OSSIM (OPEN SOURCE SECURITY INFORMATION MANAGEMENT) I.

RESUMEN OSSIM es una nueva manera de administracin de redes, que permite el escaneo de vulnerabilidades, monitoreo de trfico, servicios, equipos, y adems IDS/IPS. OSSIM es un sistema de software de alto rendimiento de teledeteccin, sistemas de informacin geogrfica, procesamiento de imgenes y fotogrametra. Tanto servidores, PCs clientes, firewall, etc., generan eventos de seguridad que van almacenando en unos archivos conocidos como logs que muchas veces son bastante difciles de interpretar y tener conocimiento de lo que ocurre en nuestra red. Para esta tarea existe un tipo de software conocido como SIM (security information management) que se encarga de recolectar y analizar todos los eventos de nuestra red mediante agentes, pequeos programas desarrollados especficamente para cada tipo de equipamiento de nuestra red. OSSIM, Es una distribucin Linux, opensource y que podemos encontrar como una imagen para grabar en un cd e instalar en un PC o mquina virtual, y una vez instalada pone a nuestra disposicin una potente aplicacin mediante la que podemos monitorizar y analizar la seguridad de nuestra red. II. INTRODUCCIN Hoy en da la gestin de la seguridad en las redes de las empresas avanza enormemente, tanto que genera una cantidad de informacin difcilmente gestionable. OSSIM (Open Source Security Information Management) es una coleccin de herramientas bajo la licencia GPL, diseadas para ayudar a los administradores de red en la seguridad de las computadoras, deteccin de intrusos y prevencin. El objetivo de OSSIM es ofrecer una herramienta que ayude a la administracin de eventos de seguridad mediante un motor de correlacin y una coleccin detallada de herramientas open Source las cuales sirven al administrador para tener una vista de todos los aspectos relativos a la seguridad en su infraestructura de red. OSSIM a su vez provee un fuerte motor de correlacin, con detallados niveles, bajos, medianos y altos de interfaces de visualizacin, como tambin reportes y herramientas de manejo de incidentes. La habilidad de actuar como un sistema de prevencin de intrusos basado en informacin correlativa de cualquier fuente, resulta en una til herramienta de seguridad. Toda esta informacin puede ser filtrada por red o sensor con el objetivo de proveer nicamente la informacin requerida por un usuario especfico. III. Origen OSSIM es un proyecto de software de cdigo abierto y ha sido bajo desarrollo activo desde 1996. Los principales desarrolladores para el proyecto tienen aos de experiencia en sistemas de aplicaciones de teledeteccin de uso comercial y para el Gobierno. OSSIM ha sido financiada por varias agencias del Gobierno estadounidense en la

comunidad de inteligencia y defensa y la tecnologa actualmente se implementa en la investigacin y operaciones de los sitios. OSSIM est escrito en C++, empleando las ltimas tcnicas en diseo de software orientadas a objetos. IV. Funcionalidades y principales caractersticas 4.1. Funcionalidades de OSSIM Los procesos principales que se realizan dentro de OSSIM, son los siguientes: Las aplicaciones generan eventos de seguridad Los eventos son recogidos y normalizados Los eventos son enviados a un servidor central Valoracin del riesgo de cada evento Correlacin de eventos Almacenamiento de los eventos Acceso a los eventos almacenados Acceso a la configuracin Acceso a mtricas e informes Acceso a informacin en tiempo real del estado de nuestra red Los eventos de seguridad son generados por las diferentes aplicaciones y/o dispositivos que dispongamos en nuestra red. Estos eventos son recogidos y normalizados por el Sensor de OSSIM, que se encarga adems de enviarlos a un servidor central. En un despliegue de OSSIM podremos disponer de tantos Sensores como necesitemos. Como ejemplo, se puede situar un sensor dentro de la DMZ, un sensor en cada ciudad o dedicar un sensor para monitorizar cada una de las redes de la corporacin. El Sensor de OSSIM incluye una serie de herramientas (Snort, Ntop, Tcptrack, Arpwatch, etc.) que permiten analizar todo el trfico de red en busca de problemas de seguridad y anomalas. Para poder sacar provecho de esta funcionalidad de OSSIM es imprescindible que el Sensor de OSSIM sea capaz de ver todo el trfico de la red, bien sea utilizando un concentrador, o configurando un port mirroring o port Span en la electrnica de red. Todos los sensores de OSSIM envan sus eventos a un nico servidor de OSSIM, que se encarga de efectuar una valoracin del riesgo para cada evento, y en el que tambin tendr lugar el proceso de correlacin. Una vez estos dos procesos han tenido lugar, los eventos son almacenados en la base de datos de OSSIM. Para tener acceso a toda esta informacin, as como a la configuracin del sistema y a una serie de mtricas e informes haremos uso de la Consola Web de OSSIM. Desde esta consola Web tambin tendremos acceso a informacin en tiempo real a una serie de aplicaciones que nos facilitarn el anlisis del estado global de nuestra red. Funcionalidades principales Alta disponibilidad Inventario y monitor de red

