Roberto Meyer escribió:
El día 18 de septiembre de 2009 11:45, Hernan G. Diaz
<[email protected]> escribió:
Alfredo Daniel Rezinovsky escribió:
El vie, 18-09-2009 a las 10:54 -0300, Roberto Meyer escribió:
Estimados,
Tanto Conficker y otros trojanos dando vueltas por las redes MS que
quisiera implementar un scanner de red para prevenir mejor futuras
infecciones, por lo general los antivirus reaccionan tarde.
Veo que en los úlitmos años las reglas y plugins para nessus y otros
son pagas, ¿alguien podría recomendarme lo que considera la solución
más económica y completa posible?
La mayoria de estos virus escanean la red en busca de victimas.
Si tu gateway es 192.168.1.1 y el 192.168.1.2 no existe, nadie tendria
por qué apuntar ni buscar al 192.168.1.2
con:
tshark -n -i ethloquesea host 192.168.1.2 and arp
podrias ver las IPs que estan escaneando tu red. Todo lo que tenes que
hacer es mandar la salida de eso a un grep, parsearlo en tiempo real y
ejecutar algo.
Entiendo que lo que busca Roberto, es escanear o filtrar cosas que "pasan"
por la red, más que sólo "detectar" cual windows de la red tiene problemas.
Ya que posiblemente cuando se detecte el problema las máquinas windows ya se
esten atacando e infectando entre ellas. Para detectar y ver reportes yo uso
snort + acidbase y he encontrado muchas cosas a tiempo.
Eso si... requiere tiempo y tiempo y más tiempo para analizar y
principalmente "entender" que es lo que se ve en las toneladas de logs que
se generan.
[snip]
Bueno, en realidad la necesidad surgió por los trojanos pero ambas
ideas me parecen buenas y útiles.
Agradezco el dato de Alfredo, esa respuesta me sirvió para detectar
una PC con trojano. Por otro lado mi pregunta también apuntaba a
correr permanentemente algo como snort y prevenirse contra un espectro
más variado de ataques, tanto de trojanos como de usuarios buscando
escalar privilegios, etc. ¿Qué opciones gratuitas existen/sugieren?
Muchas gracias,
Estuve experimentando con untangle (version Community) con buenos
resultados, recomendable: http://www.untangle.com.
Es un debian con un monton de modulos que se puden habilitar/desabilitar
según las necesidades que uno tenga. La gestion web es bastante
simpática y muy sencilla, simula ser un rack y cada módulo es un
"equipo" en el rack, al que se puede configurar, prender o apagar de
manera individual.
Incluye:
* Web Filter
* Virus Blocker
* Spam Blocker
* Ad Blocker
* Attack Blocker
* Phish Blocker
* Spyware Blocker
* Firewall
* Routing & QoS
* Intrusion Prevention
* Protocol Control
* OpenVPN
* Report
Se pude configuar como router o como bridge (transparente), yo lo probé
de como bridge transparente.
Tuve algunos problemitas iniciales para pasar por el bridge tráfico de
VPN IPSec de Cisco , pero la solución fue crear un par de reglas para
dejar pasar algunas cosas que no debaja pasar.
--
Hernan
