tag:blogger.com,1999:blog-5399811056563385935.post4089985193559826767..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Construyendo tu Host IPS a medidaYago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger9125tag:blogger.com,1999:blog-5399811056563385935.post-21952327660484733142010-11-25T18:06:26.823+01:002010-11-25T18:06:26.823+01:00Pues yo sigo, para analizar entradas en ficheros d...Pues yo sigo, para analizar entradas en ficheros de log, viendo ésto parecidísimo al fail2ban y su /etc/fail2ban/filter.d/<br /><br />Pero bueno, siempre está bien tener más de una opción para algo.<br /><br />Saludos.SiDnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-61245553604442847562010-11-25T01:40:19.269+01:002010-11-25T01:40:19.269+01:00@Anónimo1 (Manolo) -> Muchas gracias. La idea e...@Anónimo1 (Manolo) -> Muchas gracias. La idea es esa, complementar sistemas de protección genéricos con mecanismos "ad hoc" para cada caso.<br /><br />@Iñaki R. -> Conozco ambas herramientas y son muy potentes. De SEC sorprende la flexibilidad para correlar y reaccionar a nuestro gusto.<br /><br />@Sid -> Se parece pero este al ser hecho a mano te permite que, uses lo que uses, puedas bloquear según tus propios patrones<br /><br />@Anónimo2 (TCH) -> Coincido contigo en la contestación a Sid. La idea es poder ampliarlo cuanto quieras. Y si mañana quieres añadir un servicio nuevo, simplemente programas el patrón nuevo y creas un thread nuevo. Este tipo de soluciones yo creo que nunca está de más el poder contar con gente que las pueda hacer en un departamento de seguridad. Va más allá de la utilización de los productos "comprados" para resolver problemas y puede dar lugar a soluciones creativas que pueden sacar de un atolladero en un momento dado. Algún día de estos contaré cómo Yago y yo ayudamos a mitigar el virus MyDoom (allá por el 2003) en un ISP para el que trabajábamos...<br /><br />@Ramandi -> Me alegro que te haya gustado este post... y los demás. La idea es precisamente esa, que los lectores disfruten leyéndolos, casi casi tanto como nosotros escribiéndolos :D<br /><br />Gracias a todos por vuestros comentarios y opiniones!Lorenzo Martínezhttps://www.blogger.com/profile/01754634415587750581noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-79117961855208719632010-11-24T18:22:16.401+01:002010-11-24T18:22:16.401+01:00Muy chulo el artículo... bueno, como todos los que...Muy chulo el artículo... bueno, como todos los que publicáis, así que daros por felicitados todos :-).<br /><br />@Román -> No me queda claro a qué peligro te refieres.<br />¿A no conocer todo el abanico de ataques posible y quedarte corto?<br />¿A añadir fallos de seguridad por una implementación incorrecta?<br />¿A quién carga con la responsabilidad en caso de intrusión?<br />¿Una combinación de los anteriores?<br />¿Ninguna de las anteriores (por favor, especificar cuál)? ;-)<br /><br />Yo veo posibles pegas en esas direcciones, pero que tampoco se mitigan totalmente usando otros productos. Está claro que 4 ojos ven más que 2, pero aún así...<br /><br />Saludos!ramandinoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-72053291649158061792010-11-24T18:10:10.417+01:002010-11-24T18:10:10.417+01:00@SiD: fail2ban se basa en los mismos conceptos (an...@SiD: fail2ban se basa en los mismos conceptos (analiza los ficheros de log en busca de logins fallidos y banea las ip's mediante iptables). Podrías perfectamente hacerte un script en perl que hiciese lo mismo que fail2ban, pero lo importante creo yo, es que puedes aplicar el mismo criterio a otras cosas, y así complementar el uso de un ips normal con "herramientas" propias que nadie se espera que estén... ese es el mayor valor añadido, según mi punto de vista claro esta.<br /><br />Por cierto, buen articulo, pero mi duda surge con que tipo de empresas valoran esto a la hora de implantarles una solución. No me malinterpretéis, pero ¿lo ven serio?<br />Creo que siempre puedes implementar firmas o plugins que se integren con la herramienta elegida por la organización para estas tareas, ¿no creéis?<br /><br />Saludos,<br />TCHAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-47186398229227674402010-11-24T13:17:44.354+01:002010-11-24T13:17:44.354+01:00¿No se parece esto en algo a fail2ban?
Saludos¿No se parece esto en algo a fail2ban?<br /><br />SaludosSiDnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-55314406306107668052010-11-24T10:49:27.875+01:002010-11-24T10:49:27.875+01:00Posiblemente ya lo conocerás, pero yo opté por int...Posiblemente ya lo conocerás, pero yo opté por integrar OSSEC con SEC (http://simple-evcorr.sourceforge.net/) para hacer estas cosas. Ossec para generar las alertas que luego SEC correla a su vez. Lo he usado para analizar contra Virustotal los hashes de ficheros modificados o nuevos y funcionó bastante bien :)Iñaki R.noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-84449624009854004152010-11-24T10:16:28.465+01:002010-11-24T10:16:28.465+01:00Yo creo que es muy interesante como complemento a ...Yo creo que es muy interesante como complemento a soluciones más estándares. Además, no está mal hacer algo por uno mismo de vez en cuando:)<br /><br />Un saludo.<br />ManoloAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-31033473064563695332010-11-24T09:15:30.044+01:002010-11-24T09:15:30.044+01:00@Román -> Tienes razón es vpopmail aunque la in...@Román -> Tienes razón es vpopmail aunque la instalación de Qmail utiliza vpopmail para la autenticación antes de poder acceder al SMTP... <br />Estamos hablando de combinar un IPS (comercial o no) que mitigue un 99% de los ataques con algo hecho a medida para nosotros. <br /><br />A qué te refieres con peligroso? He estado en departamentos de seguridad en el que disponer de desarrollos a medida para poder detectar ataques de forma anticipada se valoraba y mucho. <br /><br />Creo que empecé este script hace unos 5 años y le he ido añadiendo cosas según he ido viendo nuevas utilidades.<br /><br />Evidentemente en una empresa, el mantenimiento de este tipo de herramientas requiere de un rigor documental y un equipo que conozca perfectamente cómo funcionan las aplicaciones a proteger (y sus logs). Además es necesaria una importante coordinación con el departamento de sistemas, y estar avisados ante actualizaciones que puedan modificar algún parámetro en el fichero de log.<br /><br />Creo que con estas medidas, no tiene por qué ser peligroso, sino que está bien valorado el dar una capa de seguridad extra. <br /><br />Te soy sincero y, por supuesto, puedo estar equivocado, pero hablo por mi propia experiencia que este tipo de herramientas se valoran bien dentro de este tipo de departamentos en algunas organizaciones.<br /><br />Saludos,Lorenzo Martínezhttps://www.blogger.com/profile/01754634415587750581noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-22697787254232076882010-11-24T09:00:47.587+01:002010-11-24T09:00:47.587+01:00vpopmail no es qmail, es vpopmail :)
Por otro lad...vpopmail no es qmail, es vpopmail :)<br /><br />Por otro lado, ¿no es un poco peligroso un "yo me lo hago" en lo que a IPS se refiere?<br /><br />¿No es mejor optar por un OSSEC o/y un denyhost o/y...? ¿Prelude?<br /><br />Cuando entras en "yo me lo guiso", al final, efectivamente, "tú te lo comes" ;)Román Ramírezhttp://www.rootedcon.esnoreply@blogger.com