Aprender nuevo lenguaje de seguridad informatica Haka partereglas

(MENAFNEditorial) -- En el ultimo articulo aprendimos mas acerca de Haka un lenguaje de seguridad orientado a codigo abierto con ayuda de expertos de servicios de seguridad informatica.http://noticiasseguridad.com/importantes/aprender-nuevo-lenguaje-de-seguridad-informatica-haka/ (http://noticiasseguridad.com/importantes/aprender-nuevo-lenguaje-de-seguridad-informatica-haka/) En este articulo vamos a cubrir como escribir las reglas de seguridad en Haka con ayuda de profesor de hacking etico (http://www.iicybersecurity.com/curso-hacking.html). Haka ofrece una forma sencilla de escribir reglas de seguridad para filtrar modificar crear e inyectar paquetes. Segun expertos de auditoria de seguridad informatica cuando se detecta un flujo con algo malicioso pueden informar los usuarios o pueden dejar el flujo. Los usuarios pueden definir escenarios mas complejos para mitigar el impacto de un ataque. Por ejemplo se puede alterar peticiones http y obligar a los navegadores obsoletos para actualizar o falsificar paquetes especificos para enganar herramientas de analisis de trafico.La siguiente regla es una regla de filtrado de paquetes basico que bloquea todas las conexiones de una direccion de red.local ipv4 = require(''protocol/ipv4'')local tcp = require(''protocol/tcp_connection'')local net = ipv4.network(''192.168.101.0/24'')haka.rule{ hook = tcp.events.new_connection eval = function (flow pkt) haka.log(''tcp connection %s:%i -> %s:%i'' flow.srcip flow.srcport flow.dstip flow.dstport) if net:contains(flow.dstip) then haka.alert{ severity = ''low'' description = ''connection refused'' start_time = pkt.ip.raw.timestamp } flow:drop() end end}Las primeras lineas del codigo cargan los disectores de protocolo Ipv4 y TCP explica profesor de hacking etico Mike Stevens. La primera linea se encarga de paquetes IPv4. Despues usamos un disector de TCP de estado que mantiene una tabla de conexion y gestiona flujos de TCP. Las siguientes lineas definen la direccion de red que debe ser bloqueada.La regla de seguridad se define a traves de palabras clave haka.rule. Segun experto de servicios de auditoria informatica (http://www.iicybersecurity.com/seguridad-informatica.html) reglas de haka son muy utiles. Una regla de seguridad esta hecha de un gancho y una funcion de evaluacion eval. El gancho es un evento que activara la evaluacion de la regla de seguridad. En este ejemplo la regla de seguridad se evaluara en cada intento de establecimiento de conexion TCP. Los parametros pasados a la funcion de evaluacion dependen del evento explica el experto de servicios de seguridad informatica. En el caso del evento new_connection eval toma dos parametros: flow y pkt. Lo primero de ellos tiene detalles sobre la conexion y el segundo es una tabla que contiene todos los campos del paquete TCP.Segun recomendacion de profesor de hacking etico en el nucleo de la regla de seguridad debemos registrar en haka.log primero alguna informacion acerca de la conexion actual. Luego comprobamos si la direccion de origen pertenece a la gama de direcciones IP''s no autorizadas. Si la prueba tiene exito elevamos una alerta (haka.alert) y liberamos la conexion. Menciona Roberto Talles experto de auditoria de seguridad informatica que tenga en cuenta que se informa solo algunos detalles de la alerta. Se puede anadir mas informacion como el origen y el servicio de destino.Utilizamos hakapcap herramienta para probar nuestra filter.lua regla en un archivo de pcap trace filter.pcap:$ hakapcap filter.lua filter.pcaphttp://oi66.tinypic.com/2ql7fc6.jpgDe aqui en adelante en los resultados sale algo de informacion sobre disectores cargados y reglas registrados. El resultado muestra que Haka logro bloquear conexiones dirigidas a direccion 192.168.101.62:En el ejemplo anterior hemos definido una sola regla para bloquear las conexiones. Uno puede escribir un conjunto de reglas de firewall usando la palabra clave haka.group menciono profesor de hacking etico. En este caso la configuracion se puede elegir un comportamiento por defecto (por ejemplo bloquear todas las conexiones) si ninguno de la regla de seguridad autoriza explicitamente el trafico.En el proximo articulo vamos cubrir mas sobre inyeccion de paquetes con la ayuda de expertos de servicios de seguridad informatica.