miércoles, agosto 24, 2016

Generar un mapa con la localización IP de los ataques a una red en tiempo real.

La herramienta geoip_attack_map genera un mapa con la localización IP de los ataques a una red en tiempo real. Contiene un modulo servidor de datos que monitoriza el archivo syslog de Linux y lo analiza para visualizar: IP de origen, IP destino, puerto de origen y puerto de destino. Los protocolos se determinan a través de los puertos comunes y las visualizaciones varían de color basado en el tipo de protocolo. 


Este programa se basa enteramente en monitorizar el syslog y permite personalizar las funciones de análisis de registro. En caso de utilizar un sistema de información de seguridad y gestión de eventos (SIEM), es posible normalizar los registros y ahorrar un montón de tiempo, siguiendo estos pasos:
  1. Enviar todos los syslog a la maquina SIEM.
  2. Usar el SIEM para normalizar los registros.
  3. Enviar registros normalizados a cualquier máquina en Linux corriendo syslog-ng, donde se ejecutara el software de servidor de datos de la aplicación para analizarlos.

Instalación y puesta en marcha:

Para instalar todas las dependencias necesarias hay que ejecutar los siguientes comandos (probado en Ubuntu 14.04 x64):

# sudo apt-get install python3-pip redis-server
# sudo pip3 install tornado tornado-redis redis maxminddb

Pasos a seguir para configurarlo:
  • Si se quiere usar el DataServer en una máquina diferente a la AttackMapServer. Hay que cambiar la IP en el archivo “/etc/redis/redis.conf” donde aparece “127.0.0.1”.
  • Asegurarse de que la dirección del WebSocket en “/AttackMapServer/index.html” apunta a la dirección IP del AttackMapServer.
  • Descargar la base de datos MaxMind GeoLite2 y cambiar la variable “db_path” en "DataServer.py" con la ruta de almacenamiento de la base de datos, “db-dl.sh”.
  • Añadir las coordenadas con latitud y longitud de la localización de la red a monitorizar, a la variable “hqLatLng” en “index.html”, para que la representación gráfica sea mas realista.  
  • Utilice “syslog-gen.sh” para simular el tráfico simulado y probar el sistema.

Más información y descarga de  geoip_attack_map:
https://github.com/MatthewClarkMay/geoip-attack-map


Herramientas para visión en 3D de defensa perimetral de red:
http://www.gurudelainformatica.es/2014/10/herramientas-para-vision-en-3d-de.html

miércoles, agosto 17, 2016

Antivirus para proxy Squid basado el motor antivirus ClamAV.

SquidClamav es un antivirus para el proxy Squid basado el motor antivirus ClamAV y un conjunto de herramienta del mismo. Este antivirus permite proteger el tráfico web de una red doméstica o de empresa. SquidClamav es la herramienta antivirus para el proxy Squid y el servicio ICAP (Protocolo de Adaptación de Contenidos de Internet) más eficiente para el tráfico HTTP, disponible de forma gratuita, está escrito en C y puede manejar miles de conexiones. SquidClamav esta probado para asegurar una red con más de 15000 usuarios. 


SquidClamav funciona como un servicio a través del servidor ICAP/c-ICAP. Permite eliminar la limitación de edad en la solicitud POST en los sitios con sesiones como correo web y streaming de audio/vídeo.

Permite tener el control total del tipo de secuencias HTTP deben ser exploradas por Clamav antivirus, este control funciona a 3 niveles diferentes:

  • A nivel de URL permite desactivar: la detección de virus para un conjunto de sitios web, la extensión del archivo o cualquier cosa que puede ser mostrada en una URL.
  • En el lado del cliente mediante la desactivación de análisis de virus y otra llamada de redireccionamiento para un conjunto de nombres de usuario, direcciones de origen IP o el nombre DNS del ordenador.
  • A nivel de cabecera HTTP, donde se puede desactivar la detección de virus para el tipo de contenido o tamaño de archivo.

SquidClamav no permitirá escanear archivos de gran tamaño"sobre la marcha”, esta es una limitación del funcionamiento con el proxy Squid al utilizar el protocolo ICAP, esta limitación la origina servicio clamd. Los archivos se descargan y se escanean primero, y si hay virus se encuentra a continuación, entonces Squid entrega el archivo al cliente. Si se encuentra un virus SquidClamav redirige Squid a una página de advertencia o script. Esto significa que el cliente debe esperar al final de la exploración antes de recibir cualquier dato, por lo que, con archivos de gran tamaño, probablemente podría alargar el tiempo de espera. Este límite de tamaño depende directamente del rendimiento del servidor proxy.

Más información y descarga de SquidClamav:
https://github.com/darold/squidclamav

miércoles, agosto 10, 2016

Seguridad SCADA: Honeypots para simular redes SCADA III.

Es muy difícil recrear un honeypot de una red SCADA dado la variedad de despliegues de redes industriales y la falta de una arquitectura estándar. Otro de los factores que dificultan simular estas redes, es que utilizan muchos protocolos de red diferentes y topologías muy complejas. Existen unos honeypots de código abierto muy interesantes para algunos escenarios concretos como: Honeyd, Conpot, GasPot y Gridpot.


