20 de abril de 2010

Firewall Rules Debugger

Si hay un elemento de seguridad que lleva años acompañándonos son los firewall, estos dispositivos que en un principio trabajaban solo hasta la capa 3 de la pila de protocolos OSI poco a poco fueron ganando complejidad, empezaron a trabajar con capas superiores e incluso a nivel de aplicación. Hoy en día hay appliances que incluyen IDS/IPS, te pueden establecer VPN’s y controlar el acceso a tu red mediante la terna AAA (Autenticación, Autorización y Auditoría).

Lo malo de estos cacharros es que pasa el tiempo, se van generando reglas y reglas, se implementan caducidades que luego nadie quita y su uso se degenera en el modelo de firewall suizo que vimos hace unos meses.

Hace poco tuve que trabajar en un proyecto donde tocaba auditar la configuración de varios firewall y como no, revisar las reglas compiladas y ver su consonancia respecto a las políticas de seguridad definidas. Me tocó lidiar con varios cientos de reglas así como estudiar los hits que se producían en reglas genéricas que en algún momento se habían consolidado. Para tan ardua tarea estuve buscando Tools que pudieran ayudarme, hay millares que quizás conocereis Flint, securetrack, FW auditor, etc. El caso es que no me acababa de convencer ninguna, yo lo que necesitaba era algo para hacer búsquedas, extraer las reglas que me interesaba, si fuese posible clasificarlas según el puerto y poco más, así que me curré esto:

Búsqueda de reglas...

Clasificando reglas,,,

Una pequeña aplicación que hace exactamente eso. Basta importar el archivo de logs requerido y comenzar a hacer búsquedas. Siempre que los puertos aparezcan después de “:” no tendrá muchos problemas para clasificaros las reglas y deciros el protocolo que debería haber por ahí dentro del rango de puertos reservados. También os pondrá un Warning cuando encuentre cositas raras o protocolos considerados “inseguros”, por ejemplo, Telnet.

Os dejo este link, descomprimir, instalar y cargar el archivo de reglas de ejemplo para poder comenzar a jugar. Está Beta, así que hay algunos errores y excepciones que todavía no he controlado y depurado, también da algún problema de compatibilidad visual en Windows 7 (no soy desarrollador. pero el .NET se debería llevar bien con este sistema operativo ¬¬), con todo ello la funcionalidad a grandes rasgos está implementada. Espero que os sea útil igual que lo fue para mí.

Salu2!

11 de abril de 2010

Qubes-OS

¡Hola!, vuelvo tras unas semanas de ausencia con una noticia fresquita fresquita. Hace escasos días ha sido presentado el sistema operativo Qubes, sus creadores, The Invisible Things Labs (los mismos que apadrinaron al hombre invisible :-p) nos lo presentan como "open source operating system designed to provide strong desktop computing", hay quien lo ha tildado ya como el sistema operativo más seguro del mundo (una de esas frases rimbombantes para animar el cotarro), veámoslo brevemente por encima:


Qubes está basado en Linux, concretamente en la distribución Fedora 12, ahora mismo está diseñado para funcionar en procesadores de 64 bits y, aunque puedes hacerlo, no se recomienda su instalación como máquina virtual, y esto es por que Qubes se basa principalmente en la defensa por "aislamiento", extrapolando el concepto de virtualización que vimos en Sandboxie a todas las aplicaciones del Sistema Operativo. Si repasamos el documento de arquitectura de Qubes veremos esta virtualización con claridad. Fedora 12 + Xen hypervisor, a partir de ahí una serie de dominios virtualizados clasificados en categorías (de hecho, podremos saber que categoría tiene una aplicación por el color que la rodea en el escritorio) y que extienden el aislamiento de procesos típico de los sistemas operativos otorgándole un nivel mayor de seguridad y robustez ante amenazas:
Qubes generará tantas AppVM o "mini máquinas virtuales" como aplicaciones hayamos lanzado, asegurándose de que no existen recursos compartidos entre ellas o si existen es por que el usuario lo ha autorizado, ¿como?, a través del "Copy Paste Seguro" (flipa). Las aplicaciones no tienen acceso al clipboard y solo el usuario es quien puede "autorizar" a que un trozito de memoria sea accedido por una tercera aplicación. ¿Cuantas AppVM podemos tener?, los autores dicen que muchas, señalando que el consumo de recursos del sistema no es excesivo, estando a la altura de otros sistemas operativos actuales.

Sobretodas estas capas de virtualización y dominios hay uno que los gobierna a todos, uno en el que corre el core del sistema operativo y cuya comunicación con los "gestores de dominio" se ha disminuido al máximo, tanto que se está estudiando si este dominio 0 no debería estar ubicado "en la nube" (aquí ya sería cuando se juntaría la virtualización y la nube en una elegante solución tecnológica). Para más inri, Qubes aprovecha toda la tecnología Intel de Trusted Execution que vimos hace unos meses, haciendo uso de las instrucciones, sistemas criptográficos asimétricos y beneficios que supone la implantación de instrucciones de seguridad y aislamiento desde el mismo procesador.

He de reconocer que sobre el papel tiene muy buena pinta, espero poder montarme mi "mini laboratorio" y poder hacer cositas con este nuevo sistema operativo que, si bien puede ser demasiado incómodo para los usuarios de la calle (sobretodo aquellos que maldecían el UAC de Windows Vista) puede tener mucho sentido en ambientes donde la seguridad es crítica. Estaremos atentos a la evolución de este proyecto que, sin aportar grandes novedades, mezcla muchos de los conceptos y tecnologías que hay en el mercado ofreciendo un producto que deja buenas vibraciones.

Salu2!!

PD: Discúlpenme mis lectores por la poca frecuencia de entradas, lamentablemente va a ser la tónica general a partir de ahora y es que, como en la vida, nuevos proyectos se avecinan para sustituir a los anteriores.