Hello, All!

Después de un par de años con OSSIM como IDS/IPS he tenido un crash importante y he perdido todo, y si, era la única máquina, que ni tenía virtualizada ni tenía backup de ella... soy así de listo.

El caso es que necesito volver a montar algo rápido, aunque solo sea porque tengo la auditoria de recertificación de la 27001 dentro de un mes y no puedo volver a ponerme a crear ahora todas las correlaciones que tenía en ossim por lo que estoy mirando alternativas que no me den mucho trabajo ahora mismo. Después tendría que darle caña.

Pues eso, que usáis vosotros? Que recomendaciones me dáis?

De momento he puesto la última versión de ossim, la 4.10 en una máquina nueva para ir probándolo pero ha cambiado tanto con respecto a lo que estaba usando que de momento por ejemplo ni me crea alarmas nuevas, ni recoge todo el tráfico
ni encuentro la mitad de las cosas, me resulta menos intuitivo que anteriores versiones por lo que casi que prefiero irme a algo más clásico como tenía antes, un snort o incluso suricata...

Saludos
Belky

Fidonet: 2:341/202.1
e-mail : belky@vampirebbs.org
twitter: @belky318
GPG Key: 0x12D5D6E1

--- VampireBBS
* Origin: Punto Vampiro (2:341/202.1)

Pues eso, que usáis vosotros? Que recomendaciones me dáis?

Yo es que tengo un despliegue un poco especialito por lo que me lo tuve que guisar a mi gusto.

Por un lado tengo sensores Snort en modo bridge en la WAN y en modo host en la honeynet reportando contra un MySQL. Luego en la LAN tengo otros IPS tambien en modo bridge (Este reporta por syslog contra un server que almacena en el MySQL las entradas), unos cuantos arpwatch en las redes "importantes" monitorizando el trafico ARP y una sonda que monte con un airodump modificado que monitoriza todo el trafico WiFi en las cercanias (Que clientes conectan a que APs, etc), y todos ellos con scripts varios que parsean sus logs y tambien lo almacenan en el MySQL. (Y algunas cosas mas, pero me estoy extendiendo demasiado).

Luego me cree un correlador para todo esto y mi propio GUI para poder gestionar las reglas de Snort (Actualizacion y gestion de reglas, listas blancas, etc), y analizar la honey y lo que caza (Incluido unos cuantos modulos para desensamblar los shellcodes etc y poderlos analizar), ademas de los eventos generados por las sondas, etc.

Y creo que todo esto me costo menos que adaptarme a OSSIM (Y que soy un poco especialito tambien).

ni encuentro la mitad de las cosas, me resulta menos intuitivo que anteriores versiones por lo que casi que prefiero irme a algo más
clásico como ten”a antes, un snort o incluso suricata...

El problema con Snort como sabes es que aun te queda un buen rato de filtrado de falsos positivos y de reglas que modificar (Idem Suricata).

Ademas con Snort te toca pillar el juego de reglas VRT (23$ a¤o) o tendras unas reglas viejunas. Al VRT tambien a¤adiria el conjunto de reglas Emerging Threats (Las gratuitas estan bastante bien), y son un buen complemento a Snort VRT.

http://emergingthreats.net/

Por otro lado, como sistema de supervision del Snort, yo cuando tengo que montar algo para alguien y no me quiero complicar mucho la vida (Ni a el tampoco), suelo usar como interfaz Squert.

http://www.squertproject.org/

Otra opcion que tienes si lo que quieres es proteccion y no te apetece liarte demasiado, puedes instalar un PfSense con dos interfaces en modo bridge y Snort en modo IPS. Tienen un paquete de gestion de Snort bastante bueno (Actualizacion, gestion de reglas, supervision de eventos, etc) y tardas en montarlo relativamente poco y combinarlo con Squert, ya que pfsense incluye barnyard y puedes enviar los eventos a una consola Squert. (Combo, PfSense como IDS/IPS para el trabajo sucio y Squert para ver las cosas bonitas xD)

https://www.pfsense.org/

Pues eso, que menuda chapa te he soltado xD


-=- Netmail devnull@( 2:341/203 | 46:2/103 | 57:245/13 | 316:341/1 )
=-= Email ^^^^^^^@bitslair[dot]voidlabs[dot]com
-=- PGP KeyID 0x1352338D

... "42? 7 and a half million years and all you can come up with is 42?!"
--- MultiMail/Linux v0.49
--- SBBSecho 2.20-Linux
* Origin: Bits Lair BBS (2:341/203)

Hello, Yeray!

Wednesday September 24 2014 21:49, from Yeray A.Dorta -> Antonio Hernandez Lopez, in URL @OFGHIUrl:

Pues eso, que usáis vosotros? Que recomendaciones me dáis?

Yo es que tengo un despliegue un poco especialito por lo que me lo
tuve que guisar a mi gusto.

