lunes, 28 de febrero de 2011

Scapy: Construyendo un paquete UDP

Compartir este artículo:

Hace relativamente poco entré en contacto a raíz de un paper publicado en hackxcrack con una potentísima aplicación llamada scapy. Scapy es una herramienta escrita en python que nos permite desde crear paquetes UDP o TCP, hasta realizar un montón de cosas más con la potencia implícita que nos da python, escaneos de puertos, ataques DDoS, como herramienta didactica, etc. Tengo preparado otro post más de scapy y me gustaria poder dedicarle el tiempo que se merece para poder hacer una serie de ellos y poder explicar y entender ciertas cosas. En este primer post vamos a aprender como se genera un paquete TCP y como se vería en Wireshark y si lo recibimos con ncat.

 

Como sabemos UDP es un protocolo de red en el nivel de transporte que permite el envío de datos sin haber establecido previamente una conexión. Por lo que en este primer post de introducción veremos la facilidad de crear y enviar un paquete.

Las herramientas que yo he usado fueron, un linux con scapy y un mac con ncat y wireshark.

Entramos en materia, lo primero es tener claro cuales son las ip’s origen y destino y el puerto por el que queremos conectarnos. Ejecutamos Scapy y si hacemos ls(IP()) vemos lo siguiente:

 

 

Son todos los campos de un paquete en la capa IP, vienen definidos de la siguiente forma:nombreDato : tipoDato = ValorActual. Para nuestro ejemplo solo nos valdría dst (ip destino) y src (ip origen). Por lo que tecleamos: (en mi caso)

>>> c_IP=IP(dst=”47.69.69.22″ , src=”47.69.69.55″)

Hemos creado un objeto llamado c_IP que contiene los valores por defecto de la capa IP excepto los moficicados (src y dst). Podemos listar la parte modificada de la capa con el comando c_IP.

Ahora vamos con la capa UDP, si la listamos ls(UDP()) vemos lo siguiente:

 

 

Al igual que en el resultado anterior, en este caso podemos ver los campos de un paquete en su capa UDP. Para nuestro caso solo nos valdría dport (puerto destino) y sport (puerto origen). Por lo que tecleamos: (en mi caso)

>>> c_UDP=UDP(dport=5005 , sport=1024)

 

Hemos creado un objeto llamado c_UDP que contiene los valores por defecto de la capa UDP excepto los modificados (dportsport). Podemos listar la parte modificada de la capa con el comando c_UDP.

Lo siguiente seria añadir un payload, es decir la información contenida en el paquete, en nuestro caso será un mensaje pero podría ser streaming de video, VoIP o cualquier otro formato que viaje en UDP. Tecleamos:

>>> payload=”Hola mundo -> UDP\n”

 

Una vez rellenado el payload procedemos a ensamblar el paquete creado de la siguiente forma:

>>> pqt=c_IP/c_UDP/payload #El paquete recibe el nombre pqt

Si lanzamos pqt podemos ver como quedaría nuestro paquete ensamblado:

 

Ahora solo tendríamos que enviarlo, esto se hace con el comando send(nombrePaquete) en nuestro caso:

>>> send(pqt)

Pero antes de enviarlo vamos a abrir nuestro wireshark para ver como se vería. Para poder localizarlo mejor podemos poner el filtro:

ip.src_host==47.69.69.55 || udp.port ==5005

Este filtro haría que solo se mostrara los paquetes que salen de la ip 47.69.69.55 (donde ejecutamos scapy) y que vayan destinados al puerto 5005 y mediante UDP.

Aquí tenéis la captura del wireshark y la información del paquete, este paquete es  es rechazado por el host destino porque tiene el puerto cerrado y no espera nada.

