Ntop: otra herramienta para monitorizar la red

NTOP (Network TOP) es una herramienta que permite monitorear en tiempo real los usuarios y aplicaciones que están consumiendo recursos de red en un instante concreto y además es capaz de ayudarnos a la hora de detectar malas configuraciones de algún equipo (esto salta a la vista porque al lado del host sale un banderín amarillo o rojo, dependiendo si es un error leve o grave), o a nivel de servicio. Posee un microservidor web que permite ver la salida NTOP de forma remota con cualquier navegador.

Instalación y configuración

Primero debemos instalar:

$ sudo aptitude install ntop

Establecemos una contraseña para el usuario admin

$ sudo ntop --set-admin-password

Comprobamos que tenemos bien configurada la interfaz (por defecto eth0) dentro del archivo init.cfg

$ sudo gedit /var/lib/ntop/init.cfg

Iniciamos el servicio

$ sudo /etc/init.d/ntop start

Para acceder via web tendremos que ir a:

http://localhost:3000

Mapa de tráfico local

Para poder ver el mapa grafico tenemos que tener instalado el paquete graphviz y gsfonts-x11

$ sudo aptitude install graphviz gsfonts-x11

Autenticacion mediante claves publicas en SSH

el primer paso es generar nuestro juego de claves:
ssh-keygen -t rsa
(le damos enter a las opciones que nos aparecen y lo dejamos por default)

con esto, en /home/usuario/.ssh/, se generan dos archivos:
id_rsa y id_rsa.pub

el siguiente paso es copiar nuestra clave publica al servidor al cual queremos conectarnos, hay varias formas de hacerlo:
a)podemos hacerlo asi:

ssh tu_usuario@servidor_remoto \'cat >> .ssh/authorized_keys' < .ssh/id_dsa.pub

con este comando añadimos directamente la clave al archivo "authorized_keys" del servidor remoto de forma automática.

b) o asi:

ssh-copy-id tu_usuario@servidor_remoto

c) (nosotros vamos a usar esta):

con el comando scp

scp id_rsa.pub usuario@host_remoto/

una vez que paso el archivo al otro equipo, tenemos que incluir su contenido en el archivo authorized_keys
nos logueamos en el otro equipo y parados en el directorio donde copiamos el archivo tecleamos:

cat id_rsa.pub >> /home/usuario/.ssh/authorized_keys

y despues

shred -v --remove id_rsa.pub

si hicimos todos los pasos bien y no nos dio ningun error en el medio, ya podemos acceder al equipo remoto sin clave.

SYSTEMINFO

El comando para Windows "systeminfo", entre otras cosas, se puede utilizar para saber la fecha de instalacion del SO, por Ej:
llevas la PC a un tecnico para que la formatee y reinstale Windows, pero... como saber si realmente la formateo y reinstalo Windows?
hacemos lo siguiente:
Inicio/ejecutar
ahi escribimos: cmd
se abrira una consola, escribimos:
"systeminfo" (sin comillas), apretamos "enter" y en unos segundos nos arrojara un monton de info sobre nuestro sistema operativo, entre ello, la fecha de instalacion del SO:

Ver Imagen

Tambien podemos encontrar info sobre los parches, actualizaciones y SP que tenemos instalados, info sobre nuestro hardware, directorios de instalacion, versiones, et, etc.

¿Cómo cambiar la password de SA MSSQL Server 2000?

Debemos acceder al servidor mediante "Remote Desktop" y ejecutar en el CMD lo siguiente:

(Recordar que si la ruta de los binarios de MS SQL Server no se encuentran en el PATH del sistema podemos encontrarlos habitualmente en: “C:\Program Files\Microsoft SQL Server\80\Tools\Binn")

osql –E

Con este comando accedemos al prompt del SQL usando la “Autentificación Integrada de Windows", es decir si hemos accedido al sistema como Administrador tendremos privilegios de administración sobre el Microsoft SQL.

Entonces escribiremos lo siguiente:

sp_password NULL,'nuevo _password_sa',sa
go

Substituyendo nuevo_password_sa por la contraseña que queramos asignar al usuario SA del SQL.

Una vez recibamos el mensaje “Password Changed" sabremos que la contraseña ha sido cambiada, y ya podemos salir del prompt del SQL con:

exit

Substituyendo nuevo_password_sa por la contraseña que queramos asignar al usuario SA del SQL.

Si queremos verificar que todo haya funcionado correctamente, podemos salir del prompt e intentar acceder como SA con el siguiente comando:

osql -Usa

Te roban Wi-Fi ??

Como encontrar a quien te roba acceso a internet via Wi-Fi.

