El día 18 de septiembre de 2009 11:45, Hernan G. Diaz <[email protected]> escribió:
> Alfredo Daniel Rezinovsky escribió: >> >> El vie, 18-09-2009 a las 10:54 -0300, Roberto Meyer escribió: >>> >>> Estimados, >>> >>> Tanto Conficker y otros trojanos dando vueltas por las redes MS que >>> quisiera implementar un scanner de red para prevenir mejor futuras >>> infecciones, por lo general los antivirus reaccionan tarde. >>> >>> Veo que en los úlitmos años las reglas y plugins para nessus y otros >>> son pagas, ¿alguien podría recomendarme lo que considera la solución >>> más económica y completa posible? >> >> La mayoria de estos virus escanean la red en busca de victimas. >> >> Si tu gateway es 192.168.1.1 y el 192.168.1.2 no existe, nadie tendria >> por qué apuntar ni buscar al 192.168.1.2 >> >> con: >> >> tshark -n -i ethloquesea host 192.168.1.2 and arp >> >> podrias ver las IPs que estan escaneando tu red. Todo lo que tenes que >> hacer es mandar la salida de eso a un grep, parsearlo en tiempo real y >> ejecutar algo. >> > > Entiendo que lo que busca Roberto, es escanear o filtrar cosas que "pasan" > por la red, más que sólo "detectar" cual windows de la red tiene problemas. > Ya que posiblemente cuando se detecte el problema las máquinas windows ya se > esten atacando e infectando entre ellas. Para detectar y ver reportes yo uso > snort + acidbase y he encontrado muchas cosas a tiempo. > Eso si... requiere tiempo y tiempo y más tiempo para analizar y > principalmente "entender" que es lo que se ve en las toneladas de logs que > se generan. [snip] Bueno, en realidad la necesidad surgió por los trojanos pero ambas ideas me parecen buenas y útiles. Agradezco el dato de Alfredo, esa respuesta me sirvió para detectar una PC con trojano. Por otro lado mi pregunta también apuntaba a correr permanentemente algo como snort y prevenirse contra un espectro más variado de ataques, tanto de trojanos como de usuarios buscando escalar privilegios, etc. ¿Qué opciones gratuitas existen/sugieren? Muchas gracias, -- Roberto
