Seguridad y Redes: Honey Security Console, Reglas Snort, Snort Security Platform 3.0 Beta y Wireshark

noviembre 13, 2008 61 comentarios

por alfon

Después de las vacaciones veraniegas y un periodo de intenso trabajo, vuelvo con más fuerza a generar nuevos contenidos y a seguir avanzando en los temas ya abiertos en seguridadyredes.nireblog.com

Red con Snort

Esta semana tenemos la primera parte de una serie de artículos referidos a Honeynet Security Console, herramienta para centralizar, administrar, correlacionar y analizar las alertas y eventos procedentes de sensores Snort, ya sean en local o remoto:

Seguimos también, con dos artículos, el estudio de las opciones de las Reglas Snort no referentes al contenido o payload:

Para terminar, una breve reseña de los que es ya la continuación del IDS Snort, aún en fase Beta, pero que será una autentica revolución en las herramientas de Detección de Intrusos, Snort Security Platform 3.0 Beta:

La próxima semana avanzaremos con Honeynet Security Console, nuevos artículos dedicados a opciones avanzadas con Wireshark.

y estudiaremos nuevas opciones para las reglas Snort.

Archivado en seguridad, software Tagged with , , , , , ,

Acerca de maty
Nauscopio Scipiorum

61 Responses to Seguridad y Redes: Honey Security Console, Reglas Snort, Snort Security Platform 3.0 Beta y Wireshark

  1. maty says:
    noviembre 18, 2008 a las 1:40 pm

    Seguridad y Redes Snort. Opciones reglas no relacionadas con el contenido. (III Parte)

    Seguimos con las opciones de Snort que no está relacionadas con el contenido o Payload. Ya vimos en la primera parte las opciones Fragoffset y Fragbits. También vimos en la segunda parte TTL, ID, Dsize, Seq, Ack, Icode, Itype y Tos, que forman parte de campos de la cabecera IP, segmento TCP, e ICMP.
    En este capítulo terminaremos con este tipo de opciones de reglas con ipopts, flags, flow y window.

    Responder
  3. maty says:
    noviembre 25, 2008 a las 1:04 pm

    Seguridad y Redes Análisis de red con Wireshark. Interpretando Las graficas. (I Parte).

    En Wireshark tenemos varias formas de ver y tratar los paquetes capturados. Dependiendo, entonces, de la información que necesitemos extraer de nuestras capturas, Wireshark nos proporciona diferentes herramientas gráficas.
    Vamos a estudiar estas gráficas, como siempre, desde lo más básico e iremos complicando en otros capítulos…

    ****************************************
    CRYPTEX CAINE, LiveCD GNU/Linux para Informática Forense

    El proyecto CAINE (Computer Aided INvestigative Environment) no pretende ser una nueva herramienta forense o framework de recopilación de ellas, pues este tipo de distribuciones ya existen (ej. Felix FCCU, Deft, entre otras). CAINE propone como novedad un nuevo entorno de fácil uso para todo este tipo de herramientas. Además introduce nuevas características importantes, que aspiran a llenar el vacío de interoperabilidad a través de diferentes herramientas forenses, ya que proporciona una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y generación de informes y resultados

    Responder
  4. maty says:
    noviembre 26, 2008 a las 1:27 pm

    Security by Default Detecta la presencia de BotNets en tus sistemas con BOTHUNTER

    Recientemente ha sido presentada una herramienta destinada exclusivamente a detectar patrones anómalos relacionados con sistemas zombies, la herramienta se llama BotHunter y su puesta en escena es magnifica: interface gráfica impecable, buena documentación, desarrolladores competentes.
    A nivel interno hace uso de una versión modificada de Snort a la que le han añadido un motor de correlación y una vistosa interface gráfica. Hay versiones para Linux, FreeBSD y Windows.
    Cabe destacar que no es una herramienta destinada al home-user ya que no actúa en modo H-IDS.
    Para hacer uso de la herramienta hay que posicionarla en un tramo de red donde pueda ‘ver’ el trafico de entrada/salida en el segmento de red monitorizado ya sea implantando TAPS o haciendo port mirroring.

    Responder
  6. maty says:
    enero 15, 2009 a las 11:31 pm

    fileforum Wireshark for Windows 1.1.2

    Wireshark (formerly Ethereal) is a network protocol analyzer for Unix and Windows. It allows you to examine data from a live network or from a capture file on disk. You can interactively browse the capture data, viewing summary and detail information for each packet. Has several powerful features, including a rich display filter language and the ability to view the reconstructed stream of a TCP session.

