Informes, ponencias y artículos

Informes redactados sobre hardware, software u organización

El panorama de los antivirus ha pasado de ser un mercado persa en el que te vendían soluciones por parches a soluciones todo en uno que solventan la mayoría de los problemas de seguridad informática actuales. ESET, Sophos, AVAST, Panda, McAfee, AVG, etc, etc. siglas que la mayoría de los usuarios han probado para no depender del exiguo Microsoft Defender o el extinto Microsoft Essentials que prometían mucho y no consiguieron triunfar salvo que la solución viniese preinstalada con el sistema operativo.

En el otro extremo de Windows estaban los usuarios de Unix, a los que el catálogo de posibilidades se le planteaba bastante más exiguo, pero con el omnipresente CLAMAV como única alternativa real. Sophos Unix y McAfee concentraban el segmento empresarial de pago como alternativas muy apreciadas por los SysAdmin de servidores y estaciones de trabajo.

Pero desde que Cisco decidió arriesgarse a entrar en el segmento del software en vez de solo el hardware, la situación ha mejorado bastante. Immunet es esa solución gratuita que integra en una única aplicación para Windows una suite bastante decente con CLAMAV como antivirus comunitario y una interfaz simple pero efectiva, que facilita la vida al usuario. Anteriormente Clamav para Windows dejaba mucho que desear no solo porque el gui (interfaz gráfica) de dicha aplicación era absolutamente un fiasco tanto en Windows como en Unix.

Y es que cada vez se hace más fácil integrar dos sistemas operativos en una única instalación, sin máquinas virtuales, ni difíciles operativas ya que tanto Windows 10 como Windows 11, permiten integrar Linux a través de WSL /WSLG y ello permite una permeabilidad de aplicaciones que mantienen el sistema de seguridad en una única plataforma sin depender de licencias o almacenamiento propio para usarse. Lo que esta dejando cada vez más obsoleta la formula de iOS de tener un sistema operativo para un ecosistema aislado y exclusivo, que no tiene relación con nada ni con nadie.

Actualización: El 1 de enero de 2024, Cisco da por finalizado el proyecto de antivirus, derivándolo a su nuevo proyecto talosintelligence.com

Servidor Blade con Unix y aplantillado del CCN-CERT

En el año 2014 el Ministerio de Defensa implantó sin éxito una red clasificada bajo Microsoft Windows 2003 Server R2 que a pesar de haber conseguido instalar la infraestructura necesaria entre los Cuarteles Generales de los tres Ejércitos (Ejército de Tierra, Armada y Ejército del Aire) así como en el Órgano Central, mediante su correspondiente fibra óptica de interconexión para sustituir a las diferentes redes clasificadas que cada ejército disponía para trabajar con su información clasificada, no se había conseguido unir a UCOs de fuera de Madrid. Una de esas dependencias de la Armada que inspeccioné y que disponía de algo diferente para dicha red era la JAL – Jefatura de Apoyo Logístico en Madrid. Ese equipamiento diferencial era un servidor Blade, que lograría virtualizar las workstation centralizando los trabajos realizados en dicha red y todo bastionado bajo la CCN-STIC 503A modificada para permitir que el el servidor blade funcionara. Pero se encontraron que el ciclo de vida de dicho software en su servidor, así como en los clientes con Microsoft Windows XP (fin en 2010) pero que se siguió usando hasta adquirir las licencias de Microsoft Windows 7 Enterprise para servidores aislados.

Por dicho motivo el servidor blade quedó apartado y sin uso durante bastantes años, hasta que en 2015, por parte de la Sección de Ciberdefensa se le solicitó a la JAL el préstamo inicial de dicho servidor y su posterior guía de entrega, evaluándose para ello instalar una versión unix como sistema operativo base bastionado por las CCN-STIC 612 y para la virtualización de las workstation usar la vigente CCN-STIC 956 del ENS – Esquema Nacional de Seguridad. Pero como acostumbra a ocurrir en en el seno de las Fuerzas Armadas «donde manda patrón, no manda marinero» la cesión quedó en nada por reticencias a usar equipamiento adquirido con una partida presupuestaria que quedó sin efecto y uso, pero que sería difícilmente justificable su extravío o cesión para otros cometidos si finalmente se retomaba el objetivo principal de reunificar las redes clasificadas que cada ejercito se había montado y que exigía al CCN-CNI mayor control sobre dichas redes porque en las mismas se compartía información de diferentes fuentes y redes, lo que a todas luces vulnera cualquier consideración sobre el ciclo de vida de la información, pudiendo existir versiones obsoletas o no actualizadas de la información en diferentes redes que en nada o en poco tenían los mismos fines o metas. Como en el caso de la red CENTRIX que servía para combatir la piratería en el cuerno de África, en la que se compartían STANAGs de la OTAN. Y como dicho ejemplo muchos más.

Hoy día es mas usual encontrar implementaciones de HP y Dell sobre diferentes usos de los servidores Blade como clusters de información, virtualización, cloud computing, etc.

Diodos de datos conectividad unidireccional

Los diodos de datos son dispositivos de comunicaciones unidireccionales que cifran, desestructuran y encapsulan los datos para lograr un nivel de seguridad CC/EAL7+ sobre insfraestructuras de comunicaciones públicas con el consiguiente ahorro de costes pero sin la perdida de confidencialidad. El Centro Criptológico Nacional en su CCN-STIC 140 realiza un análisis sobre este tipo de dispositivos que garantizan la interconexión entre redes clasificadas e infraestrcuturas públicas donde la conexión fisica mediante cableado de cifra sea inviable, bien por distancia, bien por imposibilidad física, aprovechando internet como medio de difusión entre el emisor y receptor unidireccional, ello presenta igualmente un problema por el encapsulado de internet bajo TCP/IP, por ello los diodos de red se emparejan y emiten y reciben una única transmisión en un sentido u otro. Sin duda el mayor problema que representa TCP/IP sobre el encapsulado de la información y el envío del paquete SYN es que no recibe el ACK de la recepción positiva del paquete enviado, dado que el diodo solo emite, por lo que una comunicación bajo protocolo UDP unidireccional sin espera de ACK sería mas apropiada. Pero la infraestructura de red de internet se cimenta principalmente sobre TCP/IP y ahí es donde el diodo de red comienza a desestructurar la información para volver a encapsularla sobre TCP/IP e invirtiendose en su espejo en el lado contrario del segmento de red clasificado.

Es habitual en las Fuerzas Armadas, disponer de este tipo de equipamiento para salvaguardar las comunicaciones cifradas y seguras ante la falta de infraestructuras de red por fibra optica, microondas o emisiores/receptores de luz. La manipulación de información clasificada se suele realizar en lo que se llaman compartimentos estancos, de tal manera que la información no puede entrar o salir de los mismos, ya sean espacios físicos o lógicos, como redes y sistemas informáticos, si no es mediante los procedimientos debidamente autorizados y publicados. Cuando una red clasificada maneja información de nivel Difusión Limitada, Confidencial, Reservada o Secreta, así como sus analogas de la Unión Europea y la OTAN el protocolo prohíbe taxativamente las interconexiones de redes, ni siquiera las de igual nivel de clasificación o de redes clasificads de distinta entidad o dependencia organizativa, al no garantizarse los ciclos de conocimiento, uso y destrucción sobre dicha información alojada o distribuida por dicha red. La NS-04 regula en parte dicho ciclo vital de la información y el acceso al mismo.

Thales, Logitek, BAE Systems y otras compañías a nivel internacional implementan este tipo de dispositivos de comunicaciones que permiten extender las redes clasificadas mas allá de sus limitaciones geográficas, permitiendo el acceso a los ciclos de la información de forma segura incluso estando de misión en medio del océano o en la más remota isla, si tenemos acceso a comunicaciones ordinarias o satélite.

Así pues a modo de resumen podemos considerar que este es un dispositivo para Gobiernos, administraciones o entes supranacionales, pero la realidad es que son dispositivos necesarios en el entorno empresarial para garantizar el secreto comercial entre departamentos o sedes. Valorar el coste de adquisición de este tipo de recursos es con frecuencia una apreciación subjetiva derivada de la garantía con la que se desea custodiar la información y el recurso de acceso al mismo.

Informe sobre Reservismo de Especial Disponibilidad - Realidad vs ficción

El Ministerio de Defensa de España publica anualmente las estadísticas sobre el Personal Militar de Complemento, Militar de Tropa y Marinería y Reservista. La tabla 2.1.2 Situación de Servicio Activo – 2.1.2.8 Distribución de las edades por Ejércitos y Empleos: Compromiso de Larga Duración, es la que indica taxativamente cuantos MILCOM y MTM pasarán a la situación de Reservistas de Especial Disponibilidad en años venideros. Las estadísticas disponibles son las del año 2016, 2017 y 2018 ya que se debe tener en cuenta que el departamento solo publica los datos del año natural finalizado.

Tabla 2.1.2.8 del Informe del año 2016 por tramos de edad

Acorde a dichos datos estadísticos reales comunicados por el Ministerio de Defensa la previsión tanto de Militares de Complemento como de Militares de Tropa y Marinería que abandonarían las Fuerzas Armadas en los años venideros serían desglosados de la siguiente forma en el año 2016:

Año 2016: 5 RED
Año 2017: 203 RED
Año 2018: 543 RED
Año 2019: 1.018 RED
Año 2020: 1.291 RED
…

Para leer la tabla es tan secillo como mirar los totales declarados en la tabla en sentido inverso 45, 44, 43, 42, …. nada sofisticado pero datos muy reales del problema que se avecinaba en el seno de las Fuerzas Armadas.

En años posteriores la tabla se ha seguido publicando, de hecho en el año siguiente en 2017 la tabla recoge los siguientes datos:

Tabla 2.1.2.8 del Informe del año 2017 por tramos de edad

Según la misma interpretación que realizamos en el año 2016 si leemos la columna de edad y sus totales en sentido inverso las estadísticas arrojan los siguientes datos:

Año 2017: 8 RED (En el año 2016 había previstos 203 RED)
Año 2018: 616 RED (En el año 2016 había previstos 543 RED)
Año 2019: 981 RED (En el año 2016 había previstos 1.018 RED)
Año 2020: 1.270 RED (En el año 2016 había previstos 1.291 RED)
…

Como podemos observar anualmente existen importantes diferencias numéricas en las estadísticas publicadas tan abismales en 2017 como que se fueran solo 8 RED y en cambio estuviera previsto por su tramo de edad que abandonaran las Fuerzas Armadas 203 MTM y MILCOM. Posteriormente podremos analizar los datos aportados por la Unidad de Transparencia del Ministerio de Defensa y los números declarados a las asociaciones profesionales o asociaciones militares.

La tónica continúa de la misma manera en el año 2018 y estos son los datos declarados:

Tabla 2.1.2.8 del Informe del año 2018 por tramos de edad

De nuevo podemos apreciar las importantes discrepancias numéricas de un año a otro sobre previsiones y datos reales, arrojando la siguiente realidad del año 2018:

Año 2018: 44 RED (En 2017 se habían previsto 616 RED)
Año 2019: 955 RED (En 2017 se habían previsto 981 RED)
Año 2020: 1.229 RED (En 2017 se preveía un número de 1.270 RED)
…

Como se puede observar anualmente nunca cuadran las cifras y o los MTM/MILCOM con Compromisos de Larga Duración están alcanzando masivamente la permanencia o se están marchando de las Fuerzas Armadas renunciando a su finiquito en forma de la paga de la asignación por disponibilidad tras al menos 18 años de servicios, algo no solo improbable sino totalmente falso.

En dicha labor de control sobre el departamento se ha situado frontalmente la ONG militar OATM – Organización de Apoyo a las Fuerzas Armadas, que anualmente ha ido solicitando datos a la Unidad de Transparencia del Ministerio de Defensa con diferentes argumentos, estadísticas del número de TIM emitidas a los RED, estadísticas del domicilio publicado en BOD y Delegación/Subdelegación donde ha quedado registrado el RED, estadísticas del número de resoluciones publicadas en BOD del nombramiento de los RED, etc. Y la conclusión es que en 2019 el Ministerio de Defensa de la mano de su Unidad de Transparencia y el DIGENPER – Director General de Personal declaran que en España a pesar de sus números indicados por la Unidad de Estadística solo hay 1.833 Reservistas de Especial Disponibilidad adscritos a las Delegaciones o Subdelegaciones de Defensa, con TIM y resolución publicadas en BOD – Boletín Oficial de Defensa.

