lunes, 20 de julio de 2015

OSSIM 24. AlienVault OTX 2 beta. La red social de moda entre los analistas

Estimados amigos de Inseguros !!!

Hoy os voy a contar una iniciativa muy interesante organizada por Alien Vault denominada OTX 2. En este mismo artículo o en este hemos hablado del uso de la base de datos de reputación que nos proporciona Alien Vault con el servicio OTX.


Hace unos meses me inscribí en un programa para participar en la beta de la versión 2 y hoy mismo he recibido el login y me gustaría contar que he visto :-)

La idea es una "red social" porque hay usuarios y se puede tener un avatar :-) en la que la gente comparte su información de amenazas detectadas en formato abierto, en concreto para mi uso OpenIOC 1.1.

Podemos apuntarnos en la beta aquí. Una vez proporcionados los datos de acceso, la pantalla inicial muestra este aspecto:



Como podéis ver, hay un "muro" con toda la actividad publicada, y podemos visualizar solo la de nuestros sindicados, nuestros "gurus" en los que confiamos. Este punto es muy importante, ya que no hay un sistema que impida que yo publique una ip como maliciosa y todo el mundo incorpore a sus sistemas un bloqueo o alerta. Debemos ser nosotros los que seleccionamos aquellos analistas o fuentes de información en las que confiamos.


Crear un nuevo Pulse como ellos lo denominan es muy sencillo. Podéis observar los datos necesarios.


La opción más interesante sin duda para mi es la de poder descargar los registros en distintos formatos, como OpenIoc.


<?xml version="1.0" encoding="UTF-8"?>
-<ioc last-modified="2015-07-20T10:58:50" id="5f564dc6-a897-4f38-8fdf-1fb60e8a97a9" xmlns="http://schemas.mandiant.com/2010/ioc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<short_description>Malvertising from Google advertisements</short_description>
<description>Malvertising from Google advertisements</description>
<keywords/>
<authored_by>AlienVault - Alienvault OTX</authored_by>
<authored_date>2015-07-20T10:58:50</authored_date>
-<links>
<link rel="http://blog.fox-it.com/2015/04/07/liveblog-malvertising-from-google-advertisements-via-possibly-compromised-reseller/">http://blog.fox-it.com/2015/04/07/liveblog-malvertising-from-google-advertisements-via-possibly-compromised-reseller/</link>
<link rel="https://otx.alienvault.com/pulse/5524271d13432a714ff499f1">https://otx.alienvault.com/pulse/5524271d13432a714ff499f1</link>
</links>
-<definition>
-<Indicator id="994b2564-8878-409a-a2b8-0025de11a6ae" operator="OR">
-<IndicatorItem id="922c96b2-9972-4781-a65c-8f8057cbfed3" condition="contains">
<Context type="mir" search="DnsEntryItem/Host" document="DnsEntryItem"/>
<Content type="string">banking.techpool.org</Content>
</IndicatorItem>
-<IndicatorItem id="5f6225fe-2a43-42df-9ecd-0329cc1345e7" condition="contains">
<Context type="mir" search="DnsEntryItem/Host" document="DnsEntryItem"/>
<Content type="string">alfiantoys.com/wp-news.php</Content>
</IndicatorItem>
-<IndicatorItem id="2922dcb2-cce3-4b94-b291-5bf1be60acfa" condition="contains">
<Context type="mir" search="DnsEntryItem/Host" document="DnsEntryItem"/>
<Content type="string">foley.go2lightuniversity.com</Content>
</IndicatorItem>
-<IndicatorItem id="ef66f1ae-d3e1-4643-8784-366034a8f61f" condition="contains">
<Context type="mir" search="DnsEntryItem/Host" document="DnsEntryItem"/>
<Content type="string">soaring.betsystemreviews.com</Content>
</IndicatorItem>
-<IndicatorItem id="edebd2da-961a-445e-8b2c-e077373f744a" condition="contains">
<Context type="mir" search="DnsEntryItem/Host" document="DnsEntryItem"/>
<Content type="string">supervision.sactown.us</Content>
</IndicatorItem>
-<IndicatorItem id="c0127d50-6e90-4a19-b633-fb22144c2164" condition="contains">
<Context type="mir" search="DnsEntryItem/Host" document="DnsEntryItem"/>
<Content type="string">banking.techpool.org</Content>
</IndicatorItem>
-<IndicatorItem id="0589cac4-5299-4a72-9bf2-4c1a2c4c1921" condition="is">
<Context type="mir" search="PortItem/remoteIP" document="PortItem"/>
<Content type="IP">85.143.217.196</Content>
</IndicatorItem>
-<IndicatorItem id="ac339f97-82ef-49a7-a6f9-217aa285b5fd" condition="is">
<Context type="mir" search="PortItem/remoteIP" document="PortItem"/>
<Content type="IP">174.36.217.82</Content>
</IndicatorItem>
</Indicator>
</definition>
</ioc>

