Archivo
¿ TU SEGURIDAD AL 100%? – PARTE3 – B
Hola de nuevo.
En este post mostraremos el IPS sophos, verificaremos algunas de sus firmas de seguridad y como configurarlo.
Antes de comenzar con este post, me gustaría mencionar que las firmas de seguridad en el IPS del SOPHOS ,no tienen las mismas características de protección del UTM Fortigate, es decir son mas reducidas en aspectos especificos como Web o BD, así que en las pruebas posteriores habrá que tomar en cuenta que la respuesta del IPS SOPHOS, podría no ser tan reactiva como en el caso anterior, y de esto no hay que sorprendernos, ya que la principal función de un FIREWALL es asegurar, siguiendo el modelo OSI, el ingreso de trafico en CAPA3 , CAPA4 y en la actualidad hasta CAPA5, mas no realizar verificaciones a un nivel tan alto como CAPA7, ya que la cantidad de vulnerabilidades que se puede tener a este nivel es inmensa y desproporcionada, y como comente necesitamos de equipos mas evolucionados y/o específicos para tener una mejor linea de defensa ante un posible ataque, sumado a la labor dentro del marco de las buenas practicas a nivel de código y humanas.
Bueno comenzamos:
- En la sección de network protetion / intruction prevention
2. En sección Global
Verificamos por defecto que esta protegiendo y que firmas se encuentran activas, acá tenemos 6 secciones muy importantes en la primera Global, encontramos en que lado y que redes,host o dominios se encuentran protegidas actualmente son protegidas. En la parte inferior policy podemos verificar las 2 políticas:
Drop silenty, o terminate conection, cada una cumple un papel distinto mientras la primer cuando detecta un ataque la dropea en un determinado tiempo, la segunda corta la conexión, lo dejaremos por defecto, Drop silenty
3. En attack patterns
Podemos verificar las firmas, políticas por cada firma, log, duración de drop en caso se haya producción un ataque y también un extra warning.
Así mismo se encuentra divido en divisiones para protección de host, servidores, base de datos, servidores web, client software, servicios mail malware etc
Como podemos verificar la cantidad de firmas relacionadas por ejemplo a ataques web es ínfima, así que el nombre de “UTM” una vez mas queda de lado cuando se trata de seguridad, sin embargo posee una gran variedad de protección a nivel de client (buffer overflow, malware etc)
En este punto también quiero acotar, que la publicación de las firmas de sophos detalladas no he tenido suerte en encontrarlas, lo que solo me da entender que sus firmas se basan en comportamientos.
4. Anti DOS
Bueno como la mayoría de UTM consta de una protección basada en detecciones de ataques por comportamiento DOS.
TCP flood / UDP flood / ICMP flood.
5. Exeptions
En esta sección podemos añadir una exepcion, en función tanto de las firmas como de las redes, servicios o destinos.
Porque añadir esta sección, existe circunstancias en que el comportamiento pro-activo del IPS puede originar problemas cuando los usuarios intentan consumir ciertos servicios, el IPS los puede detectar como comportamiento anómalo y banearlos.
6. Advanced
En esta sección podemos amplificar las firmas pero principalmente relacionadas a virus y también podemos “tunear” el ips a ciertos servidores que deseamos que estén protegidos.
Bueno luego de entender los criterios del ips, ya podemos poner en despliegue el mismo,
En la próxima y ultima sección, pondremos a prueba el IPS.
Este sera nuestro escenario:
No se olviden las anteriores secciones:
¿ TU SEGURIDAD AL 100%? – PARTE3 – A
Entre apuros y temas profesionales, recién me desocupo.
Como les comente les el anterior post ¿ TU SEGURIDAD AL 100%? – PARTE2 continuaremos con el pequeño manual básico del UTM sophos para posteriormente realizar las pruebas de rendimiento a nivel de seguridad, haciéndole focus en el parte de UTM:
Este es el esquema que trabajaremos para las primeras configuraciones:
- ingresamos al portal(de preferencia firefox) https://192.168.20.1:4444
- Aceptamos el certificado inseguro
2. En el siguiente panel agregaremos nuestros datos de la empresa, includido empresa, ciudad, pais y un password:
username:admin
password: elquemasteguste
aceptamos las condiciones de uso
3. esperamos unos 40 segundos e ingramos con nuestro user y password, ojo que el user sera “admin”
4. solo ponemos continuar:
5. habrá una licencia de activación por 30 dias, que servirá para realizar las pruebas que deseen:
6. Listo, hasta cada todo bien, ahora cargaremos configuraciones mediante el wizzard, podremos configurar tanto las internfaces como el FW y el UTM(filtro web, antispam, antivirus, antispam etc)
- interfaz lan:
- interfaz wan(ponemos configurar despues, esto ya depende de uds)
- Con el wizzard podemos crear una regla de salida para ciertos servicios
**** red lan(192.168.20.0/24) permit http,https,dns —> internet
- Y también permitir realizar pruebas de conectividad hacia el utm:
7. En el wizzar también podremos realizar activaciones y configuraciones del IPS, filtro web, antispam (ojo por 30 dias)
- Activación del ips
- Activación del filtro web y antivirus
antispam
8) bueno ya esta casi listo para comenzar, aca aparecera un resumen de lo que hemos hecho.
