Probando el sistema de descubrimiento de Open-AudIT

05/17/2019 |

Me han pedido en numerosas ocasiones que enumere exactamente lo que Open-AudIT puede descubrir, y responder "todo" hace que la gente dude de la capacidad del producto. Es casi como si tuviéramos que limitar la discusión sobre las características para que sea un producto creíble. Eso no es algo que me gustaría hacer nunca. Así que, en lugar de desprestigiar el producto, he pensado en demostrar cómo probar la potencia de Open-AudIT de forma rápida y sencilla.

Para lograr esto, importé la máquina virtual de Opmantek en VirtualBox y accedí a mi instalación desde mi navegador. (Más información sobre esto está disponible aquí si es necesario).

Página de la máquina virtual de Opmantek - 700
Desde aquí hice clic en el botón de la Comunidad Open-AudIT y al hacer clic en el botón "Auditar este PC" se descarga un script de shell.
Pantalla de inicio de sesión de Open-AudIT - 700

Ejecuté este script desde mi terminal y dio como resultado un archivo .xml con los resultados de la auditoría. Me conecté a Open-AudIT (el nombre de usuario/contraseña por defecto está en el banner azul) y pude importar los resultados de la auditoría directamente.

Auditoría de dispositivos de importación de Open-AudIT - 700

Después de que esto se llevó a cabo navegué a la lista de dispositivos y puedo ver mi equipo en la lista que puede o no puede ser nombrado después de Shaq.

Resultados de la auditoría Open-AudIT 1 - 700

Y una gran indicación del software que se descubre a partir de este proceso también.

Descubierto el software Open-AudIT - 700

Esta fue una forma muy rápida de probar la funcionalidad de Open-AudIT con su propia máquina. Lo mejor de todo es que puede hacerlo desde cualquier máquina si utiliza VirtualBox o un proveedor similar. Pruebe esto en su dispositivo hoy mismo y verá los increíbles beneficios de usar esto en su organización.

Sin categoría

Presentación del operador virtual de opConfig

05/13/2019 |

Introducción

El nuevo Operador Virtual de opConfig puede ser utilizado para ayudar a crear trabajos compuestos por conjuntos de comandos que pueden ser ejecutados en uno/muchos nodos, reportes para ver los resultados de los trabajos y solución de problemas para diagnosticar nodos, que plantean condiciones a través del sistema de plug-in de opConfig. Las acciones rápidas son plantillas que el operador virtual utiliza y que le evitan tener que crear constantemente trabajos de ejecución común. También ofrece a los operadores un fácil acceso para ejecutar comandos en sistemas remotos sin tener que darles acceso completo a las máquinas.

Nuevo puesto de operador virtual

Para crear un nuevo trabajo de operador virtual vaya a la opción de menú Operador Virtual y haga clic en Nuevo Trabajo de Operador Virtual. Deberá seleccionar los nodos en los que desea ejecutar comandos, que se autocompletan a partir de la lista de nodos actualmente activados en opConfig. A continuación, puede seleccionar qué conjuntos de comandos deben ejecutarse en los nodos, lo que se autocompleta a partir de todos los conjuntos de comandos que opConfig ha cargado. También puede utilizar etiquetas para seleccionar los conjuntos de comandos que deben ejecutarse. Puede programar este trabajo para que se ejecute ahora o más tarde, seleccionando más tarde aparecerá un selector de tiempo para programar cuándo se ejecutará este trabajo. El nombre se genera automáticamente a partir de los datos que ha introducido, pero puede modificarse con cualquier cosa que desee. La sección de detalles es un campo de texto libre para guardar notas sobre este trabajo. Al hacer clic en programar, el trabajo se añadirá a la cola de opConfig y le llevará a la programación del informe.

opConfig Nuevo trabajo de operador virtual - 700

Informe del operador virtual

Un informe de operador virtual es una agregación de todos los datos recogidos de su trabajo de operador virtual. En el panel de la izquierda hay metadatos sobre el trabajo, cómo se creó, por quién y cuándo se va a ejecutar o cuándo se ejecutó. El panel de comandos es una tabla paginada de los comandos ejecutados con éxito para el trabajo actual. Si el conjunto de comandos utiliza un complemento para mostrar datos derivados o condiciones de informes, estos resultados se muestran en línea haciendo clic en el icono de expansión de la columna derivada. Si la condición tiene una etiqueta, puede utilizarse para ayudar a filtrar los conjuntos de comandos para crear trabajos de operadores virtuales vinculados a partir de estas condiciones. Todas las operaciones del trabajo actual se muestran para ayudar a diagnosticar problemas de conexión o de comandos que puedan haber ocurrido.

