tag:blogger.com,1999:blog-5399811056563385935.post1968492897572742742..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: MACWatch 1.0 (Python NAC)Yago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger11125tag:blogger.com,1999:blog-5399811056563385935.post-36228550776854966702013-03-21T17:28:00.918+01:002013-03-21T17:28:00.918+01:00Esta genial Yago, un buen avance de funcionalidad....Esta genial Yago, un buen avance de funcionalidad. Tal vez le faltaría poder asignar diferentes perfiles de puertos a una misma MAC por si se usan 2 sistemas operativos en un ordenador.wiredratnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-81677715590174565942013-03-21T17:07:38.272+01:002013-03-21T17:07:38.272+01:00Ya te haba mandado un mensaje por twitter pero aqu...Ya te haba mandado un mensaje por twitter pero aqui lo explico un poco mas, la parte de detección de puertos que puede tener podria ser burlada por algún escaneo del atacante hacia alguno de los host en la red o quiza las computadoras de una organizacion tengan el mismo SO y los mismos servicios por lo cual te sugeri implementar del lado del cliente y de la herramienta el Port knocking para abrir un puerto en especial que podamos estar seguros que solo nuestros equipos lo tienen pero a la misma vez estara seguro ya que permanecera cerrado hasta que no se cumpla la secuencia para poder abrirse.<br />Bueno quiza solo es una idea de muchas para poder mejorar la herramienta.<br />SaludosIvan Floresnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-75192146514075529332013-03-20T00:40:29.569+01:002013-03-20T00:40:29.569+01:00Gracias por el feedback. Es un muy buen aporte, un...Gracias por el feedback. Es un muy buen aporte, un modo learning y luego un modo enforcing, me gustaYago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-76765870325952760702013-03-20T00:06:18.232+01:002013-03-20T00:06:18.232+01:00Muy buen aporte!
Se me ocurre que la herramienta ...Muy buen aporte!<br /><br />Se me ocurre que la herramienta implementara autoaprendizaje y en cuanto detectase alguna inconsistencia, aislase toda la red que hemos especificado del atancante.Adrián Ruiznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-189682559501584622013-03-19T15:45:14.354+01:002013-03-19T15:45:14.354+01:00Muchas gracias por los ánimos, lo que comentas fue...Muchas gracias por los ánimos, lo que comentas fue mi primera aproximación, el fingerprinting del sistema, sorprendentemente el ratio de acierto de Nmap era bastante bajo (y hablamos de sistemas Linux / windows) así que tiré por la opción de los puertosYago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-29604894358767445102013-03-19T15:40:02.845+01:002013-03-19T15:40:02.845+01:00Ya era hora !!!!!!!.. si lo paquetizaras para agre...Ya era hora !!!!!!!.. si lo paquetizaras para agregarlo al PfSense sería la caña ;-)Alex J. Clareshttp://twitter.com/drNAISMITHnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-36987138221013285352013-03-19T14:38:07.089+01:002013-03-19T14:38:07.089+01:00Genial el histórico relacionado las mac con los pu...Genial el histórico relacionado las mac con los puertos, ya que si antes de conectar no puede conocerlos es más complicado poder calcar el comportamiento tcp como intruso y dar respuesta en los mismos puertos que la mac conocida y permitida.<br /><br />Se me ocurre seguir aprovechando las ventajas de nmap y añadirle la identificación del SO, aunque haya que basarse en porcentajes de similitud, y otras tantas más. <br /><br />Genial Yago, me gusta mucho el trabajo y es muy últil.oscarinsidenoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-86951163198533915422013-03-19T13:07:52.976+01:002013-03-19T13:07:52.976+01:00como siempre... ¡espectacular Yago!como siempre... ¡espectacular Yago!masticovernoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-243377641916897312013-03-19T10:19:26.353+01:002013-03-19T10:19:26.353+01:00De ahí el tema del perfil TCP/IP, no basta con sup...De ahí el tema del perfil TCP/IP, no basta con suplantar, también tienes que tener los mismos puertos TCP abiertos que la víctima a quien vayas a suplantarYago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-56039534437469169692013-03-19T07:37:37.697+01:002013-03-19T07:37:37.697+01:00tuanis!! voy a testearlo, se ve interesante.tuanis!! voy a testearlo, se ve interesante.ppmnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-42459647233560567852013-03-19T07:25:01.559+01:002013-03-19T07:25:01.559+01:00Este tipo de herramientas simples son las que ayud...Este tipo de herramientas simples son las que ayudan de verdad y no las supermegasuites...<br /><br />Aún así, se me ocurre que simplemente monitorizando en modo pasivo eres capaz de ver las MACs válidas de otros usuarios y suplantarlas cuando no estén :).<br /><br /><br /><br />Aunque para hacer eso tendrías que sospechar que monitorizan las MAC, cosa nada común, por otra parte.chmeeehttp://twitter.com/chmeeenoreply@blogger.com