Documente Academic
Documente Profesional
Documente Cultură
DE
Esta característica lo hace un sistema complejo pero muy potente ya que añade las características de
programas de seguridad y monitores de red muy consolidados, tales como Snort, Nessus, Nagios o Ntop.
Conjuntamente estas herramientas hacen posible un estrecho control sobre grandes redes, desplegando
sensores de bajo costo y controlando la información desde un punto central. Ya existen extensas redes, con
cientos de sensores, desplegadas en organizaciones gubernamentales, financieras o de telecomunicaciones.
Abstracción
2. Recopilación de herramientas
Herramientas de código abierto
Algunos de los productos de código abierto utilizados son:
• Snort: IDS
• Nessus: Escáner de vulnerabilidades
• Ntop: Monitor de red
• Nagios: Monitor de disponibilidad
3. Arquitectura
Un despliegue típico de OSSIM consiste en 4 elementos:
1. Sensores
2. Servidor de Control
3. Base de Datos
4. Frontal Web
A veces se utiliza un primer nivel instalando agentes en las máquinas monitorizadas, tal y como
podemos ver.
Una característica muy importante es que OSSIM también puede recibir eventos de dispositivos
comerciales o aplicaciones personalizadas gracias a una serie de plugins configurables, tanto
específicos como genéricos.
También se pueden instalar motores de correlación en todos los Sensores, permitiendo
correlación o filtrado a un bajo nivel, así como la implementación de políticas de Consolidación
de eventos (para reducir drásticamente el ancho de banda).
Sensor
Los sensores son desplegados en diferentes redes para monitorizar su actividad.
Generalmente los sensores contienen:
• Detectores de bajo nivel y monitores que pasivamente (sin afectar al rendimiento de la
red) recolectan datos buscando patrones.
• Escáneres que pueden buscar vulnerabilidades en la red activamente (realizando
conexiones).
• También suelen incluir el Agente OSSIM que recibe datos de máquinas de la red, como
por ejemplo un router o firewall, y se comunica con su servidor de gestión “padre” para
enviarle eventos.
En una configuración típica, un sensor de OSSIM podría realizar las siguientes funciones.
1. IDS (Snort).
2. Escáner de vulnerabilidades (Nessus).
3. Detección de anomalías (Spade, p0f, pads, arpwatch, RRD aberrant behaviour).
4. Análisis y Monitorización de la red (Ntop).
5. Recolección de datos de elementos locales; routers, firewalls, IDS’s, etc.
6. Procesos reactivos, incluso como un Firewall.
Servidor de Gestión
El Servidor de gestión realiza al menos las siguientes funciones:
• Una serie de tareas principales tales como son Normalizar, Priorizar, Recolectar, Evaluar
el Riesgo, y ejecutar el Motor de Correlación.
• El mantenimiento y las tareas externas, tales como backups, backups programados,
inventario online o lanzamiento de escaneos.
Base de Datos
La BBDD almacena eventos e información útil para la gestión del sistema. Es una base de datos
SQL.
Frontal
El Frontal o Consola es la aplicación de visualización y gestión de los datos, en este caso un
frontal web.
Flows (flujos).
Los flujos proporcionan información de tráfico estadística tales como orígenes, destinos,
puertos, tráfico y duración de las sesiones.
Muchos dispositivos de red, como los routers Cisco, tienen agentes de flujo incluidos en
sus sistemas operativos. Esto hace fácil el realizar un análisis de la red extenso y rápido.
Los flujos dan una información menos detallada que los sniffers, pero permiten la
monitorización distribuida sin tener que desplegar sensores en cada dominio de la red.
OSSIM tiene un plugin que permite implementar flujos con fprobe en sus Sensores,
siendo la información visualizada dentro de Ntop.
5.2.2.-Monitores de Disponibilidad
La disponibilidad de la información es importante para detectar ataques de
Denegación de Servicio.
OSSIM incluye el monitor de disponibilidad Nagios, capaz de comprobar, mostrar e
información de máquinas y redes que no estén disponibles.
5.2.3.-Monitores personalizados
Existe un plugin que hace posible el crear un Monitor Personalizado para extraer cada
parámetro que queramos reunir, filtrar o consolidar, y enviar esta información al
Servidor para que sea analizada por procesos de mas alto nivel.
Esto podría ser útil para lanzar un escaneo de Nmap después de una posible intrusión
en una máquina o para comprobar el estado de un SAI después de un apagón.
5.3.‐ Escáneres de Vulnerabilidades
El inventariado automático se realiza a nivel de los sensores con los detectores pasivos
que pueden ver todo el tráfico. Este mecanismo de inventariado está también
implementado en el servidor gracias a los escáneres de red que pueden encontrar
máquinas y servicios activamente desde un punto central. Ambos métodos alimentan
automáticamente la base de datos de inventario con la siguiente información:
• Tipo de S.O. y Versión.
