viernes, 30 de mayo de 2014

8.-OSSIM Completando datos de nuestros activos.

8º artículo de la serie OSSIM. Parte 1234567 , 89 10

En el artículo de hoy vamos a completar la información que obtuvimos del proceso de descubrimiento de activos o Assets Discovery.


Vamos a completar información para nuestros activos. Iré comentando su uso.




Elegimos editar un assets o activo.








Podemos editar manualmente cualquiera de estos atributos, o realizar un scaneo para ver que obtenemos.






Como podéis comprobar, podemos elegir entre varios tipos de scaneo. Realmente esto lanza un comando nmap. Podemos modificar cualquiera de ellos, aunque lo aconsejable es cambiar el Custom (por eso de los updates xD). la ruta mágica para cambiar la configuración de los scans la tenemos en:

  • /usr/share/ossim/scripts/vulnmeter/remote_nmap.php
  • /usr/share/ossim/include/classes/Scan.inc
Una vez terminado el scaneo, debemos actualizar la información en la base de datos, o borrar la información.



Ahora viene la parte que realmente nos interesa a la hora de configurar la información de los assets o activos.

Aunque vamos a tratar todos estos aspectos en el próximo post, adelantar que hay que configurar varios valores para categorizar nuestros activos mediante unas métricas concretas.



Lo más importante es el valor que le queremos dar al activo. Es un valor entre el 0 y el 5 que debemos establecer en base a la importancia de nuestro activo.


Ahora informamos el plugin que usamos para este activo, en este caso, un agente ossec.






Ahora es el turno de cambiar el nombre, la ubicación del activo dentro de un mapa...




Con esta parte tenemos suficiente. Configuramos nuestros activos con información que nos pueda ser útil a la hora de correlacionar eventos ( por ejemplo, una alerta para timeouts en un servicio que corre en un server con poca ram...)


Lo más importante es que indiquéis el grado de importancia que tienen para vuestra organización el activo entre 0 y 5.


Espero que os guste, y como siempre, gracias por leerme.


7.-OSSIM Análisis de vulnerabilidades y configuración de PLUGINS.

Y ya van siete artículos relacionados con el mundo OSSIM. Parte 1234567 , 89 10

Una de las opciones que hemos configurado en anteriores capítulos es un análisis de vulnerabilidades de nuestros equipos o infraestructura.
Como en la mayoría de herramientas de este tipo, el proceso consiste en realizar la auditoría, comprobar manualmente el impacto de los hallazgos, identificar falsos positivos y falsos negativos. Una vez realizada la comprobación manual, debemos elegir entre abrir un ticket de trabajo, o simplemente deshabilitar el plugin que nos está dando falsos positivos para no incluirlo en nuestra auditoría.

Vamos a realizar el segundo paso, deshabilitar el plugin que arroja información errónea. Como hacíamos con las políticas para la correlación de eventos, limpiar la información.

Empezamos desde un informe de análisis.
Identificamos la familia del plugin, y el id que queremos deshabilitar.


Una vez identificados, nos vamos a la configuración del Profile que usamos para el scaneo, y deshabilitamos el plugin.







De esta manera vamos configurando la visión de la información que arrojan los componentes de OSSIM.

Espero que os guste y como siempre, gracias por leerme.

martes, 27 de mayo de 2014

6.-Cambios look & feel en interface OSSIM

Y ya van seis artículos relacionados con el mundo OSSIM. Parte 1234567 , 89 10

En el episodio de hoy vamos a cambiar un poco la visión del panel de control de OSSIM. Ya sabes, los gráficos, los indicadores, nuestro cuadro de mando personalizado.
Suelo aglutinar todos los indicadores bajo una pestaña por mi comodidad, aunque puedes entrar en cualquiera de la subsecciones para investigar los detalles.
Otro punto a favor para realizar estos pequeños cambios es nuestro jefe !!! queda más elegante hacer una presentación mostrando información que conocemos y nos es útil, que no mostrar un montón de indicadores por defecto que quedan muy bonitos pero no son efectivos.

Por último vamos a añadir una pestaña RSS. Esto es un Widget que agregamos con una fuente RSS. El propósito para mi es aglutinar en un solo sitio todas las fuentes de todos los sistemas que tengo instalados, y que me interesa estar al día en cuestiones de avisos de seguridad. Para ello creo que te será útil el post Crear fuente RSS personalizada.

Comenzamos el proceso desde el DashBoard-Overview y habilitamos el modo de edición.



Podemos ocultar las pestañas generadas por defecto.