9) Este sera nuestro primer panel, las caracteristicas del panel son como la de la mayoria de equipos UTM, apareceran licencias, versiones de sistemas operativo, consumo de CPU, tambien podemos añadirles widgets, para verficar alincion por ejemplo las reglas FW y del UTM escritas asi como logs del sistemas y de seguridad
- Como nota importante es las secciones de configuracion:
Donde estara el managment, interfaz routing, definition user etc
El el panel de control verificamos:
- Interfaces activas:
- Consumo de cpu
- Registro de log de amenazas
- Así como también podemos agregar mas widgets.
10.Bien ahora iremos en la parte izquierda a la sección de interface y routing, en esta sección podemos verificar el estado de las interfaz, con cuadros referenciales al consumo de ancho de banda, estado de la interfaz etc
- Aca existen varias subsecciones:
11. En la subseccion interfaces
por ejemplo podemos observar o re configurar la interface managment:
- Crear una interfaz wan:
- Dando en up a la interfaz creada:
12. También podemos crear rutas estáticas, en el menú izquierdo en la subseccion de routing static:
- podemos configurar rutas como las siguientes:
13. Ahora para crear objetos tanto a nivel de redes como de servicios iremos a la seccion Definition & users
- Dentro de esta sección tendremos muchas subsecciones
- Creamos un network definitions
- También podemos crear un service definition
14. listo, despues de crear el service y el network definition podemos crear reglas en el FW:
En network protection / firewall
activar la regla
15. Y podemos verificar los logs:
En la próximo post (parteB) hablaremos un poco de el UTM, para posteriormente crear el siguiente esquema muy similar a hacking fortinet , donde tendremos un servidor expuesto a la nube con un software vulnerable(pentesterlab)
Saludos
continuara:
¿ TU SEGURIDAD AL 100%? – PARTE2
Bueno continuando con el anterior post PARTE 1, ahora vamos a preparar el entorno virtual para instalar nuestro UTM – SOPHOS.
Detallo los topics a tocar:
SOPHOS UTM – PARTE2: PRIMEROS PASOS
- Preparando el ambiente
- Instalación de UTM sophos
A)PREPARANDO AMBIENTE
1) Preparamos nuestro vmware con nuestro .iso descargado asg-9.304-9.1.iso
File/New virtual Machine
2) En la parte inferior seleccionamos el iso a usar despues de descargarlo, dependiendo el directorio donde lo hallas descargado,
Installer disc image file(iso):
Luego next
3) Aca sellecionamos el sistema operativo base a usar, en mi caso puse other, pueden usar Linux o algun otro distro:
Next>
4) Luego le damos un nombre y ubicamos donde se guardara nuestra maquina virtual:
Next>
5) Aca seleccionaremos el espacio virtual de disco, lo dejamos por defecto:
Next>
6) Seleccionamos cuztomizar hardware,la función principal es agregar al menos 3 adaptadores lan virtual, para simular:
Wan –> Network Adapter
Lan –> Network Adapter2
Dmz –> Network Adapter 3
Next >
Y asi creamos 3 interfaces.
7) Algún muy importante despues de crear las interfaces es poner las 3 interfaces en modo bridge (paso2)
B)INSTALACION DE SOPHOS
Después de preparar el ambiente comenzaremos con la instalación de sophos UTM:
1) seleccionamos Power on this virtual machine
2) nos aparecerá la pantalla de arranque, simplemente presionamos enter:
3) Nos aparecerá la pantalla de “introducción”, ponemos start
<Start>
** La maquinar virtual SOPHOS, detectara las características de HW:
<OK>
4) Acá pueden seleccionar el idioma a preferencia en mi caso cuando instale por primera vez use Spanish, en las posteriores POST veran una imagen actual en version English:
5) seleccionamos ubicación y país:
America/Peru
<next>
<next>
<next>
6) ahora seleccionamos por cual interfaz podremos levantar la administracion via web, escojemos eth0
<Next>
7) ahora configuramos la IP DE ADMINISTRACION en mi caso sera, 192.168.20.1/24
<Next>
8) seleccionamos el kernel a instalar, 64bits:
<Yes>
9) podemos instalación de todas sus capacidades ya que estaran en un tiempo de prueba de 30 dias:
<Yes>
10) Ahora solo aparecer un banner con los features del appliance , solo aceptamos.
