viernes, 21 de julio de 2017

Mirando cosas en el DNS interno. Wireshark

Estimados amigos de Inseguros !!!

Uno de los servicios que suele ofrecer a mis clientes es la auditoría de red orientada a la seguridad.

No es una auditoría de seguridad, pero tampoco es una auditoría de red al uso, enumerando equipos, viendo tiempos de respuesta, identificando switches con 2 3 y hasta 4 bocas conectadas a si mismo y a otro switch, en fin, ya sabéis, redes !!!


Lo primero que hago es monitorizar o mejor dicho capturar paquetes de red en distintos horarios y en distintos rangos/redes/vlans o como el cliente tenga el tinglao.
Algunas cosas que hago es pasarle el pcap a una herramienta como Malcom, como vimos aquí,  y de esta manera analizar si hay equipos que se está conectando a fuentes maliciosas conocidas. Una buena fuente de inteligencia en Malcom y podemos detectar ordenadores comprometidos.

Este no es el propósito del post, que como siempre me voy por las ramas, como un mono, colgao !!!

La parte del DNS en las empresas no suele estar muy bien configurada. No al menos desde el punto de vista de la seguridad o mejor dicho el control, ya que esto no tiene que ver mucho con seguridad, sino con tener el IT organizado, pero al final redunda en incidentes.



La mayoría de vosotros teneis una red con Active Directory o una red basada en Dns Bind. Todos los equipos "buscan" su configuración dns para realizar las consultas. Estas van al servidor DNS, si son internas o están en Cache o existe el registro las resuelven, y si no preguntan a los reenviadores por esta información. Correcto, has sacado un 5 en redes del grado medio.

En caso de tener un incidente de seguridad, o sospechas de él, auditar las peticiones al Dns debería ser una buena idea. Imaginar un equipo preguntando cada 2s por un dominio .ru... Estas cosas las debería detectar el IDS pero bueno... Muchas veces no se habilita el log paras las consultas DNS, como vimos en el caso de Windows 2012 

En la red interna, bajo mi humilde punto de vista, TODOS los equipos deben apuntar al servidor Dns de la empresa, y solo este debe tener la capacidad a nivel de firewall de establecer conexiones salientes con destino udp 53 hacia fuera. La cámara de seguridad, el portátil de nosequien, el gadget de nosecuantos, todos, aunque no sean equipos que registremos ( que deberíamos hacer manualmente en el dns) deben apuntar al dns interno, y no al 8.8.8.8 porque como son "dispositivos" no pasa nada.

De esta manera, podemos evitar casos de compromiso en el que un malware usa su propio servidor dns para resolver direcciones. De esta manera si cortamos a nivel de firewall, podríamos evitar un contacto con C&C maligno.

Si queremos entrar un poco más en detalle, podemos analizar el tráfico buscando comportamientos raros raros raros. Hay casos en los que piezas de malware usan lo que se denomina Silent Ip para no revelar la dirección del C&C. Si el atacante no necesita iteración, para evitar ser detectado, cambia la ip real hacia una interna, menos sospechosa. Consultas DNS hacia direcciones ip de nuestra red tipo 192.168.o cosas así, que no correspondan a un servidor DNS, pueden representar este caso.

Para esto usamos la herramienta wireshark que tanto nos gusta. Si eres https://twitter.com/seguridadyredes quizas uses bro o tshark o cualquier de estas herramientas que tanto le gustan en formato "internet negro", pero yo prefiero el gráfico para este caso.

Aparte de visualizar y buscar dominios a priori peligrosos, podemos usar las opciones propias de DNS para mostrar una pequeña estadística de paquetes dns, malformados y algo importante, el tamaño medio del payload. Con este dato podríamos averiguar o tener indicios de un sistema comprometido realizando exfiltración de datos mediante el dns.