En la parte de la izquierda creamos una nueva pestaña, configuramos el número de columnas que vamos a mostrar y empezamos a añadir complementos o Widgets.
Podemos elegir entre varios tipos. Vamos a por las barritas !!!




Os dejo algunos ejemplos de complementos que me gustan.





Para añadir las fuentes RSS simplemente creamos una pestaña nueva y añadimos Widget de RSS y la fuente.
Me gusta tener toda esta información asequible de un vistazo.



Como siempre, espero que os guste y gracias por leerme.







RSS de avisos CVE personalizado para tus sistemas.

Si tuvieran que preguntarme la principal medida de seguridad a aplicar en mi organización sin duda diría Actualizaciones. Todos lo sabemos !!! Todos lo hacemos... y además lo actualizamos todo !!!.


Una de las primeras acciones que debemos realizar para proporcionar seguridad corporativa es identificar nuestros activos. Parece sencillo. Todos tenemos super monitorizado nuestro firewall. Tenemos los sistemas Windows/linux preparados para recibir sus actualizaciones. Bien !!

Es vital estar informado de los avisos de seguridad relacionados con nuestros sistemas, pero con TODOS. El eslabón mas débil es el que rompe la cadena. Seguro que tienes tu OpenSSL actualizado por el incidente del año... pero y ese pequeño servidor web que usas cada 6 meses para sacar un report...

Existen numerosas herramientas para identificar nuestros activos y crear una base de datos de conocimiento, la famosa CMBD de ITIL.

El propósito de este post es un pequeño truco que uso para estar al día de los avisos de seguridad de mis activos, nuestro amiga CVEDETAILS es una habitual cuando buscamos fallos de seguridad en sistemas, exploits y detalles de los avisos. La página nos permite crear una url personalizada para tener nuestra fuente RSS de avisos concretos para un producto o fabricante. Vamos a poner un ejemplo para explicarme mejor.

Busco en CVEDETAILS un producto que tengo instalado, Prestashop...
Anoto los id de producto y vendedor.



Ahora utilizo Vulnerabity Feeds Widget para generar una fuente RSS



La Url es sencilla:
http://www.cvedetails.com/vulnerability-feed.php?vendor_id=0&product_id=0&version_id=0&hasexp=1&opec=1&opov=1&opcsrf=1&opfileinc=1&opgpriv=1&opsqli=1&opxss=1&opdirt=1&opmemc=1&ophttprs=1&opbyp=1&opginf=1&opdos=1&orderby=3&cvssscoremin=0

Ahora tenemos una fuente para TODOS los productos...

Y si cambiamos el producto_id y el vendor_id por los datos de Prestashop?

Ya tenemos una fuente RSS para los avisos de seguridad CVE de Prestashop.

Esto no quiere decir que dejemos de usar los canales de comunicación habituales de nuestros fabricantes, como pueda ser Drupal, ya que en ellos se suele ampliar información y sobre todo, las actualizaciones.

Espero que os sirva de ayuda, que lo uséis.

Gracias por leerme.


5.-OTX .Open Threat Exchange. OSSIM

Amigos de inseguros, seguimos con la serie de artículos dedicados al mundo SIEM con en software OSSIM. Parte 1234567 , 89 10


En el capítulo de hoy vamos a hablar de un servicio denominado OTX. Dicho servicio es una base de datos de conocimiento, mantenida por AlienVault, y puesta a la comunidad para su uso. Podemos navegar por la información de amenazas existentes mediante un browser o integrarlo en nuestra suite OSSIM para recibir alertas en el caso de estar siendo atacados por alguna dirección o evento catalogado en la base de datos.


Lo primero que hacemos es acceder desde OSSIM a Configuration-Administration-Main-OTX.


Nos creamos un usuario, o vinculamos el login con alguna de las plataformas. Una vez creado generamos el token y lo pegamos en la casilla correspondiente.



Podemos pinchar sobre contribuir. En el caso de tener amenazas en nuestro SIEM, nos propondrá un resumen con las direcciones IP. De esta manera se mantiene una base de datos de reputación IP que nos ayude a la hora de procesar la información de los eventos que nos llegan.

Espero que os sirva y que os haya gustado.
Gracias por leerme.

lunes, 26 de mayo de 2014

4.-Agente OSSEC en sistemas Debian Based

En el capítulo de Inseguros de hoy seguimos con la serie sobre el mundo SIEM y el uso de la aplicación OSSIM. Parte 1234567 , 89 10

Vamos a realizar un procedimiento similar al empleado en el despliegue de agentes OSSEC en Windows salvo que lo vamos a hacer sobre un sistema basado en Debian como es Kali Linux.


