[Ubuntu-bo] Video-Tutoriales para Wireshark y Snort ???

Himer Ramos himerx en gmail.com
Jue Abr 10 15:20:54 BST 2008 

Ronald Rivera escribió:
>
>
>
>
>
> Ronald R.
>  
> -- Aquellos que temen a la oscuridad no saben lo que la luz puede hacer --
>
>
>
>
> ----------------------------------------
>   
>> Date: Thu, 10 Apr 2008 00:45:52 -0400
>> From: rho en prosoftpeople.com
>> To: ubuntu-bo en lists.ubuntu.com
>> Subject: Re: [Ubuntu-bo] Video-Tutoriales para Wireshark y Snort ???
>>
>> On Thu, Apr 10, 2008 at 12:04 AM, Ronald Rivera  wrote:
>>     
>> [...]
>>     
>>>  Necesito aprender a manejar esas herramientas y utilizarlas para generar una serie de capas de seguridad para una red.
>>>  Me consegui un video tutorial para manejar VMWare donde te lo explica muy bien y bastante sencillo para entender, y pense que tambien deberian haber para Wireshark y Snort.
>>>
>>>       
>> Jose Manuel a trabajado con ellas en su tesis. Yo he utilizado
>> wireshark para analiar tráfico
>> filtrando con ciertas reglas (de que ip, de que puerto, etc), nada muy avanzado.
>>
>> Snort lo he instalado, configurado y analizado resultados... pero no
>> generado reglas
>> y nada avanzado.
>>
>> Si eres más específico quizás podamos ayudarte.
>>
>>     
>
> Estoy configurando una serie de herramientas para utilizarlas como proteccion contra ataques de Botnets y mas que todo ataques de denegación de servicios distribuidos. En la parte de detectar Botnets necesito estar atento en puertos que utilizan servidores IRC y sus servicios (como ident). Tambien necesito buscar movimientos de guscanos ya que es asi como se expanden la mayoria de las Botnets.
>
> Les agradecería si me dieran la ruta de algunos manuales de esos para gente dura de cabeza como yo jejejeje   :P 
> De nuevo gracias por tu ayuda.
>
>
>
>   
>> -- 
>> Rolando Espinoza La fuente
>> Pro Soft Resources Inc.
>> www.prosoftpeople.com
>> -- 
>> Canal oficial #ubuntu-bo @ irc.freenode.net
>> Lista de correo Ubuntu-bo
>> Ubuntu-bo en lists.ubuntu.com
>> Modifica tu subscripción en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-bo
>>     
>
> _________________________________________________________________
> Discover the new Windows Vista
> http://search.msn.com/results.aspx?q=windows+vista&mkt=en-US&form=QBRE
>   
Puedes obtener estos libros 

Advanced Network Analysis Techniques
Laura A. Chappell

TCP/IP Analysis and Troubleshooting Toolkit
Kevin Burns

y por supuesto el  infaltable  libro magico   
http://www.*wireshark*.org/download/docs/user-guide-a4.*pdf* 
<http://www.wireshark.org/download/docs/user-guide-a4.pdf>

Ademas para lo que quieres hacer  deberias   diseñar  "disectors"
especificos para  detectar los gusanos toma como ejemplo  los disectors  
ya hechos
 (http://wiki.wireshark.org/Development) y por su puesto la  API de  
wireshark ,
si mal no recuerdo  hace unos años una empresa de antivirus tomo
un branch  del  codigo (entoces ethereal) para hacer algo mas generico 
(no solo IRC)
detectanto Ataque DoS  , gusanos  ,Etc .  para integrarlo en un firewall 
multicapa en hardware.

Segun lo que te entiendo , necesitas que un agente  que dispare la 
alarma de un ataque DoS  o presencia de un gusano
y automaticamente actives  las herramientas de proteccion  que tienes 
configurados .
 si es asi 
           detectar un DoS  lo basas en reglas,
           detectar gusanos   -  a) Analisis del payload de los paquetes 
-> disector
                                               b) basado en muestras de 
trafico especifico que emplea el gusano .


aqui  encuentras la base teorica  de  tu  Tesis :

 http://www.honeynet.org/papers/bots/

    *Primary Authors:*
    Paul Bächer nepenthesdev en gmail.com
    <mailto:mailto:nepenthesdev en gmail.com>
    Thorsten Holz thorsten.holz en gmail.com <mailto:thorsten.holz en gmail.com>
    Markus Kötter nepenthesdev en gmail.com
    <mailto:mailto:nepenthesdev en gmail.com>
    Georg Wicherski georg-wicherski en pixel-house.net
    <mailto:georg-wicherski en pixel-house.net>
    Last Modified: 13 March 2005


como veras me imagino que aportaras a este excelente documento con los 
resultados de tu "tesis"
y una implementacion ya hecha hace 4 o mas  años  
https://projects.honeynet.org/honeywall/
y veras q esta tiene las herramientas como NDIS snort , snot-inline  , 
iptables etc.


no te olvides de  :


  License ¶ <https://projects.honeynet.org/honeywall/#License>

The Honeywall CDROM is a collection of various OpenSource software. If 
not otherwise specified, the software on the CDROM falls under the GNU 
GENERAL PUBLIC LICENSE 
<http://www.opensource.org/licenses/gpl-license.php>. The source code of 
the standard packages on the CD are available from their respective 
original providers (for example on the FTP servers at Debian, RedHat, 
Mandrake). Any software on this CDROM developed by the Honeynet Project 
is copyright the Honeynet Project and falls under the GNU GENERAL PUBLIC 
LICENSE <http://www.opensource.org/licenses/gpl-license.php>. This 
software can be identified by a header stating as such. The source code 
for any software developed by the Honeynet Project can also be found on 
our home website.



PD .
Haaa   y  un  buen  libro  de programacion  C  en unix p ej .
el  "Advanced linux programming" Pearson .


Saludos .


------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-bo/attachments/20080410/7cdb97c0/attachment.htm

Más información sobre la lista de distribución Ubuntu-bo