Lo que quiere decir o que la información facilitada por la Unidad de Transparencia es mentira o que la Unidad de Estadística falsea sus propios datos y no sabe ni exponerlos. Desde mi modesto punto de vista creo más bien la primera opción con la responsabilidad legal que ello conlleva, ya que los datos declarados por dicha Unidad de Transparencia han sido los siguientes:

PROVINCIA	MTM	MILCOM	TOTAL
SUBDELEGACION DE DEFENSA EN ALMERIA	21	0	21
SUBDELEGACION DE DEFENSA EN CADIZ	222	3	225
SUBDELEGACION DE DEFENSA EN CORDOBA	31	4	35
SUBDELEGACION DE DEFENSA EN GRANADA	46	2	48
SUBDELEGACION DE DEFENSA EN HUELVA	7	0	7
SUBDELEGACION DE DEFENSA EN JAEN	7	0	7
SUBDELEGACION DE DEFENSA EN MALAGA	36	2	38
SUBDELEGACION DE DEFENSA EN SEVILLA	112	7	119
SUBDELEGACION DE DEFENSA EN HUESCA	5	0	5
SUBDELEGACION DE DEFENSA EN TERUEL	1	0	1
SUBDELEGACION DE DEFENSA EN ZARAGOZA	64	7	71
SUBDELEGACION DE DEFENSA EN OVIEDO	36	1	37
SUBDELEGACION DE DEFENSA EN PALMA	21	1	22
SUBDELEGACION DE DEFENSA LAS PALMAS G.C.	124	5	129
SUBDELEGACION DE DEFENSA EN S.C. DE TENERIFE	63	2	65
SUBDELEGACION DE DEFENSA EN SANTANDER	18	2	20
SUBDELEGACION DE DEFENSA EN ALBACETE	25	0	25
SUBDELEGACION DE DEFENSA EN CIUDAD REAL	14	0	14
SUBDELEGACION DE DEFENSA EN CUENCA	1	0	1
SUBDELEGACION DE DEFENSA EN GUADALAJARA	14	0	14
SUBDELEGACION DE DEFENSA EN TOLEDO	24	1	25
SUBDELEGACION DE DEFENSA EN AVILA	6	0	6
SUBDELEGACION DE DEFENSA EN BURGOS	12	1	13
SUBDELEGACION DE DEFENSA EN LEON	51	5	56
SUBDELEGACION DE DEFENSA EN PALENCIA	8	1	9
SUBDELEGACION DE DEFENSA EN SALAMANCA	39	1	40
SUBDELEGACION DE DEFENSA EN SEGOVIA	10	1	11
SUBDELEGACION DE DEFENSA EN VALLADOLID	46	1	47
SUBDELEGACION DE DEFENSA EN ZAMORA	6	0	6
SUBDELEGACION DE DEFENSA EN BARCELONA	17	1	18
SUBDELEGACION DE DEFENSA EN GIRONA	5	0	5
SUBDELEGACION DE DEFENSA EN LLEIDA	3	1	4
SUBDELEGACION DE DEFENSA EN TARRAGONA	3	0	3
SUBDELEGACION DE DEFENSA EN ALICANTE	18	2	20
SUBDELEGACION DE DEFENSA EN CASTELLON	2	0	2
SUBDELEGACION DE DEFENSA EN VALENCIA	35	6	41
SUBDELEGACION DE DEFENSA EN BADAJOZ	40	2	42
SUBDELEGACION DE DEFENSA EN CACERES	14	0	14
SUBDELEGACION DE DEFENSA EN A CORUÑA	60	3	63
SUBDELEGACION DE DEFENSA EN LUGO	9	0	9
SUBDELEGACION DE DEFENSA EN OURENSE	9	0	9
SUBDELEGACION DE DEFENSA EN PONTEVEDRA	33	1	34
SUBDELEGACION DE DEFENSA EN MADRID	231	21	252
SUBDELEGACION DE DEFENSA EN MURCIA	81	5	86
SUBDELEGACION DE DEFENSA EN PAMPLONA	8	1	9
SUBDELEGACION DE DEFENSA EN VITORIA	2	1	3
SUBDELEGACION DE DEFENSA EN SAN SEBASTIAN	4	0	4
SUBDELEGACION DE DEFENSA EN BILBAO	10	2	12
SUBDELEGACION DE DEFENSA EN LOGROÑO	9	0	9
SUBDELEGACION DE DEFENSA EN CEUTA	41	1	42
SUBDELEGACION DE DEFENSA EN MELILLA	32	3	35

Y todo ello sin olvidar que los primeros Reservistas de Especial Disponibilidad que adquirieron dicha condición la alcanzaron en el año 2012 y venideros desdee entonces en atención al Capítulo V de la Ley 8/2006.

iOT TV TD Systems K58DLJ10US

El iOT «internet de las cosas», está aquí y ha llegado para quedarse. Este modelo de TV de la marca española TD System el modeloK58DLJ10US es uno de los más vendidos de entre los modelos de televisiones 4k de precio ajustadísimo. La misma se caracteriza por tener un Android TV como Sistema Operativo, un lanzador preinstalado (Orion TV launcher), 2048 Mb RAM y 8 Gb de disco duro. Muy justito todo pero también ajustado al precio y tan justo como una Raspberry Pi 3B+ de 20 €. Las televisiones 4k se caracerizan por disponer de una mayor nitidez y calidad superior de audio que sus precedentes. Particularmente tengo más de una y puedo decir que en relación calidad-precio esta es mejor que las anteriores que adquirí y he probado desde LG, Samsung, Telefunken a Hisense, siendo esta la mas ajustada en precio.

Por otra parte el disponer de dispositivos conectados a internet mientras vemos TV y con un sistema operativo como android nos hace ser potenciales destinatarios de a quienes les gusta vulnerar los sistemas y ello es así porque Android es el SO mas instalado en el mundo, por delante de Windows o iOS ya que el Open Source ha ido afianzandose década tras década hasta fagocitar el mercado de celulares. Esta situación de monopolio de Google no parece que vaya a cambiar a medio o largo plazo, por lo que el parcheo del sistema es el único arma contra los hackers de sombrero negro.

Entre el hardware instalado según la aplicación AiDA64 están las siguientes características:

Placa modelo: mac6p
Memoria: 2048 Mb RAM
Memoria disponible: Menos de 1 Gb RAM (demasiado ajustada)
Almacenamiento interno: 4 Gb
CPU: ARM Cortex-A55 a 11 Mhz de 4 nucleos
Estructura: 32 bits
ABI comtaible: armabi-v7a
Resolución: 3840×2160 pixels
Xdpi: 79 dpi
GPU: Mali 470 MP
Frecuencia: 60 Hz
OpenGL: 2.0
Android: versión 9 (pie)
LAN/WLAN: RealtekATV
Root: No

Entre las primeras mejoras que podemos hacerle a este dispositivo se encuentra el actualizarlo mediante la aplicación OTA instalada que se descarga desde el repositorio de TD System. El lanzador de android preinstalado es el Orion TV Launcher versión 1.1.4, lento e impreciso ya que se nutre de la conexión a internet para actualizar y presentar contenidos de youtube, por lo que lo primero que deberemos hacer en cuanto estemos actualizados es instalar otro lanzador que para android hay muchos ( ATV launcher, Simple TV launcher, etc.). Lo siguiente a instalar es la imprescindible Google PlayStore, ya que la tienda de app preinstalada es TV Store versión 2.18.3, muy desactualizada, muy limitada y tremendamente exasperante, por lo que o nos descargamos el apk y lo instalamos vía USB o descargamos la versión disponible en la TV Store que es la versión 16.5.31-xhdpi8 de la Play Store, muy desactualizada, pero funcionando. Otras apliacaciones imprescindibles para disfrutar de este modelo es el Kodi con el plugin Palantir, la app Developer Tools y Root Explorer. Con la aplicación Developer Tools podremos inhabilitar aplicaciones preinstaladas y procesos molestos como EShareserver v.5.12.18, iMirror v.7.4.1, Puffin TV v.7.7.2.30719 y Miracast v. 9.

Aplicaciones de gestión de escritorio remoto como Teamviewer o AnyDesk quedan descartadas por la mínima memoria disponible lo que hace inviable gestionarlo por dicha vía. Aunque parece obvio que en una TV no es necesario ver los canales por internet el uso de un gestor de canales IPTV puede facilitarnos acceder a canales fuera de nuestra demarcación territorial e incluso canales de PPV. Una app muy simple de gestion de canales IPTV que funciona con listas m3u es Simple Player IPTV.

Para acceder al MENÚ de SERVICIO debemos realizar los siguientes pasos con la TV encendida, pulsar la tecla ENTRADA – 2580 y a partir de ese momento entraremos en el menú del servicio técnico.

SIEM sobre Raspberry Pi model 3 B+

Manual para instalar un SIEM en una Rapsberry Pi 3 Model B+, bajo Windows

Requisitos necesarios:

Una Raspberry Pi 3 Model B+

Una tarjeta SD de al menos 8 Gb

Cable Ethernet

Una fuente de alimentación de 3,5 Amperios y su cable USB

Una imagen de Archlinux ARM . https://archlinuxarm.org/platforms

El Programa Win32DiskImager (para manejo de las imagenes en la SD) https://sourceforge.net/projects/win32diskimager/

Un teclado USB (para la instalación)

Primer paso: INSTALACION DE ARCHLINUX

Usando el programa Win32DiskImager, seleccionar la imagen para nuestra Pi 3 http://os.archlinuxarm.org/os/ArchLinux … est.tar.gz

Introducir formateada nuestra SD (8 Gb/32 Gb) y asignarle letra

Pulsar el botón Write del Win32DiskImager

Extraer la tarjeta SD e introducirla en la Pi 3B+

Segundo paso: CONFIGURACION DE ARCHLINUX

Arrancar la Pi 3B+ e introducir el usuario y clave por defecto roo/root

Cambiar la clave por defecto con el comando passwd por una de nuestra elección

                                  # passwd

Congigurar la interfaz de red con el comando del fichero rc.conf fijando una IP a la (Raspberry Security System (RSS))

Código: Seleccionar todo

                                  vi /etc/rc.conf

# ———————————————————————–
# NETWORKING
# ———————————————————————–
# HOSTNAME: Hostname of machine. Should also be put in /etc/hosts
#
HOSTNAME=»RSS»
# Static IP
interface=eth0
address=192.168.1.3
netmask=255.255.255.0
broadcast=192.168.1.255
gateway=192.168.1.1

Desactivar el DHCP de la interfaz de red eth0

# interface=eth0
# address=
# netmask=
# gateway=

Parar los demonios existentes alinicio no necesarios

                                  DAEMONS=(!hwclock syslog-ng network @crond @sshd @openntpd)

Configurar el fichero hosts con el comando

                                  # vi /etc/hosts

192.168.1.3 PiWall
127.0.0.1 localhost.localdomain localhost
::1 localhost.localdomain localhost

Reiniciar la interfaz de red con el comando

                                  rc.d restart network

Actualizar la distribución con el comando

                                  pacman –Syu

Crear las Keys de las fuentes actualizadas con el comando

                                  pacman-key –init

Volver a actualizar el sistema con pacman -Syu

Instalar los paquetes vim, htop y tcpdump con los comandos

pacman –S vim
pacman –S htop
pacman –S tcpdump

Tras la instalación de dichos paquetes reinicamos nustra Pi 3B+

Una vez reiniciado el sistema usaremos el comando htop para verificar la memoria disponible

                                  htop

Reconfigurar la memoria disponible para asignar 224 Mb al sistema operativo

                                  cd /boot
mv ./start.elf ./start.elf.old
cp ./arm224_start.elf ./start.elf
reboot

Reestructurando el tamaño de la tarjeta SD con el comando

                                  fdisk /dev/mmcblk0p2

Borrar la partición con los comandos

d
2

Crear una nueva partición primaria

                                  n
p
2
Enter
Enter

Escribir los cambios con el comando write

Reiniciar la Pi 3B+ con reboot

                                  reboot

Añadiendo otro usuario con el comando useradd

                                  useradd -m -g users -G optical,storage,video,wheel,power -s /bin/bash rss

Cambiar la contraseña del nuevo usuario con el comando passwd

                                  passwd rss

Instalar el comando sudo

                                  pacman -S sudo

Proporcionar derechos de sudo con el comando visudo

                                  visudo

## Uncomment to allow members of group wheel to execute any command
%wheel ALL=(ALL) ALL

Cerrar la sesión con el comando logout

                                  logout

Configurar el servicio SSH , editando el fichero sshd_config modificando los siguientes parámetros

                                  sudo vi /etc/ssh/sshd_config

# Modify the default port
Port 15507Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 60

Desactivar el acceso de root para hacer login y obligar al usuario a escalar privilegios

PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes

Reiniciar el servicio sshd

                                  sudo rc.d restart sshd

A partir de ese momento inciaremos sesión con el usuario rss creado anteriormente

Personalizamos la interfaz de red del fichero sysctl.conf con el comando

                                  sudo vi /etc/sysctl.conf

]# Enable Spoof protection (reverse-path filter)
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1# Enable TCP/IP SYN cookies
net.ipv4.tcp_syncookies=1# Ignore ICMP broadcasts
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Ignore bogus ICMP errors
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0

# Do not send ICMP redirects (really important for our single NIC gateway)
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.eth0.send_redirects = 0

# Do not accept IP source route packets
net.ipv4.conf.all.accept_source_route = 0

# Log Martian Packets
net.ipv4.conf.all.log_martians = 1

# router function (important1!!)
net.ipv4.ip_forward = 1

# Avoid Out Of Memory
vm.min_free_kbytes=8192

Aplicar los cambios con el comando

                                  sudo sysctl –p

Configurar los servicios DHCP y DNS instalando el paquete dnsmasq

                                  sudo pacman –S dnsmasq

Cinfiguraremos el fichero dnsmasq.conf con los siguientes parámetros

                                  sudo vi /etc/dnsmasq.conf

## DNS CONFIGURATION ##
# Interfaces for DNS
interface=eth0
listen-address=192.168.1.3
bind-interfaces# Never forward plain names (without a dot or domain part)
domain-needed# Never forward addresses in the non-routed address spaces.
bogus-priv

# Max concurrent DNS queries (default = 150)
dns-forward-max=150

# DNS cache size (default = 150)
cache-size=300

## DHCP CONFIGURATION ##
# DHCP range and lease time
dhcp-range=192.168.1.10,192.168.1.20,255.255.255.0,4d

# Set DHCP as authoritative
dhcp-authoritative

Posteriormente reiniciaremos el servicio con el comando

                                  sudo rc.d restart dnsmasq

Para verificar el funcionamiento del servicio dns ejecutaremos el comando

                                   sudo tcpdump -i eth0 dst port 53 or src port 53 -n -x -X -v

Configuración del firewall lanzando los siguientes comandos y cambiando sus propiedades

                                  sudo touch /etc/firewall.advanced

                                  sudo touch /etc/firewall.flows

                                  sudo chmod u+x /etc/firewall.*

Posteriormente configuramos el fichero firewall.flows

                                  sudo vi /etc/firewall.flows

#!/bin/bash

# » Date:
# » Author :
# » Version : Flows 1.0

#######################
# FLOW IDENTIFICATION #
##############################################################################################
# NAT_OUT
iptables -t nat -A POSTROUTING -o $LAN -p tcp –ipv4 -m iprange \
–src-range $DHCP_RANGE ! –dst-range $DHCP_RANGE -m pkttype –pkt-type unicast -m addrtype ! –dst-type LOCAL\
-m state –state NEW,ESTABLISHED,RELATED -j NAT_OUT

iptables -t nat -A POSTROUTING -o $LAN -p udp –ipv4 -m iprange \
–src-range $DHCP_RANGE ! –dst-range $DHCP_RANGE -m pkttype –pkt-type unicast -m addrtype ! –dst-type LOCAL\
-m state –state NEW,ESTABLISHED,RELATED -j NAT_OUT

iptables -t nat -A POSTROUTING -o $LAN -p icmp –ipv4 -m iprange \
–src-range $DHCP_RANGE ! –dst-range $DHCP_RANGE -m pkttype –pkt-type unicast -m addrtype ! –dst-type LOCAL\
-m state –state NEW,ESTABLISHED,RELATED -j NAT_OUT

