miércoles, agosto 26, 2015

Honeypot VoIP especifico para SIP.

Artemisa es un software honeypot VoIP específico para SIP, diseñado para conectarse a un dominio VoIP, como agente de usuario de servicios, con el fin de, detectar actividad sospechosa en tiempo real. Se registra en múltiples cuentas SIP, que no representan a suscriptores reales, en uno o más proveedores de servicios VoIP y graba los ataques entrantes. Además, Artemisa puede desempeñar un gran papel, en el ajuste, en tiempo real de las políticas de seguridad, en el despliegue de dominio VoIP (por ejemplo, el establecimiento de normas en un servidor de seguridad para prohibir IPs o en el PBX VoIP para prohibir llamadas).

Artemisa se basa en el análisis de los mensajes SIP, examinando los datos encontrados en los mensajes y de acuerdo con los resultados obtenidos por varias verificaciones, Artemisa clasifica el mensaje. Esta clasificación puede ser: herramienta de ataque, escaneo, generador de llamada, SPIT...

Sólo se tiene que ejecutar Artemisa en una máquina dentro de un dominio y configurar lo con el fin de dejar que se registre al menos con una extensión a servidor de registro SIP de su dominio. Es recomendable implementar Artemisa en una máquina virtual con el fin de no comprometer una máquina física. Cuando se reciba una llamada y este dirigida a Artemisa (por supuesto, el intruso no sabe de su existencia). Artemisa responde a la llamada, y al mismo tiempo lo investiga. Una vez finalizada la investigación, se muestra el informe de los resultados en pantalla y la envía por e-mail (si está configurado).
Características principales de Artemisa:


  • Puede grabar las llamadas, útil para detectar y analizar SPIT.
  • Genera informes por correo electrónico de la actividad detectada.
  • Tiene modos configurables de trabajo en función de la conducta.
  • Es de código abierto.
  • Tiene un mecanismo de detección de SPIT.
  • Puede tomar acciones basadas en detección de intrusos conocidos.
  • Detecta INVITE flooding.
  • Detecta OPTIONS flooding.
  • Genera informes por e-mail cuando se recibe una llamada.

Una vez realizado el informa para detectar posibles amenazas hay que fijarse en los siguientes aspectos:
  • Buscas fingerprints que correspondan a una herramienta conocida de ataques VoIP.
  • Comprobar si en los nombres de dominio que se encuentran en los mensajes SIP se puede obtener algo de información pública acerca de ellos.
  • Comprobar los puertos SIP de la llamada entrante corresponden.
  • Comprobar los puertos de comunicación están abiertos.
  • Comprobar si la petición URI esta dirigida al honeypot.
  • Comprobar la llamada recibida envía los ACK correctos.

Más información y descarga de Artemisa:
http://artemisa.sourceforge.net/

miércoles, agosto 19, 2015

Emular navegador web para analizar páginas Web en busca de malware.

Spondulas es un emulador de navegador, diseñado para analizar las páginas web en busca de malware. Es compatible con la generación de agentes del navegador, obteniendo peticiones POST y SOCKS5 de proxy. Puede ser utilizado para analizar los archivos HTML enviados a través de correo electrónico. Permite monitorizar un sitio web en intervalos, para descubrir cambios en los DNS y contenidos a través del tiempo. Permite crear un expediente de investigación que documenta las cadenas de redirección.


Características principales:

  • Soporta los métodos GET y POST.
  • Permite analizar páginas para extraer y clasificar enlaces.
  • Soporte para HTTP y HTTPS.
  • Soporta números de puerto no estándar.
  • Soporte para SOCKS5.
  • Soporta AJAX.
  • Conversión automática de codificación GZIP y fragmentada.
  • Dirección IP automática Look-up.
  • Selección o generación de cadenas de agente de usuario.
  • Creación automática de un expediente de investigación.

Tiene tres modos de funcionamiento:

Modo de entrada, se utiliza para analizar los archivos HTML independientes. Útil para los archivos que se han recibido a través de correo electrónico.

