Conexiones activas en #SQUID3

Hoy les voy a compartir un poco de información valiosa, para aquellos administradores que utilizan el Servidor Proxy Squid3 en sus redes.

Figura 1: Conexiones activas en SQUID3

Es posible que en varias oportunidades sea indispensable conocer la cantidad de conexiones activas que está soportando el servidor en este momento. Lamentablemente, no existe un solo comando mágico que muestre esa información, pero de todas maneras lo vamos a resolver jugando con algunos comandos.

Generalmente Squid3 utiliza el puerto TCP/3128, es por ello que al ejemplo lo vamos a hacer con este número de puerto, aunque puede variar según como lo tengan configurado.

Conexiones activas en el servido Proxy Squid3

Primero iniciamos con el comando netstat, que no es más que una herramienta que permite obtener información de las conexiones sobre nuestro servidor.

$ netstat -nat

para ello hacemos uso de tres flag (-n) para que especifique los números de puertos, (-a)  para que se especifiquen todas las conexiones de todas las interfaces y finalmente (-t) para que se filtren conexiones TCP.

A esta salida se le aplica un filtro para que liste aquellas que corresponde al puerto 3128 de nuestro servidor Proxy.

$ netstat -nat | grep :3128

Y de esta manera el listado inicial comienza a reducirse.

El siguiente paso consiste nuevamente en aplicar un filtro para acotar las conexiones a su estado ESTABLISHED

$ netstat -nat | grep :3128 | grep ESTABLISHED

Ahora quitamos las conexiones localhost que tenga el servidor.

$ netstat -nat | grep :3128 | grep ESTABLISHED | grep -v 0.0.0.0:3128 | grep -v 127.0.0.1:3128

el flag (-v) del comando grep se utiliza para invertir la coincidencia, algo similar a una negación de lo que se quiere filtrar.

Falta muy poco para llegar al final, y para ello gracias al uso de awk, podemos visualizar los orígenes de las conexiones con el proxy.

$ netstat -nat | grep :3128 | grep ESTABLISHED | grep -v 0.0.0.0:3128 | grep -v 127.0.0.1:3128 | awk '{ print $5 }'

Como se puede apreciar, los puertos que está especificados, son puertos altos aleatorios con los que se negoció junto al proxy para establecer la conexión.

En el listado lo podríamos eliminar, una vez más haciendo uso de awk o de sed.

$ netstat -nat | grep :3128 | grep ESTABLISHED | grep -v 0.0.0.0:3128 | grep -v 127.0.0.1:3128 | awk '{ print $5 }' | awk -F\: '{ print $1 }'

Con el comando sort le podemos dar un orden descendiente en las direcciones IPs.

$ netstat -nat | grep :3128 | grep ESTABLISHED | grep -v 0.0.0.0:3128 | grep -v 127.0.0.1:3128 | awk '{ print $5 }' | awk -F\: '{ print $1 }' | sort

Una vez aplicado este filtro es posible aplicar el comando uniq

$ netstat -nat | grep :3128 | grep ESTABLISHED | grep -v 0.0.0.0:3128 | grep -v 127.0.0.1:3128 | awk '{ print $5 }' | awk -F\: '{ print $1 }' | sort | uniq 

Si utilizamos el flag uniq -c es posible conocer la cantidad de conexiones de cada dirección IP.

Y para finalizar y obtener un solo valor, se puede utilizar el comando wc -l que va a mostrar la cantidad de líneas generada, que en este caso corresponde a las direcciones ip conectadas de forma activa con el servidor proxy.

$ netstat -nat | grep :3128 | grep ESTABLISHED | grep -v 0.0.0.0:3128 | grep -v 127.0.0.1:3128 | awk '{ print $5 }' | awk -F\: '{ print $1 }' | sort | uniq | wc -l

Para muchas tareas cotidianas, no existe un solo comando o herramienta que lo soluciones, sin embarga concatenando pequeñas soluciones y haciendo uso de la imaginación es posible crear script muy interesantes.

Saludos!

Vulnerando tu #Android por @UnaPibaGeek

Excelente investigación por parte de Sheila Berta ( @UnaPibaGeek ) sobre un mecanismo de vulnerar un Android y que dió nombre a su conferencia Are you kidding me? Bypassing Android Security Solutions with a few clicks para la DragonJAR Security Conference 2016.

Figura 1: ARE YOU KIDDING ME?

De una forma múy interesante, Sheila nos explica los diferentes caminos en los que los Antivirus para los dispositivos Android están actuando para detectar virus y a su vez la forma de Baypassear estos mecanismos.


Saludos!

Los SIEM y la Correlación de Eventos Avanzada por @holesec y @DaPriMar

El pasado Jueves 8 de Septiembre del 2016, Claudio Caracciolo ( @holesec ) y David Prieto ( @DaPriMar ) llevaron adelanto otro interesante Webinar que corresponde a la segunda temporada de 11Paths Talks.

