CEUTEC
NDICE
Introduccin..........4
Objetivos
..5
Generales....
Objetivos Especficos....6
Estudio de Vulnerabilidades GFI...7
Herramientas SIEM...10
OSSIM Alien Vault.........10
ArcSight ES.12
GFI Events Manager14
Barcelona 0417
RSA EnVision.21
OSSEC.23
Log Manager...25
DSCC...25
EventLog Analizer...27
Tivoli Security Information and Event Manager.28
Garantas de Misin Crtica..30
GMC Dell....30
GMC HP..31
GMC IBM...34
2
INTRODUCCIN
OBJETIVOS GENERALES
Estar al tanto de las garantas que ofrecen las grandes corporaciones para que las
organizaciones puedan mantener en funcionamiento sus operaciones calificadas
como crticas y permitir que la empresa contine con sus operaciones en el menor
tiempo posible minimizando el tiempo que la empresa mantenga sus operaciones
fuera. Para ello los grandes fabricantes de hardware ofrecen detalladas
caractersticas que ofrecen, como compromiso y para atraer clientes, diversas
especificaciones de sus productos como medidas para asistirlas.
OBJETIVOS ESPECFICOS
Las aplicaciones de terceros son las que ms se ven explotadas por las
vulnerabilidades ya que constituyen ms del 80% de las incidencias reportadas,
mientras que al sistema operativo nicamente se le acredita el 13% y, en un
porcentaje muy pequeo, slo 4%, se ha visto comprometido el hardware.
HERRAMIENTAS DE CIFRADO
OSSIM ALIEN VAULT
Open Source Security Information Manager, OSSIM por sus siglas en ingls, es una
coleccin de herramientas bajo licencia GPL General Public License, diseada
para ayudar a los administradores de red en la seguridad de las computadoras,
deteccin de intrusos y prevencin.
El objetivo del proyecto es que ofrecer una herramienta que ayude a la
administracin de eventos de seguridad mediante un motor de correlacin y una
coleccin detallada de herramientas open source las cuales sirven al administrador
para tener una vista de todos los aspectos relativos a la seguridad de su
infraestructura.
Ossim a su vez provee un fuerte motor de correlacin, con detallados niveles, bajos,
medianos y altos de interfaces de visualizacin, como tambin reportes
10
11
ARCSIGHT ESM
HP ArcSight ESM es el gestor de sucesos de seguridad estreno que analiza y
correlaciona cada evento con el fin de ayudar a su equipo SOC IT con deteccin de
eventos de seguridad, de cumplimiento y gestin de riesgos para operaciones de
inteligencia y seguridad. ESM tamiza a travs de millones de registros, y los
correlaciona para encontrar los eventos crticos que importan en tiempo real a travs
de cuadros de mando, las notificaciones y los informes, as que usted puede priorizar
con precisin los riesgos de seguridad y violaciones de cumplimiento.
12
Caractersticas principales:
Una solucin econmica para todas sus necesidades de cumplimiento
normativo.
Recopilacin de registros automatizada y archivo.
La deteccin del fraude.
La deteccin de amenazas en tiempo real.
Capacidades de anlisis forense para la seguridad ciberntica.
Recomendaciones
del Sistema
Procesadores
Memoria
Almacenamiento
OS System
OS Consola
Pequeo
Medio
Grande
8 ncleos
36 GB de RAM
250 GB/RAID
16 ncleos
64 GB de RAM
1.5 TB/RAID
32 ncleos
128 GB de RAM
<= 8 TB/RAID
10/15,000 RPM
10/15,000 RPM
10/15,000 RPM
Red Hat Enterprise Linux, 64bits
Desde Windows XP, 32 bits / Desde Windows 7, 64 bits
13
14
15
Otras caractersticas:
archivos.
Gestin de registros de sucesos basada en reglas.
Potente consola.
Filtrado avanzado de sucesos que incluye creacin de reglas y filtros con un
clic.
