Security Onion se ha convertido en una de esas plataformas que cualquiera que monte o opere un SOC debería conocer de cerca. Es gratuita, de código abierto y reúne en un mismo sitio monitorización de red, caza de amenazas y gestión de logs, además de una colección de herramientas probadas en producción que aceleran el trabajo del Blue Team.

Detección e inyección SQL manual, con algunos payloads de evasión de IDS/WAF; y es que la inyección SQL (SQLi) sigue siendo una de las vulnerabilidades más explotadas. A medida que los IDS (Sistemas de Detección de Intrusos) y los WAF (Web Application Firewall) mejoran, nosotros debemos recurrir a técnicas de evasión para burlar estos sistemas. Y es por esto, que en este post me centraré en algunos ejemplos prácticos de cómo evadir un IDS mediante SQLi en Oracle y MySQL, la mayoría de los cuales hemos utilizado en auditorias donde hemos encontrado algún WAF. Cabe mencionar, además, que otro de los motivos por los que preferimos el uso de inyecciones manuales es porque reduce significativamente el número de peticiones realizadas al servidor.

 OPNsense es un software router de código abierto que soporta la detección de intrusos a través de Suricata. Una vez habilitado, puede seleccionar un grupo de reglas de detección de intrusos (también conocido como conjunto de reglas) para los tipos de tráfico de red que desea supervisar o bloquear. Los conjuntos de reglas pueden actualizarse automáticamente de forma periódica para que las reglas se mantengan más actualizadas. Algunos conjuntos de reglas son gratuitos, mientras que otros requieren una suscripción. Para los usuarios domésticos, los conjuntos de reglas gratuitos deberían ofrecer una protección razonable.

En los últimos años hemos visto muchos usuarios que están decidiendo utilizar OPNsense o pfSense como su software routers de red doméstica de elección o que están migrando de pfSense a OPNsense. Pensamos que que podría ser informativo hacer una comparación lado a lado de las diferencias entre las dos plataformas de software. Han pasado más de 8 años de desarrollo desde que OPNsense nació.

 Los investigadores de ESET han descubierto nuevas herramientas basadas en Rust que conducen al despliegue del ransomware Embargo, un actor relativamente nuevo, observado por primera vez por ESET en junio de 2024. El nuevo kit de herramientas consiste en un loader y un killer EDR, llamados MDeployer y MS4Killer respectivamente por ESET. MS4Killer es particularmente notable, ya que se compila a medida para el entorno de cada víctima, apuntando sólo a soluciones de seguridad seleccionadas. Ambas herramientas están escritas en Rust, el lenguaje elegido por el grupo Embargo para desarrollar su ransomware.

¿En qué se parece y qué se distingue a SELKS de Kali Linux o Parrot? El producto de Stamus Networks, firma especializada en la seguridad de redes, se enfoca en la seguridad y la detección de amenazas, aunque se centra en ese aspecto en particular, además, con una mezcla más particular si cabe sobre su base Debian. Así, SELKS es en realidad el acrónimo de Suricata, Elastic Search, Logstash, Kibana y Stamush (Community Edition, para más señas).

Skyhook es una utilidad basada en REST que se utiliza para transferir archivos dentro y fuera de redes defendidas por IDS/IPS y medidas DLP. Viene con un cliente web preempaquetado que utiliza una combinación de React, Vanilla JS y Web Assembly para llevar a cabo las transferencias de archivos.

Wazuh es una plataforma gratuita y de código abierto utilizada para la prevención, detección y respuesta a las amenazas. Es capaz de proteger cargas de trabajo en entornos locales, virtualizados, en contenedores y en la nube. Permite integración con otras conocidas herramientas como Yara, VirusTotal, o Suricata.

pfSense es el sistema operativo orientado a firewall (cortafuegos) más utilizado a nivel profesional, tanto en el ámbito doméstico con usuarios avanzados, como en pequeñas y medianas empresas para segmentar su red correctamente y disponer de cientos de servicios disponibles. pfSense está basado en el popular sistema operativo FreeBSD, pero pfSense dispone de una interfaz gráfica web realmente completa y muy intuitiva. Por su parte IPFire es un sistema operativo basado en Linux cuya función principal es la de firewall (cortafuegos) y también de router dentro de una red. Si necesitas un firewall muy profesional, con posibilidad de añadirle extensiones para aumentar sus funcionalidades, y todo ello bajo un sistema operativo Linux basado en Debian

Las siglas IDS se corresponde con Sistema de Detección de Intrusiones, las siglas IPS se corresponde con Sistema de Prevención de Intrusiones. Es un conjunto de sistemas que se complementan para proveer de mayor seguridad a las redes de distintos tamaños. En especial, aquellas redes que requieren de un alto nivel de respuesta y servicio. Estos sistemas pueden aplicarse tanto a nivel de software o bien, a nivel hardware mediante equipos especializados. Se habla normalmente de IDS/IPS porque trabajan conjuntamente.

La nueva versión IPFire mejora el rendimiento Sistema de Prevención de Intrusiones (IPS) e incluye soporte de exFAT. IPFire (SO basado en Debian) distro permite administrar vía web: Firewall (cortafuegos) e IDS/IPS basado en  SPI (Stateful Packet Inspection). Permite crear un VPN IPsec OpenVPNn  Nodo Tor, backups NAS, web proxy,  NFS, Asterisk VoIP, Streaming, etc

Brim es una herramienta de código abierto multiplataforma para el análisis de tráfico de red.  Wireshark es el estándar de facto para analizar el tráfico de la red. Desafortunadamente, se vuelve cada vez más lento a medida que aumenta la captura de paquetes. Brim resuelve este problema tan bien que cambiará su flujo de trabajo de Wireshark.

pfSense es el sistema operativo orientado a firewall (cortafuegos) más utilizado a nivel profesional, tanto en el ámbito doméstico con usuarios avanzados, como en pequeñas y medianas empresas para segmentar su red correctamente y disponer de cientos de servicios disponibles. pfSense está basado en el popular sistema operativo FreeBSD, pero pfSense dispone de una interfaz gráfica web realmente completa y muy intuitiva. Por su parte IPFire es un sistema operativo basado en Linux cuya función principal es la de firewall (cortafuegos) y también de router dentro de una red. Si necesitas un firewall muy profesional, con posibilidad de añadirle extensiones para aumentar sus funcionalidades, y todo ello bajo un sistema operativo Linux basado en Debian

Suricata es un motor de monitoreo de seguridad de red, IPS e IDS de red de alto rendimiento. Es una herramienta de código abierto propiedad y desarrollada por OISF (Open Information Security Foundation).

Sistema de detección de intrusos en red (NIDS)Las principales características e inconveniente de los tres sistemas open-source más utilizados a día de hoy: Snort, Suricata y Zeek. En este caso hablaremos de la configuración e instalación de Snort 3.

En esta entrada del blog veremos los pasos que debemos seguir para dejar instalado Suricata en Debian pero usando una RaspBerry Pi. Suricata (tipo Snort) es un motor de red de alto rendimiento, como IDS (Intrusion Detection System), IPS (Intrusion Prevention System) y usado como sistema de monitorización de red, y por supuesto, ¡Open Source!. Hacía ya mucho tiempo que estaba esperando hablar de Suricata y qué mejor manera de hacerlo que instalando y configurando las reglas.