miércoles, abril 29, 2015

Convertir Raspberry Pi en router/firewall.

Las grandes ventajas de una Raspberry Pi como arquitectura hardware son: su reducido tamaño, su alta capacidad de proceso en relación a su tamaño y su escaso coste. Estas son las características ideales para convertir este hardware en un firewall/router, que podemos desplegar provisionalmente en cualquier punto de la red, de una forma fácil y rápida.


Existen dos sistemas ideales para convertir una Raspberry Pi en un router/firewall: ThalOS y raspenwrt (una adaptación de openWRT para Raspberry Pi).

ThalOS, es un sistema operativo completo basado en la distribución Raspbian hardfp, para la plataforma Raspberry Pi. El objetivo de ThalOS es ser un sistema extremadamente pequeño y seguro para el uso de Raspberry Pi como un router/firewall. Todo el sistema ocupa sobre 500 MB y es básicamente una instalación raspbian debootstrapped con: configuraciones especiales de raspbian, alguna configuración personalizada y un kernel modificado.

ThalOS es seguro gracias a las siguientes medidas:

  • El kernel no tiene capacidad para cargar módulos. Esto es para evitar la inyección de código en el núcleo, por un atacante en el caso de que el sistema haya sido comprometido. Todos los accesos a la /dev/mem* han sido desactivado, junto con el apoyo de perfiles del núcleo. Para asegurarse de que incluso, si el sistema se ve comprometido, por lo menos el núcleo permanecerá seguro y impedirá brechas de seguridad como la  adición de rootkits.
  • Thalos aprovecha las nuevas características de protección de pila en Linux 3.15, LXC es completamente compatible para permitir el aislamiento de los procesos y sistemas de archivos VFAT que se ha eliminado. La razón para eliminar el soporte para el sistema de archivos VFAT es no permitir el montaje de la partición /boot (que es de tipo VFAT). Esto impide que alguien de sobrescribir la imagen del núcleo, mientras que el sistema está funcionando.
  • Todos los archivos y directorios tienen deshabilitado su SUID/SGID. Esto puede parecer una controversia, pero en un sistema que sólo se utilizará como un router/firewall no hay necesidad de que estos bits estén presentes. Como tal, se quita otro pequeño potencial de vector de ataque.

Más información y descarga de ThalOS:
https://github.com/headsson/ThalOS/tree/master

Raspenwrt es una adaptación de OpenWRT para Raspberry Pi. OpenWrt es una distribución GNU/Linux altamente extensible para dispositivos embebidos (típicamente routers inalámbricos). A diferencia de muchas otras distribuciones, OpenWrt es construido desde cero para ser un sistema operativo con todas las funciones, fácilmente modificable. En la práctica, esto significa que puede tener todas las características que posee un firmware de un router, impulsado por un núcleo Linux. OpenWrt utiliza principalmente una interfaz de línea de comando, pero también dispone de una interfaz WEB.

Posee características implementadas que no tienen muchos otros fabricantes de dispositivos comerciales, tales como QoS, VPN y otras características que dotan a OpenWrt de ser un dispositivo de red, realmente potente y versátil, no sólo para utilizarlos como routers, sino como: servidores de archivo, nodos P2P, servidores de WEBcams, firewall o puertas de acceso VPN.

Más información y descarga de Raspenwrt:
http://sourceforge.net/projects/raspenwrt/


Otras aplicaciones de seguridad informática para Raspberry Pi publicadas en este blog:

Desplegar Honeypot bajo la plataforma Raspberry Pi:
http://www.gurudelainformatica.es/2015/03/desplegar-honeypot-bajo-la-plataforma.html

Realizar test de penetración con Raspberry Pi:
http://www.gurudelainformatica.es/2014/06/realizar-test-de-penetracion-con.html

Test de penetración WiFi en plataforma Raspberry Pi:
http://www.gurudelainformatica.es/2014/07/test-de-penetracion-wifi-en-plataforma.html

Recopilar automáticamente información de una red con Raspberry Pi:
http://www.gurudelainformatica.es/2014/10/recopilar-automaticamente-informacion.html

Convertir Debian “wheezy” para Raspberry PI en kit para test de penetración:
http://www.gurudelainformatica.es/2014/10/convertir-debian-wheezy-para-raspberry.html

Imagen para test de penetración con Raspberry Pi.
http://www.gurudelainformatica.es/2014/12/imagen-para-test-de-penetracion-con.html

Auditar redes inalámbicaras utilizando la plataforma Raspberry Pi:
http://www.gurudelainformatica.es/2015/02/auditar-redes-inalambicaras-utilizando.html

miércoles, abril 22, 2015

Herramienta de análisis forense de dispositivos GPS.

