OSSIM

Es una distribucin de herramientas open source integradas para construir una infraestructura de
monitorizacin de seguridad [1], Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las
capacidades de deteccin y visibilidad en la monitorizacin de eventos de seguridad de la organizacin [2]

Caractersticas

Es gratuito.
Monitoreo centralizado.
Realiza un anlisis de los posibles riesgos y anomalas en la red.
Controla los posibles ataques e intrusos en la red.
Presenta interfaz grfica web amigable
Permite recolectar logs de los servidores Windows / Linux .
Realiza test de vulnerabilidad.
Deteccin de bajo nivel y en tiempo real de amenazas conocidas y actividad anmala (amenazas
desconocidas).
Envos de forma automtica.
Auditora de redes, equipos y polticas.
Anlisis de comportamiento de la red y situaciones.
Administracin de logs (versin comercial).
Inteligencia que mejora la efectividad de la deteccin de amenazas.
Anlisis de seguridad orientado a riesgos.
Reportes tcnicos y administrativos (ejecutivos).
Una arquitectura de alto rendimiento escalable.

Componentes

1. Servidor
Es el componente central de OSSIM, ejecuta las funciones principales de un SIEM [3]:
Correlacin de Eventos.
Monitoreo de Riesgos y Priorizacin.
Administracin de Inventario e Identidades.
Alarmas y Tareas peridicas.
Administracin de Polticas.
Mecanismo de Reputacin
2. Framework
Gobierna el resto de los componentes de OSSIM y los interconecta. Provee la interfaz web de
acceso a toda la informacin colectada y generada por el sistema, as como los parmetros de
configuracin [4].
Cambios de configuracin.
Acceso a la Consola (Dashboard) y Mtricas.
Administracin multiusuario.
Acceso en tiempo real a la informacin.
Generacin de Reportes.
Sistema de Tiques.
Administracin de Vulnerabilidades.
Administracin de flujos de red.
Configuracin de respuestas.

3. Base de Datos
 4. Almacena los datos de inventario de los activos, la configuracin del sistema y los eventos
generados por el SIEM en una base de datos MySQL. Al menos una base de datos es requerida en
cada despliegue [5].

5. Sensor (+Agentes)

Componente de OSSIM encargado de la recoleccin de informacin [6].Los Agentes son los

encargados recolectar los logs y eventos generados por los dispositivos externos y por los
componentes de monitoreo en OSSIM, usando plugins para cada tipo de informacin a recolectar
[7].
La recoleccin de logs comprende las tareas de recibir, normalizar y enviar al servidor OSSIM;
mientras que el monitoreo de la red:
Monitoreo del trfico de red.
Deteccin de intromisiones de red.
Deteccin de activos.
Deteccin de intromisiones en activos.
Deteccin de intromisiones inalmbricas.

Tipos de escaneos

Antivirus que se encarga de detectar y eliminar software malicioso de los sistemas informticos
Windows
Detectores de intrusos basados en host (HIDS, Host-based Intrusion Detection Systems)
Detectores de intrusos basados en red (NIDS, Network-based Intrusion Detection Systems)
Detectores de vulnerabilidades (Snort)
Detectores de disponibilidad (Nagios) permiten verificar el estado del equipo UP (activo) o DOWN
(cado).

Ventajas

Correlacin de Riesgo: Agrupa todos los eventos "logs" que est pasando en la red en una sola pantalla
para la detecciones de los errores tales como:

Posibles ataques
IP duplicadas

Valoracin de Riesgo: mbito u accin a seguir mediante los errores que se presenta. Costo y flexibilidad en
la configuracin centralizada. Organizar y mejorar las capacidades de deteccin. Visibilidad de los eventos
de seguridad.

Desventajas

Solo almacena los eventos "logs" y no genera una accin para contrarrestarlos Los logs de equipos
propietarios no los lee con facilidad. Si se le aade demasiados plugins puede que el administrador de Red
no est capacitado en manipular todas las aplicaciones.
Viabilidad

Viabilidad tcnica:

Se destaca por tener una amplia gama de recursos que podemos utilizar en la seguridad, la forma de
configurar Ossim, el funcionamiento con la activacin de los diferentes plugins y los resultados
proporcionados en los informes finales.

