baicom blog

Que es SnortViz?

Es un proyecto en el que estoy trabajando en el cual se visualizan alertas del IDS Snort. Hace tiempo que estoy investigando técnicas de Visualización de la Información.

Hoy en dia nos encontramos con grandes volúmenes de datos los cuales poseen valiosa información que nos estamos perdiendo a no poder filtrarla rápida y de manera ágil.

Por eso las técnicas de Visualización nos permiten representar una enorme cantidad de información de tal manera que el cerebro humano reconozca patrones que se destaquen del resto.

En este caso les voy a presentar un gráfico que realice con el software AfterGlow, el cual permite generar gráficos de nodos, conocidos como grafos o constelaciones. Para lo cual genere un par de scripts que minan la base de datos de IDS Snort buscando las ip origenes de los atacantes, luego parseando la salida busque los paises y los sistemas de autonomos asociados.

Los sistemas autonomos nos indican de que ISP (proveedor de internet) viene.

En el diagrama se representa los ataques detectados de 3 paises, los cuales representan un 80% del total, durante el mes de Agosto del 2008:

• USA [US] (43%)
• Argentina [AR] (38%)
• China [CN] (10%)

Se muestra la relacion:

• Pais (circulo gris) -> Sistemas Autonomos (cuadrado celeste) -> Direcciones IP Origen del Atacante (gama de colores).

Los colores de las IP estan dados por la cantidad de ataques que detallo a continuación:

• 1 a 5: PaleGreen

• 6 a 10: LawnGreen

• 11 a 20: LimeGreen

• 21 a 50: Orange

• 1 a 100: OrangeRed

• 101 o mas: Red

Se pueden desprender algunos patrones rapidamente:

• Desde USA la mayoria de los ataques fueron efectuados desde del AS 36408, que corresponde al ISP: Panther Express
• Desde Argentina el AS 16814 fue el que mas ataques genero, pertenece a IPLAN -NSS-, mi proveedor de Internet, seguramente máquinas “vecinas” con worms que buscan las clases y redes vecinas (mas proximas).
• Desde China vemos pocos ASN, se nota que esta muy sectorizado, imagino que debido al rigido control que se realiza de Internet desde el gobierno chino. Habra pocos proveedores de Internet?

Los dejo con esto, mas adelante voy a agregar mas informacion y alguna explicacion mayor de como genere los graficos.

Pueden ver un poco mas en: SnortViz

Gráfico: (pueden ver el gráfico en el tamaño original AQUI)

Hoy se me presento un problema, soy un usuario muy activo del SwitchProxy ya que estoy en varios lugares que requieren proxy y es una forma rápida de cambiarlo.

Al parecer la actualización del Firefox 2.0.0.14 es incompatible con el SwitchProxy 1.4.1

Revisando un poco la pagina del SwitchProxy no hay updates disponibles y al mirar los comentarios se puede ver que hay quejas ya que en la proxima version FF3 no hay compatibilidad.

Así que acá les propongo un tip para que se ejecute sin problemas, ya que por default deshabilita el plugin. al ser incompatible.

En la barra de URL, escriben: about:config y cambian app.update.incompatible.mode a 1

Listo! Esperemos que estos dias el Switch Proxy revise el codigo y verifique su compatibilidad por ahora parece funcionar sin problemas, pero no tuve tiempo para revisar el codigo en detalle.

El siguiente post viene de una pregunta hecha en la lista “LUGAr-gral” de Linux Argentina sobre como remover el signature en las pagina de errores del Squid y aca esta mi respuesta:

—

Imagino que tenes un Debian Etch (Squid 2.6.5). Aca te dejo un patch que arme y algunas instrucciones para instalarlo. La idea es volver a tener un paquete de Debian con el patch para remover el signature del Squid.

Para el build del deb minimamente necesitas:

apt-get install build-essential dpkg-dev fakeroot debhelper po-debconf dpatch

Luego seguimos con los fuentes del Squid:

cd /usr/local/src
wget http://people.baicom.com/agramajo/patches/squid_2.6.5-not-signature.patch
apt-get source squid
cd squid-2.6.5/
patch -p1 < ../squid_2.6.5-not-signature
dpkg-buildpackage

El ultimo paso arma nuevamente el paquete del Squid, probablemente no tengas algunas librerias para generarlo, revisa la salida del dpkg-buildpackage.

