Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

OSSIM

No description
by

Guillermo Latrecchiana

on 18 April 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of OSSIM

Para lo cual se ha creado una colección de herramientas que provienen de varios creadores, que tienen experiencia en todas las disciplinas de seguridad. Estas herramientas trabajan en forma conjunta para proteger a todos los aspectos de su entorno de TI La misión de Alienvault es crear un paradigma de seguridad abierta y colaborativa, un cambio total frente a los sistemas propietarios y caros. Seguridad, como lo vemos, se basa en tres pilares: Secure code, prevención y detección EXPERIENCIAS COMERCIALES OSSIM Alienvault (Open Source Security Information Manager) es un SIEM desarrollado por Dominique Karg y Julio Casal en el año 2000, que implementa la detección y prevención de intrusiones, y la seguridad de redes en general.
OSSIM AlienVault es una plataforma abierta para la gestión unificada de la seguridad que fue creada por un grupo de ingenieros españoles encabezados por Julio Casal en 2001. Su solución de unificación de la información sobre seguridad (SIEM, según la jerga del sector) está basada en sistemas abiertos y reconocida a nivel mundial. ORIGEN El acrónimo SIEM se atribuye a los analistas de Gartner Amrit Williams y Nicolett Marcos y se deriva de dos tecnologías independientes, pero complementarias: el Administrador de Eventos de Seguridad (SEM por sus siglas en inglés) y el Administrador de Información de Seguridad (SIM por sus siglas en inglés). Durante la última década, estas dos tecnologías han convergido en una única solución conjunta conocida hoy como SIEM. ¿Que es SIEM? SEM fue una solución tecnológica que se centró en el seguimiento de eventos de seguridad en tiempo real, así como la correlación y el procesamiento SIM, por otra parte, se centró en el análisis histórico de la información del archivo de registro para apoyar las investigaciones forenses y los informes. SIM a menudo analiza los mismos eventos que SEM, pero no lo hace en tiempo real. SIM centraliza el almacenamiento de registros y archivos, búsqueda y análisis de funciones y sólidas capacidades de presentación de informes. ARQUITECTURA BÁSICA DE LOS SISTEMAS SIEM Dispositivo Fuente: La primera parte de un sistema SIEM es el dispositivo que captura la información. Registro de Colección: La siguiente parte del sistema es el dispositivo o la aplicación de flujo de registro, el cual obtiene de alguna manera todos los registros de los dispositivos fuentes para luego transportarlos al SIEM. El dispositivo fuente envía sus registros al SIEM, lo que se llama el método de empuje, o el SIEM se extiende y recupera los registros del dispositivo de origen, lo cual se llama el método de extracción. Análisis/Normalización de Registros: Para que estos registros resulten útiles para el SIEM se les debe dar un formato estándar, lo cual se conoce como normalización.

El resultado final es que todos los registros poseen el mismo aspecto dentro del sistema. Núcleo de Reglas/Núcleo de Correlación: El Núcleo de Reglas amplía la normalización de los eventos con el fin de activar alertas en el SIEM debido a las condiciones específicas en estos registros.

