Select Page
Instalar QRadar CE en Proxmox

Instalar QRadar CE en Proxmox

Esta vez les cuento cómo instalar QRadar CE en Proxmox usando el archivo .ova provisto por IBM. El formato OVA se importa directamente en VMWare o en Virtualbox, pero no en Proxmox, y por eso este tutorial.

Si bien la instalación la hice con QRadar CE versión 7.3.3, estimo que estos pasos funcionan también en las demás versiones. 

 

Condiciones iniciales

Para aquellos que tengan ganas de jugar o experimentar con el SIEM QRadar de IBM, sepan que existe una versión gratuita denominada QRadar CE (Community Edition). Tiene el 90% de las funcionalidades de la versión paga y sólo está limitada a 50 EPS / 5000 FPM.

Este tuto tiene por objetivo expicar cómo instalar QRadar CE versión 7.3.3 sobre el ambiente de virtualización open source Proxmox versión 6.1-7.

Para escribirlo, me basé en un trabajo del año pasado de Tobias Hoffman, en varios documentos de IBM y en esta publicación de docplayer.

Instalar QRadar CE

Si bien es posible crear una máquina virtual en Proxmox e instalar QRadar CE desde cero, esto requiere bastante trabajo ya que QRadar se instala sobre CentOS por lo que hay que instalar CentOS primero, y después correr el setup de QRadar. Por eso, para hacerlo más rápido, vamos a usar la imagen .ova que provee IBM. El formato OVA se importa directamente en VMWare o en Virtualbox, sin embargo no es así en Proxmox.

Los pasos para importar el .ova de QRadar CE y luego instalar la aplicación son los siguientes:

 

1- Crear la VM en Proxmox.

Doy por sobrentendido que quien vaya a seguir de aquí en adelante tiene un Proxmox 6 instalado y funcionando. Entonces empecemos. Una vez logueado en el Proxmox:

  • Hacer clic en el botón Creare VM:

En la solapa General:

  • Seleccionar el Nodo donde se va a crear la VM (en este caso: pve1).
  • Elejir un ID (por ejemplo: 3000)
  • Definir un nombre (por ejemplo: qradarce-733)
  • Hacer clic en Next.

En la solapa OS:

  • Seleeccionar Do not use any media.
  • Para el tipo de sistema operarivo seleccionar Linux.
  • Para el kernel seleccionar 5.x – 2.6
  • Hacer clic en Next.

En la solapa System:

  • Dejar todo por default.
  • Hacer clic en Next.

En la solapa Hard Disk:

  • Dejar todo por default (no importa lo que se seleccione, ya que ese disco lo vamos a borrar luego).
  • Hacer clic en Next.

En la solapa CPU:

  • Seleccionar 2 Sockets y 2 Cores (si se usa la versión free de Proxmox, no es posible seleccionar más de 4 CPUs).
  • Hacer clic en Next.

En la solapa Memory:

  • Seleccionar un mínimo de 16GB de RAM.
  • Hacer clic en Next.

En la solapa Network:

  • Dejar todo por default.
  • Hacer clic en Next.

En la solapa Confirm:

  • Verificar que todo esté correcto.
  • Hacer clic en Finish.

 

 

2- Eliminar el disco que creamos.

  • En el menú de VMs de Proxmox, ubicar la VM que acabamos de crear (por ejemplo: VMID= 3000, Nombre= qradrarce-733) y hacer clic en Hardware.

 

  • Hacer clic en Detach.

 

  • Hacer clic en Yes.

Ahora el disco aparecerá como “Unused Disk“.

  • Seleccionar el disco.
  • Hacer clic en Remove.
  • Hacer clic en Yes.

Ya eliminamos el disco que nos creó Proxmox para poder incorporar el que viene en el .ova de QRadar.

 

3- Incorporar el disco de QRadar CE que viene dentro del archivo .ova en la VM que acabamos de crear.

 

IMPORTANTE: Para poder bajar los archivos de QRadar CE se debe ser un usuario registrado, asi que si no lo son, deben darse de alta.

