domingo, 29 de junio de 2008

Gestionar los Favoritos


A medida que navegamos por Internet nuestra carpeta de Favoritos no deja de crecer, de tal manera que lo que inicialmente eran unas pocas direcciones muy fáciles de recordar se convierte en un listado interminable que incluso nos resulta difícil clasificar en subcarpetas, cuánto mas recordar algunas de ellas.

Esto no supondría ningún inconveniente si siempre empleásemos el mismo equipo, ya que cuando encontrásemos alguna dirección interesante, tan sólo la grabaríamos y seguiríamos trabajando con el mismo. Pero lo cierto es que habitualmente nos conectamos desde distintos lugares: casa, ciber, trabajo, portátil,.... esto hace muy difícil gestionar nuestra lista, ya que tendríamos que ir haciendo copias de seguridad de la misma e importándola continuamente.

Si lo que buscas es una manera fácil de gestionarlos puedes crearte una cuenta en http://del.icio.us/ con ella podrás desde una página en Internet importar/exportar tus favoritos a la misma (cada vez que te conectes estarán accesibles), incluso podrás añadir unos iconos a tu navegador:


de esta manera siempre estarán accesibles, además cuando añadas un nuevo favorito, automáticamente serás preguntado sobre si quieres añadirlos también a delicious, haciéndolo el sistema de manera totalmente automatizada.

La interfaz de acceso a nuestros favoritos aunque la podríamos cambiar podría ser similar a la siguiente:

Nos permitirá importar/exportar los favoritos a nuestro navegador, compartirlos con otros usuarios de delicious,....

sábado, 28 de junio de 2008

Forges

Genial como siempre:


publicado ayer en el diario "El País".

jueves, 26 de junio de 2008

Openoffice 3.0

Desde hace unos días está disponible la primera beta de Openoffice 3.0 que entre otras mejoras promete compatibilidad con Microsoft Office 2007, mejora la lectura/escritura de pdf,....
Actualmente está disponible en inglés (americano), con los paquetes para instalar los siguientes idiomas adicionales: francés, japonés y alemán; y para los entornos linux, windows y mac. Podrás encontrarla en http://download.openoffice.org/680/?intcmp=1461.

miércoles, 25 de junio de 2008

Número de serie de aplicaciones: youserials



Si no recuerdas el número de serie de la aplicación que acabas de instalar y no lo tienes a mano, esta web http://www.youserials.com/, tal vez te ayude, ya que incluye más de 54.000 números de serie - serials - de distintas aplicaciones comerciales.
Os recuerdo, en cualquier caso, que si no disponéis de una licencia oficial del producto quizás deberíais buscar algún programa de uso libre para realizar dicha tarea para no incurrir en un acto de piratería informática.

martes, 24 de junio de 2008

Posicionamiento en internet: SEO



El término SEO hace referencia a la Optimización para Motores de Búsqueda, de su acrónimo en el idioma inglés Search Engine Optimization. Como su nombre indica hace referencia a las "técnicas" que hay que emplear si queremos situar nuestra página web en una buena posición en los buscadores. En el vídeo podéis escuchar una charla dada en las Conferencias Navarparty 5 precisamente sobre este tema, en ella podéis encontrar sobre todo en qué se basa google para posicionar una página web y cómo podéis mejorar la situación de vuestra página en el buscador, diferenciando también entre los métodos que de ser detectados serán penalizados por los buscadores de los que son totalmente lícitos.


lunes, 23 de junio de 2008

Tutorial de Ossim (IV) : Eventos

Eventos > Forensics
Ir a Forensics es una de las cinco opciones en la esquina superior izquierda de la página de Eventos.

Si todavía usa Acid/Base, debe ir al enlace Forensics, en lugar del visor de eventos. Pulsando el enlace va directamente al Análisis Básico y a la página del motor de Seguridad (BASE)

Eventos > Vulnerabidades
La parte de Vulnerabidades de OSSIM muestra información sobre las debilidades potenciales de nuestro sistema, tal y como se muestra en la Figura 8– Eventos > Vulnerabidades.


Figura 8– Eventos > Vulnerabidades

La parte superior de la página de Vulnerabidades muestra enlaces a un número de varios análisis del sistema. Los 10 últimos análisis se muestran en una tabla justo debajo de estos enlaces. Cada análisis de dicha tabla puede mostrar resultados, borrarse de la tabla o archivarse para el futuro.

La página de vulnerabidades también muestra una representación gráfica de los análisis de Redes (Nets) y Hosts para direcciones IP específicas.

La lista de vulnerabidades se obtiene gracias al análisis Nessus.

Events > Vulnerabilidades > Último análisis

El enlace al último análisis nos muestra gráficamente los resultados del análisis más reciente realizado en su sistema, tal y como se muestra en la Figura 9 – Página del último análisis.


Figura 9 – Página del último análisis

En la figura, OSSIM empleó el análisis de seguridad Nessus para chequear el sistema. El informe se divide en dos partes distintas: Sumario Gráfico y Resultados por Host. Ambas secciones son precedidas por un sumario del análisis, que muestra el número de agujeros de seguridad, alertas de seguridad y las notas de seguridad.

La primera parte, el Sumario Gráfico, muestra dos gráficos: el primero es el de los servicios más peligrosos en la red/ gráfico número de agujeros; el segundo es el de los servicios más presentes en la red/ número de ocurrencias

La segunda parte, Resultados por Host, muestra la dirección IP atacante que ha causado un agujero de seguridad, así como el número de agujeros de seguridad para esa dirección.

Puede pulsar en la dirección IP en la sección Resultados por Host para obtener información adicional sobre la brecha de seguridad. Si pulsa en la dirección IP, se muestra un gráfico que ilustra el reparto del nivel de los problemas de seguridad para esa dirección IP.