TrackerCat es una utilidad GPS de código abierto especializada en el trabajo con archivos GPX. Está orientado a los analistas forenses, para ayudar en la realización de análisis de dispositivo GPS que hacen uso de los archivos GPX. TrackerCat se debe utilizar en conjunción con otras herramientas de análisis forense.


TrackerCat (tc.py) esta escrita en lenguaje Python  puede analizar archivos GPX que se encuentran en muchos dispositivos GPS. La herramienta no admite datos históricos almacenados en archivos binarios y sólo se utiliza para analizar los archivos XML, dentro del contexto adecuado. Permite al analista exportar de forma recursiva todos los archivos GPX desde un dispositivo montado o ruta local, esto incluye todos los GPX archivados.

TrakerCat tiene una función de conversión Python XSLT  que toma un archivo de formato de intercambio GPS y lo convierte en un archivo de KML (Keyhole Markup Language) utilizando una hoja de estilo XSL. Con esta herramienta, los analistas forenses pueden crear rápidamente archivos KML, que se pueden utilizar para ver los datos de viaje en programas como Google Earth. Para ello, se debe analizar los datos de viaje de registro activo. Si bien Google Earth convierte automáticamente los archivos GPX a KML, TrakerCat está diseñado para el análisis forense.

TrackerCat puede ayudar a determinar qué archivos GPX contienen registros activos que pertenecen a la línea de tiempo del caso a analizar. En lugar de desplazarse a través de miles de líneas de XML con la opción resaltado de sintaxis activada, permite convertir un archivo de datos GPS en un archivo CSV. Permite extraer las marcas de tiempo de los trackpoints y coordinar los datos, exportando un solo archivo CSV. También permite la creación opcional de un archivo de registro CSV. Ambos pueden ser utilizados para la correlación de línea de tiempo. Dado que los datos de registro activo se pueden exportar fácilmente a KML. Los datos de trackpoints en CSV es más útil para una investigación forense, debido a su versatilidad a la hora de exportar datos a otras aplicaciones.

El conocimiento práctico de las estructuras de datos GPX y sus marcas de tiempo es fundamental para su éxito, en un análisis forense de dispositivos GPS. No todos los dispositivos GPS usan la misma filosofía. Un análisis adecuado nunca debe terminar ejecutando unas pocas líneas de código y como resultado solo una muestra de datos GPS en Google Earth. 

TrakerCat puede ser útil durante las investigaciones  para ayudar a un analista a determinar el dispositivo GPS analizado contiene la información crítica que se necesita. También puede utilizarse para corroborar hechos conocidos de un caso a través de análisis de línea de tiempo. Independientemente de cómo se utiliza la herramienta, puede proporcionar una gran comprensión de unos dispositivos GPS que utilizan archivos GPX.

El mayor atractivo  de la ciencia forense en dispositivos GPS, está navegando a través de mapas y ver el historial del GPS en tiempo real, función que implementa TrakerCat pulsando el botón "Reproducir viaje" en la parte inferior del panel Lugares. Además permite ver el perfil de elevación del terreno para el caso a analizar. El propósito de esto es para ayudar a entender el terreno. Esta función es posible gracias a que conserva los datos de elevación en la transformación KML.

Más información y descarga de  TrakerCat:
https://github.com/irq8/trackercat


Otros post publicados anteriormente en este blog relacionados con análisis forense de dispositivos GPS:

Herramientas para análisis forense de dispositivos GPS:
http://www.gurudelainformatica.es/2013/06/herramientas-para-analisis-forense-de.html

Análisis forense de dispositivos GPS TomTom:
http://vtroger.blogspot.com.es/2008/10/anlisis-forense-de-dispositivos-gps.html

miércoles, abril 15, 2015

Implementar sistema SIEM para detectar intrusiones en sistemas.

