cert/csirt's tools: con las manos en la masa
TRANSCRIPT
####################################################################
Taller: CERT/CSIRT's tools : Con las manos en la masa
Ponentes: Borja Guaita, Alex Gimenez y Jordi Guijarro.
Resumen: La comunidad CERT/CSIRT no solo se caracteriza por la alta cooperaciónentre equipos de respuesta frente a incidentes sino también por participación de proyectosinternacionales y el desarrollo de herramientas abiertas en el ámbito de la cyberseguridad. Descarga la imagen de disco con todo lo necesario para la realización del taller (VirtualBox):
ftp://ftp.csuc.cat/NCN/csirt-tools.zip
Material previo que puede resultar interesante consultar:
CERT/CSIRT - What is it all about? https://www.enisa.europa.eu/activities/certCommon tools for CERTs - https://www.enisa.europa.eu/activities/cert/support/chiht
####################################################################
IMAGEN DE DISCO (VIRTUALBOX)ftp://ftp.csuc.cat/NCN/csirt-tools.zip
WhoamI
CSUC-CSIRT: Security services for Catalan R&E community
[email protected]@[email protected]
NcN, 11/12/2015
Agenda
CSUC-CSIRTEcosistema de herramientasEcosistema de herramientas Gestión de incidentes con RTIRTratamiento de feeds con INTELMQNetwork Forensics y la pareja
NFDUMP/NFSENQ&A
New Catalan Universities services consortium (formerly known as CESCA)
Focused to Research and Education agents
Focused to Research and Education agents
Our services
Security Services: CSUC-CSIRT
http://www.csuc.cat/en/communications/security/incident-response-team
Security incidents statistics
2012 2013 2014
Abusive content 40% 20% 33%
Availability 2% 5% 6%
Fraud 7% 14% 7%
Malware 19% 27% 24%
Information rec.. 4% 5% 4%
Data Security 5% 5% 2%
Intrusion 4% 2% 6%
Intrusion Attempt 16% 8% 8%
Other 3% 12% 10%
Total Crítical High Medium Low
2012 660 2% 11% 19% 68%
2013 410 3% 4% 13% 79%
2014 689 12% 2% 10% 76%
0
20
40
60
80
100
120
140
G F M A M J J A S O N D
Collaboration
HOMEMADEFEEDS
HUB
Ecosystem of tools
INTELMQ +HOMEMADE
FEEDS HUB
Proactive monitoring workflow and tools
RTIR
Logs correlation
External feeds placed together
RTIRRequest tracker for Incident Response
Qué es RTIR? Es un sistema de tiqueting para la gestión de
incidentes RTIR es RT con más funcionalidades y una
configuración especial. Nos ayuda a hacer un seguimiento de los
incidentes y nos hace más fácil la gestión de estos.
Estructura del RTIR: Basado en cuatro colas principales
Incidents Requests Incidents Investigations Blocks
Acceso a la gestión de las colas mediante permisos de usuarios i/o grupos
Funcionalidades extra mediante ”plugins”
Otras características: Campos y estructura personalizables Base de datos de conocimientos Detección automática de IPs y dominos con enlace
a las herramientas asociadas Creación de reports Open source
Ciclo de un incidente: Normalmente empezaría con una o varias
peticiones de incidente mediante llamada telefónica, correo, web, etc. en la cola ”Incident Report”
Una vez recibidos las peticiones de incidentes el equipo gestionará y clasificará estos en la cola ”Incidents”.
Tenemos la opción de crear un incidente a partir de una o varias peticiones.
A partir de aquí se valorará si abrir una investigación (cola ”Investigatios”)
Por último se puede crear una petición de bloqueo de IPs. Esto se realizaria en la cola ”Blocks”
Links: http://bestpractical.com/rtir
IntelMQ & IntelMQ Manager
IntelMQ = Thread Intel feeds + Message Queueing system
Herramienta orientada a: Recolección automática de eventos/incidentes Procesamiento de los eventos Envio de los resultados en diferentes formatos de
salida.
Basado en colas (Message Queues), redis, RabbitMQ, zmq
Fácil de configurar y modificar (python) Configuración mediante GUI (IntelMQ Manager) Ofrece una forma fácil de enviar los datos hacia
recolectores de logs tipo Splunk, ElastiSearch o bases de datos.
OpenSource
Click to add Title
Estructura de IntelMQ Bots individuales para cada tarea Ficheros de configuración:
runtime.conf: Parámetros de los bots startup.conf: Bots configurados en el arranque BOTS: Plantillas de todos los bots pipeline.conf: Describe como estan
interconectados los bots
Outputs: Splunk, ElasticSearch, PostgreSQL, MongoDB, fichero de texto...
IntelMQ Dataflow:
Añadiendo mejoras a los resultados (Expert bots)
ASN lookup Abuse contact Whois Deduplicación y filtros GeoIP DNS lookups
Links:
https://github.com/certtools/intelmq https://github.com/certtools/intelmq-manager https://www.enisa.europa.eu/activities/cert/support/i
ncident-handling-automation
SmartxAC Platform
SMARTxAC is the collaboration between UPC BarcelonaTech (CCABA) and CSUC
L7 'space' (Apps Universe)
¿Qué es?
Es una interfaz gráfica para NFDUMP
NFDUMP: conjunto de herramientas para recopilar y procesar datos de nuestros equipos, mayoritariamente mediante los protocolos NetFlow y Sflow en línea de comandos. Parte del proyecto NfSen.
Distribuido bajo licencia BSD.
http://nfsen.sourceforge.net/
NFSEN
¿Qué nos permite?
-Navegar con facilidad por los datos proporcionados por nuestros equipos.
-Procesar los datos dentro de una ventana de tiempo.
-Crear archivos históricos y perfiles continuos.
-Configurar alertas basadas en ciertas condiciones.
-Escribir sus plugins propios para procesar los flujos cada cierto tiempo.
NFSEN
nfcapd - netflow capture daemon. Reads the netflow data from the network and stores the data into files.
nfdump - netflow dump.Reads the netflow data from the files stored by nfcapd
NFSEN - Arquitectura
NFSEN
NFSEN - Timeslot 2 semanas:
NFSEN - Stat TopN “proto udp”
NFSEN – Para qué lo podemos utilizar????
- para conocer qué tráfico y qué nodos estaban activos en un momento específico o en una ventana de tiempo.
- para ver el tráfico de entrada/salida entre AS, tráfico entre IPs o puertos fuente/destino
- identificar los protocolos más usados
En base a ésto podremos tomar decisiones.
NFSEN – Lab
- Para probar NFSEN podemos generar tráfico mediante “fprobe”:
/usr/sbin/fprobe -ieth0 -fip localhost:9995
o bien mediante otras herramientas gráficas:
Nfsen + Cymru “power” -> Flow Sonar
ROADMAP!
Dzięki!Dzięki!Thanks!Thanks!Gracias!Gracias!Gràcies! Gràcies!
CSUC-CSIRT ([email protected])
Q & A time