La página de dirección IP también muestra una lista de los puertos abiertos, así como la información relativa a cualquier vulnerabilidad o información general de cualquiera de los puertos abiertos (incluyendo un ID de Nessus que muestra un enlace que propociona información adicional)

Eventos > Vulnerabilidades > Informes

La página de Informes de la sección de Vulnerabilidades le permite crear un nuevo informe de Nessus o trabajar con uno ya existente, tal y como se muestra en la Figura 3.


Figura 10 – Vulnerabilidades – Página de Informes

La página de informes personalizados de Nessus le proporciona cuatro opciones diferentes para trabajar con los informes personalizados generados:
  • Ver un informe
  • Borrar un informe
  • Guardar un informe
  • Generar un nuevo informe
Los informes existentes aparecen en una tabla localizada en el centro de la página de Informes. El título del informe, así como la fecha y hora a la que fueron creados, aparecen junto a varios informes.

El primer enlace, Mostrar, le permite ver el informe. Pulsando el informe, el informe seleccionado aparece en un cuadro de texto bajo el mencionado cuadro.

El segundo enlace, Borrar, le permite eliminar el informe de la tabla.

El tercer enlace, Guardar, le permite almacenar el informe para su posterior uso. Aparece un mensaje indicando de que el guardado se realizó con éxito. Una vez completo, pulse Volver para volver a la página de Informes.

Adicionalmente, puede crear y generar informes personalizados usando el enlace Generar nuevo informe localizado bajo la tabla que muestra los informes existentes.

Usando las barras de desplazamiento que aparecen en la página de Informes, puede crear su nuevo informe y generarlo. En primer lugar dele un nombre al informe introduciendo el título en la caja de texto de título. El siguiente paso es seleccionar un host o hosts que aparecen debajo, usando las cajas de selección. Puede seleccionar tantos host como desee para su informe, pero recuerdo que sólo los host que han sido escaneados aparecen en la lista. El paso final es pulsar Buscar. Una vez ha pulsado Buscar, se aparecerá un mensaje indicando que el informe se ha generado correctamente y que debería volver a cargar la página. Se puede hacer simplemente pulsando el mencionado mensaje, que aparece como un enlace. La página de Informes aparece una vez recargada con el nuevo informe en el cuadro. Como se mencionó previamente en esta sección, puede ver, borrar o almacenar el informe a continuación.

Eventos > Vulnerabilidades > Actualizar análisis

La pestaña de Actualizar análisis de la página de Vulnerabilidades le permite analizar su máquina en busca de vulnerabilidades tal y como se muestra en la página de Actualizar análisis en la Figura 11 – Vulnerabilidades – Página Actualizar análisis.

Figura 11 – Vulnerabilidades – Página Actualizar análisis

Puede seleccionar sensores para el análisis actualizado de dos maneras; o bien empleando la lista que aparece usando con puntos en la zona superior de la página. En la Figura 4, se le llama “Test”. Puede manualmente seleccionar también un sensor usando la caja de selección o bien el enlace Seleccionar/Deseleccionar Todos al final de la página.

Una vez ha seleccionado su sensor como se mencionó más arriba, pulse Enviar. Aparecerá un mensaje indicando que el análisis está en progreso y que llevará algún tiempo. Una vez pulse Volver, se le lleva de nuevo a la página Mostrar análisis Agregados de Vulnerabidades dónde su análisis se lista como uno de los últimos realizados.

Eventos > Vulnerabilidades > Mostrar análisis Agregados

La página Mostrar Análisis Agregados provee información sobre los análisis ejecutados previamente como se muestra en la Figura12 Vulnerabilidades – análisis Agregados.


Figura12 Vulnerabilidades – Análisis Agregados

La Página Mostrar Análisis Agregados es también la página por defecto que aparece cuando pulsamos en enlace Vulnerabidades al comienzo de la página. Esta página le permite acceder a todas las características disponibles en la sección de Vulnerabidades a través de enlaces -tales como último análisis, informes, actualizar análisis, etc.

La tabla que aparece bajo este enlace muestra los últimos 10 análisis (si no ha realizado 10 análisis, tal y como sucede en la Figura 5, se mostrarán todos). Cada análisis se nombra con la fecha y hora; puede usar el enlace correspondiente para mostrar, borrar, o archivar el análisis. Es similar a los enlaces que aparecen en la página de Informes.

Los análisis en esta página están codificados por colores de tal modo que pueda saber cuan reciente es la información; por ejemplo, los análisis con más de 15 días de antigüedad aparecen en amarillo, mientras que aquellos de más de 30 se muestran en rojo. Los más recientes (menos de 15 días) se muestran en azul.

Al final de la página, hay una representación de los 20 primeros hosts. Usando un gráfico de tipo línea, los host más usados aparecen por nombre (dirección IP) y su cantidad. Pulsando en la dirección IP, puede obtener información detallada de esa IP, como se muestra en la página Último análisis.

Eventos > Vulnerabilidades > Análisis Programados

La página de Análisis Programados le permite programar análisis para su equipo, algo parecido a cómo programar un escáner antivirus, tal y como se muestra en la Figura 13 – Vulnerabidades – Análisis Programados.


Figura 13 – Vulnerabidades – Análisis Programados

La página muestra cualquier análisis programado en la tabla situada en el centro de la página. La sección superior ofrece información relativa a cómo ajustar los umbrales para los incidentes; en otras palabras, puede configurar cuan tolerante es su sistema frente a potenciales vulnerabidades con lo que sólo auditará problemas serios de administración y no los triviales que podrían ser simplemente falsos positivos . El umbral actual también se muestra en esta sección; por ejemplo, es 0 en la Figura 13.

Para añadir un análisis programado, pulse Agregrar otra programación, que se encuentra al final de la página. Como en la página de Actualizar Análisis, puede seleccionar o bien manualmente el sensor, pulsando el check box o el enlace Seleccionar/Deseleccionar Todo, o bien puede usar el sensor que aparece como en una línea tipo viñeta. Una vez seleccionado su sensor, puede establecer las preferencias para la programación usando la columna derecha de la tabla que aparecerá.

