Eating Security cá cược thể thao bet365_cách nạp tiền vào bet365

05 March, 2015

Reflections on BSidesDC 2014 Talk: Meatspace Indicators and IR

This is long overdue, but I finally am posting a recap of my BSidesDC talk from October 2014. The talk was based on my previous blog post, A Practical Example of Non-technical Indicators and Incident Response. For my BSidesDC talk, I tweaked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title slightly to "Meatspace Indicators and Incident Response: A Story From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lab of Nate Richmond."

Overall, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk went well. To give people an idea of preparation, I did two dry runs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk. The first was for my coworkers, who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n gave me valuable feedback on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content and suggestions for improvements. It also gave me a good idea whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material filled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I had for my talk. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not you're giving a talk sponsored by your employer, it's a great idea to get feedback from peers before submitting or giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk.

Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk used my family as an example, I also did a dry run for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m after modifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feedback my coworkers gave to me. The main reason to give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk to my family was to make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were all comfortable with what I said during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk, but also to get some feedback and be fully transparent with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m about what I do with our home network.

I felt slightly guilty about using material from a couple years ago for a conference, but in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end I decided it was still relevant. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material was very well-suited for BSides racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a larger conference.

I embedded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video from YouTube below. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video, I have some comments and critiques of my talk that I noted when watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video. It can be very painful to watch and listen to yourself, particularly for those of us who are driven to be good at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things we do and thus are very critical of ourselves, but it's always important to review what you've done so you can do it better cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time. I definitely missed a few points that I had in my notes and also rushed a bit, finishing 10 minutes early. I probably should have done at least one more dry run.

I hope it was informative, useful, and entertaining for those that attended or watched later.

I'd very much like to thank BSidesDC for having me. I enjoyed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference both as a speaker and an attendee. I highly recommend checking out your local BSides if you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance. I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir focus on community, collaboration, and keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost for attendees to a minimum.

The "Introduction" slide was meant in part to set up a short musing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stickers people put on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cars to represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir family. Sorry if you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really bug me for some reason.

I think I did emphasize my two main points, which are that security practitioners sometimes forget cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir goals in terms of supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're protecting, and that we also can be overly focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest technology when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many indicators of compromise that require no technology at all.

If I gave this talk again, I would add a slide after "Additional Context" to show a little more about my home lab architecture. It would have made sense to leverage a little material from my blog posts New Home Lab Configuration and Home Lab Part 2. I did have links to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se posts in my presentation but forgot to point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m out to my audience. I also had intended to point out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evolution of my lab from a stand-alone Sguil installation running on a 700MHz w/512MB RAM prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of Security Onion to its current incarnation using virtual machines on a much faster machine.

Regarding Terms of Service and expectations of privacy, I firmly believe in what I stated during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it's a business or personal network, it's very important to let your users know what is expected of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and also what is expected of those monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. It's also important for those doing network monitoring to properly adhere to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se terms. When network monitoring and incident response is part of your job, you should not be taking advantage of your access to root around in people's personal business for fun. You should only be doing what is required to effectively do your job.

During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changing landscape and countermeasures, I forgot to repeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience. This bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs me since I had explicitly reminded myself beforehand to repeat comments so everyone could hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. If you are ever a presenter and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience doesn't have microphones, please try to repeat any substantial questions or comments for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience.

Finally, I had some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examples and discussion for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slide about "Why Does This Matter?" but neglected to glance at my notes. The bottom line is that we sometimes get caught up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mentality of "nuke entire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site from orbit--it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to be sure" racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than examining ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r possibilities that would still be effective but less disruptive to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business.

14 May, 2013

More Ettercap and ARP Poisoning

My previous post about Ettercap gets a lot of hits, so I thought I should post a deeper look at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 features with examples of usage. Before continuing, I'll point out a couple ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r good resources since some of my work is just building on that of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

Irongeek has a couple good pages dealing with Ettercap.

There is plenty more information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re if you search his site, plus a number of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sites and forums where you can find information.

I decided to show a couple examples, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n relate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to NSM and ways to detect ARP poisoning. I happen to be using FreeBSD as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacking system in this case, and a Windows 7 system as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 targeted system. For my experiment, I'll use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following image.

Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter I used to replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page title and body with my own title and body. It includes segments from Irongeek's filter, so I'll include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GPL notice.

############################################################################
#                                                                          #
#  nr.filter -- filter source file                                         #
#  Based on work by Irongeek and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs http://www.irongeek.com/           #
#                                                                          #   
#  This program is free software; you can redistribute it and/or modify    #
#  it under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GNU General Public License as published by    #
#  cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Free Software Foundation; eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r version 2 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 License, or       #
#  (at your option) any later version.                                     #
#                                                                          #
############################################################################
if (ip.proto == TCP && tcp.dst == 80) {  
   if (search(DATA.data, "Accept-Encoding")) {  
    replace("Accept-Encoding", "Accept-Rubbish!");   
      # note: replacement string is same length as original string  
    msg("zapped Accept-Encoding!\n");  
   }  
   if (search(DATA.data, "gzip")) {  
    replace("gzip", "  ");  
    msg("whited out gzip!\n");  
   }  
 }  
 if (ip.proto == TCP && tcp.src == 80) {  
   replace("", "<title>PWNED<\/tITle><bodY><p><img src="http://3.bp.blogspot.com/-LYY46BB5FAE/UXhWPEJcokI/AAAAAAAAAKQ/uVGpXjOZusM/s400/pwned+DH.jpg"></p></boDY>");  
   replace("<TITLE>", "<title>PWNED<\/tITle><bodY><p><img src="http://3.bp.blogspot.com/-LYY46BB5FAE/UXhWPEJcokI/AAAAAAAAAKQ/uVGpXjOZusM/s400/pwned+DH.jpg"></p></boDY>");  
   replace("", " ");  
   replace("", " ");  
   replace("", " ");  
   replace("", " ");  
   msg("Filter Ran.\n");  
 }

This filter is designed to replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "title" tag with a new title plus a body that links to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image. Then at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter, I attempt to replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original page's title closing tag with a space since I already closed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tag, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original page's body tag with a space to eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 body of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page. I believe you could also use a pcre_regex command in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter to more thoroughly remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing page body after inserting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r content of your choosing. See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 etterfilter manual page for more.