Disponemos de una API en Java y en Python para automatizar la lectura-descarga-publicación de contenidos.

Poco más que decir de otra buena iniciativa de la gente de Alien Vault que pone a disposición gratuitamente para la comunidad.

Espero que os guste, gracias por leerme.





viernes, 17 de julio de 2015

Crea tu propio SOC.MISP Malware Information Sharing Platform

Estimados amigos de Inseguros !!!


En el capítulo de hoy vamos a jugar un poco con MISP Malware Information Sharing Platform. Una herramienta que nos puede servir para controlar los análisis de amenazas que efectuamos en nuestros centros de operaciones de seguridad o SOC.


El concepto es un repositorio central de eventos de seguridad codificados en formato OpenIoc "friendly" en el que podemos crear información de valor sobre nuestras informaciones en materia de ciberseguridad.


El objetivo del proyecto principal es el de compartir la información, pero una de las cosas que más me ha gustado es su capacidad para crear reglas para Snort/Suricata rapidamente.

Para realizar la práctica de hoy vamos a partir de una instalación de centos 7 minimal. En mi caso sobre un humilde virtualbox. En la documentación está todo explicado a la perfección.

Una vez instalado el framework vamos a realizar una gestión básica con una amenaza.


Supón que estás trabajando en la monitorización de eventos, con un siem, un log o cualquier herramienta de eventos. Imagina que detectas una botnet escaneando un fallo en varios equipos.

Tus sistemas de seguridad han funcionado en la detección, pero quieres registrar el evento para comprobarlo o compartirlo con otras empresas o analistas.

Vamos a crear un evento sencillo:


Puedes indicar la visibilidad del evento, para tu organización, para tus organizaciones "amigas" o para todo el mundo. De momento no importa este detalle.
Calificamos el nivel y estado del evento y escribimos una pequeña descripción. En el caso de muestras de malware podríamos adjuntar en este punto el fichero zip en formato GFI.


Añadimos un atributo como la ip de origen del evento e indicamos que queremos tener el dato disponible para IDS.

Bajo este punto podríamos incluir más información como adjunto, o incluso un fichero OpenIOC que podamos haber obtenido de una fuente externa, como pueda ser OTX2 de Alienvault o cualquier otro repositorio.

Vamos a publicar el evento.

Podemos indicar que queremos descargarlo en cualquier de los innumerables formatos que ofrece.


Elegimos una regla Snort y vemos el resultado:

alert ip 2.56.45.45 any -> $HOME_NET any (msg: "MISP e6 Incoming From IP: 2.56.45.45";   classtype:trojan-activity; sid:2841; rev:1; priority:3; reference:url,misp/events/view/6;) 

No muy descriptivo, ya veremos como solucionarlo...

