Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Mobiplayer

#1
Redes / Re: Crear subredes con router Cisco.
14 Agosto 2012, 21:08 PM
Cita de: flamacore en 13 Agosto 2012, 19:20 PM
Hola amigos, les cuento que estoy un poco complicado , tengo una red de area local e internet con 253 host, los que ya estan casi todos copados, y ahora quiero habilitar otro router para que asigne un rango diferente de ip para poder seguir creciendo, pero he buscado tanta informacion que me vino una especie de colapso y no se para donde apuntar ... mi pregunta es si puedo atravez de enrutamiento estatico habilitar el nuevo rango que necesito y lo otro es si esto puedo hacerlo a travez del puerto ethernet que me queda disponible en el router (fe 0/1). Ojala me puedan ayudar,esto ya me esta volviendo loco.

Si solo quieres añadir hosts y no te interesa ni por asomo separar las redes, solo tienes que cambiar la máscara de la red. Ahora tienes una /24, con una /23 (255.255.254.0) tendrás 256 más, con una /22 (255.255.252.0) tendrás 768 más, etc.

Tienes que cambiarla en todos los dispositivos de la red. Tanto en el router como en los PC's :) si usas DHCP en 5 minutos lo tienes arreglado.

Saludos
#2
Redes / Re: FIREWALL ASA 5505
31 Julio 2012, 21:37 PM
Cita de: alex_9r en 20 Junio 2012, 04:07 AM
Tienes que definir efectivamente los 3 ambientes  tu inside es tu LAN tal cual por ejemplo direccion de clase C /24, la DMZ es también una red privada por ejemplo clase B/24, pero aqui viene lo bueno, las direcciones IP de tus servidores de DMZ, tendras que hacerles una traslacion estatica y aplicar mediante listas de acceso, quienes o quien puede ver o no.  y esas ips de dmz, tendras que definir por otro nat, con tus direcciones ip de tu lan de servidores, para que los proveedores o los externos no conozcan tu direccionamiento interno

SALUDOS

Hola,

No veo la ventaja de hacer un NAT entre la DMZ y la LAN. Ocultas tu direccionamiento interno, ok; pero ¿qué más da? estás haciendo NAT estático e igualmente sabrán como alcanzar tu servidor... De eso se trata y por eso lo tienes en un segmento diferente ¿no? Solo veo útil ese tipo de NAT si vas a montar una VPN para algún proveedor/cliente y hay solapamiento de direccionamiento.

Saludos!
#3
Redes / Re: Ping dice "no" y Nmap dice "Si"
31 Julio 2012, 21:30 PM
Efectivamente tiene toda la pinta de que ese SYN al 80/TCP recibe un ACK y, por tanto, da la máquina como levantada. Aún así, podría ser un falso positivo y me explico:

Si delante de la máquina hay un firewall que no permite los pings desde fuera y además actúa como SYN proxy, no puedes estar seguro de que haya una máquina ahí detrás; aunque sería lo normal ya que el firewall actuará como SYN proxy siempre y cuando tenga una regla que permita esas conexiones al 80/TCP.

Saludos
#4
Más incerteza a la hora de lanzar una start-up española basada en Internet y digo española por que otro de los motivos de incerteza es la Ley Sinde, pero seguramente aplique a cualquier negocio fuera de los EEUU.
#5
Seguridad / Re: De copas con Qbot
16 Diciembre 2010, 03:28 AM
Lo que explico, lo explico como resumen y no como novedad. De hecho gracias a Novlucker me he ahorrado tiempo de investigación, por lo que si por mi fuera le daba una medalla  ;D

Un saludo y gracias!
#6
Seguridad / Re: De copas con Qbot
14 Diciembre 2010, 00:36 AM
Hola,

Me gustaría añadir un par de cositas más:

Finalmente he visto que el usuario se infectó a través de una web en principio legítima. Los atacantes infectaron una tienda online que corría OsCommerce (por lo visto se encontró un bug y estaba siendo explotado on the wild), redirigiendo peticiones hacia http://nt06.in desde la misma. Una vez en la web maliciosa se explotaba una vulnerabilidad en Adobe Reader (versiones hasta 9.4, no vulnerables 9.4.1 y X) que era la que finalmente subía el troyano al usuario. De ahí corrió como una mancha de aceite por toda la red, clonándose en recursos compartidos.

