miércoles, 12 de marzo de 2014

1.-OSSIM. Monitorización de eventos de seguridad. Antes de llover chispea !!!

Amigos de Inseguros. Hoy voy a intentar introduciros en el mundo de la monitorización de LOGS con la herramienta OSSIM open source de AlienVault.
Parte 1234567 , 89 10

El uso de herramientas para la gestión SIEM (Security Information and Event Management) es algo necesario para controlar la buena salud de nuestros sistemas y podemos darle el enfoque que necesitemos, no solo manejando datos de seguridad sino cualquier log de cualquier sistema.


Según la Wikipedia, un sistema SIEM nos permite agregar datos de varias fuentes, correlación de logs ( un intento de autenticación fallido es una linea de log, varios es un ataque de fuerza bruta) alertas, cuadros de mando con gráficos preciosos, análisis forense y retención en el tiempo de eventos pasados.


No conozco a ningún administrador de sistemas que se pase una mañana entera navegando por el visor de eventos de sus 100 servidores Windows en busca de códigos de error sospechosos. Siempre recurrimos a los logs en caso de errores, caidas, deterioro en el rendimiento etc.

En mi "pueblo" se emplea una frase muy graciosa para algo mucho menos gracioso, pero que creo viene como anillo al dedo: ANTES DE LLOVER CHISPEA !!!!

Los amigos de Security By Default escribieron un buen post con algunas impresiones sobre el funcionamiento que creo complementan este post y que debes leer.

La aventura con OSSIM comienza con la descarga de la ISO. Vamos a usar la versión Open Source que en este momento anda por 4.3. El fabricante nos ofrece todo tipo de enlaces para probar su versión de pago por lo que tenemos que buscar en las fichas de producto, en la comparativa para encontrar la versión Free.


Para este laboratorio voy a usar una máquina virtual sobre mi infraestructura Vmware por lo que me creo una VM, engancho la ISO y siguiente siguiente siguiente...






Ahora ya tenemos instalado nuestro OSSIM. Como indica el banner, para traer la paz y la seguridad...Configuramos el usuario y entramos al portal.



Curioso que nada más instalado tengamos eventos de seguridad. Vamos a darle alguna vuelta para ver que tenemos.



Como se puede apreciar, el sensor OSSEC ha detectado una escritura en un fichero propiedad de ROOT lo cual es un indicio de actividad peligrosa.

Esto se ha realizado en la propia instalación/configuración de OSSIM. Recordar que OSSEC es un IDS a nivel de HOST (HIDS) es decir, es como un "Snort" pero en vez de escuchar en modo promiscuo todo el tráfico, atiende solo a los cambios o incidentes que se originan en el host que lo tiene instalado.

El problema de estas instalaciones sencillas es que uno pierde la sensación de control sobre los elementos, por lo que me gusta dejarla un poco "pelada".

Nos ubicamos en Configuration->Deployment. Ubicamos el sensor por defecto que se crea en la propia instalación de OSSIM y vamos a ver que componentes están a la escucha.


Pinchando sobre el sensor que he tachado abajo a la izquierda podemos ver alguna información.


Pinchamos en Sensor Configuration.


Para este sensor voy a deshabilitar todos los servicios que creo son bastante descriptivos. Prads, Suricata, etc. Voy a dejar el sistema como un mero syslog bonito.
También voy a borrar todos los logs generados, por empezar desde cero...


Ahora es el turno de desplegar un agente en algún servidor Windows para ver los logs, que es por donde iba esto...


Ya tenemos nuestro agente !!! Ahora unos clicks en el servidor y listo.


Con esto ya podéis jugar un poco con la instalación de OSSIM.

En próximos artículos trabajaremos más, si el tiempo nos lo permite.
Gracias por leerme, como siempre, espero que os guste !!