# FORWARD_OUT
iptables -A FORWARD -i $LAN -p tcp –ipv4 -m iprange \
–src-range $DHCP_RANGE ! –dst-range $DHCP_RANGE -m pkttype –pkt-type unicast -m addrtype ! –src-type LOCAL\
-m state –state NEW,ESTABLISHED,RELATED -j FORWARD_OUT

iptables -A FORWARD -i $LAN -p udp –ipv4 -m iprange \
–src-range $DHCP_RANGE ! –dst-range $DHCP_RANGE -m pkttype –pkt-type unicast -m addrtype ! –src-type LOCAL\
-m state –state NEW,ESTABLISHED,RELATED -j FORWARD_OUT

iptables -A FORWARD -i $LAN -p icmp –ipv4 -m iprange \
–src-range $DHCP_RANGE ! –dst-range $DHCP_RANGE -m pkttype –pkt-type unicast -m addrtype ! –src-type LOCAL\
-m state –state NEW,ESTABLISHED,RELATED -j FORWARD_OUT

# FORWARD_IN
iptables -A FORWARD -i $LAN -p tcp –ipv4 -m iprange \
! –src-range $DHCP_RANGE –dst-range $DHCP_RANGE -m pkttype –pkt-type unicast -m addrtype ! –src-type LOCAL\
-m state –state ESTABLISHED,RELATED -j FORWARD_IN

iptables -A FORWARD -i $LAN -p udp –ipv4 -m iprange \
! –src-range $DHCP_RANGE –dst-range $DHCP_RANGE -m pkttype –pkt-type unicast -m addrtype ! –src-type LOCAL\
-m state –state ESTABLISHED,RELATED -j FORWARD_IN

iptables -A FORWARD -i $LAN -p icmp –ipv4 -m iprange \
! –src-range $DHCP_RANGE –dst-range $DHCP_RANGE -m pkttype –pkt-type unicast -m addrtype ! –src-type LOCAL\
-m state –state ESTABLISHED,RELATED -j FORWARD_IN

# LAN_IN
iptables -A INPUT -i $LAN -p tcp –ipv4 -m iprange \
–src-range $DHCP_RANGE -d $RSS -m pkttype –pkt-type unicast -m addrtype –dst-type LOCAL\
-m state –state NEW,ESTABLISHED,RELATED -j LAN_IN

iptables -A INPUT -i $LAN -p udp –ipv4 -m iprange \
–src-range $DHCP_RANGE -d $RSS -m pkttype –pkt-type unicast -m addrtype –dst-type LOCAL\
-m state –state NEW,ESTABLISHED,RELATED -j LAN_IN

iptables -A INPUT -i $LAN -p icmp –ipv4 -m iprange \
–src-range $DHCP_RANGE -d $RSS -m pkttype –pkt-type unicast -m addrtype –dst-type LOCAL\
-m state –state NEW,ESTABLISHED,RELATED -j LAN_IN

# LAN_BROADCAST
iptables -A INPUT -i $LAN -p tcp –ipv4 \
! -d $RSS -m pkttype –pkt-type broadcast -m addrtype –dst-type BROADCAST\

-m state ! –state INVALID -j LAN_BROADCAST

iptables -A INPUT -i $LAN -p udp –ipv4 \
! -d $RSS -m pkttype –pkt-type broadcast -m addrtype –dst-type BROADCAST\
-m state ! –state INVALID -j LAN_BROADCAST

iptables -A INPUT -i $LAN -p icmp –ipv4 \
! -d $RSS -m pkttype –pkt-type broadcast -m addrtype –dst-type BROADCAST\
-m state ! –state INVALID -j LAN_BROADCAST

# INTERNET_GATEWAY
iptables -A INPUT -i $LAN -p tcp –ipv4 \
! -s $LAN_SUBNET -d $RSS -m pkttype –pkt-type unicast -m addrtype –dst-type LOCAL\
-m state –state ESTABLISHED,RELATED -j INTERNET_GATEWAY

iptables -A INPUT -i $LAN -p udp –ipv4 ! \
-s $LAN_SUBNET -d $RSS -m pkttype –pkt-type unicast -m addrtype –dst-type LOCAL\
-m state –state ESTABLISHED,RELATED -j INTERNET_GATEWAY

iptables -A INPUT -i $LAN -p icmp –ipv4 \
! -s $LAN_SUBNET -d $RSS -m pkttype –pkt-type unicast -m addrtype –dst-type LOCAL\
-m state –state ESTABLISHED,RELATED -j INTERNET_GATEWAY

# GATEWAY_LAN
iptables -A OUTPUT -o $LAN -p tcp –ipv4 \
-s $RSS -d $LAN_SUBNET -m pkttype –pkt-type unicast -m addrtype –dst-type UNICAST\
-m state –state NEW,ESTABLISHED,RELATED -j GATEWAY_LAN

iptables -A OUTPUT -o $LAN -p udp –ipv4 \
-s $RSS -d $LAN_SUBNET -m pkttype –pkt-type unicast -m addrtype –dst-type UNICAST\
-m state –state NEW,ESTABLISHED,RELATED -j GATEWAY_LAN

iptables -A OUTPUT -o $LAN -p icmp –ipv4 \
-s $RSS -d $LAN_SUBNET -m pkttype –pkt-type unicast -m addrtype –dst-type UNICAST\
-m state –state NEW,ESTABLISHED,RELATED -j GATEWAY_LAN

# GATEWAY_BROADCAST
iptables -A OUTPUT -o $LAN -p tcp –ipv4 \
-s $RSS -m pkttype –pkt-type broadcast -m addrtype –dst-type BROADCAST\
-m state –state NEW,ESTABLISHED,RELATED -j GATEWAY_BROADCAST

iptables -A OUTPUT -o $LAN -p udp –ipv4 \
-s $RSS -m pkttype –pkt-type broadcast -m addrtype –dst-type BROADCAST\
-m state –state NEW,ESTABLISHED,RELATED -j GATEWAY_BROADCAST

iptables -A OUTPUT -o $LAN -p icmp –ipv4 \
-s $RSS -m pkttype –pkt-type broadcast -m addrtype –dst-type BROADCAST\
-m state –state NEW,ESTABLISHED,RELATED -j GATEWAY_BROADCAST

# GATEWAY_INTERNET
iptables -A OUTPUT -o $LAN -p tcp –ipv4 \
-s $RSS ! -d $LAN_SUBNET -m pkttype –pkt-type unicast -m addrtype –dst-type UNICAST\
-m state –state NEW,ESTABLISHED,RELATED -j GATEWAY_INTERNET

iptables -A OUTPUT -o $LAN -p udp –ipv4 \
-s $RSS ! -d $LAN_SUBNET -m pkttype –pkt-type unicast -m addrtype –dst-type UNICAST\
-m state –state NEW,ESTABLISHED,RELATED -j GATEWAY_INTERNET

iptables -A OUTPUT -o $LAN -p icmp –ipv4 \
-s $RSS ! -d $LAN_SUBNET -m pkttype –pkt-type unicast -m addrtype –dst-type UNICAST\
-m state –state NEW,ESTABLISHED,RELATED -j GATEWAY_INTERNET

##############################################################################################

A continuación crearemos reglas en el fichero firewall.advanced con el comando

                                  sudo vi /etc/firewall.advanced

#!/bin/bash

# » Date August 2012
# » Author : Guillaume Kaddouch
# » URL :
# » Version : Advanced 1.0

echo «Setting up variables»
# VARIABLES TO CUSTOMISE TO MATCH YOUR NETWORK
LAN=»eth0″
LAN_SUBNET=»192.168.1.0/24″
DHCP_RANGE=»192.168.1.10-192.168.1.20″
DNS_SERVER1=»8.8.8.8″
DNS_SERVER2=»208.67.222.222″
RSS=»192.168.1.3″
MODEM_ROUTER=»192.168.1.1″
UNPRIV_PORTS=»1024:65535″
SSH=»15507″
NTP_SERVER=»65.55.21.22″

echo «Flushing existing chains and rules…»
# FLUSHING CHAINS & RULES
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

echo «Setting up default policies»
# DEFAULT POLICIES
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# LOOPBACK
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

echo «Creating chains»
# CHAINS
iptables -N FORWARD_OUT
iptables -N FORWARD_IN
iptables -N LAN_IN
iptables -N LAN_BROADCAST
iptables -N GATEWAY_LAN
iptables -N GATEWAY_BROADCAST
iptables -N GATEWAY_INTERNET
iptables -N INTERNET_GATEWAY
iptables -t nat -N NAT_OUT

# CHAIN TO CHECK, LOG, AND OPTIMISE
iptables -N CHECK_TCP_FLAGS
iptables -N LOGDROP_TCP_FLAGS
iptables -N LOGDROP_MALWARE
iptables -N LOGDROP_BADPORT
iptables -t mangle -N FAST_DNS

echo «Loading rules»

#################################
# PROTOCOL CHECK & OPTIMIZATION #
##############################################################################################
iptables -A FORWARD -i $LAN -p tcp –ipv4 -j CHECK_TCP_FLAGS
iptables -A INPUT -i $LAN -p tcp –ipv4 -j CHECK_TCP_FLAGS

iptables -t mangle -A OUTPUT -o $LAN -p tcp –ipv4 -s $RSS -m pkttype –pkt-type unicast –dport domain -m \
state –state NEW,ESTABLISHED,RELATED -j FAST_DNS

iptables -t mangle -A OUTPUT -o $LAN -p udp –ipv4 -s $RSS -m pkttype –pkt-type unicast –dport domain -m \
state –state NEW,ESTABLISHED,RELATED -j FAST_DNS
##############################################################################################

###################
# CHECK_TCP_FLAGS #
##############################################################################################
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ACK,FIN FIN -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ACK,PSH PSH -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ACK,URG URG -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags FIN,RST FIN,RST -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags SYN,FIN SYN,FIN -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags SYN,RST SYN,RST -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ALL ALL -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ALL NONE -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ALL FIN,PSH,URG -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ALL SYN,FIN,PSH,URG -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOGDROP_TCP_FLAGS

iptables -A LOGDROP_TCP_FLAGS -m limit –limit 1/s -j LOG –log-tcp-options –log-prefix \
«[IPTABLES: BAD TCP FLAGS]»

iptables -A LOGDROP_TCP_FLAGS -j DROP
##############################################################################################

############
# FAST_DNS #
##############################################################################################
iptables -t mangle -A FAST_DNS -p udp -d $DNS_SERVER1 -j TOS –set-tos Minimize-Delay
iptables -t mangle -A FAST_DNS -p udp -d $DNS_SERVER2 -j TOS –set-tos Minimize-Delay
iptables -t mangle -A FAST_DNS -p tcp -d $DNS_SERVER1 -j TOS –set-tos Minimize-Delay
iptables -t mangle -A FAST_DNS -p tcp -d $DNS_SERVER2 -j TOS –set-tos Minimize-Delay
##############################################################################################

# FLOW IDENTIFICATION #
source «/etc/firewall.flows»

############
# NAT_OUT #
##############################################################################################
iptables -t nat -A NAT_OUT -j MASQUERADE –random
##############################################################################################

###############
# FORWARD OUT #
##############################################################################################
# Potential Malware traffic
# If not dropped here, they would have been blocked by the default policy
# However, we take the opportunity to save them in a «bad_traffic» table
# This table enables us to block LAN’s hosts trying to access too many malware ports
# Thus being potentially infected (and requiring an antivirus analysis)
#
# As soon as a LAN host has hit 5 times rules below within 2mn, DROP all forward out from that host
iptables -A FORWARD_OUT -p tcp -m recent –name bad_traffic –rcheck –rttl –hitcount 5 –seconds 120 -j \
LOGDROP_MALWARE

iptables -A FORWARD_OUT -p tcp –dport 139 -m recent –name bad_traffic –set -j LOGDROP_BADPORT
iptables -A FORWARD_OUT -p tcp –dport 445 -m recent –name bad_traffic –set -j LOGDROP_BADPORT
iptables -A FORWARD_OUT -p tcp –dport 135 -m recent –name bad_traffic –set -j LOGDROP_BADPORT
iptables -A FORWARD_OUT -p tcp –dport 6667 -m recent –name bad_traffic –set -j LOGDROP_BADPORT
iptables -A FORWARD_OUT -p tcp –dport 1433:1434 -m recent –name bad_traffic –set -j LOGDROP_BADPORT
iptables -A FORWARD_OUT -p udp –dport 1433:1434 -m recent –name bad_traffic –set -j LOGDROP_BADPORT
iptables -A LOGDROP_BADPORT -m limit –limit 1/s -j LOG –log-prefix «[IPTABLES: BAD PORT]»
iptables -A LOGDROP_BADPORT -j DROP
iptables -A LOGDROP_MALWARE -m limit –limit 1/s -j LOG –log-prefix «[IPTABLES: INFECTED HOST]»
iptables -A LOGDROP_MALWARE -j DROP

# Allowed ports
iptables -A FORWARD_OUT -p tcp –sport $UNPRIV_PORTS -m multiport –dports ftp,http,https,8080 -j ACCEPT

# Allow ESTABLISHED and RELATED connections to other ports, required for FTP for instance
iptables -A FORWARD_OUT -p tcp –sport $UNPRIV_PORTS –dport $UNPRIV_PORTS -m state –state \
ESTABLISHED,RELATED -j ACCEPT

# NTP Requests (modify the variable at the begining)
iptables -A FORWARD_OUT -p udp -d $NTP_SERVER –sport ntp –dport ntp -j ACCEPT

# Echo request
iptables -A FORWARD_OUT -p icmp -m icmp –icmp-type echo-request -j ACCEPT

# Reject traffic we do not want, many options below (create the corresponding variables)
# iptables -A FORWARD_OUT -p tcp –dport $port_of_a_host_to_block -j REJECT –reject-with \
# icmp-host-prohibited
# iptables -A FORWARD_OUT -d $subnet_to_block -j REJECT –reject-with icmp-net-prohibited

# Block & Log everything else
iptables -A FORWARD_OUT -m limit –limit 1/s -j LOG –log-prefix «[IPTABLES: FORWARD_OUT]»
iptables -A FORWARD_OUT -j DROP
##############################################################################################

