miércoles, 31 de agosto de 2011

Configurando el IDS e IPS Suricata

Hace ya bastante tiempo, hice un pequeño manual sobre el OSSEC, también IDS e IPS, y un comentario me recomendó cacharrear con el Suricata. Llevo probándolo unos días y os voy a comentar cómo instalarlo y configurarlo.

Antes que nada nos recomienda la web oficial bajarnos todas las librerías requeridas:

apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \
build-essential autoconf automake libtool libpcap-dev libnet1-dev \
libyaml-0-1 libyaml-dev zlib1g zlib1g-dev

apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0



Bajamos la versión de turno, en estos momentos la 1.1Beta2.

wget http://www.openinfosecfoundation.org/download/suricata-1.1beta2.tar.gz
tar -zvxf suricata-1.1beta2.tar.gz
cd suricata-1.1beta2.tar.gz
./configure --enable-nfqueue
make
make install


Hay una versión en los repositorios de Debian, pero yo me la compilé porque necesito la NFQUEUE (para que funcione como IPS).

Instalado ya, tendremos los archivos de configuración en /etc/suricata/, y el principal es suricata.yaml (ojito con los espaciados, que si movemos un poquito algún margen luego hará que el Suricata no funcione).

Los archivos de reglas en los que se basará, a mí me cogió por defecto los de Snort (/etc/snort/rules/), aunque se pueden coger otras distintas (más actualizadas y además recomendadas) mediante el OinkMaster, explicado perfectamente y con dibujitos aquí https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Rule_Management_with_Oinkmaster.

En estos archivos de reglas podemos editar las reglas que queramos, por ejemplo podemos crear una regla que bloquee todo acceso al Facebook y meterla al archivo /etc/snort/rules/web-misc.rules, o al archivo icmp.rules, realmente no importa, sólo se organizan en archivos distintos por orden (esta regla la robé por ahí):

drop tcp any any -> any any (content:"facebook"; msg:"Attention, Facebook!!!"; sid:1000002; rev:1;)

Aunque si realmente queréis ver un conjunto de reglas que bloqueen cierto contenido echad un ojo al archivo /etc/snort/rules/porn.rules, me ha hecho gracia ver un filtro de porno pululando por ahí.

Volviendo al tema, podéis crear vuestros propios filtros y reglas, yo por ejemplo tiro todos los paquetes que vayan por protocolo ICMP (por ejemplo el PING).

drop icmp any any -> any any (msg:"¡Tenemos una petición ICMP!";sid:20000;)

Con un poco de imaginación se puede hacer cualquier cosa. Pero para que el suricata pueda tirar paquetes, tenemos que decirle al IpTables que le mande todo lo que pille:

iptables -A INPUT -j NFQUEUE
iptables -A OUTPUT -j NFQUEUE
iptables -A FORWARD -j NFQUEUE


La NFQUEUE es la cola que procesará el suricata para analizar luego los paquetes. Para que nos funcione dicha cola tenemos que entrar a la configuración en /etc/suricata/suricata.yaml, buscar NFQ y descomentar mode: accept

Y por último ejecutamos el suricata

sudo suricata -c /etc/suricata/suricata.yaml -q 0

Como podéis ver el Suricata puede hacer muchas cosillas, aunque echo de menos cosas que tenía el OSSEC como los baneos inteligentes (durante varios minutos y luego se quitaba, o tras varios ataques seguidos en un corto periodo de tiempo, que con éste se puede hacer pero bastante más complicado).

Realmente el Suricata se parece mucho al Snort, me remito a la comparativa http://www.aldeid.com/wiki/Suricata-vs-snort, lo que tiene a mayores es una mayor optimización y rendimiento (Multi-thread y aceleradores de captura), y que parece que apunta a ser el sucesor del Snort, a ver qué pasa.

Espero que os haya servido de algo la miniguía,

Salu2!

sábado, 27 de agosto de 2011

Encender Placa Base sin caja ni botones

En ocasiones se da el caso de que tenemos que probar una placa base antes de montarla en una caja. Una vez debidamente enchufada  a una fuente de alimentación nos surge el problema de que no tenemos botón para dar el chispazo y que encienda.

