Creación de reglas en Azure Sentinel para Fortigate

En la anterior entrada vimos como parsear los logs que nos llegan desde Fortigate.

En esta ocasión veremos como crear reglas en Azure Sentinel para que cuando detecte o bloque algún ataque nos genere una alerta.

Para ello vamos a utilizar las siguientes querys:


Forti | where (FTNTFGTseverity == "critical" or FTNTFGTseverity == "high" and act == "detected" or act == "reset")

Forti | where (FTNTFGTseverity == "medium" or FTNTFGTseverity == "warning" and act == "detected" or act == "reset")


Forti | where (FTNTFGTseverity == "critical" or FTNTFGTseverity == "High" and act == "dropped" or act == "blocked")

Forti | where (FTNTFGTseverity == "medium" or FTNTFGTseverity == "warning" and act == "dropped" or act == "blocked")

Para que no se alargue excesivamente la entrada únicamente mostraré como se hace una regla. Pero debéis realizar una regla por cada query que os mostré en el punto anterior.

Leer más

Configuración Inicial Switch D-link DGS-1210

Cuando configuramos por primera vez el Switch D-link DGS-1210 tenemos que tener en cuenta que viene configurado por defecto mediante una IP fije, por lo que tenemos que conectar directamente el Switch a nuestro equipo.  también  tenemos que tenerlo conectado a nuestro router.

Una vez ya tenemos conectado todo el switch inicia con la dirección IP: 10.90.90.90/24 por lo tanto debemos de ponernos un direccionamiento ip en ese rango.

Configuramos una interfaz virtual:

ifconfig eth0:0 10.90.90.91/24 up

Comprobamos que llegamos al Switch

root@redorbita:~# ping 10.90.90.90
PING 10.90.90.90 (10.90.90.90) 56(84) bytes of data.
64 bytes from 10.90.90.90: icmp_seq=1 ttl=255 time=3.28 ms
64 bytes from 10.90.90.90: icmp_seq=2 ttl=255 time=2.97 ms
64 bytes from 10.90.90.90: icmp_seq=3 ttl=255 time=2.54 ms
64 bytes from 10.90.90.90: icmp_seq=4 ttl=255 time=2.92 ms
64 bytes from 10.90.90.90: icmp_seq=5 ttl=255 time=2.55 ms
— 10.90.90.90 ping statistics —
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 2.549/2.857/3.286/0.284 ms

Leer más

Instalar servidor de VPN en Zentyal Server 5

En esta entrada veremos como configurar el módulo de correo VPN  de Zentyal, así como permitir el acceso de nuestras cuentas desde la red exterior.

¿Que es una VPN?

Una red privada virtual (RPV), en inglés: Virtual Private Network (VPN), es una tecnología de red de computadoras que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.1 Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.

Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

La conexión VPN a través de Internet es técnicamente una unión wide area network (WAN) entre los sitios pero al usuario le parece como si fuera un enlace privado— de allí la designación «virtual private network».2

Leer más

Como instalar y configurar Squid Transparent Proxy en pfSense

¿Por que configurar Proxy transparente?

Normalmente, los proxys utilizan el puerto 3128 y por lo tanto se debe configurar en cada cliente para que pueda acceder a internet a través del proxy. En cambio, en un proxy transparente no es necesario realizar ningún tipo de configuración en el cliente, todo el trafico se redirige al puerto 80, por lo tanto como su propio nombre indica es transparente para el cliente.

Leer más

Instalación y configuración pfSense

¿Que es pfSense?

pfsense_logopfSense es una distribución personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de código abierto, puede ser instalado en una gran variedad de ordenadores, y además cuenta con una interfaz web sencilla para su configuración. El proyecto es sostenido comercialmente por Electric Sheep Fencing LLC.

Características:

La siguiente lista muestra algunas funcionalidades que se incluyen predefinidamente en el sistema.

PfSense cuenta con un gestor de paquetes para ampliar sus funcionalidades, al elegir el paquete deseado el sistema automáticamente lo descarga e instala. Existen alrededor de setenta módulos disponibles, entre los que se encuentran el proxy Squid, IMSpector, Snort, ClamAV, entre otros.

