Detectando Intruso Con MALTRAIL y Expulsarlo Con KICKTHEMO

16:23 By aureliohacking.blogspot.com 0 comentarios

En primera instancia podemos referirnos a la informática forense como un área de campo tecnológico que se encarga el análisis de sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial, dentro de esta podemos también especificarla como la aplicación de técnicas y herramientas de hardware y software para determinar datos potenciales o relevantes la cual también puede servir para informar adecuadamente al cliente acerca de las posibilidades reales de la evidencia existente o supuesta de alguna violación a su información o a la integridad de su empresa, equipo y la información que poseen los mismos.
Los originales destinatarios de este servicio son los estudios jurídicos, aunque cualquier entidad, empresa o persona puede contratarlo La necesidad de este servicio se torna hace necesaria desde el momento en que la enorme mayoría de la información generada está almacenada o guardada por medios electrónicos.
En la recuperación de información nos encontramos con información que no es accesible por medios convencionales, ya sea por problemas de funcionamiento del dispositivo que lo posee, ya sea porque se borraron o rompieron las estructuras administrativas de software del sistema de archivos.
se perdió la información de una persona o entidad por un problema de fallo de la tecnología de hardware y/o software o bien por un error humano, El usuario nos indica su versión de los hechos y a menudo encontramos sobre la falla original otras que el usuario o sus prestadores técnicos agregaron en un intento de recuperación. Así es que debemos figurarnos a partir del análisis del medio qué ocurrió desde el momento en que todo funcionaba bien y la información era accesible.
En la informática forense hablamos no nos dedicamos solamente a la recuperación de información sino también al descubrimiento de información dado que no hubo directamente una falla del dispositivo ni un error humano sino una actividad subrepticia para borrar, adulterar u ocultar información. Es por lo tanto esperable que el mismo hecho de esta adulteración pase desapercibido. La informática forense apela a nuestra máxima aptitud dado que enfrentamos desde casos en que el dispositivo fue borrado, golpeado y dañado físicamente hasta ligeras alteraciones de información que pueden constituir un crimen.
Este servicio es de utilidad a empresas que llevan adelante juicios laborales con sus empleados, o con sus asociados por conflictos de intereses, a estudios jurídicos que necesitan recabar información ya sea para presentarla frente a un tribunal o bien para negociar con las partes un acuerdo extrajudicial de resarcimiento, renuncia, etc. Es de utilidad a los organismos judiciales y policiales que buscan evidencias de todo tipo de crímenes. Es un componente indispensable en litigios civiles.

Por consiguiente, hablaremos de los programas que utilizaremos para defendernos de los ataques que se pueden presentar tomaremos conceptos de páginas de internet las cuales nos explicaran la función de estos programas y cómo funcionan.

MALTRAIL


Es una herramienta opensource, hecha en Python, destinada a analizar el tráfico de red con el fin de detectar y registrar posibles amenazas.
La diferencia es la categorización de las amenazas, las diversas fuentes de las que tira (si la dirección IP tiene mala reputación en diferentes fuentes abiertas), la inteligencia para identificar actividad sospechosa, la identificación de malware que intenta llamar a casa, así como la presentación de panel de detección que muestra, me ha resultado especialmente interesante, o cuanto menos, complementario a la pila de paneles web de diversas herramientas destinadas a monitorizar la seguridad.
Muestra diversas estadísticas como número de amenazas, tendencias de eventos clasificados como riesgo alto/medio/bajo, gráficas de tarta por severidad, por top de fuentes atacantes, ETC.
El tipo de despliegue es como el de cualquier IDS, es decir, sondas de detección que envían eventos a un único servidor, por lo que es totalmente viable una arquitectura distribuida, o incluso aprovechar, sondas existentes que estén analizando tráfico con otras herramientas opensource, para integrar un proceso más. He podido comprobar que no incrementa de forma excesiva los recursos necesarios de la máquina por lo que en un tráfico “normal” es una opción interesante.



