Concepto,

instalacin,
configuracin y
herramientas de
Alienvault OSSIM
v4.8

Por: Jorge Osorio y Roger Orozco.

ndice Alienvault
Introduccin
1
Concepto
Objetivo
Divisin Abstracta
Aplicacin Cliente
Requerimientos de instalacin
Hardware
Red
Instalacin
Instalacin paso a paso
Instalacin de sensor
Configuracin de proxy
Configuracin de rango de redes
Configuracin de base de datos
Configuracin de monitores netflow
Activacin de plugins
Instalacin y configuracin de Nagios en sensores
Cuadros de mando
Informacin general
Real Time Copy
Security
Taxonomy
Estado despliegue
Cuadro de mando
Avisos y errores
Mapa de riesgos
Informacin general
OTX
Datos de reputacin
Anlisis
Alarmas
Eventos SIEM
SIEM
Tiempo real
Tickets
Entorno
Activos
Descubrimiento de activos
Grupos y redes
Vulnerabilidades
Perfiles
Netflow
Captura de trfico
Disponibilidad
Monitorizando
Informes
Deteccin

2
2
3
3
4
4
5
11
14
16
17
19
21
22
24
25
25
26
26
27
27
28
28
29
30
30
31
31
32
32
33
33
34
34
35
35

Informes
Informacin general
Configuracin
Administracin
Usuarios
Principal
Copia de seguridad
Despliegue
Componentes
Alienvault Center
Sensores
Servidores
Programador
Ubicaciones
Info. Sobre amenazas
Polticas
Acciones
Puertos
Directivas
Cumplimiento de normativa
Correlacin Cruzada
Origen de datos
Taxonoma
Base de conocimiento
Configuraciones
Mi perfil
Sesiones actuales
Actividad de usuarios
Soporte
Ayuda
Descargas
Actualizacin a 4.8.0
Resumen de mejoramiento de actualizacin
Vulnerabilidades resueltas con la actualizacin

36

37
37
38
38
39
39
40
40
41
41
42
42
43
44
45
45
46
47
48
49
50
51
52
53
54

Introduccin.

OSSIM ofrece todas las caractersticas que un sistema profesional necesita de una oferta
SIEM, recopilacin de eventos, de normalizacin y de correlacin. Establecido y puesto en
marcha por los ingenieros de seguridad por necesidad, OSSIM se crea con una
comprensin de la realidad, muchos profesionales de la seguridad se enfrentan: a SIEM
es intil sin los controles bsicos de seguridad necesaria para la visibilidad de la
seguridad.

OSSIM aborda esta realidad, proporcionando las capacidades esenciales de la seguridad

integradas en una plataforma unificada. De pie sobre los hombros de los muchos
controles de seguridad de cdigo abierto probada e incorporada en la plataforma, OSSIM
sigue siendo la manera ms rpida de hacer los primeros pasos hacia la visibilidad de
seguridad unificada.

Alienvault provee desarrollo continuo para OSSIM porque todos deben tener acceso a las
tecnologas de seguridad ms sofisticados, lo que incluye a los investigadores que
necesitan una plataforma para la experimentacin, y los hroes annimos que no pueden
convencer a sus empresas que la seguridad es un problema.

Concepto.
Alienvault OSSIM es una herramienta de software cuyo principal objetivo es la seguridad
dentro de una red. OSSIM se presenta como una distribucin de Linux que compila varias
herramientas necesarias para el control y manejo de una red computacional. Presenta
varias ventajas, entre ellas la centralizacin, soporte de auditora legal y correlacin entre
herramientas involucradas. Una de las caractersticas ms importantes de OSSIM es
SIEM. SIEM es la parte inteligente de OSSIM, permite el aprendizaje a travs del uso de
la red y de tcnicas de minera de datos.
OSSIM, es un sistema de soporte a la gerencia de seguridad informtica. Se categoriza a
OSSIM dentro de las herramientas SIEM (Security and Event Management). Asegura un
seguimiento centralizado de los procesos en la red de una organizacin. Sus principales
funcionalidades son de IDS e IPS, su pblico objetivo son los administradores de red.
Entre sus caractersticas ms importantes encontramos:

Respuesta/Solucin a conflictos detectados.

Deteccin de amenazas conocidas.

Deteccin de actividad anmala.

Auditora de red.

Anlisis de red log

Anlisis de la seguridad orientado por los riesgos.

Reportes ejecutivos.

Arquitectura escalable y de alto desempeo.

Objetivo.
Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de
deteccin y visibilidad en la monitorizacin de eventos de seguridad de la organizacin.
Adems de obtener las mejores herramientas de cdigo abierto.
En OSSIM destacan dos funciones:

Correlacin.

Valoracin de riesgos.

La correlacin proporciona la visibilidad de todos los eventos de los sistemas en un punto

y con un mismo formato y a travs de esta situacin privilegiada relacionar y procesar la
informacin permitiendo aumentar la capacidad de deteccin, priorizar los eventos segn
el contexto en que se producen, y monitorizar el estado de la seguridad de la red.
La valoracin e riesgos es forma de decidir en cada caso la necesidad de ejecutar una
accin a travs de la valoracin de la amenaza que representa un evento frente a un
activo, teniendo en cuenta la fiabilidad y probabilidad de ocurrencia de este evento.

Divisin Abstracta.
Desde una perspectiva abstracta, podemos dividir a OSSIM en dos secciones. A
continuacin se presenta la descripcin de ambas partes.

Software Servidor.
Es una distribucin del sistema operativo Linux que necesita estar conectado a la red que
se va a monitorear. Adems necesita una IP fija para poder acceder a su informacin.
Como parte de la distribucin estndar de OSSIM, se instala una serie de programas para
configurar, monitorear y responder ante ataques sobre la red. A continuacin se menciona
las herramientas incluidas en esta seccin.

Arpwatch. Es una herramienta que se dedica al monitoreo del protocolo de

resolucin de direcciones (ARP) de la capa fsica en TCP/IP.

P0f. Es una herramienta para realizar TCP/IP fingerprint, proceso que permite
obtener daos de la capa de transporte, entre ellos el sistema operativo, medio de
conexin, uptime.

Nessus. Herramienta para deteccin de debilidades.

Snort. Sistema de deteccin de intrusos.

Spade. Preprocesador para el snort, que permite enviar alertas cuando un paquete
con contenido anmalo llega a la red. Utiliza tcnicas de deteccin estadsticas
mediante el aprendizaje a la red.

Tcptrack. Almacena y permite analizar informacin de sesiones.

Ntop. Hace referencia a la funcin top de los sistemas.