    Responder
  7. maty says:
    marzo 9, 2009 a las 12:00 pm

    Cryptex Hardening básico de GNU/Linux e instalación y configuración básica de Snort

    En el siguiente video tutorial veremos el paso a paso de la actualización del sistema, revisión de servicios en el sistema y modo de inicialización de estos, estado de la red (estado de puertos, programas y servicios, etc.), instalación y configuración del servicio SSH, instalación y configuración de MySQL y sus respectivas dependencias que hará el papel de repositorio de información para los Logs y Alert’s generados por el IDS Snort, instalación y configuración básica de Snort IDS y sus respectivas reglas de detección…

    Responder
  8. maty says:
    May 22, 2009 a las 4:23 pm

    FileHippo Wireshark 1.0.8

    ChangeLog
    The following vulnerabilities have been fixed.
    * The PCNFSD dissector could crash.
    Versions affected: 0.8.20 to 1.0.7
    The following bugs have been fixed:
    * Lua integration could crash. (Bug 2453)
    * The SCCP dissector could crash when loading more than one file in a single session. (Bug 3409)
    * The NDMP dissector could crash if reassembly was enabled. (Bug 3470)

    Responder
  11. maty says:
    noviembre 27, 2009 a las 1:39 pm

    Seguridad y Redes Detectando Sniffers en nuestra red. Redes conmutadas y no conmutadas. Actualización.

    Hace ya algunos años, concretamente en 2003-2004, escribí sobre la Detección de Sniffers en redes conmutadas y no conmutadas en varios sitios de la Red. Lo podeis ver también aquí y en mi primer blog (http://webs.ono.com/alfonn/). Creo que es el momento de revisar y ampliar este artículo.
    En esta actualización trataremos también la detección desde varios escenarios usando Wireshark (al final del artículo) y algún que otro software / técnica más de detección como Nast y DecaffeinatID, ArpOn, VLANs, algún firewall como Outpost, … Actualizaré también algunos enlaces de descarga que estaban ya obsoletos, notas sobre funcionamiento de algunas herramientas antiguas, etc…

    Responder
  12. maty says:
    diciembre 3, 2009 a las 5:09 pm

    Seguridad y Redes Scapy. Manipulación avanzada e interactiva de paquetes. Parte 1

    En esta serie de  artículos, comenzamos a estudiar una herramienta (Win32 / Linux) muy poderosa: Scapy.
    Scapy es una utilidad escrita en Python que nos servirá para crear y manipular paquetes, escanear, funciones de sniffer, creación de gráficas 2D / 3D / Pdf,  passive OS fingerprinting, tracers gráficos, ……. Además, podemos crear utilidadades escritas en Python usando scapy. Posee funciones similares a ttlscan, nmap, hping, queso, p0f, xprobe, arping, arp-sk,  ARPSpoof, firewalk, etc. Todo mediante línea de comandos, es integrable en Python, programable, versátil y flexible. Obtendremos solo los datos que queramos y todo lo complejo que deseemos…

    Responder
  13. maty says:
    diciembre 10, 2009 a las 6:32 pm

    Seguridad y Redes Scapy. Manipulación avanzada e interactiva de paquetes. Parte 2

    En esta segunda parte vamos a profundizar un poco más en la visualización de datos, función sniff, formateo de datos, decodes, modo offline de Sniff y condicionales

    Responder
  14. maty says:
    enero 21, 2010 a las 9:52 am

    Security by Default Los Twitters de seguridad (el retorno)

    De SecurityByDefault (spam alert!):

    http://twitter.com/secbydefault
    http://twitter.com/aramosf
    http://twitter.com/yjesus
    http://twitter.com/lawwait  

    Conferencias de habla hispana:

    http://twitter.com/rootedcon

    Compañías de habla hispana:

    http://twitter.com/IntecoCert
    http://twitter.com/Panda_Security
    http://twitter.com/S21sec 
    http://twitter.com/Informatica64

    Blogs de habla hispana:

    http://twitter.com/CSOspain
    http://twitter.com/mercemolist 
    http://twitter.com/hacktimes 
    http://twitter.com/sergiohernando 
    http://twitter.com/javiercao 
    http://twitter.com/elhackernet

    Gente de 48Bits (para mayores de 18 años):

    http://twitter.com/48bits

    http://twitter.com/GabrielGonzalez 
    http://twitter.com/matalaz 
    http://twitter.com/jgaliana 
    http://twitter.com/reversemode 
    http://twitter.com/marioballano 
    http://twitter.com/_Ell0_ 
    http://twitter.com/ojiplatico 
    http://twitter.com/atarasco 
    http://twitter.com/morenopscom 
    http://twitter.com/trufae 
    http://twitter.com/wzzx