Por cierto, antes de que se me pasa, existe la posibilidad de consultar la wiki de wireshark sobre un protocolo pulsando sobre el con las opciones y accediendo a Wiki. Es muy útil cuando encuentras protocolos de red que no estamos muy acostumbrados, además, te da algun truco para filtrar por el, explicacion, está bien. 


https://wiki.wireshark.org/DNS?action=show&redirect=Protocols%2Fdns

Una de las opciones que suele marcar es el menú View, resolución de nombres, habilitar la resolución de nombres para la capa de red. Por defecto lo hace para la capa física, algo que para mi no tiene  mucho sentido ya que no suelo trabajar en esa capa, me refiero a la dirección MAC.


Recuerda que para ver la localización de una dirección debes hacer este pequeño procedimiento.

Estas son algunos de mis pequeños consejos y trucos que hago de vez en cuando en las redes que manejo para ver comportamientos raros.

Para el protocolo NTP suelo hacer lo mismo.

Como sabes, todo lo que vaya por UDP es muy susceptible a ser usado en ataques de ddos por la característica de la impersonalización y facilidad de hacer spoofing ( no handshake...) por lo que hay que estar un poco más "atento" a estos servicios, sobre todo si los exponemos hacia Internet. No es mi consejo, y prefiero tener dns externos para internet, pero si por culquier motivo lo necesitas, monitoriza los incrementos de ancho de banda con tu UTM o Nagios o similar, y establece una política de colas y QOS porque ya hemos visto muchos ataques usando udp para liarla, tipo cámaras IOT etc.

Espero que os sirva de algo todo esto. Vamos a la playa? xD



jueves, 13 de julio de 2017

¿Firewall, de la piedra angular de la seguridad a comprar el más barato?

Estimados amigos de Inseguros!!!

En este artículo voy a intentar reflejar algunos pensamientos un tanto raros sobre el mundo de los firewalls, los Next Gen y su uso dentro de la empresa.


Un buen y gran cliente está evaluando la necesidad de comprar un nuevo sistema de firewall para su empresa. Hablamos de una gran empresa, con varias sedes internacionales, conexiones remotas de fabricantes, proveedores, webservices de integración, NAT´s por un tubo, etc.

El otro día puse una encuesta en Twitter sobre 4 fabricantes y más o menos los resultados eran los esperados, dos de los vendedores más conocidos se llevaban la mayoría de los votos, Fortinet y Cisco, seguido de Sonicwall y Sophos.

Siempre está el que te opina que software libre.. pero hablamos de firewalls con soporte del fabricante, a ser posible en mi ciudad, a ser posible con un SLA bueno ,etc.

Cuando conoces empresas grandes, o administración pública, aprendes algo que cuando estas en las micro-pyme o pyme no suelen entender. ¿Para que contratar algo si lo puedo hacer yo.?

Cuando tienes 1.000 usuarios y una responsabilidad mucho más alta que cuando tienes 10, tener un servicio garantizado, un soporte, es algo NECESARIO.

Creo que podría afirmar que en la inmensa mayoría de decisiones de compra, el soporte, la calidad, la confianza, la disponibilidad, el SLA etc suele ser el elemento diferenciador porque hoy por hoy, da lo mismo una marca que otra, unas ofrecen unas cosas, otras ofrecen otras. Tendrás tus preferencias, pero al final y al cabo la diferencia va a estar en las personas que trabajan con la herramienta, sea un CRM o un Servidor.

En el caso de este cliente, su mayor factor de cambio es el soporte.

Si trabajas en seguridad o en IT relacionado, o simplemente te gusta, comprenderás o sabrás que no todas las empresas invierten en seguridad, ni mucho menos. La pyme sobre todo funciona con un firewall del ISP, y como mucho un modelo de gama baja con las funciones de routing y algún nat, es decir, sin nada de seguridad adicional.

Hay otro tipo de empresas en las que si tienen un firewall "en condiciones" con todo tipo de servicios añadidos de capa 7, lo que se denomina el Next Generation. Que si un content filtering para la navegación. Que si un sistema de control de spam para el correo. Un IPS a medio configurar para no dejar KO la navegación. Algunos controla el tráfico de salida, otros controlan el QOS...