Anomalas de servicios Anomalas de red Anomalas de MAC Anomalas de sistema operativo Monitor de persistencia Analizadores de protocolos Inventario servicios pasivos Inventario servicios activos Localizador de maquinas Scanner de vulnerabilidades IDS de HOST Recoleccin

4.2. Funcionamiento de los principales perfiles de OSSIM Es posible cambiar el perfil de nuestra mquina una vez ha finalizado el proceso de instalacin. De este modo, el sistema habilitar o deshabilitar servicios que no se utilizan. ALL-IN-ONE El perfil all-in-one es una combinacin de todos los perfiles en una nica mquina. Es el perfil de instalacin por defecto. Incluye un Sensor, servidor, base de datos y consola web. Dentro del sensor se incluyen tambin varias herramientas de cdigo abierto como Snort, OpenVas, Ntop, Arpwatch, P0f, Pads y muchas otras que generarn un buen nmero de eventos para ayudarnos a conocer el estado en que se encuentran los activos de la red. SENSOR El perfil sensor se encarga de la coleccin y normalizacin de eventos. Para ello, es necesario que hagamos llegar todos los eventos generados por las herramientas de las que disponemos en nuestra red al sensor haciendo uso de Syslog, Ftp, Samba, Snare Cada herramienta tiene un plugin asociado que indica al sistema como ha de procesar la informacin recibida con el objeto de generar un evento normalizado e independiente de la herramienta que lo haya generado. Los eventos normalizados son enviados al servidor. En el perfil sensor se instalan Snort, Ntop, Arpwatch, P0f y Pads. Estas herramientas se encargan de analizar el trfico de red, por lo que, para que resulten de utilidad deberemos utilizar un concentrador o configurar un port mirroring en la electrnica de red. SERVER El perfil server (servidor) preparar nuestro equipo para que se encargue de procesar todos los eventos enviados por los diferentes agentes o sensores. En cada despliegue de OSSIM es obligatorio disponer de un nico servidor. Una vez procesados los eventos, toda la informacin generada es almacenada en la base de datos. Dentro del perfil servidor tambin se incluye un sensor de OSSIM para monitorizar la seguridad del propio sistema (Pam Unix, SSH, etc.)

 DATABASE El perfil Database base de datos har que nuestra mquina se encargue del almacenamiento de los eventos, inventarios y configuraciones del sistema. Para ello el perfil Base de datos dispondr de un servidor de base de datos MySQL. V. Instalador y Requisitos para instalar OSSIM 5.1. INSTALADOR DE OSSIM OSSIM es un producto que integra ms de 30 herramientas Open Source. Tanto el sistema operativo como muchas de las herramientas integradas, han sido modificadas para mejorar su funcionamiento dentro del sistema. Es por ello que la instalacin de OSSIM a partir del cdigo fuente requiere de unos amplsimos conocimientos y de la compilacin de ms de 40 herramientas. Para simplificar el complejo proceso de compilacin, instalacin y configuracin de estas herramientas el equipo de desarrollo distribuye OSSIM dentro de un instalador en el que se incluye el sistema operativo, los componentes acompaados de un potente sistema de configuracin y actualizacin. El instalador de OSSIM est basado en el sistema operativo Debian/GNU Linux y est disponible para arquitecturas de 32 y 64 bits. En el instalador se incluyen un buen nmero de herramientas que servirn de apoyo para realizar un anlisis forense de la informacin proporcionada por el sistema OSSIM. 5.2. Requisitos de hardware Los requisitos de hardware para instalar OSSIM dependern en gran medida del nmero de eventos por segundo y del ancho de banda de la red que pretendamos analizar. Como requisito mnimo siempre es recomendable disponer de al menos 2GB, cantidad que deberemos ir incrementando en funcin del trfico que analicemos, del nmero de eventos que tenga que procesar el servidor o de la cantidad de datos que pretendamos almacenar en base de datos. Para optimizar el uso de recursos es imprescindible que utilicemos nicamente las aplicaciones y componentes que nos resultarn de utilidad en cada caso. La diferencia de rendimiento entre 32 Bits y 64 Bits es ms que considerable, por lo que siempre deberemos tratar de escoger esta arquitectura a la hora de escoger nuestro hardware. La mayora de los componentes de OSSIM son multihilo, por lo que utilizando procesadores con varios cores obtendremos tambin una gran mejora en el rendimiento. A la hora de seleccionar las tarjetas de red para realizar la captura del trfico, deberemos procurar escoger aquellas soportadas por el driver e1000. El desarrollo Open Source de este driver garantiza una buena compatibilidad de estas tarjetas con Debian GNU/Linux.