 

Sin embargo si ejecutamos el ncat de esta forma:

ncat -v -u -l -p 1024

-v : modo verbose activo
-u : modo UDP
-l : indicamos que lo ponemos en escucha
-p 1024 : especificamos puerto

Estaríamos diciendo con este comando que dejamos el puerto 1024 UDP a la escucha de cualquier conexión entrante y al indicar modo verbo que nos especifique todo, al enviar el paquete con scapy veríamos lo siguiente:

 

 

Y aquí os pongo la captura completa de lo hecho con scapy, como veréis, muy sencillo:

 

 

Y hasta aquí el post de hoy, espero poder volver a subir la frecuencia de publicación próximamente.

domingo, 27 de febrero de 2011

Informe Flu - 8

Compartir este artículo:

Damos comienzo al resumen de la semana 8 de Flu:

Lunes 21 de Febrero

Martes 22 de Febrero

Miércoles 23 de Febrero

Jueves 24 de Febrero

Viernes 25 de Febrero

Sábado 26 de Febrero

  • Razor, herramienta de HBGary para la detección de malware.
  • GnackTrack, la versión de Backtrack con el gestor de ventanas Gnome, basada en Ubuntu.

sábado, 26 de febrero de 2011

Razor

Compartir este artículo:

La conferencia de seguridad RSA que se llevó a cabo del 14 al 18 de Febrero en San Francisco, tuvo mucha expectación por el gran anuncio que se realizó sobre una nueva herramienta anti-malware que presentaba la empresa HBGary. La empresa estaba a punto de desvelar un nuevo dispositivo llamado 'Razor', un equipo especializado en conectarse a redes corporativas que pueden escanear computadoras de la compañía en busca de virus, rootkits y código personalizado de software malicioso, incluso malicioso que nunca se había visto antes.

Razor 'captura todo el código ejecutable en el sistema operativo Windows y los programas en ejecución que se puede encontrar en la memoria física', dijo HBGary, y luego 'detona' estos archivos capturados dentro de una máquina virtual y realiza el seguimiento de nivel extremadamente bajo de todas las instrucciones. 'Ciertas conductas, en lugar de la firma, podría sugerir la presencia de malware en el interior de la empresa.

El producto es muy interesante para empresas corporativas, aunque simplemente es una noticia más sobre la lucha anti-malware de las empresas.

GnackTrack

Compartir este artículo:

La mayoría de la raza ya conoce el famoso backtrack, en lo personal una de mis distros favoritas. Ahora les comparto esta distro llamada GnackTrack que trae muchísimas herramientas al igual que bactrack solo que este basa su gestor de ventanas en GNOME, lo cual para muchas personas que no les agrada el KDE pues esta puede ser su alternativa.

Les comparto la pagina del proyecto y donde pueden descargarla.

GnacktrackDownload

viernes, 25 de febrero de 2011

Resumen ponencia de Flu Project en la JITICE 2011

Compartir este artículo:

Buenas a todos, ayer estuvimos Pablo y yo en la JITICE 2011 donde tuvimos una ponencia sobre Flu Project. Las JITICE son unas jornadas educativas que se realizan de manera anual y en las que numerosos investigadores publican sus trabajos sobre proyectos de educación, en nuestro caso, quisimos aprovechar las jornadas para mostrar a los asistentes como se puede enseñar seguridad a partir del proyecto Flu.

Las jornadas han sido muy interesantes, se han tratado proyectos de muchas temáticas y de gran calidad. Nuestra ponencia tuvo una gran acogida, comenzó Pablo la charla poniendo en antecedentes al público, hablando sobre el estado de la seguridad en la actualidad, y explicando como funciona Flu Project, y el troyano Flu. Tras la parte de Pablo continúe haciendo una demo de Flu, con la que robamos unas credenciales de autenticación de un banco con el keylogger (no mostrado en el vídeo que os dejamos a continuación) entre otras cosas.

La charla finalizó con una batería de preguntas donde se analizaron diversos aspectos del proyecto y donde nos propusieron ideas bastante interesantes sobre difusión que estudiaremos próximamente.