La columna izquierda le proporciona instrucciones para la programación de su análisis. Por ejemplo, la casilla minuto acepta valores comprendidos entre 0 y 59; la celda de la hora entre 0 y 23 y así sucesivamente. Puede añadir un mes o un año si lo desea, también puede emplear el carcter comodín (*), que significa que sucederá todos los meses de todos los años. Una vez finalizado, pulse Enviar. Aparecerá un mensaje indicando que su programación se ha añadido correctamente. Puede pulsar Volver para volver a la página de Programar Análisis, dónde los nuevos análisis programados aparecerán en la tabla.

Si necesita cambiar algo, puede usar los enlaces que aparecen en la tabla para borrar los análisis programdos o para forzar el análisis ahora en lugar de a la hora o fecha programada.

Eventos > Vulnerabilidades > Volver

El enlace Volver, simplemente le lleva de uevo a la página Mostrar Análisis Agregados. No tiene otro propósito.

Eventos > Anomalias

La pestaña de anomalías muestra cuatro tipos de anomalías:

  1. Anomalías de comportamiento RRD, ambas por host y a nivel global
  2. Cambios de Sistema Operativo
  3. Cambios de Dirección Mac
  4. Cambios de versión de Servicio
Desde esta pestaña puede tener conocimiento de esos cambios, ignorarlos y generar incidentes relacionados con los mismos.

Eventos > RT Events (Real Time Events – Eventos en tiempo real)

RT Eventes va mostrando los eventos a medida que van llegando al servidor. Se puede usar con propósitos de depuración así como para tener un indicador siempre-en-pantalla de los eventos entrantes.

Eventos > Event Viewer (Visor de Eventos)

La página de eventos muestra cinco tipos distintos de Eventos: Todos, Cortafuegos, Anomalías, Eventos Windows y Eventos Unix. Empleando el panel Filtro, puede mostrar los eventos de su elección, tal y como se muestra en la Figura 6 – Eventos > Event Viewer

Figure 6 – Control Panel > Events

Los Eventos de Sistemas operativos son cualquier tipo de evento que intente modificar vistas en el sistema operativo en alguna máquina de su red.

La página de Eventos le proporciona algunas opciones para trabajar con los eventos del sistema. Además de buscar información detallada relacionada con algunos eventos específicos del sistema, puede configurar las pestañas de Eventos en OSSIM y realizar análisis Forense (Acid/BASE).

Al comienzo de la página de Eventos, hay una sección con enlaces a los cinco diferentes tipos de eventos tal y como se mencionó previamente. Por supuesto puede crear nuevos tipos de eventos diferentes, tal y como vermos más adelante. Pulsando en el enlace los resultados aparecerán listados para ese tipo de evento.Por ejemplo, si pulsamos en Windows Events, la lista de los resultados que aparecerán al final se reducirán significativamente, ya que sólo se mostrarán los Eventos de Windows.

De modo alternativo, puede usar el panel Filtro en el medio de la página de Eventos para buscar un evento o grupo de eventos usando un criterio específico. Usando el panel filtro, puede enviar:
Host le permite especifiar el nombre de equipo para el evento deseado.

La caja de texto Fecha le permite especificar un rango de fechas para el/los eventos deseados. Pulsando el icono del calendario a la derecha de la caja de texto, puede seleccionar la fecha de comienzo y fin usando el calendario pop-up que aparecerá. Cuando configure una fecha, recuerde que su fecha debe seguir el formato año-mes-día.

El botón de selección Display by le permite aplicar un criterio de ordenación a los resultados de su búsqueda. Puede escoger mostrar los eventos por fecha, tipo, IP de origen, o IP de destino.

Una vez ha definido su criterio de búsqueda pulse Ir.

Por defecto, los reslutados devueltos se muestran por fecha. Como puede ver en la Figura 5, los eventos se listan bajo una fecha, que aparece como un menú desplegable. Si abre el menú, los eventos aparecen de uno en uno bajo la fecha.

Para cada evento, la página de Eventos muestra el tipo de evento, la fecha en la que ocurrió, así como las direcciones IP de origen y destino. Puede econtrar información adicional para cada evento, tales como el plugin, plugin SID, y cualquier dato de usuario expandiendo el menú que comprende el nombre del evento bajo la columna Tipo.

Configurar la Pestaña de Eventos.

La pestaña Configurar Eventos es una de las dos opciones adicionales en la esquina superior derecha de la página de Eventos, junto con la de Análisis Forense.

Esta pantalla se muestra un cuadro sinóptico con los cinco tipos de Eventos: Firewalls (cortafuegos), Anomalies (anomalias), Windows Events, Unix Events, Availability (Disponibilidad).Cada tipo de evento se relaciona con un checkbox (para seleccioinar múltiples tipos de eventos), así como una breve descripción de ese evento.

Cada tipo de evento en el cuadro antes mencionado también lleva aparejado su propio enlace; si pulsa Configuraciones, aparece un nuevo panel para ese tipo particular de evento, tal y como se muestra en la Figura 7 – Página de Eventos – Event Viewer – Página de Configuración de Eventos.


Figura 7 – Página de Eventos – Event Viewer – Página de Configuración de Eventos

El nuevo panel contiene cuatro pestañas que le permiten configurar parámetros para una columna concreta de un evento en particular: Generator,Event, Host y OS/MAC/Service. Para cambiar entre las pestañas, simplemente pulse el nombre de la pestaña. Puede eliminar una pestaña, o columna, pulsando su enlace correspondiente Borrar. Puede añadir una pestaña adicional pulsando en el enlace Añadir Columna.

Cada columna tiene tres configuraciones:
  • Columna label (Etiqueta) le permite configurar el nombre de la columna; una vez hecho, aparecerá una pestaña en la zona superior del cuadro.
  • Columna contents (Contenidos), le permite configurar el tipo de contenido de la pestaña, así como una etiqueta.
  • Columna settings (Configuraciones), le permite configurar las características de apariencia de la columna, tales como alineación, ancho y si va a usar o no ajuste de línea.