opConfig Resultado del operador virtual - 700

Solución de problemas del operador virtual

Si ha hecho clic en el botón de solución de problemas desde una condición de informe (véase la captura de pantalla anterior para el botón verde), se le lleva a la nueva pantalla de trabajo del operador virtual, pero hay un par de diferencias clave. El nodo ya ha sido rellenado y los conjuntos de comandos han sido filtrados usando una etiqueta, en este ejemplo, tenemos tres conjuntos de comandos con la etiqueta disco. Esto puede ayudar a crear flujos de trabajo donde las condiciones se etiquetan para limitar lo que el operador puede seleccionar para los siguientes pasos en el proceso de solución de problemas. Cuando se crea este trabajo, el ID del trabajo padre también se registra y el nombre del trabajo padre se muestra en el informe recién creado.

opConfig Crear Trabajo Vinculado - 700

Resultados y horarios del operador virtual

Hay dos páginas finales que son nuevas, una que muestra todos los trabajos de operador virtual programados y otra que muestra los trabajos de operador virtual completados. Scheduled muestra los trabajos creados por el usuario que se están ejecutando y los que están programados en el futuro. Resultados muestra todos los trabajos completados que fueron creados por el usuario y ejecutados por la CLI.

Vista de resultados del operador virtual opConfig - 700

Acciones rápidas

Las acciones rápidas son plantillas para nuevos trabajos de operador virtual, hemos enviado cuatro trabajos de muestra pero usted puede crear los suyos propios. Al hacer clic en el botón de acción rápida se accede a una nueva pantalla de operador virtual y se rellenan los campos especificados. Cree un nuevo archivo json en
/usr/local/omk/conf/table_schemas/opConfig_action-elements.json
{

"nombre": "Recogida de horas IOS",

"Descripción": "Recopilación de líneas de base por hora para Cisco IOS",

"command_sets": ["IOS_DAILY"],

"buttonLabel": "Collect Now",

"buttonClass": "btn-primary"

}

 

Clave Tipo de datos Acerca de
nombre cadena Nombre que se muestra en la parte superior del elemento de acción rápida
descripción cadena Texto mostrado bajo el nombre de la acción rápida, útil para describir lo que hace la acción
conjuntos_de_comandos matriz de cadenas Claves del conjunto de comandos que desea que se ejecuten
nodos matriz de cadenas Nombres de los nodos contra los que desea que se ejecuten los conjuntos de comandos
buttonLabel cadena Texto del botón de ejecución
buttonClass cadena Clase css aplicada al botón para colorearlo. btn-default, btn-primary (por defecto), btn-success, bnt-warn, btn-danger

Este es el resultado final de un cuadro de mando que su organización podría utilizar hoy mismo.

opConfig Virtual Operator Dashboard Full - 700
Sin categoría

3 trabajos esenciales que requerirá la automatización de procesos

05/10/2019 |

Opmantek ha estado a la vanguardia de la automatización de redes durante muchos años y, con cada implementación, seguimos viendo grandes cambios en la forma de trabajar de las personas. A medida que las personas pasan de ser reactivas a proactivas, el trabajo que realizan se vuelve más especializado y analítico. Esto me hizo pensar en las nuevas formas en que los equipos de TI están trabajando junto con los procesos automatizados y en las nuevas oportunidades de trabajo que están surgiendo a medida que más y más empresas combinan la automatización inteligente y la interacción humana para proporcionar servicios más inteligentes y eficientes a sus clientes.

He aquí algunas funciones para las que preveo que habrá nueva demanda en los próximos años:

Analista de automatización

Junto con los analistas de datos y los analistas empresariales, preveo un aumento de la demanda de analistas de automatización. Estos analistas se especializarán en la identificación de procesos que estén listos para la automatización. Llevarán a cabo ejercicios de "minería de procesos" para identificar los enfoques y las técnicas que los humanos emplean actualmente para producir resultados. A continuación, analizarán estos procesos para determinar las mejores prácticas y trazar los pasos que deben automatizarse.

Arquitecto de integración

A medida que se automatizan más tareas y se basan en los datos, es más probable que los responsables de TI empiecen a buscar formas de combinar múltiples tecnologías para resolver problemas y aprovechar las oportunidades de negocio. Un arquitecto de integración trataría de resolver problemas cada vez más complejos utilizando tecnologías que se han diseñado conjuntamente para producir resultados más potentes y eficientes.

