Como mi primer entrada, hablare sobre OSSIM, un sistema de gestión de la información de seguridad Open Source.
¿Qué es OSSIM?
La abreviatura es Open Source Security Information
Management System (Sistema de gestión de la información de seguridad Open
Source). El objetivo de OSSIM ha sido crear un framework capaz de recolectar
toda la información de los diferentes plugins (Snort, nessus, ntop, nmap,
nagios, etc), para integrar e interrelacionar entre si y obtener una
visualización única del estado de la red.
Se trata de una herramienta SIEM, acrónimo de Segurity
Information and Event Management (Gestión de la seguridad de la información y
gestión de eventos). Es una combinación de SEM (Gestión de eventos) y SIM (Gestión
de la seguridad de la información). OSSIM se trata de una SIEM Open Source.
- SEM -> Ofrece un monitoreo a tiempo real.
- SIM -> Ofrece un análisis mas histórico y la
presentación de datos de eventos de seguridad.
OSSIM contiene las siguientes características de los
componentes del software:
- · Arpwatch: utilizado para la detección de anomalía de mac.
- · P0f: utilizado para la detección y análisis de los cambios en los sistemas operativos OS.
- · Pads: utilizado para el servicio de detección de anomalías.
- · Nessus: utilizado para la evaluación de la vulnerabilidad y de correlación cruzada (IDS vs Security Scanner).
- · Snort: el IDS, también se utiliza para cruzar la correlación con nessus.
- · Spade: Realiza las estadísticas de paquetes de motor de detección de anomalías. Se usa para obtener conocimientos sobre los ataques sin firma.
- · Tcptrack: utilizado para los datos de la sesión de información que puede dar información útil para el ataque correlación.
- · Ntop: construye una impresionante red de base de datos de información que podemos obtener de detección de anomalías en el comportamiento aberrante.
- · Nagios: Se alimenta de la base de datos activos para supervisar la disponibilidad de los equipos.
- · Osiris: una gran HIDS (HIDS, Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host). Puede tomar medidas protectoras).
- · OCS-NG: Cruz-Plataforma para realizar los inventarios e informes.
- · OSSEC: la integridad, de rootkit, detección y registro de más.
La instalación de OSSIM no tiene misterio. Nos conectamos a
la siguiente url: http://www.alienvault.com/open-threat-exchange/projects#ossim-tab
Una vez descargada la iso, creamos una nueva maquina
virtual. Los pasos ha realizar son los siguientes:
Pasos de instalación:
Paso 1:
Seleccionamos la primera opción, nos permite configurar mas
fácil el sistema.
Paso 2:
Seleccionamos el idioma – ubicación – configuración del
teclado que queremos, en mi caso he seleccionado Español.
Paso 3:
Esperamos a que se configure.
Paso 4:
Asignamos una dirección de IP para luego poder acceder a
OSSIM mediante el navegador.
Paso 5:
Asignamos la mascara de red, la puerta de enlace y la
dirección del servidor, por defecto vendrá puesta 255.255.255.0 para la mascara
de red y 192.168.0.1 para la puerta de enlace y la dirección del servidor para
luego poder acceder a los usuarios.
Paso 6:
Asignamos la contraseña de superusuario.
Paso 7:
Configuramos la zona horaria. Una vez rellenado los datos,
empezara a instalar el sistema, tardara un rato.
Paso 8:
Cuando nos salga una terminal, tendremos que poner en el
navegador la dirección IP que hemos puesto antes.
Paso 9:
Una vez que ingresemos la dirección IP en el navegador nos
pedirá que ingresemos un usuario, una contraseña para el usuario admin que
viene por defecto y un correo electrónico.
Acordaros de poner el
adaptador en modo bridge.
Paso 10:
Una vez que ingresemos todos los datos podremos acceder a la
configuración del OSSIM.
Ingresamos el usuario admin y el password que hemos puesto en
el otro apartado y nos conectaremos al panel de control de OSSIM.
Como podemos observar, tenemos un panel de control que nos
permite administrar OSSIM.
En el próximo capitulo os enseñare como administrar reglas.
Un saludo!!
1 comentarios:
comentariosgracias por la informacion , muy buena
Replysolo una cosulta , esta herramienta solamente se puede montar sobre linux?? otambn sobre windows??
si es solo sobre linux , se puede en redhat o solo debian?
muchas gracias