    Personas relacionadas con la seguridad de habla hispana:

    http://twitter.com/lostinsecurity

    http://twitter.com/trompi 
    http://twitter.com/txipi 
    http://twitter.com/Popotxo 
    http://twitter.com/antonio_ramosga 
    http://twitter.com/bquintero 
    http://twitter.com/laramies 
    http://twitter.com/fjserna 
    http://twitter.com/juansantana 
    http://twitter.com/aropero 
    http://twitter.com/ecasbas 
    http://twitter.com/mgastesi 
    http://twitter.com/antonioroman

    Responder
  15. maty says:
    febrero 3, 2010 a las 6:39 pm

    Seguridad y Redes Snort.Preprocesadores. Stream4 / Stream5. Parte 1.

    Pues no, no abandoné los artículos dedicadados a Snort. Seguimos, y en este caso, continuamos con la serie de dedicada a los preprocesadores. Hoy le toca el turno a Stream4 y Stream5.
    Este preprocesador dota a Snort de la capacidad de reensamblado de paquetes TCP e inspección de estado. Posee también la capacidad de poder inspeccionar gran cantidad de conexiones TCP, pero podemos configurar para que monitorize más de 100000 conexiones de forma simultánea. Stream4 hace un seguimiento de cada una de las conexiones durante un tiempo o cantidad de paquetes previamente configurados…

    Responder
  16. maty says:
    febrero 4, 2010 a las 6:19 pm

    Seguridad y Redes Snort. Búsqueda de patrones. Reglas de contenido. Parte 2

    Seguimos en esta segunda parte con el modificador de content rawbytes y otras reglas relacionadas con el Payload tales como uricontent, isdataat y pcre

    Responder
  17. maty says:
    febrero 9, 2010 a las 12:00 pm

    Seguridad y Redes Scapy. Manipulación avanzada e interactiva de paquetes. Parte 4.

    En esta ocasión vamos a estudiar la creación, manipulado y envio de paquetes a través de scapy. Usaremos también Tshark para ver los resultados del envío de paquetes y algunos ataques y escaneos que simularemos para ilustrar mejor la creación y envio de paquetes…

    Responder
  18. maty says:
    febrero 10, 2010 a las 11:05 am

    Seguridad y Redes IDS Policy Manager v3. Configuración sensores snort remotos. Actualización desde v2.2.

    En esta ocasión, vamos a actualizar, mediante una serie de herramientas implementadas en IDS Policy Manager, desde la versión v2.2 a la versión v3. También crearemos un nuevo sensor y veremos una de las novedades de esta versión: el DashBoard y la nueva ventana de creación y modificación de snort rules o reglas snort

    Responder
  19. maty says:
    febrero 15, 2010 a las 4:19 pm

    Seguridad y Redes PostgreSQL 8.4. Creando base de datos para Snort. Volcando alertas a través de ODBC.

    Después de la compra de MySql por parte de Sun y, a su vez, de Sun por parte de Oracle, MySql pierde el estatus de Software Libre. Por ello, creo que es el momento de ir mirando otras opciones.
    El uso de PostgreSQL con Snort bajo Windows, prácticamente no está documentado, además no se puede usar directamente usando output database ya que no existe compilación Snort Windows que soporte dicha base de datos.  Una solución es interponer ODBC (tampoco documentado correctamente). En en este caso, vamos a crear, para nuestra instalación de Snort, una base de datos PostgreSQL. Crearemos también todas las tablas necesarias para un correcto funcionamiento, permisos, etc, y volcaremos las alertas a través de ODBC

    Responder
  20. maty says:
    febrero 18, 2010 a las 11:17 am

    Seguridad y Redes Scapy. Manipulación avanzada e interactiva de paquetes. Parte 5.

    En esta 5º parte vamos a estudiar las técnicas de Fuzzing con Scapy. Con Fuzzing nos referimos a una serie de técnicas encaminadas a la inyección aleatoria y automatizada de datos contra un determinado software o servicio para generar errores y vulnerabilidades, y así poder corregir dichos defectos. En este caso, Scapy realiza Fuzzing de protocolos

    Responder
  21. maty says:
    marzo 2, 2010 a las 1:12 pm

    Seguridad y Redes Snort. Formato, tipos e interpretación de las alertas.

    Ya hemos visto aquí distintos aspectos de la configuración, uso, preprocesadores, reglas, bases de datos, y distintas posibilidades de trabajo con Snort. También los distintos programas que nos ayudan con sensores, políticas, análisis de alertas, etc. Casi lo tenemos todos, pero, ahora que lo tenemos funcionando, ¿entendemos las alertas?. En esta ocasión una reseña para la comprensión de los formatos de alertas de Snort

    Responder
  22. maty says:
    marzo 4, 2010 a las 12:03 pm

    Seguridad y Redes HostMonitor. Conexiones remotas a HostMonitor Server. Monitorización remota de nuestros servidores, red y sistemas.