Cabe resaltar que:
ü  Dispone de una documentación bastante completa. Para lo sencillo que es de configurar (un único fichero con pocas opciones), la documentación existente es muy buena y más que suficiente sobre las virtudes de la herramienta
ü  Posibilidad de escuchar en un interfaz o en todos los de la máquina sensor.
ü  la facilidad de filtrado de eventos, así como la interacción que permite con cada columna, dependiendo de qué se trate. Por ejemplo búsqueda de la dirección IP atacante en duckduckgo para búsqueda de la IP en diferentes fuentes de análisis de reputación como robtex, whois.domaintools, mxtoolbox, etc,...
ü  Plug and play: sólo tiene un paquete como dependencia.
ü  Open source





KICKTHEMOUT


Es una herramienta de código abierto, desarrollada en Python por Nikolaos Kamarinakis y David Schütz, que nos permite expulsar dispositivos conectados a nuestra red y de esta manera poder negarle la posibilidad de consumir ancho de banda.
Esta herramienta usa un método de envenenamiento ARP o ARP Spoofing que mata la conectividad a Internet del o los dispositivos conectados a tu red de área local, los resultados son asombrosos y permiten que podamos disfrutar de todo el ancho de banda de una red de manera rápida y sencilla.
Está destinada a ser utilizada por los administradores de red para controlar el uso de ancho de banda de intrusos y sólo funciona en aquellas redes a las que tienes acceso, que además no cuentan con configuraciones de seguridad que impidan ataques de ARP Spoofing.




En cuanto a su funcionamiento para expulsar a los intrusos de tu wifi con kickthemout, basta con que ejecutemos la herramienta con sudo python kickthemout.py, esperemos que escanee tu red en busca de los dispositivos conectados y elijamos si queremos expulsar a todos los dispositivos conectados (a excepción de tu ordenador), expulsemos a un sólo dispositivos o a varios dispositivos que elijamos.
Los dispositivos elegidos estarán sin acceso a Internet mientras el comando este en ejecución, por lo que este mecanismo de expulsión es temporal pero muy efectivo. Con esta herramienta podemos disfrutar al máximo de nuestro ancho de banda cuando los intrusos o familiares están conectados a la red, convirtiéndola en una herramienta que cualquier usuario debe tener instalada en su ordenador para cuando sea necesaria.



 VÍDEO TUTORIAL







CONCLUSIÓN
Estos dos programas fueron utilizados con el fin de aplicar lo que tiene que ver con la informática forense que es el propósito de este proyecto, buscar los medios necesarios para poder defendernos de múltiples ataques que se pueda presentar en el mundo tecnológico.
Se conoció a fondo todo lo que tiene que ver con la informática forense y el propósito que tiene en este campo de la tecnología lo cual será crucial para nuestras carreras como ingeniero de sistemas, la idea es poder aplicar esto no solo a este proyecto, sino a los diferentes campos laborales que vamos a encontrarnos en nuestra vida de profesionales.
Se estudiaron las herramientas y su funcionamiento esto con el fin de aplicarla en la exposición de nuestro proyecto y poder brindar un respaldo a nuestra información y a la integridad de nuestra información.

  


GLOSARIO
ü  OPENSOURCE: El código abierto es un modelo de desarrollo de software basado en la colaboración abierta. Se enfoca más en los beneficios prácticos (acceso al código fuente) que en cuestiones éticas o de libertad que tanto se destacan en el software libre. ​ Para muchos el término «libre» hace referencia al hecho de adquirir un software de manera gratuita, pero más que eso, la libertad se refiere al poder modificar la fuente del programa sin restricciones de licencia, ya que muchas empresas de software encierran su código, ocultándolo, y restringiéndose los derechos a sí misma.

ü  IDS: Hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.

ü  ARP: En red de computadoras, el protocolo de resolución de direcciones (ARP, del inglés Address Resolution Protocol) es un protocolo de comunicaciones de la capa de enlace, responsable de encontrar la dirección de hardware (Ethernet MAC) que corresponde a una determinada dirección IP.

ü  PYTHON: Se trata de un lenguaje de programación multiparadigma, ya que soporta orientación a objetos, programación imperativa y, en menor medida, programación funcional. Es un lenguaje interpretado, usa tipado dinámico y es multiplataforma.












WEBGRAFIA


ü  https://es.calameo.com/books/00237411721c2d0ef3f47
ü  https://es.calameo.com/read/00237411721c2d0ef3f47
ü  http://www.informaticaforense.com.ar/informatica_forense.htm
ü  https://www.informaticaforense.com.co/
ü  http://www.securitybydefault.com/2015/12/maltrail-herramienta-para.html
ü  https://github.com/stamparm/maltrail/
ü  https://blog.desdelinux.net/como-dejar-sin-internet-los-intrusos-kickthemout/
ü  https://es.wikipedia.org/wiki/C%C3%B3digo_abierto
ü  https://es.wikipedia.org/wiki/Python



About the Author

Written by Admin

ChromeGT is a modern, powerful and professional Blogger template made for your Portfolio, Business or almost any other kind of website.


0 comentarios:

Suscribirse a: Enviar comentarios (Atom)