Analista de calidad de datos

Un analista de calidad de datos es responsable de asegurarse de que los datos generados y que se mueven entre dispositivos y aplicaciones sean adecuados, correctos y se mantengan así. El analista de calidad de datos se encargaría de supervisar la cadena de custodia de los datos a medida que se desplazan entre las ubicaciones remotas y las plataformas basadas en la nube para garantizar que mantienen su integridad para que los consuman las aplicaciones de aprendizaje automático y de IA para tomar decisiones precisas.

Estas funciones creativas y analíticas formarán parte del cambio de mano de obra que probablemente impulsarán la automatización y la revolución industrial, a medida que pasemos de los trabajos orientados a las tareas a los trabajos orientados a los resultados y las empresas cambien sus modelos de negocio para ofrecer servicios mejores, más rápidos y aumentados.

Si usted es un gerente de TI que está pensando en implementar un proyecto de automatización de procesos de red en un futuro próximo, publicaremos un libro blanco a finales de este mes que proporciona una guía paso a paso para poner en marcha su primer proyecto. Póngase en contacto con nosotros para recibir un acceso anticipado al libro blanco.

Sin categoría

Principales diferencias entre los ataques de phishing y los de ransomware

05/07/2019 |

En los últimos tiempos, los focos de la ciberseguridad se han centrado en el ransomware. Sin embargo, un informe reciente en el Reino Unido destaca el hecho de que el phishing sigue siendo un verdadero dolor de cabeza para las empresas, organizaciones gubernamentales y sin fines de lucro. La Encuesta de Brechas de Seguridad Cibernética 2019, realizada por el Departamento de Cultura Digital, Medios de Comunicación y Deporte, encontró que casi un tercio de las empresas (32%) y alrededor de una quinta parte de las organizaciones benéficas (22%) experimentaron violaciones de seguridad cibernética en los últimos 12 meses. De ellas, el 80% de las empresas y el 81% de las organizaciones benéficas experimentaron ataques de phishing, un porcentaje considerablemente mayor que el de las que experimentaron virus, programas espía u otros programas maliciosos, incluido el ransomware (27% de estas empresas y 18% de estas organizaciones benéficas).

¿Cuáles son las principales diferencias entre los ataques de phishing y los de ransomware, y por qué los ataques de phishing son una gran preocupación para las empresas? Un ataque de phishing generalmente implica que una persona malintencionada utilice técnicas de ingeniería social para engañar a una persona para que proporcione información personal o comercial sensible, mientras que un ataque de ransomware (que puede ser entregado a través de una comunicación de phishing como un correo electrónico) tiene como objetivo extraer un rescate de una víctima bloqueando sus archivos y exigiendo el pago de una clave para recuperar el acceso.

Los mensajes de phishing suelen dirigir a las víctimas a sitios web falsos, que pueden incluir marcas e información copiada de sitios web legítimos para que parezcan auténticos, para que introduzcan sus datos.

¿Cómo puede limitar el riesgo para su empresa -incluido su personal- de verse comprometida por un ataque de phishing? La respuesta es una combinación de educación, concienciación, tecnologías y procesos. El sitio web Stay Smart Online del Gobierno australiano incluye una lista de pasos El sitio web Stay Smart Online del Gobierno australiano incluye una serie de medidas que su personal y su empresa pueden adoptar para minimizar el riesgo que supone el phishing. Entre ellas, aconsejar a su personal que evite hacer clic en enlaces o abrir archivos adjuntos en correos electrónicos inesperados o sospechosos, y ponerse en contacto con los remitentes para verificar los correos electrónicos en cuestión, utilizando datos procedentes de un sitio web o ubicación legítimos. Su empresa también debería instalar y actualizar filtros de spam y otros productos antimalware para ayudar a minimizar el riesgo.

El producto Cloud Email Security de Firstwave ofrece a las empresas servicios de seguridad del correo electrónico en la nube avanzados, ricos en funciones y configurables, impulsados por su tecnología de plataforma analítica y de seguridad del contenido del correo electrónico en la nube. Si desea obtener más información, póngase en contacto con sales@firstwavecloud.com.