Tras la ponencia estuvimos charlando con algunos asistentes, sentimos si asustamos a algunos demasiado con la demo }=)

La gente se lo pasó bastante bien, la charla fue divertida y como siempre pasa, se nos hizo corta, teníamos charla para más, pero el tiempo era limitado. Para el próximo año pediremos el espacio de dos charlas si nos lo permiten :P

A continuación os dejamos las diapositivas de la charla, y un vídeo que resume la demo que realizamos:

Saludos!

jueves, 24 de febrero de 2011

pastebin... tu password en Internet

Compartir este artículo:

Hoy en día no se puede decir que nuestro password no está en Internet, pastebin es un sitio dónde puedes encontrar tu password entre sus páginas. ¿Por qué perder el tiempo intentando saber el password de tu ex-novia si lo tienes en Internet? Si las cosas andan así por Internet, tiempos duros... Bueno vamos a ver como funciona esto de pastebin aunque creo que a nadie le gustaría ver sus credenciales en este site.

Buscando

Lo primero sería pensar, ¿Qué tipo de cuenta queremos buscar?¿Quizá a alguien le interesa poder ver más de 72 minutos de Megavideo? Para todo esto existe el buscador de pastebin en el cual se puede escribir el tipo de programa en el que se capturaron las credenciales, y la URL. Esto lo ejecutaremos de la siguiente manera: 'program firefox url facebook'.

Se obtendrá una lista de entradas, publicadas en distintas fechas, hay que recalcar que cuanto más tiempo haga que se publicó menos probabilidades de que la credencial no haya sido cambiada o ya no exista la cuenta. Por lo que es un dato importante ver que fecha tiene la lista de credenciales publicada.

Estas cuentas han sido robadas mediante stealers. Los stealers son código que forman parte de un malware o simplemente son el malware completos que se encargan de 'capturar' las credenciales, las url dónde fueron introducidas, IP de la máquina, nombre de máquina, todo tipo de datos de interés, y son enviados al atacante que gobierna este tipo de malware. Esta persona se encarga de publicar estos datos en Internet, por ejemplo, en sitios como pastebin.

Hace poco tiempo comenté con amigos lo que esto produce a la sociedad, miedo o acojone como prefiráis, y la verdad que la ignorancia da la felicidad. Creo que la mayoría de vosotros buscaréis vuestras credenciales en este sitio, por si las moscas.

miércoles, 23 de febrero de 2011

Valida los datos en el servidor o atente a pérdidas

Compartir este artículo:
Buenas a todos, en las tiendas Online un aspecto muy importante es el de la validación de los datos en los carritos de compra. Si no validas los datos en el lado del servidor que un cliente envía desde su navegador, con la simple confianza de que un usuario no modifique una petición web..., mal camino llevas.Para probar este hecho vamos a utilizar el plugin para Firefox, Tamper Data, un proxy para modificar las cabeceras HTTP y HTTPS que utilizaremos para modificar los parámetros enviados por POST en una petición web.Para ilustrar el problema haremos la demo sobre un sitio web vulnerable de compra de máquinas de gimnasio.A continuación se puede ver la página web donde se presenta el producto de la tienda online:Añadiremos el producto al carrito:Si tenemos activo el plugin Tamper Data habrá cazado la petición:Nos dará la posibilidad de modificarla:Ahora solo debemos buscar dentro de los parámetros enviados por POST el número donde se indíca el precio del producto, y modificarlo por el que queramos, por ejemplo, 1€:Y ejecutar el envío modificado:Ya tenemos una máquina de gimnasio en nuestra casa por el increíble coste de 1€.Validad los datos siempre, no dejéis nada en el aire o si no podéis perder mucho dinero.Saludos!P.D. Ya sabéis porqué me queda tan bien la camiseta de Flu... ;P

martes, 22 de febrero de 2011

Seguridad en los banner de los servidores web Apache, ocultandoinformación

Compartir este artículo:
Buenas a todos, una de las claves para mantener un sistema seguro es proporcionar el menor número de información, pero parece que aún hay bastantes organizaciones que no tienen este hecho como una premisa. Un ejemplo claro es el tema de los banner de los servidores web.Los banner son una fuga de información importante porque pueden proporcionar datos como el modelo concreto de servidor web utilizado o el sistema operativo sobre el que corren, lo que supone información clave para un exploiter. Por tanto es necesario limitar esta información.Para que veáis un ejemplo de banner he instalado un servidor Wamp sobre un Windows 7 y he utilizado la herramienta Anubis 1.1., que desarrollé hace un tiempo, para visualizar el banner:


Como veis por defecto Wamp muestra "demasiada información":