En cualquiera de estos casos, el firewall como sistema central de seguridad es una buena aproximación, que los auditores de seguridad sabemos que no sirve para nada cuando el humano-programador comete un fallo en una app, o cuando el pibe de sistemas monta un sistema en producción sin haber pensado en la seguridad. No sirve PARA NADA todo ese despliegue de firewall.

Por cada modelo de firewall con X funciones, salen 10x vulnerabilidades que atacar en aplicaciones, sistemas operativos cliente, servidor, redes Active Directory o sistemas de virtualización.

Todos conocemos el modelo por capas, y el 99% de las empresas que conozco entienden que en un incidente de seguridad, el acceso a la red interna/dmz supondría el compromiso total de la empresa.

Nos jugamos todas las cartas al perímetro, al firewall, siendo este un elemento susceptible de ser vulnerado, directa o indirectamente.

Esta idea no es mía ni nueva, puedes ver este video de Google de como ellos practican ese punto de vista de no perimetro-firewall.



Cuando pensamos en las arquitecturas modernas, con ubicaciones, cpd´s, cloud y usuarios por todo el mundo, de qué sirve proteger un perímetro cerrado cuando estamos en un mundo abierto? Es un concepto romántico, pero como lo llevo a la práctica?

Volviendo al caso de mi cliente. Esta empresa cuenta con servicios de seguridad que durante muchos años han ido madurando, como puedan ser SIEM, controladoras Wifi, hardening de servidores con firewall local, fortificación de cuentas, gestión de identidades, etc.

Para qué le voy a dar a un comercial acceso VPN a mi entorno corporativo, cuando puedo publicar la aplicación virtualizada o su escritorio, y confiar en una gestión de identidades potente con segundo factor de autenticación?.

Si tengo seguridad endpoint en la que recibo feeds de Threat Intelligence, antivirus, heurística y hasta Host-Ids.

A nivel de red tengo un siem/ids "activo", es decir, que aparte de generar un evento/alarma realiza tareas defensivas como bloquear ips.

A nivel de seguridad tengo una correcta política de actualizaciones, y no necesito el virtual patching que ofrecen los NG.

A nivel servidores de aplicaciones cuento con WAF locales.

A nivel DDOS cuenta con un CDN básico para las 4 aplicaciones web que le protege y oculta de la mirada del curioso.

En el caso del Spam y la seguridad del correo tenemos varias posibilidades, por el momento el cliente usa un appliance dedicado ya que por mucho Next Gen que compres, siempre te venden un módulo dedicado para esta labor... Aunque siendo sinceros, evaluando los costes de licencias, máquinas y mantenimiento del sistema Exchange el cliente va a migrar a la nube de 360 si o si en breve.

Como puedes ver, estamos hablando de un cliente con CIERTO nivel de madurez en la seguridad. No quiero decir nada más que esto, que no es una empresa con un firewall y punto.


Entonces ahora llega el momento de cambiar de firewall. Hacemos unas reuniones con los principales vendors y nos enseñan las maravillas. Preciosas, bonitas, todo super centralizado, pero todo super caro. Caro porque necesito al menos DOS modelos en ha, a ser posible activo-activo para no perder sesiones si cae uno... Quiero licencias adicionales renovables cada año por los servicios de valor añadido, porque claro, el pvp lleva el equipo más pelao que yo mismo. Un 20% de mantenimiento de la empresa, el módulo de retención/visualización de logs, el modelo dedicado de correo. Encima, el fabricante te dice que por la DPI del tráfico cifrado el throughput que necesitas es más alto... modelo más caro...

Todo esto me hace pensar mucho a la hora de qué le recomiendo a mi cliente.

Quizás necesite invertir en securizar la propia IT, los procesos, los detalles que le faltan, e invertir en un firewall "musculoso" como pueda ser un Mikrotik o algo que sólo proporcione hierro, seguridad capa 2, lo que es un router-firewall que separa la red externa de la interna( internas).