Nagios. Herramienta para el monitoreo de disponibilidad de servicios.

Osiris. Herramienta necesaria para monitorear intrusos dentro de la misma

computadora, no dentro de la red.

Aplicacin de Cliente.
Es un sistema basado en web que permite conectarse al servidor OSSIM para acceder a
la informacin en tiempo real de la red. Desde la interfaz tambin se pueden hacer
cambios a la configuracin de algunas de las herramientas de OSSIM, generar reportes,
manejar usuarios y tickets, y configurar las respuestas. Los tickets son solicitudes de
revisin/reparacin/aseguramiento de la calidad, generados por algunos de los usuarios
de OSSIM o por los mismos programas de monitoreo instalados.

Requerimientos de instalacin.

Hardware.

Se recomienda que si se cuenta con un procesador de 64 bits, se instale la versin de 64

bits, pues en esta versin dar un mejor rendimiento de los recursos y por lo general en
las distribuciones de 64 bits no ocasionan problemas.
El requerimiento de hardware depender de la cantidad de hosts a monitorear, y las
herramientas de monitoreo que se activen. Alienvault se recomienda que se tenga una
mquina de 8 ncleos, memoria RAM de 16 GB, Disco duro de por lo menos 250 GB.

Red.

Para poder llevar a cabo un buen despliegue de Alienvault es importante conocer bien la
electrnica de red de la que disponemos para poder configurar un port mirroring en los
dispositivos de red que lo soporten. Hay que tener un especial cuidado a la hora de
configurar el port mirroring para evitar principalmente dos cosas:

Trfico duplicado: Se da en el caso en que estoy viendo el mismo trfico en dos

port mirroring configurados en diferentes dispositivos de la misma red.

Trfico que no se puede analizar: En ocasiones puede no tener sentido configurar

un port mirroring en un punto de la red en el que todo el trfico es canalizado
utilizando una VPN o dems protocolos que envan los datos cifrados.

Adems del port mirroring, es necesario preparar con anterioridad las diferentes
direcciones IP que vamos asignar a los componentes de Alienvault, teniendo en cuenta
que muchos de estos componentes debern tener acceso a la red que estn
monitorizando.

Como ejemplo, si decidimos hacer uso de Openvas para realizar escaneos de

vulnerabilidades a nuestra red deberemos asegurarnos de que la mquina en que se est
ejecutando Openvas tiene permisos en el Firewall para acceder a los equipos que se
dispone a analizar.
Para poder normalizar los diferentes eventos, el Sensor de Alienvault tambin deber
tener acceso al DNS de la organizacin, pudiendo de este modo obtener las direcciones
IP a partir de los nombres de las mquinas.

Instalacin.

OSSIM es producto que integra ms de 30 herramientas open source, tanto el sistema

operativo como muchas de las herramientas integradas, han sido modificadas para
mejorar su funcionamiento dentro del sistema, y es por ello que la instalacin de OSSIM a
partir de cdigo fuente requiere de conocimientos y de la compilacin de ms de 40
herramientas.

Para simplificar el complejo proceso de compilacin, instalacin y configuracin de estas

herramientas, el equipo de desarrollo distribuye OSSIM dentro de un instalador en el que
se incluye el sistema operativo, los componentes acompaados de un potente sistema de
configuracin y actualizacin. El instalador de OSSIM est basado en el sistema operativo
deban/gnu Linux y est disponible para arquitecturas de 32 y 64 bits. Se recomienda que
si se cuenta con un procesador de 64 bits.

Instalacin paso por paso.

1. En el primer paso, una vez que se introduce el formato .iso de OSSIM en el

sistema este empezar con la instalacin y preguntando qu versin del OSSIM se
quiere instalar, da dos opciones: Install Alienvault USM 4.3 o install Alienvault
Sensor 4.3. En este caso se le da enter a la primera opcin como se muestra en la
siguiente figura.

2. Una vez seleccionado la primera opcin de instalacin, se muestran las opciones

del lenguaje en el cual se va a configurar el OSSIM.

3. A continuacin pide que se seleccione la ubicacin para poder fijar una zona
horaria. Se selecciona la opcin que corresponda.

4. A continuacin se pide la configuracin del teclado que segn corresponda.

5. Una vez seleccionado la configuracin del teclado y haber hecho enter en aceptar,
comienza a cargar los componentes de instalacin.

6. Una vez cargados los componentes de instalacin, el programa pide la

configuracin de la red, en este caso la direccin IP del ordenador. Se procede a
insertar la direccin y hacer clic en continuar.

7. El siguiente paso es configurar la mscara de red y hacer clic en continuar.

8. A continuacin, se configura la direccin de pasarela de la red, es decir el

encaminador, y se da clic en continuar.

9. En la siguiente pantalla se pide la configuracin del sper usuario y la contrasea

de acceso. Se Introduce el nombre de sper usuario y la contrasea y se da clic
en continuar.

10. Una vez configurado el sper usuario y la contrasea de este, se procede a la

particin del disco duro. Lo que sigue es esperar que siga el proceso.

11. Una vez particionado el disco, contina la instalacin del sistema base.
Simplemente se deja que contine el proceso.

12. Cuando se termine de instalar el sistema base, empieza a cargar la terminacin de

la instalacin y solo queda esperar el proceso.

13. Una vez que haya terminado la instalacin, aparece una pantalla en negro que
muestra los complementos que se estn instalando en el sistema, solo debemos
de esperar a que carguen correctamente.

14. Ya cargado todos los archivos necesarios para el OSSIM, se ensea la pantalla
principal de la consola en la cual pide que se introduzca el nombre de usuario y
posteriormente la contrasea.

10

15. Ya introducido el usuario y la contrasea, aparece una pantalla verde el cual

contiene una serie de opciones para configurar el sistema.

Instalacin del sensor de Alienvault.

La instalacin del sensor de Alienvault (es parte de los sensores de OSSIM) es parecida a
la instalacin comn que se hace para instalar el servidor Alienvault, la diferencia entre el
sensor y el servidor es que el sensor no cuenta con un Framework, apunta hacia el
servidor para ser monitorizado.
Para la instalacin de nuestro sensor es necesario seleccionar la opcin Install
Alienvault Sensor 4.3 (64Bit).

11

Los dems puntos de la instalacin son similares al del servidor, se configura el idioma, la
ubicacin, la configuracin del teclado, la direccin IP (que pertenezca a la misma red en
la que se encuentra el servidor), la mscara de la red, el encaminador, usuario,
contrasea y la zona horaria.

