En este momento, ya deberemos tener absolutamente configurado el Kismet (detector de intrusos vía red inalámbrica) tal y como se explicó aquí. Lo que sigue es claramente la integración con la plataforma AlienVault USM. Para tal propósito, el servicio de sensor de AlienVault deberá interpretar los logs  que hemos generado desde la máquina en la que hemos

Splunk Bits: Como uso mi Licencia

Jueves, 24 julio 2014 por

En esta ocasión vamos a ver como crear un Dashboard/Panel que nos permita saber como estamos usando la licencia de Splunk, que tipo de log esta consumiendo todos mis recursos, tal vez pueda hacer algo al respecto desde adquirir una licencia mas grande o simplemente eliminar esos logs y entonces no tener Avisos “Warnings” sobre

Kismet es un detector de redes inalámbricas capaz de monitorizar el tráfico inalámbrico (provisto que los drivers de la tarjeta de red sean los correctos) y detectar intrusos en estas redes, empleando cualquier tarjeta de red que esté en capacidad de trabajar en modo monitor.

En nuestro caso, para la configuración inicial de Kismet es necesario asociar a la configuración de la herramienta la tarjeta de red externa para monitorizar el medio de transmisión (el aire), activar la funcionalidad de auditoría del propio Kismet y por último, asociar la dirección IP del sensor y especificar la ruta donde se almacenarán los logs de auditoría de Kismet en el mismo.

En el caso de la implementación integrada a una plataforma AlienVault USM, y con propósitos de simplificación de la configuración pertinente, usaremos una máquina con la última versión de Kali Linux, en la cual toda la configuración de Kismet para el funcionamiento en modo monitor está hecha de antemano, y en cualquier caso, si se necesitaran configuraciones adicionales, siempre podremos pinchar aquí.

Es crucial la configuración de Logging de Kismet en el origen de los posibles eventos, toda vez que es precisamente ésta la información que permite conocer cualquier ataque a la infraestructura de red. En particular, la opción “logtemplate” permite establecer el formato del nombre de log que generará Kismet para todos los registros de actividad.  Dicha opción deberá ser modificada en kismet.conf para lucir de la siguiente forma:

logtemplate=%p%n%l

De tal forma que con un prefijo como /var/log tendremos un log de la forma

/var/log/Kismet.netxml

Kismet puede generar varios tipos de alertas diferentes en respuesta a posibles ataques, detallados de la siguiente forma:

APSPOOF: Spoofing, APs que responden a todas las solicitudes
BSSTIMESTAMP: APs duplicados, secuencias BSS incorrectas en un ataque.
CHANCHANGE: APs que cambian súbitamente de canal.
CRYPTODROP APs que cambian su nivel de cifrado a uno inferior al previo.
DEAUTHFLOOD Desautenticación de clientes por inundación de paquetes.
BCASTDISCON Desautenticación de clientes por broadcast de paquetes de desasociación y desautenticación.
DHCPCLIENTID Ataque al pool DHCP mediante paquetes DISCOVER falseados.
DHCPCONFLICT Cliente que usa una dirección IP diferente a la asignada por el DHCP.
DISASSOCTRAFFIC Cliente que inyecta tráfico a pesar de no estar asociado a la red.
DISCONCODEINVALID Código inválido de desconexión.
DEAUTHCODEINVALID Deauth Reason code inválido por parte de un cliente.
DHCPNAMECHANGE Cambio de nombre asignado por el DHCP.
DHCPOSCHANGE Cambio de sistema operativo en un cliente.
LONGSSID SSID con tamaño superior a 32 bytes.
MSFBCOMSSID Vulnerabilidad en sistemas windows viejos, tarjetas Broadcom.
MSFDLINKRATE Vulnerabilidad en sistemas windows viejos, tarjetas D-Link.
MSFNETGEARBEACON Vulnerabilidad en sistemas windows viejos, tarjetas Netgear.
NULLPROBERESP Paquetes con SSID nulo, en algunas tarjetas ocasiona DoS.
PROBENOJOIN Paquetes tipo Probe, sin que el cliente se asocie nunca a una red.

Una vez listo el dispositivo Kismet, deberá ejecutarse el servicio de monitorización en la siguiente forma:

/usr/bin/kismet_server -l xml -t kismet -f /etc/kismet/kismet.conf 2>&1 | logger -t kismet -p local7.1

De forma tal que la salida de ejecución de Kismet se escriba hacia el sistema de Syslog de la plataforma Kali Linux. De otro lado, deberá configurarse el reenvío de los logs generados por Kismet hacia el servidor AlienVault, poniendo un filtro de syslog en la configuración de la plataforma de detección.

~#echo “*.* @ip_alienvault_USM” >> /etc/rsyslog.d/kismet.conf

Con esto, tendremos lista la detección de comportamientos sospechosos en las redes inalámbricas circundantes. En el servidor AlienVault deberemos recibir constantemente los registros de actividad del kismet, como lo muestra la siguiente imagen.

Logs de kismet en la plataforma Alienvault.

Configurada la detección, en la siguiente entrada veremos la integración con AlienVault USM a través de un plugin de detección y las pruebas correspondientes a realización de algunos ataques típicos a redes inalámbricas.

Cheers 😉

 

 

 

En las organizaciones se mantienen múltiples y diversos tipos de datos con estructuras que interesa monitorear en un lenguaje claro; los tipos de datos contienen códigos, números o claves extrañas que no son fáciles de leer y no nos permiten identificar que es lo sucede a primera vista en el entorno. Para ello se requieren

Una vez desplegada AlienVault usando un puerto mirror y estar monitorizando la infraestructura lo único que tenemos que hacer es mirar  algunas alarmas con AlienVault USM en su versión Profesional, las cuales podemos ubicar en la sección de Alarms: La podemos indentificar como “AV Policy violation, vulnerable Adobe Flash detected on ServerX&Y“ Al ver los

A3Sec acaba de desarrollar un pack de monitorización para dar soporte a los dispositivos de la marca Teldat en la herramienta de supervisión de red WOCU. Gracias a la colaboración conjunta entre ambas empresas, WOCU es la primera herramienta del mercado con soporte de fábrica para la monitorización exhaustiva de dispositivos de red Teldat.  

Hoy en día que a menudo escuchamos sobre la información comprometida de las grandes y pequeñas corporaciones, ataques de hackers, vulnerabilidades, espionaje, cloud, etc….. Y como realmente no nos podemos proteger de lo que no podemos ver, aquí una pequeña lista de herramientas para cifrar nuestros datos. Cifrado de Discos 1.- BitLocker es una perfecta herramienta para los

Determinar quien? o que está autorizado a obtener acceso a la red es una cuestión que nace desde la concepción del Internet, poder decidir quién tiene acceso es fundamental, la Autentificación, Autorización y el manejo de cuentas en ingles (Authentication, Authorization, Accounting, AAA) es una metodología que pretende resolver tres preguntas fundamentales de los accesos

Las infraestructuras de conectividad inalámbrica en la actualidad han alcanzado un nivel de despliegue técnico tal que nos hemos habituado a una presencia ubicua de las mismas. Centros comerciales, restaurantes, bares, cafés, aeropuertos, estadios… prácticamente en todos los lugares en donde se concentra una cantidad apreciable de potenciales usuarios existe un punto de conectividad a

SUBIR