Apache/2.2.17 (Win32) PHP/5.3.4

Esto es debido a que en el fichero de configuración "httpd.conf" o no tenemos la clave "ServerTokens XXX" o tenemos la clave configurada de la siguiente manera:
  • ServerTokens Full
Para limitar la información podemos utilizar alguna de las siguientes claves:
  1. ServerTokens Prod(Mostrará en el banner: Server: Apache)
  2. ServerTokens Major(Mostrará en el banner: Server: Apache/2)
  3. ServerTokens Minor(Mostrará en el banner: Server: Apache/2.2)
  4. ServerTokens Min(Mostrará en el banner: Server: Apache/2.2.17)
  5. ServerTokens OS(Mostrará en el banner: Server: Apache/2.2.17 (Win32)
Yo para la prueba he utilizado la clave:
  • ServerTokens Prod
Y este es el resultado:


Como veis es muy sencillo de configurar. Otra opción es modificar el banner antes de realizar la configuración, para ello podéis ir al fichero "includes/ap_release.h" y modificar las siguientes líneas:

#define AP_SERVER_BASEVENDOR "Apache Software Foundation"
#define AP_SERVER_BASEPROJECT "Apache HTTP Server"#define AP_SERVER_BASEPRODUCT "Apache"

Por algo como lo siguiente:

#define AP_SERVER_BASEVENDOR "Flu Project"
#define AP_SERVER_BASEPROJECT "Flu Server"#define AP_SERVER_BASEPRODUCT "Flu"

Una modificación que se suele hacer es modificar los nombres de Apache, etc., por otro servidor web conocido como IIS, para intentar confundir a los usuarios maliciosos, que intentarán atacarnos pensando que tenemos otro servidor web y/o sistema operativo.

Eso es todo por hoy, ¡cuidado con la información que compartís!

Saludos!

lunes, 21 de febrero de 2011

Explotando UAC Windows 7

Compartir este artículo:

El presente artículo muestra una prueba de concepto la cual puede ser ejecutada de manera aislada a los artículos que se referenciaran. Este artículo es la 3ª entrega de la serie sobre phishing en Flu Project. La situación de la prueba de concepto es la siguiente, en el primer artículo se explicaban los conceptos y definiciones sobre phishing, en el segundo se creaba un fake con el que engañaríamos a un usuario para creer que se encontraba en una página en concreto y tras conseguir una sesión reversa en la máquina del usuario con Metasploit explotaremos en la tercera entrega de la serie una vulnerabilidad existente en el UAC de Windows 7 para conseguir escalar privilegios de la máquina remota.

El sistema operativo de Microsoft, Windows 7, el cual ha recibido, en general, buenas críticas y desde mi punto de vista ha supuesto una mejora y una optimización del sistema Vista bastante acertada, tiene en el UAC, la típica aplicación pesada que no deja de preguntar, una vulnerabilidad high risk. Esta aplicación tiene una vulnerabilidad la cual se explotará en la prueba de concepto y escalaremos en el nivel de privilegios.

Como nota de interés comentar que si un atacante consigue una sesión remota a través de Metasploit, obtendrá el nivel de privilegios que el usuario en concreto tenga en la máquina, por lo que es muy interesante que los usuarios no actúen en la máquina como Administradores a no ser que sea totalmente necesario.

Prueba de concepto: Situación inicial

Tenemos la sesión con Meterpreter iniciada en el artículo 'Crear phishing... es tan fácil'. En este punto tenemos unos privilegios iguales a los que tenga el usuario víctima, pueden no ser suficientes para que el atacante realice todas las acciones que quiera hacer. Mediante la instrucción 'sessions -l' se puede ver todas las sesiones abiertas con la máquina remota, en principio tendremos solo 1, con el identificador 1.

Para poder utilizar esta sesión se ejecutará la instrucción 'sessions -i 1'. Ahora para probar los privilegios de los que se cuentan en dicha sesión se puede ejecutar la instrucción 'getsystem'. Si el usuario víctima no es administrador se obtendrá una imagen como la que se adjunta. Es decir, no se disponen de los privilegios necesarios para realizar la operación.

