martes, 18 de marzo de 2014

2.-OSSIM. Pentesting continuo como si estuvieses en primero

Segunda parte de la seria de post de éxito mundial dedicada al mundo de OSSIM, la gestión SIEM, los logs, la seguridad y demás curiosidades del lado defensor :-).
Parte 1234567 , 89 10

En el último capítulo hablamos de la instalación de esta suite y de una pequeña configuración básica de agentes Windows mediante el HIDS OSSEC para monitorización de logs...Ahora vamos con la parte que más os gusta de la seguridad, el pentesting, el NMAP, el Open-vas y los gráficos a todo color !!!


Recuerdo una frase de mi amigo y organizador de Navaja Negra @ggdaniel  , no recuerdo muy bien porque lo decía, pero era algo así como "es más difícil de instalar que Open-vas"  me partí el pecho !!! Parece mentira "tan" informáticos que somos, tantas tools que usamos, e instalar desde cero Open Vas en una debian tiene su chicha...


Cuando instalamos OSSIM instalamos por defecto el scanner de seguridad Open Vas y Nessus que podemos integrar en nuestra colección de dispositivos monitorizados para realizar un pentesting programado e integrado dentro del motor de informes de OSSIM. En su día en Inseguros hablamos de esto, del pentesting contínuo mediente la programación de Nessus y comparando sus resultados.


Lo primero que tenemos que hacer es indicar a OSSIM qué es nuestra red, o cuales son nuestros equipos, y posteriormente preparar el asunto de las políticas de scaneo, a qué equipos y demás menesteres de los scanners de vulnerabilidades.

Vamos a realizar un inventario de red de nuestra organización, lo que en OSSIM denominan ASSETS. Por debajo OSSIM realiza un NMAP con la posibilidad de elegir entre varios parámetros básicos. Con el resultado de este escaneo incorporaremos los dispositivos a nuestro inventario OSSIM.

Podríamos importar un csv con esta información, habilitar Nagios, pero sinceramente prefiero tener Nagios por un lado, y OSSIM por otro.




Podemos configurar los Time´s de Nmap. Recuerdas el post donde hablamos de esto?






Ya tenemos nuestros equipos medianamente controlados en OSSIM. No vamos a tener Log´s de ellos, pero aglutinamos el conocimiento que generamos bajo el framework.

Ahora es el turno del pentesting. Vamos a seleccionar algún dispositivo y vamos a programar un test de vulnerabilidades para que se efectue los domingos por la tarde.




Bajo este punto vamos a configurar una política a nuestro gusto, simplemente porque sabemos y podemos !!



Ahora esperamos una semanita a que se ejecute el test para ver los resultados...O lo programamos para ejecución inmediata.





En el cuadro de mando inicial podemos ver un resumen por equipos, redes y los gráficos que tanto nos gustan.

Ahora seguro que si eres una mente inquieta pensarás, bien, y dentro de un mes? los plugins de Openvas los actualizas tu kino? Noooo, puedes y deber actualizarlos tu manualmente o con un cron.
El comando es sencillo.
#openvas-nvt-sync --wget
# /etc/init.d/openvas-scanner restart
# perl /usr/share/ossim/scripts/vulnmeter/updateplugins.pl migrate



Otra de las gestiones que podemos hacer rápidamente para mejorar nuestro testing es modificar el catálogo de puertos que Open-vas escaneará. Podemos modificar la lista en : /usr/share/openvas/openvas-services
Otras de las configuraciones que solemos setear para los test de intrusión o de vulnerabilidades son las credenciales para los equipos. Desde vulnerabilidades accedemos a profiles y editamos los parámetros.
En esa misma parte podemos configurar granularmente los plugins exactos que queremos aplicar en nuestra política, como hacíamos un poco más arriba, pero en vez de por familia, por plugin.




Si habéis utilizado OpenVas os sonará este apartado de configuraciones. Se agradece la configuración de los scripts NSE para Nmap.

Si tus contraseñas son complejas, complejas de verdad de corazón :-) tal vez debas editar el fichero /usr/share/ossim/includes/classes/Security.inc. para añadir los caracteres válidos.

En proximos capítulos de OSSIM intentaremos meternos con más dispositivos a los que configurar el logging e intentaremos configurar políticas de actuación para evitar falsos positivos.

Gracias por leerme, como siempre, espero que os guste !!!