To compile cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter, I simply execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

$ etterfilter nr.filter -o nr.ef

Then to run ettercap on a FreeBSD VM in this example, I execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

$ sudo ettercap -i em0 -F nr.ef -T -M arp:remote /172.16.126.2/ /172.16.126.131/

The "-T" option is to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text interface racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI or ncurses. The "-M" executes a man-in-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-middle with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arguments for ARP poisoning that includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gateway, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first IP address in this case. The second IP address is a Windows system.

Here are some examples of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results if trying to surf using Chrome on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 targeted Windows 7 system.

Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title is not changed on Slashdot, indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not use a traditional
HTML title tag. The body is also not replaced, just pushed down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page.

Here is what Google looks like.

Success.

Finally, here is my blog.

Success once again. Both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page title and body are replaced.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to show how easy it is to redirect traffic to an unexpected site is with ettercap's DNS spoofing plugin. First, I edit /usr/local/share/ettercap/etter.dns and add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following lines.

facebook.com       A   216.34.181.45
*.facebook.com     A   216.34.181.45
www.facebook.com   PTR 216.34.181.45

google.com     A   131.253.33.200
*.google.com   A   131.253.33.200
www.google.com PTR 131.253.33.200

Then I run ettercap with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin enabled.

$ sudo ettercap -i em0 -P dns_spoof -T -M arp:remote /172.16.126.2/ /172.16.126.131/

This 20 second video shows what happens when I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n try to go to Google or Facebook from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 targeted system.

This can be fairly amusing, particularly if you are on a lab network where shenanigans are not only acceptable but expected. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, imagine injecting something more malicious than a funny image like a malicious iFrame or malicious Javascript. I played around with injecting Javascript into pages and it really is trivial if you're in a position to poison cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network gateway. A good old-fashioned Rickroll is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r good way to demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack in a non-malicious way.

As I mentioned in a previous post about ettercap, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit site was briefly owned through ARP poisoning in 2008. It is an old-school attack that can still be quite effective if you have access to a system on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same network segment as anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system you want to attack.

Defenses against ARP poisoning are fairly simple to describe but not necessarily practical or easy to implement. The first, mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit article, is using static ARP tables so ARP requests over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network are no longer necessary. This may be simple in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of a single gateway entry, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 larger cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more administrative overhead to use static ARP entries.

You can also use software to detect ARP poisoning, for example LBNL's arpwatch. Any software that can show you MAC addresses along with IP addresses can potentially be used to detect poisoning since you would see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same IP address in use by multiple MAC addresses. For example, here is what my ARP poisoning with ettercap looks like in Wireshark.

You can see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 poisoner, 00:0c:29:6d:92:78, is associated with both IP addresses.

So, it is easy to see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic but that doesn't mean it is necessarily easy to detect without some analyst intervention. Snort has an ARP spoofing preprocessor, but it seems likely that an IDS will often be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong position on a network to see ARP traffic. In fact, most networks are probably not instrumented in such a way that you can see ARP traffic on a NSM sensor. It is not actually difficult in a technical sense, but it does require resources to have internal network sensors and make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is architected properly for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensors to have visibility. There are probably more efficient ways to allocate resources for detection in this case.

There are still ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r methods to help detect and prevent ARP spoofing, particularly with network equipment like managed switches. Jeremy Stretch has a good write-up on DHCP Snooping and Dynamic Arp Inspection over at his PacketLife blog showing exactly how DAI can be used to prevent and detect ARP poisoning. You can also read about DHCP Snooping and DAI on Cisco's site. This seems like it may be an easier method than IDS deployments since networking equipment is already positioned to see ARP traffic, but it does require equipment that supports ARP inspection.

I had originally thought of also showing how you could combine Ettercap with Metasploit to inject malicious traffic and more in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above examples, but I decided that would overly complicate this post. It is probably better reserved for a future post.

01 May, 2013

Installing OSSEC agent

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent news about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Apache backdoor on systems using cPanel, I thought it would be pertinent to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of adding an OSSEC agent that connects to a Security Onion server. Why is this relevant? Because OSSEC and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r file integrity checkers can detect changes to binaries like Apache's httpd.

"OSSEC is an Open Source Host-based Intrusion Detection System that performs log analysis, file integrity checking, policy monitoring, rootkit detection, real-time alerting and active response."

Many systems include integrity checking programs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir default installs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days, for instance Red Hat with AIDE. AIDE is also available in repositories for a number of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Linux distributions plus FreeBSD.

This case in particular would require using something ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default options for integrity checking because cPanel installs Apache httpd in /usr/local/apache/bin, a non-standard directory that may not be automatically included when computing file hashes and doing subsequent integrity checks.

The reason I'm demonstrating OSSEC here is that it easily integrates with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sguil console, and in Security Onion cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensors and server already have OSSEC configured to send alerts to Sguild. OSSEC also has additional functionality compared to AIDE. In this case, I'm installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agent on a Slackware server.

$ wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz

---snipped---

 $ openssl sha1 ossec-hids-2.7.tar.gz
SHA1(ossec-hids-2.7.tar.gz)= 721aa7649d5c1e37007b95a89e685af41a39da43
 $ tar xvzf ossec-hids-2.7.tar.gz

---snipped---

 $ sudo ./install.sh

  OSSEC HIDS v2.7 Installation Script - http://www.ossec.net

 You are about to start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation process of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC HIDS.
 You must have a C compiler pre-installed in your system.
 If you have any questions or comments, please send an e-mail
 to dcid@ossec.net (or daniel.cid@gmail.com).

  - System: Linux webserver 3.8.4
  - User: root
  - Host: webserver

   -- Press ENTER to continue or Ctrl-C to abort. --

 1- What kind of installation do you want (server, agent, local, hybrid or help)? agent

  - Agent(client) installation chosen.

 2- Setting up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation environment.

  - Choose where to install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC HIDS [/var/ossec]:

 3- Configuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC HIDS.

   3.1- What's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP Address or hostname of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC HIDS server?: 192.168.1.20

  - Adding Server IP 192.168.1.20

   3.2- Do you want to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity check daemon? (y/n) [y]:

    - Running syscheck (integrity check daemon).

   3.3- Do you want to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rootkit detection engine? (y/n) [y]:

 - Running rootcheck (rootkit detection).

   3.4 - Do you want to enable active response? (y/n) [y]:

3.5- Setting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following logs:
    -- /var/log/messages
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/adm/syslog
    -- /var/adm/auth.log
    -- /var/adm/messages
    -- /var/log/xferlog
    -- /var/log/proftpd.log
    -- /var/log/apache/error_log (apache log)
    -- /var/log/apache/access_log (apache log)
    -- /var/log/httpd/error_log (apache log)
    -- /var/log/httpd/access_log (apache log)

  - If you want to monitor any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r file, just change
   cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ossec.conf and add a new localfile entry.
   Any questions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration can be answered
   by visiting us online at http://www.ossec.net .

   --- Press ENTER to continue ---

---snip---

- Init script modified to start OSSEC HIDS during boot.
 - Configuration finished properly.
 - To start OSSEC HIDS:
                /var/ossec/bin/ossec-control start
 - To stop OSSEC HIDS:
                /var/ossec/bin/ossec-control stop
 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf

    Thanks for using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC HIDS.
    If you have any question, suggestion or if you find any bug,
    contact us at contact@ossec.net or using our public maillist at

    ossec-list@ossec.net
    ( http://www.ossec.net/main/support/ ).

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

 - You first need to add this agent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y 
   can communicate with each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. When you have done so,
   you can run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'manage_agents' tool to import cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 
   aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication key from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server.

   /var/ossec/bin/manage_agents

   More information at: 
   http://www.ossec.net/en/manual.html#ma

Next, I add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agent to my Security Onion server.

$ sudo /var/ossec/bin/manage_agents 

****************************************
* OSSEC HIDS v2.6 Agent manager.     *
* The following options are available: *
****************************************

   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.

Choose your action: A,E,L,R or Q: A

- Adding a new agent (use '\q' to return to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main menu).

  Please provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
   * A name for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new agent: webserver
   * The IP Address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new agent: 192.168.1.5
   * An ID for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new agent[001]: 

Agent information:

   ID:001
   Name:webserver
   IP Address:192.168.1.5

Confirm adding it?(y/n): y

****************************************
* OSSEC HIDS v2.6 Agent manager.     *
* The following options are available: *
****************************************

   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.

Choose your action: A,E,L,R or Q: e

Available agents: 

   ID: 001, Name: webserver, IP: 192.168.1.5

Provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ID of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agent to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key (or '\q' to quit): 001

Agent key information for '001' is: 

---snip---

** Press ENTER to return to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main menu.

Now copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key, go back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server, paste and import cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key.

$ sudo /var/ossec/bin/manage_agents 

****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************

   (I)mport key from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server (I).
   (Q)uit.

Choose your action: I or Q: i

* Provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Key generated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): ---snip---

Agent information:
   ID:001
   Name:webserver
   IP Address:192.168.1.5

Confirm adding it?(y/n): y

If I was running a system with cPanel that was vulnerable to Cdorked.A cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I would want to make sure OSSEC is monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directories with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Apache httpd files. The OSSEC default configuration from my recent install is /var/ossec/etc/ossec.conf and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevant lines are below:


    
    79200

    
    /etc,/usr/bin,/usr/sbin
    /bin,/sbin

So by default OSSEC would apparently not be checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity of cPanel's Apache installation and I would need to add /usr/local/apache to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory checks. After making any changes for my particular system, I check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 status of OSSEC and it is not yet running.

$ sudo /etc/rc.d/rc.ossec status
ossec-logcollector not running...
ossec-syscheckd not running...
ossec-agentd not running...
ossec-execd not running...
$ sudo /etc/rc.d/rc.ossec start 
Starting OSSEC HIDS v2.7 (by Trend Micro Inc.)...
Started ossec-execd...
Started ossec-agentd...
Started ossec-logcollector...
Started ossec-syscheckd...
Completed.

Note after adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC agent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n adding it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC server, you must restart ossec-hids-server in order for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ossec-remoted process to start listening on 1514/udp for remote agents.

$ sudo /etc/init.d/ossec-hids-server status
ossec-monitord is running...
ossec-logcollector is running...
ossec-remoted not running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild not running...
ossec-execd is running...
$ sudo /etc/init.d/ossec-hids-server restart
Killing ossec-monitord .. 
Killing ossec-logcollector .. 
ossec-remoted not running ..
Killing ossec-syscheckd .. 
Killing ossec-analysisd .. 
ossec-maild not running ..
Killing ossec-execd .. 
OSSEC HIDS v2.6 Stopped
Starting OSSEC HIDS v2.6 (by Trend Micro Inc.)...
OSSEC analysisd: Testing rules failed. Configuration error. Exiting.
2013/04/30 23:13:59 ossec-maild: INFO: E-Mail notification disabled. Clean Exit.
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-remoted...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.

