| Funciones del(a) usuario(a) | |
|
¿No tienes una cuenta todavía? Inscríbete
| |
| Última hora | |
NOTICIAS
No hay noticias nuevas
COMENTARIOS last 2 days
No hay comentarios nuevos
LINKS last 2 weeks
No recent new links
| |
|
|
| Manual de IPPL | |
Introduccion:
Este programa nos permite loguear cualquier tipo de conexion entrante
del exterior a nuestro ordenador. Con ello podremos tener un control
mayor sobre nuestras conexiones. Ippl(IP protocols
logger) en realidad no actua como un simple programa ya que es
un demonio que funciona en segundo plano(background).
1.Software:
Este programa requiere las siguientes dependencias: libc6(>=
2.2.4-4), perl-base, logrotate
Podemos descargarnos IPPL de los siguientes sitios:
IPPL
1.4.14 source: fuentes del demonio ippl.
IPPL
1.2.14 redhat-mandrake: binario en formato .rpm.
IPPL 1.4.14
debian: binario en formato .deb, es muy probable que este en
nuestras source.list
Si tenemos gentoo deberemos de emergerlo, por lo que es recomendable
actualizar nuestra lista del portage:
# emerge sync
2.Instalacion:
La instalacion, dependera del paquete que nos hayamos bajado.
Para los source deberemos de seguir estos pasos:
# tar xvfz ippl-1.4.14.tar.gz
# ./configure
# make
# su
# make install
Si hemos escogido la version rpm deberemos de hacer lo siguiente:
# rpm -i ippl-1.4.14.rpm
Si de lo contrario, cogimos la version .deb:
# dpkg -i ippl-1.4.14.deb
Y por ultimo si tenemos gentoo:
# emerge ippl
3.Configuracion:
La configuracion de ippl.conf se centra en la configuracion del archivo
/etc/ippl.conf, en el cual pondremos nuestra configuracion, es decir
que queremos que nos logeen.
Primero deberemos de decirle que protocolos queremos loguear(siendo
protocolos: icmp,
tcp, udp y la opcion all que engloba a los tres):
run tipo
Acontinuacion diremos que logear y en que ficheros almacenarlo, esto se
hace con la opcion log-in:
log-in [protocolos]
/diectorio/fichero.log *siendo protocolos: icmp,
tcp, udp y all.
Ahora le diremos el tipo de formato con que nos guardara los
logs:
logformar [formatos] [protocolos]
formatos:
- short: muestra fecha, hora. tipo de protocolo, ip que lo solicito.
- normal: muestra fecha, hora, puerto y ip que realiza la conexion.
Es la forma predeterminada.
- detailed: muestra la informacion como normal y añade el
origen y destino de las direcciones y puertos de la conxion
Mes Dia Hora puerto X conesion comenzada/o intendo de IP (IP:puerto
-> IP2:puerto) * de IP hacia IP2.
Existe la opcion de no logear o logear ciertos tipos de conexiones
dentro de cada protocolo:
ignore/log {option [opcion],[opcion],...} [protocolos] [descripcion]
option [opciones]:
- resolve/noresolve: resuelve/no resuelve la direccion ip.
- ident/noident: usa/no usa la identificacion del usuario(logging).
- logclosing/nologclosing: logea/no logea el cierre de conexiones.
- short/normal/detailed: igual significado que en logformat.
descripcion:
- type <numero/nombre asociado al numero>: especificamos un
tipo de mensage ICMP ej: type 8
- port <numero>: especificamos el numero del puerto de
destino(siendo el destino un puerto nuestro), ya sea TCP o UDP ej: port
21
- port <nombre>: especificamos el nombre del puerto de
destino, ya sea TCP o UDP ej: port ftp
- srcport <numero>: especificamos el numero del puerto de
origen(un puerto de culquier otra maquina que no es la nuestra), ya sea
TCP o UDP
- srcport <nombre>: especificamos el nombre del puerto de
origen, ya sea TCP o UDP
Un ejemplo de un archivo de configuracion basico ippl.conf seria el
siguiente:
run icmp tcp udp
log-in tcp /var/log/tcp_ippl.log
log-in icmp /var/log/icmp_ippl.log
log-in udp /var/log/udp_ippl.log
log-in all /var/log/all_ippl.log
logformat detailed all
ignore icmp type echo_replay
log option ident,resolve tcp port ftp
log option ident,resolve tcp port telnet
4.Uso:
Una de las preguntas frecuentes es el uso real que se puede hacer de
esta herramienta. Es decir, yo tengo logueado todas las conexiones pero
de que me puede servir eso?