¿Cuantos UTM Next Gen has visto dejados caer en el cliente sin aprovechar ni un 20%? Cuando el fabricante te vende que vas a poder bloquear la aplicación concreta de la persona concreta en real-time, te debe especificar el proceso de hacer una white-list, de monitorizar, de gestionar el equipo, no creas que todo lo que te han dicho/enseñado se hace solo, vas a necesitas a un ciber-segurata dandole caña al aparato :-)

Pensando en plazo de 5 años, en donde se supone que el cloud será nuestra piedra angular, al menos la que expondrá nuestros servicios y aplicaciones, y que nuestros "cpds" on premise o nuestra red local será algo eso, local, ¿tiene sentido en hacer grandes inversiones en hierro? sea fw, servers o lo que sea?

Si nuestros servicios expuestos son aplicaciones web, no tiene más sentido tener un buen WAF más que un NG multiuso?


Espero que te haya hecho pensar un poco. El motivo del post es ese, enumerar las opciones, plantear mis dudas, conocer tu opinión y generar debate.

Al final he hecho lo que he creído conveniente... Por supuesto no te lo digo xD



viernes, 7 de julio de 2017

Como Ser o no Ser Microsoft MVP

Estimados amigos de Inseguros !!!

Vamos a introducir paso a paso las ideas y conceptos, y no como siempre desordenadamente y en el kaos. Bueno no,  voy a empezar por el final, o por el principio?.

Lo primero de todo es saber qué es el Microsoft MVP. Al estilo de los jugadores de basket y otros deportes, se le otorga este premio al mejor jugador del partido (Most Valuable Player). Microsoft jugó con las siglas para crear su Most Valuable Professional.



El juego de caracteres es realmente bueno, pero no conlleva realmente ser el "mejor jugador del partido" para ser un Ms MVP. Ser Ms MVP es un premio otorgado por Microsoft por la contribución en las redes a las tecnologías de Microsoft.

No significa que seas el que más sabe, no significa que seas el más listo, no significa que seas un fan-boy de Microsoft y no puedes criticarlo. No significa nada de eso, sin embargo...

Si eres una persona que constantemente aportas valor a la cadena, con blogs, charlas, libros, foros, eventos o cualquier otro tipo de divulgación, al final, algo debes saber sobre la materia...

Ser fan-boy no es un requisito, no se pide comprar camisetas ni ser el "windosero" en las charlas de bares, pero al final, si uno hace lo que le gusta, y se dedica a las tecnologías Microsoft, es porque algo te gustan.



Conozco a MVP´s con un nivel técnico estratosférico, y conozco MVP´s con un valor increíble por su trabajo de divulgación. Todos los niveles valen, volvemos al origen del premio, contribuir en las redes...

Al final como verás no te estoy centrando del todo en cómo ser un MVP, porque no hay guía, simplemente puedo expresar mis opiniones, pero siempre te voy a repetir que es un premio por contribuir en las redes...

Conozco gente reacia a todo esto, a las certificaciones, titulitis y demás.

Conozco gente realmente buena en su trabajo, tanto en la seguridad, en los sistemas, en la ingeniería, en la pintura, carpintería, etc..

Pero a la hora de valorar a un profesional, a mi me la trae floja que sea un crack, si se guarda sus "trucos" y conocimiento para el. Lo contrario a la exposición en los medios, aquellos genios de la gruta y su pequeño grupo de genios, los auténticos !!! los inimitables !!! los inigualables !!! a mi me da igual lo que controles, valora más al que comparte lo que tiene.

Siempre pongo el mismo ejemplo, valoro más a una persona pobre que te deja 1€ que te falta que a un millonario que te deja 50€.

¿Esta bien explicado así o sigo?



Estas últimas líneas se refieren a la importancia que se le pueda dar al premio.

Yo recuerdo los principios de los 2000. Me enamoré de la tecnología que trajo Windows 2000, el .Net, Isa Server, SharePoint !!!

