enemigo mio: conociendo a tu adversario
TRANSCRIPT
![Page 1: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/1.jpg)
Enemigo míoConociendo a tu adversario
Gonzalo Rodrigo Sancho @ txalin
![Page 2: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/2.jpg)
De qué va esto?Cuando comprendo a mi enemigo tan bien como para vencerlo, entonces también lo amo.
Ender Wiggin
● Necesitas saber cómo te atacan● Sin poner en riesgo a tus activos● Y aprender de tus atacantes● Y admirarlos
![Page 3: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/3.jpg)
Solución ideadaRequisitos iniciales● Open source● Fácil instalación y mantenimiento● Personalizable● Análisis de ataques a bajo nivel● Captura de tráfico en tiempo real● Usable para protección
![Page 4: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/4.jpg)
Solución ideadaRequisitos iniciales● Open source● Fácil instalación y mantenimiento● Personalizable● Análisis de ataques a bajo nivel● Captura de tráfico en tiempo real● Usable para protección
![Page 5: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/5.jpg)
Solución ideadaInternet
Dionaea
Snort
![Page 6: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/6.jpg)
Características● Sniffer● Open source● Personalizable● MUY ruidoso
NIDS: Snort
Pros y contras● Gran comunidad● Gran comunidad● Miles de reglas● Miles de reglas
![Page 7: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/7.jpg)
DionaeaCaracterísticas● Baja interacción● Open source● Python● Plug and play● Sit and grab popcorn
![Page 8: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/8.jpg)
If ( Snort_detecta_patrones && dionaea_muestra patrones )...
Dionaea + Snort?
![Page 9: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/9.jpg)
If ( Snort_detecta_patrones && dionaea_muestra patrones )...
Dionaea + Snort?
![Page 10: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/10.jpg)
Dionaea + Snort!!● Permite ver cómo nos atacan
○ Técnicas empleadas○ Binarios utilizados○ Payloads
● Auto generación de reglas● Todo es dinámico
![Page 11: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/11.jpg)
Es tán sencillo???
![Page 12: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/12.jpg)
Es tán sencillo???
![Page 13: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/13.jpg)
DionaeaAutoinstalación
apt-get install libudns-dev libglib2.0-dev libssl-dev libcurl4-openssl-dev libreadline-dev libsqlite3-dev python-dev libtool automake autoconf build-essential subversion git-core flex bison pkg-config libgc-dev libgc1c2 sqlite3 python-geoip sqlite python-pip
Y luego vienen las compilaciones a mano ….
liblcfg, libemu, libnl, libev, python, cython (wtf), libcurl, libpcap, p0f….
![Page 14: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/14.jpg)
DionaeaCompilando...autoreconf -vi./configure --with-lcfg-include=/opt/dionaea/include/ \ --with-lcfg-lib=/opt/dionaea/lib/ \ --with-python=/opt/dionaea/bin/python3.2 \ --with-cython-dir=/opt/dionaea/bin \ --with-udns-include=/opt/dionaea/include/ \ --with-udns-lib=/opt/dionaea/lib/ \ --with-emu-include=/opt/dionaea/include/ \ --with-emu-lib=/opt/dionaea/lib/ \ --with-gc-include=/usr/include/gc \ --with-ev-include=/opt/dionaea/include \ --with-ev-lib=/opt/dionaea/lib \ --with-nl-include=/opt/dionaea/include \ --with-nl-lib=/opt/dionaea/lib/ \ --with-curl-config=/usr/bin/ \ --with-pcap-include=/opt/dionaea/include \ --with-pcap-lib=/opt/dionaea/lib/ make && make install
![Page 15: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/15.jpg)
Dionaea Problemas:
1. Dificultad para distinguir un ataque2. Captura todo lo que le llega3. El ataque debe llegar a la honeypot4. Personalización peculiar
5. Detectable por nmap
![Page 16: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/16.jpg)
Dionaea Problemas:
1. Dificultad para distinguir un ataque2. Captura todo lo que le llega3. El ataque debe llegar a la honeypot4. Personalización peculiar
5. Detectable por nmap
![Page 17: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/17.jpg)
NIDS: SnortReglas…. peculiares.
![Page 18: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/18.jpg)
NIDS: SnortReglas…. peculiares.
![Page 19: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/19.jpg)
NIDS: SnortReglas…. peculiares.
![Page 20: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/20.jpg)
Trabajando juntosIt’s demo time!!
![Page 21: Enemigo mio: Conociendo a tu adversario](https://reader034.vdocuments.pub/reader034/viewer/2022052313/58f2fd861a28abd6568b45c7/html5/thumbnails/21.jpg)
¿Preguntas? Muchas gracias !!