Reporta la informacin clave de seguridad que est registrando su red.
Rastreo de la actividad de los usuarios en SharePoint.
Ayuda en el cumplimiento de PCI DSS y otras regulaciones.
Soporte de nuevos dispositivos.
Auditora de SQL Server.
Soporte para la auditora de servidor Oracle para Oracle 9i, 10g, 11g.
Traduccin de los crpticos sucesos Windows.
Multifuncionalidad para cumplir diferentes requerimientos empresariales.
Eliminacin del ruido o sucesos triviales que suponen un alto porcentaje de
16
BARCELONA 04
Barcelona/04 Computing Group es una de las empresas lderes en el desarrollo de
software de monitorizacin de Tecnologa, Seguridad y Servicios de Negocio
(BSM). La compaa ayuda a las empresas a mantener la salud operativa de sus
procesos, mejorar los niveles de servicio, cumplir con auditoras de seguridad,
incrementar su productividad y reducir los costos operativos, alineando sus
departamentos de IT con los objetivos de negocio. Su innovadora estrategia de
17
18
RSA ENVISION
La plataforma RSA enVision brinda la posibilidad de reunir datos de log y utilizarlos
para comprender el estado peracional, la seguridad y el cumplimiento de normas en
tiempo real o durante un perodo determinado. Las principales empresas del mundo,
han comprobado que no existe una forma ms integral, escalable o eficaz de
transformar datos raw de log en cumplimiento de normas e inteligencia en seguridad
que pueda ser tiles.
La plataforma RSA enVision ofrece un servicio centralizado de gestin de registros
que permite a las empresas simplificar sus programas de cumplimiento y optimizar
su gestin de incidentes de seguridad. La solucin RSA enVision facilita la
recoleccin automatizada, anlisis, alerta, auditora, informes y almacenamiento
seguro de todos los registros. Las organizaciones pueden simplificar el
cumplimiento con la regulacin especfica, fuera de la caja de informes, alertas y
correlaciones reglas. Los informes pueden ser programados para ser entregados a
una hora determinada o correr sobre una base ad-hoc. Las alertas pueden ser
entregadas a travs de la interfaz de usuario intuitiva, a travs de SMS o correo
electrnico. Los administradores no tienen que ser pegados a la interfaz en todo
momento. Auditores incluso se puede conceder acceso de slo lectura a la
plataforma enVision de modo que puedan acceder a los informes cuando los
necesiten.
20
21
22
OSSEC
OSSEC es un sistema de deteccin de intrusiones basado en host o nodos, es decir,
la deteccin se basa en la bsqueda de anomalas, cambios, intrusiones, rastro de
actividades intrusivas, inicios de sesin, etc, que se localizan en una determinada
mquina o host. Analiza y controla todo el sistema.
Es un Host IDS opensource que incluye caractersticas que lo convierten en una
herramienta muy interesante para asegurar un sistema, ya sea de la familia Unix o
Windows. Nace como sistema de detencin de intrusos basado en logs (LIDS o Logbased Intrusion Detection System) pero en la actualidad ha evolucionado incluyendo
otras funciones, entre ellas:
23
LOG MANAGER *
24
DSCC *
25
buidings
blocks. Adems
puede
integrar
diversos
escneres
de
vulnerabilidades para tener un mayor control del estado de los activos y su ndice de
criticidad.
En conjunto, recopila y combina datos de actividad de red, eventos de seguridad,
registros, datos de vulnerabilidad y datos de amenazas externas en un potente cuadro
de gestin que correlaciona, normaliza y prioriza de forma inteligente todos los
sucesos para detectar ataques o 'ofensas'. Todos los logs son firmados y almacenados
en bases de datos (Ariel, Postgres), se pueden crear usuarios con diversos roles para
la gestin y/o uso de la herramienta y exite un potente motor para la generacin de
informes. Adems, est basado en Linux CentOS y permite un gran grado de
"customizacin", pudiendo instalar en el servidor paquetes rpm (tambin con Yum) y
utilizar tus propios scripts (Perl, Bash u otros) aadiendo funcionalidades
adicionales accesibles en la consola simplemente con el botn derecho.