Ahora vamos a crear un evento en el que el origen o destino sea un dominio malicioso, para comprobar la exportación de la regla.

alert udp any any -> any 53 (msg: "MISP e7 Domain: www.cacadelavaca.com"; content:"|01 00 00 01 00 00 00 00 00 00|"; depth:10; offset:2; content:"|03|www|0c|cacadelavaca|03|com|00|"; fast_pattern; nocase;  classtype:trojan-activity; sid:2851; rev:1; priority:1; reference:url,misp/events/view/7;) 
alert tcp any any -> any 53 (msg: "MISP e7 Domain: www.cacadelavaca.com"; content:"|01 00 00 01 00 00 00 00 00 00|"; depth:10; offset:2; content:"|03|www|0c|cacadelavaca|03|com|00|"; fast_pattern; nocase; flow:established;  classtype:trojan-activity; sid:2852; rev:1; priority:1; reference:url,misp/events/view/7;) 
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: "MISP e7 Outgoing HTTP Domain: www.cacadelavaca.com"; flow:to_server,established; content: "Host|3a|"; nocase; http_header; content:"www.cacadelavaca.com"; nocase; http_header; pcre: "/(^|[^A-Za-z0-9-])www\.cacadelavaca\.com[^A-Za-z0-9-\.]/H"; tag:session,600,seconds; classtype:trojan-activity; sid:2853; rev:1; priority:1; reference:url,misp/events/view/7;) 

Otra de las cosas que podemos hacer es exportar la información en un simple fichero de texto delimitado, para importarlo en algún firewall o sistema de prevención.


Le damos a generar la información y pinchamos el campo que queremos y lo tenemos.

En otro episodio probaremos con otro servidor e intentaremos compartir los datos entre distintas instalaciones filtrando los eventos que nos interesan.

Espero que os sirva de ayuda, gracias por leerme !!!

martes, 7 de julio de 2015

Quien vigila a quien te vigila...

Estimados amigos de Inseguros !!!

No puedo dejar pasar la ocasión para manifestar mi asombro ante la noticia del momento de ayer del hackeo de la empresa Hacking Team, una de las mejor posicionadas en el mercado Italiano, y sospecho que a nivel internacional.


"Un amigo" que conoce a otro amigo que sabe BUSCAR EN GOOGLE ha encontrado los 400gb de información PRIVADA y SENSIBLE de esta empresa.

Es increíble la información que aparece, me dice mi amigo. Desde mapas de red pre-post firewall, radius account, docs privados, pasaportes, conversaciones de correo con organismos públicos, licencias de software, exploits, zero-days,  backups de sharepoint, etc etc etc.

Esta empresa es de las que vende software para el espionaje a gobiernos y cuerpos de seguridad del estado, de varios estados...



Como os podes imaginar, esta información no solo TUMBA la reputación y posiblemente el negocio de esta empresa, sino que TUMBA la seguridad de todos sus clientes, ya que en los documentos, ME CUENTAN que hay claves de root, claves de todo tipo de webservices, etc etc.

Imaginaros que aparecen los pentesting de empresas LIDERES en el mercado, de las bebidas, banca, automoción, seguros, etc.

En España se está regulando una ley de seguridad privada, que está dando mucho de que hablar, ya que no está muy claro como nos va a afectar a los auditores o apasionados de la seguridad que tenemos armas de destrucción masiva como NMAP en nuestros equipos, pero si que tiene algo bueno.


El marco regulador pretende establecer unas medidas de seguridad mínimas para las empresas que prestan servicios de seguridad. Esto ni mas allá soluciona el tema del hackeo de esta empresa, ya que por muchas medidas de seguridad que nos impongan, siempre habrá peligro, pero hay que reducir el impacto.

Imaginas una armería, vendiendo pistolas sin tener un armero con llave? te imaginas un banco que no tiene caja fuerte?

La industria de la banca, adelantada siempre en esto de las tecnologías, hace tiempo que se rige por standares de seguridad. Por ejemplo, PCI-DSS para el comercio electrónico con tarjetas bancarias.