Página anterior -------------------- Índice del Manual -----------------------Página Siguiente

____________________________________________________________________
  • Escrito por: Jason A. Minto
  • Revisado por: Alberto Roman, Dominique Karg
  • Contribuciones: Juan Blanco
  • Traducción: Juan Nieto González http://tecnoloxiaxa.blogspot.com

Please add your name to the list above if you make significant improvements to this document

  • Página del proyecto: www.ossim.net

miércoles, 18 de junio de 2008

martes, 17 de junio de 2008

Software libre en educación

De la lectura de casi todos los artículos que podéis encontrar colgados en el blog se desprende una cierta -total- sintonía con el software libre. No es para mi una cuestión de modas, una buena parte de los informáticos apoyamos cada vez con más interés y entusiasmo estas iniciativas, sino que en la actualidad constituyen una alternativa totalmente real y factible al software comercial.

No sólo en cuanto a facilidad de uso, retaría a cualquiera a diferenciar a través simplemente de su entorno, a las versiones comerciales de las libres en numerosos paquetes de software; sino que nos aportan características adicionales que pocas veces, por no decir nunca, se encuentran disponibles en las de pago; por ejemplo, cada vez con mayor asiduidad, las versiones libres están disponibles tanto para sistemas windows como linux, permitiendo, incluso, la interacción de unos sistemas con los otros, además de la ya evidente disponibilidad del código fuente que nos permite realizar modificaciones en el mismo y aprender de otros programadores en áreas en las que no estemos tan habituados a desarrollar software.

En mi comunidad -Galicia-, a pesar de los tímidos intentos de algunas Consellerías, lo cierto es que apenas hay implantación oficial del software libre, pero lo más preocupante, bajo mi punto de vista, es que se les está negando la posibilidad a nuestros alumnos de conocer/dominar el software que constituye una alternativa natural y necesaria en muchas situaciones al de las grandes corporaciones.

Sino comenzamos desde abajo a conocer el mundo del "free", será difícil que en algún momento nuestras empresas o nuestros mayores, puedan algún día decidir en igualdad de condiciones, la idoneidad de implantar, para casos específicos, uno u otro sistema.

Me resulta muy difícil entender cómo es posible que no se den cuenta del déficit competitivo que esto supone, junto con el atraso que va a conllevar a largo plazo en el tema de las tecnologías. Mucho más difícil resulta si tenemos en cuenta el significativo ahorro que supondría la "nueva" filosofía en épocas de carencias económicas como la actual; como ejemplo el siguiente artículo del diario El País ( eso sí, sigo sin entender porque cada comunidad autónoma tiene que sacar su propia distribución, ¿es que ninguna de las distribuciones disponibles en el mercado se adapta a sus necesidades? ¿por qué no se emplean los recursos en desarrollar las aplicaciones que se estimen oportunas en lugar de desarrollar nuevas distribuciones?):

Valencia ahorra 22 millones por usar 'software' libre

El proyecto LliureX permite introducir los programas de código abierto en las aulas

lunes, 16 de junio de 2008

iTALC - Administración de aulas


Como se puede ver en la imagen italc es una herramienta que se puede emplear para ayudar a nuestros alumnos desde nuestro ordenador, visualizar qué tareas están realizando o incluso mostrarle qué hacemos en nuestra pantalla para sustituir, por ejemplo, a nuestro proyector en caso de avería o inexistencia del mismo.
Una cosa que me ha llamado la atención es que genera una clave, de tal modo que para asociar un equipo al servidor debes disponer de la clave (fichero) generado previamente. Otra de las ventajas que tiene frente a las herramientas comerciales - además de que al ser libre dispondremos del código y es gratuita-, es que está disponible para entornos windows y linux e incluso se puede emplear en entornos mixtos.
En nuestras aulas tanto el ordenador del profesor como los de los alumnos tienen arranques duales, el proceso de instalación es muy sencillo:
1.- En nuestro caso instalamos y configuramos el equipo del profesor generando la clave de italc desde windows.
2.-Copiamos la carpeta keys que contiene dos carpetas con la llave pública y la privada.
3.- A continuación instalamos italc master en Linux -seguimos en el equipo del profesor - y copiamos la carpeta Keys sustituyendo la que trae por defecto.
4.- Posteriormente se instala en todos los equipos clientes (tanto en windows como linux) dando el fichero key público en windows y sustituyendo directamente la carpeta key/puclic en linux (en etc/italc/) por la carpeta public de nuestro servidor y dándole posteriormente permisos de lectura a todos los usuarios.

Página del proyecto: http://sourceforge.net/projects/italc/
------------descargas: http://sourceforge.net/project/showfiles.php?group_id=132465

sábado, 14 de junio de 2008

Ossim: Panel de Incidencias

Incidencias > Incidencias

La página de incidencias muestra una lista de incidentes grabados por nuestro equipo. Aquí puede encontrar automáticamente incidentes almacenados, o los que haya generado manualmente. Está dividida en tres secciones distintas, como se muestra en la Figura 20 –Incidencias > Incidencias: un filtro, detalles del incidente e insertar incidencia.