11) Seleccionamos la partición por defecto a instalar,el cual borrara para realizar una instalación limpia:
<yes>
13) luego comenzara a realizar su proceso de instalación y a continuación les aparecerá la ip de administración, el equipo rebooteara:
IP MGMT: https://192.168.20.1:4444
<Reboot>
**en el proceso de reinicio se mostrara nuevamente el la ip de administración:
Listo en la siguiente entrada “SOPHOS UTM – PARTE3: REGLAS BASICAS”
hablaremos del procedimiento para administracion, dasboard y jugaremos con algunas reglas.
No se olviden de revisar el Post anterior
SOPHOS UTM – PARTE1: CONCIENDO AL UTM
Salud0s
¿TU SEGURIDAD AL 100%?
Saludos otra vez, bueno aprovechando el trabajo con Juan Oliva decidí realizar un conjunto de pruebas sobre dispositivos de seguridad denominados UTM(Unified Threat Management) con el fin de probar sus capacidades reales de reacción ante un eventual ataque, todo esto quizás sirva para realizar una estadística de cuan seguro estamos si depositamos nuestra confianza en este variopinto de equipos, que como di mi opinión en BYPASSING FORTINET debería ser solo nuestra primera línea de defensa.
ADVERTENCIAS
- En las pruebas subsiguientes vamos a usar un ambiente virtual, con el firmware lo más actualizado posible.
- El TARGET es vulnerable y está en una DMZ, el blanco va a ser la DMZ por obvias razones, la exposición hacia internet, para luego realizar pruebas desde el lado del cliente.
- Las pruebas a las firmas del UTM son de concepto es decir básicas, por ahí quizás podamos tratar de usar otros mecanismos de evasión como encoders o ofuscadores.
- No se empleara ataques de DOS porque cualquier equipo puede ser vulnerable al mismo, este es otro tema de discusión.
- No se analizara la estructura informática de la plataforma UTM por el momento, trabajo futuro.
- Como parte final y mas importante: este conjunto de pruebas no tienen como fin desprestigiar a alguna marca, sino concientizar a los administradores de red o expertos en seguridad de la información que no basta con comprar equipos sino que es un trabajo en conjunto y que va desde capa1 a capa7 (siguiendo modelo OSI) donde está en juego la reputación de la empresa.
SOPHOS FIREWALL
Este solo es un manual de configuración básico dirigido a pruebas de pentesting de un potente UTM – SOPHOS, no es muy conocido al menos en el mercado Peruano, me gustaría saber cómo va en el mercado internacional, porque he leído buenos comentarios al respecto.
el topic va a constar de 4 partes:
SOPHOS UTM – PARTE1: CONCIENDO AL UTM
SOPHOS UTM – PARTE2: PRIMEROS PASOS
- Preparando el ambiente
- Instalación de UTM sophos
SOPHOS UTM – PARTE3: REGLAS BASICAS
- DASHBOARD
- RUTAS
- FIREWALL
- UTM
SOPHOS UTM – PARTE4: PENTESTING
- PENTESTING SOBRE FIRMAS UTM
- PENTESTING CLIENT SITE ATTACK
- PENTESTING SOBRE FW
SOPHOS UTM – PARTE1: CONOCIENDO AL UTM
Lo que dice el autor:
“La gestión unificada de las amenazas simplifica la seguridad Sophos UTM proporciona seguridad completa, desde cortafuegos de red
a antivirus para estaciones de trabajo, en un solo dispositivo por módulos.
Simplifica la seguridad informática y elimina las complicaciones de utilizar soluciones diferentes en varios puntos. La interfaz intuitiva ayuda a crear políticas rápidamente para controlar los riesgos para la seguridad, mientras que los informes claros y detallados le ofrecerán toda la información que necesita para mejorar la protección y el rendimiento de la red.”
