Sitio para la difusión de conocimiento informático. 

Twitter RSS

Log2timeline

Qué es log2timeline?

Es una herramienta escrita en perl, cuyo propósito principal es analizar varios archivos de logs y artefactos del sistema, para producir una línea de tiempo que pueda ser analizada por investigadores y analistas forenses. Si bien está anunciado el fin de este proyecto y su reemplazo por “Plaso” (http://plaso.kiddaland.net/), en esta publicación veremos como instalar y usar esta herramienta que aun tiene mucho para dar 😉

Esta herramienta está escrita en Perl para Linux, pero ha sido testeada usando Mac OS X (10.5.7+ and 10.6.+). Parte de esta herramienta debería funcionar nativamente en Windows (habiendo instalado ActiveState Perl), mientras que otras partes de esta herramienta necesitan ser modificadas para funcionar correctamente en Windows. Fue escrita por written Kristinn Gudjonsson quien publicó el siguiente Gold Paper, en el que se puede ver en más detalle el uso de esta herramienta “http://www.sans.org/reading-room/whitepapers/logging/mastering-super-timeline-log2timeline-33438”.

A continuación veremos como instalar esta herramienta en Linux (debian), y unos ejemplos prácticos de uso.

Índice:
1.1 Instalando log2timeline.
2.1 Ejemplos de Uso.
3.1 Paginas MAN.

Continue Reading

 

Ruteo Básico en Junos OS

Ruteo Básico en Junos OS

En esta publicación se describe brevemente como configurar rutas estáticas y dinámicas en Junos OS.

 

Continue Reading

 

Entrenar SPAM/HAM en Bayes

Entrenamiento de Bayes – Spamassassin

El entrenamiento de correos en Bayes para Spamassassin, ya sea como HAM o SPAM, se realiza manualmente utilizando la herramienta “sa-learn”. Eso requiere exportar el correo envaiado por el usuario a un formato .eml y luego copiarlo hasta el servidor de correo para ejecutar la herramienta “sa-learn” y entrenar el correo como SPAM o HAM.

Ej. de entrenamiento manual:
– Entrenar un correo como SPAM: sa-learn –spam mail.eml
– Entrenar un HAM como HAM: sa-learn –ham mail.eml
– Verificamos la nueva puntuación del correo forzando a que
Spamassassin lo vuelva a procesar: cat mail.eml | spamassassin –lint -D | more
Al final de la salida de este comando veremos la puntuación que Spamassassin le otorgó a nuestro correo.

Para facilitar la tarea, a continuación detallamos como podemos configurar nuestro DNS interno y Postfix para enviar correos a entrenar en Bayes a la casilla ham@ham.ham para entrenar el correo como HAM; y spam@spam.spam para entrenar el correo como SPAM.

Continue Reading

 

Bayes en Spamassassin

Bayes en Spamassassin

El clasificador Bayesiano de Spamassassin trata de identificar el spam al ver lo que se llaman tokens, palabras o secuencias cortas de caracteres que se encuentran comúnmente en el spam o el ham. Si he entregado 100 mensajes a sa-learn que tiene la frase ampliación del pene y digo que se trata de un spam, cuando el mensaje 101 llega con las palabras pene y ampliación, el clasificador Bayesiano estará bastante seguro de que el nuevo mensaje es spam y aumentará la puntuación de ese mensaje. Más información en: http://wiki.apache.org/spamassassin/BayesFaq

En el siguiente ejemplo veremos como configurar Bayes en Spamassassin, usando una base de datos en MySQL lo que nos dará mayor rendimiento en el procesamiento de los correos. Quitando las tareas detalladas en el punto 3.1 del índice detallado a continuación, nos dejará una instalación de Bayes con una base de datos MySQL local. Lo que nos permite el punto 3.1 es poder replicar los nuevos correos aprendidos como SPAM o HAM, a otro servidor de correo y viceversa. Esto nos permite optimizar el procesamiento de correos y tener un respaldo de nuestra base Bayesiana.

Índice:
1.1 Instalación de Bayes
2.1 Configuración para MySQL
3.1 Configuración para Cluster MySQL
4.1 Comandos para administrar Bayes

Continue Reading

 

Spamassassin + DCC y Razor2

Plug-in DCC y Razor2

Qué es DCC?: DCC o Distributed Checksum Clearinghouse es un filtro de contenido anti-spam que se ejecuta en una variedad de sistemas operativos. La idea de la DCC es que si los destinatarios del correo podría comparar el correo que reciben, pueden reconocer un correo masivo no solicitado. Un servidor DCC atiende a informes de “fuzzy” sumas de comprobación de mensajes de los clientes y responde a consultas sobre el recuento total de las sumas de comprobación de los mensajes de correo. Consulte la página de DCC: http://www.rhyolite.com/dcc/.

Qué es Razor2?: Agentes Razor2 se conectan a la red Cloudmark Collaborative Security para informar sobre el spam y   comprobar el fingerprints. Cloudmark proporciona un acceso libre y abierto a la CCSN pero se reserva el derecho negar el acceso a cualquier persona.

Índice:
1.1 Instalación de DCC
2.1 Instalación de Razor2
3.1 Probando DCC y Razor2

Continue Reading