martes, 18 de marzo de 2014

2.-OSSIM. Pentesting continuo como si estuvieses en primero

Segunda parte de la seria de post de éxito mundial dedicada al mundo de OSSIM, la gestión SIEM, los logs, la seguridad y demás curiosidades del lado defensor :-).
Parte 1234567 , 89 10

En el último capítulo hablamos de la instalación de esta suite y de una pequeña configuración básica de agentes Windows mediante el HIDS OSSEC para monitorización de logs...Ahora vamos con la parte que más os gusta de la seguridad, el pentesting, el NMAP, el Open-vas y los gráficos a todo color !!!


Recuerdo una frase de mi amigo y organizador de Navaja Negra @ggdaniel  , no recuerdo muy bien porque lo decía, pero era algo así como "es más difícil de instalar que Open-vas"  me partí el pecho !!! Parece mentira "tan" informáticos que somos, tantas tools que usamos, e instalar desde cero Open Vas en una debian tiene su chicha...


Cuando instalamos OSSIM instalamos por defecto el scanner de seguridad Open Vas y Nessus que podemos integrar en nuestra colección de dispositivos monitorizados para realizar un pentesting programado e integrado dentro del motor de informes de OSSIM. En su día en Inseguros hablamos de esto, del pentesting contínuo mediente la programación de Nessus y comparando sus resultados.


Lo primero que tenemos que hacer es indicar a OSSIM qué es nuestra red, o cuales son nuestros equipos, y posteriormente preparar el asunto de las políticas de scaneo, a qué equipos y demás menesteres de los scanners de vulnerabilidades.

Vamos a realizar un inventario de red de nuestra organización, lo que en OSSIM denominan ASSETS. Por debajo OSSIM realiza un NMAP con la posibilidad de elegir entre varios parámetros básicos. Con el resultado de este escaneo incorporaremos los dispositivos a nuestro inventario OSSIM.

Podríamos importar un csv con esta información, habilitar Nagios, pero sinceramente prefiero tener Nagios por un lado, y OSSIM por otro.




Podemos configurar los Time´s de Nmap. Recuerdas el post donde hablamos de esto?






Ya tenemos nuestros equipos medianamente controlados en OSSIM. No vamos a tener Log´s de ellos, pero aglutinamos el conocimiento que generamos bajo el framework.

Ahora es el turno del pentesting. Vamos a seleccionar algún dispositivo y vamos a programar un test de vulnerabilidades para que se efectue los domingos por la tarde.




Bajo este punto vamos a configurar una política a nuestro gusto, simplemente porque sabemos y podemos !!



Ahora esperamos una semanita a que se ejecute el test para ver los resultados...O lo programamos para ejecución inmediata.





En el cuadro de mando inicial podemos ver un resumen por equipos, redes y los gráficos que tanto nos gustan.

Ahora seguro que si eres una mente inquieta pensarás, bien, y dentro de un mes? los plugins de Openvas los actualizas tu kino? Noooo, puedes y deber actualizarlos tu manualmente o con un cron.
El comando es sencillo.
#openvas-nvt-sync --wget
# /etc/init.d/openvas-scanner restart
# perl /usr/share/ossim/scripts/vulnmeter/updateplugins.pl migrate



Otra de las gestiones que podemos hacer rápidamente para mejorar nuestro testing es modificar el catálogo de puertos que Open-vas escaneará. Podemos modificar la lista en : /usr/share/openvas/openvas-services
Otras de las configuraciones que solemos setear para los test de intrusión o de vulnerabilidades son las credenciales para los equipos. Desde vulnerabilidades accedemos a profiles y editamos los parámetros.
En esa misma parte podemos configurar granularmente los plugins exactos que queremos aplicar en nuestra política, como hacíamos un poco más arriba, pero en vez de por familia, por plugin.




Si habéis utilizado OpenVas os sonará este apartado de configuraciones. Se agradece la configuración de los scripts NSE para Nmap.

Si tus contraseñas son complejas, complejas de verdad de corazón :-) tal vez debas editar el fichero /usr/share/ossim/includes/classes/Security.inc. para añadir los caracteres válidos.

En proximos capítulos de OSSIM intentaremos meternos con más dispositivos a los que configurar el logging e intentaremos configurar políticas de actuación para evitar falsos positivos.

Gracias por leerme, como siempre, espero que os guste !!!




jueves, 13 de marzo de 2014

Examen para Becarios

Recientemente me ha "caído" la tarea de formar a 5 becarios de varios ciclos superiores de informática en la organización en la que trabajo.


