The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Archive for November 22, 2012

OSSEC: Introducción by Alejandro Ramos

OSSEC es un Host IDS opensource que incluye características que lo convierten en una herramienta muy interesante para asegurar un sistema, ya sea de la familia Unix o Windows.
Nace como sistema de detención de intrusos basado en logs (LIDS o Log-based Intrusion Detection System)  pero en la actualidad ha evolucionado incluyendo otras funciones, entre ellas:
  • Control de integridad de ficheros: verifica que los ficheros relevantes del sistema no sean alterados de forma no gestionada.
  • Control de integridad del registro: igual al anterior, pero para claves del registro. De esta forma se puede monitorizar si se añade un nuevo servicio, y se conecta un dispositivo USB, si se agrega una aplicación para que arranque al inicio de windows, etcéterra.
  • Detección de rootkits: está basado en firmas y es un poco básico. No es tan completo como algunas soluciones específicas como unhiderkhunter o chkrootkit.
  • Respuesta activa: actuando como IPS, puede añadir reglas al firewall para bloquear hosts que generen eventos determinados.
Aunque la parte más relevante es el análisis y sistema de alertas basado en los logs, para los que dispone de decenas de decodificadores que los procesará con lógica.
Existen dos métodos de instalación, uno local, para un único servidor y otro con orientación cliente-servidor, donde los Agentes desplegados mandan las alertas a un servidor central con funciones de Manager.
El manager recibe y se comunica con los agentes mediante el puerto 1514/udp, por el que se transmiten los registros de forma cifrada (blowfish) y comprimida (zlib).

La aplicación se compone de varios servicios con distintas funciones cada uno de ellos y que serán usados según la configuración. Los más importantes son:

  • syscheckd: se encarga de ejecutar los análisis de integridad.
  • logcollector: recoge todos los logs del sistema, ya sean de syslog, ficheros planos, eventos de windows, etc.
  • agentd: envía los registros al manager remoto.
  • execd: ejecuta las respuestas activas (bloqueo de direcciones IP)
  • remoted: recibe los logs de los agentes remotos.
  • analysisd: proceso principal, se encarga de todo el análisis.
  • maild: manda correos electrónicos con las alertas.

La instalación por defecto se realiza en el directorio /var/ossec. Del que cuelga la configuración en el archivo/var/ossec/etc/ossec.conf.

Los decoders de cada uno de los logs se encuentran en formato XML en el directorio /var/ossec/rules/ y tienen el siguiente aspecto:

Las alertas se almacenan por defecto en /var/ossec/logs/alerts.log, aunque está desplegado un gran número de agentes, es recomendable guardarlas en base de datos. De la que podrán ser procesados con alguna de las consolas existentes.

 

Enhanced by Zemanta
Advertisements

Mac OS X: cómo desinstalar aplicaciones by Bárbara Pavan

El cambio de WindowsMac puede ser duro. No porque sea negativo –de hecho, creo que es muy positivo, pero en este caso es una opinión completamente personal- sino porque nos encontramos frente a dos sistemas operativos diferentes que tienen detalles que no se replican. Tienen los dos una interfaz gráfica de usuario, por lo que no debe ser complicado de usar, pero tienen diferencias claves. Como por ejemplo, cuando queremos desinstalar una aplicación.

En Windows, generalmente tenemos un archivo .exe para desinstalar. También lo podemos hacer desde el Panel de Control. No contamos con esto en Mac OS X. Tampoco tenemos un lugar donde podamos ir a desinstalar las aplicaciones. Podemos recurrir a aplicaciones desarrolladas por terceros que se encarguen de eliminar lo que no queremos más en el ordenador, pero generalmente no hacen un trabajo demasiado exhaustivo y dejan archivos y “residuos” de la aplicación que queremos eliminar. La mejor forma de hacerlo es manualmente.

También podemos creer que, como estamos frente a un único ícono de una aplicación, estamos también frente a un único archivo. Pero en el panel de aplicaciones, estos íconos representan un grupo de archivos que son necesarios para que la aplicación pueda correr sin problemas. Por eso la mejor forma de eliminar archivos es a través del finder. Generalmente, estas apps dejan atrás archivos de preferencias o de soporte de la aplicación, que podemos usar si decidimos reinstalar la aplicación. Pero la verdad es que son innecesarios y nos ocupan espacio en el disco.

¿Cómo podemos desinstalar completamente las aplicaciones en Mac? En realidad es un proceso muy simple.

  • Abrir Finder
  • Buscar la aplicación que queremos eliminar –por el nombre debemos encontrarla sin problemas-
  • Hacer clic en el botón de + que aparece al lado de la barra de búsqueda
  • En los criterios de búsqueda, seleccionar “Otros” y luego “Archivos de Sistema”.
  • Incluir todos los archivos en la búsqueda
  • Seleccionar los resultados de la búsqueda para eliminar. Los archivos que elijamos se moverán a Trash.
  • Es necesario eliminar todos los archivos relacionados con la aplicación que se encuentren en todas las carpetas.
  • Luego de mover los archivos, verificar que las aplicaciones restantes o el sistema estén funcionando bien, para que no hayamos eliminado nada por error.
  • Reiniciar el Mac para comprobar que todo ha sido eliminado correctamente.
  • Vaciar la basura para eliminar definitivamente estos archivos.

Es un proceso muy simple, pero como siempre hay que tener cuidado con las cosas que estamos borrando. Una buena idea es, por ejemplo, complementar este proceso con algunas de las alternativas a MacKeeper que mencionamos en una oportunidad anterior.

Foto por Business Insider

 

Enhanced by Zemanta