Sin categoría

El ransomware aumenta en el primer trimestre de 2019

04/30/2019 |

Las empresas tienen cuidado: el ransomware ha vuelto y los ataques son más complejos y costosos que nunca. Las campañas de ransomware dirigidas a las empresas aumentaron en enero-marzo de 2019, en comparación con octubre-diciembre de 2018. Las empresas también suelen pagar más a los grupos detrás del ransomware para recuperar sus archivos, mientras que las infecciones causaron más tiempo de inactividad, en promedio, que durante el trimestre anterior.

Estas tendencias, puestas de manifiesto en un estudio de varios proveedores, representan una continuación de las preocupantes circunstancias identificadas en un informe publicado el año pasado. Informe de Telstra publicado el año pasado. El informe reveló que el ransomware iba en aumento y que cada vez era más atacado. Casi un tercio -el 31%- de los encuestados australianos cuyas empresas se habían visto interrumpidas por una brecha de seguridad en el último año experimentaban ataques de ransomware semanal o mensualmente. Esta cifra es la más alta de todos los países encuestados.

Estos resultados ponen de manifiesto la importancia de la vigilancia y la preparación para proteger las redes y los datos. Esto significa educar a su personal y trabajar con socios, clientes y participantes en su cadena de suministro para evitar hacer clic en enlaces o archivos adjuntos de correos electrónicos sospechosos. Los grupos de ransomware suelen incorporar texto en estos correos electrónicos con el objetivo de engañar a la gente para que haga clic rápidamente en estos enlaces o archivos adjuntos maliciosos.

Otras medidas que debe tomar su empresa son asegurarse de que productos antimalware estén implementados y actualizados y realizar copias de seguridad periódicas que se almacenen en lugares aislados. Su empresa también debe documentar los pasos a seguir y las responsabilidades de las personas y los equipos en caso de infección por ransomware. Estas medidas ayudarán a minimizar las pérdidas y los trastornos.

En FirstWave, ofrecemos soluciones de seguridad de correo electrónico y web con protección avanzada contra malware para ayudar a las empresas a evitar ser víctimas de ransomware y otros ataques. Por ejemplo, nuestro producto Cloud Email Security proporciona servicios de seguridad de correo electrónico en la nube avanzados, ricos en funciones y configurables para empresas, impulsados por nuestra tecnología de plataforma de análisis y seguridad de contenido de correo electrónico en la nube. Si desea obtener más información, póngase en contacto con sales@firstwavecloud.com.

Sin categoría

Aprovechamiento de OpEvents y OpConfig para automatizar los cambios operativos

04/29/2019 |

Propósito

Este artículo proporcionará un ejemplo del uso de opEvents para activar opConfig para hacer un cambio operacional.

Caso práctico

Si una interfaz empieza a registrar errores de entrada, queremos desplazar automáticamente el tráfico fuera del circuito para mantener la calidad de la transmisión.

Páginas relacionadas

Antes de intentar esta configuración, el administrador debe estar familiarizado con los siguientes artículos de la wiki.

Resumen de la secuencia

  • NMIS sondea un router con una consulta SNMP.
  • El router devuelve un valor de contador de "error de entrada de la interfaz" que ha aumentado; activando así un umbral predefinido.
  • NMIS genera una alerta de "error de entrada" que es procesada por opEvents.
  • opEvents tiene una regla de acción predefinida que coincide con los errores de nodo, interfaz y entrada. Esta acción disparará un opConfig 'Conjunto de configuración'.
  • El conjunto de configuración opConfig asociado aumentará el coste OSPF en las interfaces asociadas, haciendo que el router seleccione otra ruta si está disponible.

Configuración

NMIS

Por defecto NMIS tiene la configuración necesaria para alertar sobre los errores de entrada. Esto se hace con el sistema de umbrales de NMIS. Los umbrales para los diferentes niveles de alerta pueden ajustarse en la sección correspondiente de /usr/local/nmis8/models/Common-threshold.nmis. Los niveles siguientes representan un porcentaje de paquetes de error de entrada en comparación con los paquetes buenos.
/usr/local/nmis8/models/Common-threshold.nmis
'pkt_errors_in' => {

'item' => 'ifInErrorsProc',

'event' => 'Proactive Interface Error Input Packets',

'title' => "Paquetes de error de entrada",

Unidad" => "paquetes",

'select' => {

'default' => {

'valor' => {

'fatal' => '0.5',

'critical' => '0.25',

'major' => '0.1',

'minor' => '0.05',

'warning' => '0.02',

}

}

}

},

opEvents

Por defecto, opEvents procesa el registro de eventos NMIS. Todos los eventos son evaluados por /usr/local/omk/conf/EventActions.nmis. Si un evento coincide con una regla, se tomarán las acciones apropiadas. EventActions.nmis es también donde definimos los scripts que los opEvents pueden disparar. El primer paso es definir los scripts que cambiarán el tráfico de un enlace que está ejecutando errores de entrada. Como queremos desplazar todo el tráfico de este enlace, necesitaremos ejecutar scripts para ambos extremos del circuito. Fíjate en la referencia a un conjunto de configuraciones; éstas se definirán en la sección opConfig.