Tambin aade la posibilidad de integrar una gran cantidad de dispositivos como
fuentes de logs, permitiendo incluso crear tus propios conectores simplemente con
tener algo de pericia con expresiones regulares (matching). En resumen, DSCC se
trata de una plataforma escalable que, con el esfuerzo adecuado (sobretodo en la
configuracin inicial), puede cubrir perfectamente la mayora de las necesidades de
un equipo real de seguridad gestionada.
26
EVENTLOG ANALYZER *
Esta es una herramienta de anlisis y consolidacin de Logs de Eventos Eventlog
Analyzer es una herramienta combinada de administracin de eventlog y syslog
reportes predefinidos para cumplir con las regulaciones SOX, HIPAA, PCI, GLBA.
Alertas y notificaciones basadas en logs de eventos.
Almacenamiento de logs en el servidor de eventlog Analyzer para anlisis
forenses.
Ayuda a intensificar las polticas de seguridad en la compaa
Eventlog Analyzer genera informes para cumplimentar varias regulaciones tales
como Payment Card Industry Data Security Standards (PCI-DSS), Federal
Information Security Management Act (FISMA), Health Insurance Portability and
Accountability Act (HIPAA), Sarbanes-Oxley Act (SOX), y Gramm-Leach-Bliley
Act (GLBA), y almacena logs con el propsito de servir a las auditoras de red y los
anlisis forenses. El software de administracin del logueo de eventos ayuda a las
organizaciones a alcanzar los objetivos de Security Information Event Management
(SIEM) basados en host.
Qu es eventlog Analyzer?
Eventlog Analyzer es un software de administracin y monitoreo de logs de eventos
y aplicaciones, basado en web, en tiempo real y sin agentes. Recolecta, analiza,
informa y almacena eventlogs de hosts de Windows distribuidos, syslog de hosts de
Unix distribuidos, routers, switches, y otros dispositivos syslog, logs de aplicaciones
de servidores web IIS, IIS FTP, servidores MS SQL, servidores de base de datos
Oracle, servidores de DHCP de Windows y Linux. Genera grficos e informes que
ayudan en el anlisis de problemas con mnimo impacto en la performance de la red.
27
Qu problemas resuelve?
Eventlog Analyzer ayuda a monitorear las amenazas internas a los recursos de IT de
la compaa y ayuda a intensificar las polticas de seguridad. Permite a los
administradores del sistema localizar problemas de performance en los hosts, en
aplicaciones selectas, y en la red. Adems, reduce los tiempos de inactividad del
sistema y aumenta la performance de la red.
Qu caractersticas ofrece?
Administracin centralizada de logs de eventos, Informes de cumplimentacin,
Alertas automticas, Tendencias histricas, Anlisis de la seguridad, Agrupacin de
hosts, Infomes de eventos predefinidos, Perfiles de informes personalizados,
Programacin de informes, Mltiples formatos de informes.
29
30
31
32
33
34
35
36
38
HP PROLIANT
Sus elecciones de plataforma resultan en la adaptabilidad de su infraestructura. Qu
tipo de servidor se adapta mejor a sus necesidades? Qu opciones le permiten
lograr el nivel de disponibilidad y desempeo necesario? A cuntos usuarios debe
suministrar soporte? Qu sistema operativo usar? Ya sea que se trate de un
servidor de departamento, para un centro de datos empresarial o una firma de
tamao mediano, HP tiene el compromiso de satisfacer sus necesidades exactas. De
hecho, uno de cada tres servidores vendidos en todo el mundo es un servidor HP.
41
sus
arquitecturas
abiertas?