La función del Núcleo de Correlación es comparar todos los eventos normalizados de diferentes fuentes con las reglas anteriormente creadas. Almacenamiento de Registros: Este es usado para facilitar el trabajo en un único almacén de datos, facilitando la relación entre las diferentes funciones del SEM y las funciones forenses e informes del SIM COMPONENTES DE OSSIM “OSSIM es un producto que integra más de 22 herramientas Open Source líderes en el campo de la seguridad informática. Tanto el sistema operativo como muchas de las herramientas integradas, han sido modificados para mejorar su funcionamiento dentro del sistema. Es por ello que la instalación de OSSIM a partir del código fuente requiere de unos amplísimos conocimientos y de la compilación de más de 40 herramientas” Arpwatch, utilizados para la detección de anomalías en las direcciones Mac. Nessus, utilizada para la evaluación de la vulnerabilidad y de correlación cruzada (IDS vs Security Scanner). Spade, Motor de estadística de paquetes para detección de anomalías. Se usa para obtener conocimientos sobre los ataques sin firma. Tcptrack, utilizado para analizar datos de la sesión de información útiles en la detección de ataques. Osiris, Es un sistema de Detección de Intrusos basado en Host (HIDS) y Snare quien colecciona los logs de sistemas Windows. Snort: es el más importante IDS Open Source disponible en la actualidad. OSSIM contiene una versión personalizada de esta herramienta y es quien alerta sobre intentos de ataques a la red. OpenVAS: es la versión GPL (General Public License) de Nessus, una popular herramienta de escaneo de vulnerabilidades Open Source. Esta herramienta se utiliza para proporcionar búsqueda de vulnerabilidades de los recursos de red y añade esta valiosa información a la base de datos de OSSIM. Nessus también es incluido dentro de OSSIM y es soportado utilizando un plug-in. Ntop: es una popular herramienta Open Source para la monitorización del tráfico de la red. Esta herramienta proporciona información muy valiosa sobre el tráfico en la red, que puede ser utilizada para detectar de una manera proactiva el tráfico anormal o malicioso. Nagios: es una popular herramienta Open Source de monitoreo de dispositivos de red. Es una de las herramientas más complejas, pero le permite al administrador tener una única visión del estado de los hosts de la red. A través del monitoreo de hosts, Nagios puede enviar alertas en caso de fallas y posee una interface web desde donde se puede observar el estado de la red. PADS: El Sistema de Detección Pasiva de Activos (PADS por sus siglas en inglés) es una herramienta única. La herramienta supervisa silenciosamente el tráfico de red, los registros de los host y las actividades de servicio, con el objetivo de detectar anomalías sin generar tráfico de red, realizando un inventario de activos y revisando los servicios que cada cual ejecuta. P0f: La herramienta P0f toma pasivamente las huellas dactilares del sistema operativo (el descubrimiento del tipo de sistema operativo y su versión). Esta herramienta escucha silenciosamente el tráfico de red e identifica los sistemas operativos que se comunican en la red. Esta información resulta útil en el proceso de correlación. OCS-NG: La OCS-NG (Open Computer and Software Inventory Next Generation) ofrece la capacidad multi-plataforma de gestión de recursos. Esta herramienta permite mantener un inventario actualizado en tiempo real de los dispositivos existentes en la red. OSSEC: Sistema de Detección de Intrusiones de Host (HIDS por sus siglas en inglés) Open Source. Este se encarga de analizar los datos del host y detectar a través de ellos si un host está siendo víctima de algún ataque.7 OSSEC realiza esta tarea analizando logs, chequeando la integridad de archivos, monitoreando el registro de Windows, detectando rootkits, además de responder y alertar en tiempo real. Esta herramienta también ayuda a proteger al propio OSSIM. OSVDB: La OSVDB (Open Source Vulnerability Database), es la base de datos que mantiene la información actualizada con respecto a las vulnerabilidades del sistema. Esta se ha utilizado por OSSIM durante el proceso de correlación y es quien proporciona un análisis cuando sea necesario. NFSen/NFDump: Visor de flujos de red para la detección de anomalías en la red. Este además permite el procesamiento de Netflow v5, v7 y v9. NFSen proporciona una interfaz gráfica basada en web a NFDump. Ambos NFSen y NFDump se han integrado en OSSIM y han sido modificados para trabajar con las otras herramientas. INPROTECT: Interfaz basada en web para Nessus, OpenVAS y NMAP. Inprotect ofrece la posibilidad de definir perfiles de escaneo, programar sondeos, y exportar los resultados del análisis de distintos formatos. ARQUITECTURA DE OSSIM Sensores: son los encargados de recoger una amplia gama de información sobre su entorno local, procesar esta información y coordinar la detección y respuesta con el resto de la red OSSIM. Los sensores están instalados en los segmentos de red y lugares remotos, inspeccionan todo el tráfico, detectan ataques a través de diversos métodos y recolectan información sobre el tipo y forma de ataque sin afectar al rendimiento de la red. Colectores: que incluye evaluación de riesgos, correlación, indicadores de riesgo, análisis de vulnerabilidad y control en tiempo real Logger: El Logger permite el almacenamiento de un número ilimitado de eventos con fines forenses y se incluye únicamente para la versión pagada del OSSIM.
Gracias a lo cual ofrece grandes capacidades y un alto rendimiento, creando así una inteligencia que traduce, analiza y organiza los datos de una forma única que la mayoría de sistemas SIEM no pueden conseguir, resultando en un diseño que gestiona, organiza y observa riesgos que los administradores pueden apreciar. FUNCIONAMIENTO DE OSSIM Monitoreo: . Un SIEM tendrá una interfaz de consola y una interfaz que bien puede ser o basarse en una aplicación web. Ambas interfaces le permiten visualizar y analizar todos los datos almacenados en el SIEM, facilitando de esta manera la gestión del sistema En la actualidad, OSSIM posee un grupo de desarrolladores de entre 30 y 40 personas a nivel mundial de universidades como la de Pequín y grandes empresas, como Philips; Entre sus clientes está Telefónica o Metro Madrid •EDB, la base de datos eventos, la más voluminosa alojará todos los eventos individuales recibidos de nuestros detectores.
•KDB, la base de datos del Framework, en la cual parametrizaremos el sistema para que conozca nuestra red y definiremos nuestra política de seguridad.
•UDB, la base de datos de perfiles, que almacenará todos los datos aprendidos por el Monitor de Perfiles. PRESENTACION EN 5 ENTORNOS Proporciona un método automatizado para crear un inventario de los activos críticos que se ejecutan en su entorno
Monitoreo pasivo de red: host y paquetes
•Arpwatch: IP monitor & hardware MAC
•Almohadillas: monitores encabezados IP
p0f: monitorea el tráfico de TCP/IP
Escaneado de red activo: Exploración por medio de sondas, se identifica la máquina y el software instalado en la máquina.
•NMap: un escáner identificar hosts, el sistema operativo, así como los servicios.

