BFW Firewall & Router

[macbab]

Amigos del foro, quisiera avisar que tengo funcionando en forma aparentemente estable
dos nuevos addons que compile para BFW 2.30 (version instalada en disco)
Se trata de FPING version 2.4b2 y de Sntop version 1.4.3 .
El proposito de su uso es monitoreo e inspeccion rapida de redes .
Fping es un ping modificado para enviar de una sola vez sondas ping a multiples
destinos de forma que lo hace mas veloz que el ping normal . Sntop es un monitor de
status de una red que funciona en modo consola ( y envia reportes tambien en modo html). Sntop requiere de
fping (no excluyentemente) y es por eso que compile ambos.
No son herramientas de las denominadas indispensables, y seguramente muchos de ustedes se las han
ingeniado para resolver lo mismo de otra manera. En mi caso el interes por hacerlos tiene que ver con
conseguir el monitoreo de mi red (que es de unas 100 maquinas) con software sencillo de instalar, configurar
y que no pese demasiado en memoria o proceso. Ambos pueden ser usados en scripts bash y quizas
sea de utilidad a los amigos que necesitan saber que esta pasando pero les resulta muy complejo implementar
algo como nagios (por ej).
Por supuesto que el alcance de estas herramientas es limitado. Considerando el hecho que muchas computadoras
se configuran para negar la respuesta al ping. En entornos cerrados seria mas conveniente usar arping y estoy
viendo la posibilidad de que el desarrollador de sntop adapte esa opcion tambien.
Tengo los paquetes armados y algunas imagenes para ilustrar esto a disposicion de ustedes.

Una descripcion mas detallada por sus creadores
http://fping.sourceforge.net/
fping is a ping(1) like program which uses the Internet Control Message Protocol (ICMP) echo request to determine if a host is up. fping is different from ping in that you can specify any number of hosts on the command line, or specify a file containing the lists of hosts to ping. Instead of trying one host until it timeouts or replies, fping will send out a ping packet and move on to the next host in a round-robin fashion. If a host replies, it is noted and removed from the list of hosts to check. If a host does not respond within a certain time limit and/or retry limit it will be considered unreachable.
Unlike ping, fping is meant to be used in scripts and its output is easy to parse.

http://sntop.sourceforge.net/
sntop is an ncurses-based top-esque console utility for monitoring the connectivity of network hosts, supporting various advanced features and released under the GPL. Sntop uses fping (ping is supported, too) to determine connectivity of hosts, specified in a config file, on a regular interval. the results are displayed in a top-like format.
advanced features include html generation of results for automatic web page, secure terminal mode, execution of external file on alarm (configurable for either host DOWN or any change in host status), color support, and both user and system-wide config files. sntop aims for support on all popular unices and platforms.

Aclaracion : SNTOP tiene un archivo de configuracion llamado sntoprc en el directorio /etc , una vez cargada la
configuracion que se desea debe hacerse backup de /etc para no perder los cambios.

Saludos

Marcelo

[AdslWiFi]

Saludos...

[gamba47]

Los voy a tratar de compilar para BrazilFW 3.0 porque saque todos los 2.x que tenía....


Excelente macbab!!!

gamba47.

Pd. en unos días te doy una cuenta ftp.

[nachazo]

Macab probaste n-map?

trabaja muy bien es muy chico y se compila facil el add-on es oficial...

Igualmente se agradece tener mas soft disponible para brailfw

saludos.

[macbab]

Macab probaste n-map?

Si lo uso todo el tiempo es excelente , esto es distinto y se trata de unas herramientas de
monitoreo, no de inspeccion profunda como nmap. Los compile para tener una sistema de
monitoreo rapido y sencillo para un sistema de visualizacion remoto de la red de mi empresa
Hace muchisimo menos que nmap , es solo para poder acceder desde muchos puntos
y ver si tienes segmentos o servers fuera de servicio rapidamente y tiene reporte html.
Abrazo
Marcelo

[WTC2009]

funcionara bien en la version 2.31

[macbab]

funcionara bien en la version 2.31

Estuve revisando el codigo antes de compilarlo y no encontre nada que me indique que no
fuera a funcionar en 2.31 . Pero como tengo 2.30 no puedo asegurarlo.
Ahora estoy en Mexico DF pero el martes estoy en Buenos Aires y si queres probar te lo
envio.
Saludos
Marcelo