$ sudo /etc/init.d/ossec-hids-server status
ossec-monitord is running...
ossec-logcollector is running...
ossec-remoted is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild not running...
ossec-execd is running...

$ netstat -l | grep 1514
udp        0      0 *:1514                  *:*

Note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error corresponding to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FAQ entry about getting an error when starting OSSEC. However, since I'm running OSSEC 2.7 this did not seem to apply. Poking around, I realized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ossec-logtest executable had not been copied to /var/ossec/bin when I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 install script. After I manually copied it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory, restarting OSSEC no longer caused cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Testing rules failed" error.

Once you have installed OSSEC on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to be monitored, added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server, imported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to be monitored, restarted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server process, and started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client process, you will start getting alerts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly added system in Sguil. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content of Sguil alerts will look like this after updating gcc:

Integrity checksum changed for: '/usr/bin/gcc'
Old md5sum was: '764a405824275d806ab5c441516b2d79'
New md5sum is : '6ab74628cd8a0cdf84bb3329333d936e'
Old sha1sum was: '230a4c09010f9527f2b3d6e25968d5c7c735eb4e'
New sha1sum is : 'b931ceb76570a9ac26f86c12168b109becee038b'

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sguil console, if I wanted to view all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent OSSEC alerts I could perform a query as pictured below. Note you need to escape cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brackets or remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in favor of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MySQL wildcards '%%'.

Finally, to show an example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various types of alerting that OSSEC can do in addition to checksum changes, here is a query and output directly from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MySQL console.

mysql> SELECT count(signature),signature FROM event WHERE signature LIKE '%%OSSEC%%' GROUP BY signature ORDER BY count(signature) DESC;
+------------------+---------------------------------------------------------------------------------------+
| count(signature) | signature                                                                             |
+------------------+---------------------------------------------------------------------------------------+
|              388 | [OSSEC] Integrity checksum changed.                                                   |
|              149 | [OSSEC] Host-based anomaly detection event (rootcheck).                               |
|               46 | [OSSEC] Integrity checksum changed again (2nd time).                                  |
|               39 | [OSSEC] IP Address black-listed by anti-spam (blocked).                               |
|               12 | [OSSEC] Integrity checksum changed again (3rd time).                                  |
|                4 | [OSSEC] Web server 400 error code.                                                    |
|                3 | [OSSEC] Receipent address must contain FQDN (504: Command parameter not implemented). |
+------------------+---------------------------------------------------------------------------------------+
7 rows in set (0.00 sec)

The highest count alert, plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerts indicating "2nd time" and "3rd time", are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basic functionality needed to detect changes to a file, my original use case. The "rootcheck" is alerting on files owned by root but writable by everyone. The balance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerts are from reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system logs and detecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system rejecting emails (anti-spam, 504) or web server error codes.

Back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original problem of Cdorked.A, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog posts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject also indicate that NSM could detect unusually long HTTP sessions, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no doubt ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r network behaviors that could be used to create signatures or network analytics resulting in detection. File integrity checks are just one possible way to detect a compromised server. Remember you need to have known good checksums for this to work! You ideally install something like OSSEC prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system being live on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network or at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least prior to it running any listening services that could be compromised before computing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 checksums.

22 April, 2013

Home Lab Part 2: VMware ESXi, Security Onion, and More

As I stated in my previous post about a new home lab configuration, I decided to try VMware ESXi 5.1 on my new Shuttle SH67H. ESXi is free for uses like this, presumably because it clearly benefits VMware if professionals can use it in a lab setting and that encourages use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir paid products in production. I have seen some conflicting accounts, but it appears that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main limit on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free version of ESXi 5.1 is 32GB of RAM.

I won't go into too much detail about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation since it is adequately covered by a couple of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r posts I found prior to purchasing my system.

I will mainly cover details that stood out and things I discovered as someone new to ESXi.

I had already planned to get a Shuttle for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 small form factor, low noise, and low power usage. Finding out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SH67H could be used as a white box for ESXi made it easy to pick an initial project once I built cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. (Okay, we could quibble over whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a Shuttle counts as a white box). Additionally, since my previous home network sensor running Sguil had died, I figured that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first VM to build would be Security Onion but that I'd still be able to run multiple ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r VMs without impacting my home lab NSM.

Getting ESXi installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shuttle was pretty simple. After booting to CD, I just followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prompts and made sane choices. The one thing to note is that I installed ESXi to an external USB flash drive. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS is so small, it gets loaded primarily to RAM at boot anyway. Using a flash drive has some advantages and some disadvantages, as shown in many discussions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMware and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r discussion boards. For my home lab I decided to install to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flash drive, but chances are that it will actually make no difference to me. Some ESXi servers have no local storage, so I imagine it is particularly common for those systems to use a USB flash drive.

After using directly connected keyboard and monitor, I moved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system into my home "server closet" and booted it headless. I installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vSphere Client on my local Windows VM since I don't have a non-VM Windows installation. The vSphere Client was surprisingly easy and I might even go as far as user-friendly. You can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot below that it is relatively straightforward.

The error states "System logs on host vmshuttle are stored on non-persistent storage."

The first thing I noticed was, because of installing ESXi to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flash drive, I got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error shown in my screenshot.

This error was only temporary. I am not sure when it was resolved, most likely after a reboot or I created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial guest VM, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system created a ".locker" directory in which I can clearly see all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs. I am assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are persistent since vmstore0 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal 1TB hard drive, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USB flash drive.