Pasaba las horas en los foros Technet y en las News (NTP pero no el tiempo xD) ayudando a todos con las típicas preguntas. No se cuantas veces escribí ( en el servidor dns, el campo dns debe apuntar a si mismo) no exagero si no lo dije 100 veces.

Veía a los genios del foro con las siglas MVP y quería ser como ellos. Tenía 20 años, que quieres !!! otros querían ser como el cantante de héroes del silencio!!!

Muchos nombres recuerdo y mucho respeto guardo a todos estos genios que durante siglos ayudaron o ayudan a la gente con sus respuestas desinteresadas.

Por una cosa o por otra, dejé ese mundillo hasta mi "reaparición" en la redes hace 6 años. Quizás la parte que más te suene de mi carrera.

Mientras que hace 20 años "busqué" o intente trabajar a propósito para lograr el MVP, el título realmente vino solo hace unos años.

Recuerdo estar en una conferencia de hacking, Navaja Negra, y sobre las 16:00 de la tarde me llegó el mensaje al mail.

Lo primero que hice fue sudar, luego miré a mi alrededor pensando que alguno de mis colegas me estaba trolleando.



Como no veía muy bien la cabecera del mail en el móvil fuí corriendo al hotel para comprobar la veracidad xD Paranoyas de ir con hackers :-)

Me pregunté por qué me dieron el premio. Se lo pregunté a mis colegas. Se lo pregunté a otros MVP´s cercanos.

Al final resulta que miré para atrás, y llevaba no se cuantos artículos escritos. Había participado en nosecuantos cuantos eventos, había dado no se cuantas formaciones, al final me creí que si, que el premio era real.

Ser MVP me proporciona un montón de cosas que nadie sabe. Me proporciona apoyo anímico cada vez que tengo que estudiar algo para mi trabajo y el sofá me llama. Me proporciona visibilidad en las redes sociales ya que a mucha gente le llama la atención, para bien o para mal, pero llama la atención.
(no creas tampoco que vas a ligar más).


Durante todo el año tenemos un montón de eventos. Yo particularmente disfruto mucho con los webcast sobre producto, sobre seguridad, grupos de interacción y este tipo de eventos que no requiere apenas esfuerzo, una hora, pero te ponen al día de un montón de cosas y te permiten preguntar, aportar, etc.

Luego está la parte de pegatinas, del logo, del trofeo que tengo en el comedor y que muestro con orgullo a los amigos de mis hijos que quieren estudiar informática :-)



He leído varios artículos relacionados con este, y si estás "buscando" ser MVP tiene que joder leer en todos lo mismo, que es algo que cae solo, que no se busca, y que es una recompensa del carajo, pero es que es así !!!

Otras empresas tienen premios parecidos, recuerdo Google contributors? Vmware Vexpert?

Creo que son iniciativas muy interesantes ya que se establece una relación WIN-WIN en la que las empresas reciben publicidad y contenido a bajo coste, y los apasionados por la tecnología reciben un premio que muchas veces no se da en la vida cotidiana.

Te imaginas tener un premio por ser el que más disfruta comiendo en Burger King? o un premio por pasarte las horas muertas jugando a la play? Molaaaaaa

Creo que ha quedado patente mi ilusión y agradecimiento por la comunidad MVP y creo que he transmitido que hagas la cosas con la pasión y dedicación que se merecen y que te inspire, que los premios molan mucho, pero tampoco lo son todo.

Las vacaciones empiezan desde el momento que piensas a dónde vas a ir.

Lo mejor de todas las cosas que giran alrededor no es tenerlas, es conseguirlas, y lo mejor de conseguirlas, es tenerlas (Frase de Mucho Muchacho).

Gracias a todos los que me leeis, y sobre todo, gracias a todas esas personas que aparecen en google cuando busco un fallo, un procedimiento que no me funciona, o cualquier otro tipo de información que desinteresadamente alguien ha publicado en Internet. La parte del premio es la puntita :-) lo gordo está debajo.

Calurosos abrazos !!!


PD: El principio de todo esto debería haber sido decir  que me han renovado el premio hasta dentro de un año :-)