Squert

Dentro de la seguridad informática aplicada a la empresa, uno de los principales puntos que ha de cubrirse es la monitorización y vigilancia a nivel de red. Hay que monitorizar los datos que entran a través del perímetro, los datos que salen de la compañía y el tráfico entre equipos dentro de nuestra red. Esta disciplina es lo que se ha dado en llamar NSM (Network Security Monitoring) y que algunos hemos conocido de la mano de Richard Bejtlich y su libro “The Tao of network security monitoring”.

Pues bien, en este post he decidido presentar una pequeña introducción sobre una herramienta que puede hacernos la vida más fácil en esto de la monitorización de la seguridad de una red: Squert. Pero para poder entrar a ver qué es Squert, primero tendremos que dar unas pequeñas pinceladas de su “padre” Sguil.

Sguil

Sguil es un consola de análisis de eventos de red diseñada por y para analistas, compuesta de varios sistemas que conjuntamente nos ayudan a monitorizar la seguridad de una red de ordenadores. Además del acceso a eventos en tiempo real, nos proporciona datos de sesión y capturas de paquetes de red. Desde su interfaz podemos visualizar dichos datos, e incluso tenemos también capacidades de gestión y clasificación de dichos eventos.

En la siguiente tabla podemos ver los componentes en los que se apoya SGUIL para la recogida y presentación de los datos:

Posee una estructura de cliente-servidor en la que los sensores (clientes) monitorizan los enlaces de red (snort, SANCP) y envían los datos al servidor de Sguil donde se almacenan en una base de datos para su posterior tratamiento. Podemos visualizar dicha información mediante un interfaz gráfico multiplataforma escrito en TCL/TK.

SQUERT (Simple QUEry and Report Tool)

Nació como una evolución de Sguil, añadiendo un interfaz web para visualizar y consultar los datos almacenados en una base de datos de Sguil. El nuevo interfaz mejora la usabilidad y hace el entorno más amigable, añadiendo a su vez nuevas funcionalidades a una herramienta ya de por sí muy útil.

Desde el interfaz de SQUERT podemos tener una visión global de lo que está pasando en nuestra red, actualmente Squert puede agrupar y visualizar alertas de nuestro network IDS (snort/suricata), alertas de host IDS proporcionadas desde OSSEC, PADs (Passive Asset Detection) y eventos procedentes de logs de Bro. La combinación de toda esta información puede ayudarnos a tener una visión más completa de lo que pasa en nuestros sistemas y determinar ante un incidente de seguridad los posibles equipos afectados, conexiones anómalas, etc.

Interfaz Web

Iniciaremos sesión con las credenciales que hayamos definido en la base de datos de Sguil.

La pantalla principal tiene un diseño claro, dando protagonismo al listado de eventos que aparece en posición central. Los filtros temporales aparecen en la parte superior y la barra lateral agrupa las estadísticas de eventos agrupados por tipos (grouping) y la activación de agrupado de eventos por tipo, o la visualización de la cola de eventos por categorizar (queue only).

Alertas

En el listado de alertas se agrupan todos los tipos definidos (NIDS + HIDS + PADS + OSSEC + BRO), una vez pinchamos encima de una de las alertas obtenemos un detalle de la firma que ha sido “activada”, el fichero de reglas en que se encuentra y los eventos clasificados por direcciones IP origen.

El número que aparece en la parte izquierda de la alerta indica el numero de eventos totales que han sido agrupados (si tenemos activado el grouping), por lo que haciendo clic encima, se desplegará el listado completo. En este caso se trata de una alerta de descarga de un fichero ejecutable EXE o DLL, y vemos que hay 2 eventos agrupados, la regla que ha activado la detección, la dirección IP origen, puerto y la dirección IP destino.

Si seguimos investigando y hacemos clic encima del ID del evento, se mostrará una transcripción del contenido de los paquetes de red capturado, donde podemos identificar claramente que se trata de la descarga de un fichero ejecutable.

El texto en color negro es el resultado de la ejecución de la herramienta p0f, identificando el SO. El resto del texto en azul y rojo es la conversación http extraída de la captura de red.

Llegado este momento en el que hemos descubierto un comportamiento malicioso y que puede deberse al compromiso del equipo analizado, podemos clasificar la alerta y continuar con el análisis del incidente, Squert sigue la misma clasificación que Sguil.

Podemos categorizar la alerta mediante el teclado (F1,F2,F3…) o seleccionando la alerta y pinchando en el icono de comentarios, que abrirá una ventana donde podremos seleccionar la categoría y añadir un comentario descriptivo si lo creemos oportuno.

Una vez categorizados los eventos, estos desaparecen de la cola y aparecen en las estadísticas de la categoría seleccionada.

Squert nos ofrece también la opción de crear reglas que nos permitirían categorizar automáticamente las alertas que van entrando en el sistema.

Una vez categorizada la alerta, en este caso nos sería de gran ayuda para continuar con nuestra investigación recuperar el ejecutable descargado. Si tenemos activada la opción de captura de paquetes podemos hacerlo desde ELSA.

ELSA es un framework de análisis de logs centralizado, que puede integrarse con Squert, para poder realizar búsquedas directamente sobre los logs almacenados. Haciendo clic sobre un elemento de la alerta, en este caso sobre el nombre de la firma de snort activada, vemos un submenú que incluye un enlace a una búsqueda externa en ELSA.

Siguiendo el enlace se abrirá una nueva pestaña en el navegador con el interfaz de conexión de ELSA, una vez iniciemos sesión, seleccionamos la tabla sobre la que queremos realizar la búsqueda, en nuestro caso “snort”.

Y obtendremos un listado con los registros resultantes de la búsqueda:

Desde la consulta de ELSA al hacer clic en el enlace “info” conectaremos con seleccionar más información y desde ahí se abrirá capme, un complemento de Squert que nos ayudará a recuperar la captura de red realizada en formato pcap y que posteriormente podremos abrir con wireshark para extraer el fichero descargado.

SUMMARY

Otra de las principales mejoras aportadas por Squert es la visualización de los datos y estadísticas. En esta segunda pantalla llamada Summary, tendremos una visión global de los ataques recibidos, estadísticas de las alertas más detectadas, direcciones IP origen de los atacantes más activos, direcciones IP de los hosts más atacados, etc.

VIEWS

En esta pantalla la información se centra principalmente en dar una visión rápida de las conexiones realizadas, mostrando las direcciones IP y la geolocalización de estas.

Referencias