miércoles, 12 de julio de 2017

Como detectar y eliminar conexiones sospechosas en la PC

Cuando el procesamiento en la PC y la navegación se vuelve lenta, es probable que tengamos conexiones no autorizadas en el equipo, primero partimos de un escaneo inicial a traves del comando:

c:\>nestat -ano

-a
Muestra todas las conexiones TCP activas y los puertos TCP y UDP en el que está escuchando el equipo.
-n
Muestra las conexiones TCP activas, sin embargo, direcciones y números de puerto se expresan numéricamente y se realiza ningún intento para determinar los nombres.
-o
Muestra las conexiones TCP activas e incluye el identificador de proceso (PID) para cada conexión. Puede encontrar la aplicación basada en el PID en la ficha de procesos en el Administrador de tareas de Windows. Este parámetro se puede combinar con - a-n -n y -p.

Esto mostrar una lista conteniendo todos las conexiones establecidas, notamos que nos muestra mucha información, para filtrar y solo mostrar las conexiones establecidas podemos utilizar el siguiente comando:

c:\>netstat -ano  | findstr ESTABLISHED

Esto nos mostrar solo las conexiones establecidas, desde esta lista podemos ir filtrando las conexiones sospechosos como por ejemplo,  las que tienen dirección IP de nuestra red local o las que pertenece a puerto desconocidos.
192.168.10
Por ejemplo en mi equipo encontré las siguientes direcciones sospechosos
  Proto  Dirección local                Dirección remota         Estado                 PID
  TCP    192.168.10.155:50164     192.168.10.25:445         ESTABLISHED     4
  TCP    192.168.10.155:50170     74.125.141.188:5228     ESTABLISHED     12756
  TCP    192.168.10.155:51016     38.99.185.103:443         ESTABLISHED     2632
  TCP    192.168.10.155:53434     52.200.182.11:443         ESTABLISHED     14212
  TCP    192.168.10.155:54672    192.168.10.20:49166      ESTABLISHED     5720

Ahora lo que podemos hacer es verificar que aplicación esta consumiendo este servicio y que servicio esta siendo consumido.
Para verificar el servicio que esta siendo consumido, podemos obtener esa información del campo dirección remota, después del : viene el puerto.  En la segunda entrada de la tabla el puerto es 5228, este lo podemos verificar en la pagina http://es.adminsub.net/tcp-udp-port-finder 


Por ejemplo este puerto no proporciona mucha información que esta haciendo, es por eso que vamos a verificar la dirección, una pagina que recomiendo es: https://www.abuseipdb.com/check/ otra pagina útil es http://www.webyield.net/ip/


Ahora si nos da indicios de que es esa conexión, si buscamos un poco eso lo utiliza los buscadores para mejorar sus búsquedas, si no estamos muy convencidos podríamos verificar que aplicación esta enlazado a ese servicio, la aplicación se muestra en el campo PID del primer comando ejecutado. Para este caso el PID de la aplicación es 12756, para consultar a que aplicación pertenece ese PID, ejecutamos el siguiente comando:

C:\>tasklist /fi "PID eq 12756"

Nombre de imagen           PID    Nombre de sesión   Núm. de ses       Uso de memor
==============  =====  ============  =========    =============

chrome.exe                    12756   Console                     2                        227,328 KB


En la salida del anterior comando, se puede observar que la sesión esta conectada a la aplicación google chrome, otro comando que nos podría dar mayor indicio de que esta haciendo podemos utilizar el comando pero con los siguiente parámetros:

C:\>tasklist /svc /fi "PID eq 12756"

Nombre de imagen                  PID                      Servicios
==================    ========        ============================
chrome.exe                              12756                   N/D


Bueno si no queremos que este activa esa conexión, podemos matar ese proceso con el siguiente comando:

C:\>taskkill /F  /IM 12756

martes, 20 de junio de 2017

Recuperación de Contraseña en Fortigate (Password Recovery)

Recuperación de Contraseña en Fortigate

Conecte un cable consola entre la PC y el Fortigate, el cable consola tiene el mismo pin out que los cables de CISCO, reinicie el Fortigate, cuando cargue nuevamente el equipo aparecerá la siguiente información:

FortiGate-100D Ver:04000021
Serial number: FG100DXGXXXXXXXXRAM activation
CPU(00:000106ca bfebfbff): MP initialization
CPU(01:000106ca bfebfbff): MP initialization
CPU(02:000106ca bfebfbff): MP initialization
CPU(03:000106ca bfebfbff): MP initialization
Total RAM: 4096MB
Enabling cache...Done.
Scanning PCI bus...Done.
Allocating PCI resources...Done.
Enabling PCI resources...Done.
Zeroing IRQ settings...Done.
Verifying PIRQ tables...Done.
Boot up, boot device capacity: 15272MB.
Press any key to display configuration menu...
......

Tome nota del numero de serie de su equipo, ya que este sera utilizado para el proceso de recuperación de la contraseña.

Ahora cuando aparezca el prompt de login ingrese el siguiente maintainer:
FG100DXGXXXXXXXX login: maintainer

Ahora la contraseña esta conformado por la palabra bcpb + el numero de serie del equipo, el dato que se tomo al inicio.
El numero de serie debe de estar en mayúsculas, y solo tendrá hasta 14 segundo o menos para ingresar el usuario y la contraseña, por eso recomienda, que primero prepare los comandos en un bloc de notas y luego los copie al terminal.
Una ves dentro para cambiar la contraseña puede tener dos posibles esquemas con VDOM y sin VDOM.

