Herramientas seguridad

Protegiendo tu Servidor SFTP: Configuración de fail2ban e ipset

24 abril, 202424 abril, 2024 rokitoh Deja un comentario

Al configurar un servidor SFTP para permitir el intercambio seguro de archivos a través de Internet, la seguridad se convierte en una preocupación primordial. Una medida esencial para protegerlo contra ataques de fuerza bruta y otras amenazas es implementar herramientas como fail2ban e ipset. Estas soluciones trabajan en conjunto para detectar y bloquear actividades maliciosas, proporcionando una capa adicional de defensa para tu servidor.

En este artículo, te guiaré a través del proceso de configuración de fail2ban e ipset en un servidor Ubuntu, asegurando así que tu servidor SFTP esté protegido contra posibles intrusiones.

Open Source Privileged Access Management (PAM): Instalación y Configuración de JumpServer en Linux

20 marzo, 202420 marzo, 2024 rokitoh 1 comentario

En el ámbito de la gestión de infraestructuras de TI, contar con una herramienta centralizada y segura para administrar conexiones remotas es fundamental. JumpServer, un servidor PAM de open source, emerge como una solución robusta que permite gestionar conexiones a través de protocolos como RDP, SSH, MariaDB y VNC, todo ello de forma basada en web gracias a su interfaz HTML5.

¿Qué es JumpServer?

JumpServer es un software de código abierto diseñado para servir como un punto central de conexión para los equipos de IT. Con esta herramienta, se puede crear un servidor bastión que actúa como el punto de entrada seguro para acceder a otras máquinas en la infraestructura de red. Además, JumpServer ofrece capacidades avanzadas de gestión de usuarios, permitiendo controlar qué usuarios pueden acceder a qué equipos, todo ello a través de una interfaz web intuitiva.

Instalación y configuración de ELK 8.x

22 noviembre, 20222 diciembre, 2022 rokitoh Deja un comentario

¿Qué es ELK?

Es un conjunto de herramientas de gran potencial de código abierto que se combinan para crear una herramienta de administración de registros permitiendo la monitorización, consolidación y análisis de logs generados en múltiples servidores, estas herramientas son: ElasticSearch, Logstash y Kibana.

También pueden ser utilizadas como herramientas independientes, pero la unión de todas ellas hace una combinación perfecta para la gestión de registros como ya hemos mencionado.

Sin mas preambulo empezamos con la con la instalación

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 3 (ATT&CK T1016)

5 mayo, 20225 mayo, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1, Ver parte 2

Instalar y configurar Auditd

29 abril, 202229 abril, 2022 rokitoh Deja un comentario

Auditd Se encarga de realizar un seguimiento de todo lo que va sucediendo en nuestro sistema GNU/Linux, en el cual va recopilando eventos sobre reglas pre-configuradas.

Debian

apt install auditd

RedHat

yum install audit

Suse

zypper install audit

Instalar y configurar Sysmon en GNU/Linux

29 abril, 202229 abril, 2022 rokitoh Deja un comentario

Descargamos el paquete el cual nos instalará la key GPG del repositorio de Microsoft

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb

Instalamos el software

sudo apt-get update
sudo apt-get install sysinternalsebpf
sudo apt-get install sysmonforlinux

Cyberdefenders – MalDoc101 writeup

11 febrero, 202211 febrero, 2022 rokitoh Deja un comentario

It is common for threat actors to utilize living off the land (LOTL) techniques, such as the execution of PowerShell to further their attacks and transition from macro code. This challenge is intended to show how you can often times perform quick analysis to extract important IOCs. The focus of this exercise is on static techniques for analysis.

Suggested Tools:

REMnux Virtual Machine (remnux.org)
Terminal/Command prompt w/ Python installed
Oledump
Text editor

En primer lugar vamos a instalar el software necesario para realizar el reto

Descargamos OLEDUMP

mkdir /opt/oledump
cd /opt/oledump
wget http://didierstevens.com/files/software/oledump_V0_0_60.zip
unzip oledump_V0_0_60.zip

Instalamos oletools

pip install -U oletools

Informe fail2ban y ipset

10 septiembre, 202114 febrero, 2024 rokitoh Deja un comentario

En anteriores entradas como Crear SFTP en Alta disponibilidad en Azure y Detener ataques de fuerza bruta ya vimos como instalar y configurar fail2ba y ipset. En este caso os traigo un pequeño script para obtener un informe de los ataques sufridos.

En dicho script únicamente tendríais que modificar la variable de $MAILTOADDRESS y la ruta de la blacklist de IPSET: $IPSETCUSTOM.

En caso de no tener IPSET se puede eliminar/comentar perfectamente dicha parte.

Implementación de SIRP Open Source

27 mayo, 201922 julio, 2019 rokitoh 11 comentarios

En el siguiente articulo veremos como implementar un Security Incident Response Platform (SIRP) basado en software open source en alta disponibilidad.

Como podemos ver en el diagrama, el agente de Wazuh HIDS envía los datos de todos los servidores a Wazuh Manager y ElasticSearch. ElastAlert observará los nuevos eventos y generará alertas en TheHive.

Linux Post Exploitation Cheat Sheet

10 junio, 20185 agosto, 2018 rokitoh 1 comentario

Recolección de información

Comandos	DESCRIPCIÓN
/etc/resolv.conf	Contiene los servidores DNS
/etc/motd	Mensaje del dia
/etc/issue	versión de la distribucuón
/etc/passwd	Lista de usaurios
/etc/shadow	Lista de hashes de usuario (requiere permisos de root)
/home/USUARIO/.bash_history	Te muestra los comandos ejecutados por el usuario