La configuracin de la red del sensor es un punto clave para el servidor Alienvault, ya que
la direccin que se le asigne al sensor ser dada de alta en el servidor para que ste
pueda empezar a recibir datos del sensor.

Este paso es el ms importante de la instalacin porque aqu le se va a apuntar hacia el

servidor Alienvault para que el servidor detecte que ya existe un sensor que va a ser
monitoreado por l. Hay que tener en cuenta cul es la direccin del servidor para no
cometer errores y tener una instalacin correcta, en caso de no saber la direccin puede
poner una direccin provisional y despus cambiarla a la correcta.

12

Una vez terminada la instalacin del sensor es necesario ingresar el usuario y contrasea
en la pantalla de bienvenida del sensor despus se desplegara el men, con esto el
sensor se autentificar al servidor de manera automtica y podemos comprobarlo en el
Framework.

Para verificar que el sensor ya se identific en el Framework, se abre la ventana de

Despliegue > Componentes > Sensores.
Al abrir la pestaa de sensores aparecer un mensaje diciendo que un sensor est
reportndose, mostrando la direccin IP del sensor y las opciones que se pueden tomar
ya sea insertar o descartar.

13

Cuando se agregue el sensor solo es necesario recargar la pgina y verificar que los
cambios ya se aplicaron correctamente.

14

Configuracin del proxy.

La configuracin del proxy es necesaria en algunos casos, por si el lugar en donde se
instal el sensor cuenta con un proxy en especfico para la salida hacia internet y se
desee tener el sensor actualizado o por si deseamos instalar algn paquete adicional que
sea de utilidad.
La configuracin se puede realizar desde el men grfico o de manera textual en el modo
consola, la configuracin del proxy es de manera individual tanto para el servidor como en
los sensores esta configuracin se hace con el mismo modo para ambos.
Para la configuracin del proxy en modo grfico se selecciona la opcin SystemSettings
el cual desplegar otro men de opciones.

Dentro del men System Settings se selecciona la opcin Network Configuration.

15

Despus es necesario entrar a Proxy Configuration y dentro de la opcin se selecciona

modo manual y se configura el proxy.

Una vez que se le asign el modo manual se le pondrn los datos que pida como: Enter
proxy user name, enter proxy password, proxy port, proxy DNS.
Cuando se concluya con la actualizacin de los datos es necesario regresar a la ventana
principal y darle a Apply changes para guardar los cambios y actualizarlos.

Otra forma de cambiar el proxy es en modo consola entrando del men grfico hacia
jailbreak this Appliance, una vez dentro de consola se editar el archivo
/etc/ossim/ossim.conf, identificando la lnea de [update], aqu se encontrarn los
parmetros del proxy, solo es necesario editarlo a los parmetros deseados. Una vez
editados es necesario guardar y salir. Regresando a la consola del jailbreak se debe de
escribir ossim-reconfig y darle enter para que los cambios se guarden y actualicen.

16

Configuracin de los rangos de redes que va a monitorear el sensor.

Los rangos del monitoreo es esencial para tener una buena administracin de los activos
del lugar de donde se instalar el servidor y los sensores del Alienvault.
Para la configuracin en modo grfico entramos al men de Alienvault y se selecciona la
opcin configure Sensor.

Una vez dentro de del men de configuracin se selecciona la opcin monitored

networks y dentro de esta configuracin pedir que se asignen los rangos los cuales
sern monitorizados, los rangos que se asignen son independientes unos de otros y
deben de ir correspondiente al lugar donde se instalar el servidor o los sensores para
tener un uso ms cmodo y controlado.

17

La configuracin del rango de monitoreo puede ser tambin en modo consola si es me

mayor comodidad, para la configuracin del rango es necesario entrar a el modo consola
seleccionando la opcin jailbreak this appliance, una vez dentro editamos el archivo
etc/ossim/ossim_setup.conf e identificamos la lnea sensor y despus networks,
borramos los rangos que tiene y escribimos los rangos que se desea, si se desea poner
ms de un rango nicamente se separa por una coma.

Configuracin de la base de datos.

La configuracin de la base de datos es necesaria para tener bien estructurado el
Alienvault, con esto se tendr los datos almacenados en una sola base de datos para
facilitar la generacin de reportes o consultas que se deseen hacer.
Para lograr que todos los sensores y el servidor usen una misma base de datos es
necesario redireccionar la IP de la base de datos de cada uno de los sensores hacia el
servidor ya que el servidor es el nico que tiene de manera predeterminada instalado la
base de datos.
El direccionamiento de la IP de los sensores se cambiar en la ruta de
etc/ossim/ossim_setup.conf buscando la linea de [database] una vez ubicada se
observaran tres puntos en los cuales se mencionan ip_db, pass, user. La direccin
ip_db muestra una direccin local, en el pass no est establecida ninguna contrasea y
el user es root, estos datos vienen de manera predeterminada al instalar el sensor.

18

Como se requiere direccionar la base de datos de los sensores hacia el servidor Alienvault
es necesario tomar de l la direccin IP, la contrasea y el usuario de la base de datos,
para ver los datos del servidor entraremos a la ruta etc/ossim/ossim_setup.conf una vez
dentro se observarn los mismos tres puntos que se muestran el sensor. La direccin
ip_db muestra una direccin local, en el pass del servidor ya cuenta con una contrasea
establecida por el servidor y el user que es root, estos datos vienen de manera
predeterminada al instalar el servidor.

Para el direccionamiento no tenga ningn problema hay que copiar la contrasea

correctamente ya que es un punto clave para el sistema, una vez que se tenga la
contrasea de la base de datos del servidor hay que abrir de nuevo el sensor y ubicar de
nuevo la lnea [Database] y escribir en ip_db la direccin IP del servidor y en pass
escribir la contrasea de la base de datos del servidor el user se queda igual.

Despus es necesario guardar y salir, y para terminar se reconfigurar el sistema para

aplicar los cambios con ossim-reconfig. Esto es necesario para cada uno de los
sensores.

19

Configuracin de monitores de netflow.

Cuando se da alta un nuevo sensor Alienvault hay que configurar el Netflow para que se
pueda monitorear todo el trfico que circula por la red de este sensor.
Para dar de alta al sensor hay que agregar parmetros que no estn establecidos en la
configuracin del Alienvault ya que este tipo de configuracin es de manera opcional por
si la empresa desea instalar en varios sensores, para dar de alta al sensor hay que entrar
al men Alienvault-setup y escoger la opcin Jailbreak this Appliance.

Una vez adentro ejecutaremos el comando ossim-db lo cual dar el acceso a la base de
datos de nuestro Alienvault y con esto poder ver cul es el identificador uuid que ser
necesario para darle de alta al sensor en el Netflow.