Pues la utilidad es tan grande como nosotros de imaginativos, uno de
los ejemplos mas claros puede ser, por ejemplo, desde que ip han
intentando conectarse al ftp hasta quien me ha hecho un scaneo de
puertos.
Con la utilizacion de un simple tail(nos muestra las ultimas filas de
un archivo), somos capaces de verlo:
# tail -n 2000 /var/log/tcp_ippl.log | grep port
21 podriamos ver quien se ha
conectado al puerto 21
# tail -n 500 /var/log/tcp_ippl.log | more imaginaros
que en el rsultado, revisandolo obtenemos algo parecido a lo
siguiente(es un trozo de mi fichero tcp_ippl):
Sep 24 02:13:17 port 494 connection
attempt from 217.127.170.XX (217.127.170.XX:42617->80.33.200.XX:494)
Sep 24 02:13:18 port 581 connection
attempt from 217.127.170.XX (217.127.170.XX:42621->80.33.200.XX:581)
Sep 24 02:13:18 port 581 connection
attempt from 217.127.170.XX (217.127.170.XX:42599->80.33.200.XX:581)
Sep 24 02:13:20 port 5631 connection
attempt from 217.127.170.XX (217.127.170.XX:42618->80.33.200.XX:5631)
Sep 24 02:13:20 port 5714 connection
attempt from 217.127.170.XX (217.127.170.XX:42620->80.33.200.XX:5714)
Sep 24 02:13:22 port 881 connection
attempt from 217.127.170.XX (217.127.170.XX:42622->80.33.200.XX:881)
Sep 24 02:13:22 port 576 connection
attempt from 217.127.170.XX (217.127.170.XX:42631->80.33.200.XX:576)
Sep 24 02:13:25 port 1447 connection
attempt from 217.127.170.XX (217.127.170.XX:42632->80.33.200.XX:1447)
Sep 24 02:13:25 port 1502 connection
attempt from 217.127.170.XX (217.127.170.XX:42634->80.33.200.XX:1502)
Sep 24 02:13:27 port 380 connection
attempt from 217.127.170.XX (217.127.170.XX:42640->80.33.200.XX:380)
Sep 24 02:13:27 port 1422 connection
attempt from 217.127.170.XX (217.127.170.XX:42641->80.33.200.XX:1422)
Sep 24 02:13:28 port 1723 connection
attempt from 217.127.170.XX (217.127.170.XX:42642->80.33.200.XX:1723)
Sep 24 02:13:31 port 472 connection
attempt from 217.127.170.XX (217.127.170.XX:42643->80.33.200.XX:472)
Sep 24 02:13:31 port 395 connection
attempt from 217.127.170.XX (217.127.170.XX:42644->80.33.200.XX:395)
Sep 24 02:13:31 port 844 connection
attempt from 217.127.170.XX (217.127.170.XX:42645->80.33.200.XX:844)
Alguien en menos de 15 segundos a intentado conectarse a distintos
puertos, de los cuales tu no ofreces servicios, eso es lo que conocemos
como un escaneo de puertos y la ip 217.127.170.XX esta escanenado a tu
ordenador(80.33.200.XX). Por
lo que podremos prevenir un posible ataque denegando inmediatamente
cualquier conexion con dicha ip.
Con el uso de script en bash, o con algun mini programilla en c/c++
podremos hacer que lo busque el solito en el fichero y que nos habise.
Como podeis ver las posibilidades son casi ilimitadas.
5.Carga en el arranque del
sistema:
Si hemos compilado el ippl deberemos de introducir el script de
carga, /etc/init.d/ippl donde corresponda, dependiendo de nuestra
distribucion.
Si lo hemos instalado desde gentoo deberemos de poner las siguientes
lineas:
# rc-update add ippl default
Por lo contrario hemos instalado ippl desde debian o derivados,
deberemos de
poner lo siguiente:
# ln -s /etc/init.d/ippl
/etc/rcX.d/S20ippl
Siendo X nuetro runlevel, si tenemos dudas de cual es nuestro runlevel,
poner lo siguiente:
# cat /etc/inittab | grep id
El resultado sera algo parecido a esto(siendo la X el numero de nuestro
runlevel):
id:X:initdefault:
Para arrancar el demonio ippl sin reiniciar deberemos de escribir lo
siguiente:
# /etc/init.d/ippl start
Para parar el demonio ippl deberemos de introducir lo siguiente:
# /etc/init.d/ippl stop
Para restaurar y volver a cargar una nueva coniguracion del ippl.conf
debremos de poner lo siguiente:
# /etc/init.d/ippl restart
G0su
e-mail address: moxilo@hotmail.com.
Última Edición lunes, 26 enero 2004 @ 23:37 
| |
|
|