8 comentarios:

  1. Hola estimado, cual seria la diferencia entre esto y un IDS?, saludos y muy interesante tu blog.

    ResponderEliminar
    Respuestas
    1. Un ids detecta ataques, genera alertas. Con un SIEM y la correlación lo que haces es establecer relaciones entre varias fuentes de seguridad. por ejemplo, un IDS que detecta un brute force contra un equipo, pero relacionas la ip de origen con un login concreto en un ssh (log del servicio) el login correcto no seria una alerta en el IDS, pero como alerta de seguridad SI que tiene valor.

      Lo dicho, la correlación es establecer relaciones de distintas fuentes.

      Gracias por el comentario !!!!

      Eliminar
  2. buenos días, cuánto tiempo tarda el servidor en instalarse, con la imagen ISO de open Vault, hasta que uno pueda ingresar a realizar configuraciones

    ResponderEliminar
    Respuestas
    1. La iso tarda en instalarse 1 horita larga.

      Eliminar
    2. hola gracias, por la pronta respuesta, pero una vez que el sistema se reinicia, no llego a la pantalla dónde indicas que ya está instalado el ossim, es la que muestras que da acceso al login, me muestra por el contrario una gris con el logo Alien Vault Ossim, pero con unos puntos blancos que van cambiando a azul...pero nunca termina!, estaré cometiendo alguna omisión en la instalación? gracias

      Eliminar
    3. A ver, has esperado un rato? un rato pueden ser más de 15 minutos, incluso 20. Si aún así, no inicia, te aconsejo que mires el hash del fichero en la página de la descarga y mires el hash del fichero que te has bajado. A veces un pequeño micro corte de red o algo así te corrompe el fichero y se instala bien pero luego no rula.

      por otro lado, sobre que hardware/hypervisor lo estás instalando? que características?

      Eliminar
    4. hola, listo ya dí con el problema, es configuración de hardware mínimo, para una máquina virtual en VMWare ESX 5.1 con 2GB RAM, indicar al menos 2 cores virtuales, de lo contrario se cuelga la instalación

      Eliminar
    5. Saludos cordiales Douglas, somos Partners Oficiales Para Latinoamerica de AlienVaultUSM la version comercial de OSSIM, manejamos desde nuestro CySOC un deployment con mas de 34 sensores remotos y USM AiO con una estructura federada. Compartiendo un poco nuestra experiencia en estos deployments nos golpeo mucho el tema de hardware hasta que estandarizamos para solucionar inconvenientes parecidos a los tuyos en escenarios de produccion de nuestros clientes. Con un procesador Core I3/I5, placa base generica y 16 GB RAM. Ahora bien aunque sea para un entorno de pruebas o testing tanto para Alienvault USM como para Alienvault OSSIM se recomiendan para funcionamiento óptimo 4 Cores o vCores, 1TB HDD o vHDD, 6 GB RAM o vRAM. Ten en cuenta que con 2 vCores y 2GB RAM te puede llegar a funcionar pero puedes experimentar cierta inestabilidad producto de todas las tecnologias que integra AlienVault. Ademas considera que si bien el proceso de instalación puede concluir satisfactoriamente con este escenario, una vez que comiences las etapas correspondientes de configuración y aprovisionamiento, el rendimiento se verá penalizado, llegando a un punto en que todo colapsa con problemas incluso para la arquitectura de la propia base de datos que es soportada por el poderoso PERCONA MySQL Server.

      Comparto nuestra experiencia pues los hypervisores que usamos en nuestros clientes son ESXi con licenciamiento Free en un hardware generico con las caracteristicas antes mencionadas, para aprovechar que nuestras imagenes de USM ya vienen empaquetadas en OVF para VMWare. Cualquier consulta estamos a la orden para colaborar con toda la comunidad ya que ademas contamos con uno de los primeros ACSE certificados de habla hispana y para latinoamerica.

      Eliminar

Gracias por comentar !!

Related Posts Plugin for WordPress, Blogger...