Si bien se pueden bajar el .ova a sus máquinas y después transferirlo al Proxmox, en mi caso era mucho más ventajoso hacerlo directamente en el Proxmox. La razón es que estamos en Cuarentena, el Proxmox lo tengo a 20 km de casa, y mi ancho de banda de subida es horrible. Así que usé este truco:

Una vez logueados en el sitio de IBM:

 

  • Hacer clic en Download QRadar Community Edition V7.3.3. El sitio los redirige a esta página:

Ahora pueden bajar el .ova a sus máquinas como les dije antes, o bajarlo directamente en el Proxmox. Voy a explicar esta segunda opción:

  • Hacer clic derecho en la pantalla anterior en: Download.
  • En el menú contextual del browse, hacer clic en Copy Link Location o Copy link address (según sea el navegador).
  • Pegar el link en un archivo de texto para no perderlo. El link tendrá la forma:

hxxps://iwm.dhe.ibm.com/sdfrl/1v2/regs2/qrce/Xa.2/X….q/Xc.QRadarCE733GA_v1_0.ova/Xd./Xf.LPr.D1jk/Xg.1…2/Xi.swg-qradarcom/XY.regsrvs/XZ.4…n/QRadarCE733GA_v1_0.ova

  • Conectarse por ssh al Proxmox.

# ssh -l root <ip_del_proxmox>

  • Posicionarse en un directorio que tenga un espacio libre de al menos 4.1GB.

# cd /tmp

  • Bajar el QRadarCE733GA_v1_0.ova con el comando wget y el link que copiaron en el archivo de texto.

# wget -bqc hxxps://iwm.dhe.ibm.com/sdfrl/1v2/regs2/qrce/Xa.2/X….q/Xc.QRadarCE733GA_v1_0.ova/Xd./Xf.LPr.D1jk/Xg.1…2/Xi.swg-qradarcom/XY.regsrvs/XZ.4…n/QRadarCE733GA_v1_0.ova

Una vez que termine la bajada, y dado que el archivo .ova que nos bajamos no es más que un .tar:

# file QRadarCE733GA_v1_0.ova
QRadarCE733GA_v1_0.ova: POSIX tar archive

  • Destarearlo

# tar xfv QRadarCE733GA_v1_0.ova

Se destarean 4 archivos:

-rw-r–r– someone/someone 7381 2020-01-22 08:32 QCE-jan22.ovf
-rw-r–r– someone/someone 277 2020-01-22 08:32 QCE-jan22.mf
-rw-r–r– someone/someone 950009856 2020-01-22 08:32 QCE-jan22-file1.iso
-rw-r–r– someone/someone 3441993728 2020-01-22 08:36 QCE-jan22-disk1.vmdk

El que nos interesa es el disco virtual, es decir el QCE-jan22-disk1.vmdk.

  • Importar el disco en la VM con el siguiente comando en la consola de Proxmox.

# qm importdisk <ID> QCE-jan22-disk1.vmdk <store> -format qcow2

ID: es el VMID que definimos al crear la VM, en este caso: 3000.

store: es el repositorio de almacenamiento de las VMs en el caso de tener más de uno, en nuestro caso PVE-1.

En nuestro ejemplo, el comando quedaría:

# qm importdisk 3000 QCE-jan22-disk1.vmdk PVE-1 -format qcow2

Este comando importa el vmdk, lo convierte en qcow2 y lo asigna a la VM 3000.

  • En la interfase web de Proxmox, seleccionar la VM de QRadar que creamos:

Nos aparece el disco importado como “Unused Disk 0“.

  • Seleccionamos el disco.

  • Hacemos clic en Edit:

IMPORTANTE: El formato del disco que bajamos de IBM es IDE, así que en Bus/Device hay que seleccionar: IDE.

  • Hacemos clic en Add.

 

 

4- Instalar QRadar CE dentro de la VM

La VM ya está lista con el disco importado desde el .ova de IBM, pero QRadar todavía no está instalado. Estos son los pasos para hacerlo:

  • Bootear la VM.
  • Conectarse a la consola de Proxmox de la VM.
  • Cuando lo pida, definir una password para el root de la consola de QRadar.

Hay un mínimo de dos usuarios que necesitamos para que funcione, el root de la consola y el admin de la GUI.

Hay que tener en cuenta que al instalar QRadar, la dirección IP de la consola queda almacenanda por todos lados y cambiar la IP no es fácil. Por eso es importante asegurarse si la dirección IP que tiene la VM antes de instalar es la correcta.

  • Verificar la dirección IP de la VM

# ip a

  • Si la dirección IP no es la correcta, ejecutar el NetworkManager Tex User Interface (horrible, pero es lo que hay…):

# nmtui

  • Configurar los parámetros de red que correspondan.

Una vez definidos los parámetros de red, ya se puede configurar QRadar.

  • Ejecutar /root/setup

# cd

# ./setup

Armarse de paciencia porque tarda mucho. A mi me tardó como 1 hora.