# cd /vmfs/volumes/vmstore0/
# ls -l .locker/
drwxr-xr-x 1 root root 280 Apr 7 16:01 core
drwxr-xr-x 1 root root 280 Apr 7 16:01 downloads
drwxr-xr-x 1 root root 4340 Apr 16 02:15 log
drwxr-xr-x 1 root root 420 Apr 7 16:01 var

I believe anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option for fixing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error would be to manually set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scratch partition as detailed in VMware's Knowledge Base. Note that I haven't actually tried that to date.

Before being able to SSH into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ESXi host and look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above directories and files, I had to enable SSH. The configuration for SSH and a number of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security-related services is available in vSphere by highlighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host (since in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workplace you may use vSphere to manage multiple ESXi systems), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n going to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Configuration tab, Security Profile, and finally SSH Properties. If you haven't noticed already, ESXi defaults to using root for everything. I haven't yet investigated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feasibility of locking down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ESXi host, but I think it's safe to say most people will rely on keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host as isolated as possible since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host OS is not particularly flexible or configurable outside options VMware provides.

I decided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to use vSphere would be to copy my Windows 7 VM from my laptop to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ESXi host. Trying to scp cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n adding it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inventory never worked properly. I had similar problems when trying to scp a CentOS VM from my laptop. When I tried browsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 datastore in vSphere and adding a local machine to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote inventory, it would get partway through and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n fail with an I/O error. I believe this was all actually a case of a flaky wireless access point, but even in cases where I successfully copied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CentOS VM I got errors when trying to add it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inventory.

I eventually got it to work by converting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM locally using ovftool cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n deploying it to ESXi. OVF is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Virtualization Format, an open standard for packaging virtual machines. The syntax to convert an existing VM is simple. First, make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM is powered down racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than just paused. On OSX running VMware Fusion, you can export a VM easily.

~ nr$ cd /Applications/VMware\ Fusion.app/Contents/Library/VMware\ OVF\ Tool/ovftool
~ nr$ ./ovftool -dm=thin ~/Documents/Virtual\ Machines.localized/Windows\ 7\ x64.vmwarevm/Windows\ 7\ x64.vmx ~/Documents/VM-OVF/Windows\ 7\ x64/Windows\ 7\ x64.ovf

After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM still needed to be exported to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ESXi host. I plugged my laptop into a wired connection to speed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process and eliminate any issues I was having over wireless, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n sent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM to ESXi. The options I used are to set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 datastore, disk mode, and network.

~ nr$ ./ovftool -ds=vmstore0 -dm=thin --network="VM Network 2" ~/Documents/VM-OVF/Windows\ 7\ x64/Windows\ 7\ x64.ovf vi://192.168.1.10/

Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM is copied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host, you will need to browse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 datastore and add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ESXi inventory. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ways to move a VM to ESXi are not endorsed by VMware. They officially recommend using OVF to import VMs.

All things considered, getting ESXi installed and configured was relatively easy. There are certainly drawbacks to using unsupported hardware. For example, vSphere does not display CPU temperature and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r health or status information. I believe ESXi expects to use IPMI for hardware status like voltages, temperatures, and more. There are options to consider for anyone wanting a home lab using supported hardware. VMware maintains a lengthy HCL and I presume systems on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir list support all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 health status information in vSphere. I did find several possibilities to buy used servers like a Dell PowerEdge 2950 at reputable sites for about $650. Since I didn't want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noise, don't have a rack, and may not keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system as a dedicated ESXi host, I did not go that route for a lab system.

Building a Security Onion VM

As stated, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first VM I built was Security Onion. I did this through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vSphere client and include some screenshots here. Most of this applies to building any VM using vSphere.

After choosing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option to create a new VM, I selected a custom configuration. I named cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM simply "Security Onion" and chose my only datastore, vmstore0, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 storage location. I am not concerned with backwards compatibility, so chose "Virtual Machine Version 8." I chose only one core and one socket for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CPU, but allocated 4GB of RAM since I knew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 combination of Suricata, Bro, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r monitoring processes would eat a lot of RAM. I was installing 64-bit, so I chose 64-bit Ubuntu as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux version.

Choosing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of NICs, network, and
adapter to use when initially configuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM

I selected two NICs both using VMXNET 3, which was probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first non-standard selection in my custom configuration. I wanted to make sure I had separate management and promiscuous mode NICs since this will be a sensor. The option for VMXNET 3 should not be available as a choice if you previously selected an OS that doesn't support it when you created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM.

I next chose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LSI Logic SAS for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SCSI Controller. Although I think it won't matter for Ubuntu, note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following from VMware's local help files.

"The LSI Logic Parallel adapter and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LSI Logic SAS adapter offer equivalent performance. Some guest operating system vendors are phasing our support for parallel SCSI in favor of SAS, so if your virtual machine and guest operating system support SAS, choose LSI SAS to maintain future compatibility."

This is a good time to point out that hitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Help" button in vSphere will open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local help files in your browser, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y contain actual useful information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences in choices when configuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help button during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of creating a new VM, it will actually open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific page that is contextually useful for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current step of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process. In general, both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir help files and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Knowledge Base seem quite useful.

Finally, I created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual disk. This includes deciding whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to thin provision, thick provision lazy zeroed, or thick provision eager zeroed, meaning prepare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk ahead of time. The documentation states that eager zeroed supports clustering for fault tolerance. I chose thick provisioned for my Security Onion since I knew with certainty that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual disk would get filled with NSM data like packet captures and logs. There are a number of KB and blog posts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMware site that detail advantages and disadvantages of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different provisioning methods.

