El OSSIM (Open Source Security Information Management) quiere suplir un hueco en las
necesidades que los grupo profesionales del mundo de la seguridad día a día nos encontramos.
Sorprende que con el fuerte desarrollo tecnológico producido en los últimos años nos ha provisto de
herramientas con capacidades como las de los IDS (Un sistema de detección de intrusos o de sus
siglas en inglés Intrusion Detection System), sea tan complejo desde el punto de vista de seguridad
de obtener una visión de una red con un grado de abstracción que permita una revisión práctica y
asumible.
La intención inicial en el desarrollo de este proyecto es mejorar esta situación a través de una
función que podríamos resumir con el nombre de:
Correlación o la posibilidad de obtener una visibilidad de todos los eventos de los sistemas en un punto y con un mismo formato, y a través de esta situación privilegiada relacionar y procesar la información permitiendo aumentar la capacidad de detección, priorizar los eventos según el contexto en que se producen, y monitorizar el estado de seguridad de nuestra red. En el camino nos hemos encontrado con nuevas necesidades que nos han permitido aumentar la precisión de nuestro
sistema, desarrollando la capacidad que ya forma parte del núcleo de OSSIM.
La valoración de riesgos como forma de decidir en cada caso la necesidad de ejecutar una acción a
través de la valoración de la amenaza que representa un evento frente a un activo, teniendo en cuenta la fiabilidad y probabilidad de ocurrencia de este evento. Desde este momento nuestro sistema se vuelve más complejo pues ha de ser capaz de implementar una Política de Seguridad, el
Inventario de la Red, nos ofrecerá un Monitoreo de riesgos en tiempo real, todo ello configurado y gestionado desde un Framework. Este proyecto quiere ser así mismo una muestra de la capacidad del mundo de código abierto de crecer en sí mismo y aportar soluciones punteras en sectores
concretos como el de la seguridad de redes, donde las soluciones del mundo libre aportan otro importante valor: la auditabilidad o capacidad de auditoría de los sistemas que instalamos en nuestra
red.
OBJETIVO
Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de detección y
visibilidad en la monitorización de eventos de seguridad de la organización.
Además de obtener las mejores herramientas de código abierto, algunas de las cuales se describen a
continuación, ossim establece un fuerte motor de correlación, detallando nivel de interfaces de
visualización bajo, medio y alto, así como la presentación de informes y herramientas de gestión de
incidentes, trabajando en un conjunto de activos se define como anfitriones, redes, grupos y
servicios.
CONCEPTO Y SERVICIOS
OSSIM es una distribución de productos open source integrados para construir una infraestructura
de monitorización de seguridad.
SERVICIOS
Ossim contiene las siguientes características de los componentes del software:
- Arpwatch: utilizado para la detección de anomalía de mac.
- P0f: utilizado para la detección y análisis de los cambios en los sistemas operativos OS.
- Pads: utilizado para el servicio de detección de anomalías.
- Nessus: utilizado para la evaluación de la vulnerabilidad y de correlación cruzada (IDS vs Security Scanner).
- Snort: el IDS, también se utiliza para cruzar la correlación con nessus.
- Spade: Realiza las estadísticas de paquetes de motor de detección de anomalías. Se usa para obtener conocimientos sobre los ataques sin firma.
- Tcptrack: utilizado para los datos de la sesión de información que puede dar información útil para el ataque correlación.
- Ntop: construye una impresionante red de base de datos de información que podemos obtener de detección de anomalías en el comportamiento aberrante.
- Nagios: Se alimenta de la base de datos activos para supervisar la disponibilidad de los equipos.
- Osiris: una gran HIDS (HIDS, Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host).
Puede tomar medidas protectoras.)
- OCS-NG: Cruz-Plataforma para realizar los inventarios e informes.
- OSSEC: la integridad, de rootkit, detección y registro de más
Fig.1
Herramientas> Escanear NET
Para comenzar a trabajar con el OSSIM, tenemos que realizar un estudio de la topología que se va a utilizar por ejemplo nosotros ocupamos la
topología de la universidad a nivel lógico.
- Escaneamos el segmento de red de la uni. 192.168.103.0/24 porque es el segmento principal, lo cual el escaneo duro 20 minutos.
Herramientas> Escanear NET
NET La página de rastreo le permite establecer diversas redes de exploración para buscar los cambios en los hosts o servicios de su sistema
operativo, como se muestra en la Figura 2 – Herramientas> Red de exploración.
Fig.2
Como se muestra en la figura de arriba, es fácil realizar una exploración de escaneo de red mediante la selección de una red disponible de la lista desplegable. El rango de direcciones IP aparece en el cuadro de texto
a su derecha. Esto no puede ser modificado, si desea añadir alguna nueva red que necesita para ir a la Política → Redes y definir una nueva. Además, puede optar por seleccionar Manual, en el que el mencionado cuadro de
texto puede ser modificado. Una vez esté listo, haga clic en Buscar. OSSIM escanea la red y muestra un
mensaje una vez que esté completo. Los resultados aparecen en la red, la página de exploración por debajo de
la red, seleccione la tabla.
Puede hacer clic en Actualización de los valores de la base de datos, que muestra la página Insertar nueva
exploración. Esta página le permite añadir a las propiedades globales recién escaneadas de aceptacion. Estas
propiedades son:
- Valor
- Umbral C
- Umbral A
- RRD Perfil
- ¿Insértese un nuevo perfil?
- NAT
- Sensores
- Opciones de exploración
- Descripción
Algunas propiedades pueden tener enlaces correspondientes que le permiten realizar tareas adicionales, especialmente al trabajar con sensores. Una vez que haya completado los cambios, haga clic en Aceptar. Puedehacer clic en Reset para volver a los valores iniciales.
Herramientas> Copia de seguridad
Herramientas> Copia de seguridad La copia de seguridad de la página le permite restaurar los eventos anteriores a su sistema, así como ver
previamente eventos restaurados eventos, como se muestra en la Figura 3
- Herramientas> Copia de seguridad.
Esto funcionará para los eventos que aparecen en la base o el Visor de sucesos OSSIM. El backuped de datos será la base de datos de snort (que incluye todos los eventos), no la base de datos OSSIM (que incluye, principalmente, las alarmas y la configuración de entradas).
Las fechas que aparecen pueden ser restauradas en el Administrador de copia de seguridad, por debajo de la
columna restaurar fechas. Simplemente haga clic en una fecha y luego haga clic en Insertar. OSSIM realiza la restauración y muestra el estado de la restauración de copias de seguridad más adelante en la sección de Eventos.
Para eliminar un evento restaurado, haga clic en la fecha del evento en las fechas en la sección Base de Datos y haga clic en Eliminar. Ingresar al registro para que se refleje el cambio que se registro en los eventos de copia de seguridad, señalando que se ha eliminado, en qué momento, por quién, y el estado actual de la transacción.
Figg.3
Download. 5.8 Mb MANUAL SUPER DE OSSIM o http://hermeschavez.files.wordpress.com/2010/11/manual-super-de-ossim.pdf