Ojo que si se duermen, hay un momento en el que el setup pide la password de admin. Si no la ponen en un tiempo (que no se cuál es), el instalador sale por timeout y la instalación sigue. De esta forma, la password de admin queda desconfigurada.

Si todo funciona, una vez que el instalador termine, levantarán todos los servicios y se podrá acceder a la consola de QRadar apuntando el browser a:

https://<IP_de_la_VM_de_QRadar_CE>/

Si no lograron configurar la password de admin y ya están en este estado, lo mejor es:

Entrar a la consola por ssh.

# ssh -l root <IP_de_la_VM_de_QRadar_CE>

# /opt/qradar/support/changePasswd.sh

Cambian la contraseña y ya pueden entrar.

Si todo funciona, les recomiendo hacer un snapshot de la VM en este estado, porque si son como yo, seguro instalando cosas la van a romper y volver a este punto cuesta trabajo. Para eso:

Se conectan a la consola de QRadar via ssh y le dan:

# shutdown now

Proxmox permite hacer snapshots de las VMs vivas, pero como en cualquier otro sistema de virtualización, es mucho más limpio hacer un snapshot con la VM apagada.

  • Van a la interfase de Proxmox.
  • Seleccionan la VM
  • Van “Snapshots

  • Y hacen clic en “Take Snapshot“.

Ahora si, QRadarCE ya está listo para jugar, experimentar y romper. Que lo disfruten!!!

Hasta la próxima!

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
Ciber predicciones 2020

Ciber predicciones 2020

Para finalizar el año, les dejo este análisis de diferentes predicciones en ciber seguridad para el 2020 hechas por distintos sitios especializados en el tema.
Se acerca el fin de año (bueno, hoy es fin de año) y todos hacen sus balances del año que pasó y sus proyecciones de lo que puede venir. Hace algunas años hice algún balance. Este año quise dejarles un análisis de sus predicciones hecho a unos 20 sitos de ciber seguridad. En cada sitio se utilizan diferentes criterios para evaluar y proyectar qué es lo que puede pasar en materia de ciber seguridad en el año que comienza mañana.
Esta vez, mi trabajo fue recopilar todas esas proyecciones, extraer los temas que cada uno trata como destacado y darles un puntaje a cada tema. Ese puntaje fue dado arbitrariamente por mí en función de la cantidad de veces que se repetía un tema en los diferentes sitios y de la importancia que cada uno le da a cada tema.
El puntaje entonces, correspondería al interés que se le asigna a cada tema.
El resultado fue un score sobre 23 temas extraídos de los diferentes sitios.

 

Los sitios con los que me quedé fueron los siguientes:

Helpnetsecurity, Circadence, CheckpointTheHackerNewsCyberSecurityMag, Information edgeTechrepublic, SdxcentralCyberscoop, ScmagazineWatchGuardForbes y Forescout.

Y el resultado fue el que se ve en la figura a continuación:

El gráfico está ordenado de mayor a menor interés. En los temas de las predicciones se mezclan varias categorías. El tema de interés puede ser:

  • un ataque
  • un blanco
  • un vector de ataque
  • una contramedida

Brevemente, los temas de interés se definen de la siguiente forma:

Phishing + Awareness: Se refiere específicamente a ataques de phishing (que se verían muy incrementados en 2020) y a su principal contramedida: la concientización.

Cloud: Según los especialistas, la gran adopción que se hizo de la nube en 2019 y la que se proyecta para 2020, servirá de vector de ataque en muchos de sus servicios. El que más se destaca por sus vulnerabilidades es Office365.

Inteligencia artificial: Ya se vienen utilizando técnicas de Inteligencia Artificial y Machine Learning en sistemas de ciber defensa. Se había proyectado de la misma forma que se empezarían a utilizar estas técnicas como ataques, sin embargo no se tiene registro que ese tipo de ataques se hubiese producido todavía. Pero se prevé para 2020…

Ransomware: En los primeros lugares en las predicciones siguen estando los ataques de ransomware. Es realmente incomprensible que existiendo tecnologías que permiten bloquear Ransomware con 100% de efectividad, sea ésta una de las principales amenazas para 2020.

IoT: El enorme crecimiento de la base instalada de dispositivos de Internet de las Cosas y sus múltiples vulnerabilidades, hacen prever un incremento en los ataques durante el próximo año.

Deepfakes: De estos ataques se habla muchísimo en los Estados Unidos debido a que 2020 es año de elecciones. Las noticias e información falsa se considera un arma muy poderosa a la hora de tratar de modificar las intenciones de los votantes.

