Shazer's Notes & Blog
  • Welcome!
  • About
  • Blog: Notes & Thoughts
    • CEH - Practical
    • Quotes
    • [THM] CVE-2021-41773/42013 Write-Up
    • [THM] Password Cracking Workshop Write-Up
  • Blog [Spanish]
    • DevSecOps en AWS
    • Laboratorio Vulnerable de CI/CD en AWS
    • AWS DeepRacer: la unión de la IA con adrenalina 🏁
    • Un Honeypot en AWS
    • DetectionLab en AWS
    • Aceleración Digital de la Inseguridad
    • Funcionalidad vs Seguridad
    • ¿Por qué no debo reutilizar mi contraseña?
Powered by GitBook
On this page
  • Despliegue
  • Conclusión

Was this helpful?

  1. Blog [Spanish]

DetectionLab en AWS

PreviousUn Honeypot en AWSNextAceleración Digital de la Inseguridad

Last updated 1 year ago

Was this helpful?

En mi trabajo, continuamente necesitábamos realizar laboratorios y PoCs (pruebas de concepto) en entornos controlados, que incluyan Directorio Activo y clientes Windows. Uno de los proyectos más reconocidos, documentados y mejor soportados es “” de Chris Long. En esta ocasión, voy a mostrar lo práctico que es realizar el despliegue preconfigurado en un ambiente virtual utilizando Terraform (infraestructura cómo código) y AWS.

Los componentes son:

Créditos a Chris Long ()

La guía de despliegue para AWS se encuentra en:

Es importante contar con los pre-requisitos para comenzar:

  • Terraform y AWS CLI instalado.

  • Una cuenta de AWS

  • Un usuario IAM con su respectivo rol para Terraform y “keypar” en la región designada.

Luego de seguir las instrucciones iniciales, se recomienda verificar el perfil terraform.

aws configure --profile terraform

Las variables se configuran en terraform.tfvars

Es importante indicar las IPs permitidas (whitelist), las cuales serán el único punto de acceso al laboratorio (evitar exponer servicios abiertos a Internet), Recordar que por defecto es un entorno muy vulnerable.

Despliegue

Con terraform init : se descargan los componentes necesarios para la integración con AWS.

Con terraform validatey terraform plan: se valida que todo está listo para el despliegue y cómo se crearán los recursos necesarios.

Con terraform apply : se puede observar la creación de los recursos y provisionamiento de acuerdo a los parámetros.

Finalmente, en outputs, Terraform nos indica las URLs e IPs para acceso a los equipos y componentes.

Para acceso centralizado por RDP desde el navegador, se recomienda utilizar Apache Guacamole:

Para gestión de los agentes se utiliza Fleet:

Desde AWS, se pueden verificar los datos de las instancias EC2, con su respectiva metadata, estadísticas de monitoreo, etc.

También se puede modificar la información de red desde la VPC 192.168.0.0/16

Una vez realizadas las pruebas requeridas, se procede a eliminar los recursos. Es importante recordar que la facturación en AWS es “Pay as you go”, es decir se paga por el tiempo que los recuros estén corriendo, generalmente por hora.

Conclusión

Para finalizar, el feedback del DetectionLab es muy positivo en nuestras pruebas, por su facilidad de uso y velocidad de despliegue en AWS. Cuando realicé el despliegue de forma manual me tomó casi una semana la instalación de los OS, componentes, configuración, etc. en comparación con los 30-40 min del presentado en esta guía.

Como SIEM, se utiliza . Hay un fork para un entorno similar con Elastic Stack (ELK) llamado por Cyberdefenders.

Probablemente, vamos a necesitar modificar algunos componentes o incluir adicionales, para ello se puede consultar el apartado “”. En nuestro caso se hicieron los ajustes de manera manual, pero en un futuro se espera automatizar la labor en caso que se requiera el mismo ajuste repetidamente.

¿Preguntas o comentarios? Se me puede contactar .

https://www.detectionlab.network/deployment/aws/
Splunk
DetectionLabELK
customization
aquí
DetectionLab
https://www.detectionlab.network