Para ver el UUID del sensor se ejecuta la instruccin de \u avcenter y seguidamente el

comando select uuid, hostname, admin_ip from current_local; este comando mostrar
una tabla con todos los sensores que estn dados de alta en el Alienvault mostrando el
identificador uuid, hostname y el admin_ip que le corresponde a cada sensor.

Se copiar el identificador uuid que corresponde al nuevo sensor (xxxxxxxx-xxxx-xxxxxxxx-xxxxxxxxxxxx), una vez obtenido este dato regresaremos al modo consola del
Alienvault para agregar el uuid del sensor. Editando la configuracin del netflow en
/etc/nfsen/nfsen.conf.

20

Se buscar la lnea % sources, aqu se observar que ya se cuenta con un sensor dado
de alta que corresponde a Alienvault el cual tiene asignado su propio uuid, port, col, type.

Tambin se encontrar los mismos parmetros pero en este caso no cuenta con uuid pero
los otros parmetros son asignados de manera default cuando detecta que se ha
configurado un nuevo sensor para darle de alta al sensor, ser necesario ponerle el uuid
que le corresponde al sensor que queremos agregar, escribimos nuestro uuid el cual se
obtuvo de la base de datos en la lnea de %sources.

Es necesario guardar los cambios y despus salir a la consola principal.

Ahora para que los cambios se apliquen detendremos el servicio con nfsen stop, se
reconfigurar el servicio con nfsen reconfig y se tendr que levantar el servicio de nuevo
pero ya con todos los cambios aplicados usando nfsen start.
Para ver los resultados hay que acceder al FrameWork y en la parte de las grficas y
resultados de las grficas aparecer el nuevo sensor que se dio de alta.

21

Activacin de los plugins de Alienvault

Los plugins de Alienvault son esenciales para tener un buen control de los puntos que se
desee vigilar o tener un mejor control de este, los plugins son independientes entre
sensores y servidores esto quiere decir que se puede activar plugins independientes en
un sensor y otros diferentes en otro sensor o servido, y as poder cubrir de mejor manera
los puntos dbiles del lugar donde se instale el Alienvault.
Para la activacin de los plugins es necesario entrar al men de Alienvault, una vez
adentro se debe seleccionar la opcin Configure Sensor.

Una vez dentro del sensor Alienvault se seleccionar la opcin Select Data Sources.

Ya estando dentro del men Data Sources se desplegar un men con todos los plugins
que tiene instalado el Alienvault, para seleccionarlo es necesario ponerse sobre el plugin
deseado y presionar espacio del teclado, cuando concluya con la seleccin de plugins se
selecciona Aceptar.

Al seleccionar aceptar es necesario regresar al men principal y seleccionar Appli

22

changes.

Instalacin y configuracin de Nagios en los sensores.

El Nagios puede ser instalado en cada uno de los sensores ya que ninguno cuenta con
este servicio, Nagios permite llevar un completo control de la disponibilidad de los
servicios, procesos y recursos de un equipo, que suelen ser tiles si se desea obtener
informacin de este tipo.
Para la instalacin de Nagios en los sensores es necesario estar en modo consola y
escribir aptitude Install nagios3 y la instalacin comenzar.

Para la configurar el Nagios de manera correcta hay que abrir

direccin /etc/nagios3/conf.d/services_nagios2.cfg y agregar las siguientes lineas.
Define service {
Hostgroup_name
Service_description
check_command
use
notification_interval
define service {
hostgroup_name
service_description
check_command
use
notification_interval
}
define service {
hostgroup_name
service_description
check_command
use
notification_interval
}
define service {
hostgroup_name
service_description
check_command
use
notification_interval
}
define service {
hostgroup_name
service_description
check_command
use
notification_interval
}

la

http-servers
HTTP
check_http
generic-service
0 ; set > 0 if you want to be renotified
ssh-servers
SSH
check_ssh
generic-service
0 ; set > 0 if you want to be renotified
ping-servers
PING
check_ping
generic-service
0 ; set > 0 if you want to be renotified
smtp-servers
SMTP
check_smtp
generic-service
0 ; set > 0 if you want to be renotified
dns-servers
DNS
check_dns
generic-service
0 ; set > 0 if you want to be renotified

23

Una vez ingresado estas lneas es necesario guardar y salir para despus restablecer los
valores del Nagios con la instruccin /etc/init.d/nagios3 restart.

Ahora el Nagios est configurado para deteccin de servicios del Alienvault.

Con esta configuracin ya se puede empezar a usar los servicios que ofrece el servidor
Alienvault desde el Framework

24

Herramientas de la interfaz web Alienvault OSSIM.

Cuadros de mando>Informacin general.

Esta es la seccin principal al abrir la interfaz del Alienvault OSSIM, el cual muestra la
informacin general sobre los eventos SIEM, las alarmas y el tipo de nivel de riesgo en la
red, todo esto en forma de grficas. Dentro de esta opcin se puede seleccionar el tipo de
vista que se desea, se da la opcin de visin executive, tickets, security, taxonomy,
network, vulnerabilities y real time.

Cabe mencionar que en este apartado tambin se tiene la opcin de ordenar a gusto la
visin de las grficas. En este apartado, son solo con fines informativos y no se puede
modificar el contenido de alguna grfica, son solo para fines informativos.

25

Cuadros de mando>Informacin general>Real Time Copy.

En esta pestaa muestra informacin acerca de eventos que suceden en la red en tiempo
real, en el cual dice la fecha en que ocurre un evento, el nombre de un evento, el rango de
riesgo, la IP de origen y el IP de destino. Estos eventos se actualizan cada 5 segundos y
muestran informacin importante.

Cuadros de mando>Informacin general>Security.

En esta pestaa muestra unas grficas informativas acerca de eventos de seguridad,
como son los top 10 de los hosts promiscuo, nos muestra un top 5 de las alarmas, un top
5 de eventos de seguridad, un top 10 de hosts con mltiples eventos de seguridad entre
otros.

26

Cuadros de mando>Informacin general>Taxonomy

En esta pestaa, muestra informacin acerca de los tipos de riesgo, virus y amenazas que
pueden existir en el sistema. Muestran grficas de top 10 de hosts con virus detectados,
muestran tambin grficas de sucesos de autenticacin contra los login fallidos, grficas
sobre eventos de malware, grficas de eventos SIEM, entre otros. Todas con fines
informativos.

Cuadros de mando>Estado despliegue>Cuadro de mando.