La herramienta MoocherHunter, es un software de seguimiento movil para la geo-localizacion en tiempo real de atacantes de redes inalambricas.

Para utilizar MoocherHunter necesitamos:
- una antena direccional
- una notebook (o netbook o cualquier dispositivo similar)
con estas dos herramientas estamos listos para poder seguir la señal y aislarla hasta localizar la fuente exacta.

Esta herramienta se encuentra en el LiveCD OSWA-Assistant que contiene herramientas para la auditoria de redes inalambricas.

MoocherHunter solo soporta los chipset de tarjetas inalambricas: Prism54G (HARDMAC), Atheros, RTL8187, RT2500, RT2570, IPW2200 y IPW2915.

Info y video demostracion de MoocherHunter:
http://securitystartshere.org/page-training-oswa-moocherhunter.htm

Info y descarga de LiveCD OSWA-Assistant:
http://securitystartshere.org/page-training-oswa-assistant.htm

Puntos de restauracion en Linux

Puntos de restauración en sistemas Linux.

Con la herramienta TimeVault, similar a Time Machine empleada en Mac OS.
Esta herramienta realiza imágenes del disco duro cada cierto tiempo, estas después, se pueden recuperar facilmente en caso de perdidas accidentales de datos.

TimeVault monitoriza en segundo plano la actividad de los directorios especificados, obviando ficheros o carpetas excluidos previamente por el usuario. Cada cierto tiempo la herramienta, realizara una imagen y mostrara los archivos que sufrieron cambios.

Ademas esta herramienta ordena las imagenes por linea de tiempo y nos permite recuperar la información del disco a una fecha anterior de una forma facil.

Más información y descarga de TimeVault:
https://launchpad.net/timevault

INSTALANDO NAGIOS 3

En este tutorial, vamos a ver como se instala y queda operativo NAGIOS, software opensource para monitoreo de redes, equipos y servidores, usamos como base para su instalacion Ubuntu Server 8.04. y la version 3 de NAGIOS

Aca el tuto:

Lo primero que tenemos que hacer es instalar Apache2.

apt-get install apache2


Instalamos el paquete de compilación necesario

apt-get install build-essential


Como los mapas de Nagios trabajan con imagenes, vamos a instalar las librerías necesarias para jpeg, png y gd2

apt-get install libjpeg62 libjpeg62-dev libpng12-0 libpng12-dev libgd2-xpm-dev


Descargamos la librería gd2 para instalarla

wget -c http://www.libgd.org/releases/gd-2.0.35.tar.gz
tar -xzvf gd-2.0.35.tar.gz
cd gd-2.0.35
./configure
make
make install


Creamos los usuarios y grupos que nos serán necesarios para Nagios

useradd nagios
passwd nagios

groupadd nagios
groupadd nagcmd

usermod -G nagios nagios
usermod -G nagcmd nagios
usermod -G nagcmd www-data


Ahora si, vamos a instalar Nagios y sus plugins

wget http://tinyurl.com/2jyzao/nagios-3.0a5.tar.gz
wget http://tinyurl.com/2mqzzk/nagios-plugins-1.4.9.tar.gz


Descomprimimos Nagios

tar -xzf nagios-3.0a5.tar.gz


A compilar!!

cd nagios-3.0a5
./configure –with-command-group=nagcmd
make all
make install
make install-init
make install-config
make install-commandmode
make install-webconf


Una vez compilado Nagios, vamos por los plugins:

Los descomprimimos

tar -xzf nagios-plugins-1.4.9.tar.gz


y los compilamos

cd nagios-plugins-1.4.9
./configure -with-nagios-user=nagios –with-nagios-group=nagios
make
make install


Y para que nos lleguen las alertas por correo instalamos Postfix como MTA

apt-get install postfix


Damos el acceso a nuestra página de Nagios

htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin


Reiniciamos apache (para que la nueva configuración se haga efectiva)

/etc/init.d/apache2 reload


Arrancamos Nagios

/etc/init.d/nagios start


Si queremos que arranque automaticamente cada vez que inicie nuestro servidor

(esto es opcional)

ln -s /etc/init.d/nagios /etc/rcS.d/S99nagios


Accedemos via Web a nuestro servidor Nagios ( En el explorador la dirección IP de Servidor Nagios )

http://direccion_Ip/nagios

Listo, ya estamos listos para monitorear nuestra red!!!

Podemos monitorear toda clase de equipos (switchs, routers, pc´s, servidores, impresoras, ups´s) y de varias formas (ssh, snmp, plugins, etc) pero eso vendra en el proximo tutorial.

Web oficial del Proyecto

http://www.nagios.org/