Modo Monitor, se utiliza para controlar cambios en el tiempo de una dirección URL. El contenido se guarda en un archivo con marcas de tiempo. El modo monitor también registrará la dirección IP del host, revelando así los cambios DNS. Los cambios en valores de configuración del modo monitor pueden provocar que Spondulas realice un ataque de denegación de servicio contra el sitio web.

Modo persistente, mantendrá la sesión TCP abierta y permite múltiples peticiones, esto es útil para el contenido de estilo AJAX.

Más información y descarga de Spondulas:
http://sourceforge.net/projects/spondulas/?source=directory

miércoles, agosto 12, 2015

Herramienta de simulación orientado a los aspectos de seguridad de red.

Nessi es una suite de herramientas de simulación de red, dedicado a los aspectos de seguridad de red. Consta de tres componentes distintos: la interfaz gráfica de usuario, el motor de simulación y la base de datos de resultados. Cada uno de estos módulos pueden ejecutarse en máquinas separadas, dependiendo de los requisitos de hardware.


Interfaz gráfica del usuario.

La interfaz gráfica de Nessi permite al usuario crear y editar topologías de red, adjuntar información en tiempo de ejecución y programar la ejecución en el motor de simulación. Por otra parte, las simulaciones terminadas, pueden ser recuperados desde el servidor de base de datos junto con los correspondientes resultados de la simulación, para su visualización en la interfaz gráfica de usuario.

Motor de simulación.

La simulación real se lleva a cabo en la máquina con hardware dedicado exclusivamente a este fin, el motor de simulación. Una vez que una sesión se ejecutar por parte de la interfaz gráfica de usuario el servidor de simulación: analiza los parámetros de la sesión (tipos de eventos para iniciar sesión, numero de ejecuciones etc), crea un entorno de simulación correspondiente, establece la conexión de base de datos y los horarios de la simulación para funcionar tan pronto como se disponga de los recursos de procesamiento necesarios.

Utiliza un modelo ejecución paralela. Las simulaciones de redes a gran escala son muy costosos en términos de tiempo de procesamiento y en consumo de memoria. Por lo tanto, Nessi ha sido diseñado para realizar simulación distribuida, lo que permite la subdivisión de tareas en diferentes equipos y procesos en un modelo paralelo ejecución.

Simulación de eventos discretos . Nessi es una herramienta de simulación basada en eventos discretos, que permite planificar y programar eventos, tales como fallas en la red, ataques, etc.

Servidor base de datos con los resultados de la simulaciones.

Se utiliza una base de datos distribuida donde se almacena el tráfico generado durante una sesión. Para cada sesión, los agentes registran los datos de detección y tráfico, y la envían a la base de datos que genera un escenario simulado. Los tipos de datos que se registran son especificados por el usuario en los parámetros de la sesión. El modelo de red se guarda en un archivo XML, que se almacena y se anota con un número de versión, basada en su código hash, con el fin de enlazar una red única para cada sesión. Además, los eventos de ataque relacionados pueden ser almacenados en la base de datos para fines de evaluación.

Esta herramienta ofrece un rico conjunto de protocolos básicos e implementaciones de unidades de detección; sin embargo, las necesidades especiales de los distintos campos de aplicación (redes inalámbricas, redes de sensores, MPLS, etc.) requiere un API de plugins para permitir al usuario adaptar Nessi a sus necesidades y agregar la funcionalidad que no está previsto por Nessi. Por lo tanto, la API de extensión Nessi permite la creación de:

  • Nuevos tipos de dispositivos con propiedades definidas por el usuario
  • Nuevos protocolos que definen el comportamiento de la red en tiempo de ejecución.
  • Las definiciones de aplicación, lo que permite un comportamiento dinámico, unido a un dispositivo o enlace, programadas para su ejecución en la simulación.
Más información y descarga de Nessi:
http://sourceforge.net/projects/nessi2/?source=navbar