30 marzo 2009

SbD pide donaciones

Parece que últimamente se ha puesto de moda pedir donaciones, y como nosotros no queremos perder esta ola de generosidad que se ha creado, también vamos a pedir.

Como casi todo el mundo pide donaciones en forma de dinero, suponemos que a estas alturas el presupuesto de la gente se habrá agotado así que vamos a pedir algo diferente; queremos los logs de vuestros firewalls ! si, no es una broma, los queremos, pero no para nosotros sino para la organización Dshield

Dshield es una organización sin animo de lucro que se dedica a analizar el trafico en Internet en busca de incidencias, en su web categorizan las amenazas clasificandolas por puertos TCP-UDP, de forma que puedes saber casi casi en tiempo real que puertos 'calientes' estan siendo utilizados de forma irregular.

Para conseguir esto, se nutren de las donaciones que la gente envía en forma de logs. La gente de Dshield ha desarrollado agentes para recolectar logs de, virtualmente, casi cualquier firewall / IDS del mercado.

Si usas Windows debes buscar tu agente aquí

Si usas Linux/Unix, aquí

Además como valor añadido a la contribución, la gente de Dshield tiene un programa de defensa por el cual, si detectan actividad sospechosa contra tu host, se ponen en contacto directamente con el ISP origen del ataque e intentan mitigar el problema.

Colaborar con Dshield es una buena forma de combatir botnets y demás amenazas que acechan Internet.

17 comments :

Anónimo dijo...

Me ha gustado la idea así que voy a probar, ya esta instalado y corriendo.

Anónimo dijo...

¿Para Windows Vista también vale?

Yago Jesus dijo...

No lo he probado, pero supongo que si, si lo pruebas tu, cuentanos

Anónimo dijo...

Same anonym,

Aplicando compatibilidad XP al ejecutable funciona; cuestiones:

-Tras el primer vistazo al programa, suponemos obvia la creación de un usuario en Dshield.
-Al usar Gmail, en stmp debo poner el de gmail, o debo montarme yo uno (ni idea)?
-¿Alguna IP a tener en cuenta para enchufar en los Filters?
-Dice que cuando eso, convierta el log a su formato y se lo mande, ¿cada cuanto habría que hacerlo, semanal, mensualmente?
-Fightback es simplemente una opción a marcar en tu usuario de Dshield para que en caso maligno ellos avisen al ISP de turno ¿no? ¿alguna noticia o experiencia con ello?

Un saludo y gracias.

Yago Jesus dijo...

Yo lo he usado en Linux, (me apunto lo de probarlo en Windows). Yo no filtraria ninguna IP en concreto, sobre la periodicidad, ideal diariamente, aceptable semanalmente. Respecto a Fightback, yo he tenido 'la suerte' de que no me han atacado ningun host y no te puedo contar como experiencia propia, pero me consta que la gente de Dshield si ha tomado partido en numerosas ocasiones y es gente muy respetada. Si te animas a hacer algunas capturas de pantalla sobre la configuración del cliente en Windows, updateo el post con ellas gustosisimamente :)

El de antes dijo...

Por intentarlo no ha sido Yago.

Primero tuve que habilitar logs en el Firewall de Vista, desde %SystemRoot%\system32\WF.msc , imagen.
Luego en el cliente dos opciones de nada, imagen.

Y ya lo deje unos días a ver que pelotas cogía eso.Una vez con chicha el .log, parece ser que el Vista solo coge la comunicación entre él y el Router, a la hora de convertir el archivo tenemos esto:

2009-04-12 13:06:59 DROP UDP 192.168.0.1 239.255.255.250 2048 1900 390 - - - - - - - RECEIVE
Rejected: We don't want a local IP as the source IP 192.168.0.1

2009-04-12 14:44:11 ALLOW TCP 192.168.0.23 192.168.0.100 49160 139 0 - 0 0 0 - - - RECEIVE
Rejected: We don't want a local IP as the source IP 192.168.0.23


El log del router es el que parece que tiene lo que haría falta, imagen

Pero eso ya no sé como convertirlo al formato de Dshield para enviarlo.

Yago Jesus dijo...

Supongo que si no tienes el router en modo bridge, es lógico que veas solo lo que se comunica tu router <-> tu PC. Voy a incluir tus capturas, pero deja un nombre mas identificativo :)

sh4r4n dijo...

Bien con el modo bridge, pero mi chatarra router Conceptronic C54BRS4A no posee esa característica, ¿tengo entonces que llamar a ONO y decirle que lo habiliten ellos? ¿diferencias técnicas a como he estado viviendo hasta ahora en mi ignorancia si lo habilitase? desde el router tengo cable de red tirado a mi CPU, además de la Wifi para el señor Roca.

Yago Jesus dijo...

No conozco al detalle como lo ha implementado ONO, pero lo que hacen con el ADSL las operadoras es poner un router que tiene una IP publica (la que 've' el tráfico) y añadir un interface con direccionamiento privado para comunicarse con los PCs a los que presta servicio. Los PCs tras ese router salen a internet haciendo NAT. Para salir de dudas, en tu windows, via cmd.exe, ejecutas ipconfig y te sale una IP del estilo 192.168. entonces ONO configura igual que las operadoras de ADSL

sh4r4n dijo...

En efecto Yago, 192..., aún así, el router lo puse yo, ellos solo me dieron el módem y a correr. Mismas preguntas de mi anterior comentario pues :)

Yago Jesus dijo...

Ojea si tu router está entre los 'soportados nativamente' http://www.dshield.org/framework.html y en caso de no estarlo, averigua si tu router permite exportar logs via Syslog (muchos tienen esa opción)

sh4r4n dijo...

De nativo nada, pero en las especificaciones que hay por la red siempre pone SysLog( y en el manual tenemos This Conceptronic product C54BRS4A includes copyrighted third-party software licensed under
GNU General Public License [...] the following parts of this product are subject to the GNU GPL:

10. syslogd
)

sh4r4n dijo...

De nativo nada, pero en las especificaciones que hay por la red siempre pone SysLog( y en el manual tenemos This Conceptronic product C54BRS4A includes copyrighted third-party software licensed under
GNU General Public License [...] the following parts of this product are subject to the GNU GPL:

10. syslogd
)

Yago Jesus dijo...

No conozco al detalle como lo ha implementado ONO, pero lo que hacen con el ADSL las operadoras es poner un router que tiene una IP publica (la que 've' el tráfico) y añadir un interface con direccionamiento privado para comunicarse con los PCs a los que presta servicio. Los PCs tras ese router salen a internet haciendo NAT. Para salir de dudas, en tu windows, via cmd.exe, ejecutas ipconfig y te sale una IP del estilo 192.168. entonces ONO configura igual que las operadoras de ADSL

Yago Jesus dijo...

Ojea si tu router está entre los 'soportados nativamente' http://www.dshield.org/framework.html y en caso de no estarlo, averigua si tu router permite exportar logs via Syslog (muchos tienen esa opción)

sh4r4n dijo...

Bien con el modo bridge, pero mi chatarra router Conceptronic C54BRS4A no posee esa característica, ¿tengo entonces que llamar a ONO y decirle que lo habiliten ellos? ¿diferencias técnicas a como he estado viviendo hasta ahora en mi ignorancia si lo habilitase? desde el router tengo cable de red tirado a mi CPU, además de la Wifi para el señor Roca.

Maria Gonzalez dijo...

Me parece una locura este asunto de las donaciones, porque empresas multinacionales como esas no deberian desprestigiarse para eso.
http://www.tiendaofertas.net/28-ofertas-electronica