"Telefónica Tech pone un fuerte énfasis en su estrategia de “todo en uno” y multinube híbrida, ya que busca aprovechar e integrar otras áreas de crecimiento como la Ciberseguridad y el IoT junto a la nube".
Robert Pritchard
Diciembre 2021
EmetRules
EmetRules crea una configuración para ser importada a EMET, de manera que el usuario no necesite realizar ninguna acción.
EmetRules es una sencilla herramienta por línea de comandos que crea una configuración para ser importada a EMET, de manera que el usuario no necesite realizar ninguna acción.
Para “pinear” un dominio con EMET, es necesario:
- Consultar el certificado de ese dominio
- Comprobar cuál es el raíz en el que confía finalmente la conexión
- Mirar su huella digital
- Crear la regla encontrando el certificado en el repositorio
- Asociar el dominio a la regla correspondiente
Los pasos se resumen en la imagen que mostramos en esta página.
Es un proceso bastante tedioso, sobre todo si se quieren “pinear” un buen número de dominios. En ElevenPaths hemos estudiado el funcionamiento de EMET, y creado EmetRules, una pequeña herramienta por línea de comandos que permite realizar todo el trabajo en un solo paso. Además permite realizarlo por lotes. Esto es, se conectará al dominio o lista de dominios indicada, visitará por el puerto 443 la página, extraerá la SubjectKey del certificado raíz devuelto, validará la cadena de certificación, creará la regla en EMET y además, la “pineará” junto al dominio. Todo en un solo paso.
El funcionamiento es simple. Se le proporciona un listado de dominios, y creará el archivo XML correspondiente que podrá ser importado a EMET, incluso desde la propia herramienta (por línea de comandos).
Además, ahora incluye un Plugin para que pueda ser usada de forma más cómoda desde Internet Explorer.
Parámetros:
“urls.txt”: el fichero que contiene los dominios, separados por retorno de carro. Los dominios pueden tener el subdomino “www” o no. Si no es así, el programa intentará usar los dos, a menos que se especifique lo contrario con la opción “-d”
“output.xml”: especifica la ruta y nombre de fichero donde se creará el fichero XML de configuración que EMET necesita. Si ya existe, el programa preguntará si debería sobrescribirse, a menos que se especifique lo contrario con la opción “-s”
Opciones:
t|timeout=X: establece el timeout en milisegundos para la petición. Entre 500 y 1000 milisegundos son los recomendados, aunque depende de las hebras establecidas
“s”, Silent mode: no se genera ninguna salida ni se hacen preguntas. Una vez terminado, tampoco preguntará si se desea configurar EMET importando el XML
“e”: esta opción genera un fichero txt llamado “error.txt” que contiene el listado de dominios que han generado un error en la conexión por cualquier razón
“d”: esta opción deshabilita la doble comprobación. Esto significa intentar conectarse al dominio principal y a su subdominio “www”. Si se especifica el dominio con “www” en la lista, no se intentará otro. Si no se especifica, se intentarán los dos
c|concurrency=X: establece el número de hebras con las que correrá el programa. Son el número de conexiones concurrentes
“u”: cada vez que se lance el programa, contactará con los servidores centrales para comprobar si existe una versión nueva
“ie”: muestra menos información y sobrescribe el xml de apoyo
La herramienta está pensada para administradores y usuarios avanzados que utilicen Internet Explorer y quieran recibir una alerta cuando se sospeche que la conexión a un dominio puede estar siendo alterada. Si bien el sistema de pineo de EMET no es ni mucho menos perfecto, e incluso la alerta que emite es muy tímida (sigue permitiendo visitar la web), es el primer paso de lo que seguro será una funcionalidad mejorada en el futuro.