En este apartado se encuentra un cuadro de mando con la localizacin de los sensores, la
visibilidad de los activos y la visibilidad de la red, todas estas a su vez mostrando
porcentaje de los acontecimientos antes mencionados.

Cuadros de mando>Estado despliegue>Avisos y errores.

27

En esta seccin se muestran los avisos y errores que podra haber dentro de la red en los
que se encuentran los sensores. Por el momento no existen estos avisos o errores en el
sistema.

Cuadros de mando>Mapa de riesgos>Informacin general.

En esta seccin, muestra un mapa del mundo en el cual cada regin tiene un valor
informativo que dice el tipo de riesgo que est en cada regin del planeta. Al hacer clic en
una de las regiones del mapa, aparecen detalladamente los estados de dicha regin y en
el cual dice el nivel de riesgo que tiene cada estado.

Cuadros de mando>OTX>Datos de reputacin.

28

En este aparatado se muestra un mapa del mundo el cual dice las IP maliciosas que se
encuentran alrededor del planeta y los principales pases con mayor riesgo de IP. De igual
manera se pueden encontrar eventos SIEM en diferentes partes del mapa.

Anlisis>Alarmas.
En esta seccin, se encuentran en forma de grficas las alarmas generadas por el
sistema el cual nos dice si existe algn sistema comprometido, si existe algn ataque en
la red, si existe algn descubrimiento de alguna debilidad en el sistema entre otros.
Tambin muestra en tiempo real las alarmas que se clasifican por estado, propsito y
estrategia, el tipo de riesgo, el origen y el destino de la alarma.

Anlisis>Eventos SIEM>SIEM

29

En esta pestaa se muestran los eventos SIEM (Security Information and Event
Management) el cual muestran eventos en la red ya sea por ltimo da, la ltima semana,
el ltimo mes o por un rango de fechas que especifiquemos. Se puede buscar eventos por
SIEM, payload, IP origen o destino, IP origen, IP destino, equipo origen o destino, equipo
origen, equipo destino. Se puede hacer adems de las anteriores mencionadas otros
filtros las cuales son por origen de datos, taxonoma tipos de productos, por actividad de
reputacin IP, por riesgo, taxonoma categora del evento y por severidad reputacin IP.

En la parte inferior de esta misma pestaa, se puede observar los tipos de eventos que se
manifiestan en la red, las cuales se describen por evento, la fecha en que ocurri el
evento, el sensor que detect el evento, origen del evento, el destino del evento, el activo
y el riesgo del evento.

Anlisis>Eventos SIEM>Tiempo-real.

30

En esta seccin, se encuentran los eventos encontrados en el sistema pero con la

caracterstica de ser eventos en tiempo real, los cuales se muestran en una tabla con la
fecha en que se gener el evento, el nombre del evento, el nivel de riesgo, el generador,
el sensor que detect el evento, la IP de origen as como la IP del destino. Al ser eventos
de tiempo real, esta tabla se actualiza cada segundos, sin embargo es posible detener el
tiempo para poder ver a detalle los acontecimientos de los eventos.

Anlisis>Tickets.
En este apartado, se encuentran los tickets generados por el sistema los cuales se
encuentran en una tabla con el cdigo del ticket, el ttulo, la prioridad, la fecha en que fue
creado, el tiempo de vida, el encargado del ticket, el tipo y el estado.

Entorno>Activos.

31

En esta pestaa se localizan todos los activos escaneados por los sensores que se
encuentran de las diferentes redes. Los activos son los equipos que se encuentran en
ciertas secciones de la red en donde se localizan los sensores y se colocan en una tabla
con el nombre del equipo, la IP del equipo, el alias del equipo, las alarmas, los eventos,
las vulnerabilidades y detalles de cada equipo. Estos activos se pueden clasificar o
encontrar por medio de filtros, los cuales se pueden clasificar por activos que tengan
alarmas, activos que tengan eventos, activos que cuenten con vulnerabilidades; o tambin
se pueden clasificar los activos por el momento que fueron descubiertos, los cuales se
clasifican por activos aadidos el ltimo da, la ltima semana, el ltimo mes o por un
rango de fechas especficas o se pueden buscar especficamente asignado la IP del activo
a buscar en el recuadro de search y dar enter.

Entorno>Activos>Descubrimiento de activos.
En esta seccin se encuentra la seccin de descubrimiento de activos, la cual se
descubren a travs de un escaneo donde se asigna el rango de IPs que se desea a
escanear, los sensores que se harn cargo del escaneo, el tipo de escaneo que se desea
y tiempo que se desea utilizar para el escaneo. Al insertar estos datos le damos clic en el
botn de iniciar y automticamente empezar el escaneo. El tiempo del escaneo tambin
depender del rango de red que se asign. Una vez finalizado el escaneo se sugiere
agrupar los activos descubiertos y darlos de alta en los activos.

Entorno>Grupos y redes.

32

Esta seccin se encuentra divida en tres parte. Grupos, redes y grupos de redes. En la
seccin de grupos, se encuentran almacenados los grupos de hosts que se han
escaneado y que se han agrupado para tener un mejor control y tener un inventario de los
equipos que se encuentran en cierta seccin de la red, se agrupan los hosts y se le
asigna un nombre al grupo, se pueden modificar los hosts y eliminarlos si se requiere.
En la seccin de redes, se encuentran todas las redes escaneadas por el servicio de
Alienvault y el cual, adems de su descubrimiento por el escaneo, se pueden crear las
redes y determinar sus caractersticas.
En la seccin de grupos de redes, su caso es similar al de grupos, pues en esta seccin
se encuentran las redes que han sido agrupadas para un mayor control y administracin.
De igual forma que el grupo de hosts, estos se pueden modificar, crear y eliminar, segn
sean las necesidades del administrador de la red.

Entorno>Vulnerabilidades.
En esta seccin se muestra informacin general acerca del sistema como por ejemplo un
top 10 de hosts por gravedad, top 10 de redes, servicios top 10, trabajos de escaneos,
base de datos de amenazas, entre otros.

Entorno>Perfiles.

33

En esta seccin se puede definir en varias secciones, las cuales comprenden los
servicios, global, rendimiento y matriz. En el apartado de servicios nos muestra una
grfica con el trfico global del sensor seleccionado. En la imagen que se muestra a
continuacin, se muestra una grfica en la cual se da a conocer el servicio de netflow en
el sensor principal (servidor) en el cual se muestra el trfico que pasa a travs de l.

Entorno>Netflow.
En la pestaa de Netflow, se encuentran unas grficas que ensean el trafico TCP, el
trfico UDP, el ICMP, entre otros protocolos de Internet que pasan por los diferentes
sensores de la red.