Viabilidad Financiera:

Es factible porque solo se requiere una inversin en la parte profesional y en el hardware (servidor fsico)
donde se instala OSSIM

Conclusiones

OSSIM no solo es una herramienta que recolecta logs de diferentes dispositivos, tambin es un SIEM
(Security Information and Event Management) y trae incorporado diversas formas para gestin de
seguridad.

OSSIM otorga un aporte invaluable al administrador de red, brindndole informacin til para la toma de
decisiones en el campo de la seguridad

OSSIM al tener la filosofa de cdigo abierto y libre distribucin, permite la implementacin de una consola
centralizada a un costo relativamente bajo.

Tipo de Licencia
Exploracin de redes
Deteccin de Intrusos
Deteccin de Vulnerabilidades
Monitorizacin de equipos
Plugins free
Notificaciones Automticas
Network Kid
Interfaz Web

SECURITY ONION:

Caractersticas

Es una distribucin Linux basada en Xubuntu que se usa tanto para la deteccin de intrusin en la
red como para realizar monitorizacin del trfico de la red [8].
Su funcionamiento se basa en la captura de todos los paquetes que pueda a travs de sus sensores
y en su posterior anlisis a travs de unas alertas de seguridad [9].
Security Onion se basa en Ubuntu e incluye multitud de herramientas para auditar la seguridad a
nivel de redes. La gran variedad de paquetes recopilados en esta distro nos ayudarn en las tareas
cotidianas, sin tener que instalar apps adicionales. Entre los paquetes encontramos desde sistemas
de deteccin de intrusos, escneres, monitores de eventos de red, sniffers, herramientas de
anlisis forense [10]
Security Onion adems viene con una interfaz grfica activada por defecto [11].
La distribucin cuenta tambin con un asistente muy sencillo que nos va a permitir, en cuestin de
minutos, montar toda una red de sensores capaces de detectar prcticamente cualquier amenaza
presente en cualquiera de los hosts de una red [12].
Componentes

Security Onion viene con una gran variedad de paquetes y herramientas por defecto para auditar la
seguridad de todo tipo de redes, entre las que podemos destacar:

1. Snort / Suricata (Sistemas de deteccin de intrusos).

Snort es un sistema de deteccin y prevencin de intrusos de red de fuente abierta (IDS / IPS)
2. Squert / Sguil (Monitores de eventos).
3. Wireshark / NetworkMiner (Analizadores PCAP).
4. Bro / Xplico (Herramientas para anlisis forense).
5. Suricata
Suricata es un sistema de monitoreo de seguridad de red / IDS / IPS de alto rendimiento.
6. Motores IDS
Altamente escalable
Identificacin de protocolo
Identificacin de archivo
Sumas de verificacin MD5
Extraccin de archivos
7. Snorby
Interfaz web de monitoreo de la seguridad de la red.
Mtricas e informes
Clasificaciones
Paquete completo
configuracin personalizada
Teclas de acceso rpido
8. Bro
Anlisis semntico de alto nivel en la aplicacin
polticas de monitoreo especficas del sitio Sguil
Es una consola de anlisis para la supervisin de la seguridad
Es un poderoso para el anlisis de eventos, Coreleation y revisin Squert
Una interfaz web para consultar y visualizar datos de eventos Sguil y es una herramienta
visual
Bro es un poderoso marco de anlisis de red
9. ELSA
ELSA es un marco de registro de sistema centralizado basado en la bsqueda de texto completo de
System log-NG, MySQL y Sphinx. Proporciona una interfaz de consulta completamente asincrnica
basada en web que normaliza los registros y hace que buscar miles de millones de ellos para
cadenas arbitrarias sea tan fcil como buscar en la web. Tambin incluye herramientas para asignar
permisos para ver los registros, as como alertas basadas en correo electrnico, consultas
programadas y grficos [13].

Ventajas de Security Onion

Interfaz de usuario simple y sencillo.

Los usuarios pueden realizar preguntas a Doug Burks creador de Security Onion.
 Multples componentes.
La instalacin no es complicada.
Integracin de nuevas herramientas.

Desventajas de Security Onion.

Se tiene que instalar forzosamente toda la distribucin, no es posible instalar las herramientas de
Securit Onion por s solas.
No es posible elegir que aplicaciones se desea instalar.
Alta demanda de recursos.
Se necesita mucho espacio de almacenamiento ya que Security Onion hace captura de paquetes
completos se puede llenar un disco rpidamente.