In a unit where vdoms are not enabled:            config system admin
                   edit admin
                   set password <password>
                      end 
In a unit where vdoms are enabled:            config global                    config system admin                              edit admin                              set password <password>
                                 end

Bueno esto algunos lo podrán tomar como una falta de seguridad, que se pueda ingresar tan fácil para cambiar la contraseña, pero algo es cierto que si el atacante puede acceder físicamente a tu equipo de comunicación, ya todo esta perdido.

Existe la forma de bloquear al usuario maintainer, pero hay que tener mucho cuidado ya que si desactivas esto  Ken Xie ni Michael Xie  te van a poder ayudar a recuperar la contraseña.

To disable            config system global
                      set admin-maintainer disable
                                 end
To enable           config system global
                      set admin-maintainer enable
                                 end

Bueno espero que esto, les pueda servir a resolver problemas mas rápido con su equipo Fortigate.



miércoles, 10 de mayo de 2017

Upgrade y Downgrade Fortinet

Antes de hacer el upgrade, verifique en la documentación de Fortinet la ruta de actualización, a través de los documentos Supported Upgrade Paths for FortiOS™ Firmware.
Por ejemplo si estas en la version 4.0 MR3 y quieres pasar a la version 5.0, tendrias que realizar primero las siguientes actualizaciones:
4.0 MR3 patch7, Build # 535 ► 4.3.11 ► 4.3.18 ► 5.0.11

En caso de que se realizo el upgrade y no entra a la interface gráfica, se podría bajar a la versión anterior de dos formas:
Forma 1:
Conecte la PC al Fortinet a través de un cable consola, puede usar el cable celeste RJ45 DB9 de CISCO. Ingrese a través de una consola e reinicie el Fortinet.
Al reiniciar el equipo le solicitara que presione una tecla para ingresar al menú, este menú le va a permitir cargar un nuevo firmware o cargar el firmware secundario.
Forma 2:
Conecte la PC al Fortinet a través de un cable consola, puede usar el cable celeste RJ45- DB9 de CISCO.  Ingrese a la consola a través de un terminal serial como Putty.  Primero vamos a verificar que versión tiene actualmente cargada el Fortigate, para ello utilizamos el siguiente comando

FGT#get system status
Version: Fortigate-100D v4.0,build0689,141215 (MR3 Patch 18)
Virus-DB: 1.00234(2013-08-13 12:19)
Extended DB: 1.00234(2013-08-13 12:14)
IPS-DB: 3.00295(2013-01-30 19:23)

Ahora para verificar que firmware tenemos cargado ingrese el siguiente comando:
FGT# diagnose sys flash list
Partition  Image                                     TotalSize(KB)  Used(KB)  Use%  Active
1          FG100D-4.00-FW-build689-141215                   257967     29359   11%  Yes
2          FG100D-5.00-FW-build305-141216                   257967     34490   13%  No  
3          FLDB-10.00974                                  14862528    335788    2%  No  
Image build at Dec 16 2014 01:34:38 for b0689

Ahora verifique en la columna Active, cual esta habilitado.  Para cambiar de imagen de partición ejecute el siguiente comando
FGT# execute set-next-reboot {primary | secondary}

Seleccione primaria para el 1 y secundaria para el 2.
Ahora reiniciamos el equipo con el comando:
FGT#execute reboot



Fuente:
http://kb.fortinet.com/kb/documentLink.do?externalID=FD31908
http://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortigate-system-administration-52/Firmware/Reverting%20to%20a%20previous%20firmware%20version%20-%20CLI.htm
http://kb.fortinet.com/kb/documentLink.do?externalID=FD35329
http://docs.fortinet.com/uploaded/files/1033/Supported%20Upgrade%20Paths%20for%20FortiOS%20Firmware%20to%205.0.11.pdf

martes, 7 de febrero de 2017

Tips de VMWare VCenter Server Appliance

Como crear un usuario en VMWare VCenter Server Appliance
Estos comandos fueron probados en la versión 5.5
Como el VMWare VCenter Server tiene base de Linux entonces utilizamos los mismos comandos.

Para crear un usuario:
useradd -m Grupo01

Para cambiar el password al usuario creado
passwd Grupo01

jueves, 11 de febrero de 2016

Link de Interes

Scanner de puertos online
https://pentest-tools.com/network-vulnerability-scanning/tcp-port-scanner-online-nmap
http://ping.eu/port-chk/

Medidor de Velocidad HTML5
http://speedof.me

Animación de Retardo de Transmisión
http://www.ccs-labs.org/teaching/rn/animations/

jueves, 19 de noviembre de 2015

Seguridad en Redes LAN / WAN



Vídeos de las sesiones realizadas:


Sesión 01
Sesión 02
Sesión 03
Sesión 05
Sesión 06
Sesión 07
Sesión 09



martes, 29 de septiembre de 2015

DHCP Snooping

La ves pasada tenía un laboratorio preparado para que unos AP adquieran dirección a través DHCP de un controlador Aruba y en el instante de iniciar el laboratorio, ninguna AP adquiere IP y bueno se malogro todo el laboratorio, lo que ocurrió fue que alguien levanto un servidor DHCP por algún lugar de la red, pero bueno la solución más rápida fue implementar DHCP Snooping en el Switch CISCO.

Para ello debemos seleccionar cuales son los puertos confiables y cuáles serían los no confiables luego en que VLAN queremos que lo aplique. Bueno obviamente en mi caso el no confiable es el que está conectado a la red de los otros salones de cómputo.

Para ello utilice los siguientes comandos:

ip dhcp snooping vlan 10 

no ip dhcp snooping information option 

ip dhcp snooping