• Tipo de Servicio y Versión.
• Direcciones MAC e IP.
OSSIM implementa inventariado automático usando los siguientes programas de
código abierto:
• Nmap como un escáner de red (sin necesidad de instalar Agente).
• P0f como un detector de S.O. pasivo (sin necesidad de instalar Agente).
• Pads como un detector pasivo de servicios (sin necesidad de instalar Agente).
• Arpwatch como un detector pasivo de cambios ARP (sin necesidad de instalar
Agente).
• OCS como un Agente.
Es de resaltar que usando estas técnicas, sin instalar ningún Agente, el tipo de S.O. y la
información de la versión detectada es únicamente aproximada debido a los métodos
de suposición utilizados. Es en el lado del servidor donde la información puede ser
insertada o cambiada manualmente.
5.5.‐ Sistema de Colección.
El proceso de recolección unifica los eventos de seguridad de todos los sistemas críticos
de la organización en un único formato en una sola consola.
Con esos eventos unificados seremos capaces de observar todo lo relacionado con el
estado de la seguridad en un momento particular del tiempo – vengan de donde
vengan; un router un firewall, un IDS o un servidor UNIX- en la misma pantalla y con
el mismo formato.
La recolección de datos puede hacerse de dos formas en la parte del sensor:
• Enviando los datos desde la máquina a ser analizada, usando un protocolo
nativo, al Sensor más cercano que actuará como concentrador.
• Instalando agentes en la máquina a ser analizada, los cuales enviarán
información al sensor.
Escoger un método u otro dependerá normalmente de la capacidad de las máquinas de
enviar datos hacia el exterior y de lo que se quiera analizar.
6.1.‐Correlación Lógica
6.2.‐Correlación Cruzada
La correlación cruzada permite priorizar o despriorizar eventos para los que sabemos
que un activo determinado es (o no) vulnerable, cruzando la información de los
detectores y los escáneres de vulnerabilidades.
La correlación cruzada de OSSIM depende de bases de datos de vulnerabilidades y de tablas
de correlación cruzada para cada detector. OSSIM utiliza la base de datos de
vulnerabilidades de OSVDB y actualmente incluye tablas de correlación cruzada para el
IDS Snort y para Nessus.
6.3.‐Correlación de Inventario.
Los ataques que se lanzan son siempre contra objetivos con un S.O. y/o servicio
específico.
La correlación de inventario comprueba si la máquina atacada utiliza ese S.O. y/o
servicio específico para el cual se está lanzando el ataque. Si lo utiliza estaremos seguros
de que existe un riesgo, pero si no, podemos confirmar que el evento de ataque es un
falso positivo.
Este tipo de correlación depende de la precisión del inventario. OSSIM tiene
capacidades de realizar inventarios manuales y automáticos para ajustar estos detalles.
7. Gestión del Riesgo
Una vez que recibimos una alarma de un ataque que está teniendo lugar, podemos
desencadenar respuestas automáticas para llevar a cabo acciones relacionadas con este ataque.
Este tipo de acciones, a través de las respuestas en tiempo real, permite a los administradores
ahorrar tiempo.
Las respuestas crean acciones predefinidas tales como enviar un email, bloquear la conexión a
nivel del firewall, o desactivar el puerto de un switch. Estas acciones utilizan una serie de
variables como SRC_IP, DATE, etc.., que son sustituidas en tiempo real cuando alguna respuesta
utiliza dicha acción.
Después de definir un set de acciones genéricas estableceremos una política para dispararlas,
muy similar a la política de priorización.
9.‐ Gestión de Incidentes
OSSIM incluye un Gestor de Incidencias que controla la asignación de tareas que se tienen que
realizar debido a las acciones resultantes de los eventos de seguridad.
El Gestor de Incidencias permite crear tickets de la mayor parte de las herramientas de informes
de OSSIM, tales como el panel de alarmas, la consola forense, las métricas de riesgo, o las
puntuaciones de los paneles informativos.
Cada uno de los tickets generados se almacena en la BBDD y una herramienta de búsqueda los
filtra. Procesando estos datos, se imprime un Informe de Explotación de forma automática y
periódica.
Es posible también mostrar las tendencias e implementar métricas para medir la situación en el
momento actual, siguiendo la evolución a través del tiempo.
10.‐ Informes de Seguridad y Análisis Forense
Como parte de los Procedimientos de Gestión de Seguridad los administradores deben revisar
periódicamente los Informes de Seguridad y efectuar un Análisis Forense.