Aspectos destacados
- Todas las funciones están disponibles en todos los dispositivos Cortafuegos, VPN, ATP,
- IPS, email, filtrado web y control de aplicaciones
- Dispositivos de hardware, virtuales, software o en la nube
- Interfaz web intuitiva
- Informes incorporados en todos los modelos
- Autenticación de doble factor y contraseñas de un solo uso en muchas áreas
- Controlador inalámbrico integrado
Requerimientos mínimos
- Processor: Pentium 4 with 1.5 GHz (or compatible)
- Memory: 1 GB RAM
- HDD: 20 GB IDE or SCSI hard disk drive
- CD-ROM Drive: Bootable IDE or SCSI CD-ROM drive
- NIC: Two or more PCI Ethernet network interface cards
- NIC (optional): One heart-beat capable PCI Ethernet network interface card. In a highavailability system, the primary and secondary system communicate with one another through so-called heart-beat requests. If you want to set up a high-availability system, both units need to be equipped with heart-beat capable network interface cards.
- USB (optional): One USB port for communications with a UPS device
- Switch (optional): A network device that connects (and selects between) network segments.
- Note that this switch must have jumbo frame support enabled.
Modo de despliegue
Tiene 4 tipos de despliegue:
- Los dispositivos de hardware
- Los dispositivos de software
- Los dispositivos virtuales
- Los dispositivos basados en la nube
Donde lo descargo:
Descargamos el modo software de evaluacion por 30 dias, para llevarlo a nuestro vmware:
https://secure2.sophos.com/en-us/products/unified-threat-management/free-utm-trial.aspx#start
Esperemos la próxima entrada:
SOPHOS UTM – PARTE2: PRIMEROS PASOS
Saludos.
SECUESTRANDO TU PRIVACIDAD parte1 – remastering soon
Hace ya unos meses a través de un experto en informática @Miguel_Risco_C, me llegó un informe sobre un virus que afecto a su cliente en Lima, se trataba de una nueva variante de virus crypto-ransomwaring denominado cryptowall versión 3.0.
Antes de detallar de qué se trata un cryptolocker y ransomwaring y demás hierbas, entendamos que daños ocasiona.
- Vector de infección:
El vector de infección al parecer había sido sujeto a los famosos adware y spyware a través de anuncios publicitarios vía web, dando hilo al problema se encontró esta nota:
http://www.theregister.co.uk/2014/08/11/cryptowall_malvertising_yahoo_ad_network/
Donde menciona que los malhechores usan Yahoo!’s advertising network, para esparcir el ransomware, aprovechándose de algunos fallos en las actualizaciones de IE.
Luego horas más tarde me llego otro reporte de infección en Lima, otra posible variante del virus denominado CBT-crypto, que era esparcida en forma clásica a través de archivos adjuntos vía correo electrónico.
COMENZANDO A ATERRIZAR ALGUNAS IDEAS:
¿Qué es el ransomwaring?
Este término de Ransomwaring que llego por primera vez el 2012 a través de una conferencia de Macfee como el ataque del futuro, ocasiona el secuestro total de tu dispositivo o data importante de tu dispositivo, suena estremecedor, pero es así sin más ni menos como se entiende.
- ¿Si me infecte que aparece?
Para dar algunos ejemplos miremos el siguiente screenshot una vez ya infectado: Este pop add propio del CBT – crypto es el similar que del Cryptowall 3.0 y a todos los ransomware-virus, donde si leemos un poco menciona 3 cosas importantes:
- Tus datos personales han sido encriptados.
- Para obtener la clave desencriptadora de tus datos tienes que pagar a través de bitcoins (común) u otros medios de pago.
- Tienes un tiempo limitado para realizar el pago, sino el precio para la clave desencriptadora de tu data será el doble y así progresivamente.
- Aparición de archivos encriptados:
Acá vemos la aparición de archivos encriptados:
CBT-CRYPTO:
CRYPTOWALL 3.0:
- Archivos cifrados:
Acá podemos observar un documento en Excel totalmente cifrado:
- ¿Cómo entenderlo mejor?
Sin muchas palabras técnicas, es como que a tu folder de tus datos le hayan puesto una caja con llave, el cual solo el dueño de la caja tiene la llave para poder abrirla.
En ese sentido, la única forma de recuperar tu data es pagando.
HISTOGRAFIA Y DETALLES TÉCNICOS:
Acá ya entro a detallar toda la parte técnica, si tienes interés de cómo solucionarlo al final del artículo.
- Comparativa
Una gran diferencia que se tiene los virus pasados son las siguientes:
- No roba información de la víctima, en lugar hace que sea imposible acceder a tu información.
- Una vez infectado no hay antivirus que pueda remover el cifrado, da lo mismo.
- Usa criptografía conocida y fácil de implementar, el problema es el tipo de criptografía que hace única al propietario.