Para retomar un poco el hilo, hablamos de OSSEC como un sistema de detección de intrusos a nivel de host (HIDS). Podemos configurar que tipo de logs del sistema queremos monitorizar, así como establecer niveles de integridad en los ficheros para detectar cambios. También se implementa una tecnología para la detección de Rootkits. Monitoriza claves de registro en sistemas Windows. Todo ello lo enviaremos a nuestro servidor OSSIM para realizar nuestro análisis de eventos.

El primer paso es configurar en OSSIM que vamos a usar un nuevo agente OSSEC ( que instalaremos en nuestro sistema debian) con un nombre y una dirección IP. Es recomendable realizar la anotación CIDR (P.E. 192.168.1.1/24). Generamos la clave para autenticar a nuestro cliente.



En nuestro equipo Debian descargamos el agente.
wget http://www.ossec.net/files/ossec-hids-2.7.1.tar.gz
tar -zxvf ossec-hids-2.7.1.tar.gz

Ejecutamos el instalador que nos presenta un menú muy sencillo en donde seleccionamos el tipo de OSSEC que vamos a instalar, servidor o agente. La dirección ip del servidor y alguna cosita mas.





Una vez instalado configuramos el agente con la clave que hemos exportado desde OSSIM.


Una vez completado el proceso iniciamos el agente.


Podemos comprobar en OSSIM que ya tenemos conexión con el agente desplegado.


Espero que os haya servidor de ayuda.

Como siempre, gracias por leerme.

lunes, 19 de mayo de 2014

TIPS & TRICKS: Listar usuarios con permiso de marcado a redes (vpn) con PowerShell

Considero muy útil este comando a la hora de realizar nuestras auditorías de seguridad para comprobar, en el caso de existir una vpn con servidores Windows, los usuarios que tienen permiso para la conexión.

Podemos emplearlo para comprobar cualquier directiva de seguridad/auditoría.

Get-ADUser -LDAPFilter "(&(objectCategory=person)(objectClass=user)(msNPAllowDialin=TRUE))"

Espero que os sirva.

CMAK para distribuir clientes VPN Windows.

En el mundo de la seguridad empresarial el papel del usuario es una pieza clave para el correcto funcionamiento, o al menos, en el cumplimiento de la normativa.

Uno de los retos más habituales es el de la conexiones remotas. Los usuarios viven/vivimos en un mundo en el que lo queremos todo a un click, si puede ser por web mejor !! y muchas veces se usan servicios de alto nivel o de un criticidad alta como las conexiones remotas sin ser conscientes de los riesgos que eso conlleva.

Es habitual encontrar escenarios con conexiones VPN infrautilizadas en incremento de soluciones tipo logmein, teamviewer, varios ssh publicados en el perímetro y en el peor de los casos, un escritorio remoto RDP o VNC, solo por comodidad !!!!.Es mucho más sencillo para el usuario entrar en un servicio de este tipo que configurar un cliente VPN en Windows o Linux.


Vamos a utilizar una herramienta sencilla de Microsoft, el Connection Manager.
Con él vamos a crear un fichero ejecutable que configure los parametros de acceso a nuestra VPN pptp y así evitar la tarea de configurarlo manualmente por parte del usuario.

Debemos instalarlo como función dentro del role del servidor Acceso remoto.


Una vez instalado ejecutamos el sencillo asistente.





Completamos el asistente sin indicar ninguna otra opción.

En el último paso, copiamos la ruta donde el asistente ha generado el fichero exe, que nos permitirá configurar el cliente vpn en los pc de nuestros usuarios con un solo doble click.
En esa ruta editamos el fichero CMS para añadir un par de parámetros.
Domain= el nombre de mi dominio
ConnectionType=1



Estos parámetros nos permiten no introducir el nombre de dominio cuando ingresamos el usuario y contraseña, y establecer la conexión cliente sobre una existente. Si no realizamos este paso al ejecutar el cliente, pedirá al usuario seleccionar una conexión existente... un lío !!!

Como hemos modificado el fichero CMS tenemos que ejecutar el asistente una vez más sin modificar ninguna opción para volcar esa información en el .exe.

Ahora ya tenemos un fichero para distribuir a nuestros usuarios remotos. Podemos colgarlo desde una Intranet o cualquier otro acceso externo.

Espero que os sirva de ayuda.

Gracias por leerme.