Leer más

Ejecución de comandos GNU/Linux en FortiOS

¿Que es fnsysctl?

 

fnsysctl es un comando CLI que Forti lo tiene un poco oculto con el cual podemos ejecutar diversos comandos GNU/Linux

Sintaxis: 

fnsysctl <comando linux>

¿Que nos permite ejecutar?

comandos_fnsysctl

 

Como podemos ver, este comando nos sirve para realizar multiples cosas tales como: cambiar permisos, buscar arcivos o directorios, copiar, listar o matar procesos… etc.

 

un saludo.

 

 

The ultimate GUI for aircrack-ng and wireless tools

Hola!

Hoy quiero compartir con vosotros esta GUI de aircrack-ng el cual es bastante interesante para las personas las cuales no le gusta mucho la consola.

En la siguiente web nos podemos descargar la aplicación.

http://code.google.com/p/aircrackgui-m4/

Descargamos el fork de la siguiente manera:

rokitoh@red-orbita:/opt# svn checkout http://aircrackgui-m4.googlecode.com/svn/trunk/ aircrackgui

 

Instalamos las depdendencias necesarias

libqt4-core version 4.8.0
libqt4-gui version 4.8.0

rokitoh@red-orbita:/opt#  sudo apt-get install libqt4-core libqt4-gui

Y ejecutamos la aplicación:

rokitoh@red-orbita:/opt/aircrackgui# ./aircrack-GUI-Start.sh

Yo le estoy echando un vistazo y en los proximos días si tengo tiempo ya publicare algo referente a esta herramienta…

 

Un saludo, rokitoh!

Instalar aircrack-ng en Debian Squeeze

Instalamos las dependencias,

rokitoh@red-orbita:/ apt-get insall libssl-dev

Descargamos

rokitoh@red-orbita:/ wget http://download.aircrack-ng.org/aircrack-ng-1.1.tar.gz

Descomprimimos

rokitoh@red-orbita:/ tar -zxvf aircrack-ng-1.1.tar.gz

Accedemos a la carpeta

 rokitoh@red-orbita:/# cd aircrack-ng-1.1

Compilamos

rokitoh@red-orbita:/home/rokitoh/Desktop/aircrack-ng-1.1# make
make -C src all
make[1]: se ingresa al directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src'
make -C osdep
make[2]: se ingresa al directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src/osdep'
Building for Linux
make[3]: se ingresa al directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src/osdep'
make[3]: `.os.Linux' está actualizado.
make[3]: se sale del directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src/osdep'
make[2]: se sale del directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src/osdep'
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o aircrack-ng.o aircrack-ng.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o crypto.o crypto.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o common.o common.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o uniqueiv.o uniqueiv.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o aircrack-ptw-lib.o aircrack-ptw-lib.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude aircrack-ng.o crypto.o common.o uniqueiv.o aircrack-ptw-lib.o sha1-sse2.S -o aircrack-ng -lpthread -lssl -lcrypto  
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o airdecap-ng.o airdecap-ng.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude airdecap-ng.o crypto.o common.o -o airdecap-ng -lssl -lcrypto
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o packetforge-ng.o packetforge-ng.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude packetforge-ng.o common.o crypto.o -o packetforge-ng -lssl -lcrypto
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o ivstools.o ivstools.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude ivstools.o common.o crypto.o uniqueiv.o -o ivstools -lssl -lcrypto
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o kstats.o kstats.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude kstats.o -o kstats
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o makeivs-ng.o makeivs-ng.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude makeivs-ng.o common.o uniqueiv.o -o makeivs-ng
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o airdecloak-ng.o airdecloak-ng.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude airdecloak-ng.o common.o osdep/radiotap/radiotap-parser.o -o airdecloak-ng
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o aireplay-ng.o aireplay-ng.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude aireplay-ng.o common.o crypto.o -o aireplay-ng -Losdep -losdep   -lssl -lcrypto
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o airodump-ng.o airodump-ng.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude airodump-ng.o common.o crypto.o uniqueiv.o -o airodump-ng -Losdep -losdep   -lssl -lcrypto  -lpthread
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o airserv-ng.o airserv-ng.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude airserv-ng.o common.o -o airserv-ng -Losdep -losdep   
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o airtun-ng.o airtun-ng.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude airtun-ng.o common.o crypto.o -o airtun-ng -Losdep -losdep   -lssl -lcrypto
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude   -c -o airbase-ng.o airbase-ng.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -Iinclude airbase-ng.o common.o crypto.o -o airbase-ng -Losdep -losdep   -lssl -lcrypto  -lpthread