##############
# FORWARD_IN #
##############################################################################################
# Allow forwarding of incoming established or related flows, with a TTL > 10
iptables -A FORWARD_IN -m ttl –ttl-gt 10 -j ACCEPT

# Block & Log everything else
iptables -A FORWARD_IN -m limit –limit 1/s -j LOG –log-prefix «[IPTABLES: FORWARD_IN]»
iptables -A FORWARD_IN -j DROP
##############################################################################################

##########
# LAN_IN #
##############################################################################################
# Allow DHCP broadcasts from the inside
iptables -A LAN_IN -i $LAN -p udp –sport 67:68 –dport 67:68 -j ACCEPT

# Allow DNS queries from the LAN to the Raspberry Security Syste,
iptables -A LAN_IN -i $LAN -p udp –sport $UNPRIV_PORTS –dport 53 -j ACCEPT
iptables -A LAN_IN -i $LAN -p tcp –sport $UNPRIV_PORTS –dport 53 -j ACCEPT

# SSH connections
# (you may add a check for the remote OS)
iptables -A LAN_IN -i $LAN -p tcp –sport $UNPRIV_PORTS –dport $SSH -j ACCEPT

# ICMP LAN (Type 3 = unreachable [destination|port|protocol])
iptables -A LAN_IN -p icmp -m icmp –icmp-type echo-request -j ACCEPT
iptables -A LAN_IN -p icmp -m icmp –icmp-type 3 -j ACCEPT

# Block & Log everything else
iptables -A LAN_IN -m limit –limit 1/s -j LOG –log-prefix «[IPTABLES: LAN_IN]»
iptables -A LAN_IN -j DROP
##############################################################################################

##################
# LAN_BROADCAST #
##############################################################################################
# Allow DHCP broadcasts from the inside
iptables -A LAN_BROADCAST -i $LAN -p udp –sport 67:68 –dport 67:68 -j ACCEPT
# Block everything else (do not bother to log broadcast traffic)
iptables -A LAN_BROADCAST -j DROP
##############################################################################################

###########################
# INTERNET_GATEWAY #
##############################################################################################
# Allow already established connections from RSS to Internet to come back to RSS
iptables -A INTERNET_GATEWAY -p all -j ACCEPT
##############################################################################################

########################
# CHAINE GATEWAY_LAN #
##############################################################################################
# Block potential ICMP redirect sent from us (could be caused by a misconfigured sysctl)
iptables -A GATEWAY_LAN -p icmp -m icmp –icmp-type redirect -m limit –limit 1/s -j LOG –log-prefix \
«[IPTABLES: ICMP REDIRECT]»

iptables -A GATEWAY_LAN -p icmp -m icmp –icmp-type redirect -j DROP

# Allow LAN established connections to Raspberry to come back to the LAN
iptables -A GATEWAY_LAN -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A GATEWAY_LAN -p udp -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A GATEWAY_LAN -p icmp -m state –state ESTABLISHED,RELATED -j ACCEPT

# Allow DHCP related traffic
iptables -A GATEWAY_LAN -p udp –sport 67:68 –dport 67:68 -j ACCEPT

# Allow Raspi to ping the LAN
iptables -A GATEWAY_LAN -p icmp -m icmp –icmp-type echo-request -m state –state NEW -j ACCEPT

# Block & Log everything else
iptables -A GATEWAY_LAN -m limit –limit 1/s -j LOG –log-prefix «[IPTABLES: GATEWAY_LAN]»
iptables -A GATEWAY_LAN -j DROP
##############################################################################################

#####################
# GATEWAY_BROADCAST #
##############################################################################################
# Allow broadcast DHCP replies from RSS
iptables -A GATEWAY_BROADCAST -p udp –sport 67:68 –dport 67:68 -j ACCEPT

# Block & Log everything else
iptables -A GATEWAY_BROADCAST -m limit –limit 1/s -j LOG –log-prefix «[IPTABLES: GATEWAY_BROADCAST]»
iptables -A GATEWAY_BROADCAST -j DROP
##############################################################################################

####################
# GATEWAY_INTERNET #
##############################################################################################
# Allow new connections from Raspberry (necessary for updates, installing packages, etc…)
# I do not run updates the night, consequently there is no need for the rule to be active 24/24
iptables -A GATEWAY_INTERNET -p tcp -m multiport –dports ftp,http,https -m time –timestart 09:00 –timestop \
23:00 -j ACCEPT

# Résolutions DNS
iptables -A GATEWAY_INTERNET -p udp –sport $UNPRIV_PORTS -d $DNS_SERVER1 –dport domain -j ACCEPT
iptables -A GATEWAY_INTERNET -p udp –sport $UNPRIV_PORTS -d $DNS_SERVER2 –dport domain -j ACCEPT
iptables -A GATEWAY_INTERNET -p tcp –sport $UNPRIV_PORTS -d $DNS_SERVER1 –dport domain -j ACCEPT
iptables -A GATEWAY_INTERNET -p tcp –sport $UNPRIV_PORTS -d $DNS_SERVER2 –dport domain -j ACCEPT

# Happens when reloading firewall rules
iptables -A GATEWAY_INTERNET -p icmp -m icmp –icmp-type port-unreachable -d $DNS_SERVER1 -j DROP
iptables -A GATEWAY_INTERNET -p icmp -m icmp –icmp-type port-unreachable -d $DNS_SERVER2 -j DROP

# Allow NTP
iptables -A GATEWAY_INTERNET -p udp –dport ntp -j ACCEPT

# Block & Log everything else
iptables -A GATEWAY_INTERNET -m limit –limit 1/s -j LOG –log-prefix «[IPTABLES: GATEWAY_INTERNET]»
iptables -A GATEWAY_INTERNET -j DROP
##############################################################################################

## RULES END ##
rules_number=`egrep ‘\-j’ /etc/firewall.advanced | wc -l`
flows_number=`egrep ‘\-j’ /etc/firewall.flows | wc -l`
total_rules=$(( rules_number+flows_number ))
echo «»
echo «$total_rules rules loaded.»
echo «»

Crearemos más reglas del iptables en el fichero firewall.simple con el comando

                                  sudo vi /etc/firewall.simple

#!/bin/bash

# Date August 2012
# Author : Guillaume Kaddouch
# URL : http://networkfilter.blogspot.com
# Version : Standard 1.0

echo «Setting up variables»
# VARIABLES TO CUSTOMISE TO MATCH YOUR NETWORK
LAN=»eth0″
LAN_SUBNET=»192.168.1.0/24″
DHCP_RANGE=»192.168.1.10-192.168.1.20″
DNS_SERVER1=»8.8.8.8″
DNS_SERVER2=»208.67.222.222″
RSS=»192.168.1.3″
MODEM_ROUTER=»192.168.1.1″
UNPRIV_PORTS=»1024:65535″
SSH=»15507″
NTP_SERVER=»65.55.21.22″

echo «Flushing existing chains and rules…»
# FLUSHING CHAINS & RULES
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

echo «Setting up default policies»
# DEFAULT POLICIES
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# LOOPBACK
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

echo «Creating chains»

# CHAIN TO CHECK, LOG, AND OPTIMISE
iptables -N CHECK_TCP_FLAGS
iptables -N LOGDROP_TCP_FLAGS
iptables -t mangle -N FAST_DNS

echo «Loading rules»
#################################
# PROTOCOL CHECK & OPTIMIZATION #
##############################################################################################
iptables -A FORWARD -i $LAN -p tcp –ipv4 -j CHECK_TCP_FLAGS
iptables -A INPUT -i $LAN -p tcp –ipv4 -j CHECK_TCP_FLAGS

iptables -t mangle -A OUTPUT -o $LAN -p tcp –ipv4 -s $RSS -m pkttype –pkt-type unicast –dport domain \
-m state –state NEW,ESTABLISHED,RELATED -j FAST_DNS

iptables -t mangle -A OUTPUT -o $LAN -p udp –ipv4 -s $RSS -m pkttype –pkt-type unicast –dport domain \
-m state –state NEW,ESTABLISHED,RELATED -j FAST_DNS
##############################################################################################

###################
# CHECK_TCP_FLAGS #
##############################################################################################
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ACK,FIN FIN -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ACK,PSH PSH -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ACK,URG URG -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags FIN,RST FIN,RST -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags SYN,FIN SYN,FIN -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags SYN,RST SYN,RST -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ALL ALL -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ALL NONE -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ALL FIN,PSH,URG -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ALL SYN,FIN,PSH,URG -j LOGDROP_TCP_FLAGS
iptables -A CHECK_TCP_FLAGS -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOGDROP_TCP_FLAGS

iptables -A LOGDROP_TCP_FLAGS -m limit –limit 1/s -j LOG –log-tcp-options –log-prefix \
«[IPTABLES: BAD TCP FLAGS]»

iptables -A LOGDROP_TCP_FLAGS -j DROP
##############################################################################################

############
# FAST_DNS #
##############################################################################################
iptables -t mangle -A FAST_DNS -p udp -d $DNS_SERVER1 -j TOS –set-tos Minimize-Delay
iptables -t mangle -A FAST_DNS -p udp -d $DNS_SERVER2 -j TOS –set-tos Minimize-Delay
iptables -t mangle -A FAST_DNS -p tcp -d $DNS_SERVER1 -j TOS –set-tos Minimize-Delay
iptables -t mangle -A FAST_DNS -p tcp -d $DNS_SERVER2 -j TOS –set-tos Minimize-Delay
##############################################################################################

#######
# NAT #
##############################################################################################
iptables -t nat -A POSTROUTING -o $LAN ! -d $LAN_SUBNET -m state –state NEW,ESTABLISHED,RELATED -j MASQUERADE\
–random
##############################################################################################

###########
# FORWARD #
##############################################################################################
# Allow outgoing forward of any connection
iptables -A FORWARD -p tcp -i $LAN -s $LAN_SUBNET ! -d $LAN_SUBNET -m state –state NEW,ESTABLISHED,RELATED \
-j ACCEPT

iptables -A FORWARD -p udp -i $LAN -s $LAN_SUBNET ! -d $LAN_SUBNET -m state –state NEW,ESTABLISHED,RELATED \
-j ACCEPT

iptables -A FORWARD -p icmp -i $LAN -s $LAN_SUBNET ! -d $LAN_SUBNET -m state –state NEW,ESTABLISHED,RELATED \
-j ACCEPT

# Allow incoming forward of established or related connections with TTL greater than 10
iptables -A FORWARD -p tcp -i $LAN ! -s $LAN_SUBNET -d $LAN_SUBNET -m state –state ESTABLISHED,RELATED -m \
ttl –ttl-gt 10 -j ACCEPT

iptables -A FORWARD -p udp -i $LAN ! -s $LAN_SUBNET -d $LAN_SUBNET -m state –state ESTABLISHED,RELATED -m \
ttl –ttl-gt 10 -j ACCEPT

iptables -A FORWARD -p icmp -i $LAN ! -s $LAN_SUBNET -d $LAN_SUBNET -m state –state ESTABLISHED,RELATED -m \
ttl –ttl-gt 10 -j ACCEPT
##############################################################################################

#########
# INPUT #
##############################################################################################
# Allow DHCP broadcasts from the inside
iptables -A INPUT -i $LAN -p udp -s $LAN_SUBNET –sport 67:68 –dport 67:68 -j ACCEPT

# Allow DNS queries from the LAN to the Raspberry
iptables -A INPUT -i $LAN -p udp -s $LAN_SUBNET –sport $UNPRIV_PORTS -d $RSS –dport 53 -j ACCEPT
iptables -A INPUT -i $LAN -p tcp -s $LAN_SUBNET –sport $UNPRIV_PORTS -d $RSS –dport 53 -j ACCEPT

# SSH connections
iptables -A INPUT -i $LAN -p tcp -s $LAN_SUBNET –sport $UNPRIV_PORTS -d $RSS –dport $SSH -j ACCEPT

# ICMP LAN (Type 3 = unreachable [destination|port|protocol])
iptables -A INPUT -p icmp -m icmp –icmp-type echo-request -s $LAN_SUBNET -d $RSS -j ACCEPT
iptables -A INPUT -p icmp -m icmp –icmp-type 3 -s $LAN_SUBNET -d $RSS -j ACCEPT

# Allow already established connections from Raspberry to Internet to come back to itl
iptables -A INPUT -i $LAN ! -s $LAN_SUBNET -d $RSS -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $LAN ! -s $LAN_SUBNET -d $RSS -p udp -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $LAN ! -s $LAN_SUBNET -d $RSS -p icmp -m state –state ESTABLISHED,RELATED -j ACCEPT
##############################################################################################

###########
# OUTPUT #
##############################################################################################
# Block potential ICMP redirect sent from us (could be caused by a misconfigured sysctl)
iptables -A OUTPUT -o $LAN -p icmp -m icmp –icmp-type redirect -m limit –limit 1/s -j LOG –log-prefix \
«[IPTABLES: ICMP REDIRECT]»

iptables -A OUTPUT -o $LAN -p icmp -m icmp –icmp-type redirect -j DROP

# Allow LAN established connections to the Raspi to come back to the LAN
iptables -A OUTPUT -o $LAN -p tcp -s $RSS -d $LAN_SUBNET -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $LAN -p udp -s $RSS -d $LAN_SUBNET -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $LAN -p icmp -s $RSS -d $LAN_SUBNET -m state –state ESTABLISHED,RELATED -j ACCEPT

# Allow DHCP related traffic
iptables -A OUTPUT -o $LAN -p udp -s $RSS -d $LAN_SUBNET –sport 67:68 –dport 67:68 -j ACCEPT

# Allow Raspberry to ping the LAN
iptables -A OUTPUT -o $LAN -p icmp -m icmp –icmp-type echo-request -s $RSS -d $LAN_SUBNET -m state \
–state NEW -j ACCEPT

# Allow new connections from Raspberry (necessary for updates, installing packages, etc…)
iptables -A OUTPUT -o $LAN -p tcp -s $RSS ! -d $LAN_SUBNET -m state –state NEW,ESTABLISHED,RELATED \
-j ACCEPT

iptables -A OUTPUT -o $LAN -p udp -s $RSS ! -d $LAN_SUBNET -m state –state NEW,ESTABLISHED,RELATED \
-j ACCEPT

iptables -A OUTPUT -o $LAN -p icmp -s $RSS ! -d $LAN_SUBNET -m state –state NEW,ESTABLISHED,RELATED \
-j ACCEPT