No es la panacea, pero desde luego no tiene nada que ver con LOPD, ISO, FISMA o cualquiera de las docenas de siglas que hay en el mercado. PCI-DSS me parece un marco realmente bueno para garantizar seguridad a las empresas en todos los niveles.

A los alumnos de un curso que estoy impartiendo les explico que aunque ellos naveguen a la página de Telepizza legítimamente, y no se dediquen a bajar "gatitas" de Internet, NADIE te da garantía de que Telepizza no ha sufrido un ataque y está infectando con Malware.

Espero que os sirvan estas pequeñas reflexiones sobre la importancia de regular la seguridad informática y sobre todo las empresas que prestan servicios. El daño está siendo muy grande.

Espero que os guste, gracias por leerme.

lunes, 6 de julio de 2015

Como conseguir el CEH v8 y no morir en el intento.

Estimados amigos de Inseguros.

Después de varias semanas estudiando y trabajando duro, vuelvo al blog.

En esta ocasión os voy a comentar varios temas sobre la certificación CEHv8 que gracias a no se qué, el sábado aprobé :-)


Antes de hablar de esta certificación en concreto, voy a comentar algunas cosas que me rondan la cabeza sobre el mundo de las certificaciones.

Una certificación sobre un producto o materia no te certifica como EXPERTO o GURU de la materia, TODO LO CONTRARIO, certifica que conoces los MINIMOS para manejar el producto o tecnología.

Muchos compañeros de trabajo o colegas de profesión me preguntan cosas al estilo: kino, tu que eres el certificados-men. La gente se cree que esas siglas representan el nivel dios del juego.conocimientos.
Respeto a la gente que no apoya la idea de "respaldar" tus conocimientos con certificaciones, pero también respeto a la gente que ESTUDIA y TRABAJA y se esfuerza en conseguirlas, y bajo mi criterio "selectivo" contrataría antes a alguien que cuenta con la certificación, antes que uno que no, estableciendo que ambos poseen mas o menos los mismos conocimientos. La certificación de cara a un reclutador que no puede medir tu nivel de conocimiento es la puerta de entrada.


La ENVIDIA y MALA LECHE española podría dar lugar a pensamientos negativos como los que leo en muchos post. Que lo importante es saber, aprender, conocer los productos, que el examen es solo un conjunto de siglas de cara al CV. Yo pienso que SI, que lo importante es dominar la materia, PERO SI TE LO PUEDES PERMITIR, por qué no hacer el examen?.

Conozco a MUCHAS personas que tienen la certificación "carnet de conducir" y no saben. Se saltan semáforos, van lentos/rápidos, aparcan mal, eligen la ruta más larga a un destino... Pero TODOS tenemos que tener esta certificación, que garantiza los MINIMOS para poder conducir, aunque no seas un gran piloto. Conozco casos ( de la televisión) de gente que corre en MOTOGP o F1 y no tienen carnet de conducir, correcto, pero no pueden conducir en la calle...

Dicho esto, si estás estudiando mejorando tu CV, sin duda, APARTE DE ESTUDIAR de verdad, te aconsejo las certificaciones.


Vamos con el CEH. Hay dos maneras de hacerlo, con curso (2000€) y por libre (600€). Yo me he decidido presentar por libre, por lo evidente... Eso si, piden de requisito más de 2 años de experiencia COMPROBABLE en el mundo de la seguridad. Cuando digo comprobable quiero decir que tienes que poner a alguien de contacto, y lo llaman para comprobarlo.

El proceso comienza pagando 100$ para el derecho a que revisen tu experiencia. Contactan con tu referencia y lo validan. Una vez validado, debes pagar los 500$ del examen, lo cual te da un Voucher para el centro examinador. Con ese código, entras a la web del examinador y agendas el examen en el centro que más te interese, a la hora de realizar el pago, introduces el Voucher y listo, examen programado.

El examen en si en CORREOSO, pesado. Son unas 130 preguntas las cuales debes conocer al 75%. Los errores no restan.

