Professional Documents
Culture Documents
Es una distribucin de herramientas open source integradas para construir una infraestructura de
monitorizacin de seguridad [1], Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las
capacidades de deteccin y visibilidad en la monitorizacin de eventos de seguridad de la organizacin [2]
Caractersticas
Es gratuito.
Monitoreo centralizado.
Realiza un anlisis de los posibles riesgos y anomalas en la red.
Controla los posibles ataques e intrusos en la red.
Presenta interfaz grfica web amigable
Permite recolectar logs de los servidores Windows / Linux .
Realiza test de vulnerabilidad.
Deteccin de bajo nivel y en tiempo real de amenazas conocidas y actividad anmala (amenazas
desconocidas).
Envos de forma automtica.
Auditora de redes, equipos y polticas.
Anlisis de comportamiento de la red y situaciones.
Administracin de logs (versin comercial).
Inteligencia que mejora la efectividad de la deteccin de amenazas.
Anlisis de seguridad orientado a riesgos.
Reportes tcnicos y administrativos (ejecutivos).
Una arquitectura de alto rendimiento escalable.
Componentes
1. Servidor
Es el componente central de OSSIM, ejecuta las funciones principales de un SIEM [3]:
Correlacin de Eventos.
Monitoreo de Riesgos y Priorizacin.
Administracin de Inventario e Identidades.
Alarmas y Tareas peridicas.
Administracin de Polticas.
Mecanismo de Reputacin
2. Framework
Gobierna el resto de los componentes de OSSIM y los interconecta. Provee la interfaz web de
acceso a toda la informacin colectada y generada por el sistema, as como los parmetros de
configuracin [4].
Cambios de configuracin.
Acceso a la Consola (Dashboard) y Mtricas.
Administracin multiusuario.
Acceso en tiempo real a la informacin.
Generacin de Reportes.
Sistema de Tiques.
Administracin de Vulnerabilidades.
Administracin de flujos de red.
Configuracin de respuestas.
3. Base de Datos
4. Almacena los datos de inventario de los activos, la configuracin del sistema y los eventos
generados por el SIEM en una base de datos MySQL. Al menos una base de datos es requerida en
cada despliegue [5].
5. Sensor (+Agentes)
Tipos de escaneos
Antivirus que se encarga de detectar y eliminar software malicioso de los sistemas informticos
Windows
Detectores de intrusos basados en host (HIDS, Host-based Intrusion Detection Systems)
Detectores de intrusos basados en red (NIDS, Network-based Intrusion Detection Systems)
Detectores de vulnerabilidades (Snort)
Detectores de disponibilidad (Nagios) permiten verificar el estado del equipo UP (activo) o DOWN
(cado).
Ventajas
Correlacin de Riesgo: Agrupa todos los eventos "logs" que est pasando en la red en una sola pantalla
para la detecciones de los errores tales como:
Posibles ataques
IP duplicadas
Valoracin de Riesgo: mbito u accin a seguir mediante los errores que se presenta. Costo y flexibilidad en
la configuracin centralizada. Organizar y mejorar las capacidades de deteccin. Visibilidad de los eventos
de seguridad.
Desventajas
Solo almacena los eventos "logs" y no genera una accin para contrarrestarlos Los logs de equipos
propietarios no los lee con facilidad. Si se le aade demasiados plugins puede que el administrador de Red
no est capacitado en manipular todas las aplicaciones.
Viabilidad
Viabilidad tcnica:
Se destaca por tener una amplia gama de recursos que podemos utilizar en la seguridad, la forma de
configurar Ossim, el funcionamiento con la activacin de los diferentes plugins y los resultados
proporcionados en los informes finales.
Viabilidad Financiera:
Es factible porque solo se requiere una inversin en la parte profesional y en el hardware (servidor fsico)
donde se instala OSSIM
Conclusiones
OSSIM no solo es una herramienta que recolecta logs de diferentes dispositivos, tambin es un SIEM
(Security Information and Event Management) y trae incorporado diversas formas para gestin de
seguridad.
OSSIM otorga un aporte invaluable al administrador de red, brindndole informacin til para la toma de
decisiones en el campo de la seguridad
OSSIM al tener la filosofa de cdigo abierto y libre distribucin, permite la implementacin de una consola
centralizada a un costo relativamente bajo.
Tipo de Licencia
Exploracin de redes
Deteccin de Intrusos
Deteccin de Vulnerabilidades
Monitorizacin de equipos
Plugins free
Notificaciones Automticas
Network Kid
Interfaz Web
SECURITY ONION:
Caractersticas
Es una distribucin Linux basada en Xubuntu que se usa tanto para la deteccin de intrusin en la
red como para realizar monitorizacin del trfico de la red [8].
Su funcionamiento se basa en la captura de todos los paquetes que pueda a travs de sus sensores
y en su posterior anlisis a travs de unas alertas de seguridad [9].
Security Onion se basa en Ubuntu e incluye multitud de herramientas para auditar la seguridad a
nivel de redes. La gran variedad de paquetes recopilados en esta distro nos ayudarn en las tareas
cotidianas, sin tener que instalar apps adicionales. Entre los paquetes encontramos desde sistemas
de deteccin de intrusos, escneres, monitores de eventos de red, sniffers, herramientas de
anlisis forense [10]
Security Onion adems viene con una interfaz grfica activada por defecto [11].
La distribucin cuenta tambin con un asistente muy sencillo que nos va a permitir, en cuestin de
minutos, montar toda una red de sensores capaces de detectar prcticamente cualquier amenaza
presente en cualquiera de los hosts de una red [12].
Componentes
Security Onion viene con una gran variedad de paquetes y herramientas por defecto para auditar la
seguridad de todo tipo de redes, entre las que podemos destacar:
Se tiene que instalar forzosamente toda la distribucin, no es posible instalar las herramientas de
Securit Onion por s solas.
No es posible elegir que aplicaciones se desea instalar.
Alta demanda de recursos.
Se necesita mucho espacio de almacenamiento ya que Security Onion hace captura de paquetes
completos se puede llenar un disco rpidamente.