miércoles, abril 23, 2014

Centralización de logs para detectar intrusiones en sistemas.

Centralizar logs, es una medida imprescindible en la seguridad de sistemas de una red, ya que permite acceder a ellos de una forma rápida. Además es muy útil para detectar una intrusión y analizar las consecuencias de dicha intrusión.

Centralizar logs es fácil con la herramienta Octopussy, una solución para gestionar registros (también llamada SIM / SEM / SIEM). Básicamente almacena logs de varios sistemas, elabora informes y plantea las alertas.

Entre las características de Octopussy destaca:

  • Soporta LDAP  para información de contacto de usuarios.
  • Permite configurar el envió de alertas por: correo electrónico, mensajería instantánea (Jabber), NSCA (Nagios) y Zabbix_sender.
  • Permite exporta informes por: correo electrónico, FTP y SCP.
  • Crea un mapa para mostrar la arquitectura de la red.
  • Permite entrada y salida Plugins para informes.
  •  Posibilidad de programar la realización de informes.
  • RRDtool para representar gráficamente la actividad syslog.
  • Soporta los logs de los servicios: Bind, Cisco Router, Switch Cisco, DenyAll Reverse Proxy, Drbd, F5 BigIP, Fortinet FW, IronPort MailServer, Linux Kernel / System, Linux IPTables, Monit, MySQL, Nagios, NetApp NetCache, Juniper Netscreen FW, Juniper Netscreen NSM, Postfix, PostgreSQL, Samhain, sNMPD, Squid, sshd, Syslog-ng, Windows Snare Agent, Xen...
  •  Asistente para crear fácilmente recolección de logs de servicios desconocidos.
  • Soporte multilenguaje: inglés, francés, alemán, español, portugués, ruso e italiano.
  • Actualizaciones periódicas de soporte de: servicios, lenguajes...

Más información y descarga de Octopussy:
http://8pussy.org/

jueves, abril 10, 2014

Obtener información del protocolo SSL utilizado en un servidor.

Con la herramienta SSL Diagnos para Windows, diseñada para probar la seguridad de SSL y obtener información acerca de los protocolos SSL (pct, SSL2, SSL3, tls, DTLS) y conjuntos de cifrado utilizados en un servidor. También puede ser utilizado para probar y valorar el nivel de seguridad de los cifrados en clientes SSL.

Cuenta con un apoyo específico para  los protocolos POP3S, SIP, SMTP y FTPS. Por otra parte incluye una herramienta independiente, SSLPressure, para comprobar todo el espectro de posibles protocolos SSL en un servidor.

SSL Diagnos se puede utilizar para probar el protocolo SSL en servidores Microsoft SQL Server y también permite realizar MitM en conexiones cliente servidor de Microsoft SQL Server.

Entre sus características destaca:

  • Incluye calificación de nivel de seguridad de cifrado SSL para el servidor y los clientes.
  • Test  de cifrado SSL en: HTTPS, SMTP, SIP, POP3S, FTPS.
  • Puede ser utilizado para OWASP-CM-001.
  • Utiliza OpenSSL para probar SSL2, SSL3, TLS, DTLS, FTPS.
  • Pruebas de renegociación y disponibilidad de extensión de renegociación tls.
  • Las pruebas específicas para la mitigación de BEAST (CVE-2011-3389). Comprobación específicamente de la mitigación para Windows y OpenSSL.

Ejemplos básicos de empleo:

Obtener ayuda de uso del comando:

ssldiagnos.exe –help

Prueba el anfitrión www.hostname.org utilizando el puerto 443 (que es el valor predeterminado) y prueba enviar / recibir:

ssldiagnos.exe -t www.hostname.org --testsend -p 443

Prueba todos los tipos de negociación de cifrado SSL2 y SSL3 en 192.168.1.1:
 
sslpressure.exe -t 192.168.1.1

Más información y descarga de SSL Diagnos:
http://ssldiagnos.sourceforge.net/

miércoles, marzo 26, 2014

Emular red en Windows para análisis dinámico de malware.

FakeNet es una herramienta que ayuda en el análisis dinámico de software malicioso. La herramienta simula una red, para que el malware interactué con un host remoto, permitiendo al analista, observar la actividad del malware, en los protocolos de red dentro de un ambiente seguro.

FakeNet está programado en python 2.7 y utiliza una variedad de servicios de Windows y bibliotecas para emular una red Windows. Carga un entorno HTTP personalizado y un servidor DNS para responder a las solicitudes. Utiliza OpenSSL para manejar conexiones en el protocolo SSL. Maneja para esta emulación de red un proveedor de servicios por niveles de Winsock (LSP) para redirigir el tráfico hacia localhost, y para escuchar el tráfico en los puertos. También crea un archivo de captura de tráfico (*.pcap) para su posterior análisis, reconstruyendo un encabezado de paquetes basado en el tráfico de las llamadas send/recv.

Características:

  • Es fácil de instalar y utilizar, la herramienta se ejecuta en Windows y no requiere de las bibliotecas de terceros.
  • Mantiene la ejecución del malware de forma que se puede observar gran parte de su funcionamiento.
  • Apoya  los protocolos más comunes utilizados por el malware, soporta DNS, HTTP y SSL.
  • El servidor HTTP siempre sirve un archivo, si la solicitud de malware es un jpg le sirve un formato correcto jpg, etc.  Los archivos que se sirven son configurables por el usuario.
  • Capacidad para redirigir todo el tráfico hacia localhost, incluyendo el tráfico destinado a una dirección IP estática.
  • Extensiones en Python,  incluyendo una extensión de ejemplo que implementa SMTP y SMTP a través de SSL.
  • Proporciona extensiones de Python para añadir protocolos nuevos o personalizados.
  • Construido con la capacidad para crear un archivo de captura (*.pcap) para los paquetes redirigidos a localhost, para su posterior análisis.
  • Modulo que escucha el tráfico en cualquier puerto, detecta  y descifra el tráfico SSL y muestra el contenido en la consola. Lleva a cabo todas las actividades en el equipo local para evitar la necesidad de una segunda máquina virtual.

Es una herramienta ideal para analizar el método de infección del malware de páginas web maliciosas. Porque permite ver e interceptar, las consultas y respuestas HTTP, HTTPS y DNS.

Más información y descarga de FakeNet:
http://sourceforge.net/projects/fakenet/

Información de modo de empleo y configuración:
http://www.aldeid.com/wiki/FakeNet