OSSIM Sistema de gestión de la información de seguridad Open Source

Hola a todos/as, lo primero de todo quería agradecer la oportunidad de poder escribir en este blog y espero estar a la altura de ello.

Como mi primer entrada, hablare sobre OSSIM, un sistema de gestión de la información de seguridad Open Source.

¿Qué es OSSIM?

La abreviatura es Open Source Security Information Management System (Sistema de gestión de la información de seguridad Open Source). El objetivo de OSSIM ha sido crear un framework capaz de recolectar toda la información de los diferentes plugins (Snort, nessus, ntop, nmap, nagios, etc), para integrar e interrelacionar entre si y obtener una visualización única del estado de la red.

Se trata de una herramienta SIEM, acrónimo de Segurity Information and Event Management (Gestión de la seguridad de la información y gestión de eventos). Es una combinación de SEM (Gestión de eventos) y SIM (Gestión de la seguridad de la información). OSSIM se trata de una SIEM Open Source.

- SEM -> Ofrece un monitoreo a tiempo real.

- SIM -> Ofrece un análisis mas histórico y la presentación de datos de eventos de seguridad.

OSSIM contiene las siguientes características de los componentes del software:

· Arpwatch: utilizado para la detección de anomalía de mac.

· P0f: utilizado para la detección y análisis de los cambios en los sistemas operativos OS.

· Pads: utilizado para el servicio de detección de anomalías.

· Nessus: utilizado para la evaluación de la vulnerabilidad y de correlación cruzada (IDS vs Security Scanner).

· Snort: el IDS, también se utiliza para cruzar la correlación con nessus.

· Spade: Realiza las estadísticas de paquetes de motor de detección de anomalías. Se usa para obtener conocimientos sobre los ataques sin firma.

· Tcptrack: utilizado para los datos de la sesión de información que puede dar información útil para el ataque correlación.

· Ntop: construye una impresionante red de base de datos de información que podemos obtener de detección de anomalías en el comportamiento aberrante.

· Nagios: Se alimenta de la base de datos activos para supervisar la disponibilidad de los equipos.

· Osiris: una gran HIDS (HIDS, Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host). Puede tomar medidas protectoras).

· OCS-NG: Cruz-Plataforma para realizar los inventarios e informes.

· OSSEC: la integridad, de rootkit, detección y registro de más.

La instalación de OSSIM no tiene misterio. Nos conectamos a la siguiente url: http://www.alienvault.com/open-threat-exchange/projects#ossim-tab

Una vez descargada la iso, creamos una nueva maquina virtual. Los pasos ha realizar son los siguientes:

Pasos de instalación:

Paso 1:

Seleccionamos la primera opción, nos permite configurar mas fácil el sistema.

Paso 2:

Seleccionamos el idioma – ubicación – configuración del teclado que queremos, en mi caso he seleccionado Español.

Paso 3:

Esperamos a que se configure.

Paso 4:

Asignamos una dirección de IP para luego poder acceder a OSSIM mediante el navegador.

Paso 5:

Asignamos la mascara de red, la puerta de enlace y la dirección del servidor, por defecto vendrá puesta 255.255.255.0 para la mascara de red y 192.168.0.1 para la puerta de enlace y la dirección del servidor para luego poder acceder a los usuarios.

Paso 6:

Asignamos la contraseña de superusuario.

Paso 7:

Configuramos la zona horaria. Una vez rellenado los datos, empezara a instalar el sistema, tardara un rato.

Paso 8:

Cuando nos salga una terminal, tendremos que poner en el navegador la dirección IP que hemos puesto antes.

Paso 9:

Una vez que ingresemos la dirección IP en el navegador nos pedirá que ingresemos un usuario, una contraseña para el usuario admin que viene por defecto y un correo electrónico.