Centralizar logs, es una medida imprescindible en la seguridad de sistemas de una red, ya que permite acceder a ellos de una forma rápida. Además es muy útil para detectar una intrusión y analizar las consecuencias de dicha intrusión. Centralizar logs es fácil con un sistema de información y gestión de eventos de seguridad, SIEM (tambien llamado SIM o SEM). La tecnología SIEM ofrece análisis en tiempo real de alertas de seguridad generados por el hardware y las aplicaciones de red. Básicamente almacena logs de varios sistemas, elabora informes y plantea las alertas. Aquí les dejo una lista de sistemas SIEM de código abierto para diferentes plataformas.


Zabbix.

Un sistema de monitorización de la red y sus componentes. Está basado en un entorno Web, desde donde se puede configurar y visualizar el estado de todos los servicios que soporten SNMP y sistemas de la red.

Cuando se produce un problema o una alerta, zabbix envía un correo electrónico, dependiendo de como se tenga configurado. Soporta triggers, con los cuales se pueden realizar diversas alertas, cuando el sistema llegue a una carga determinada de CPU, cuando un servicio no esté operativo, cuando se quede sin espacio en el disco duro...

Zabbix puede monitorizar cualquier servicio que utilice SNMP para informar de errores o estados, implementando scripts que generen dicha información. Además monitoriza: integridad de los ficheros y paquetes binarios, ficheros log… Y esta disponible con licencia GPL en las plataformas: AIX, FreeBSD, HP-UX, Linux, Mac OS X, Novell Netware, Open BSD, SCO Open Server, Solaris, Tru64/OSF, Windows NT 4.0, Windows 2000, Windows 2003, Windows XP.

Mas información y descarga:
http://www.zabbix.com/

Snare Agent.

Un servicio que recoge los log de un sistema: Windows NT, Windows 2000, Windows XP y Windows 2003, los convierte a formato de texto, y los pone accesibles remotamente. Puede trabajar con todo tipo de registros: seguridad, sistema, aplicación, DNS, directorio activo…

Es una aplicación muy interesante para acceder a los log sin tener que iniciar sesión remota en el sistema.

Mas información y descarga de Snare Agent:
http://www.intersectalliance.com/projects/SnareWindows/

Logrep.

Un sistema para centralizar los log, que puede instalarse tanto en Linux como en Windows. La presentación de los log es un formato HTML y su componente cliente, usada para la recolección de los log también es multiplataforma. Este cliente le permite extraer logs de 30 sistemas diferentes incluyendo: Snort, Squid, Postfix, Apache, Sendmail, syslog, ipchains, iptables, Servidores Windows, Firewall-1, wtmp, xferlog, Oracle y Pix.

Entre sus características destaca:

  • Comunicación segura entre el cliente y servidor gracias a SSH.
  • Ayuda a la interpretación de logs en todos los sistemas soportados.
  • Permite guardar copias de los log de forma centralizada.
  • Cliente de extracción de datos que consume pocos recursos.
  • Representación grafica de logs.

Logrep es ideal para administradores de sistemas, ya que permite centralizar los archivos de log, para acceder a ellos de una forma rápida. Además es muy útil para analizar una intrusión en una red con varios servicios.

Más información y descarga de Logrep:
http://www.itefix.no/i2/logrepserver

Sistemas de los que puede interpretar log Logrep:
http://www.itefix.no/i2/node/11617

Manual Instalación de Logrep:
http://www.itefix.no/i2/node/11618

Ocopussy.

Una solución para gestionar registros de seguridad, almacena logs de varios sistemas, elabora informes y plantea las alertas.