He informado al webmaster de la tienda online, pero de todas maneras creo que ya está limpia.

Saludos y espero que os sirva de ayuda.
#7
Seguridad / Re: De copas con Qbot
2 Diciembre 2010, 18:06 PM
Por cierto, se me olvidaba y creo que es importante: Ahora toca revisar logs del proxy para ver como leches ha llegado el usuario hasta la 91.213.8.192...

Saludos
#8
Seguridad / Re: De copas con Qbot
2 Diciembre 2010, 18:05 PM
Cita de: Arcano. en  2 Diciembre 2010, 17:28 PM
Hola Mobiplayer

Muy interesante lo que cuentas.

Tienes suerte. En mi caso, primero que no es mi trabajo -ojalá lo fuera- y segundo que la cantidad de ordenadores es muy elevada... Aunque supongo que todo sería ponerse. Me encantaría que describieras, en la medida de lo posible, cómo has llegado -o eso crees hasta falta de confirmación- hasta 'el caso cero'. Supongo que a través de 'mucho WireShark', pero... Lo dicho, toda explicación será bienvenida. Mera curiosidad.

Hola,

Pues al final de la manera más tonta: Revisando logs del cortafuegos. Filtrando por servicio (ftp), origen (red corporativa) y destino (listado de ftp's a los que se conecta el virus). He ido haciendo marcha atrás en los logs hasta que ya no había rastro de estas conexiones, por lo que la primera que aparece en el tiempo es el "caso cero".

Citar¿Y no pudiste hallar la máquina en la red? Lo digo porque hubiese sido interesabte escanearla para poder observar qué tipo de software/malware tenía instalado.

Mmm... Si 'nuestro amigo' aprovecha netBios para propagarse, a saber si también está 'programado' para eso. Puede que la información recopilada no lo describa, pero... quién sabe. Lo dicho anteriormente, hubiera sido interesante hallar esa máquina para escanearla.

Sí, se la pasé al personal de IT y ahí quedó la cosa. Yo seguí a lo mío... No pensé que me llegara a ser muy útil la información que me pudiera dar esta máquina y, además, soy más de redes que de sistemas :P por lo que aunque pudiera proporcionarme información, no soy el más hábil en ese campo. Lo que sí hice fue lanzarle yo un portscan y reconocer los servicios que corría, por si tenía algún RAT o similar. IT me confirmó que los servicios descubiertos eran normales. No ahondé mucho más ya que, además, no aparecía ningún servicio como filtrado (señal de filtro por IP origen por ejemplo).

CitarEn esto no había pensado... Intersante...

A bote pronto no he encontrado nada ahí.

CitarCuando lo hayas terminado, ojalá lo quieras compartir con nosotros.


Muchas gracias por la información!

Saludos.

No creo que pueda/deba, pero sí -sin duda- echar una mano en lo que necesitéis ya que por fin he conseguido todo lo que quería: Caso cero, métodos de propagación, vector de infección. Una máquina (caso cero) se conectó una mañana a la fatídica IP 91.213.8.192, siendo infectado tras explotarse la vulnerabilidad de Adobe Reader y a los 30 segundos ya estaba intentando subir datos a uno de los FTP de la lista. La conexión a la IP estaba permitida pero para encontrarla he tenido que cambiar el filtro origen por la IP del proxy, ya que navegan por proxy. Ahora esa IP ya está denegada en el propio proxy.