5G/WiFi: El advenimiento de la tecnología 5G, sus vulnerabilidades o las asociadas a los dispositivos móviles y las propias de WiFi hacen prever una gran actividad de ataques utilizando algunos de estos mecanismos.

Gobiernos: Existe gran preocupación por la intervención de gobiernos o estados en la generación de ciber ataques.

Widen attack surface: El incremento en el tamaño de la superficie de ataque global es un hecho para 2020. Esto se deberá a diversos factores como ser: el incremento en la cantidad de vulnerabilidades, la utilización masiva de la nube con sus vulnerabilidades propias o la incorporación de millones de dispositivos IoT vulnerables.

Robots: Se prevé un gran incremento de la utilización de técnicas de automatización en procesos para el año próximo. Si bien estas técnicas ayudan mucho a los administradores de seguridad, también lo hacen (y lo harán) a los atacantes…

Skill Gap: Ya se viene hablando hace un tiempo de un aspecto en el mundo de la ciber seguridad que es realmente preocupante. Es la brecha de conocimientos que existe entre quienes atacan y quienes defienden. Los atacantes tienen más conocimientos que los defensores. La brecha viene en aumento y se prevé que para 2020 seguirá en aumento.

Servicios financieros: Otro blanco de ciber ataques que sigue en aumento son los servicios financieros y bancarios. Se dice que esto seguirá en aumento en 2020.

Reuso de passwords: Una falla que hoy por hoy no debería existir, inconcebiblemente parecería que en 2020 irá en aumento.

Infrastructuras Críticas: Lo que comenzó con Stuxnet hace ya 10 años, es una carrera que no se ha detenido. Cada vez más las Infraestructuras Críticas serán blanco de ataques.

Sector de Salud: Otro sector, por cierto muy descuidado desde el punto de vista de ciber seguridad, sería blanco de ciber ataques durante 2020 mucho más en en años anteriores.

Zero trust: Este nuevo concepto se visualiza como una tendencia a implementar durante 2020 para evitar ser blanco de ciber ataques.

Móviles: Las vulnerabilidades en las aplicaciones móviles harán que haya muchos más ataques de este tipo el año próximo.

PyMEs: Un ámbito que hace unos años parecía no atractivo para ciber atacantes, lo es cada vez más y parecería que las PyMEs serán blanco de ciber ataques mucho más que en años anteriores.

Computación cuántica: Varios especialistas hablan de cómo la computación cuántica será un ante y un después en la ciber seguridad.

Detección de amenazas: Los sistemas SIEM son cada vez más complejos pero a su vez conllevan un incremento en la fatiga del analista. Se dice que durante 2020 mejorarán las técnicas para utilizar estas tecnologías en la detección de amenazas. Veremos…

Ciber Seguros: Un rubro que viene creciendo silenciosa pero inexorablemente parece tener previsiones de mejoras en sus mecanismos y en su adopción.

Privacidad: Del mismo modo que varios países intentan poner límites a la privacidad del uso de las redes, existen muchas iniciativas para saltear esos límites. Al parecer, esta guerra se intensificaría en 2020.

DevSecOps: Dado  que hoy en día, el software es una de las mayores fuente de vulnerabilidades, la adopción de esta metodología se incrementaría considerablemente durante el próximo año.

 

Al final del 2020 haremos el ejercicio de ver cuánto se cumplieron estas predicciones.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Cómo entrenar a tu dragón

Cómo entrenar a tu dragón

Y ya están entre nosotros.


A pesar de las predicciones y especulaciones de su inminencia tanto en la literatura fantástica como en el cine de ciencia ficción, le tomó unos 30 años a la Inteligencia Artificial (IA) salir de los laboratorios y llegar a nuestro mundo cotidiano. Pasó por Redes Semánticas, Procesamiento de Lenguaje Natural, Sistemas Expertos, Sistemas Cognitivos, Agentes Inteligentes y, finalmente, Inteligencia Artificial. A medida que fue creciendo, algunos logros nos asombraron como cuando a fines del siglo pasado Deep Blue
 le ganaba varias partidas a Kasparov. Aunque eso ni se compara con la forma en la que DeepMind de Google viene destrozando a varios jugadores expertos y campeones mundiales de Go en los últimos años. Estos resultados espectaculares por ahora siguen siendo de laboratorio. Aunque Siri, Google Now y Cortana no lo son.