Figura 20 – Incidencias > Incidencias


El filtro simple devuelve los incidentes solicitados que están relacionados con su criterio de búsqueda. Una vez que ha encontrado la incidencia deseada, usando o bien el filtro simple o la lista por defecto (mostrar todos) que aparece cuando abre la página de Incidencias, puede obtener o añadir más información sobre un incidente, de la siguiente manera:

  • Pulsando –click- en el título de la incidencia

  • Pulsando en el número del ticket

Una vez se ha pulsado en la columna, se muestra la página para una incidencia concreta. Le mostrará información detallada como el nombre del incidente, la clase, el tipo, fecha de creación, dirección IP, etc. Si la persona que se conectó al ticket de incidencia incluyó cualquier nota o información relativa al incidente, también aparecerá.
Hay dos posibilidades importantes en esta página:

  • A. El botón de Edición de Incidencias

  • B. El botón de Nuevo Ticket


A) Si pulsa el botón Editar, puede actualizar manualmente parte de la información que aparece en la página detalle. Los campos modificables incluyen:

  • Título

  • Prioridad

  • Tipo

  • IP

  • Puerto

  • Nessus ID

  • Riesgo

  • Descripción

Una vez que se hacen cambios en cualquiera de los valores existentes, puede validar dichos cambios pulsando OK. Los nuevos cambios se hacen al momento y aparecen en la página de Incidencias para ese incidente en concreto.
B) También puede crear un nuevo ticket usando el botón ya mencionado de Nuevo Ticket. Sea prudente, esto no anota un nuevo incidente o título, sino que le permite añadir un nuevo ticket a un ticket o incidente ya existente abierto. Una vez que pulse Nuevo Ticket, es redirigido a la sección Nuevo Ticket de la página de detalles de Incidencias (alternativamente, puede moverse, simplemente, al final de la página y manualmente crear un nuevo ticket.)

Hay seis campos distintos que se pueden establecer usando la ventanta Nuevo Ticket:

El campo Estado permite especificar el estado actual de un Nuevo ticket, generalmente si ha sido resuelto o no. Por defecto se establece como Abierto.

El campo Prioridad le permite especificar la importancia del Nuevo ticket. Por defecto, se pone a 3 → Bajo. Puede establcer la prioridad del nuevo ticket desde 1(Baja) hasta 10 (Alta). Alternativamente, puede establecer la segunda lista desplegable a Baja, Media, o Alta. Si se configura la lista desplegable con números, la segunda lista, automáticamente toma los valores Alta, Medio, Baja, dependiendo del número de prioridad seleccionado. Del mismo modo, si selecciona Alta, Media o Baja en la lista desplegable, la segunda automáticamente tomará el número más bajo para dicho estado. Por ejemplo, poniendo la lista a Alta establecerá el número a 8; si ponemos la lista desplegable a 2 el estado será baja.

El Campo Transferir A, le permite transferir el nuevo ticket a otro usuario, si es aplicable.

El Campo Adjunto le permite añadir un fichero al nuevo ticket. Esto se puede emplear para añadir información adicional al ticket.

El campo Descripción es una caja de texto que le permite añadir todos los comentarios adicionales o la información importante relativa a su nuevo ticket

El campo Acción le permite añadir acciones a realizar para el Nuevo ticket. El usuario final (un cliente, algún otro departamento en la empresa, o simplemente las personas a cargo) deben conocer cuál es la Acción que se requiere realizar para ese problema.

Una vez que ha completado su nuevo ticket, puede validarlo pulsando el botón Añadir ticket de la página Nuevo Ticket.

Los usuarios también se pueen subscribir a los tickets por email. Se necesita una dirección de correo electronic válida para hacerlo. A los suscriptores se les notificará cualquier cambio en el ticket cuando ocurra.

Incidencias > Tipos

La sección incidencias presenta tres pestañas, incluidos los Tipos de sección, tal y como se muestra en la Figura 21 - Incidencias> Tipos. En la página de Incidencias, puede trabajar con un incidente particular y notificar que había un "tipo" que se le aplicaba. Usando la página Tipos, puede ver o modificar la lista de tipos disponibles para sus incidentes. Estas modificaciones incluyen la edición, la adición o el borrado



Figura 21 – Incidencias > Tipos


Puede editar rápidamente un tipo de incidente existente pulsando en el enlace Modificar de la columna acciones para un Tipo de Incidencia. Sin embargo, está limitado en lo que puede actualizar actualmente. De hecho, si pulsa en Modificar, aparecerá una pantalla mostrándole que se le permite añadir o modificar una descripción en una caja de texto. Una vez ha hecho los cambios necesarios al tipo de incidencia, pulse OK. Si hace algún cambio y decide que preferiría guardar el texto almacenado inicialmente, pulse Reset. Este botón actúa como el botón Deshacer; sin embargo, una vez que ha salvado un texto nuevo, no podrá revertir el texto a una descripción anterior. Aparece una caja de diálogo para confirmar el éxito de los cambios; pulse Volver.

Si esta característica no satisface sus necesidades, siempres puede añadir un nuevo tipo de incidente. Al final de la tabla de tipos de incidentes, pulse Añadir Nuevo tipo. La pantalla que aparece tiene una funcionalidad similar a la pantalla Modificar mencionada en el párrafo anterior; la principal diferencia es que tiene un cuadro de texto adicional que le permite introducir un Identificado de incidente. Una vez que ha añadido un ID ( ¡y la descripción!), pulse OK. Se mostrará un cuadro de diálogo confirmando el éxito de los cambios; pulse Volver.

Por favor, fíjese que puede modificar el nombre del Tipo de Incidencia en los Tipos generados por el usuario, pero no puede hacerlo en los por defecto.


Incidencias > Etiquetas

La sección de Incidencias dispone de tres pestañas distintas, incluyendo la sección Etiquetas, como se muestra en la Figura 22-Incidencias>Etiquetas. En la página de Incidencias, recuerde que puede trabajar con un incidente particular y notificar que había un “extra” aplicado al mismo. El “extra” es similar al Estado para el incidente. Se puede emplear, por ejemplo, para clasificar los incidentes. Usando la página Tipos de Etiquetas, puede ver o modificar la lista de los extras disponibles para sus incidents. Estas modificaciones incluyen la edición, adición o borrado.

Figura 22 – Incidencias > Etiquetas


Se puede editar rápidamente un tipo de incidencia pulsando el enlace Modificar en la columna Acciones para la etiqueta ID de la fila. A diferencia de la página Tipos de Etiquetas, puede modificar la descripción, así como el nombre de ID para la etiqueta. Una vez hechos los cambios necesarios, pulse OK. Siempre puede descartar los cambios pulsando Cancel. Independientemente del botón pulsado, volverá automáticamente a la página de Etiquetas.