The final settings for my Security Onion VM

Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM was configured on ESXi, I still needed to actually install Security Onion. You can do it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old-fashioned way by burning a disc and using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CD/DVD drive, but I used mounted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO. To do this, you just need to start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM, which doesn't yet have an OS, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n open a console in vSphere and click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 button to mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual CD drive so it will boot to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disc image and start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation process. The vSphere console is a similar view and interface to Fusion or Workstation and mounting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO works essentially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way.

The time it took from hitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 button to create a VM to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I had a running Security Onion sensor was quite short. I had a couple small problems after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial installation. First, in ESXi you have to manually go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC settings and check a box that allows it to sniff all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic. My sniffing interface was initially not seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic when I checked with tcpdump, which made me realize it was probably not yet in promiscuous mode.

Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4GB RAM and one CPU I had initially allocated was insufficient. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor was running and I tried to update Ubuntu, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system became very unresponsive. I eventually doubled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RAM to 8GB and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of cores to two, which resolved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue. I think at this point that I could probably actually drop back down to 4GB of RAM, but since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system has 32GB I don't need to worry about it yet.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ESXi Notes

Although ESXi is stripped pretty bare of common Linux utilities and commands, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is plenty you can do from a command line through SSH instead of using vSphere. For example, to list all VMs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, power on my Windows 7 VM, and find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address so I can connect through RDP:

# vim-cmd vmsvc/getallvms
Vmid Name File Guest OS Version Annotation
1 Security Onion [vmstore0] Security Onion/Security Onion.vmx ubuntu64Guest vmx-08
13 Windows 7 x64 [vmstore0] Windows 7 x64/Windows 7 x64.vmx windows7_64Guest vmx-09
6 CentOS 64-bit [vmstore0] CentOS 64-bit/CentOS 64-bit.vmx centos64Guest vmx-08
~ # vim-cmd vmsvc/power.on 13
~ # vim-cmd vmsvc/get.guest 13 | grep -m 1 ipAddress
ipAddress = "192.168.1.160",

I can get smartd information from my hard drive if needed.

~ # esxcli storage core device list
t10.ATA_____ST1000DM0032D1CH162__________________________________Z1D3GHKF
Display Name: Local ATA Disk (t10.ATA_____ST1000DM0032D1CH162__________________________________Z1D3GHKF)
Has Settable Display Name: true
Size: 953869
Device Type: Direct-Access
Multipath Plugin: NMP
Devfs Path: /vmfs/devices/disks/t10.ATA_____ST1000DM0032D1CH162__________________________________Z1D3GHKF
Vendor: ATA
Model: ST1000DM003-1CH1
Revision: CC44
SCSI Level: 5
Is Pseudo: false
Status: on
Is RDM Capable: false
Is Local: true
Is Removable: false
Is SSD: false
Is Offline: false
Is Perennially Reserved: false
Queue Full Sample Size: 0
Queue Full Threshold: 0
Thin Provisioning Status: unknown
Attached Filters:
VAAI Status: unknown
Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r UIDs: vml.01000000002020202020202020202020205a31443347484b46535431303030
Is Local SAS Device: false
Is Boot USB Device: false

~ # esxcli storage core device smart get -d t10.ATA_____ST1000DM0032D1CH162__________________________________Z1D3GHKF
Parameter Value Threshold Worst
---------------------------- ----- --------- -----
Health Status OK N/A N/A
Media Wearout Indicator N/A N/A N/A
Write Error Count N/A N/A N/A
Read Error Count 115 6 99
Power-on Hours 100 0 100
Power Cycle Count 100 20 100
Reallocated Sector Count 100 10 100
Raw Read Error Rate 115 6 99
Drive Temperature 32 0 40
Driver Rated Max Temperature 68 45 65
Write Sectors TOT Count 200 0 200
Read Sectors TOT Count N/A N/A N/A
Initial Bad Block Count 100 99 100

There is a lot more you can do from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ESXi command line interface, but I should emphasize again that it is stripped fairly bare and does not have a lot of commands you expect if you come from a Linux or Unix background. Even some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 utilities that are available do not have some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options or functionality you would expect. The CLI commands will generally list options or help when run without arguments. You can also get plenty of CLI documentation from VMware.

Next Steps

I now have a number of VMs installed, including a CentOS snapshot, FreeBSD, and my Windows 7 VM. My next steps will include setting up some VLANs to have some fun with a vulnerable network and an attacker network that will include KaliLinux. I am intimately familiar with Sguil and some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools in Security Onion, but also hope to dig into Suricata and Bro more than I have in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past.

I also hope that my lab will provide some interesting material for future blog posts.

04 April, 2013

New Home Lab Configuration

I received all my new equipment for my home lab a couple of days ago. After setting up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware in less than a day, I'm quite happy with it so far.

I was lucky enough to have two 12-year-olds assist me when I assembled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer. This was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir first time assembling a computer from parts and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really enjoyed it.

The first component was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shuttle SH67H3. My friend Richard recommended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DS61, but I had two main problems with that barebones system. First, it only has two RAM slots for a maximum of 16GB. That's not bad, but I decided I wanted to get a desktop that supported more RAM without going to server components while keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form factor small. I actually may have a second system on my purchase list for sometime this year, and in that case I would definitely consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DS61.

Second, I had read that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SH67H3 worked as an ESXi whitebox. Overall, I am a fan of Shuttle barebones. The SH67H3 is essentially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same chassis my coworkers and I used on our lab network at a previous job, just with a new mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rboard and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r improvements. I used very similar or identical parts for my Shuttle as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ESXi whitebox link above.