Figura 1: Claudio Caracciolo

Los SIEM y la Correlación de Eventos Avanzada

Sin duda, SIEM (Security Information and Event Management) es una gran herramienta a la hora de monitorizar la seguridad de una empresa u organización, y en los últimos años hemos visto cómo muchos vendors han desarrollado productos cada vez más integrables a las múltiples plataformas que podemos encontrar implementadas en la realidad. Si partimos de la frase que dice “no se puede proteger lo que no se conoce” o de “no se puede gestionar lo que no se mide”, nos damos cuenta de que el SIEM forma una parte fundamental en los procesos de defensa en profundidad y en las tareas que debe desarrollar un área de seguridad.

Tanto Claudio como David, a lo largo de todo el webinar muestra en detalle de que trata este tipo de tecnología y los usos más importante dentro de un esquema de seguridad.


Saludos!

Actualización de seguridad en #WordPress 4.6.1

A poco menos de un mes del lanzamiento de la versión 4.6 de WordPress llamada "Pepper", el equipo de desarrolladores lanza una actualización de seguridad generando el tag 4.6.1

Figura 1: Logo de WordPress

WordPress 4.6.1

Las versiones de WordPress 4.6 y anteriores, se encuentran afectadas por dos importantes problemas de seguridad. Una vulnerabilidad XSS a traves de nombres de archivos de imágenes y otro vulnerabilidad de path transversar relacionada con la subida de archivos y paquetes de actualización.

Todos ellos reportados y corregidos por el equipo de seguridad y desarrollo de WordPress.

En resumen, esta actualización corrige 15 bugs de la versión 4.6. Para conocer más detalles es posible acceder a las notas de la versión y consultar la lista de cambios.

Para finalizar, es importante actualizar los proyectos en WordPress a esta última revisión estable de seguridad, para evitar posibles problemas.

Saludos!

#Docker @docker Docker!!!

Esto es parte de las nuevas tecnologías con la que hoy contamos. Solo basta con leer un par de líneas para saber de que estas ideas son las que dan un quiebre y crean paradigmas nuevos.

Figura 1: #Docker @docker Docker!!!

Si bien Docker, no fueron aquellos que inventaron la tecnología de crear contenedores sobre un Sistema Operativo, son los que facilitaron e hicieron una experiencia de usuario magnífica.

¿Qué es Docker?

A lo largo de varias entradas en el blog, vamos ir comprendiendo los aspectos fundamentales y necesarios para conocerlo mejor. Sin embargo podemos iniciar conociendo de que trata Docker.

Bajo el lema "Build, Ship, Run", Docker se refiere a todo aquello que facilita la creación, implementación y ejecución de aplicaciones mediante el uso de contenedores. Éstos permiten a un desarrollador empaquetar un aplicación con todas las partes que necesita, es decir, bibliotecas y dependencias, y usarlo todo como si fuera un sólo paquete.

Lo primero que puede surgir es una confusión con la creación y administración de Máquinas Virtuales, pero a diferencia de éstas, las aplicaciones utilizan el mismo kernel que el Sistema Operativo de base.

Docker implementa una API de alto nivel, para así proporcionar contenedores ligeros que ejecutan los procesos de manera aislada, basándose en el núcleo o kernel del sistema.

Se basa en la funcionalidad del núcleo y utiliza aislamiento de recursos (CPU, memoria, etcétera) y los espacios de nombres por separado, para aislar así la aplicación. Otra características importante es que accede a la virtualización del kernel de linux, a través de la biblioteca libcontainer, indectamente a través de libvirt, LXC o nspawn systemd.

Figura 2: Estructura de Docker

Mediante este sistema los recursos pueden ser aislados, los servicios restringidos. Los contenedores múltiples pueden compartir el mismo núcleo, pero se puede limitar la cantidad de su uso (CPU, memoria y E/S)

Aprovecho la oportunidad para compartir una bonita presentación e ir adelantando algunas cosas que vamos a seguir viendo.


La gente que se dedica a Desarrollar y Administrar sistemas, ya se encuentran adoptando Docker en cada implementación, ya vamos a estar comentando como la gente dedicada a la seguridad, pentesting, auditorías, etc también se acercan y voy a estar comentando las cosas interesantes que se están haciendo.

Saludos!

Enlace | Docker

¿Hacia dónde evolucionan los APT? por @dsespitia y @crisborghe

Septiembre inició con un excelente Webcast correspondiente a la segunda temporada de EleventPaths Talks.

Una vez más, Diego Espitia @dsespitia y Cristian Borghello @crisborghe luego de explicarnos las Metodologías de Desarrollo Seguro, en esta oportunidad nos hablan de APT.

¿Hacia dónde evolucionan los APT?

Según Wikipedia: Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos, a menudo orquestados por humanos, dirigidos a penetrar la seguridad informática de una entidad específica. Una APT, generalmente, fija sus objetivos en organizaciones o naciones por motivos de negocios o políticos. Los procesos de APT requieren un alto grado de cobertura durante un largo período de tiempo. El proceso avanzado involucra sofisticadas técnicas que utilizan software malicioso para explotar vulnerabilidades en los sistemas. El término ‘persistente’ sugiere que existe un control y monitorización externos para la extracción de datos de un objetivo específico de forma continua. El término ‘amenaza’ indica la participación humana para orquestar el ataque.

Si están interesados en comprender los APT, y hacer un recorrido de como fueron evolucionando, los invito a ver el siguiente video junto a Diego y Cristian, donde explican muy bien esta problemática.


Saludos!