Una de las cosas que he preparado para ellos es un cuestionario inicial con varias preguntas sobre virtualización, seguridad, Windows, Linux, software empresarial y demás conceptos que manejamos en nuestro día a día.

La idea no es que "aprueben" el examen, sino evaluar el nivel con el que salen de sus estudios, y sobre todo, intentar que cuando salgan del periodo de prácticas aumenten la "nota" del examen inicial.

Te apetece hacerlo a ti?.

EXAMEN INICIAL
1.      Diferencias entre Active Directory y grupo de trabajo.
2.      Enumera y describe los maestros de esquema.
3.      ¿Qué son los perfiles móviles? ¿Y la redirección de carpetas?.
4.      ¿Diferencia entre Unidad Organizativa y grupo de seguridad?.
5.      ¿Cuál es la diferencia, en Windows 2012 entre Enterprise y Datacenter?
6.      Define Site.
7.      ¿Qué es una GPO?.
8.      ¿Cuál es el comando para dada una dirección IP, obtener el nombre Netbios de la máquina?.
9.      ¿Qué es Hyper-V?.
10.  Nombra 5 sistemas de virtualización.
11.  ¿Cuál es la diferencia entre Hypervisor Tipo 1 y tipo 2?
12.  ¿Cuál es la diferencia entre NAS y SAN?.
13.  ¿Qué es un Datastore Vmware?
14.  ¿Qué es Balloning?
15.  ¿Qué es Thick Provisioning?
16.  ¿Cuál es la diferencia entre Thick Lazy y Thick Eager?
17.  ¿Cuál es la diferencia entre High Avaibility y Fault Tolerance?
18.  ¿Qué es la orquestación de sistemas?.
19.  ¿Qué es Nagios?
20.  ¿Qué es GLPli?
21.  ¿Qué es OCS Inventory?
22.  Nombra al menos dos sistemas WAF Open Source.
23.  Nombra al menos dos protocolos para VPN.
24.  Para qué se emplea QOS.
25.  ¿En qué consiste un ataque Man In The Middle, explicación a nivel protocolo?.
26.  ¿Qué es un ataque SQL Inyection? ¿Qué medida básica tomarías para evitarlo?
27.  ¿Qué es un ataque DDOS?
28.  Diferencias entre HTTP y HTTPS.
29.  ¿Qué es Port Mirroring?.
30.  ¿Qué es un Honeypot?
31.  Escribe el comando completo para escanear una red con NMAP sin comprobar ping, a los puertos 500, 600 y 700 UDP para una ip 192.168.1.1 y que muestre la información del servicio.
32.  ¿Qué significa VDI? ¿Qué mejoras implementan este tipo de soluciones? Nombra al menos 2.
33.  ¿Qué es SFP?
34.  Diferencia entre multimodo y monomodo.
35.  ¿Qué son los componentes de alto orden?
36.  Enumera los tipos de cables pareados.
37.  ¿Qué es una primary Key?
38.  ¿Tipos de índices en Sql Server?
39.  Diferencias entre un lenguaje compilado e interpretado.
40.  ¿Qué es NTP?
41.  ¿Cuáles son los verbos del protocolo HTTP1?
42.  ¿Qué es y para que se emplea una Vlan?
43.  Puertos tagged y Untagged.
44.  ¿Qué es una DMZ?
45.  ¿Para que se emplea Alfresco?
46.  ¿Qué es BPM?
47.  Qué es un CRM y nombra al menos uno Open Source
48.  ¿Qué es un IPS?
49.  ¿Qué es un Proxy? Para que se emplea. ¿Y un reverse Proxy?.
50.  ¿Cuál es la diferencia entre DNS y reverse DNS?
51.  Nombra al menos 3 tipos de registros DNS.
52.  Define ITSM y enumera alguna herramienta.
53.  ¿Qué ocurre cuando a un comando en sistemas Linux se le añade & al final?
54.  ¿En qué fichero puedo ver la línea siguiente: usuario Juan: (root) NOPASSWD: /sbin/halt?
55.  ¿Ficheros de configuración del servidor Apache2?
56.  ¿Qué información tiene el fichero /etc/apt/sources.list?
57.  Cual es el fichero de configuración de red en Sistemas Linux.
58.  Comando en Upstar para reiniciar un servicio en sistemas Linux.
59.  Comando para matar un servicio en Linux.
60.  ¿Qué dispositivo se ocupa del problema del tráfico excesivo en una red, dividiendo la red en segmentos y filtrando el tráfico sobre la base de la dirección MAC?
a.       A-Puente
b.      B-Puerto.
c.       C-Hub.
d.      D-Transceptor.
61.    ¿Cuál de las capas del modelo OSI suministra representación de datos y formateo de códigos?
a.       Capa de aplicación
b.      Capa de presentación
c.       Capa de sesión
d.      Capa de transporte
62.  - ¿Ficheros necesarios para configurar un nombre FQDN en sistemas Linux?