Las preguntas son tipo test con 4 o más respuestas, y en muchas ocasiones, respuesta múltiples.

El material para estudiarlo por libre debes conseguirlo con alguno de los muchos libros que existen. Yo he comprado varios y me parecen todos buenos.

Los dominios o áreas del examen son los siguientes:

Background
A networking technologies (e.g., hardware, infrastructure)
B webtechnologies (e.g., web 2.0, skype)
C systems technologies
D communication protocols
E malware operations
F mobile technologies (e.g., smart phones)
G telecommunication technologies
H backups and archiving (e.g., local, network)
4% 5
Analysis/Assessment
A data analysis
B systems analysis
C risk assessments
D technical assessment methods
13% 16
Security
A systems security controls
B application/fileserver
C firewalls
D cryptography
E network security
F physical security
G threat modeling
H verification procedures (e.g.,false positive/negative validation)
I social engineering (human factors manipulation)
J vulnerability scanners
K security policy implications
L privacy/confidentiality (with regard to engagement)
M biometrics
N wireless access technology (e.g., networking, RFID, Blue tooth)
O trusted networks
P vulnerabilities
25% 31
Tools/Systems/Programs
A network/host based intrusion
B network/wireless sniffers (e.g., WireShark, Airsnort)
C access control mechanisms (e.g., smart cards)
D cryptography techniques (e.g., IPsec, SSL, PGP)
E programming languages (e.g. C++, Java, C#, C)
F scripting languages (e.g., PHP, Java script)
G boundary protection appliances (e.g., DMZ)
H network topologies
I subnetting
J port scanning (e.g., NMAP)
K domain name system (DNS)
L routers/modems/switches
M vulnerability scanner (e.g., Nessus, Retina)
N vulnerability management and protection systems (e.g., Foundstone, Ecora)
O operating environments (e.g., Linux, Windows, Mac)
P antivirus systems and programs
Q log analysis tools
R security models
S exploitation tools
T database structures
32% 40
Procedures/Methodology
A cryptography
B public key infrastructure (PKI)
C Security Architecture (SA)
D Service Oriented Architecture (SOA)
E information security incident management
F N-tier application design
G TCP/IP networking (e.g., network routing)
H security testing methodology
20% 25
Regulation/Policy
A security policies
B compliance regulations (e.g., PCI)
4% 5
Ethics
A professional code of conduct
B appropriateness of hacking activities
2% 3

Como puedes comprobar, el temario es bastante completo. Aquí os dejo algunos consejos para que repases todo lo que puedas. Por motivos contractuales no puedo revelar preguntas concretas, pero si una guía:


Handshake TCP: Debes conocerlo a la perfección. A nivel Wireshark debes ser capaz de identificar todos los pasos, flags, seq. order, ttl etc.


PORTSCAN NMAP: Lo mismo, debes conocer TODOS los TIPOS de escaneos de puertos que ofrece NMAP y hping2, a nivel detallado, no el comando, sino lo que ocurre a nivel paquetes.

LEYES: Debes conocer todas las agencias y organismos reguladores, certificadores, etc que intervienen en el juego.
CIFRADO: Muchas preguntas sobre cifrado simétrico/asimétrico, hashes etc.


BUFFER OVERFLOW: Debes de ser capaz de interpretar cualquier payload en wireshark o similar para detectat qué tipos de ataques o actividades se preguntan.

SQL&XSS&CSRF: No son preguntas muy avanzadas, algo de format string, de parameter pollution, de cross site scripting, desde el punto de vista del ataque y la defensa.


PUERTOS-Virus: Muchas preguntas de well know ports y virus conocidos, con sus correspondientes payloads

Lo dicho, es un examen aburrido de preparar, porque si incluso estás trabajando como pentester y manejas mucha información de la qué preguntan, es tedioso "destripar" los payloads, y sobre todo, recordar TODO lo de redes TCP/IP que estudiaste hace años, trazar rutas, identificar TTL, secuencias erróneas. Es más, creo que la base del examen es la parte de networking, y no la de aplicaciones web, por lo que si tu trabajo esta orientado a esta última parte, deberás repasarte alguno RFC básico de redes.

