Anti-Nmap?Existe para linux,pero para Windows??

Iniciado por _Crossfire_, 28 Junio 2012, 05:37 AM

0 Miembros y 1 Visitante están viendo este tema.

_Crossfire_

Saben como bloquear escaneos con nmap??En linux es posible gracias a PSAD, pero y en windows??

Mi gran pregunta es si sabeis de algun software o alguna tecnica,ya que bloquear del todo es imposible(se le puede engañar ligeramente) por lo menos si existe algun avisor de escaneos,No se imaginense un programa o algo instalado en vuestro pc,y que os diga "Alerta has sido escaneado" o "Alerta te estan escaneando" no me refiero que te diga quien te ha escaneado ni mucho menos jajaj solo que avise de que tal hecho ha tenido lugar o lo esta teniendo en ese mismo momento.

Se aceptan toda clase de Ideas.

[u]nsigned

Si se puede. Abri la configuracion del Firewall de Windows, y en la solapa Opciones Avanzadas le das click al boton configuracion de ICMP.

En la ventana que se te abre destildas la opcion "Permitir solicitud de eco entrante" y listo.


Tambien hay que aclarar que esto solo funciona si no tenes archivos o impresoras compartidas.

SAludos!!!

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!

_Crossfire_

Cita de: El As del Club Paris en 28 Junio 2012, 13:46 PM
Si se puede. Abri la configuracion del Firewall de Windows, y en la solapa Opciones Avanzadas le das click al boton configuracion de ICMP.

En la ventana que se te abre destildas la opcion "Permitir solicitud de eco entrante" y listo.


Tambien hay que aclarar que esto solo funciona si no tenes archivos o impresoras compartidas.

SAludos!!!


Eso es para cuando te den ping(ICMP).Es decir si marcas esa casilla y bloqueas los ICMP lo maximo que se consigue es que en la pantalla del ordenador que te esta escaneando le salga "Host inalcanzable" o "Tiempo de solicitud agotado".


Tengo un amigo,el cual tiene un ordenador portatil en el cual le baje el Firewall Comodo y lo configure con la maxima proteccion posible(el firewall no daba para mas jaja) y hice lo que tu dices y el resultado fue ese "Tiempo de solicitud agotado".Lo unico que pude hacer el su ordenador para reforazar su seguridad es activar la proteccion SYN que trae por defecto windows(Esta en la siguiente clave de regedit - "HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParametersSynAttackProtect").

Pero sigo sin encontrar algo mas efectivo me refiero a un software o cualquier cosa que tenga la funcion de alarma.

Gracias por tu aporte :D

adastra

Cita de: El As del Club Paris en 28 Junio 2012, 13:46 PM
Si se puede. Abri la configuracion del Firewall de Windows, y en la solapa Opciones Avanzadas le das click al boton configuracion de ICMP.

En la ventana que se te abre destildas la opcion "Permitir solicitud de eco entrante" y listo.


Tambien hay que aclarar que esto solo funciona si no tenes archivos o impresoras compartidas.

SAludos!!!
Esto solamente te vale cuando el escaneo que se esta haciendo ejecuta pings, simplemente con especificar a nmap que no ejecute un reconocimiento de hosts (es decir, que asuma que esta levantado) bastará para "evadir" ese filtro.
La mejor forma de detectar y posteriormente bloquear ese tipo de ataques es con un NIDS.
Los dos mejores que conozco son Snort y Suricata. (también funcionan en windows)

dimitrix

A todo esto, el mejor para Linux (personalmente) es el CSF.




_Crossfire_

Actualmente estoy con snort , pero veo que es complicadisimo configurarlo.Pero bueno, intentaré hacerlo.

Una dudilla:Estoy intentando configurar snort contra arp poisoning y veo que no me funciona, ya que intento hacerlo desde una maquina virtual y hago a mi ordenador arp poisoning, y snort no dice nada, ni alerta ni nada :S.

Alguna idea?

adastra

Cita de: _Crossfire_ en  1 Julio 2012, 17:20 PM
Actualmente estoy con snort , pero veo que es complicadisimo configurarlo.Pero bueno, intentaré hacerlo.

Una dudilla:Estoy intentando configurar snort contra arp poisoning y veo que no me funciona, ya que intento hacerlo desde una maquina virtual y hago a mi ordenador arp poisoning, y snort no dice nada, ni alerta ni nada :S.

Alguna idea?
Sin ver las reglas que estas usando, difícil saber que estas haciendo mal
Recomendación:
Utilizar reglas libres de Snort:
Ver:
http://thehackerway.com/2011/07/22/utilizando-rulesets-en-snort-para-deteccion-de-amenazas-y-generacion-de-alarmas-%e2%80%93-parte%c2%a0ii/


http://thehackerway.com/2011/07/25/utilizando-reglas-libres-de-snort-para-deteccion-de-amenazas-y-generacion-de-alarmas/


También utilizar el pre-processor para arp-spoofing y arp-poisoning
ver: http://thehackerway.com/2011/07/18/usando-preprocessors-en-snort-%e2%80%93-parte-vi-%e2%80%93-preprocessor-ssltls-y-arp-spoof/

_Crossfire_

Actualmente estoy configurandolo segun los links que me has pasado adastra   :)

Una preguntilla compañero, ati te funciona snort al 100%, me refiero una vez configurado has intentado atacarte a ti mismo para ver si realmente detecta intrusos?

Gracias por los links ;)

adastra

Cita de: _Crossfire_ en  2 Julio 2012, 21:24 PM
Actualmente estoy configurandolo segun los links que me has pasado adastra :)

Una preguntilla compañero, ati te funciona snort al 100%, me refiero una vez configurado has intentado atacarte a ti mismo para ver si realmente detecta intrusos?

Gracias por los links ;)


Si, de hecho también he escrito un par de cosillas al respecto, sobre como Snort detecta varios tipos de ataques (incluyendo ataques de reconocimiento con herramientas como Nmap) y como evadirlo. Aquí algo que te puede servir:


http://thehackerway.com/2012/02/24/intentando-evadir-mecanismos-y-restricciones-de-seguridad-escaneo-con-nmap-evadiendo-firewalls-parte-vi/


http://thehackerway.com/2012/02/27/intentando-evadir-mecanismos-y-restricciones-de-seguridad-burlando-reglas-de-deteccion-de-snort-con-nmap-parte-viii/


http://thehackerway.com/2012/02/29/intentando-evadir-mecanismos-y-restricciones-de-seguridad-burlando-reglas-de-deteccion-y-alarmas-de-snort-utilizando-w3af-parte-ix/





_Crossfire_

Muchas Gracias compañero jajaj Me las voy a leer ahora mismo a ver que tal :D

Seguramente me seran de gran ayuda.

Gracias por tu aporte