# DNS requests
iptables -A OUTPUT -o $LAN -p udp -s $RSS –sport $UNPRIV_PORTS -d $DNS_SERVER1 –dport domain -j ACCEPT
iptables -A OUTPUT -o $LAN -p udp -s $RSS –sport $UNPRIV_PORTS -d $DNS_SERVER2 –dport domain -j ACCEPT
iptables -A OUTPUT -o $LAN -p tcp -s $RSS –sport $UNPRIV_PORTS -d $DNS_SERVER1 –dport domain -j ACCEPT
iptables -A OUTPUT -o $LAN -p tcp -s $RSS –sport $UNPRIV_PORTS -d $DNS_SERVER2 –dport domain -j ACCEPT
# Allow NTP
iptables -A OUTPUT -o $LAN -p udp –dport ntp -s $RSS -j ACCEPT
##############################################################################################

iptables -A INPUT -m limit –limit 1/s -j LOG –log-prefix «[IPTABLES: INPUT DROP]»
iptables -A INPUT -j DROP
iptables -A OUTPUT -m limit –limit 1/s -j LOG –log-prefix «[IPTABLES: OUTPUT DROP]»
iptables -A OUTPUT -j DROP
iptables -A FORWARD -m limit –limit 1/s -j LOG –log-prefix «[IPTABLES: FORWARD DROP]»
iptables -A FORWARD -j DROP

## RULES END ##
rules_number=`egrep ‘\-j’ /etc/firewall.simple | wc -l`
echo «»
echo «$rules_number rules loaded.»
echo «»

Cargaremos las reglas con el fichero rc.local con el comando

                                  sudo vi /etc/rc.local

El sistema nos devolverá el siguiente resultado:

echo «Loading iptables rules»
/etc/firewall.VERSION >> /dev/nu

Si queremos observar los resultados arrojados por dicho fichero lo harem os con el siguiente comando

                                  sudo tail -f /var/log/iptables.log

Configuraremos el fichero logrotate.conf con el comando

                                  sudo vi /etc/logrotate.conf

# see «man logrotate» for details
# rotate log files weekly
weekly# keep 12 weeks worth of backlogs
rotate 12

Tercer paso: CONFIGURACION de SNORT

En primer lugar instalaremos Snort con el comando

                                  sudo pacman -S snort

Posteriormente configuraremos el fichero snort.conf con el comando

                                  sudo vi /etc/snort/snort.conf

# Step 1 : variables
#########################################################################################################################
ipvar HOME_NET [192.168.1.0/24]
ipvar EXTERNAL_NET !$HOME_NET
ipvar DNS_SERVERS [192.168.1.3]
ipvar SMTP_SERVERS $HOME_NET
ipvar HTTP_SERVERS $HOME_NET
ipvar SQL_SERVERS $HOME_NET
ipvar TELNET_SERVERS $HOME_NET
ipvar FTP_SERVERS $HOME_NET
ipvar SIP_SERVERS $HOME_NET
portvar HTTP_PORTS 80
portvar ORACLE_PORTS 1024:
portvar FTP_PORTS [21,2100,3535]
portvar SIP_PORTS [5060,5061,5600]
portvar FILE_DATA_PORTS [$HTTP_PORTS,110,143]
ipvar SSH_SERVERS [192.168.1.3]
portvar SHELLCODE_PORTS !80
portvar SSH_PORTS [22,15507]
portvar GTP_PORTS [2123,2152,3386]
ipvar AIM_SERVERS [64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.188.248.0/24]var RULE_PATH /etc/snort/rules
var SO_RULE_PATH ../so_rules
var PREPROC_RULE_PATH ../preproc_rules
var WHITE_LIST_PATH $RULE_PATH
var BLACK_LIST_PATH $RULE_PATH# Step #2: Configure the decoder. For more information, see README.decode
#########################################################################################################################
config disable_decode_alerts
config disable_tcpopt_experimental_alerts
config disable_tcpopt_obsolete_alerts
config disable_tcpopt_ttcp_alerts
config disable_tcpopt_alerts
config disable_ipopt_alerts
config checksum_mode: all

# Step #3: Configure the base detection engine. For more information, see README.decode
#########################################################################################################################
config pcre_match_limit: 3500
config pcre_match_limit_recursion: 1500

# This setting is very important :
# «lowmem» is required for Snort to run with low memory
config detection: search-method lowmem search-optimize max-pattern-len 20

config event_queue: max_queue 8 log 3 order_events content_length
config paf_max: 16000

# Step #4: Configure dynamic loaded libraries.
#########################################################################################################################
dynamicpreprocessor directory /usr/lib/snort_dynamicpreprocessor/
dynamicengine /usr/lib/snort_dynamicengine/libsf_engine.so

# Step #5: Configure preprocessors
#########################################################################################################################
preprocessor normalize_ip4
preprocessor normalize_tcp: ips ecn stream
preprocessor normalize_icmp4
preprocessor normalize_ip6
preprocessor normalize_icmp6
preprocessor frag3_global: max_frags 65536
preprocessor frag3_engine: policy windows detect_anomalies overlap_limit 10 min_fragment_length 100 timeout 180

# Target-Based stateful inspection/stream reassembly. For more inforation, see README.stream5
preprocessor stream5_global: track_tcp yes, \
track_udp yes, \
track_icmp no, \
max_tcp 262144, \
max_udp 131072, \
max_active_responses 2, \
min_response_seconds 5
preprocessor stream5_tcp: policy windows, detect_anomalies, require_3whs 180, \
overlap_limit 10, small_segments 3 bytes 150, timeout 180, \
ports client 21 22 23 25 42 53 79 109 110 111 113 119 135 136 137 139 143 \
161 445 513 514 587 593 691 1433 1521 2100 3306 6070 6665 6666 6667 6668 6669 \
7000 8181 32770 32771 32772 32773 32774 32775 32776 32777 32778 32779, \
ports both 80 81 311 443 465 563 591 593 636 901 989 992 993 994 995 1220 1414 1830 2301 2381 2809 3128 3702 4343 5250 7907 7001 7145 7510 7802 7777 7779 \
7801 7900 7901 7902 7903 7904 7905 7906 7908 7909 7910 7911 7912 7913 7914 7915 7916 \
7917 7918 7919 7920 8000 8008 8014 8028 8080 8088 8118 8123 8180 8243 8280 8800 8888 8899 9080 9090 9091 9443 9999 11371 55555
preprocessor stream5_udp: timeout 180

# HTTP normalization and anomaly detection. For more information, see README.http_inspect
preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decompress_depth 65535
preprocessor http_inspect_server: server default \
http_methods { GET POST PUT SEARCH MKCOL COPY MOVE LOCK UNLOCK NOTIFY POLL BCOPY BDELETE BMOVE LINK UNLINK OPTIONS HEAD DELETE TRACE TRACK CONNECT SOURCE SUBSCRIBE UNSUBSCRIBE PROPFIND PROPPATCH BPROPFIND BPROPPATCH RPC_CONNECT PROXY_SUCCESS BITS_POST CCM_POST SMS_POST RPC_IN_DATA RPC_OUT_DATA RPC_ECHO_DATA } \
chunk_length 500000 \
server_flow_depth 0 \
client_flow_depth 0 \
post_depth 65495 \
oversize_dir_length 500 \
max_header_length 750 \
max_headers 100 \
max_spaces 0 \
small_chunk_length { 10 5 } \
ports { 80 81 311 591 593 901 1220 1414 1830 2301 2381 2809 3128 3702 4343 5250 7001 7145 7510 7777 7779 8000 8008 8014 8028 8080 8088 8118 8123 8180 8181 8243 8280 8800 8888 8899 9080 9090 9091 9443 9999 11371 55555 } \
non_rfc_char { 0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07 } \
enable_cookie \
extended_response_inspection \
inspect_gzip \
normalize_utf \
unlimited_decompress \
normalize_javascript \
apache_whitespace no \
ascii no \
bare_byte no \
directory no \
double_decode no \
iis_backslash no \
iis_delimiter no \
iis_unicode no \
multi_slash no \
utf_8 no \
u_encode yes \
webroot no

# ONC-RPC normalization and anomaly detection. For more information, see the Snort Manual, Configuring Snort – Preprocessors – RPC Decode
preprocessor rpc_decode: 111 32770 32771 32772 32773 32774 32775 32776 32777 32778 32779 no_alert_multiple_requests no_alert_large_fragments no_alert_incomplete

# Back Orifice detection.
preprocessor bo

# FTP / Telnet normalization and anomaly detection. For more information, see README.ftptelnet
preprocessor ftp_telnet: global inspection_type stateful encrypted_traffic no
preprocessor ftp_telnet_protocol: telnet \
ayt_attack_thresh 20 \
normalize ports { 23 } \
detect_anomalies
preprocessor ftp_telnet_protocol: ftp server default \
def_max_param_len 100 \
ports { 21 2100 3535 } \
telnet_cmds yes \
ignore_telnet_erase_cmds yes \
ftp_cmds { ABOR ACCT ADAT ALLO APPE AUTH CCC CDUP } \
ftp_cmds { CEL CLNT CMD CONF CWD DELE ENC EPRT } \
ftp_cmds { EPSV ESTA ESTP FEAT HELP LANG LIST LPRT } \
ftp_cmds { LPSV MACB MAIL MDTM MIC MKD MLSD MLST } \
ftp_cmds { MODE NLST NOOP OPTS PASS PASV PBSZ PORT } \
ftp_cmds { PROT PWD QUIT REIN REST RETR RMD RNFR } \
ftp_cmds { RNTO SDUP SITE SIZE SMNT STAT STOR STOU } \
ftp_cmds { STRU SYST TEST TYPE USER XCUP XCRC XCWD } \
ftp_cmds { XMAS XMD5 XMKD XPWD XRCP XRMD XRSQ XSEM } \
ftp_cmds { XSEN XSHA1 XSHA256 } \
alt_max_param_len 0 { ABOR CCC CDUP ESTA FEAT LPSV NOOP PASV PWD QUIT REIN STOU SYST XCUP XPWD } \
alt_max_param_len 200 { ALLO APPE CMD HELP NLST RETR RNFR STOR STOU XMKD } \
alt_max_param_len 256 { CWD RNTO } \
alt_max_param_len 400 { PORT } \
alt_max_param_len 512 { SIZE } \
chk_str_fmt { ACCT ADAT ALLO APPE AUTH CEL CLNT CMD } \
chk_str_fmt { CONF CWD DELE ENC EPRT EPSV ESTP HELP } \
chk_str_fmt { LANG LIST LPRT MACB MAIL MDTM MIC MKD } \
chk_str_fmt { MLSD MLST MODE NLST OPTS PASS PBSZ PORT } \
chk_str_fmt { PROT REST RETR RMD RNFR RNTO SDUP SITE } \
chk_str_fmt { SIZE SMNT STAT STOR STRU TEST TYPE USER } \
chk_str_fmt { XCRC XCWD XMAS XMD5 XMKD XRCP XRMD XRSQ } \
chk_str_fmt { XSEM XSEN XSHA1 XSHA256 } \
cmd_validity ALLO < int [ char R int ] > \
cmd_validity EPSV < [ { char 12 | char A char L char L } ] > \
cmd_validity MACB < string > \
cmd_validity MDTM < [ date nnnnnnnnnnnnnn[.n[n[n]]] ] string > \
cmd_validity MODE < char ASBCZ > \
cmd_validity PORT < host_port > \
cmd_validity PROT < char CSEP > \
cmd_validity STRU < char FRPO [ string ] > \
cmd_validity TYPE < { char AE [ char NTC ] | char I | char L [ number ] } >
preprocessor ftp_telnet_protocol: ftp client default \
max_resp_len 256 \
bounce yes \
ignore_telnet_erase_cmds yes \
telnet_cmds yes
# SMTP normalization and anomaly detection. For more information, see README.SMTP
preprocessor smtp: ports { 25 465 587 691 } \
inspection_type stateful \
b64_decode_depth 0 \
qp_decode_depth 0 \
bitenc_decode_depth 0 \
uu_decode_depth 0 \
log_mailfrom \
log_rcptto \
log_filename \
log_email_hdrs \
normalize cmds \
normalize_cmds { ATRN AUTH BDAT CHUNKING DATA DEBUG EHLO EMAL ESAM ESND ESOM ETRN EVFY } \
normalize_cmds { EXPN HELO HELP IDENT MAIL NOOP ONEX QUEU QUIT RCPT RSET SAML SEND SOML } \
normalize_cmds { STARTTLS TICK TIME TURN TURNME VERB VRFY X-ADAT X-DRCP X-ERCP X-EXCH50 } \
normalize_cmds { X-EXPS X-LINK2STATE XADR XAUTH XCIR XEXCH50 XGEN XLICENSE XQUE XSTA XTRN XUSR } \
max_command_line_len 512 \
max_header_line_len 1000 \

max_response_line_len 512 \
alt_max_command_line_len 260 { MAIL } \
alt_max_command_line_len 300 { RCPT } \
alt_max_command_line_len 500 { HELP HELO ETRN EHLO } \
alt_max_command_line_len 255 { EXPN VRFY ATRN SIZE BDAT DEBUG EMAL ESAM ESND ESOM EVFY IDENT NOOP RSET } \
alt_max_command_line_len 246 { SEND SAML SOML AUTH TURN ETRN DATA RSET QUIT ONEX QUEU STARTTLS TICK TIME TURNME VERB X-EXPS X-LINK2STATE XADR XAUTH XCIR XEXCH50 XGEN XLICENSE XQUE XSTA XTRN XUSR } \
valid_cmds { ATRN AUTH BDAT CHUNKING DATA DEBUG EHLO EMAL ESAM ESND ESOM ETRN EVFY } \
valid_cmds { EXPN HELO HELP IDENT MAIL NOOP ONEX QUEU QUIT RCPT RSET SAML SEND SOML } \
valid_cmds { STARTTLS TICK TIME TURN TURNME VERB VRFY X-ADAT X-DRCP X-ERCP X-EXCH50 } \
valid_cmds { X-EXPS X-LINK2STATE XADR XAUTH XCIR XEXCH50 XGEN XLICENSE XQUE XSTA XTRN XUSR } \
xlink2state { enabled }

# Portscan detection. For more information, see README.sfportscan
# preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { low }