ByPass UAC

A continuación se realizará el bypass al UAC, para ello se ejecutará la orden 'run post/windows/escalate/bypassuac' con lo que se conseguirán los privilegios máximos, system.

 

 

Ahora se dispone de una nueva sesión, con identificador 2. Se puede acceder a esa sesión cerrando, mediante exit la sesión actual, o guardando la sesión actual mediante background. Tras acceder a la sesión con identificador 2, se puede probar a ejecutar el comando getsystem, y se puede observar como el resultado no es el mismo que en la ejecución anterior. Se disponen de más privilegios, por lo que abrimos una shell, mediante dicho comando y observamos qué usuario disponemos en la máquina.

 

En el siguiente artículo de la serie sobre phishing, se realizará una prueba de concepto sobre DNS Spoofing, como una técnica de realismo al phishing.

 

 

 

=============================================

Phishing, puro fake

Crear phishing... es tan fácil

- Explotando UAC Windows 7

- DNS Spofing=============================================

domingo, 20 de febrero de 2011

Informe Flu - 7

Compartir este artículo:

Damos comienzo al resumen de la semana 7 de Flu:

Lunes 14 de Febrero

Martes 15 de Febrero

Miércoles 16 de Febrero

Jueves 17 de Febrero

Viernes 18 de Febrero

Sábado19 de Febrero

sábado, 19 de febrero de 2011

JITICE 2011

Compartir este artículo:

El presente artículo no es una prueba de concepto, no es una noticia sobre seguridad que haya aparecido en los últimos días, no es nada relacionado con Flu, como herramienta de administración remota (queda bonito así dicho no?), no es una entrevista a uno de los genios, que tenemos el lujo de conocer, no es una viñeta de Juan Antonio que nos levantan una sonrisa en un día de trabajo. La entrada de hoy está dedicada al proyecto en el ámbito global. Tenemos la suerte de poder explicar, el próximo Jueves 24 de Febrero, lo que es Flu Project en la Universidad Rey Juan Carlos, aquella que nos dotó de algunas características que hoy somos.

El tema de nuestra charla es "Innovación y Seguridad en las TIC. Educación en Seguridad Open Source". Se pretenderá explicar desde un punto de vista lo más objetivo posible como funciona el proyecto, y que medios de aprendizaje existen. Se hablará del blog comunitario en el que cualquier persona que quiera exponer sus conocimientos a los demás puede hacerlo libremente, también se explicará como funciona el foro, y por supuesto el estudio del código de Flu. Quizá éste sea el método más innovador que ofrece el proyecto, la posibilidad de ir aprendiendo todos a partir de un mismo código y ver como funciona el malware y como se puede eliminar mediante la realización de una vacuna.

JITICE 2011, son unas jornadas sobre innovación y TIC educativas. La mayoría de los participantes son docentes de la Universidad Rey Juan Carlos. En principio somos los únicos conferenciantes que hablarán sobre la seguridad y la importancia de ésta en las TIC y en el presente. Sabemos que España empieza a endurecer su normativa, mediante LOPD y Esquema Nacional de Seguridad, pero los usuarios comunes, ya sean estudiantes o cualquier otro tipo, siguen teniendo una visión de la seguridad un poco de ciencia ficción.

Esperamos sacar buenas conclusiones de la charla y del acto, ir haciendo llegar el proyecto más lejos y conseguir que estudiantes y docentes de la Universidad Rey Juan Carlos y cualquier persona que se acerque por las jornadas pueda colaborar aportando ideas, desarrollando, explicando conceptos desde su punto de vista, en fin colaborando con la gente en la concienciación social sobre Seguridad Informática.