    HostMonitor tiene unas capacidades de monitorización bastante potentes, ya que puede monitorizar, a parte de lo normal en este tipo de porgramas: routers, switches, servidores Oracle, MySQL, SQL Server, servidores web y correo, monitoriza procesos y servicios que, además, si no están activos por caídas u otro problema, puede volver a reiniciar (puede incluso reiniciar servidores y cierre o reinicio de programas), pruebas de protocolos, realizar test de espacio libre de discos o carpetas, etc, etc. Para los eventos de estos tests o pruebas de monitorización, se pueden enviar alertas via SMS, mail, syslog, etc.
    Podemos crear una serie de usuarios y perfiles para que, otros clientes o personas, puedan acceder a sus propios test que hayamos configurado para monitorizar sus sistemas con unos determinados permisos; como si de un HostMonitor Server se tratase. Para esto último, HostMonitor habilita varias formas de conexión desde host remotos como, por ejemplo VPN, RMA, etc,. Hablaremos, en este caso, de la conexión  remota via RCC, las más básica, en este artículo…

    Responder
  23. maty says:
    marzo 24, 2010 a las 5:06 pm

    Seguridad y Redes Wireshark / Tshark. Capturando impresiones en red.

    Podemos usar Wireshark para interceptar paquetes con destino a cualquier servidor de impresión de la red y, a partir de la captura, identificar que paquetes son los que contienes los datos que son enviados a la impresora para ser imprimidos y visualizarlos…

    Responder
  24. maty says:
    junio 28, 2010 a las 8:55 am

    Seguridad y Redes Wireshark / Tshark. Filtros HTTP.

    A lo largo de los muchos artículos dedicados a Wireshark y Tshark, hemos estudiado la diferentes formas que tenemos para establcer filtros, ya sean de filtros de captura o visualización.
    En esta ocasión vamos ver como estos filtros, aplicados a un determinado protocolo, nos pueda ayudar a gestionar mejor la información que queremos obtener. Empezarmos por los filtros HTTP.
    Vamos a ver algunos filtros como ejemplo…

    Responder
  25. maty says:
    julio 7, 2010 a las 3:18 pm

    Daboweb Herramientas para la interpretación de capturas de red. Alfon

    Para interpretar y correlacionar una captura realizada en un determinado sniffer, disponemos, en los diferentes programas de captura de paquetes, de una serie de herramientas que facilitan esta labor. No es siempre totalmente necesario, pero si es una ayuda a la hora de extraer información, evidencias forenses, o cualquier tipo de dato que necesitemos de una forma más rápida, sencilla y, en algunos casos, más visual, sobre todo cuando se trata de grandes archivos de captura.
    Antes de seguir. ¿Qué es una captura de red ?. Una captura de red no es otra cosa que la recolección de los paquetes transmitidos y recibidos en la red por hosts o dispositivos que se encuentran en una red local. Para esta función, el dispositivo de red o tarjeta de red debe estar configurada en modo promíscuo…

    Responder
  26. maty says:
    julio 21, 2010 a las 11:54 am

    Daboweb Herramientas para la interpretación de capturas de red. (2/10) Alfon

    Ya vimos en la primera parte de esta serie dedicada a Herramientas para la interpretación de capturas de red, el uso de Windump y TCPDump y la primera parte de la creación y establecimiento de filtros .pcap.
    En este segunda parte veremos el resto de la parte dedicada a filtros y comenzaremos con la interpretación de las capturas…

    Responder
  27. maty says:
    julio 30, 2010 a las 9:10 am

    Daboweb Herramientas para la interpretación de capturas de red. (3/10) Alfon

    Introducción a Tshark.
    Tshark no es otra cosa que la herramienta de captura de tráfico de red Wirehsark pero en línea de comandos. Se sitúa en un nivel intermedio entre capturadores como Windump o TCPDump y Wireshark que vermos más adelante…

    Responder
  28. maty says:
    septiembre 23, 2010 a las 1:06 pm

    Seguridad y Redes Snort. Formato, tipos e interpretación de las alertas. Actualización.

    Esta es una versión actualizada y aumentada del artículo ya publicado al respecto: Snort. Formato, tipos e interpretación de las alertas. Veremos más formastos de alertas basados en plugins de salida, consideraciones sobre base de datos, base de datos de alertas basados en el Sid (database signatures), etc…

    Responder
  29. maty says:
    diciembre 1, 2010 a las 3:43 pm

    Seguridad y Redes Snort. Snorby un front-end para análisis y gestión de alertas para Snort.