Instalamos

rokitoh@red-orbita:/home/rokitoh/Desktop/aircrack-ng-1.1# make install
make -C src install
make[1]: se ingresa al directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src'
make -C osdep
make[2]: se ingresa al directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src/osdep'
Building for Linux
make[3]: se ingresa al directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src/osdep'
make[3]: `.os.Linux' está actualizado.
make[3]: se sale del directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src/osdep'
make[2]: se sale del directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src/osdep'
make -C osdep install
make[2]: se ingresa al directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src/osdep'
Building for Linux
make[3]: se ingresa al directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src/osdep'
make[3]: `.os.Linux' está actualizado.
make[3]: se sale del directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src/osdep'
make[2]: se sale del directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src/osdep'
install -d /usr/local/bin
install -m 755 aircrack-ng airdecap-ng packetforge-ng ivstools kstats makeivs-ng airdecloak-ng /usr/local/bin
install -d /usr/local/sbin
install -m 755 aireplay-ng airodump-ng airserv-ng airtun-ng airbase-ng /usr/local/sbin
make[1]: se sale del directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/src'
make -C scripts install
make[1]: se ingresa al directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/scripts'
install -m 755 airmon-ng airdriver-ng airodump-ng-oui-update /usr/local/sbin
make[1]: se sale del directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/scripts'
make -C manpages install
make[1]: se ingresa al directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/manpages'
rm -f /usr/local/man/man1/aircrack-ng.1
rm -f /usr/local/man/man1/airdecap-ng.1
rm -f /usr/local/man/man1/airdriver-ng.1
rm -f /usr/local/man/man1/aireplay-ng.1
rm -f /usr/local/man/man1/airmon-ng.1
rm -f /usr/local/man/man1/airodump-ng.1
rm -f /usr/local/man/man1/airserv-ng.1
rm -f /usr/local/man/man1/airtun-ng.1
rm -f /usr/local/man/man1/ivstools.1
rm -f /usr/local/man/man1/kstats.1
rm -f /usr/local/man/man1/makeivs-ng.1
rm -f /usr/local/man/man1/airbase-ng.1
rm -f /usr/local/man/man1/packetforge-ng.1
rm -f /usr/local/man/man1/airdecloak-ng.1
rm -f /usr/local/man/man1/airolib-ng.1
rm -f /usr/local/man/man1/wesside-ng.1
rm -f /usr/local/man/man1/tkiptun-ng.1
rm -f /usr/local/man/man1/buddy-ng.1
rm -f /usr/local/man/man1/easside-ng.1
install -d /usr/local/man/man1
install -m 644 aircrack-ng.1 airdecap-ng.1 airdriver-ng.1 aireplay-ng.1 airmon-ng.1 airodump-ng.1 airserv-ng.1 airtun-ng.1 ivstools.1 kstats.1 makeivs-ng.1 airbase-ng.1 packetforge-ng.1 airdecloak-ng.1  /usr/local/man/man1
make[1]: se sale del directorio `/home/rokitoh/Desktop/aircrack-ng-1.1/manpages'

[*] Run 'airodump-ng-oui-update' as root (or with sudo) to install or update Airodump-ng OUI file (Internet connection required).

Listo instalado!

Un saludo, rokitoh!!