viernes, 18 de febrero de 2011

Las viñetas de Flu Project – 3

Compartir este artículo:
Tercera parte de las viñetas de Flu Project. Cuidado con las páginas en las que entráis...=):

jueves, 17 de febrero de 2011

Crear phishing... es tan fácil

Compartir este artículo:
El presente artículo es la segunda parte de la serie sobre phishing que se está realizando en Flu Project. En el primer artículo se habló de los conceptos básicos del phishing. Esta vez se hablará de lo fácil que es crear un phishing bastante creíble y de manera rápida, ya que, hoy en día todo está automatizado. Lejos quedan, aunque siguen siendo fuente de phishing, aquellos correos que te mandaba el 'staff' de Hotmail pidiéndote que introdujeras tu contraseña porque habían tenido un fallo en la base de datos (FAKE!). Se va a realizar una prueba de concepto con la herramienta SET y Metasploit en una distribución Backtrack. El objetivo será crear un clon de un sitio web y ver como se puede engañar a una víctima a través de dicho fake. La presente prueba puede reflejar lo fácil que sería poner un servidor en Internet y engañar a los usuarios confundiéndoles colgándoles un sitio web idéntico al que ellos buscan. Otra manera de hacer daño sería que Spammers lanzaran links por toda Internet hacia dicho servidor y esta web lanzase un applet de Java, y cuando el usuario pincha en ejecutar... ¿Sabemos lo que pasará no?SETLa imagen muestra el menú de la aplicación SET (Social Engineering Toolkit). La opción que se utilizará para realizar la clonación y el ataque de un sitio web, es la opción 2 'Website Attack Vectors'. Después SET mostrará otro menú dónde se elegirá el método de ataque, hay 7 muy interesantes todos, pero esta vez se utilizará el método 'Java Applet Attack Method'. Este tipo de ataque consiste en mostrar un certificado falso de Java, indicando que se necesita ejecutar, cuando la víctima pinche en ejecutar, lo que realmente ejecutará será un payload. El método de ataque es el número 1 de dicho menú.En la imagen de la izquierda se puede observar las distintas opciones que propone SET para la creación del sitio web. La opción 1 da la posibilidad de utilizar plantillas que el propio SET incorpora. La opción 2 permite clonar un sitio web, bajo protocolo http o https, simplemente introduciendo su URL. La opción 3 permite al usuario importar su propio sitio web con sus propios códigos. La opción 4 hace retornar al paso anterior.Para esta prueba de concepto se utilizará una plantilla, al introducir el número 1 en el menú anterior, se obtiene una lista de plantillas: Java Required, Gmail, Google, Facebook, Twitter. Se elige la plantilla de Gmail, para ello se introduce el número 2. Después se pedirá al atacante que introduzca el payload que quiere utilizar, hay 11 distintos. Y después se debe introducir un encoding, hay una lista de 16. Por último se pedirá que se introduzca el puerto de escucha, si es HTTP será 80 y si es HTTPS será 443. Por último, antes de lanzar Metasploit, se pregunta al atacante si quiere que también se cree un payload para Linux/OSX.Una vez se ha rellenado este proceso, que como se ha comprobado esta bastante automatizado, se puede observar en la imagen como hay que esperar unos segundos a que se cargue metasploit y se prepare un servidor web con el recurso falso.ConectandoCuando la víctima conecte con el servidor web del que colgamos el recurso falso se encontrará una web como la de la siguiente imagen:Cuando el usuario haya conectado, le aparecerá un applet de java pidiendo que ejecute un elemento Java. Al pinchar sobre ejecutar, se está creando una sesión entre la víctima y el atacante, dónde el atacante tiene control, con nivel de privilegios que tenga la víctima en su máquina.En próximos artículos se explicará como alcanzar máximos privilegios en el equipo remoto del que se ha conseguido la conexión. Por otro lado, se explicará el método de DNS Spoofing, el cual facilitaría un ataque de phishing en una LAN. También se comentará como detectar este tipo de Fakes y como poner trabas para que no nos engañen y entren hasta la cocina de nuestra máquina.=============================================- Phishing, puro fakeCrear phishing... es tan fácilExplotando UAC Windows 7DNS Spofing============================================= 

miércoles, 16 de febrero de 2011

Manual de uso Truecrypt en Windows (Parte II)