Eso se soluciona muy fácilmente: haciendo un puente con un desatornillador (por ejemplo) en los bornes a los que se enchufarían los cables del botón de la caja. Os dejo señalado dónde estarían esos bornes, en mi placa vienen señalados como pwr.



sábado, 6 de agosto de 2011

Películas de Informáticos (Parte I)

Llevo tiempo sin escribir, ya sabéis, el verano no perdona y cuando uno está de vacaciones y teóricamente hay tiempo libre para hacer todo aquello que durante el año no se puede entonces no lo haces porque te da vagancia. Yo al menos funciono así. Qué se le va a hacer.

En fin, por lo menos he aprovechado para ver (o volver a ver) ciertas películas relacionadas con mi temática favorita, la informática, y dentro de ella, la seguridad. Os voy a comentar las que he visto recientemente:

Hackers



Una de las primeras películas de la archiconocida Angelina Jolie, nos cuenta la historia de un hacker, vemos el entorno y la gente con la que se relaciona, cómo hackean sitios, los federales los siguen, y no cuento más por si alguien quiere seguir viendo la película. La película no está mal, pero pasa sin pena ni gloria.

Hackers 2: Operación Takedown


Trata de la vida de Kevin Mitnick. Cuando leí el argumento, me esperaba una buena película porque además yo había leído algo de Kevin Mitnick y su historia, me parecía que podían sacar un buen film de todo eso. Ha tenido detalles muy buenos, como la Ingeniería Social y el arte del engaño que aplica Kevin Mitnick a dirigentes de empresas, técnicos, etc. para conseguir la información que quiere, pero poco a poco se va perdiendo fuelle hasta que incluso hay momentos verdaderamente soporíferos en los que no te enteras de nada. Por lo menos, me ha gustado que lo que escriben son comandos que existen, o código C, y no estas pelis rollo: "hackear nasa", ENTER y ya está.

Revolution OS


Richard Stallman, Linus Torvalds, y más gente conocida del mundo libre. Esto ya no es película sino documental, cuenta los orígenes de GNU, Linux, licencias, Open Source, anécdotas, etc. Muy interesante ver a esta gente hablando de todo en primera persona y contando la historia, no muy entretenida al ser un documental, pero hay que verla.

Piratas de Silicon Valley


Sin duda mi favorita. Cuenta la historia de Bill Gates y Steve Jobs, cómo llegaron a ser lo que hoy son, las anécdotas de sus vidas, enfrentamientos, formas de ser... La película trata de ser bastante realista y recoger todos los detalles, desde la forma que tiene Steve Jobs de tratar a sus empleados, hasta las carreras de excavadoras de Bill Gates, sin olvidarnos de la multa de Bill por exceso de velocidad. Tiene además momentos graciosos, dramáticos... Esta película hay que verla sí o sí.

Aunque realmente sólo Piratas me ha encandilado, el resto se pueden ver y seguro que las disfrutáis, pero realmente sentiréis que se han intentado adaptar para que todo el mundo les encuentre gracia y las han convertido en fantasmadas, pero aún así todas tienen detalles y partes que os gustarán. Os recomiendo que veáis todas.

Luego mucha gente por lo que leo considera "Películas Hackers" muchas otras como Matrix o La Jungla 4. Vale, sabemos que Neo era un hacker, y en la Jungla 4.0 Bruce Willis tiene que proteger a un hacker, que sí, con su consola con Linux y NMAP (me encantó su escritorio). Pero son lo que son, pelis de ostias, de ahí a ser pelis de hackers hay un trecho. No todas las películas donde sale un tío con una pistola es una peli de acción, ni en todas las películas que aparece alguien riendo es una comedia, etc etc. O al menos esa es mi opinión.

Seguramente haré otro post con las que me faltan, como Wargames, 23, Sneakers, etc. Pero eso será otro día.

Salu2!