En que consiste este HoneyDark bueno básicamente necesitaba una red donde poder recolectar info , analizarla y correr trabajos predefinidos donde se analicen algunos patrones, (lo podéis usar para análisis de ataques malware, virus,gusanos etc.. ) y la idea me vino de la DarkNet de Chile . Pero me apetecía darle un enfoque mas practico y adelantando un poco lo que les faltaba de implementar honeypots y trabajar con mas trafico y identificar a quien están atacando ,
Es una red diseñada para poder inicialmente soportar un trafico de 9 a 10GB ( en el caso de mi DC la tengo cableado con fibra ) poder detectar y procesar incidentes en ese trafico, analizarlo y reportar diferentes eventos y analizarlos.
En que consiste la idea que se me paso para resolver unas cosas.... :) ( y el esqueleto de la red que les voy a pasar )
Algunos requisitos:
1) En que consiste bueno necesitamos que cualquier trafico entre a la red pero que no salga nada,
2) Necesitamos almacenar el trafico
3) Necesitamos procesarlo
4) Necesitamos buscar eventos de seguridad generados por ese trafico.
5) Que sea esclable, y que soporte cualquier cantidad de trafico desde donde venga
6) Evidenciarlo
7) Reportarlo
Entonces en el archivo lo podrán descargar la estructura básica de la red, no es el que tengo para producción pero algo con las ideas que les voy a dejar seguro que algunos lo pillan por donde van los tiros.
Entonces Con:
El pfsense ya le instale Cron's, Tcpdump, Snort, countryblocker, ntop
En el Server (ubuntu) tenemos NOVA , etherape, Moncube, AfterGlow
OSSIM no creo que necesite presentación.
El servidor de evidencias es simplemente recolectar información de las tools y procesarla
La idea inicial es simple de conceptualizar no tiene ninguna complicación, entonces entremos al detalle de como esa la versión beta que :
___________________________________________________________________________
Servidor Pfsense:
IP:192.168.3.51
IP:192.168.3.51
user : admin
Pass : 1q2w3e
Mediante el TCPdump podemos capturar el trafico que queramos y almacenarlo donde necesitemos.
El Cron nos ayudara a automatizar unas tareas,
Contryblocker como dice el nombre nos permite bloquear por país el Trafico que queremos que NO entre a la red (lo podríamos hacer por IP pero por tiempo es mejor tener una app que te maneje eso para casos que posiblemente tenga a futuro de revisión en tiempo real)
y el Ntop podemos adquirir muy buena información de trafico bien detallada..
El Pfflowd nos ayudara para generar los Netflows y reportarlos al Ossim.
El Pfflowd nos ayudara para generar los Netflows y reportarlos al Ossim.
Las reglas que cada uno ponga en el firewall ya es vuestra Configuración.
Ojo la interfaz WAN del Pfsense deben cambiar la IP ;)
Ojo la interfaz WAN del Pfsense deben cambiar la IP ;)
HoneyDark::
IP:192.168.3.53
user: HoneyDark
pass: 1q2w3e
En el Servidor llamado "HoneyDark" para correr NOVA simpelmente en la termial tipear "$ quasar" y listo en https://localhost:8080 se encontrara NOVA ,
Etherape, es mas simple desde la terminal tipear "etherape" y listo
Con Nova el cual nos permiten generar una red de honeypots mediante el haystack de nova y mediante las otra herramientas no solo monitorizamos lo que llega a nuestro server sino a todas las conexiones peticiones y trafico de nuestra red de honeypots con la configuración que le queramos dar dentro de la interfaz grafica Web
Etherape, es mas simple desde la terminal tipear "etherape" y listo
Con Nova el cual nos permiten generar una red de honeypots mediante el haystack de nova y mediante las otra herramientas no solo monitorizamos lo que llega a nuestro server sino a todas las conexiones peticiones y trafico de nuestra red de honeypots con la configuración que le queramos dar dentro de la interfaz grafica Web
OSSIM 4.1:
Datos de acceso a la interfaz Web.
IP:192.168.3.50
user: admin
IP:192.168.3.50
user: admin
Pass: 1q2w3e
Bueno como dije no creo que necesite presentación pero para esta red, yo personalmente lo usare por la parte de recolleción de logs, OCS, OSSEC para poder monitorizar al detalle los eventos y si algún tipo de trafico que entre a la red, puede llegar a instalar algún archivo o instalar algún rootkit etc..
Evidencias:
IP:192.168.3.52
user: evidencias
pass: 1q2w3e
En este Debian cuentan con un servidor SSH y Los aplicativos instalados en /opt Moncube y Afterglow
le pueden mandar los Pcaps del TCpdump del Pfsense o los Pcaps del Ossim, para que los grafique bien bonito..
Evidencias:
IP:192.168.3.52
user: evidencias
pass: 1q2w3e
En este Debian cuentan con un servidor SSH y Los aplicativos instalados en /opt Moncube y Afterglow
le pueden mandar los Pcaps del TCpdump del Pfsense o los Pcaps del Ossim, para que los grafique bien bonito..
La Red de la Darknet se llama "NetProperties" >> 192.168.3.0/24
_________________________________________________________________________________
Los aplicativos ya están instalados y listo para poder usarse en sus ultimas versiones , simplemente en cada aplicativo se debe ajustar a tus requerimientos de producción pero el esqueleto lo dejo ya para descarga.. (ojo asumo por falta de tiempo conocimientos en uso de las diferentes herramientas.. es por eso que no me alargo con sus instalaciones y configuraciones)
Me gustaría haber tenido un poco mas de tiempo, para poder documentar cada procedimiento, pero hacer un documental de 100 hojas todavía no estoy tan loco.. así que si te animas solo escríbeme un correo o un twitt y te echo una mano.
La idea de esta red en forma de agujero negro, es que cualquier trafico que se enrute hacia el pfsense entre dentro de la red, y mediante las diferentes herramientas poder extraerlo , analizarlo y reportar el todo tipo de eventos, sin importar la magnitud de conexiones ni trafico.
Otra cosa lo tengo echo en un Datacenter en Vmware vCloud 5.1 así que todavía estoy trabajando para bajarle los requisitos ..
Otra cosa lo tengo echo en un Datacenter en Vmware vCloud 5.1 así que todavía estoy trabajando para bajarle los requisitos ..
Luego la que versión que les dejo para descargar sigo adelantando; corrigiendo la automatización y la capacidad de escalabilidad y procesamiento de trafico masivo.., el cual la red me esta quedando así multiplico por mas de 10 la capacidad de poder soportar trafico almacenarlo, pintarlo con las gráficas bonitas, generar honeypots, almacenar sus logs, y otras funciones que quiera con trabajos pre echos en Mapreduce.
No se si sera mejor o peor pero es un acercamiento que el de Chile pero es diferente para poder solucionar el problema de los análisis de ataques masivos, pero fue interesante montarla como pasatiempo..
Así que si eres un Cert, Csirt, Banco o ISP ya pueden usarlo para que dejen de tocarse las #$%#&" y empezar a analizar trafico y intercambiaros incidentes y no delegar todo a las redes inteligentes esas de los antivirus.. :)
(ojo para entornos de producción el BETA que les dejo no esta diseñado para poder soportar cargas masivas analizar mas de 10G de trafico en una futura versión posiblemente haga el release de producción que soporta cualquier trafico y colección mediante HDFS)