Solo resta instalar el paquete:

cd ..
dpkg -i squid_2.6.5-6etch1_i386.deb

Si es la primera vez a instalar el Squid, faltaria el paquete common, pero no deberia ser tu caso.

dpkg -i squid-common_2.6.5-6etch1_all.deb

Existen varias formas de incorporar un patch a un paquete, por ejemplo con dpatch, pero bueno lo dejamos para otro momento!

El antivirus gratuito AVG (de Grisoft) sacó al mercado su nueva versión 8.0, incorporando varias mejoras, una de ellas es el LinkScanner que ellos llaman un escudo protector en las búsquedas en Internet.

Lo que realiza es inyectar código cuando estamos usando un buscador (google, msn, yahoo, etc) y marcar potenciales URL peligrosas con un tilde verde (sitio sin riesgo), signo de pregunta (no sabe), color rojo (peligroso), etc.

Como realmente me resulta molesto e invasivo lo que hace, decidí tratar de deshabilitarlo, lo cual deja hacerlo desde el panel central, pero el AVG siempre reporta que el componente esta inactivo y lo ve como un riesgo de seguridad. En versiones anteriores dejaba una opción para deshabilitar esta advertencia.

Una vez instalado o antes de instalarlo podemos remover el LinkScanner de una manera efectiva. Bajamos el paquete gratis al C:\ por ejemplo y ejecutamos:

c:\avg_free_stf_*.exe /REMOVE_FEATURE fea_AVG_SafeSurf /REMOVE_FEATURE fea_AVG_SafeSearch

Y listo el AVG, se reinstalara o instalara por primera vez según el caso, sin el LinkScanner! Seguramente sólo faltara actualizar la base del antivirus.

Para mas detalles (solo en ingles):

1. http://free.grisoft.com/ww.faq.num-1241

Windows Vista entre sus nuevas mejoras incluye “TCP/IP Auto-tuning”. esta función que en las anteriores versiones de Windows viene deshabilitada por default, en Vista se encuentra habilitada en modo normal.

TCP Auto-tuning en teoría cumple la función de optimizar las conexiones TCP/IP sobre la base de utilización de la Red con el fin de mejorar la tasa de transferencia de rendimiento. (Mayor información Links 1 y 2)

Si utilizan conexiones RDESKTOP, PUTTY o cualquier otra consola sabrán que esto no funciona de manera correcta y en lugar de mejorar nuestro rendimiento lo empeora notablemente, experimentando pérdidas de conexión con el equipo remoto constantemente. (Mayor información Link 3)

Para solucionar este inconveniente lo que hay que hacer es deshabilitar esta función de la siguiente manera:

• Abrir una ventana cmd
• Ejecutar el comando: netsh interface tcp set global autotuning=disabled 

Otra opción si no se quiere deshabilitar esta función es restringirla:

• Abrir una ventana cmd
• Ejecutar el comando: netsh interface tcp set global autotuning=restricted

Cualquiera de estas dos modificaciones solucionan el problema.

En el caso que se quiera volver atrás con el cambio lo que se debe hacer es:

• Abrir una ventana cmd
• Ejecutar el comando: netsh interface tcp set global autotuning=normal

Luego de ejecutar este comando el Vista volvera a su modo default.

Para chequear en que estado se encuentra esta función debe ejecutarse el siguiente comando:

• Abrir una ventana cmd
• Ejecutar el comando: netsh interface tcp show global

Recomendamos dejar el resto de los parámetros por “default” y no modificarlos.

 

Para más detalles técnicos pueden leer:

1. http://blogs.msdn.com/wndp/archive/2006/05/05/winhec-blog-tcpip-2.aspx
2. http://blogs.msdn.com/wndp/archive/2007/07/05/receive-window-auto-tuning-on-vista.aspx
3. http://support.microsoft.com/kb/934430