Nuestros
dispositivos
de
42
Gnu Privacy Guard es una herramienta de cifrado y firmas digitales que viene a ser
el reemplazo de PGP Pretty Good Privacy. Utiliza el estndar del IETF
denominado OpenPGP y es su principal diferencia con respecto a PGP es que es
software libre bajo licencia GPL. GPG, como tambin se le conoce, es una
herramienta basada en lnea de comandos que permite cifrar y firmar sus datos y
comunicaciones. Cuenta con un sistema de llave verstil de gestin, as como
mdulos de acceso para todo tipo de directorios de claves pblicas. Tambin dispone
de varias funciones que facilitan su integracin con otras aplicaciones y su segunda
versin presta soporte a S/MIME, un estndar de criptografa para correo
electrnico.
Caractersticas de GnuPG:
43
extendidos.
Fuerza el ID de usuario a estar en un formato estndar.
Soporta claves y firmas con caducidad por fecha.
Ofrece apoyo en muchos idiomas.
Sistema de ayuda en lnea.
Receptores opcionales de mensajes annimos.
Soporte integrado para servidores HKP.
Borra archivos de revisin de firmas para evitar que sean reutilizados.
Muchas cosas ms
AES CRYPT
44
No es necesario que el usuario sea un experto para poder usar AES Crypt, tampoco
se necesitan conocimientos de criptografa. Si se utiliza Windows, lo que nico que
se necesita es hace clic derecho sobre cualquier archivo, seleccionar AES Cifrar o
AES Descifrar, ingrese una contrasea y AES Crypt har el resto. Para usuarios de
Mac, solo se arrastra el archivo al programa AES Crypt e ingresar una contrasea.
En cambio si lo que se utiliza, o se quiere utilizar, lnea de comandos solo ejecuta el
comando aescrypt con el nombre del archivo y la contrasea
para cifrar y
AES cuenta con un poderoso algoritmo de cifrado de 256 bits. AES Crypt puede
asegurar cualquier tipo de informacin que se considere sensitiva. Una vez que un
archivo ha sido encriptado no es necesario preocuparse porque alguien no autorizado
pueda usar dicha informacin ya que un archivo cifrado es completamente intil sin
la contrasea: simplemente no puede ser ledo.
Lo mejor de todo, AES Crypt es una herramienta de cdigo libre y debido a que es
una herramienta de cdigo libre mucha gente contribuye a que el software sea
revisado para asegurar que trabaje de forma apropiada. Usted es libre de utilizar esta
herramienta en su empresa, su hogar o en sus proyectos de desarrollo de software
libre.
DISKCRYPTOR
DiskCryptor es un sistema completo de cifrado de disco duro para Windows,
permitiendo tambin el cifrado de particiones individuales incluyendo la misma
46
El hecho que sea abierta entra en contraste con la situacin actual, donde la mayora
de software con funcionalidades similares es completamente propietario, lo que lo
convierte, a su vez, inaceptable para el uso de proteccin de informacin
confidencial. Originalmente fue desarrollado como el reemplazo de DriveCrypt Plus
Pack y PGP Whole Disk Encryption. Sin embargo el propsito actual es crear el
mejor producto de su categora. Se prev que en un futuro se har el esfuerzo de
crear la documentacin detallada explicando el mecanismo interno del programa que
sera la mejor confirmacin y demostracin de su seguridad.
El cdigo fuente de cada versin lanzada al pblico lleva la firma de la clave PGP
del autor, lo que excluye la posibilidad de que algn cdigo modificado sea
distribuido como parte de este proyecto. Con lo que el autor del programa puede
garantizar que no haya puertas traseras.
Caractersticas:
Soporte de algoritmos de encriptacin AES, TwoFish, Serpent, incluyendo
sus combinaciones.
Cifrado transparente de particiones de disco.
Soporte completo para discos dinmicos.