Si esta característica no cumple sus necesidades, siempre puede añadir una nueva etiqueta de Incidencia. Al final de la tabla de etiquetas de incidencias, pulse Añadir una nueva etiqueta. La pantalla que aparece es similar en su funcionalidad a la pantalla de Modificar mencionada anteriormente; la principal diferencia es que las cajas de texto están vacías. Una vez que ha añadido una ID (y la descripción), pulse OK. Siempre puede descartar los cambios realizados pulsando Cancel. Independientemente de que botón haya pulsado, volverá automáticamente a la pantalla de Etiquetas.

Incidencias > Informes

La cuarta etiqueta incluida en la sección de Incidencias es la sección Informes, tal y como se muestra en la Figura 23 – Incidencias > Informes. En la página de Informes, puede ver el número de informes creados previamente que aportan información relativa a incidencias.


Figure 24 – Incidencias > Informes


Hay cinco informes separados en la página de Informes; sin embargo, es importante señalar que no puede moidificarlos o manipularlos de ningún modo.


Estos informes son:

  • Incidentes por estado

  • Incidencias por tipo

  • Incidencias por usuario

  • Cerrar las incidencias por mes

  • Incidencias por fecha de resolución

Cada gráfico aporta un representación numérica de los datos; por ejemplo, las Incidencias por tipo de informe lista los tipos de incidents que ha ocurrido, así como el número de incidencias por tipo. Después de todo, una representación gráfica se muestra basada en estos datos.


Página anterior -------------------- Índice del Manual -----------------------Página Siguiente

____________________________________________________________________
  • Escrito por: Jason A. Minto
  • Revisado por: Alberto Roman, Dominique Karg
  • Contribuciones: Juan Blanco

Please add your name to the list above if you make significant improvements to this document

viernes, 13 de junio de 2008

firefox 3.0

Mozilla ha anunciado la disponibilidad de su nuevo navegador, bueno la versión 3.0 para el 17 de Junio, con el que además espera conseguir un récord de descargas -yo también lo espero-. Pero este post está relacionado con el de ayer.
Si no podéis instalar el complemento que ayer os comentaba, lo único que tenéis que hacer es bajaros la última beta previa a la 3.0 -la RC 3- , que además está mucho mejor que la 2.0 y casi no tiene fallos, de la siguiente dirección:
http://www.mozilla.com/en-US/firefox/all-beta.html

jueves, 12 de junio de 2008

Complementos Firefox



La mayoría de los usuarios de esta página suelen usar Firefox para conectarse al blog. En esta ocasión no voy a ahondar en las bondades que bajo mi punto de vista tiene este navegador frente a su gran competidor IE, tan sólo quisiera ayudar a subsanar la única desventaja que le veo frente a su competidor. Me refiero a que para abrir nuevas pestañas podemos ir desde el menú (archivo nueva pestaña CTRL +t), desde el botón que habremos añadido personalizando junto a la barra de direcciones, pero no con la "comodidad" que tiene el IE con su botón a la derecha de la última pestaña para añadir alguna nueva.
Si queréis añadir un botón a la derecha, tal y como podéis observar en la imagen, que os permita añadir nuevas pestañas a vuestra ventana, tan sólo tenéis que añadir el siguiente complemento:

https://addons.mozilla.org/es-ES/firefox/addon/5338

*ya necesitaba desconectar un poco de la traducción del manual de ossim

Ossim: Dashboard (Panel de instrumentos)

Dashboard > Panel Ejecutivo

El Panel Ejecutivo de OSSIM es, de hecho el punto de inicio de la aplicación OSSIM. Una vez que hemos entrado en OSSIM, aparece el Panel Ejecutivo como se indica en la figura 2– Dashboard > Panel Ejecutivo.


Figura 2 – Dashboard > Panel Ejecutivo

La pantalla general de “Bienvenida”, el panel ejecutivo permite realizar una serie de cosas:

  • Acceso a la ayuda online
  • Realizar una de las ocho tareas más habituales del sistema
  • Encontrar información adicional en la página web ossim.net web site.
  • Pulsar el hiperlink “Edit” para personalizar el Panel Ejecutivo de OSSIM. El Panel Ejecutivo puede tener multiples sub-paneles. Los paneles se pueden configuar para mostrar información de los módulos a través de OSSIM (ver Figura 3 – Panel de Configuración).


Figura 3 – Panel de configuración

Dashboard > Aggregated Risk

El panel Aggregated Risk muestra métricas, o paneles que muestran gráficamente los niveles de ataques y compromises del sistema como se muestra en la figura 4– Dashboard > Aggregated Risk.

Figura 4 – Dashboard > Aggregated Risk

Ataque y Compromiso son dos indicadores que OSSIM monitoriza independientemente debido a la potencial severidad de su naturaleza. Ambas son el resultado del riesgo representado por los eventos afectados por la monitorización de estas características. En la . En la página de Métricas un Ataque representa el riesgo potecial de la máquina debido a ataques dirigidos hacia nuestro equipo. En otras palabras, representa la posibilidad de un ataque, pero no indica que el ataque haya tenido éxito. La sección Compromiso indica que se ha cometido un ataque con éxito contra nuestro equipo.


La página Aggregated Risk está dividida en cuatro secciones distintas:

  • El panel superior nos permite seleccionar la duración de nuestras medidas: las últimas 24 horas, la última semana, mes o el año pasado.
  • El panel central nos muestra una representación gráfica, o dashboards, que muestran las metricas globales admin, un medidor de riesgo y un nivle de servicio.
  • En la esquina inferior idquierda el panel provee información del Compromiso.
  • En la esquina inferior derecha provee información de los Ataques.

Podemos pulsar en el gráfico “Global Admin Métricas” y aparecerá en una nueva ventana para facilitar su visualización. Este gráfico muestra cualquier ataque o instancias de compromiso a la hora y fecha en la que ocurrieron.

El gráfico Medidor de riesgo, que también puede ser pulsado para una visualización más sencilla, muestra los ataques y compromises en una red global y a nivel de host. Este display es un monitor en tiempo real C & A.