miércoles, 12 de marzo de 2014

1.-OSSIM. Monitorización de eventos de seguridad. Antes de llover chispea !!!

Amigos de Inseguros. Hoy voy a intentar introduciros en el mundo de la monitorización de LOGS con la herramienta OSSIM open source de AlienVault.
Parte 1234567 , 89 10

El uso de herramientas para la gestión SIEM (Security Information and Event Management) es algo necesario para controlar la buena salud de nuestros sistemas y podemos darle el enfoque que necesitemos, no solo manejando datos de seguridad sino cualquier log de cualquier sistema.


Según la Wikipedia, un sistema SIEM nos permite agregar datos de varias fuentes, correlación de logs ( un intento de autenticación fallido es una linea de log, varios es un ataque de fuerza bruta) alertas, cuadros de mando con gráficos preciosos, análisis forense y retención en el tiempo de eventos pasados.


No conozco a ningún administrador de sistemas que se pase una mañana entera navegando por el visor de eventos de sus 100 servidores Windows en busca de códigos de error sospechosos. Siempre recurrimos a los logs en caso de errores, caidas, deterioro en el rendimiento etc.

En mi "pueblo" se emplea una frase muy graciosa para algo mucho menos gracioso, pero que creo viene como anillo al dedo: ANTES DE LLOVER CHISPEA !!!!

Los amigos de Security By Default escribieron un buen post con algunas impresiones sobre el funcionamiento que creo complementan este post y que debes leer.

La aventura con OSSIM comienza con la descarga de la ISO. Vamos a usar la versión Open Source que en este momento anda por 4.3. El fabricante nos ofrece todo tipo de enlaces para probar su versión de pago por lo que tenemos que buscar en las fichas de producto, en la comparativa para encontrar la versión Free.


Para este laboratorio voy a usar una máquina virtual sobre mi infraestructura Vmware por lo que me creo una VM, engancho la ISO y siguiente siguiente siguiente...






Ahora ya tenemos instalado nuestro OSSIM. Como indica el banner, para traer la paz y la seguridad...Configuramos el usuario y entramos al portal.



Curioso que nada más instalado tengamos eventos de seguridad. Vamos a darle alguna vuelta para ver que tenemos.



Como se puede apreciar, el sensor OSSEC ha detectado una escritura en un fichero propiedad de ROOT lo cual es un indicio de actividad peligrosa.

Esto se ha realizado en la propia instalación/configuración de OSSIM. Recordar que OSSEC es un IDS a nivel de HOST (HIDS) es decir, es como un "Snort" pero en vez de escuchar en modo promiscuo todo el tráfico, atiende solo a los cambios o incidentes que se originan en el host que lo tiene instalado.

El problema de estas instalaciones sencillas es que uno pierde la sensación de control sobre los elementos, por lo que me gusta dejarla un poco "pelada".

Nos ubicamos en Configuration->Deployment. Ubicamos el sensor por defecto que se crea en la propia instalación de OSSIM y vamos a ver que componentes están a la escucha.


Pinchando sobre el sensor que he tachado abajo a la izquierda podemos ver alguna información.


Pinchamos en Sensor Configuration.


Para este sensor voy a deshabilitar todos los servicios que creo son bastante descriptivos. Prads, Suricata, etc. Voy a dejar el sistema como un mero syslog bonito.
También voy a borrar todos los logs generados, por empezar desde cero...


Ahora es el turno de desplegar un agente en algún servidor Windows para ver los logs, que es por donde iba esto...


Ya tenemos nuestro agente !!! Ahora unos clicks en el servidor y listo.


Con esto ya podéis jugar un poco con la instalación de OSSIM.

En próximos artículos trabajaremos más, si el tiempo nos lo permite.
Gracias por leerme, como siempre, espero que os guste !!