Los cambios en /usr/local/omk/conf/EventActions.nmis requieren que se reinicie el servicio omkd.

/usr/local/omk/conf/EventActions.nmis
'script' => {

'bnelab_p2_fa0_0_route_not' => {

arguments => 'act=push_configset name=bnelab-p2_fa0-0_route_not at=now+1minute nodes=bnelab-p2',

exec => '/usr/local/omk/bin/opconfig-cli.exe',

output => 'save'

},

'bnelab_rr1_e1_2_route_not' => {

arguments => 'act=push_configset name=bnelab-rr1_e1-2_route_not at=now+1minute nodes=bnelab-rr1',

exec => '/usr/local/omk/bin/opconfig-cli.exe',

output => 'save'

},

},


Con los scripts definidos vamos a añadir la regla de coincidencia a la sección de políticas.
/usr/local/omk/conf/EventActions.nmis
'policy' => {

'10' => {

IF => 'event.any',

THEN => {

'10' => {

IF => 'event.node eq "bnelab-rr1" and event.element eq "Ethernet1/2" and event.event eq "Proactive Interface Error Input Packets"',

THEN => 'script.bnelab_rr1_e1_2_route_not() y script.bnelab_p2_fa0_0_route_not()',

BREAK => 'false'

},

opConfig

El siguiente paso es definir los conjuntos de configuración. Los conjuntos de configuración son conversaciones de opConfig para los comandos de configuración que te gustaría que se ejecutaran en el router. Debido a que este paso es complicado, pero muy repetible, he proporcionado este script: writeConfigSet.sh. Ejecuta el script y te pedirá los comandos que quieres que se ejecuten en el router e instalará el config set en opConfig. Para verificar los conjuntos de configuración utilice la GUI de opConfig, desde la barra de menú superior seleccione vistas, luego Visión General del Conjunto de Configuración.

Este es el aspecto de nuestro conjunto de configuración de ejemplo.
{

"name": "bnelab-rr1_e1-2_route_not",

"comandos": [

"int e1/2",

"ip ospf cost 9999",

"salida"

],

"post-comandos": ["escribir mem"]

}

Pruebas y verificación

Generar errores de entrada

Hay varios tipos de errores de entrada, pero el más fácil de crear en un entorno de laboratorio son los gigantes. Esto se hace teniendo MTUs desiguales en ambos lados del mismo circuito; entonces se envían paquetes que son demasiado grandes desde el lado con la MTU más grande.

Ejemplo de enlace - 500
En este ejemplo enviaremos gigantes desde bnelab-p2 de esta manera:
bnelab-p2#ping 10.248.2.6 size 1530 repeat 1000 timeout 0 

En benlab-rr1 veremos que los contadores de error se incrementan.
bnelab-rr1#show int e1/2 | inc error|giants

0 runts, 4073 giants, 0 throttles

4073 errores de entrada, 0 CRC, 0 trama, 0 rebasamiento, 0 ignorado

0 errores de salida, 0 colisiones, 1 reinicio de interfaz

Observar el evento de error de entrada en NMIS

Tras el siguiente ciclo de recogida de NMIS para bnelab-rr1 deberíamos ver un evento similar al siguiente:
18-May-2018 13:30:20 bnelab-rr1 Proactive Interface Error Input Packets Fatal Ethernet1/2 p2 Bandwidth=10 Mbps: Value=12.37689 Threshold=0.5

Observar el evento de error de entrada en opEvents

A continuación, busque el evento de error de entrada en opEvents.

Fíjese en las secciones de acciones realizadas y scripts. En base a esto sabemos que el script tuvo éxito y a qué hora se ha programado el cambio de configuración.

Confirmar el empuje de la configuración con éxito en opConfig

Desde la interfaz gráfica de opConfig, navegue hasta la barra de menú superior y seleccione Vistas, Historial de cambios de configuración. Busque y seleccione el push de configuración que se relaciona con nuestro evento de prueba.

 

 

 

 

 

 

Sin categoría