Inventario de software basado en host: Instala un agente basado en host y proporciona el último nivel de visibilidad.
•NG de inventario de OCS: proporciona una enumeración completa de paquetes de software instalados Proporciona un medio automatizado para identificar el software que ha conocido las vulnerabilidades y configuración insegura.
Realiza una evaluación periódica con reglas de detección actualizada es esencial para identificar las debilidades que explotan los hackers.

Análisis no autenticados: La combinación del tráfico orientado y la respuesta posterior permite que un motor de análisis determinar la configuración del sistema remoto y las vulnerabilidades en el software de ejecución.

Análisis autenticados: Realiza la detección más exacta y completa de vulnerabilidades inspeccionando el software instalado.

• OpenVAS: Varias herramientas y servicios para análisis de vulnerabilidad global.
• Nessus: un escáner de vulnerabilidad basado en red que proporciona ambos autenticados y no autenticado detección de vulnerabilidad. Proporciona una manera de entender qué sistemas están siendo dirigidos por hackers y que ataques están utilizando los hackers.

Detección de intrusiones (IDS): Se utiliza para identificar ataques, malware, las violaciones de políticas y análisis de puertos.
• Snort: una detección de intrusiones de red / sistema de prevención de intrusiones que se puede realizar análisis de firma, la anomalía y el Protocolo para detectar actividad maliciosa.

Detección de intrusos basado en host:

Analiza el comportamiento del sistema y configuración para identificar el comportamiento que podría indicar el compromiso.
• OSSEC: detección de intrusos basado en host que proporciona monitoreo de integridad de archivos, detección de rootkit y monitoreo de políticas.

Monitoreo de integridad de archivos: Un subconjunto de las capacidades de detección de intrusos basado en host pero a menudo discutidos en forma independiente.
• OSSEC

Detección de intrusos inalámbricos: Accede a la tarjeta inalámbrica para supervisar el tráfico inalámbrico e identificar redes de rogue. Esto permite la detección de clientes inalámbricos, las redes asociadas y el cifrado utilizado.
• Kismet: Supervisa el tráfico inalámbrico e identifica redes y clientes asociados. Es capaz de determinar el método de cifrado y detectar los escáneres intentando romper a redes inalámbricas. Incluye comprender qué activos comunican uno con el otro, determinar cuando servicios aparecen y desaparecen y modelado uso de flujo y el Protocolo de red para detectar anomalías.

Servicio y monitoreo de la infraestructura: Sobre una base periódica o bajo demanda, el host es sondeado para confirmar que el servicio está todavía disponible y funcionando.
• Nagios: una herramienta de monitoreo ligera que proporciona un monitoreo continuo de los sistemas operativos y servicios asegura la disponibilidad y alerta cuando se detectan las interrupciones inesperadas.

Análisis de flujo de red: Análisis de flujo de red proporciona las tendencias de alto nivel relacionadas con qué protocolos se utilizan, que los hosts utilizan el Protocolo y el uso de ancho de banda.
• NFDump: una herramienta de flujo de red que captura la información de resumen es necesaria para el análisis de flujo de red.
• NFSen: una gráfica front-end para el análisis de flujo de red. NFSens puede analizar y mostrar los datos capturados por NFDump o cualquier otro dispositivo capaz de producir datos de flujo de red.
• nTop: una sonda de red ligero que proporciona detección de estadísticas y Protocolo de uso de red.

Análisis de protocolos de red / captura de paquete completo: análisis de Protocolo completa sobre el tráfico, lo que les permite recrear completa los acontecimientos ocurridos durante una violación potencial permite capturar el flujo de paquetes completo.
• WireShark: una biblioteca de captura de paquetes que proporciona detección de protocolo y capacidades de filtrado.
• Tcpdump: una biblioteca de captura de paquetes que permite el almacenamiento y la captura de paquetes de alta velocidad. Proporciona una manera significativa a correlacionar toda esta información y proporcionar informes y alertas específicas sobre lo que deben hacer en primer lugar los expertos en seguridad. REQUISITOS DE HARDWARE

Los requisitos de hardware para instalar OSSIM dependerán en gran medida del número de eventos por segundo y del ancho de banda de la red que pretendamos analizar.

 AL MENOS 2GB DE DISCO DURO.

 PROCESADOR CORE DUO.

 INTERFACE DE RED QUE SOPORTE DRIVE E1000.

 CONEXIÓN A UNA RED DE DATOS.

 ARQUITECTURA DE 64 BITS.

. La mayoría de los componentes de OSSIM son multihilo, por lo que utilizando procesadores con varios cores obtendremos también una gran mejora en el rendimiento

aquellas soportadas por el driver e1000. El desarrollo Open Source de este driver garantiza una buena compatibilidad de estas tarjetas con Debian GNU/Linux. REQUISITOS DE SOFTWARE

El instalador de OSSIM está basado en el sistema operativo Debian/GNU Linux y está disponible para arquitecturas de 32 y 64 bits. ¡ MUCHAS GRACIAS !
Full transcript