y el único pero que la pongo es que su uso no sea muy intuitivo ya que requiere la utilización de la consola para definir los ficheros con los que queremos trabajar.
Sigamos, tenemos que editar el fichero de configuración para lo que abriremos de nuevo un terminal y escribiremos:



$ sudo gedit /etc/scalpel/scalpel.conf


Podemos ver que en el fichero está explicado el funcionamiento por RegEx (Expresiones Regulares).


Imaginemos que queremos recuperar un fichero .html que borramos accidentalmente, en la línea 162 tenemos ese ejemplo de fichero (será bueno que se lean estos ejemplos para entender el funcionamiento), en nuestro caso iremos hasta esa línea y quitaremos el comentario (simplemente bastará con eliminar el caracter # que está al comienzo de la misma).


Después de guardar las modificaciones volvemos a la consola.


Lo siguiente será indicarle al programa que los ficheros .html que hemos eliminado de nuestro disco se coloquen en un carpeta llamada “html_recovered”, y recuperaremos los datos que se encontraran en la partición /dev/sda5 (esto como repetimos es un ejemplo, puedes guardar los datos recuperados en la carpeta que quieras, y buscarlos donde sea oportuno), para lo que escribiremos el comando:


$ sudo scalpel /dev/sda5 -o html_recovered


Después de un tiempo de funcionamiento, la duración dependerá del tamaño de la partición, tendremos los resultados.
En dicha carpeta existirán multitud de archivos recuperados, por lo que buscar nuestro archivo seguirá siendo como buscar una aguja dentro de un pajar. Para eliminar gran parte de los resultados, que no nos atañen buscaremos, solo por aquellos en los que nuestro usuario ha tenido algo que ver, para esto escribiremos en consola (sustituyendo USER por nuestro nombre de usuario):


$ sudo chown -R USER.USER html_recovered


Después de un poco de tiempo tendremos listos los resultados de esta prueba, en la que ya nos será más sencillo localizar el archivo borrado.



les dejo los links de las herramientas mencionadas por si les intereso alguna..








y por ultimo el reto de la restauración jejeje aqui








jueves, 2 de abril de 2009

Nessus La herramienta Prime...




Bueno buscando y buescando, al querer empezar la primera prugunta es como hago mas segura mi red, y me van a creer que ni siquiera sabia cuales eran mis fallas, asiq ue ese era el primer trabajo descubrir las fallas,por lo que despues de mucho divagar, entre herramientas linux y windows encontre "Nessus" (3)


Lo descargue, sin mayores inconvenientes , y una vez chequeado empeze a probar mis pcs y servers, encontrando varios fallos que si bien no de importancia, si como para saber que estaban y que mas de algo por ahi se puede pasar...Ahora que ya la tengo configurada les puedo decir que empezare a quitar los usuarios anonimos de mis FTPs y asi varias cosillas, que sin querer queriendo no tenia contempladas en ningun lado.






Se los recomiendo por que esta para windows y linux y otras plataformas menos conocidas, en su version demo me dice lo que necesito, /(la info siempre es poca).... y ademas lo puedo instalar como servicio en algun "chanchito(pc viejito)" y luego isntalo el cliente, recomiendo usar en primera instancia la configuracion por omision, ya que pronto se daran cuenta que las posibilidades de agujeros nos pueden hacer pasar un mal rato, sobre todo si quiero saturar algun kernel y giro mucho la perilla de mi Nessus........






Saludos y les dejo el link de descarga http://www.nessus.org/nessus/ no se les olvide ver el video demo, junto con ver el rating en estrellitas al costado inferior derecho.


Vamos con la instalacion.





En esta ocasion lo haremos desde windows, vamos al site desde el cual debemos, descargarnos los necesario,http://www.nessus.org/nessus/ buno una vez echo hechamos a andar el instalador. debemos pinchar a NEXT una vez que nos de la bienvenida, acepto la licencia y chequeo si quiero el cliente o el server, si trabajas en una red basta que instales el server en un pc, y luego te conectes para desde esa maquina chequear los tuyos, no vaya a ser que hayan muchos ataques dando vuelta y no tengas idea, es conveniente centralizar.








aqui te preguntara por el codigo de registro el cual es gratuito te puedes registrar en link que tedara en la proxima pagina.





Luego bajara los plugins y pronto estara instalado.





ahora dos detalles debes crear un usuario para usarlo... en el cliente que te entregara...





y luego agregar la ip o el nombre del servidor en este caso es el mismo equipo tuyo> dentro de los parametros del servidor al cualvas a conectar> esto es importante dice host name server> "no dice ip"...bueno despues es como cualquier otro programa..tratare de ahondar mas adelante en el tema de los plugins....





- crear un usuario es importante en esta parte para que funcione...




































Vamos con la desinstalación.



Lo unico que debemos hacer es dirigirnos a inicio>Panelde control>Tenable Nessus y presionar en quitar. Y ya tenemos el modulo desinstalador andando en caso de que hubiera algun inconveniente recuerde que siempre puede utilizar el instalador ejecutable para desistalarlo o reparar la instalacion para desinstalarlo.


PD: Recuerdevisitar la publicidad para apoyar este BLOG....

Paso de la Seguridad en nuestra red.

A pesar de que este no es mi primer blog, si es el primero de seguridad, y espero que sea un punto de colaboracion para los interesados en mantener y no en destruir la seguridad de sus redes.... Como trabajo y vivo de esto, no hablare de "hackeos" ni nada que tenga que ver con romper, quebrar, infiltrar, o sacar contraseñas ni password, ni keys ni nada.......Solo es para probar cuan seguras son nuestras redes y como podemos protegernos de los ataques...tampoco pretendo sea esto un step by step, pero si es necesario ayudar en la configuracion de algo espero me ayuden a hacerlo.....

Bueno y tambien los invito a visitar los sitios de nuestros anunciantes para asi ayudar a financiar este blog.....