    Snorby es, como ya hemos comentado, un front-end para la gestión de alertas Snort basado en sensores. No es tan pontente como  Honeynet Security Console  con la gestión de sensores remotos, alta capacidad de configuración de alertas y reglas, la no necesidad de apache/mysql, oinkmaster, etc,  pero su interface gráfica es muy sencilla con una visión amplia e intuitiva de la visualización de las alertas. Tiene mucha menos configuración y por tanto es más sencillo.
    En  resumen, con Snorby podemos tener una visión rápida de las alertas generadas por los distintos sensores y poco más. Eso sí, una interfaz intuitiva y moderna…

    Responder
  30. maty says:
    diciembre 13, 2010 a las 6:21 pm

    Seguridad y Redes Snort. Preprocesadores. SfPortscan. Pruebas nmap y scapy.

    Recordad que decíamos…. «Los preprocesadores, básicamente, son unos módulos, añadidos o plugins que usa Snort para arreglar, rearmar, modificar tramas que vienen del decodificador de paquetes antes de que pasen por el motor de detección y las reglas. Pero dónde se sitúan, como actúan, que preprocesadores tiene Snort y como funcionan….»
    En esta ocasión estudiaremos sfportscan. Este preprocesador tiene como función detectar acciones que conforman la fase de descubrimiento como escenario previo a un ataque a nuestra red, es decir, se encarga de detectar scan de puertos…

    Responder
  31. maty says:
    enero 20, 2011 a las 10:47 am

    Seguridad y Redes Snort. Snorby 2.0.2 un front-end para análisis y gestión de alertas para Snort. Insta-Snorby 0.6

    Ya vimos, sobre Snorby, como instalarlo a través de Snorby Virtual Appliance y una breve explicación de su funcionamiento, configuración y resolución de problemas.
    En estra ocasión vamos a instalar el Appliance correspondiente a la versión Snorby 2.0.2 a través de Insta-Snorby 0.6. Esta versión es mucho más estable, flexible, avanzada y se corrigen diversos bugs de versiones anteriores. Además, prácticamente no necesita configuración. Con los datos aportados en su instalación es suficiente, independientemente de la configuración de snort.conf

    Responder
  33. maty says:
    febrero 18, 2011 a las 4:54 pm

    Seguridad y Redes IDS / IPS Suricata. Instalación, configuración y puesta en marcha.

    He hablado mucho aquí sobre Snort y la gran mayoría de herramietas que se basan o usan este motor IDS. Llega el momento de hablar de otros motores.
    En esta ocasión instalaremos, configuraremos y pondremos en marcha el IDS/IPS Suricata de The Open Information Security Foundation. Es Open Source y tiene unas características especiales (multi-hilo, etc.. lo iremos viendo) que hacen de Suricata un motor muy interesante. Además es totalmente compatible con las reglas Snort y Emerging Threads…

    Responder
  34. maty says:
    febrero 25, 2011 a las 11:38 am

    Seguridad y Redes Visualización gráfica de alertas Snort con Aferglow.

    Con la serie de dedicada a la visualización gráfica de capturas de tráfico de red, hemos estudiado algunas técnicas y herramientas con TNV, InetVis, Afterglow, NetGrok, etc. También hemos visto:

    Argus. Auditando el tráfico de red. Parte 4. Generación de gráficas con AfterGlow. 
    NetGrok, InetVis, Scapy y Nmap. Detección y visualización scan de puertos. Parte I

    En esta ocasión, vamos a aplicar lo estudiado con Afterglow para visualizar, de forma gráfica, las alertas de snort

    Responder
  35. maty says:
    marzo 3, 2011 a las 10:47 am

    Seguridad y Redes Visualización gráfica tráfico de red con AfterGlow. Detectando eventos o tráfico sospechoso en nuestra red.

    En esta ocasión, como si de unos tips se tratasen vamos a ver algunos ejemplos para la deteccion de tráfico sospechoso, prohibido o cualquier tráfico que necesitemos detectar pero de una forma rápida, sencilla y visual. GNU/Linux y Windows…

    Responder
  36. maty says:
    marzo 7, 2011 a las 12:17 pm

    Seguridad y Redes Visualización gráfica tráfico de red con AfterGlow. Configurando color.properties. Etiquetas y variables.