Shuttle SH67H3 barebones
Intel Core i7 2600 @3.4GHz
G.Skill F3-12800CL10S-8GBXL x4 -- this memory is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shuttle compatibility list
Seagate Barracuda 1TB SATA3 64MB Cache 3.5" hard drive
Lite-On iHAS524 SATA DVD/CD writer

When we popped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case open, it all looked pretty familiar and I explained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various pieces to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 12-year-olds. We removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fan and heat sink array, which is a pretty nice low-noise setup. The case fan actually slides over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second heat sink so air blows over it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chassis.

Don't forget to remove both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sticker from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heatsink and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plastic film that is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CPU load plate before putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CPU in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 socket. After we inserted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel Core i7 2600, we applied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmal paste, reattached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passive cooling, and finally reattached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fan including plugging it back into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rboard. We also inserted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four 8GB RAM sticks.

Shuttle SH76H3 mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rboard with CPU and RAM installed

The fan slides over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heat sink at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rear of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chassis on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 left

Next, we put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD/CD drive and hard drive into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tray, attached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tray to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chassis, and connected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SATA and power cables. I also added a dual Intel PRO/1000 PT NIC to give a total of three physical network interfaces. We finally tested and everything appeared to be working.

New Network Architecture

Going to all this trouble for a relatively powerful computer compared to my three old Pentium III servers, I decided to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to make a couple of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r network changes. I used to run my network sensor inline, but along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new computer I purchased a Netgear GS108T-200 smart switch. This switch has an abundance of features, including VLANs and port mirroring. Along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new switch, all I needed was an extra WAP to reconfigure home network as shown below.

The router/firewall also works as a WAP, but to see most client traffic
I disabled it and connected an access point behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mirroring switch

With this configuration, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch will mirror traffic to a dedicated network interface on my network sensor. Only traffic that doesn't make it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch will not be seen on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mirror port. I can also configure VLANs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch if I want to segment cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network based on functions like management interfaces and WiFi clients.

I plan to write more about my lab setup as I continue to redevelop it. The first thing I did after testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new box was install ESXi and create a network sensor VM using Security Onion. I may have a post about it soon.

29 March, 2013

CERT is hiring

The company I work for is hiring. For those that don't know, CERT is part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software Engineering Institute at Carnegie Mellon University. CERT was created in 1988 as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Morris worm. You can find out more on CERT's "About Us" page.

If you are interested, please read more about our hiring process and browse some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available positions. The positions are primarily in Pittsburgh with a few openings in Arlington, VA. The open positions cover network security analysis, security architecture, malware analysis, software development, vulnerability analysis, and more.

I consider our hiring process fairly grueling but also stimulating. It gives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prospective employee and prospective coworkers a good chance to really learn if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship will work. It is an opportunity not just for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 candidate to get interviewed, but also for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 candidate to interview those that already work at CERT.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons we have so many vacant positions is because we try to maintain high standards when considering candidates. Most of our positions require a fair amount of experience and expertise. My colleagues are smart, diligent, and largely enthusiastic about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir chosen professions. Don't get me wrong -- we still have bad days when we are less enthusiastic or unhappy about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of information security, but this is a pretty cool place to work. We do a wide variety of both research and more operationally focused work, tackling a lot of big problems. We also get a fair amount of freedom to find interesting and challenging areas of work.

If I know you or know of your work, please contact me about using my name as a referral. A referral from a current CERT employee can be helpful when applying. The best way to contact me regarding a referral or to ask ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r questions is via email or LinkedIn. You can also post questions more publicly here on my blog if it seems appropriate. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest of disclosure, I have an interest in recruiting people that I will want to work with but also could potentially get a referral bonus if you list me when you apply.

11 March, 2013

Building an IR Team: Growth

This is a long overdue continuation of my posts regarding Building an Incident Response Team. I had a very rough outline of this post going all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way back to 2009! The good response I got on some of my previous posts on building IR teams made me come back and work on finishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posts I had planned when I first started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 series.

Previous posts:

I believe one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardest things to deal with when building a successful IR team is growth. If you build an IR team that is successful and gets management buy-in as a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a good chance that responsibilities, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of work, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of incidents detected, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team will all grow. This will invariably cause growing pains, setbacks, and reevaluation of procedures.

I honestly could go on and on about dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth of an IR team. There are so many things to consider that it is daunting to plan for growth ahead of time instead of just dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hurdles as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y come. However, if you have a team that is growing it really helps to take a step back and plan for both immediate and long-term growth. It is so important that a fair amount of this post will reiterate what I have explicitly or implicitly said in some of my previous "Building an IR Team" posts.

There are a number of questions to keep in mind when an IR team grows. What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional duties causing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 addition of positions? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional positions adequate to cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional duties and responsibilities? If not, how can expectations be managed so superiors understand what is actually feasible? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 duties just a higher volume of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team already is responsible for, or are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re new areas that will require different types of team members and different types of training? What works well now but may be problematic with a larger team? Do we need to restructure? How do we maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 success that led to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team growth? The last question is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most fundamental.

Relationships

At one point I worked on a team that, over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of a few years, increased cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of personnel fourfold. This completely changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dynamics of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lead all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most junior analyst. The more people you add, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more complex cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationships become. This applies not only to relationships within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team, but also relationships with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parts of your organization and management.

With such growth, it became a lot more important to clearly define roles and responsibilities, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command structure, and get management support of decisions.