Entre las características de Octopussy destaca:

  • Soporta LDAP para información de contacto de usuarios.
  • Permite configurar el envió de alertas por: correo electrónico, mensajería instantánea (Jabber), NSCA (Nagios) y Zabbix_sender.
  • Permite exporta informes por: correo electrónico, FTP y SCP.
  • Crea un mapa para mostrar la arquitectura de la red.
  • Permite entrada y salida Plugins para informes.
  • Posibilidad de programar la realización de informes.
  • RRDtool para representar gráficamente la actividad syslog.
  • Soporta los logs de los servicios: Bind, Cisco Router, Switch Cisco, DenyAll Reverse Proxy, Drbd, F5 BigIP, Fortinet FW, IronPort MailServer, Linux Kernel / System, Linux IPTables, Monit, MySQL, Nagios, NetApp NetCache, Juniper Netscreen FW, Juniper Netscreen NSM, Postfix, PostgreSQL, Samhain, sNMPD, Squid, sshd, Syslog-ng, Windows Snare Agent, Xen...
  • Asistente para crear fácilmente recolección de logs de servicios desconocidos.
  • Soporte multilenguaje: inglés, francés, alemán, español, portugués, ruso e italiano.
  • Actualizaciones periódicas de soporte de: servicios, lenguajes...

Más información y descarga de Octopussy:
http://8pussy.org/

MozDef.

Una plataforma de defensa que busca automatizar el proceso de gestión de incidentes de seguridad y facilitar las actividades en tiempo de los administradores de sistemas. MozDef es un sistema SIEM con capacidades avanzadas para defensa perimetral de sistemas.

MozDef nace con el objetivo de hacer frente al gran arsenal de herramientas disponibles para los atacantes. Suites como: metasploit, armitage, lair, dradis y otras que están disponibles para ayudar a los atacantes, que comparten información y coordinan sus ataques en tiempo real. Los administradores de red para defenderse de estos ataques se limitan generalmente a los: wikis, los sistemas de ticketing y bases de datos de seguimiento manual unidos a un sistema de seguridad de la información y gestión de eventos (SIEM).

MozDef tiene como objetivo proporcionar funcionalidad SIEM tradicional, como:

  • La aceptación de eventos de una variedad de sistemas.
  • Almacenamiento de eventos.
  • Facilitar búsquedas de eventos.
  • Permite configurar alarma con respecto a eventos.
  • Administración de eventos (archivado, restauración).

Y con funcionalidades añadidas:

  • Proporciona una plataforma para descubrir rápidamente y responder a los incidentes de seguridad. Automatiza interfaces con otros sistemas como: MIG, flowspec, balanceadores de carga, etc. Proporciona las métricas para los eventos e incidentes de seguridad.
  • Facilita la colaboración en tiempo real entre los administradores de incidentes.
  • Facilita procesos predecibles para el manejo de incidentes.
  • Pretende ir más allá de los sistemas tradicionales SIEM en la automatización de manejo de incidentes, el intercambio de información, flujo de trabajo, métricas y automatización respuesta
  • Acepta entradas sólo JSON y se integra con una variedad de cargadores de registro incluyendo: heka, logstash, beaver, nxlog y cualquier cargador que puede enviar JSON a cualquiera rabbit-mq o un punto final HTTP.
  • Proporciona plugins python para manipular los datos en tránsito.
  • Escalable, debe ser capaz de: manejar miles de eventos por segundo, proporcionar la búsqueda rápida, generar alertas, correlarlas y manejar las interacciones entre los equipos de administradores de incidentes.
  • Visualizaciones 3D de las amenazas.

La arquitectura MozDef se basa en tecnologías de código abierto, incluyendo:

  • Nginx, entrada de registro basasa en HTTPS.
  • RabbitMQ, cola de mensajes y basado en la entrada de registro amqp.
  • UWSGI, control de supervisión basado en Python.
  • bottle.py, interfaz basado en Python, para manejo de peticiones web.
  • Elasticsearch, modulo de indexación escalable y búsqueda de documentos JSON.
  • Meteor, marco sensible para Node.js que permite el intercambio de datos en tiempo real. MongoDB, almacén de datos escalable, estrechamente integrada a Meteor.
  • VERIS, de Verizon taxonomía de código abierto de categorizaciones de incidentes de seguridad. D3, librería javascript para documentos basados en datos.
  • dc.js, librería javascript para proporcionar cartas comunes y gráficos d3.
  • Three.js, biblioteca javascript para visualizaciones 3D.
  • Firefox, navegador web.

Más información y descarga de MozDef:
https://github.com/jeffbryner/MozDef