Siempre deberemos dedicar las tarjetas de red con peores especificaciones, o aquellas que ofrezcan problemas de compatibilidad a la recogida de eventos de otros dispositivos o como interfaz de gestin. 5.3. Requisitos de Red Para poder llevar a cabo un buen despliegue de OSSIM es importante conocer bien la electrnica de red de la que disponemos para poder configurar un port mirroring en los dispositivos de red que lo soporten. Hay que tener un especial cuidado a la hora de configurar el port mirroring para evitar principalmente dos cosas:

Trfico duplicado: Se da en el caso en que estoy viendo el mismo trfico en dos port mirroring configurados en diferentes dispositivos de la misma red. Trfico que no se puede analizar: En ocasiones puede no tener sentido configurar un port mirroring en un punto de la red en el que todo el trfico es canalizado utilizando una VPN o dems protocolos que envan los datos cifrados. Adems del port mirroring, es necesario preparar con anterioridad las diferentes direcciones IP que vamos asignar a los componentes de AlienVault, teniendo en cuenta que muchos de estos componentes debern tener acceso a la red que estn monitorizando. Como ejemplo, si decidimos hacer uso de OpenVas para realizar escaneos de vulnerabilidades a nuestra red deberemos asegurarnos de que la mquina en que se est ejecutando OpenVas tiene permisos en el Firewall para acceder a los equipos que se dispone a analizar. Para poder normalizar los diferentes eventos, el Sensor de AlienVault tambin deber tener acceso al DNS de la organizacin, pudiendo de este modo obtener las direcciones IP a partir de los nombres de las mquinas.

5.4. CARACTERSTICAS de OSSIM Las principales caractersticas son:

SEM: alto volumen de almacenamiento de logs firmados digitalmente Escalabilidad: soporte a ambientes multi plataforma y multi nivel Desempeo: diseado para altos volmenes de registros Confiabilidad: Alta disponibilidad y continuidad SEM El SEM permite almacenar grandes capacidades de informacin asegurando la validez legal. El SEM convierte el sistema en un sistema de gestin dual, con dos bases de datos, una rpida apropiada para un anlisis rpido y verstil, pero de capacidad limitada. Y otra de gran capacidad que permitir almacenar los datos durante aos garantizando su integridad. El SEM recibe la informacin en formato natural y firmado asegurando su integridad. Escalabilidad

El AlienVault professional SIEM permite la distribucin de carga en estructuras multi-jerrquicas, permitiendo monitorizar grandes redes y crear varios niveles de correlacin y almacenamiento con diferentes visibilidades granulares de los datos. La distribucin de carga puede ser por lo tanto horizontal o vertical. Esto permite crear servicios con distribucin de carga horizontal para altas necesidades de rendimiento as como configuraciones de Alta Disponibilidad. Desempeo AlienVault profesional SIEM es capaz de ofrecer performance a los niveles requeridos por las organizaciones con ms volmenes de datos. El equipo de ingenieros de AlienVault ha reestructurado la arquitectura del sistema creando mltiples niveles de optimizacin y distribucin de carga que aumentan el performance en 30 veces para cualquier parmetro del Open Source SIM. Confiabilidad La versin profesional ofrece fiabilidad para su uso en entornos profesionales al incluir las versiones estables del software. Como cualquier proveedor open source AlienVault utiliza a la comunidad para probar las nuevas funcionalidades. Las versiones de AlienVault profesional SIEM se publican nicamente cuando estas han sido completamente testadas y han demostrado una alta fiabilidad y estabilidad. LICENCIA GPL Es una licencia creada por la FREE SOFTWARE FOUNDATION en 1989 (la primera versin), y est orientada principalmente a proteger la libre distribucin, modificacin y uso de software. Su propsito es declarar que el software cubierto por esta licencia es software libre y protegerlo de intentos de apropiacin que restrinjan esas libertades a los usuarios. DMZ: Componentes Ossim est compuesto por los siguientes elementos de software: Arpwatch, utilizado para deteccin de anomalas en direcciones MAC. P0f, utilizado para la identificacin pasiva de OS. Pads, utilizado para detectar anomalas en servicios. Openvas, utilizado para la evaluacin y correlacin cruzada (Sistema de deteccin de intrusos vs Escaner de Vulnerablidad) Snort, utilizado como sistema de deteccin de intrusos (IDS) como tambin para la correlacin cruzada con Nessus.

 Spade, es un motor de deteccin de anomalas en paquetes. Utilizado para obtener conocimiento de ataques sin firma. Tcptrack, utilizado para conocer la informacin de las sesiones, lo cual puede conceder informacin til relativa a los ataques. Ntop, el mismo construye una impresionante base de datos con la informacin de la red, para la deteccin de anomalas en el comportamiento. Nagios, utilizado para monitorear la disponibilidad de los hosts y servicios. nfSen, visor de flujos de red para la deteccin de anomalas de red Osiris, es un sistema de deteccin de intrusos basado en host (HIDS). Snare, colecciona los logs de sistemas Windows. OSSEC, es un sistema de deteccin de intrusos basado en hosts OSSIM tambin incluye herramientas desarrolladas especficamente para l, siendo el mas importante un motor de correlacin con soporte de directivas lgicas e integridad de logs con plugins.