Espero que os sirva de ayuda para presentaros, o simplemente animaros a que lo hagáis.

Yo espero prepararme otra para antes de otoño, espero certificarme para AlienVault ( AlienVault Certified Security Engineer).

Gracias por leerme, disfruta del verano !!!!!!!!!!!!


miércoles, 27 de mayo de 2015

Se cariñoso...mima tus sistemas IT

Estimados amigos de Inseguros!!!

Hace poco he participado en un proyecto público para el cambio de varios equipos de electrónica de red, en concreto firewall´s. Antes ya pensaba lo mismo, pero como lo tengo reciente se me ha ocurrido reflexionar sobre ello.

Hablo del concepto de MIMAR tus sistemas, tratarlos bien, configurarlos con cariño...


Como todo en la vida, lo que haces con gusto, con cariño, con pasión, casi siempre suele tener mejores resultados que lo que haces a disgusto.

A lo largo de mi vida se me han presentado empresas con proyectos IT de todo tipo. Desde una centralita de telefonía, un  hardware cualquiera, ERP, etc etc. Con el tiempo, he aprendido a encontrar proveedores que se adaptan al volumen de mi organización. Por ejemplo, si necesitas un ERP para una empresa de 200 personas, no compras SAP, el lider mundial, ni tampoco compres un software freeware en softonic o similares. Como veis, he mezclado proveedores y productos.

Una cosa es el producto en si, y otra muy distinta la empresa que lo implementa. El coste medio de un proyecto suele ser 50/50 licencias/hardware y servicios de instalación,soporte, etc.

Vamos a poner ejemplo "mega-empresa".

Mega Empresa.

El proveedor que te presenta el presupuesto del proyecto en 50 folios, a color !!! en un dossier, con una portada, una introducción a la empresa, su misión,valores, etc. Una descripción ejecutiva, para que el gerente la entienda. Un sin fin de imágenes de ejemplo, las que quiere el jefe, gráficas, report, control, seguridad, productividad, etc... Suelen acompañar un time-line de la ejecución del proyecto, en el que se explica de forma gráfica las fases y fechas. Por último, si tenemos suerte, nos envían el presupuesto !!! Ampliamente detallado, con horas asignadas para el director del proyecto, otras para soporte, otras para implementación técnica, formación, reuniones de seguimiento y un montón de cosas.
Al parecer, estas empresas hacen bien su trabajo...SI, si fuera cierto.

La realidad es que esas grandes empresas, con la escusa de que forman a los técnicos, y la crisis que existe, posiblemente pague 1200€ a los técnicos, como mucho. Tenemos un handicap ahí que es la motivación del empleado. Otro handicap es que una persona que realmente controla sobra una tecnología, sea la que sea, no cobra 1200€ o no al menos por mucho tiempo.

Al final ese proyecto fabuloso que te entregan, es un copia y pega hecho para TODOS los clientes, en donde solo cambia lo que a MI me interesa, precio de equipo/licencias y servicios. La persona que va a venir a mi empresa a instalarlo será ese técnico infravalorado o sobrevalorado...

El resultado suele que con suerte, todo funcionará, y todo irá en plazos y precios presupuestados. Puede ser que por cualquier motivo, el presupuesto se desvíe al alza, es lógico, siempre pago yo, ellos nunca pierden.