[gamba47]

Dejo este link de un soft que parece interesante.

http://www.sshguard.net/

Más que nada para no perderlo.

gamba47

[macbab]

Estimados amigos, aqui de regreso luego de mi viaje por las tierras del guapo Dan.
Les dejo el link para descargar el Fping y el Sntop .
Fping puede correrse por si mismo es un programa para consola, el Sntop requiere (no excluyentemente Fping)

http://www.brazilfw.com.br/users/macbab/addons_2.30/

Esta en prueba para la version 2.30 sin inconvenientes hasta ahora.

El programa sntop tiene 2 presentaciones , una por consola y otra por http. Si desean usar la presentacion http
deberian ejecutar una sesion http a la cual conectarse desde el exterior o desde el interior de la red.
Yo lo hago con el comando:
# thttpd -p 8181 -d /partition/midirectorio/

Una vez corriendo la instancia http me aseguro que puedo acceder a http://direccion_ip_del_BFW:8181 y asi ver el
directorio con el clasico encabezado " Index of / ".

Luego de esto ejecuto el sntop en forma de demonio y direcciono la salida html hacia /partition/midirectorio/
de la siguiente manera:
# sntop -d -r 30 -w -e /partition/midirectorio/sntop.html

Esta linea producira una nueva pagina html cada 30 segundos con los datos del estado de los chequeos realizados .
Esta pagina puede ser accedida de forma remota, para de esa manera chequear por ejemplo el estado de un sistema que esta lejano fisicamente.

Por ejemplo, en mi caso tengo varios servidores internos de mi red y algunos sitios externos para asegurarme que existe conectividad a internet.

Nada impide que direccionen la salida a memoria ram en vez de hacerlo a /partition . Yo lo hago para tener un foto
del ultimo estado del sistema por si falla algo. Si deciden cambiarlo no se olviden de direccionar al mismo directorio
la instancia http que lo sirve.

Espero que les sea util y por favor avisen si algo no funciona como es debido.

Saludos
Marcelo

[macbab]

Dejo este link de un soft que parece interesante.

http://www.sshguard.net/

Más que nada para no perderlo.

gamba47

No queria dejar de comentar tu aporte Gamba sobre el sshguard. Me parece interesante la idea del mismo.
Basicamente se trata de un soft que decide el bloqueo de ciertos accesos al sistema detectando los abusos
(tipo fuerza bruta por ejemplo) que puede sufrir los servicios que esten disponibles hacia el exterior.
La materia del analisis son los logs que los servicios producen. Estos son analizados como patrones de
coincidencia contra una base predefinida y si el caso se da que se detecta un match entonces se ejecuta
una regla que bannea la ip que genero la peticion. Aparentemente es liviano y podria ser compilado en BFW.
Me gusta la aproximacion simple al tema ataques que tiene. La contra que le veo es que el BFW (2.x) no tiene corriendo
un servidor de logs y los servicios deberian ser adecuados para poder usarlo ya que actualmente ninguno produce logs . Sobre todo el ssh. La buena es que tambien puede monitorear otros servicios como por ej. pure-ftp
El tema de los logs puede ser complejo ya que debemos pensar en la carga de proceso adicional de cada servicio
y en la rotacion de los logs. Pero me parece que puede intentarse. La modificacion dinamica de las reglas del firewall
por parte del sshguard tambien requerira nuestra atencion. Ya que hasta hoy todo lo declarado alli es estatico.

Si el unico servicio activo hacia el exterior es el SSH, yo creo que es preferible que se evite
la autenticacion por user/password y de esa manera se impide el acceso por fuerza bruta.
Si se valida con ip + llave publica, solo esa maquina deberia tener acceso.
Con ninguno de estos software podremos evitar (creo) la denegacion de servicio transitoria que producen estos ataques.
De alli que progresen dentro de la red ya es otro tema.
Si existen mas servicios activos como ser http o ftp entonces puede ser util tener sshguard funcionado

Pero como mencione, creo que se necesitara adecuar el sistema BFW para que sshguard corra correctamente.

Saludos

Marcelo