Entorno>Captura de Trfico.

34

Como el nombre lo indica, en esta seccin se realiza la captura de trfico de la red, en la

cual se selecciona el sensor a utilizar para la captura, el tiempo estimado de la captura, el
tamao de paquetes de la captura, el origen y el destino de la captura de trfico. Al a
completar estas partes, se selecciona lanzar captura y nos generar un archivo PDF con
todos los datos acerca de la captura de trfico que se realiz en la red.

Entorno>Disponibilidad>Monitorizando
En esta pestaa, muestra segn el sensor seleccionado los activos disponibles al
momento el cual se pueden utilizar filtros como detalles del equipo, detalles de servicio,
descripcin de estado, malla de estado, mapa de estado, problemas de servicio,
problemas de equipo, interrupciones en la red, entre otros.

Entorno>Disponibilidad>Informes.

35

Esta seccin es similar a la de disponibilidad>monitorizando, solo que en esta seccin se

generan informes sobre tendencias, disponibilidad, histograma de eventos, historial de
eventos, resumen de eventos, notificaciones e informacin de funcionamiento.

Entorno>Deteccin.
En esta seccin se encuentra con la deteccin de tipo HIDS (deteccin de intrusos en el
host) la cual muestra informacin general, agentes, agentless, la edicin de reglas, la
configuracin y el control de ossec. En la parte inferior se encuentra informacin acerca
del agente, tendencia de eventos OSSEC y origen de datos OSSEC.

Informes>Informacin general.

36

Esta seccin se genera reportes de todo tipo de acciones. En la parte inferior se menciona
el reporte de alarmas, detalles de activos, informe de disponibilidad, reporte bussiness &
compliance ISO PCI, informe geogrfico, informe de mtricas, eventos SIEM, amenazas
y base de datos de vulnerabilidades, estado de tickets, informe de tickets, informe de
actividad de usuarios e informe de vulnerabilidades; todos estos informes se pueden
generar ya sea por un documento PDF, o enviar un correo electrnico con los datos del
informe.

Configuracin>Administracin>Usuarios

37

En esta seccin del Alienvault OSSIM, se encuentra la parte administrativa del programa,
pues aqu se contempla la administracin de usuarios, es decir, la creacin de usuarios
normales, usuarios administrativos, modificar usuarios y tambin eliminar usuarios,
aunque esta ltima opcin solo es posible si es el administrador del sistema. Tambin se
puede ver la actividad de cada uno de los usuarios registrados en el sistema.

Configuracin>Administracin>Principal.
En esta seccin se pueden realizar copias de seguridad del sistema, modificacin de
tickets, mtodos/opciones de login, mtricas, intercambio de amenazas, modificar el
framework de OSSIM, modificar polticas de contraseas, las actividades de los usuarios y
modificar el escner de vulnerabilidades.

Configuracin>Administracin>Copia de seguridad.

38

En esta seccin se pueden generar o restaurar alguna copia de seguridad en el sistema

OSSIM, utilizando el gestor de copias de seguridad y dar de alta en las fechas en la base
de datos. De igual forma se pueden documentar los ltimos eventos de backup.

Configuracin>Despliegue>Componentes>Alienvault Center
En esta seccin se encuentra toda la informacin de los componentes, tanto como
sensores y servidores. Nos muestran los datos de estos como son el nombre, la IP, el
estado, el uso de la RAM, uso del SWAP, uso de la CPU, nuevas actualizaciones.

Configuraciones>Despliege >Componentes>Sensores.

39

Como su nombre lo indica, aqu se encuentran todos los sensores que estn dados de
alta en el sistema, de igual manera se encuentran datos como nombre, IP, puerto,
prioridad, estado y descripcin.

Configuraciones>Despliege >Componentes>Servidores.
Al igual que en la seccin anterior, aqu se contemplan los nombres, direcciones IP,
puertos, estados y descripcin de los servidores utilizados en el Alienvault.

Configuracin>Despliege>Programador

40

En esta seccin se encuentra la funcin de programar el Nmap, el OSC y WMI. En este

caso se pueden crear, modificar y eliminar los escaneos.

Configuracin>Despliegue>Ubicaciones.
En este aparatado se contemplan las ubicaciones en donde se encuentra instalado el
OSSIM. Se puede asignar el nombre de la ubicacin, una descripcin, la localizacin, la
latitud y la longitud. De igual manera se pueden crear, modificar o eliminar las ubicaciones
en cualquier momento que sea necesario.

Configuracin>Info. Sobre amenazas>Poltica.

41

En esta seccin se le pueden asignar las polticas que uno necesite a los diferentes
grupos que se encuentran dentro de los que es el sistema de Alienvault. Se pueden
asignar condiciones tanto al origen de una mquina como a su destino al igual que a los
puertos de origen, puertos de destino y tipos de eventos. Tambin se pueden asignar
consecuencias a acciones, eventos SIEM, logger y reenvo de eventos. Y de similar forma
se pueden asignar condiciones a cada poltica que se desee implementar.

Configuracin>Info. Sobre amenazas>Acciones.

En esta seccin se encuentran las acciones que se han implementado en el sistema como
parte de las polticas aplicadas. Por el momento, al estar en fase de pruebas, no se ha
aplicado acciones sobre la violacin de las polticas implementadas. Aqu se pueden crear
nuevas acciones, modificar acciones y eliminar acciones.

Configuracin>Info. Sobre amenazas>Puertos.

42

En esta seccin se encuentran descritos los puertos, los protocolos de cada puerto, el tipo
de servicio que se utiliza y la descripcin del puerto. Se pueden tener una vista individual
por puerto o se pueden visualizar por grupos de puertos. De igual manera se pueden
crear nuevos puertos, modificar puertos y eliminar puertos.

Configuracin>Info. Sobre amenazas>Directivas.

En esta seccin es donde se encuentran las directivas de correlacin. Las correlaciones
tienen el propsito de buscar evidencias que comprueben si un evento de seguridad es
cierto o si se trata de un falso positivo. En las directivas de correlacin, se implementan
las medidas necesarias para cumplir estos parmetros. En esta seccin se pueden
encontrar varios tipos de directivas preestablecidas por el sistema, tambin se pueden
crear nuevas directivas, se pueden comprobar directivas, reiniciar servicios y buscar el
nombre de alguna directiva.

Configuracin>Info. Sobre amenazas>Cumplimiento de normativa.

43

En esta seccin se pueden implementar las normativas internacionales de seguridad,

como es la norma ISO 27001 o la PCI DSS 2.0. En esta parte se desglosan cada una de
las partes de la ISO y se puede decidir que implementar y que no.