# ARP spoof detection. For more information, see the Snort Manual – Configuring Snort – Preprocessors – ARP Spoof Preprocessor
# preprocessor arpspoof
# preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00

# SSH anomaly detection. For more information, see README.ssh
preprocessor ssh: server_ports { 22 15507 } \
autodetect \
max_client_bytes 19600 \
max_encrypted_packets 20 \
max_server_version_len 100 \
enable_respoverflow enable_ssh1crc32 \
enable_srvoverflow enable_protomismatch

# SMB / DCE-RPC normalization and anomaly detection. For more information, see README.dcerpc2
preprocessor dcerpc2: memcap 102400, events [co ]
preprocessor dcerpc2_server: default, policy WinXP, \
detect [smb [139,445], tcp 135, udp 135, rpc-over-http-server 593], \
autodetect [tcp 1025:, udp 1025:, rpc-over-http-server 1025:], \
smb_max_chain 3, smb_invalid_shares [«C$», «D$», «ADMIN$»]

# DNS anomaly detection. For more information, see README.dns
preprocessor dns: ports { 53 } enable_rdata_overflow

# SSL anomaly detection and traffic bypass. For more information, see README.ssl
preprocessor ssl: ports { 443 465 563 636 989 992 993 994 995 7801 7802 7900 7901 7902 7903 7904 7905 7906 7907 7908 7909 7910 7911 7912 7913 7914 7915 7916 7917 7918 7919 7920 }, trustservers, noinspect_encrypted

# SDF sensitive data preprocessor. For more information see README.sensitive_data
preprocessor sensitive_data: alert_threshold 25

# Modbus preprocessor. For more information see README.modbus
preprocessor modbus: ports { 502 }

# DNP3 preprocessor. For more information see README.dnp3
preprocessor dnp3: ports { 20000 } \
memcap 262144 \
check_crc

# Reputation preprocessor. For more information see README.reputation
preprocessor reputation: \
memcap 500, \
priority whitelist, \
nested_ip inner, \
whitelist $WHITE_LIST_PATH/white_list.rules, \
blacklist $BLACK_LIST_PATH/black_list.rules

# Step #6: Configure output plugins
#########################################################################################################################
include classification.config
include reference.config

# Step #7: Customize your rule set
#########################################################################################################################
include $RULE_PATH/local.rules
# Minimal rules for home NIDS (6 files)
include $RULE_PATH/attack-responses.rules
include $RULE_PATH/backdoor.rules
include $RULE_PATH/botnet-cnc.rules
include $RULE_PATH/spyware-put.rules
include $RULE_PATH/virus.rules
include $RULE_PATH/web-client.rules

# Additional rules (15 files)
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/ddos.rules
include $RULE_PATH/dns.rules
include $RULE_PATH/dos.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/netbios.rules
include $RULE_PATH/p2p.rules
include $RULE_PATH/phishing-spam.rules
include $RULE_PATH/rpc.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/shellcode.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/specific-threats.rules
include $RULE_PATH/telnet.rules

## TOTAL FILES = 21 files to load

# Other disabled files : Suit yourself
#include $RULE_PATH/blacklist.rules
#include $RULE_PATH/pop3.rules
#include $RULE_PATH/rservices.rules
#include $RULE_PATH/scada.rules
#include $RULE_PATH/snmp.rules
#include $RULE_PATH/sql.rules
#include $RULE_PATH/tftp.rules
#include $RULE_PATH/voip.rules
#include $RULE_PATH/web-activex.rules
#include $RULE_PATH/web-attacks.rules
#include $RULE_PATH/web-cgi.rules
#include $RULE_PATH/web-coldfusion.rules
#include $RULE_PATH/web-frontpage.rules
#include $RULE_PATH/web-iis.rules
#include $RULE_PATH/web-misc.rules
#include $RULE_PATH/web-php.rules
#include $RULE_PATH/x11.rules

###################################################
# Step #8: Customize your preprocessor and decoder alerts
# For more information, see README.decoder_preproc_rules
###################################################

# decoder and preprocessor event rules
# include $PREPROC_RULE_PATH/preprocessor.rules
# include $PREPROC_RULE_PATH/decoder.rules
# include $PREPROC_RULE_PATH/sensitive-data.rules

###################################################
# Step #9: Customize your Shared Object Snort Rules
# For more information, see http://vrt-sourcefire.blogspot.com/2009 … rules.html
###################################################

# dynamic library rules
# include $SO_RULE_PATH/bad-traffic.rules
# include $SO_RULE_PATH/chat.rules
# include $SO_RULE_PATH/dos.rules
# include $SO_RULE_PATH/exploit.rules
# include $SO_RULE_PATH/icmp.rules
# include $SO_RULE_PATH/imap.rules
# include $SO_RULE_PATH/misc.rules
# include $SO_RULE_PATH/multimedia.rules
# include $SO_RULE_PATH/netbios.rules
# include $SO_RULE_PATH/nntp.rules
# include $SO_RULE_PATH/p2p.rules
# include $SO_RULE_PATH/smtp.rules
# include $SO_RULE_PATH/snmp.rules
# include $SO_RULE_PATH/specific-threats.rules
# include $SO_RULE_PATH/web-activex.rules
# include $SO_RULE_PATH/web-client.rules
# include $SO_RULE_PATH/web-iis.rules
# include $SO_RULE_PATH/web-misc.rules

# Event thresholding or suppression commands. See threshold.conf
include threshold.conf

#include $RULE_PATH/chat.rules
#include $RULE_PATH/content-replace.rules
#include $RULE_PATH/file-identify.rules
#include $RULE_PATH/finger.rules
#include $RULE_PATH/icmp.rules
#include $RULE_PATH/icmp-info.rules
#include $RULE_PATH/imap.rules
#include $RULE_PATH/info.rules
#include $RULE_PATH/misc.rules
#include $RULE_PATH/multimedia.rules
#include $RULE_PATH/mysql.rules
#include $RULE_PATH/nntp.rules
#include $RULE_PATH/oracle.rules
#include $RULE_PATH/other-ids.rules
#include $RULE_PATH/policy.rules
#include $RULE_PATH/pop2.rules

Por defecto SNORT no tiene reglas configuradas, así que debemos registrarnos en la web de SNORT para descargarlas en la URL https://www.snort.org/users/sign_upExiste la posibilidad de registrarse gratuitamente durante un mes

Una vez registrado procederemos a generar una descarga gratuita de las reglas https://www.snort.org/downloads/#rule-downloads

Es posible descargar las reglas para la versión 3.0 en la URL https://www.snort.org/downloads/communi … les.tar.gz y para la versión 2.9 en la URL https://www.snort.org/downloads/communi … les.tar.gz

A continuación entramos en la carpeta del usuario rss con el comando

                                  cd /home/rss

                                  wget http://www.snort.org/reg-rules/snortrules-snapshot-VERSION.tar.gz/oinkcode -O ./snortrules-snapshot-VERSION.tar.gz

Una vez descargado el fichero procedemos a descomprimirlo con TAR

                                  tar zxpvf ./snortrules-snapshot-VERSION.tar.gz

                                  sudo mv ./preproc_rules/ /etc/snort/
sudo mv ./rules/ /etc/snort/
sudo mv ./so_rules/ /etc/snort/

Crearemos dos ficheros white_list.rules y black_list.rules

                                  touch /etc/snort/rules/white_list.rules
touch /etc/snort/rules/black_list.rules

Verificamos la versión de snort instalada con el comendo

                                  sudo snort –version

Creamos un test de alerta para verificar el funcionamiento de snort con el comando

                                  sudo vi /etc/snort/rules/local.rules

alert icmp any any -> $HOME_NET any (msg:»ICMP test»; sid:10000001;)

verificaremos igualmente la configuración con el comando

                                  sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 -T

Verificaremos en pantalla las alertas en pantalla con el comando

                                  sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

La última verificación que haremos será reiniciar el sistema con el comando reboot para verificar que todo funciona correctamente

                                  reboot

Cuarto paso: VERIFICACION FUNCIONAMIENTO

Configuración del fichero snort con el comando

                                  sudo vi /etc/conf.d/snort

# Where is the snort.conf file.
SNORT_CONF=»/etc/snort/snort.conf»# What user account should we run under.
USER=»snort»# What group account should we run under.
GROUP=»snort»

# define the interface we listen on
INTERFACE=»eth0″

# If you are using prelude, delete the ‘-A fast’ option
SNORT_OPTIONS=»-A fast -b -D -p»

Si todo funciona correctamente snort mostrará que esta en funcionamiento con el comando en caso de que no funcione correctamente mostrará el mensaje fork: Cannot Allocate Memory

                                  sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 -D

Crearemos una partición SWAP de 512 Mb con el comando

                                  sudo dd if=/dev/zero of=/swapfile.img bs=1M count=512
sudo mkswap /swapfile.img
sudo swapon /swapfile.img

SNORT debería funcionar de forma fluida a partir de ese momento con el comando

                                            sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 -D

Arrancaremos la SWAP con el comando

                                            sudo vi /etc/fstab

# add this at the end
/swapfile.img none swap sw 0 0

Configuraremos SNORT para arrancarse automaticamente con el comando

                                            sudo vi /etc/rc.conf

DAEMONS=(!hwclock syslog-ng network @crond @sshd @openntpd dnsmasq snort)

Reiniciaremos de nuevo el sistema con el comando

                                            sudo reboot

                                            htop

                                            sudo tail –f /var/log/snort/alert

Si todo ha funcionado bien, el test de funcionamiento de las reglas lo verificaremos con el comando

                                            sudo vi /etc/snort/rules/local.rules

Reiniciamos SNORT y verificamos el resultado

                                            sudo rc.d restart snort

COVID-19 y ciberdelincuencia

Si algo ha potenciado de manera insospechada el cibercrimen ha sido el estado de confinamiento social de miles de millones de ciudadanos en el mundo. En una sociedad globalizada y conectada a internet, los criminales campan a sus anchas ahora mas que nunca, al haber acercado a neófitos en las compras online o intercambios de bienes a autenticos delincuentes reconvertidos al entorno virtual. Incluso aquellos habituados a las compras telemáticas han encontrado problemas de fialibilidad en operadores consolidados y en empresas de mensajería y logística.

El defacement sobre empresas legítimas y sólidas como la logística DHL la ha empujado a emitir un comunicado en su web donde denuncian la suplantación de sus servicios por terceros. En su caso operadores de la empresa mediante whatsapp contactan con posibles víctimas através de empresas de intercambio de bienes como Vibbo, pero existen otras muchas como segundamano, wallapop, etc. sobre las que operan esos desaprensivos. En particular puedo indicar que dos líneas telefónicas una con prefijo de Francia y otra de Costa de Marfil contactan con usuarios de dichas app de intercambio o compra venta de artículos y les ofrecen que les proporcionen datos personales y bancarios para poder consolidar la transacción, es evidente que si enviamos dichos datos se incorporaran a una base de datos de carding donde podrán realizar cargos en dichas cuentas. Las líneas telefónicas la +33 756904195 (Francia) y +225 69548975 (Costa de Marfil), ambas ya han sido denunciadas aunque sin duda al ser la Unión Europea un espacio policial compartimentado sirva de poco, pero quede por escrito la denuncia pública para indexado en buscadores. Igual ocurre con el sospechoso email facilitado para conseguir los datos personales como [email protected], supongo que a nadie sorprende que una multinacional como DHL use un email de gmail como forma de contacto en vez de uno corporativo (@dhl.com).

¿Qué es Alienvault y qué es OSSIM?

La plataforma propietaria del SIEM AlienVault dispone de dos desarrollos distintos orientados hacia segmentos productivos totalmente distintos, por una parte desarrolla el programa USIEM compuesto por un SIEM que implementa todo tipo de hardware y software unificado en un servidor y por otra parte distribuye a la Comunidad Online el software OSSIM de forma gratuita para conformar una red global de alerta de la que la empresa es totalmente propietaria y administradora. AlienVault explota las alertas, logs y detecciones de malware detectados por la plataforma OSSIM para desarrollar un mapa en tiempo real de la situación global de Internet y de los activos comprometidos, mediante los reportes remitidos por OSSIM a la empresa. En la confección de dicho mapa colaboran igualmente los USIEM instalados a nivel corporativo en linea.

El modelo de negocio de AlienVault se cimenta sobre una estructura empresarial mixta, al proporcionar el software gratuitamente permite que aquellas PYMES o consumidores finales con pocos recursos informáticos creen una red de alerta que AlienVault posteriormente explota para los clientes corporativos en linea. Diferente es cuando el sistema USIEM se instala en administraciones o entes gubernativos que disponen de recursos informáticos e informativos offline, en dichos casos la empresa ejecuta las reglas implementadas en el negocio online, para que la red auditada disponga de recursos de detección actualizados y aunque la misma disponga de procedimientos o procesos de introducción de información y medios que dificulten la explotación de vulnerabilidades.

Existen dos tipos de despliegues para las plataformas USIEM de hardware y software, por un lado están las simples y por otro las complejas o combinadas.

Las simples se caracterizan por estar contratadas por un único cliente, que dispone de una sola localidad de su empresa, tiene escasos dispositivos y una arquitectura informática simple, el número de eventos a monitorizar y trazar son escasos y dispone de una red de baja capacidad y ancho de banda que monitorizar.

Puede darse el caso de que exista una arquitectura simple con varias localizaciones, para ello el sistema implementa sensores remotos de forma que se minimice el despliegue a implementar. Este despliegue se caracteriza por multiples localizaciones (sedes) y que cada sensor escanea un tramo de su red en exclusiva para no sobrecargarlo y redundar en la labor de detección al sobreexponerse los eventos en tramos distintos de la red, siendo la segmentación de la misma la mejor solución.

El otro despliegue disponible es el complejo o combinado, que permite una implementación y detección superior reforzando el despliegue de medios tanto de USIM como de Loggers y sensores autónomos. De dicha forma y redundando los medios se puede lograr un mejor despliegue que otorgue mayor confibiabilidad al sistema de detección de alerta temprana o de las ytrazas de eventos mediante el ticketing de los eventos detectados.

En cualquier caso esta esctructura se caracteriza por multiples clientes, multiples localizaciones, algunos clientes pueden disponer de sus propios Loggers de forma independiente para su análisis individiualizado, la correlación de eventos y el almacenamiento se produce en diferentes niveles.