La gracia de todo esto es que cuando tu gerente quiere ver esos gráficos, esos informes, suele pasar que no se compró ese modulo, pero si que pusieron la foto. Hay que pagar. En el 90 % de los casos el problema es interno, organizativo, de las personas. Si queremos tener BUENA CALIDAD en los datos, debemos meter BUENA CALIDAD  en los datos. Por ejemplo, si tu administrativo NO tiene problemas con meter la dirección de un cliente bien, con comas, puntos, nombres exactos, etc, tendrás un buen Output. Si tu administrativo es un PATAN y mete toda la dirección de golpe, o se le suele olvidar el código postal, o cualquier cosa, el OUTPUT de ese programa tan mágico no será el que ofertaron en la foto. Esto es un ejemplo, se me ocurren MILES de casos en los que una organización no está preparada para un proyecto así, pero se compra el software, hardware, servicios y al final mueren en la parte interna.


Vuelvo SIEMPRE a lo mismo, Procesos, Personas y Tecnología.

Entonces, como conclusión de todo esto, mi elección en el proveedor no su basa en la calidad del presupuesto, sino en lo que SE de ellos. Si tienen buenos técnicos, malos, si conozco a alguien, me informo, los audito por encima ( xD )  para ver si realmente son tan buenos como parecen.

Que no me pase como una empresa que quería darme trabajo para LOPD y antes de entrar por la puerta, ya tenían un "kinomakino" en una carpeta de sus servidores...

Cuando instalas un Firewall CISCO, CHECKPOINT, FORTINET, MIKROTIK, etc, ellos te dan una base hardware/software para configurarlo. El instalador te configurará unas reglas, las que te proporcionan acceso a Internet, y te protegen o mejor dicho te Natean puertos internos-externos para tus servicios públicos. PUNTO. Esto para mi es REDES no es SEGURIDAD.

Si no realizas una labor posterior de configuración, de MIMOS, de cuidados al firewall, seguirás expuesto a los riesgos de ahora, IGUAL que con un firewall menor.

Tienes que implementar reglas anti-ddos, las que van saliendo. Tienes que implementar blacklist tanto de entrada COMO DE SALIDA, por ejemplo, para que si se infectan con un programa que se comunica con el exterior a un C&C, ejemplo virus CORREOS, no se produzca dicha conexión. Tienes que gestionar si vas a habilitar el bloqueo de la red TOR o no. Tienes que gestionar un botón del pánico para mitigar ataques de ddos basados en países. Todo esto es Firewall, no es UTM, no IDS, son acciones de configuración que debemos realizar periódicamente en nuestro sistema Firewall.

Repasar los logs !!! que bien, miles y miles de lineas con eventos, vamos a encontrar algo? vamos a tener que definir que acciones DROP o ACCEPT van a generar log?.

Como ves, para el caso concreto del Firewall, un cambio de hierro por hierro, reglas por reglas. NO VA A MEJORAR LA SEGURIDAD  DE LA EMPRESA, por lo que no sirve el manual, las pantallas bonitas en el presupuesto. No vas a necesitar la dirección de nadie.

No soy partidario, como podéis imaginar, de acudir a los Vendors o los fabricantes de hardware directamente si lo que necesitas son servicios. Mas vale tener precio para el hardware, y buscar una empresa que de esos servicios de CALIDAD. Si no lo encuentras, quizás sea mas barato formarte tu, certificarte en el producto. No creas que cuando te venden las horas de Expertos, esa persona es más experta que tú. Tendrá mas experiencia, porque lo hace todos los días, pero si SIEMPRE hace lo mismo, y no le da CARIÑO a sus despliegues, con poco que estudies y te preocupes, conseguirás mejores resultados.

Espero que reflexiones sobre esto a la hora de gestionar una compra. Es más comodo delegar todo en el proveedor, pero esto significa peores resultados.

Si tienes hardware/software en uso, y estás pensando en cambiarlo, piensa primero que esperas de esa cambio, y sobre todo, que cambio es necesario. Todos queremos un hierro nuevo para jugar, pero a veces con el que tenemos podemos conseguir resultados parecidos a los obtenidos con el nuevo juguete, sin que eso conlleve el gasto.

Espero que os guste la reflexión.

Y ahora digo yo, ¿MIMAS TUS SISTEMAS? xD




Related Posts Plugin for WordPress, Blogger...