El gráfico de Nivel de servicio muestra el actual nivel de servicio en nuestro equipo. La información del gráfico se obtiene del mismo lugar que el Medidor de riesgo para permitirnos ver el histórico de las medidas del C & A. Podemos pulsar el porcentaje mostrado y ver el “Level admin Metricas”. Este gráfico nos permite seleccionar la duración del tiempo a mostrar en el gráfico (pasado día, semana, mes o año), así como seleccionar si mostrar o no los ataques y compromisos.


Las secciones Compromiso y Ataque del final del panel muestran información similar para los dos eventos. Cada evento está dividio en dos tipos: grupos externos globales y de redes.


La sección global contiene cuatro trozos de información: Valoración global, Fecha maxima y los niveles máximos y actuales.


La valoración global tiene dos iconos: un símbolo de un gráfico y otro de inserción de información. Pulsando en el símbolo del gráfico, nos aparecerá la ventana de Global admin Métricas (exactamente como en el primero del panel superior). El icono de inserción de información nos permite configurar las características para la inserción de de incidentes de métrica que especifica la medidas en un nuevo incidente. Podemos modificar la información sugerida con otra (si es necesario). Por ejemplo, podemos aplicar un título a un incidente, establecer la prioridad, el tipo, el objetivo, el tipo de medida (métrica) y su valor, así como establecer las fechas y horas de inicio y finalización de los eventos citados.

La sección grupos externos de Red muestra información similar par alas redes sin grupo definido bajo las Politicas de Grupo de Red (ver grupos de Red). Cada red externa también contiene iconos gráficos y de información como los detallados en el párrafo anterior.

Al final de la página de Métricas se muestra una leyenda en la que se ilustra el porcentaje umbral y su correspondiente riesgo usando un código de colores.

Dashboard > Alarmas

El panel de alarmas muestra aquellos eventos, estando correlacionados o no, que exceden de un cierto riesgo, 1.0 por defecto. Muestra información acerca de cualquier intrusion o intent de intrusion en nuestra red, como se muestra en la Figura 5–Panel de Control > Alarmas

Recuerda: riesgo = activo * prioridad * relevancia / 25 (activo 0-5, 0-5 prioridad, relevancia 0-10) asset * priority * reliability / 25 (Asset 0-5, Priority 0-5, Reliability 0-10)

Explicación: El resultado estará entre 0 y 250, por tanto si queremos un riesgo entre 0 y 10 debemos divider por 25



Figura 5 – Panel de Control > Alarmas

Cada una de las alarmas puede consistir en uno o más eventos individuales.

Hay cuatro tipos principales de alarmas:

  • Alarmas simples que consisten en un evento simple cuyo valor de riesgo ha excedido el umbral de riesgo, ya sea porque uno de los activos involucrados fue lo suficientemente alto, la importancia del evento fue lo suficientemente alto (es decir, la prioridad se fijó a un valor alto) o que la relevancia de ese evento es muy alto.
  • Directivas de correlación lógica dónde uno o más eventos (a menudo miles de eventos) están correlacionados resultando en varias alarmas que permanecerán agregadas bajo una simple.
  • Eventos correlacionados cruzados, que son “traducidos” en alarmas por el hecho de que se ha detectado un identificador de evento con un host al que previamente se le había identificado una vulnerabilidad.
  • Alarmas generadas por eventos correlacionados con un inventario de información cuya fiabilidad se ha alcanzado porque hemos identificado un evento que ha llegado contra una posible vulnerabilidad de alguna versión de sistema operativo o Servicio.

A continuación tenemos un ejemplo de captura de pantalla de una alarma de correlación lógica multinivel:

La página de Alarmas está dividida en dos paneles distintos; el panel superior es un panel de búsqueda que permite establecer criterios de alarma o intrusión específicos. Los resultados devueltos se muestran en el panel de final de la página de Alarma.


El panel de Búsqueda nos da distintas opciones para localizar alarmas e intrusiones:

  • El checkbox Filtro, si está seleccionado oculta cualquier alarma devuelta cuyo estado esté puesto a Cerrado –Closed-.
  • La caja de texto Date nos permite especificar un rango de fechas para las alarmas deseadas.Pulsando el icono del calendario situado a la derecha de la caja de texto se puede seleccionar el comienzo y fin de la fecha usando el calendario pop-up. Cuando especifiquemos una fecha, debemos recordar que la fecha debe seguir el formato año-mes-día.
  • La caja de texto IP Address nos permite seleccionar rangos de ips de origen y de destino para la alarma.
  • La caja de texto Num. de alarmas por página permite establecer el número máximo de alarmas que se van a mostrar en cada página.

Una vez que has establecido el criterio de búsqueda, pulsa Ir y los resultados irán apareciendo al final del panel de la página. Estas alarmas devueltas se ordenan, primero por fecha; se puede optar por borrar todas las alarmas para una fecha determinada pulsando en Borrar junto a la fecha del bloque de alarmas. Alternativamente, podemos borrar una alarma de modo individual pulsando el link mencionado que también está situado junto a la entrada alarma en los resultados de la búsqueda. La tercera manera de borrar todas las alarmas en nuestros resultados buscados es pulsando Borrar Todas las Alarmas al final del panel de búsqueda de resultados.


