####################################################################

Taller: CERT/CSIRT's tools : Con las manos en la masa

Ponentes: Borja Guaita, Alex Gimenez y Jordi Guijarro.

Resumen: La comunidad CERT/CSIRT no solo se caracteriza por la alta cooperaciónentre equipos de respuesta frente a incidentes sino también por participación de proyectosinternacionales y el desarrollo de herramientas abiertas en el ámbito de la cyberseguridad. Descarga la imagen de disco con todo lo necesario para la realización del taller (VirtualBox):

ftp://ftp.csuc.cat/NCN/csirt-tools.zip

Material previo que puede resultar interesante consultar:

CERT/CSIRT - What is it all about? https://www.enisa.europa.eu/activities/certCommon tools for CERTs - https://www.enisa.europa.eu/activities/cert/support/chiht

####################################################################

IMAGEN DE DISCO (VIRTUALBOX)ftp://ftp.csuc.cat/NCN/csirt-tools.zip

WhoamI

CSUC-CSIRT: Security services for Catalan R&E community

borja.guaita@csuc.catalex.gimenez@csuc.catjordi.guijarro@csuc.cat

eriac@csuc.cat

NcN, 11/12/2015

Agenda

CSUC-CSIRTEcosistema de herramientasEcosistema de herramientas Gestión de incidentes con RTIRTratamiento de feeds con INTELMQNetwork Forensics y la pareja

NFDUMP/NFSENQ&A

New Catalan Universities services consortium (formerly known as CESCA)

Focused to Research and Education agents

Focused to Research and Education agents

Our services

Security Services: CSUC-CSIRT

http://www.csuc.cat/en/communications/security/incident-response-team

Security incidents statistics

2012 2013 2014

Abusive content 40% 20% 33%

Availability 2% 5% 6%

Fraud 7% 14% 7%

Malware 19% 27% 24%

Information rec.. 4% 5% 4%

Data Security 5% 5% 2%

Intrusion 4% 2% 6%

Intrusion Attempt 16% 8% 8%

Other 3% 12% 10%

Total Crítical High Medium Low

2012 660 2% 11% 19% 68%

2013 410 3% 4% 13% 79%

2014 689 12% 2% 10% 76%

0

20

40

60

80

100

120

140

G F M A M J J A S O N D

Collaboration

HOMEMADEFEEDS

HUB

Ecosystem of tools

INTELMQ +HOMEMADE

FEEDS HUB

Proactive monitoring workflow and tools

RTIR

Logs correlation

External feeds placed together

RTIRRequest tracker for Incident Response

Qué es RTIR? Es un sistema de tiqueting para la gestión de

incidentes RTIR es RT con más funcionalidades y una

configuración especial. Nos ayuda a hacer un seguimiento de los

incidentes y nos hace más fácil la gestión de estos.

Estructura del RTIR: Basado en cuatro colas principales

Incidents Requests Incidents Investigations Blocks

Acceso a la gestión de las colas mediante permisos de usuarios i/o grupos

Funcionalidades extra mediante ”plugins”

Otras características: Campos y estructura personalizables Base de datos de conocimientos Detección automática de IPs y dominos con enlace

a las herramientas asociadas Creación de reports Open source

Ciclo de un incidente: Normalmente empezaría con una o varias

peticiones de incidente mediante llamada telefónica, correo, web, etc. en la cola ”Incident Report”

Una vez recibidos las peticiones de incidentes el equipo gestionará y clasificará estos en la cola ”Incidents”.

Tenemos la opción de crear un incidente a partir de una o varias peticiones.

A partir de aquí se valorará si abrir una investigación (cola ”Investigatios”)

Por último se puede crear una petición de bloqueo de IPs. Esto se realizaria en la cola ”Blocks”

Links: http://bestpractical.com/rtir

IntelMQ & IntelMQ Manager

IntelMQ = Thread Intel feeds + Message Queueing system

Herramienta orientada a: Recolección automática de eventos/incidentes Procesamiento de los eventos Envio de los resultados en diferentes formatos de

salida.

Basado en colas (Message Queues), redis, RabbitMQ, zmq

Fácil de configurar y modificar (python) Configuración mediante GUI (IntelMQ Manager) Ofrece una forma fácil de enviar los datos hacia

recolectores de logs tipo Splunk, ElastiSearch o bases de datos.

OpenSource

Click to add Title

Estructura de IntelMQ Bots individuales para cada tarea Ficheros de configuración:

runtime.conf: Parámetros de los bots startup.conf: Bots configurados en el arranque BOTS: Plantillas de todos los bots pipeline.conf: Describe como estan

interconectados los bots

Outputs: Splunk, ElasticSearch, PostgreSQL, MongoDB, fichero de texto...

IntelMQ Dataflow:

Añadiendo mejoras a los resultados (Expert bots)

ASN lookup Abuse contact Whois Deduplicación y filtros GeoIP DNS lookups

Links:

https://github.com/certtools/intelmq https://github.com/certtools/intelmq-manager https://www.enisa.europa.eu/activities/cert/support/i

ncident-handling-automation

SmartxAC Platform

SMARTxAC is the collaboration between UPC BarcelonaTech (CCABA) and CSUC

L7 'space' (Apps Universe)

¿Qué es?

Es una interfaz gráfica para NFDUMP

NFDUMP: conjunto de herramientas para recopilar y procesar datos de nuestros equipos, mayoritariamente mediante los protocolos NetFlow y Sflow en línea de comandos. Parte del proyecto NfSen.

Distribuido bajo licencia BSD.

http://nfsen.sourceforge.net/

NFSEN

¿Qué nos permite?

-Navegar con facilidad por los datos proporcionados por nuestros equipos.

-Procesar los datos dentro de una ventana de tiempo.

-Crear archivos históricos y perfiles continuos.

-Configurar alertas basadas en ciertas condiciones.

-Escribir sus plugins propios para procesar los flujos cada cierto tiempo.

NFSEN

nfcapd - netflow capture daemon. Reads the netflow data from the network and stores the data into files.

nfdump - netflow dump.Reads the netflow data from the files stored by nfcapd

NFSEN - Arquitectura

NFSEN

NFSEN - Timeslot 2 semanas:

NFSEN - Stat TopN “proto udp”

NFSEN – Para qué lo podemos utilizar????

- para conocer qué tráfico y qué nodos estaban activos en un momento específico o en una ventana de tiempo.

- para ver el tráfico de entrada/salida entre AS, tráfico entre IPs o puertos fuente/destino

- identificar los protocolos más usados

En base a ésto podremos tomar decisiones.

NFSEN – Lab

- Para probar NFSEN podemos generar tráfico mediante “fprobe”:

/usr/sbin/fprobe -ieth0 -fip localhost:9995

o bien mediante otras herramientas gráficas:

Nfsen + Cymru “power” -> Flow Sonar

ROADMAP!

Dzięki!Dzięki!Thanks!Thanks!Gracias!Gracias!Gràcies! Gràcies!

CSUC-CSIRT (eriac@csuc.cat)

Q & A time