Cada vez que consultamos a nuestros smartphones y les preguntamos cómo llegar a cierta dirección, o si nos puede dar la mejor receta de la Musaka griega o si le pedimos que cante, quien nos está respondiendo es el sistema de IA que Apple, Google y Microsoft desarrollaron para sus productos.
Al consultar el pronóstico del tiempo en el Weather Channel, ir de compras virtuales por Macey’s o hacer consultas de salud en el sitio de la American Cancer Society, veremos el logo de “With Watson” que significa que esas organizaciones están usando el sistema de IA de IBM: Watson para analizar sus datos. El mismísimo Elon Musk, a pesar de mostrar públicamente su preocupación por el desarrollo de la IA, formó la compañía OpenAI para fomentar su desarrollo.

Antes de la IA, usábamos nuestros programas, aplicaciones y sistemas para que nos agilicen nuestros procesos de negocio, aunque las decisiones intermedias las seguían tomando los expertos que interpretaban los resultados.  ¿Pero qué pasa si entrenamos a un sistema de IA para que tenga las mismas habilidades del experto? Eso es lo que están haciendo hoy los sistemas de IA. Reemplazan la intervención humana en la toma de decisiones de forma mucho más rápida, eficiente y con menor tasa de error. Y esto se logra por medio de dos claves: la primera es la elección correcta del tipo de herramienta de IA (hoy en día la más difundida por su eficiencia es la de Deep Learning); la segunda es cómo la entrenamos. En particular con Deep Learning, se deben usar millones de datos tomados de expertos, pre-procesarlos adecuadamente para alimentar al sistema para que aprenda y se entrene.

Vayamos a un ejemplo concreto en el ámbito de la ciber-seguridad. Un sistema SIEM (Administrador de Eventos e Información de Ciberseguridad) es un sistema extremadamente complejo. Su misión es la de recolectar información de sensores a través de las redes y sistemas, correlacionarlos y dar alertas ante la evidencia de un ciberataque.
Blog – Como entrenar a tu dragón

Si bien algunos fabricantes prometen que con un “Next> Next> Next>” es posible tener un SIEM activo y funcionando en minutos, la realidad es que estos sistemas son muy complejos que requieren de la intervención de un experto. Inicialmente para el diseño mismo del sistema, analizando la red, los nodos, los sistemas instalados, las comunicaciones, los activos críticos, los puntos de entrada y de salida. Y posteriormente para  analizar enormes cantidades de datos que permitan dar como resultado información realmente útil.
Si bien las herramientas SIEM actuales son bastante completas y funcionan para la mayoría de las instalaciones de forma convencional, en redes muy grandes esto es casi imposible. Por esto algunos vendors están empezando a agregar componentes de IA para reemplazar la intervención humana y hasta para generar acciones por sí mismos, como bloquear conexiones o borrar archivos potencialmente peligrosos.

Ahora bien, una herramienta es sólo una herramienta. Dependiendo de en qué manos caiga, es lo que se va a hacer con ella. Resulta que un ciberataque también es un proceso muy complejo y de varios ciclos de análisis, toma de decisiones y acciones para llegar a un objetivo. Y también es necesario un experto para llevarlo a cabo; ¿o lo era? ¿Se podrá entrenar un sistema de IA para generar ciber-ataques? La respuesta es sí. El mismísimo DARPA (Defense Advanced Research Projects Agency) está fomentando esta actividad. Pero además, las herramientas que están a disposición de la comunidad ya se están entrenando para planificar cómo causar daños en el ciberespacio.

Pero hay un problema extra. Dijimos que especialmente en Deep Learning se necesitan muchísimos datos (muy bien pre-procesados) para que los sistemas de IA aprendan correctamente. Si hacemos esto incorrectamente o a las apuradas o con datos insuficientes, podemos hacer que los sistemas de IA aprendan, pero mal. Que por ejemplo en el caso del SIEM, no sólo no detecten los ataques, sino que abran puertas a los atacantes o borren archivos válidos e importantes o bloqueen un sistema por haber errado en un análisis. Y en ese caso, ¿qué tipo de error sería? ¿Un error humano producido por una máquina?

Los sistemas de IA serán lo que hagamos de ellos. Si los entrenamos bien, podrían convertirse en nuestros aliados como tantas otras tecnologías que utilizamos a diario en nuestras vidas; pero si los entrenamos mal, por error o con malas intenciones, sin que lleguen necesariamente a convertirse en Skynet, pueden llegar a causarnos a los humanos que quedemos, serios dolores de cabeza…

 
Nota por Carlos Benitez