La verdad es que me ha ayudado mucho la información de NovLucker (¡gracias fiera!) ya que me ha ahorrado tiempo de búsqueda entre gigaBytes de logs :)

Si puedes, haz lo siguiente: Mediante GPO (no sé si se puede) filtra el tráfico entrante a los puertos 137, 139 y 445 de las estaciones de trabajo. Así contienes la amenaza. Luego limpia con el McAfee (a mi cliente tuvieron que suministrarle un ExtraDAT al principio, mira de contactar con McAfee si tu VirusScan no limpia) y finalmente recórrete los logs del cortafuegos en busca de conexiones http a las webs que explotan la vulnerabilidad y conexiones FTP a los servidores donde se sube la información.

Si tienes cualquier pregunta y crees que te puedo ser de ayuda ya sabes, dispara :)

Voy a escribir el informe.
Saludos
#9
Seguridad / Re: De copas con Qbot
2 Diciembre 2010, 16:56 PM
Hola,

Estoy tratando con lo mismo. En mi caso me he centrado en encontrar el método de infección (llegando a la misma conclusión que vosotros) y luego el vector. En estos momentos parece que he encontrado el "caso cero" pero estoy confirmándolo.

El asunto es que yo estoy contratado para esto, por lo que no trabajo aquí y no es mi trabajo directo limpiarlo (por eso puedo dedicarme a cosas más divertidas jeje). Estoy recopilando toda la información y redactando el informe, creo que voy a recomendar la utilización de HIPS que viene incluído en el paquete Total Endpoint Protection de McAfee. Pediré que con HIPS bloqueen las conexiones Netbios entrantes en las workstations y así eliminamos este problema y otros futuros similares.

Como curiosidades decir que nada más enchufarme a la red del cliente recibí un portscan de una máquina de la red. Hablando con el personal de IT me dicen que no hay nada similar programado (había pensado en un RSD de McAfee), pero tampoco no me cuadra este comportamiento con lo descrito por todas partes acerca de Qakbot/Qbot/PinkSlipBot. En fin, que tras mucho Wireshark y mucho análisis puedo afirmar lo que dicen los fabricantes de antivirus, que se propaga a través de los recursos compartidos de Windows. En este caso el número de máquinas no es muy exagerado, unos cientos, por lo que los DC aguantan bien la cantidad de peticiones de autenticación. También he capturado el tráfico que se genera al navegar por las webs corporativas, no sea que el "caso cero" fuera la introducción de código malicioso en estas webs (cosa que ya me encontré una vez).
Finalmente estoy revisando logs del proxy (aunque extrañamente se han perdido logs de una semana entera, la semana interesante) y logs del firewall, que es donde he localizado la primera máquina que trató de subir información a los FTP de la lista que ponéis.

Saludos
#10
Redes / Re: Duda redes
22 Octubre 2010, 01:08 AM
Cita de: Gargoris en 21 Octubre 2010, 18:17 PM
Si , me has entendido .

Una hipotesis

Imaginad un colegio o un sitio publico , en uno de esos ordenador con una ip x privada se comete un delito por ejemplo, y en internet se percatan de que la ip publica del colegio X  ha cometido un delito.

Mi pregunta es , podria alguien indentificar desde que ordenador se ha ejecutado el delito sin tener acceso a la red interna del colegio X?.

Supongo que de no ser asi , la actuacion policia seria preguntar al ISP a quien pertenece esa IP publica y presentarse en el colegio y revisar los rotuters y servidores no?,entonces si que podrian detectar desde que equipo se ha ejecutado el delito, no es asi?.

Un saludo y gracias.


Hola,

El router solo guarda esta información mientras siga viva la sesión establecida. Otra cosa es que guarde algún tipo de log, cosa que en los routers SOHO no ocurre.

Y como bien imaginas, desde fuera no se puede saber quien fue... A no ser que dejes otro tipo de rastro, quizá a nivel aplicación (cabeceras HTTP por ejemplo).

Saludos