- Modos comunes de infección:
Acá tenemos cosas clásicas:
- Spam / Social engineering
- Direct drive-by-download
- Drive-by-download a través de malvertising
- Malware installation tools y botnets
Algunos ransomware-virus desde el 2013 -2015:
- Dirty Decrypt
- CryptoLocker
- CryptoWall / Cryptodefense
- Critroni / CTB Locker
- TorrentLocker
- Cryptographic Locker
Algunos elementos comunes de estos virus son por ejemplo:
- Droppers
- C&C, servidor comand center
- encryptacion
- targeted files types.
- Timeline:
La primera aparición remonta al 2013 para SO Windows, habría que recalcar que la primera aparición de estos “secuestradores virtuales” es a través de SO Android.
- Análisis:
Habría que recalcar que al ser nuevos virus las formas de análisis tradicionales, no tienen demasiada contundencia para elaborar una contramedida, como el uso de ingeniería inversa.
Las características de todos estos ransomware – virus son:
- Usan criptográfica asimétrica (private key y public key), el cual es compartido y firmado a través de un C&C (comand center)
- Usan un Wincrypto que es un crypto API para cifrar la data.
Un esquema de practico de cómo es que después de la infección entra a tallar la criptográfica asimétrica y el roll del C&C (comand center)
- El agente del virus recolecta datos y los cifra con AES usando la Kaes.
- Ya que se trata de una criptográfica asimétrica usa RSA y la llave publica del C&C para cifrar la llave Kaes
- La data y la llave de AES viaja completamente encriptados hacia el C&C
- Ya en el C&C tanto la data como la llave Kaes es desencriptadá usando la llave privada del C&C, esta llave es única y lo tiene el atacante.
- El C&C genera otro par de claves para seguir encriptando la data.
Como observamos usa protocolos criptográficos ya conocidos pero muy potentes para cifrar y capturar tu data.
Acá algunos screenshoot de la comunicación cifrada con el C&C.
Algo más importante que anotar es el alto grado de ofuscación por capas y covert launch como la creación de procesos en suspensión que tienen estos virus haciendo complicada la labor de detección de los antivirus.
Esta grafica servirá para entender un poco más el proceso:
Si vemos en el peor de los casos puede borrar las “shadows copies” que son copias de restauración por defecto de los archivos en Windows vista para adelante (siempre y cuando esté configurado)
- Dominios y protocolos de comunicación C&C
En el cuadro podemos observar los protocolos comunes de comunicación con el C&C y sus dominios:
Como cosa resaltante es el uso de proxie TOR y HTTPS.
- Tecnología criptográfica
Acá podemos observar las tecnologías criptográficas y desarrollo de APIs de estos virus:
- Costos por rescate
Los costos varían entre $100 a más de $1000 por rescate:
- ¿Y a donde apuntan estos cifrados?
Todo tipo de documentos, imágenes, videos, audio, base de datos, password y certificados managers, software financiero, backup (.bak);
- Si pago que obtengo:
Al realizar el pago tendrás un .txt donde te darán la clave para poder desencriptar tu data:
UNA VEZ INFECTADO ¿QUÉ HAGO?
Antes de llegar a este punto recomendaría tomar siempre en cuentas las medidas comunes para no infectarse:
- Uso de antivirus recomendados
- No abrir archivos adjuntos en correos electrónicos dudosos.
- No insertar USB sin previa limpieza.
- Cuidado a donde exploras.
- Actualizar tu navegador y sistema operativo
SI YA ME INFECTE:
- Consultar a un experto.
- No usar software para recuperación de archivos comunes, ya que estos pueden empeorar la situación.
- El tiempo de rescate es vital.
Justo en esta última recomendación me detengo y explico:
- Tu data ya cifrada es irrecuperable, (acá hay criptologos trabajando puede demorar desde días hasta años en descubrir la clave y por las características técnicas es casi imposible).
- Puedes usar herramientas como shadown explorer para encontrar puntos de restauración y grabado por defecto de tus archivos y como entenderás dependerá mucho del punto de tiempo en el cual se grabaron tus archivos, así que el porcentaje de recuperación es cuestión de suerte.
Como usar “el shadown explorer”, te dejo es video:
https://www.youtube.com/watch?v=ifKNf4qbAM0
¿QUE MÁS PUEDO Y DEBO HACER?
Acá un excelente artículo escrito en softonic (irónicamente uno de los máximos esparcidoras de spyware):
http://articulos.softonic.com/como-defender-tus-archivos-contra-cryptolocker-y-cryptowall
@dUn_h4t