Soporte para dispositivos de discos con gran tamao de sectores
(importante para el funcionamiento de arreglos de discos RAID).
ENCFS
TRUECRYPT
TrueCrypt puede que sea el estandarte o el mximo exponente de sta filosofa, con
su cdigo abierto y con sus impresionantes y amplias opciones pone a disposicin de
todo el mundo la privacidad y seguridad que suponen los ms avanzados sistemas de
encriptacin y cifrado.
Caractersticas:
Las funciones principales, descritas en la web oficial, son:
Posibilidad de creacin de discos virtuales encriptados y tratarlos como si se
tratasen de discos reales normales.
Encriptado todal de una particin o de un disco extrable (USB, Disco
duro).
Encriptado de la particin de instalacin de Windows (Autentificacin prearranque).
Encriptacin automtica y en tiempo real transparente al usuario.
Paralelizacin y tunelizacin de procesos, para mejorar los tiempos de
escritura y lectura, hacindolos casi idnticos a si el disco no estuviese
encriptado.
Posibilidad de reforzar los procesos con aceleracin por hardware en
procesadores modernos.
50
Desde luego es, a la par que potente, muy sencillo y accesible a cualquier usuario.
Un programa a tener en cuenta en empresas o particulares celosos de su privacidad y
sus datos.
51
CONCLUSIONES
Por otro lado, las herramientas SIEM funcionan cumplen la funcin de registrar los
eventos que se consideren importantes para la organizacin, esto con dos ideas en
mente: la primera, en caso de algn evento que comprometa la integridad de los
datos se emplea como una herramienta de la informtica forense, con lo que se
podrn deducir responsabilidades; la segunda, tomar medidas correctivas para evitar
que se vuelvan a repetir los incidentes pasados que puedan perjudicar nuevamente a
la empresa.
Insisto, todo esto se hace con la finalidad de hacer lo ms seguros posibles los
sistemas de las organizaciones, recalcando que las amenazas evolucionan
constantemente por lo que estamos obligados a hacerlo nosotros tambin: las
52
herramientas necesarias existen y en muchos de los casos son de licencia libre por lo
que no tenemos ninguna excusa para quedarnos atrs.
53
BIBLIOGRAFIA
http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in2014/
Herramientas SIEM: http://www.emc.com/services/rsa-services/index.htm
http://es.wikipedia.org/wiki/Open_Source_Security_Information_Management
http://www.barcelona04.com/soluciones/por-area/seguridad
https://www.linkedin.com/company/barcelona04
http://www.gfi.com/~/media/Files/Datasheets/ESM/GFIEventsManagerBrochureA4
_ES_GEN.ashx
http://www.securitybydefault.com/2012/11/ossec-introduccion.html
Garantas de Misin Crtica: http://www.tbsmex.com/servidores-ibm.shtml
http://www.dell.com/learn/cr/es/crbsdt1/services/mission-critical
http://www.dell.com/learn/pr/es/prbsdt1/services/mission-critical?c=pr&l=es&s=bsd
http://www8.hp.com/es/es/business-services/it-services.html?
compURI=1079354#.VERWivmSwbg
http://www-03.ibm.com/systems/es/z/hardware/zenterprise/zec12.html
http://www.networkworld.com/article/2307438/data-center/stratus-ftserver-5700takes-a-licking--keeps-on-ticking.html
http://www.stratus.com/solutions/platforms/ftserver/
Herramientas de Cifrado: https://www.gnupg.org/
http://es.wikipedia.org/wiki/GNU_Privacy_Guard
https://www.aescrypt.com/
https://www.aescrypt.com/aes_information.html
54
https://diskcryptor.net/wiki/Main_Page
https://wiki.archlinux.org/index.php/EncFS
http://www.muylinux.com/2014/03/13/cifrado-archivos-nube-encfs
http://www.axantum.com/axCrypt/
http://es.wikipedia.org/wiki/Axcrypt
55