Compartir este artículo:
Hoy continuaremos con la cadena de posts sobre el uso de Truecrypt en Windows que comenzamos en la primera parte creando un contenedor.Una vez tenemos el volumen de truecrypt creado podemos montarlo como unidad  de disco duro en nuestro ordenador.Aquí seleccionamos la unidad de disco duro virtual que queramos asignar al documento cifrado.Tenemos que tener en cuenta que no debemos seleccionar ninguna unidad que ya tengamos asignada, ha de estar libre.Seleccionamos el archivo cifrado:Le damos a abrir:Una vez nos aparezca el archivo para seleccionar, podemos darle a montar, que será cuando nos pida el usuario y la contraseña.Aquí ponemos la contraseña que le pusimos al contenedor creado en el paso anterior.Una vez que esté puesta la contraseña le damos a aceptar:La unidad quedará montada de manera virtual en nuestro equipo con la letra que habíamos escogido.

martes, 15 de febrero de 2011

Flu ayuda a implantar una CMDB para ITIL e ISO/IEC 20000

Compartir este artículo:
Buenas a todos, tras mi vuelta de vacaciones y como os prometí el otro día, hoy os he preparado una entrada en la que voy a hablaros de como Flu, utilizado como herramienta de administración remota, en vez de como un troyano, puede ser útil para implantar normas como la ISO/IEC 20000 o bibliotecas de buenas prácticas como ITIL.Hoy en día el negocio de casi cualquier empresa depende de algún tipo de sistema informático, compuesto de diversos elementos software como herramientas de ofimática o de gestión de nóminas y hardware como DMZs, CPDs, Firewalls, y un largo etcétera. Todos estos elementos deberían estar gestionados y configurados de una manera adecuada para un funcionamiento óptimo y un mantenimiento lo más sencillo y eficiente posible, de manera que si tras un incidente se hace necesario restaurar por ejemplo un servidor, se pueda realizar lo más pronto posible y con el menor número de pérdidas.Como os comentaba el otro día en la entrada sobre seguridad lógica, también es muy importante una configuración adecuada de nuestros sistemas de información, y para ello fueron creadas la biblioteca de buenas prácticas de ITIL y la norma ISO/IEC 20000. Ambas tienen como objetivo raíz ofrecer una base para la gestión de los servicios TI.Según la norma ISO/IEC 20000, la configuración de todos los elementos de un sistema de información (conocidos como CI, de Configuration Item) debe estar centralizada en una base de datos, denominada como Base de Datos de Gestión de la Configuración, también conocida por sus siglas en inglés CMDB.La CMDB debe tener listados de todos los elementos de una organización tanto hardware, como software, personal, etc. Debe contener información detallada sobre todos ellos, su configuración, instalación, utilidad dentro de la empresa, trazabilidad entre elementos de la propia empresa..., es decir, todo lo que sea de utilidad para el funcionamiento de un sistema de información y que permita recuperarse ante cualquier incidente.Hay numerosas herramientas gratuitas y privativas que ayudan en esta labor, por ejemplo, una con la que he trabajado y que me gusta mucho es oneCMDB, porque se integra con NMAP y Nagios y es Open Source.Flu, a partir de su próxima versión va a ser útil para esta labor, al menos en una parte, ya que va a permitir registrar en su BBDD (que puede usarse de CMDB) un listado de todas las máquinas de una organización, con toda la información que desde su consola de mandos le solicitemos. Para ello solo necesitaremos ejecutar a Flu en todas las máquinas de la red una única vez, y tendremos en todo momento información actualizada de las mismas. Para facilitaros la tarea de ejecutar a Flu en todas las máquinas de una red podéis automatizarlo a través del Directorio Activo.A continuación os adelanto una captura del menú de la consola de mandos de Flu que permite visualizar el estado de nuestra red:Y como es lógico, para tener segura nuestra CMDB es necesario protegerla de una manera adecuada =)Como contra, Flu no permitirá registrar dispositivos hardware que no sean PCs, como firewalls, switches, etc., pero como Pro, al ser Flu Open Source, podéis programar adaptaciones para usar a Flu para lo que queráis (y luego compartirlo con la comunidad). Otro pro es que la actualización de la CMDB con datos nuevos de las máquinas (como el software que contienen) es automático a diferencia de otras herramientas, donde la inserción de los datos se debe realizar de manera manual.Eso es todo por hoy, cualquier duda no dudéis en comentarla.Saludos!