El número de sensores, Loggers y USIEM pueden variar mucho dado que la existencia de diferentes sedes, arquitecturas, sistemas operativos, hardware de red y dispositivos asociados a la explotación pueden variar de una sede a otra y ello generará una mayor necesidad de almacenamiento de los logs para su correlación y análisis.

Este despligue sin duda requiere que exista un sensor por sede, asociado si fuese necesario a un USIEM que haga las veces de gestor del Dashboard o escritorio, para ayudar a los sistemas locales de soporte informático de la sede de forma independiente, perop conectados al sistema global de despliegue. En ocasiones el USIEM puede tener los roles de Dashboard y sensor o Dashboard y Logger, abaratando el despliegue.

La gestión de las licencias de hardware por despliegue también representan un verdadero quebradero de cabeza para los servicios de soporte, por lo que abaratar los mismos con sensores de OSSIM puede ser una buena solución para no tener que adquirir o arrendar los USIEM, Loggers o sensores de forma recurrente. Se debe tener en cuenta que el software de OSSIM puede realizar en un servidor propio dichas funciones de forma gratuita, aunque sin el soporte de AlienVault para dicho despliegue independiente.

Cada Logger puede remitir sus eventos a otro Logger de superior jerarquía en la estructura o a un SIEM directamente. Los Logger usan arquitecturas SAN o NAS para almacenar los eventos. Cuantos más Loggers existan en un despliegue mayor será la complejidad a nivel de arquitectura de la red y de almacenamiento dado que los Loggers periféricos almacenarán menos eventos, pero los centralizados requerirán de una gran cantidad de recursos de almacenamiento. Cada Logger almacena los eventos detectados por sus sensores o por otros loggers o SIEM.

Los SIEM remiten la información a otros SIEMs de superior jerarquía o a su Logger. Estos almacenan la información en bases de datos tipo SQL. Existirá un SIEM central que recibirá la información del resto para centralizar el análisis de los datos. Usualmente un despliegue no es efectivo desde el primer día, sino que para que se genere la necesaria información del despliegue se requieren al menos quince días, a excepción de que generemos tráfico propio de detección de los activos con los consecuentes falsos positivos de intrusión en el sistema, por lo que no es muy recomendable realizar dicho tipo de detecciones activas tipo nmap que generen tickets de eventos con falsos ataques, generados por nosotros mismos.

Ponencias redactadas para participar en foros y escuelas formativas.

05.06.2017 - Ponencia sobre la reforma de la Ley 8/2006 presentada por la UMT - Unión de Militares de Tropa en el Congreso de los Diputados

Estos términos de servicio ("Términos", "Acuerdo") son un acuerdo entre el sitio web ("Operador del sitio web", "nosotros", "nosotros" o "nuestro") y usted ("Usuario", "usted" o "su "). Este Acuerdo establece los términos y condiciones generales de su uso de este sitio web y cualquiera de sus productos o servicios (colectivamente, "Sitio web" o "Servicios").

12.09.2019 - Ponencia sobre ciberseguridad en el entorno empresarial

Aunque este portal puede estar vinculado a otras páginas, ello no implica, ya sea directa o indirectamente, la aprobación, asociación, patrocinio, respaldo o afiliación por nuestra parte a dichas páginas salvo que se indique específicamente en este escrito.

Debería revisar cuidadosamente las cláusulas legales y otras condiciones de uso de las páginas web a las que acceda mediante enlaces de este Sitio web. Su vinculación con otros portales o páginas web externas queda bajo su propia cuenta y riesgo.

Artículos de interés sobre software, hardware y organización.

Prueba de conceptos en la mente del hacker

De poco sirve disponer de ciertos conocimientos si finalmente los mismos no son practicados asiduamente para perfeccionar o al menos no ser olvidados. El pentesting es una de esas disciplinas informáticas que debe ser practicada asiduamente para no olvidarla y mantener activas las capacidades. Pero el pentesting requiere seguir usando ciertas reglas y pasos que nos permitan alcanzar el objetivo fijado.

1.- Definición de objetivos y recopilación de activos:

La verdad es que salvo que se produzca un ‘encargo’ con un objetivo bien definido, usualmente los crackers buscan disponer de la mayor red posible de infectados para seleccionar los objetivos y recopilar los activos. Por activos interpretamos los medios con los que dispone el objetivo seleccionado y su red de contactos de confianza. La red social Facebook ha sido de gran ayuda para enlazar y descubrir activos, pero sin duda no es la única. Aunque actualmente las nuevas redes sociales que han proliferado complican la labor de reunir dichos activos, Linkedin es sin embargo la red preferida a nivel empresarial, dado que su red de contactos esta especializada en los logros empresariales, económicos o financieros facilitando la labor de selección de objetivos.

Si el objetivo es seleccionado al azar también debe conocerse el entorno y legislación sobre el que nos movemos, ya que en caso de seleccionar un objetivo internacional es preferible que no esté en el mismo continente e incluso que tenga otro idioma nativo, ello facilita sin duda la labor de exploración y desagregación de atacante y atacado, al carecer de relación de idioma directa. Si disponen de conocimiento alternativo de inglés, el hecho de ser bilingües facilita la recepción de correos en ambos idiomas, ya que en caso de usar un idioma nativo distinto, las traducciones pueden ser erróneas como ha venido ocurriendo en los ataques extranjeros a usuarios de banca electrónica en España, donde los correos eran muy toscos y mal traducidos al español, lo que permitía identificarlos rápidamente, aunque con el tiempo se perfeccionaron y lograron suplantar a las entidades originales.

2.- Búsqueda de activos informáticos:

De nuevo en redes sociales disponemos de gran información como números de teléfono, correos electrónicos, etc. lo que nos permite evaluar las tecnologías de deberemos usar para infectar a nuestro objetivo en un procedimiento inicial. Cada ataque debe ser seleccionado expresamente y evaluado posteriormente para variarlo si vemos que no ha alcanzado el objetivo fijado. Si el objetivo está aleccionado en técnicas de auto protección informática, lo mejor es investigar sus activos personales y conseguir la infección por vía indirecta (padres, hermanos, primos, amigos, colegas de trabajo, etc.).

Uso de nuevas herramientas de redes sociales, depositar un PDF envenenado en una app social como whatsapp también ayuda si disponemos de información sobre los activos indirectos del objetivo. E igualmente pueden usarse imágenes infectadas o vínculos elaborados a webs conocidas y duplicadas por medio del defacemant (esta muy extendido en internet).

3.- Explotación de activos:

Llegados a este punto disponemos de numerosa información sobre el objetivo, sus contactos y activos personales, así como de los activos informáticos por lo que es hora de emprender acciones dirigidas a explotar las vulnerabilidades del mismo. Teléfonos móviles, ordenadores, workstations, tabletas, y aparataje con IoT (Internet de las cosas), todo es susceptible de ser explotado de la forma adecuada.

Analizar el entorno en el que se mueve el objetivo es saber las medidas de seguridad implementadas en su entorno domestico y profesional. De poco sirve a nivel empresarial que el objetivo disponga de medidas de seguridad estricta en el entorno laboral, si luego en el entorno doméstico el mismo o sus activos personales no lo siguen o carecen de medidas de autoprotección personal. Por ejemplo el teléfono móvil, es un activo informático que acompaña al objetivo asiduamente tanto en el entorno personal como en el doméstico, a excepción de aquellos que disponen de una línea profesional y terminal securizado (guías del CCN-CNI, guías 453, 454, 455, 456, 1601, 1604,1605 y 1606). El mismo terminal sirve para ver, oir y capturar información donde la intrusión es altamente imposible de obtener bien por distancia física o tecnológica.

En muchos casos la elección o evaluación del ecosistema a explotar se limitará a dos posibilidades lo que facilita mucho la labor del atacante. Por ejemplo en terminales moviles las opciones actuales generales se reducen a android o iOS. En Tablets a tres opciones android, iOS y Windows 10. En portátiles y sobremesas asiduamente son Windows o MacOS, si nos circunscribimos exclusivamente al entorno empresarial casi con total seguridad serán windows por la gestión de licencias y soporte. Así que no todo es tan difícil y complicado. Para dichos sistemas operativos existen protocolos de comunicaciones y puertos genéricos abiertos normalmente para la gestión de los mismos, igualmente aunque los paquetes ofimáticos se diferencian en algunos aspectos, muchos conservan elementos activos comunes (ejemplo el paquete ofimático de Microsoft Office estandard mundial en Windows y MacOS), no los describiré pues son de sobra conocidos. Para aquellos que piensen en la solución de Unix en cualquiera de sus distribuciones de paquetes rpm o deb, deben olvidarse de la seguridad plena pues las mismas están destinadas a la funcionalidad no a la seguridad, a excepción de que hayamos personalizado una distribución unix para nuestra empresa de forma única y exclusiva y aun así tendremos siempre el riesgo de implementar algunos paquetes o elementos que pueden volver vulnerable la misma como flash (actionscript), java o elementos web de visualización.

4.- Asegurando la explotación:

Si hemos conseguido introducirnos en algún elemento del activo, es momento de asegurar nuestra presencia en otros dispositivos de la red para evitar que si se nos elimina una vía de entrada, mantengamos otras dentro de la misma red. Esto que es básico, también es un problema ya que si es detectada una intrusión, con asiduidad son evaluados todos los recursos para eliminar el malware instalado. Por ello debemos acceder a routers personales en el entorno doméstico para abrirnos puertas mediante la creación de reglas de puertos o protocolos, tanto en modo TCP como UDP. Y si es en el entorno empresarial aun mejor, ganaremos acceso a otros activos de la empresa tanto personales como informáticos.

Herramientas de uso:

Terminal informático con carga en memoria RAM del Sistema Operativo (sin disco duro) y VPN, terminal telefónico con linea extranjera (Gibraltar, Andorra, Rusia, etc.) con roaming y VPN. Software de pentesting ( nmap, wireshark, metasploit , armitage, etc.), existen en la darkweb herramientas personalizadas por módulos en función del tipo de trabajo. La creación de identidades falsas es también una tarea necesaria que complique la identificación del atacante (creación identidad falsa), envío anónimo de SMS, redes sociales alternativas, etc.

Enlaces a otros sitios web

Uso de cookies

El Sitio web puede utilizar cookies para personalizar y facilitar la navegación plena del Usuario en el mismo. El Usuario puede configurar su navegador para notificar y rechazar la instalación de las cookies enviadas por nosotros.

Oficios e informes solicitados mediante Transparencia a las Administraciones Públicas

Informes redactados sobre hardware, software u organización

Inmunet, antivirus gratuito de CISCO

Actualización: El 1 de enero de 2024, Cisco da por finalizado el proyecto de antivirus, derivándolo a su nuevo proyecto talosintelligence.com

Informe sobre Reservismo de Especial Disponibilidad - Realidad vs ficción

Tabla 2.1.2.8 del Informe del año 2016 por tramos de edad

Año 2016: 5 RED
Año 2017: 203 RED
Año 2018: 543 RED
Año 2019: 1.018 RED
Año 2020: 1.291 RED
…

En años posteriores la tabla se ha seguido publicando, de hecho en el año siguiente en 2017 la tabla recoge los siguientes datos:

Tabla 2.1.2.8 del Informe del año 2017 por tramos de edad

Según la misma interpretación que realizamos en el año 2016 si leemos la columna de edad y sus totales en sentido inverso las estadísticas arrojan los siguientes datos:

Año 2017: 8 RED (En el año 2016 había previstos 203 RED)
Año 2018: 616 RED (En el año 2016 había previstos 543 RED)
Año 2019: 981 RED (En el año 2016 había previstos 1.018 RED)
Año 2020: 1.270 RED (En el año 2016 había previstos 1.291 RED)
…

La tónica continúa de la misma manera en el año 2018 y estos son los datos declarados:

Tabla 2.1.2.8 del Informe del año 2018 por tramos de edad

De nuevo podemos apreciar las importantes discrepancias numéricas de un año a otro sobre previsiones y datos reales, arrojando la siguiente realidad del año 2018:

Año 2018: 44 RED (En 2017 se habían previsto 616 RED)
Año 2019: 955 RED (En 2017 se habían previsto 981 RED)
Año 2020: 1.229 RED (En 2017 se preveía un número de 1.270 RED)
…

PROVINCIA	MTM	MILCOM	TOTAL
SUBDELEGACION DE DEFENSA EN ALMERIA	21	0	21
SUBDELEGACION DE DEFENSA EN CADIZ	222	3	225
SUBDELEGACION DE DEFENSA EN CORDOBA	31	4	35
SUBDELEGACION DE DEFENSA EN GRANADA	46	2	48
SUBDELEGACION DE DEFENSA EN HUELVA	7	0	7
SUBDELEGACION DE DEFENSA EN JAEN	7	0	7
SUBDELEGACION DE DEFENSA EN MALAGA	36	2	38
SUBDELEGACION DE DEFENSA EN SEVILLA	112	7	119
SUBDELEGACION DE DEFENSA EN HUESCA	5	0	5
SUBDELEGACION DE DEFENSA EN TERUEL	1	0	1
SUBDELEGACION DE DEFENSA EN ZARAGOZA	64	7	71
SUBDELEGACION DE DEFENSA EN OVIEDO	36	1	37
SUBDELEGACION DE DEFENSA EN PALMA	21	1	22
SUBDELEGACION DE DEFENSA LAS PALMAS G.C.	124	5	129
SUBDELEGACION DE DEFENSA EN S.C. DE TENERIFE	63	2	65
SUBDELEGACION DE DEFENSA EN SANTANDER	18	2	20
SUBDELEGACION DE DEFENSA EN ALBACETE	25	0	25
SUBDELEGACION DE DEFENSA EN CIUDAD REAL	14	0	14
SUBDELEGACION DE DEFENSA EN CUENCA	1	0	1
SUBDELEGACION DE DEFENSA EN GUADALAJARA	14	0	14
SUBDELEGACION DE DEFENSA EN TOLEDO	24	1	25
SUBDELEGACION DE DEFENSA EN AVILA	6	0	6
SUBDELEGACION DE DEFENSA EN BURGOS	12	1	13
SUBDELEGACION DE DEFENSA EN LEON	51	5	56
SUBDELEGACION DE DEFENSA EN PALENCIA	8	1	9
SUBDELEGACION DE DEFENSA EN SALAMANCA	39	1	40
SUBDELEGACION DE DEFENSA EN SEGOVIA	10	1	11
SUBDELEGACION DE DEFENSA EN VALLADOLID	46	1	47
SUBDELEGACION DE DEFENSA EN ZAMORA	6	0	6
SUBDELEGACION DE DEFENSA EN BARCELONA	17	1	18
SUBDELEGACION DE DEFENSA EN GIRONA	5	0	5
SUBDELEGACION DE DEFENSA EN LLEIDA	3	1	4
SUBDELEGACION DE DEFENSA EN TARRAGONA	3	0	3
SUBDELEGACION DE DEFENSA EN ALICANTE	18	2	20
SUBDELEGACION DE DEFENSA EN CASTELLON	2	0	2
SUBDELEGACION DE DEFENSA EN VALENCIA	35	6	41
SUBDELEGACION DE DEFENSA EN BADAJOZ	40	2	42
SUBDELEGACION DE DEFENSA EN CACERES	14	0	14
SUBDELEGACION DE DEFENSA EN A CORUÑA	60	3	63
SUBDELEGACION DE DEFENSA EN LUGO	9	0	9
SUBDELEGACION DE DEFENSA EN OURENSE	9	0	9
SUBDELEGACION DE DEFENSA EN PONTEVEDRA	33	1	34
SUBDELEGACION DE DEFENSA EN MADRID	231	21	252
SUBDELEGACION DE DEFENSA EN MURCIA	81	5	86
SUBDELEGACION DE DEFENSA EN PAMPLONA	8	1	9
SUBDELEGACION DE DEFENSA EN VITORIA	2	1	3
SUBDELEGACION DE DEFENSA EN SAN SEBASTIAN	4	0	4
SUBDELEGACION DE DEFENSA EN BILBAO	10	2	12
SUBDELEGACION DE DEFENSA EN LOGROÑO	9	0	9
SUBDELEGACION DE DEFENSA EN CEUTA	41	1	42
SUBDELEGACION DE DEFENSA EN MELILLA	32	3	35