Configuracin>Info. Sobre amenazas>Correlacin cruzada.

La correlacin cruzada permite priorizar o depreciar eventos a los que sabemos que
somos vulnerables mediante el cruce de informacin proveniente de detectores y
analizadores de vulnerabilidades. La correlacin cruzada depende de la base de datos de
vulnerabilidades especficas y tablas de correlacin cruzada para cada detector.

En esta seccin se pueden ver los tipos de correlaciones que existen. Se aprecian en una
tabla donde se describe el nombre de origen de datos, el tipo de evento, el nombre de
referencia, el nombre referencia SID. Al igual que en secciones anteriores, se pueden
crear nuevas correlaciones, modificar correlaciones y eliminar correlaciones.

44

Configuraciones>Info. Sobre amenazas>Origen de datos.

A travs de una tabla se puede contemplar el origen de datos en cual se describen la ID
origen de datos, el nombre, el tipo, el tipo de producto y la descripcin. Tambin se
pueden editar los datos, se pueden administrar referencias de eventos y restaurar plugins.

Configuracin>Info. Sobre amenazas>Taxonoma.

45

En este apartado se contemplan todas las categoras que se tiene acerca de los orgenes
de datos que se encuentran en la taxonoma del sistema. Dentro de cada categora se
puede editar los orgenes de datos, administrar referencia de eventos, restaurar plugins y
crear nuevos orgenes de datos.

Configuracin>Info. Sobre amenazas>Base de conocimiento.

En esta seccin se encuentra una base de datos con todos los acontecimientos que han
sucedido en el sistema. En el cual estn clasificadas con un ID, un ttulo, fecha,
propietario, ficheros adjuntos, enlaces y una serie de acciones como editar, borrar y
cambio de propietario.

Al hacer clic en cualquier evento de la base de conocimiento nos abrir una ventana con
ms detalles sobre el asunto, donde tambin se puede editar el evento.

46

Configuraciones>Mi perfil.

En esta parte se encuentra en la parte superior derecha del OSSIM, donde se pueden ver
las configuraciones del perfil de su propio usuario, donde notamos el login del usuario, el
nombre de usuario, correo del usuario, el lenguaje del usuario, la zona horaria, entre
otros. Se pueden editar estos campos y al final solo hay que asignar la contrasea actual
y dar en el botn de guardar.

47

Configuraciones>Sesiones actuales.

En esta seccin se pueden apreciar las sesiones de los usuarios que en este preciso
momento estn activos. Nos muestra en una tabla el nombre del usuario, su direccin IP,
el nombre del equipo, el agente, la ID de sesin, la fecha de inicio de sesin, ltima
actividad y las acciones de este. Si se es un usuario administrador, se pueden sacar a los
dems usuarios.

48

Configuraciones>Actividad de usuarios.

49

En esta pestaa se pueden observar toda la actividad de los usuarios con el sistema. Se
muestran desde la actividad ms reciente hasta el inicio del da, sin embargo, se pueden
establecer fechas determinadas dando clic en el botn de calendario y eligiendo la fecha
que quiera.

Soporte>Ayuda

50

Esta seccin se encuentra en la parte superior derecha de la interfaz del Alienvault el cual
se muestra las opciones de ayuda y descargas, la cual, en la seccin de ayuda, nos
muestra una serie de enlaces que nos direccionan a las diferentes documentaciones de
las diferentes versiones del Alienvault, existe documentacin de la versin 4.0 a la 4.7.0;
solo basta hacer clic en alguno de ellos y nos enviar a la pgina de internet oficial de
Alienvault donde encontraremos soporte.

Soporte>Descargas

51

En esta seccin encontramos una serie de programas que nos ayudaran a completar
acciones que requiera el Alienvault. Encontramos herramientas tanto para Windows como
para Linux, programas como Putty, el cual es un programa que funciona con el ssh para la
conexin remota al servidor del Alienvault por medio de un host de Windows, programas
como OSC para Windows y Linux el cual es una aplicacin diseada para administracin
de red y sistemas para la configuracin e instalacin de software en la red; entre otros.

Actualizacin del sistema a 4.8.0

A partir del lunes 09 de junio de 2014, Alienvault 4.8.0 est disponible en general para

52

todos los clientes nuevos y existentes. Alienvault anima o recomienda a los usuarios
aplicar primero la actualizacin a un sistema de prueba para comprender y aprender la
nueva funcionalidad antes de actualizar los sistemas de produccin.
Informacin importante de actualizacin.
La nueva versin del Alienvault incluye actualizaciones para el servidor web Apache, por
lo cual, a partir de la actualizacin de la interfaz web de usuario, har que esta interfaz
deje de estar disponible hasta que se complete la actualizacin (10-15 minutos aprox.).
Cuando la actualizacin est completa, la conexin a la interfaz web se restaurar.
Notas de la versin.
RN1. Adiccin de sistemas remotos ahora requiere autenticacin.
Todos los sistemas Alienvault ahora requieren autenticacin para que puedan
comunicarse. Los usuarios se autentican a un sistema remoto utilizando la contrasea de
root del dispositivo para distribuir las claves y los certificados pblicos SSH para sistemas
Alienvault conectados.
RN2. La configuracin de reenvo de alarmas/ eventos se han cambiado.
Antes de la versin 4.8 los usuarios tendran que aadir un nuevo servidor para el reenvo
de alarmas/eventos agregando el servidor principal en el servidor nio. En la versin 4.8
esto ha sido cambiado. Los usuarios necesitan agregar el servidor nio en el servidor
principal. La configuracin del reenvo de eventos todava se realiza en el servidor
secundario.
RN3. Autenticacin requerida para sistemas remotos existentes.
El trabajo realizado para resolver las vulnerabilidades corregidos en esta versin cambia
la forma en sensores y servidores, tienen que autentificarse entre s. Despus de
actualizar a v4.8 de la recopilacin de datos y otras acciones de sensores continuarn
trabajando como se ha configurado. Para gestionar los dispositivos ya configurados en la
implementacin tendr que volver a establecer la conectividad entre los sistemas
mediante la autenticacin con la contrasea de root. Esto llevar a cabo la llave SSH
necesario intercambio/certificado y permitir gestionar los dispositivos. Para apoyar a los
usuarios con este proceso de re-autenticacin, un nuevo monitor de estado de la
implementacin fue implementado en esta versin. El monitor informar sobre hosts
autenticados en el despliegue y ofrecer una sugerencia para proporcionar la contrasea
de root para el intercambio de claves y certificados.
RN4. Actualizacin de inteligencia ahora incluye a OpenVas.
Antes de la versin 4.8, OpenVas se tena que actualizar por separador de Threat
Intelligence Alienvault. Los usuarios podran actualizar el feed OpenVas desde la seccin
de vulnerabilidades de la interfaz web. A partir de la versin 4.8 del feed OpenVas ya est
actualizado como parte de la actualizacin de inteligencia de amenaza Alienvault. Los
usuarios pueden observar un impacto en el tiempo requerido para finalizar el proceso de
actualizacin para la alimentacin Threat Intelligence Alienvault.
Resumen de mejoramiento de actualizacin v4.8

53

Nueva imagen VMware virtual disponible para el sensor estndar con interfaces de
red 6X1GB. Los clientes que hayan adquirido este dispositivo virtual puede
contactar support@alienvault.com una copia del archivo de imagen.