    Último artículo dedicado al modelado de gráficas mediante el archivo de propiedades con Afterglow. En la anterior entrega vimos las propiedades de color, formas y condicionales if con expresiones regulares con perl.
    En esta ocasión veremos las variables y etiquetas. Para ello usaremos como ejemplo un archivo de alertas snort como fuente de datos y realizaremos todo el proceso en Windows…

    Responder
  37. maty says:
    marzo 11, 2011 a las 1:34 pm

    Seguridad y Redes Visualización gráfica Nmap / Scapy Scan con Afterglow / Argus racluster. Clustering y gráficas fdp. Parte 1.

    En esta ocasión vamos a usar, a parte de nmap, scapy / python para crear barridos de puertos desde múltiples orígenes. Esto se supone generará un gráfica bastante engorrosa y compleja. Para evitar este problema usaremos una carcterística de AfterGlow: clustering y la representación gráfica del tipo fdp. Veremos otras aplicaciones de la visualización con Argus (Auditoría tráfico red)

    Responder
  38. maty says:
    marzo 14, 2011 a las 12:32 pm

    Daboweb Smooth-Sec. Sistema IDS / IPS con motor Suricata e interface Snorby. por Alfon

    Smooth-Sec es un sistema de detección de intrusiones IDS / IPS cuyo motor está basado en Suricata y con una interface web Snorby. Está montado sobre Linux UBUNTU 10.04 LTS. Se trada de un sistema completamente configurado y listo para usarse. Creado por Phillip Bailey…

    Responder
  39. maty says:
    abril 4, 2011 a las 6:08 pm

    Seguridad y Redes Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte I

    Seguimos viendo sistemas de detección de intrusiones (IDS/IPS). Ya hemos visto respecto a este tema: Snort, Suricata, Bro – IDS, Snorby, EasyIDS, etc.
    En esta ocasion vamos a crear un centro de recolección de eventos basado en analizadores o sensores. Todo ello gestionado por Prelude, un IDS híbrido y distribuído que recolecta, correlaciona y analiza todos los eventos de sensores remotos IDS, sensores del sistema local, etc, es decir, analiza, monitoriza y correlaciona el tráfico de red y los eventos del sistema local. Los sensores pueden estar, como he dicho, ubicados en local, en hosts remotos o segmentos de red, además la comunicación con el manager Prelude se realiza de una forma segura…

    Responder
  40. maty says:
    abril 6, 2011 a las 12:11 pm

    Seguridad y Redes Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 2

    En esta ocasión vamos a instalar Snort en Linux Ubuntu 10.10 con soporte para prelude y lo registraremos como sensor de nuestros sistema centralizado Prelude que está instalado en otro host. Es decir, vamos a crear un sensor remoto para que envie las alertas a Prelude…

    Responder
  46. maty says:
    septiembre 15, 2011 a las 10:47 am

    Seguridad y Redes SNEZ una interface gráfica web basada para Snort

    Relacionado con Snort y herramientas de análisis de alertas, centros IDS/IPS, etc ya hemos visto aquí otras otras soluciones similares como Snorby, EASY IDS, Security Onion, SIEM Prelude IDS/IPS, Smooth-Sec, Suricata, IDS Policy Manager, etc, etc.

    En esta ocasión vamos a hablar de SNEZ. Se trata de una GUI o interface gráfica web basada en PHP/mysql para gestión y análisis de alertas Snort. La gran ventaja de SNEZ es su facilidad de instalación y configuración…

    Responder
  47. maty says:
    octubre 18, 2011 a las 11:13 am

    Security by Default Cómo diseñar una política de cortafuegos

    Aquí van pues mis pasos y/o recomendaciones:

    • Suponemos que comenzamos partiendo de un dispositivo (o un clúster) que segmenta de forma correcta las redes que la organización desea separar. En este ejemplo, y como dicen los libros de matemáticas: «Sea un cortafuegos con cuatro redes diferentes: Una LAN, una DMZ de servicios públicos, una red DMZ de servicios privados (o accesibles sólo desde dentro) y la red de salida a Internet»…

    Responder
  48. maty says:
    noviembre 10, 2011 a las 11:11 am

    Seguridad y Redes Assniffer. Extracción de tipos MIME / objetos HTTP desde ficheros captura tráfico red.

    Ya hemos hablado en varias ocasiones de la forma que tenemos de extraer ficheros de datos Binarios / Objetos HTTP a partir de una captura de tráfico de red, e incluso la forma de extraer fichero de impresión en red. También la forma de hacerlo con Tcpxtract, Justniffer, con Xplico, etc. Mencionar también el artículo de Sergio Hernando ”5 métodos para la extracción forense de ficheros en capturas de tráfico de red“  con otras aplicaciones/métodos.