Honeyd permite simular varios dispositivos industriales basados en IP en un mismo anfitrión como por ejemplo: un servidor de Modbus/TCP en el puerto 502 y EtherNet/IP en los puertos 44818/2222. Y de esta forma recoger datos sobre los ataques que se producen a dichos dispositivos.
Para completar este honeypot necesitamos simular conexiones serie debido a que muchos dispositivos industriales utilizan RS-232/485, es posible, utilizando el modulo programado en python llamado pySerial. De esta forma presentamos un interfaz de protocolo a un atacante que se conecte por el puerto serie.

Este honeypot no solo nos puede servir de estudio de ataques que puede sufrir una red industrial, aplicando las cualidades de Honeyd nos permite utilizarlo como técnica de camuflaje ante ataques de Fingerprinting. Ya que entre las opciones de Honeyd es posible configurar que solo responda a un rango de IP determinado o que responda en una franja horaria concreta.

Más información y descarga de SCADA HoneyNet Project:
http://scadahoneynet.sourceforge.net/

Conpot es un Honeypot con un perfil predeterminado (default.xml) que proporciona emulación básica de una CPU Siemens S7-200 (de los PLCś mas usados en sistemas de control industrial) con unos módulos de expansión instalados. La superficie de ataque de la emulación predeterminada incluye los protocolos: MODBUS, HTTP, SNMP y s7comm. Si bien la mayor parte de la configuración se lleva a cabo dentro del perfil XML, algunas partes se mantienen en carpetas separadas dentro del directorio de plantillas para evitar el desorden.

Conpot viene por defecto con un modulo HMI. Si ejecuta Conpot con la configuración por defecto y sin parámetros adicionales, servirá la página por defecto en el puerto 80. La página predeterminada es sólo un archivo de texto plano que recibe del 'sysDescr' desde el servidor SNMP.

Conpot tiene soporte para HPFeeds, un protocolo generico de intercambio de datos que se utiliza en el Proyecto Honeynet. Esto significa que con HPFeeds habilitadas se compartirán los datos que recoja el sensor con el proyecto.

Según los desarrolladores en este momento sólo hay un número muy pequeño de sensores desplegados, debido a que HPFeeds no está activado por defecto y probablemente pocos usuarios utilizan el modulo HMI para atraer atacantes. Con el modulo HMI el tráfico es significativamente mayor en el honeypot debido al trafico generado por los motores de búsqueda.

Para tener acceso a los datos de Conpot, es necesario crear una cuenta HPFriends. Con el registro de la cuenta se crea una una authkey. Después hay que modificar el cliente de Conpot con la authkey de credenciales dadas.

Más información y descarga de Conpot:
https://github.com/mushorg/conpot

GasPot es un honeypot que ha sido diseñado para simular un AST Veeder Root Gaurdian, los medidores de tanques comúnmente utilizados en la industria del petróleo y el gas para los tanques de gasolineras, para ayudar con el inventario de combustibles . GasPot fue diseñado para funcionar de forma totalmente aleatoria de modo que no hay dos honeypots con el mismo aspecto.

Más información y descarga de GasPot:
https://github.com/sjhilt/GasPot

Gridpot es un honeypot de codigo abierto que simula un SCADA de red eléctrica de forma realista. Gridpot es una combinación del honeypot Conpot y el simulador de redes eléctricas GridLAB-D. Esta combinación permite que este honeypot adquiera todas la ventajas de adquisición de datos de Conpot y un entorno de simulación con múltiples modelos que le aportan gran realismo gracias al simulador de redes eléctricas GridLAB-D.

Más información y descarga de Gridpot:
https://github.com/sk4ld/gridpot


Seguridad SCADA: Mapeador de red pasivo de entornos SCADA/ICS.
http://www.gurudelainformatica.es/2016/04/seguridad-scada-mapeador-de-red-pasivo.html

Seguridad SCADA: Herramienta para chequear la seguridad de un entorno SCADA.
http://www.gurudelainformatica.es/2016/02/seguridad-scada-herramienta-para.html

Seguridad SCADA: Honeypot para simular redes SCADA II:
http://www.gurudelainformatica.es/2015/01/seguridad-scada-honeypot-para-simular.html

Seguridad SCADA: Honeypot para simular redes SCADA I:
http://vtroger.blogspot.com/2010/10/seguridad-scada-honeypot-para-simular.html

Seguridad SCADA: Simular tráfico para probar eficacia IDS en redes industriales:
http://vtroger.blogspot.com.es/2014/01/seguridad-scada-simular-trafico-para.html

Seguridad SCADA: Auditar la configuración de seguridad de sistemas de control industrial:
http://vtroger.blogspot.com.es/2013/10/seguridad-scada-auditar-la.html

Seguridad SCADA: Herramientas de seguridad para WINCC y PLC´s S7:
http://vtroger.blogspot.com.es/2013/05/seguridad-scada-herramientas-de.html

Seguridad SCADA:
Implementar IDS:
http://vtroger.blogspot.com.es/2012/05/seguridad-sada-implementar-ids.html

Seguridad SCADA: Disponibilidad en servicios OPC:
http://vtroger.blogspot.com.es/2011/05/seguridad-scada-disponibilidad-en.html

Seguridad SCADA:
Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html

Seguridad SCADA: Firewall para MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-firewall-para-modbustcp.html

Seguridad SCADA: Vulnerabilidades en OPC:
http://vtroger.blogspot.com/2010/09/seguridad-scada-vulnerabilidades-en-opc.html

Seguridad SCADA: Utilizar técnicas de fuzzing en sistemas de control industrial:
http://www.gurudelainformatica.es/2014/08/seguridad-scada-utilizar-tecnicas-de.html