En versiones anteriores, la seccin vulnerabilidad OpenVas se actualiz por

separado de la alimentacin de inteligencia de amenazas. En v4.8.0, la
actualizacin del boletn de inteligencia de amenazas ahora actualizar los
OpenVas alimenta tambin. Tenga en cuenta que la actualizacin puede tardar
ms de lo que hizo anteriormente.

Aadida la capacidad para eliminar un sistema en Alienvault Center.

Se ha aadido una descripcin con las instrucciones para ayudar a los usuarios a
entender cmo los parmetros lgicos trabajan en el tablero de instrumentos de
bsqueda SIEM.

El agente de Alienvault ahora dirigen un proceso nico para cada ubicacin de

archivo para apoyar el plugin relacionado definicin localizacin y descubrimiento.

Se ha actualizado la funcin de registro subyacente de usar syslog para registrar

los mensajes procedentes de los procesos de python en el agente Alienvault.

El paso de implementacin HIDS del asistente de introduccin ahora permite a los

usuarios desplegar los mltiples servidores de agente HIDS antes de pasar a la
etapa de gestin de registros.

Se ha actualizado el texto en las pantallas Deploy HIDS y administracin de

registros para hacer las instrucciones ms claras.

El paso de activos en descubrimientos de activos, el asistente de introduccin

muestra ahora el nmero de activos como una columna en lugar de subtexto gris
para hacer el recuento de los activos ms fciles de leer.

El asistente de introduccin se ha actualizado para permitir que los usuarios se

mueven hacia adelante haciendo clic en la barra de navegacin izquierda despus
de que ya se ha completado un paso.

El paso a unir OTX, fue actualizado para incluir una muestra de los datos enviados
por Alienvault a OTX para ayudar a los usuarios a entender los datos y el
anonimato.

Se ha actualizado la descripcin de ingreso OTX en el asistente de introduccin

para ayudar a los usuarios a entender lo que OTX es y cmo se agrega valor al
despliegue Alienvault.

Vulnerabilidades resueltas con la actualizacin.

54

Cuatro vulnerabilidades fueron descubiertas y que se han sido confirmadas y corregidas

en la versin v4.8.0. Debido a la gravedad de estas vulnerabilidades, Alienvault sugiere a
clientes a actualizar inmediatamente a la v4.8.0. A continuacin se describen las cuatro
vulnerabilidades descubiertas y solucionadas gracias a la actualizacin a la versin
v4.8.0.
1. Cdigo de vulnerabilidad: AV-11385.
Descripcin: Una vulnerabilidad de ejecucin remota de cdigo ZDI-CAN-2293 fue
descubierta y divulgada de forma privada. Esta vulnerabilidad permite a un usuario
no autenticado ejecutar comandos de Shell remotos y acceder a los archivos.
Productos afectados: Alienvault v.4.7.0 e inferiores.
Factores atenuantes: Exploit requiere acceso a la red local para la instalacin de
Alienvault. Exploit no requiere autenticacin.
2. Cdigo de vulnerabilidad: AV-11386.
Descripcin: Una vulnerabilidad de ejecucin remota de cdigo ZDI-CAN-2284 fue
descubierta y divulgada de forma privada. Esta vulnerabilidad permite a un usuario
para inyectar una clave pblica ssh que se puede utilizar para iniciar sesin en el
equipo.
Productos afectados: Alienvault v4.7.0 e inferiores.
Factores atenuantes: Exploit requiere acceso a la red local para la instalacin de
Alienvault. Exploit no requiere autenticacin.
3. Cdigo de vulnerabilidad: AV-11389.
Descripcin: Una vulnerabilidad de divulgacin de informacin fue descubierta y
divulgada de forma privada. Esta vulnerabilidad podra permitir a un atacante
acceder a informacin confidencial de la memoria mediante el envo de peticiones
especialmente diseados al servidor.
Productos afectados: Alienvault v.4.7.0 e inferiores.
Factores atenuantes: Exploit requiere acceso a la red local para la instalacin de
Alienvault. Exploit no requiere autenticacin.

4. Actualizacin de seguridad en Debian: AV-11736.

Descripcin: Varios paquetes de Debian se han puesto a disposicin por Debian

55

para resolver vulnerabilidades explcitas. Estos paquetes se han actualizado en

v4.8.0.
Los paquetes incluyen:

libmysqlclient16 (5.1.67-rel14.3-506.squeeze => 5.1.73-1)

linux-image-2.6.32-5-amd64 (2.6.32-48squeeze1 => 2.6.32-48squeeze6)

curl (7.21.0-2.1+squeeze7 => 7.21.0-2.1+squeeze8)

dpkg (1.15.8.13 => 1.15.10)

file (5.04-5+squeeze4 => 5.04-5+squeeze5)

libcurl3 (7.21.0-2.1+squeeze7 => 7.21.0-2.1+squeeze8)

libcurl3-gnutls (7.21.0-2.1+squeeze7 => 7.21.0-2.1+squeeze8)

libmagic1 (5.04-5+squeeze4 => 5.04-5+squeeze5)

libxfont1 (1.4.1-4 => 1.4.1-5)

libyaml-0-2 (0.1.3-1+deb6u3 => 0.1.3-1+deb6u4)

libyaml-libyaml-perl (0.33-1+squeeze2 => 0.33-1+squeeze3)

linux-base (2.6.32-48squeeze4 => 2.6.32-48squeeze6)

linux-libc-dev (2.6.32-48squeeze4 => 2.6.32-48squeeze6)

openssh-client (5.5p1-6+squeeze3 => 5.5p1-6+squeeze5)

openssh-server (5.5p1-6+squeeze3 => 5.5p1-6+squeeze5)

Productos afectados: Alienvault v4.7.0 e inferiores.

56