Command structure: As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team grows, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r groups in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company are less likely to know each person on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team. This means in a lot of cases it is helpful to have a few key people known to those ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r groups. These key people don't have to always be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones to communicate with a specific group, but can be used as a fallback if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r group's first instinct is to be more adversarial with those people cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't know.
Intra-team relationships: The more people you have, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more you have to keep an eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 working relationship between members. When you have a team that numbers single digits, it is almost natural to know all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ins and outs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 working relationships, for example who complements each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and who can be a good mentor to more junior analysts. It takes more conscious effort to track as you increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of people. Not only that, it requires more actively setting expectations about what you expect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.
Management support and inter-team relationships: As a team gets bigger, its profile is raised throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company. This can make dealing with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r groups easier, more difficult, or most likely a little bit of both. As we all know, IR teams sometimes need to make decisions or do things that are not popular and people outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team view as irritating to say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least. It is very important to have management support when you invariably have conflicts with those outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team. It's also important to have a manager that knows when to tell you that you're being unreasonable and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside groups have a reasonable concern or complaint.

This is by no means a complete list of things to consider. The bottom line is that a larger team makes both intra- and inter-team relationships more complex.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Growing Pains

The simplest example I have from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past regarding growing pains was when I was on a team that was not gaining new areas of responsibility but was switching to coverage 24 hours a day seven days a week. As I covered in anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r blog post, it is important come up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper organization and make sure every shift was productive. Increasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of hours of coverage also obviously means hiring new analysts, plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of shifting current analysts to drastically different schedules.

Restructuring can often cause conflicts beyond those involving work schedules. On a small team, most people gravitate to a niche and can often be allowed to work in it as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y also can handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more generalized response duties. In a larger team, it's much harder to let members naturally gravitate towards certain areas while maintaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to get all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work done. It certainly is nice to keep everyone happy and specializing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 areas cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are most interested in, but it's not always realistic. One way to help with this is to make sure you follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advice for redundancy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Organization" post, plus allow members to rotate through different areas of specialty. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y won't be stuck in one particularly area in addition to providing redundancy of skills.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r issue is making sure you formalize reporting to some degree. In a team of a few people, it's readily apparent what each person is doing. When you have a score of people, you need to get both formal and informal reporting from shift leads, team leads, mentors, and even individual analysts to properly understand who is doing what, workloads, what is working well, and what is not working. Regardless, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structure of a larger IR team probably needs to be more formal when it is larger. Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "probably." I think it is safe to say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be exceptions to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se points! The key is to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper balance that enables useful reporting while avoiding unneeded bureaucracy.

Hiring can also create growing pains. I must stress that you should do everything possible to maintain standards when hiring. That said, a bigger team can mean more room and opportunity for less experienced analysts. One weak link among five people is a much bigger deal than one weak link among 30, so a larger team can allow you to take a chance or two when hiring. I've always been an advocate of getting smart people that can learn and are legitimately interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field over those who have experience but less potential for growth, and a larger team can sometimes make this easier to justify.

Evaluation of Procedures and Operations

This advice really applies to all IR teams, but becomes more important with growth. Incident response procedures that work well in a small team may not work as well with a larger group. Even if your team has not grown, you may want to regularly reevaluate IR workflow, reporting, or just about any existing procedures and standards of operations. Sometimes it may mean more clearly codifying what were once informal standards, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times it may mean completely rethinking how you operate because you have several tiers of analysts. Having good metrics so you can try to make reevaluation more objective and less subjective also helps. Unfortunately, metrics is a huge topic that I can't address in this post, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many sites, papers, books, and more to help anyone interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic.

Standards for working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field may also need to change. If you are in an enterprise where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team often is reaching out to "boots on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground" like local system administrators or IT staff, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may need to be changes in areas of responsibility when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team is larger. I partially covered this when mentioning inter-team relationships. Even if your IR team is comfortable contacting those in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field directly, those managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field may want a more formal command structure so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can track requests and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r communications from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team. Contacts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field may also want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir roles and responsibilities more formally or clearly defined. This is easier to work through when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team only has a few people, but once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are dozens it can cause problems if those in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field don't know upfront what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team expects and what qualifies as an unusual request from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team.

Training

A larger IR team means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company is spending a lot more money on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team and security in general. It also means you may have enough team members to form a class-sized group. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you use in-house training, outsource, or a combination, a larger team means you will need to think about more formal training where a large group is in a classroom environment. This doesn't mean one-on-one or one-on-few mentoring and training should go away, but you will need to adapt to training larger groups. You also should consider setting aside money specifically for training if that was not done previously.

Be Flexible

Note that this is all based on my experiences in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 10 or more years, but it is just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tip of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iceberg. Different teams may have different issues to consider when growing. Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific IR team, none of what I wrote may apply directly. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are two overriding concerns when an IR team grows. One is to be flexible as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team grows so your organization can really see what works and what does not. Two is to plan for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth instead of just letting it happen haphazardly. Some teams do quite well with very little change after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've grown, while some may need drastic changes just because of adding a few people or analyst turnover.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Resources

There are some resources available to help deal with creating IR teams, and much of what applies at creation of a team can apply to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth of a team. When a team goes from a few people to 20-30 people, you essentially are destroying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old team and creating a new one. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions considered when creating an IR team can be asked once again and reevaluated as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team grows.

Creating a Computer Security Incident Response Team: A Process to Getting Started from CERT.
Handbook for Computer Security Incident Response Teams (PDF) from CERT, which is not recent but still has a lot of useful information.
Building a Successful Security Operation Center from HP.
RFC 2350: Expectations for Computer Security Incident Response from 1998.

Richard Bejtlich has posted on his blog about many aspects of building and maintaining SOCs, and also mentioned that he will have a chapter in his new book titled "Network Security Monitoring Operations," focused on sharing "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author’s experience building and leading a global Computer Incident Response Team (CIRT), such that readers can apply those lessons to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own operations." I presume anyone regularly reading my blog is already reading Taosecurity, and also anticipate that his new book will be quite useful.

I hope to have at least one more post in my "Building an IR Team" series. I may also have additional material, or collate and improve all my existing posts if I feel it is worthwhile.

Eating Security