    En esta ocasión vamos a ver la herramienta assniffer, un sniffer HTTP para sistemas Windows, que tomando como fuente una interface de red o un fichero de captura tráfico de red en formato .pcap, vuelca toda la información por carpetas según los dominios visitados. Lo vemos…

    Responder
  49. maty says:
    noviembre 11, 2011 a las 1:48 pm

    Seguridad y Redes Netsniff-ng. Un sniffer diferente de alto rendimiento. Parte I.

    En esta ocasión una herramienta algo diferente a las demás: netsniff-ng.  Principalmente porque no le hace falta las típicas librerías libpcap, aunque se pueden tratar archivos en formato .pcap, tiene un modo de ejecución de alto rendimiento y la salida tampoco se ajusta a lo visto, por ejemplo, con tshark, windump, TCPDump, argus, bro, etc. Vermos también, a lo largo de otros capítulos, algunas de las herramienta que acompañan…

    Responder
  50. maty says:
    enero 4, 2012 a las 12:55 pm

    Seguridad y Redes Vortex IDS. Detección de intrusiones y análisis forense tráfico de red. Parte I

    Seguimos estudiando herramientas para la detección de intrusiones, análisis de tráfico de red a partir de ficheros .pcap y análisis forense.

    En esta ocasión vamos a tratar una herramienta IDS que, a partir de un fichero .pcap , es capaz de reensamblar los flujos TCP para crear una serie de fichero con los datos de la captura para su posterior análisis. Se trata de Vortex IDS. Para analizar los datos podemos usar otras herramientas como grep, sed, awk, cut, etc. Como siempre, mejor lo vemos en la práctica…

    Responder
  51. maty says:
    enero 19, 2012 a las 10:12 am

    Seguridad y Redes Bro–IDS. Un sistema de detección de intrusiones basado en políticas especializadas. Parte 3. Bro 2.0.

    Ya vimos en la primera parte dedicada a Bro-IDS su instalación, configuración y uso básico (Bro – IDS. Un sistema de detección de intrusiones basado en políticas especializadas.). Más adelante, en la segunda parte (Bro – IDS. Un sistema de detección de intrusiones basado en políticas especializadas. Parte 2) vimos algunos ejemplos de uso e interpretación de logs, estados de conexión, generación de estadísticas de tráfico, detección de scan de puertos, etc.

    En esta ocasión vamos a instalar Bro-IDS 2.0, analizaremos algunas novedades y avanzaremos en el uso de este IDS…

    Responder
  52. alfon says:
    enero 19, 2012 a las 11:14 am

    Hola a todos. Relacionado con Bro y, en general, la interpretación de tráfico de red, en Daboweb.com he publicado:

    Herramientas para la interpretación de capturas de red. (9/10) Parte 1:

    Herramientas para la interpretación de capturas de red. (9/10) Parte 1

    Saludos,

    Responder
  53. maty says:
    enero 26, 2012 a las 3:18 pm

    Seguridad y Redes Bro–IDS. Un sistema de detección de intrusiones basado en políticas especializadas. Parte 4. Bro 2.0.

    En esta ocasión seguimos avanzando y veremos también como redefinir variables de scripts, gráficas de tráfico de red desde los logs de Bro-IDS, estádisticas, objetos HTTP, uso de Bro Control, Capstats, etc. Vamos a ello…

    Responder
  54. maty says:
    febrero 1, 2012 a las 1:40 pm

    Seguridad y Redes Suricata IDS/IPS 1.2.1 Extracción de ficheros de sesiones HTTP tráfico de red.

    Ya hemos visto en artículos anteriores como instalar, configurar, incluso añadir un sensor suricata a un SIEM Prelude. Esto lo hicimos con la versión 1.0.2 de Suricata.

    En esta ocasión instalaremos y configuraremos la versión 1.2.1 de Suricata pero, además, añadiremos la funcionalidad de extracción de ficheros de sesiones HTTP.

    Ya hemos hablado en varias ocasiones de la forma que tenemos de extraer ficheros de datos Binarios / Objetos HTTP a partir de una captura de tráfico de red, e incluso la forma de extraer fichero de impresión en red. También la forma de hacerlo con Tcpxtract, Justniffer, Assniffer, con Xplico, etc…

    Responder
  55. maty says:
    marzo 5, 2012 a las 11:26 am

    Sergio Hernando Snort en un router DD-WRT: Instalación, configuración y operación básica en 10 pasos

    Necesitamos:

      • Un router con DD-WRT. En mi caso es un Asus RT-N16

      • Preparar el router para optware, y aquí la recomendación es seguir los pasos descritos en el wiki

      • El router debe tener entrada USB, porque lo aconsejable es instalar optware en un dispositivo externo, en este caso una llave o disco USB, para no agotar el escaso espacio disponible en el router. Es recomendable emplear ext2 (cosa que yo no he hecho, por cierto), ya que ext3 como sabéis es un sistema de ficheros con journaling y por tanto, con ext2 podemos acelerar el acceso al disco al no tener que efectuar dicho journaling. Recomendación: Leer el wiki.