Servidor Blade con Unix y aplantillado del CCN-CERT

Hoy día es mas usual encontrar implementaciones de HP y Dell sobre diferentes usos de los servidores Blade como clusters de información, virtualización, cloud computing, etc.

Informes redactados sobre hardware, software u organización

Inmunet, antivirus gratuito de CISCO

Actualización: El 1 de enero de 2024, Cisco da por finalizado el proyecto de antivirus, derivándolo a su nuevo proyecto talosintelligence.com

Informe sobre Reservismo de Especial Disponibilidad - Realidad vs ficción

Tabla 2.1.2.8 del Informe del año 2016 por tramos de edad

Año 2016: 5 RED
Año 2017: 203 RED
Año 2018: 543 RED
Año 2019: 1.018 RED
Año 2020: 1.291 RED
…

En años posteriores la tabla se ha seguido publicando, de hecho en el año siguiente en 2017 la tabla recoge los siguientes datos:

Tabla 2.1.2.8 del Informe del año 2017 por tramos de edad

Según la misma interpretación que realizamos en el año 2016 si leemos la columna de edad y sus totales en sentido inverso las estadísticas arrojan los siguientes datos:

Año 2017: 8 RED (En el año 2016 había previstos 203 RED)
Año 2018: 616 RED (En el año 2016 había previstos 543 RED)
Año 2019: 981 RED (En el año 2016 había previstos 1.018 RED)
Año 2020: 1.270 RED (En el año 2016 había previstos 1.291 RED)
…

La tónica continúa de la misma manera en el año 2018 y estos son los datos declarados:

Tabla 2.1.2.8 del Informe del año 2018 por tramos de edad

De nuevo podemos apreciar las importantes discrepancias numéricas de un año a otro sobre previsiones y datos reales, arrojando la siguiente realidad del año 2018:

Año 2018: 44 RED (En 2017 se habían previsto 616 RED)
Año 2019: 955 RED (En 2017 se habían previsto 981 RED)
Año 2020: 1.229 RED (En 2017 se preveía un número de 1.270 RED)
…

PROVINCIA	MTM	MILCOM	TOTAL
SUBDELEGACION DE DEFENSA EN ALMERIA	21	0	21
SUBDELEGACION DE DEFENSA EN CADIZ	222	3	225
SUBDELEGACION DE DEFENSA EN CORDOBA	31	4	35
SUBDELEGACION DE DEFENSA EN GRANADA	46	2	48
SUBDELEGACION DE DEFENSA EN HUELVA	7	0	7
SUBDELEGACION DE DEFENSA EN JAEN	7	0	7
SUBDELEGACION DE DEFENSA EN MALAGA	36	2	38
SUBDELEGACION DE DEFENSA EN SEVILLA	112	7	119
SUBDELEGACION DE DEFENSA EN HUESCA	5	0	5
SUBDELEGACION DE DEFENSA EN TERUEL	1	0	1
SUBDELEGACION DE DEFENSA EN ZARAGOZA	64	7	71
SUBDELEGACION DE DEFENSA EN OVIEDO	36	1	37
SUBDELEGACION DE DEFENSA EN PALMA	21	1	22
SUBDELEGACION DE DEFENSA LAS PALMAS G.C.	124	5	129
SUBDELEGACION DE DEFENSA EN S.C. DE TENERIFE	63	2	65
SUBDELEGACION DE DEFENSA EN SANTANDER	18	2	20
SUBDELEGACION DE DEFENSA EN ALBACETE	25	0	25
SUBDELEGACION DE DEFENSA EN CIUDAD REAL	14	0	14
SUBDELEGACION DE DEFENSA EN CUENCA	1	0	1
SUBDELEGACION DE DEFENSA EN GUADALAJARA	14	0	14
SUBDELEGACION DE DEFENSA EN TOLEDO	24	1	25
SUBDELEGACION DE DEFENSA EN AVILA	6	0	6
SUBDELEGACION DE DEFENSA EN BURGOS	12	1	13
SUBDELEGACION DE DEFENSA EN LEON	51	5	56
SUBDELEGACION DE DEFENSA EN PALENCIA	8	1	9
SUBDELEGACION DE DEFENSA EN SALAMANCA	39	1	40
SUBDELEGACION DE DEFENSA EN SEGOVIA	10	1	11
SUBDELEGACION DE DEFENSA EN VALLADOLID	46	1	47
SUBDELEGACION DE DEFENSA EN ZAMORA	6	0	6
SUBDELEGACION DE DEFENSA EN BARCELONA	17	1	18
SUBDELEGACION DE DEFENSA EN GIRONA	5	0	5
SUBDELEGACION DE DEFENSA EN LLEIDA	3	1	4
SUBDELEGACION DE DEFENSA EN TARRAGONA	3	0	3
SUBDELEGACION DE DEFENSA EN ALICANTE	18	2	20
SUBDELEGACION DE DEFENSA EN CASTELLON	2	0	2
SUBDELEGACION DE DEFENSA EN VALENCIA	35	6	41
SUBDELEGACION DE DEFENSA EN BADAJOZ	40	2	42
SUBDELEGACION DE DEFENSA EN CACERES	14	0	14
SUBDELEGACION DE DEFENSA EN A CORUÑA	60	3	63
SUBDELEGACION DE DEFENSA EN LUGO	9	0	9
SUBDELEGACION DE DEFENSA EN OURENSE	9	0	9
SUBDELEGACION DE DEFENSA EN PONTEVEDRA	33	1	34
SUBDELEGACION DE DEFENSA EN MADRID	231	21	252
SUBDELEGACION DE DEFENSA EN MURCIA	81	5	86
SUBDELEGACION DE DEFENSA EN PAMPLONA	8	1	9
SUBDELEGACION DE DEFENSA EN VITORIA	2	1	3
SUBDELEGACION DE DEFENSA EN SAN SEBASTIAN	4	0	4
SUBDELEGACION DE DEFENSA EN BILBAO	10	2	12
SUBDELEGACION DE DEFENSA EN LOGROÑO	9	0	9
SUBDELEGACION DE DEFENSA EN CEUTA	41	1	42
SUBDELEGACION DE DEFENSA EN MELILLA	32	3	35

Servidor Blade con Unix y aplantillado del CCN-CERT

Hoy día es mas usual encontrar implementaciones de HP y Dell sobre diferentes usos de los servidores Blade como clusters de información, virtualización, cloud computing, etc.

Informes redactados sobre hardware, software u organización

Inmunet, antivirus gratuito de CISCO

Actualización: El 1 de enero de 2024, Cisco da por finalizado el proyecto de antivirus, derivándolo a su nuevo proyecto talosintelligence.com

Informe sobre Reservismo de Especial Disponibilidad - Realidad vs ficción

Tabla 2.1.2.8 del Informe del año 2016 por tramos de edad

Año 2016: 5 RED
Año 2017: 203 RED
Año 2018: 543 RED
Año 2019: 1.018 RED
Año 2020: 1.291 RED
…

En años posteriores la tabla se ha seguido publicando, de hecho en el año siguiente en 2017 la tabla recoge los siguientes datos:

Tabla 2.1.2.8 del Informe del año 2017 por tramos de edad

Según la misma interpretación que realizamos en el año 2016 si leemos la columna de edad y sus totales en sentido inverso las estadísticas arrojan los siguientes datos:

Año 2017: 8 RED (En el año 2016 había previstos 203 RED)
Año 2018: 616 RED (En el año 2016 había previstos 543 RED)
Año 2019: 981 RED (En el año 2016 había previstos 1.018 RED)
Año 2020: 1.270 RED (En el año 2016 había previstos 1.291 RED)
…

La tónica continúa de la misma manera en el año 2018 y estos son los datos declarados:

Tabla 2.1.2.8 del Informe del año 2018 por tramos de edad

De nuevo podemos apreciar las importantes discrepancias numéricas de un año a otro sobre previsiones y datos reales, arrojando la siguiente realidad del año 2018:

Año 2018: 44 RED (En 2017 se habían previsto 616 RED)
Año 2019: 955 RED (En 2017 se habían previsto 981 RED)
Año 2020: 1.229 RED (En 2017 se preveía un número de 1.270 RED)
…

PROVINCIA	MTM	MILCOM	TOTAL
SUBDELEGACION DE DEFENSA EN ALMERIA	21	0	21
SUBDELEGACION DE DEFENSA EN CADIZ	222	3	225
SUBDELEGACION DE DEFENSA EN CORDOBA	31	4	35
SUBDELEGACION DE DEFENSA EN GRANADA	46	2	48
SUBDELEGACION DE DEFENSA EN HUELVA	7	0	7
SUBDELEGACION DE DEFENSA EN JAEN	7	0	7
SUBDELEGACION DE DEFENSA EN MALAGA	36	2	38
SUBDELEGACION DE DEFENSA EN SEVILLA	112	7	119
SUBDELEGACION DE DEFENSA EN HUESCA	5	0	5
SUBDELEGACION DE DEFENSA EN TERUEL	1	0	1
SUBDELEGACION DE DEFENSA EN ZARAGOZA	64	7	71
SUBDELEGACION DE DEFENSA EN OVIEDO	36	1	37
SUBDELEGACION DE DEFENSA EN PALMA	21	1	22
SUBDELEGACION DE DEFENSA LAS PALMAS G.C.	124	5	129
SUBDELEGACION DE DEFENSA EN S.C. DE TENERIFE	63	2	65
SUBDELEGACION DE DEFENSA EN SANTANDER	18	2	20
SUBDELEGACION DE DEFENSA EN ALBACETE	25	0	25
SUBDELEGACION DE DEFENSA EN CIUDAD REAL	14	0	14
SUBDELEGACION DE DEFENSA EN CUENCA	1	0	1
SUBDELEGACION DE DEFENSA EN GUADALAJARA	14	0	14
SUBDELEGACION DE DEFENSA EN TOLEDO	24	1	25
SUBDELEGACION DE DEFENSA EN AVILA	6	0	6
SUBDELEGACION DE DEFENSA EN BURGOS	12	1	13
SUBDELEGACION DE DEFENSA EN LEON	51	5	56
SUBDELEGACION DE DEFENSA EN PALENCIA	8	1	9
SUBDELEGACION DE DEFENSA EN SALAMANCA	39	1	40
SUBDELEGACION DE DEFENSA EN SEGOVIA	10	1	11
SUBDELEGACION DE DEFENSA EN VALLADOLID	46	1	47
SUBDELEGACION DE DEFENSA EN ZAMORA	6	0	6
SUBDELEGACION DE DEFENSA EN BARCELONA	17	1	18
SUBDELEGACION DE DEFENSA EN GIRONA	5	0	5
SUBDELEGACION DE DEFENSA EN LLEIDA	3	1	4
SUBDELEGACION DE DEFENSA EN TARRAGONA	3	0	3
SUBDELEGACION DE DEFENSA EN ALICANTE	18	2	20
SUBDELEGACION DE DEFENSA EN CASTELLON	2	0	2
SUBDELEGACION DE DEFENSA EN VALENCIA	35	6	41
SUBDELEGACION DE DEFENSA EN BADAJOZ	40	2	42
SUBDELEGACION DE DEFENSA EN CACERES	14	0	14
SUBDELEGACION DE DEFENSA EN A CORUÑA	60	3	63
SUBDELEGACION DE DEFENSA EN LUGO	9	0	9
SUBDELEGACION DE DEFENSA EN OURENSE	9	0	9
SUBDELEGACION DE DEFENSA EN PONTEVEDRA	33	1	34
SUBDELEGACION DE DEFENSA EN MADRID	231	21	252
SUBDELEGACION DE DEFENSA EN MURCIA	81	5	86
SUBDELEGACION DE DEFENSA EN PAMPLONA	8	1	9
SUBDELEGACION DE DEFENSA EN VITORIA	2	1	3
SUBDELEGACION DE DEFENSA EN SAN SEBASTIAN	4	0	4
SUBDELEGACION DE DEFENSA EN BILBAO	10	2	12
SUBDELEGACION DE DEFENSA EN LOGROÑO	9	0	9
SUBDELEGACION DE DEFENSA EN CEUTA	41	1	42
SUBDELEGACION DE DEFENSA EN MELILLA	32	3	35

Servidor Blade con Unix y aplantillado del CCN-CERT

Hoy día es mas usual encontrar implementaciones de HP y Dell sobre diferentes usos de los servidores Blade como clusters de información, virtualización, cloud computing, etc.