La verdad es que me gusta como lo tienes montado, aunque requiere de un huevo de tiempo... Desde que me hicieron Responsable de Seguridad de la compañia estoy mas tiempo buceando en documentos, registros y manteniendo la 27001 y la PCI que en lo que de verdad me gusta.
De todas formas voy a cogerte ideas a ver si puedo ir poco a poco dejándolo a mi gusto. Ya te iré preguntando cosillas :)

Pues eso, que menuda chapa te he soltado xD

Al contrario, se me hace corto, voy a empezar a pedirte detalles en breve ya verás :)

Saludos
Belky

Fidonet: 2:341/202.1
e-mail : belky@vampirebbs.org
twitter: @belky318
GPG Key: 0x12D5D6E1

--- VampireBBS
* Origin: Punto Vampiro (2:341/202.1)

­Hola Antonio!

El Martes 23 Septiembre 2014 a las 10:32, Antonio Hernandez Lopez escribió a All:

virtualizada ni tenía backup de ella... soy así de listo.

Todos tenemos cadáveres en el armario. Y el que te diga que no es que es muy rápido enterrándolos en el jardín trasero... ;-)

El caso es que necesito volver a montar algo rápido, aunque solo sea porque tengo la auditoria de recertificación de la 27001 dentro de un

Cómprate un PaloAlto, hombre, que lo hace todo automaticamente y se autoconfigura, y se autogestiona, y se autoregenera, y lo descubre todo y te quita la dependencia de informáticos y bichería de esa, y elimina el TOC, y mejora el ROI, y enfila el paradigma y... ay, que me he equivocado de audiencia. :-D

En serio, nosotros tenemos OSSIM. Y en tu caso, si lo que más te arde es la recertificación, yo reconfiguraría lo que puedas vender al auditor como el "core" de tus sistemas y dejar eso cubierto con la herramienta. Y preparar un bonito discursos sobre distintas criticidades de sistemas y segmentaciones de red, y blablabla. Y con el tiempo, ya irás volviendo a recomponerlo todo.

De hecho, un crash siempre es la oportunidad que siempre se pide pero nunca se espera para rehacerlo todo desde cero y montarlo bien.


-
A reveure!!
Enric
__________________________________________________________________
FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

... Hay mentiras tan bien contadas que merecen ser verdad.
--- crashmail + golded + binkd
* Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)

­Hola Yeray!

El Miércoles 24 Septiembre 2014 a las 21:49, Yeray A.Dorta escribió a Antonio Hernandez Lopez:

Pues eso, que usáis vosotros? Que recomendaciones me dáis?

Yo es que tengo un despliegue un poco especialito por lo que me lo
tuve que guisar a mi gusto.

Impresionante. Tomo nota. :-O

Pues eso, que menuda chapa te he soltado xD

Siempre que quieras, las leeré(mos) encantado(s).

-
A reveure!!
Enric
__________________________________________________________________
FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

... Ignoramos nuestra verdadera estatura hasta que nos alzamos. (Emily Dickinson)
--- crashmail + golded + binkd
* Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)

Hola Enric!

Mi‚rcoles 15 Octubre 2014 13:21, Enric Lleal Serra escribio a Antonio Hernandez
Lopez:

-Hola Antonio!

C¢mprate un PaloAlto, hombre, que lo hace todo automaticamente y se autoconfigura, y se autogestiona, y se autoregenera, y lo descubre todo y te quita la dependencia de inform ticos y bicher¡a de esa, y elimina el TOC, y mejora el ROI, y enfila el paradigma y... ay, que me he equivocado de audiencia. :-D

No es tanto la tecnolog¡a como los servicios, el open source cubre la tecnolog¡a perfectamente, pero los servicios no, guste o no guste el opensource
de servicios es un gap muy grande en el mundo de la seguridad.


Javier

--- FPD v2.9.040207 GoldED+/W32-MINGW 1.1.5-b20070116
* Origin: Beholder , nuevo hogar (2:343/107.51)

­Hola Javier!

El Miércoles 15 Octubre 2014 a las 18:28, Javier Prieto escribió a Enric Lleal Serra:

No es tanto la tecnología como los servicios, el open source cubre la tecnología perfectamente, pero los servicios no, guste o no guste el opensource de servicios es un gap muy grande en el mundo de la
seguridad.

Casi todos los productos opensource que se presentan en un stack medianamente completo (es decir, un producto en sí mismo) ofrecen la posibilidad (o el contacto) de contratar un servicio de soporte/mantenimiento.

Quizás el gap está en la disponibilidad de dichos soportes si la comparamos con
la de otros productos mucho más extendidos y comercializados a lo largo de años
de pseudo-monopolio, o que siempre acabas en manos de un técnico que administre
la solución.


-
A reveure!!
Enric
__________________________________________________________________
FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

... Con el hombre de mucha inquietud, ni en mi mesa ni en mi cama.
--- crashmail + golded + binkd
* Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)