      • Habilitar en el router JFFS (Journalling Flash File System). JFFS/JFFS2 proporciona un area de reescritura en el router que es necesario para instalar paquetes vía ipkg, así que hay que habilitarlo. Es una opción dentro de la administración de DD-WRT…

    Responder
  56. maty says:
    junio 6, 2012 a las 4:13 pm

    Alfonso vuelve con lo suyo.

    Seguridad y Redes Tcpick un sniffer que realiza seguimiento y reensamblado de flujos tcp. Mostrando datos payload.

    Hemos visto muchas herramientas .pcap que realizan la tarea de gestionar y mostrar información .pcap o live-capture de múltiples maneras, cada una con sus características que las  diferencia de las demás. De esta forma hemos visto justniffer, netsniff-ng, assniffer, Argus, Vortex, Tshark, windump, tcptrace, Xplico CLI, tcpxtract, scapy, etc, etc..

    En esta ocasión vamos a ver la herramienta .pcap tcpick. Tcpick realiza el seguimiento de flujos TCP, los ordena y reensambla, mostrando información de estados de conexión, información de payload o carga últil, datos de conexiones FTP, HTTP, download de archivos involucrados en una captura, etc. Se trata de una herramienta ya algo antigua (2005) pero totalmente usable…

    Responder
  57. maty says:
    junio 15, 2012 a las 11:53 am

    Daboweb Herramientas para la interpretación de capturas de red. (9/10) Parte 3 Alfon

    Seguimos con las herramientas que nos proporcionarán una visión gráfica de nuestras capturas. En esta Parte 3 vamos a ver Argus.

    Argus no es exactamente una herramienta de visualización gráfica, aunque sí tiene herramientas como ragraph que la genera. Por tanto usaremos Argus para generar gráficas sobre tráfico de red. De esta forma, estudiaremos las siguientes vertientes:

    el análisis de tráfico de red,

    generación de gráficas con ragraph, afterglow, xplot

    Responder
  58. maty says:
    julio 6, 2012 a las 12:55 pm

    Seguridad y Redes Gulp y los mecanismos de rendimiento en herramientas de captura de red .pcap.

    Hace algún tiempo, en twitter, escribí sobre los mecanismos que algunas herramientas como Bro IDS, Suricata IDS/IPS, netsniff-ng, Snort, Vortex IDS, etc, implementan para evitar pérdida de paquetes y aumentar el rendimiento, muy importante en redes de más de 1Gbit y mucho tráfico. En este artículo pongo en orden estos tips sobre rendimiento y avanzaremos un poco más…

    En esta ocasión, además, instalaremos y podremos en prueba la herramienta Gulp para mejorar el rendimiento de tcpdump, tshark, etc…

    Responder
  59. maty says:
    septiembre 19, 2012 a las 9:27 am

    Seguridad y Redes Tcpick. Capturando y visualizando impresiones en red con -wR desde fichero .pcap.

    Ya vimos en su momento que la herramienta Tcpick realiza el seguimiento de flujos TCP, los ordena y reensambla, mostrando información de estados de conexión, información de payload o carga últil, datos de conexiones FTP, HTTP, download de archivos involucrados en una captura, etc.  Subrayo lo de mostrar información de payload o carga últil porque, en esta ocasión, vamos a usar esta característica de Tcpick para visualizar información de archivos de impresiones en red

    Responder
  60. maty says:
    septiembre 20, 2012 a las 6:03 pm

    Seguridad y Redes Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark.

    A lo largos de todos estas años, desde el blog, hemos estudiado las muchas formas que tenemos de usar Tshark. Hemos visto artículos sobre Geolocalización GeoIP mediante Column format/proto.colinfo, análisis de eventos SMB/CIFS – Netbios, captura remota de paquetes, personalización Column format mediante %Cus y tcp.stream, filtrado frame/frame.protocols, estadísticas COUNT, SUM, MIN, MAX, AVG, filtros XML/RSS y estádisticas, filtros HTTP, detección de problemas en la red, análisis de correo SMTP, detección borrado ficher de nuestra red, filtros y estádisticasetc, etc.

    En esta ocasión vamos a realizar un Follow TCP Stream pero no desde Wireshark, que sería lo normal, lo haremos desde Tshark mediante línea de comandos

    Responder

"Age quod agis et bene agis" - Hagas lo que hagas, hazlo bien