En el panel del final de la página de Alarmas hay un número de secciones que nos dan información de ayuda cuando trabajamos con alarmas o intrusiones:
  • La columna Alarmas muestra el nombre de la alarma, la intrusión, o el evento ocurrido. Puede ser un nombre específico, o simplemente una descripción del evento; por ejemplo una “possible intrusión contra vmossim”.
  • La columna Riesgo muestra un número que indica la amenaza potencial para nuestra máquina o red. Por ejemplo, un riesgo de 2 muestra un riesgo mínimo para nuestro sistema. Por otro lado, un riesgo de 6 no solo plantea peligros significativos para nuestra máquina, sino que también tiene una etiqueta color-código indicando un alto riesgo.
  • La columna Sensor indica la dirección IP del dispositivo que detectó la alarma. El Sensor OSSIM a dónde los eventos que generaron la alarma han llegado.
  • La columna Desde indica la fecha en la que OSSIM grabó la primera intrusión o ataque particular. Contiene la fecha complete seguida de la hora.
  • La columna Última indica la fecha en la que OSSIM grabó la última detección de un evento particular relacionado con un ataque o intrusión. Contiene la fecha completa seguida de la hora.
  • La columna Origen muestra la dirección IP y número de Puerto de dónde apareció el primer evento de ataque o intrusion, asícomo un icono con el Sistema Operativo de origen (si se conoce).
  • La columna de Destino muestra la IP de origen y el número de Puerto dónde apareció el primer evento de ataque o intrusión.
  • La columna Estado, muestra si la alarma está puesta como Abierta o Cerrada. Podemos cambiar el estado de una alarma de Abierta a Cerrada, simplemente pulsando en el enlace Abierta. El enlace, a continuación aparecerá como cerrado.
  • La columna Acción permite realizar dos acciones distintas desde esta columna: la primera es poder borrar una alarma como se mencionó antes pulsando en Borrar. Para cada alarma que tengamosThe Action column lets you perform two distinct actions from this column: first, you can delete an alarm as mentioned earlier by clicking Delete. Para cada alarma tendremos información resumida de ejemplo como los eventos involucrados en esa alarma, sensores involucrados, origen destino , etc. Es importante señalar que para cada alarma hay un vínculo simpolizado por el icono "i" que puede utilizar para abrir un nuevo incidente con esa alarma . Alguna de la información se generará automáticamente en el momento de la creación:Página anterior ----------------- Índice del Manual ----------------------Página Siguiente
____________________________________________________________________
  • Escrito por: Jason A. Minto
  • Revisado por: Alberto Roman, Dominique Karg
  • Contribuciones: Juan Blanco

Please add your name to the list above if you make significant improvements to this document

lunes, 9 de junio de 2008

Ossim: Menús en castellano

Para cambiar el idioma de los menús al castellano, tan sólo tenemos que ir a la opción Configuration, en la pestaña language seleccionamos spanish y nos vamos al final de la página pulsando en el botón Update. A partir de este momento los menús disponibles en castellano, nos aparecerán en este idioma.

Página anterior ----------------- Índice del Manual ----------------------Página Siguiente

Manual de ossim: Login

Primera entrega de una serie que no es más que la "traducción" al catellano del manual de usuario que podéis encontrar en la página del proyecto ossim.

OSSIM Login es el punto de entrada al sistema OSSIM (ver Figura 1 – Pantalla de Login ). La instalación por defecto tiene un usuario Admin con contraseña Admin. Deberías cambiar la contraseña en cuanto instales el sistema

Figura 1 – Pantalla de Login

Ir a la sección correspondiente:

  • Escrito por: Jason A. Minto
  • Revisado por: Alberto Roman, Dominique Karg
  • Contribuciones: Juan Blanco

Please add your name to the list above if you make significant improvements to this document

  • Traducción: Juan Nieto González http://tecnoloxiaxa.blogspot.com

jueves, 5 de junio de 2008

Auditoría de redes con Ossim

Imagen de la pantalla principal de ossim


Una de las tareas más árduas que puede llevar a cabo un administrador de redes tiene que ver con la auditoría y control de seguridad de una red, esto es, ser capaces de ver qué está ocurriendo en una red, a ser posible en tiempo real, y si hay alguna anomalía en la misma intentar entender a qué se debe: ataques, fallos, desde fuera, desde la propia red, qué usuarios, quién consume ancho de banda y en qué servicios,....

Hasta ahora, existen "multitud" de programas, algunos de ellos comerciales que nos permiten realizar estas tareas, por ejemplo para auditar, comercialmente de modo activo la red tendríamos GFI Languard, o Network Probe en modo pasivo,... IDS como el incluido por el propio ISA Server,...

Todas ellas constituyen herramientas que, de modo aislado -cada una serviría para realizar una tarea-, nos permiten detectar intrusiones en nuestra red, auditar los protocolos existentes y el tráfico,...

Los problemas a los que nos enfrentamos cuando somos los encargados de una red se derivan, fundamentalmente de los siguientes aspectos: en primer lugar todas estas herramientas generan gran cantidad de ficheros de registro (logs) que deberemos auditar por separado, en segundo lugar la complejidad de estas herramientas y su configuración, y por último y no menos significativo, la gran cantidad de falsos positivos que suelen generar.

Para paliar el resultado de todos estos factores cuyo sentimiento sobre los administradores de red se puede resumir, usando palabras de los diseñadores de ossim, en el siguiente párrafo: "Nos sorprende que con el fuerte desarrollo tecnológico producido en los últimos años que nos ha provisto de herramientas de con capacidades como la de los IDS, sea tan complejo desde el punto de vista de seguridad obtener una foto de una red y obtener una información con un grado de abstracción que permita una revisión práctica y asumible." han desarrollado, básicamente, un entorno común e interrelacionado, usando herramientas libres ya disponibles, de reconocido prestigio para sistemas Linux, integrándolas en un interfaz en el que además se relaciona la información proveniente de distintas fuentes para así tener una información mucho más fiable.


Básicamente esta plataforma agrupa bajo una interfaz web, las siguientes herramientas:
Otra de las ventajas de este proyecto es que se encuentran disponibles para distribuciones basadas en Debian y Fedora. Pero además nos podemos bajar una ISO que nos instalará en un equipo una distribución basada en Debian con todos los paquetes necesarios, facilitando de este modo la instalación de un equipo para monitorizar nuestra red.

Estoy "traduciendo" al castellano los manuales de usuario de la herramienta, las partes ya traducidas las puedes encontrar en: manuales en castellano de esta herramienta.


Página del proyecto: http://www.ossim.net
Descargas: http://www.ossim.net/download.php