viernes, 7 de noviembre de 2014

OSSIM 21. Varios usos de la Reputation Data. Firewall, detección de tráfico e inclusión.

Hace unos capítulos hablamos aquí sobre OTX, la base de datos de reputación de AlienVault, El resumen es que podemos usar nuestra información de atacantes de la consola OSSIM para contribuir con una base de datos de reputación global, la que podemos usar para nuestras medidas defensivas.


En este capítulo vamos a darle ese uso, el defensivo, y no el meramente documental.

El primer uso, el más sencillo, podría ser integrar en nuestro sistema firewall, si lo permite, la lista de direcciones "maliciosas" para que sean baneadas. Este post no trata de eso, ya que cada sistema lo realiza de manera distinta, pero comentar que el fichero está disponible en un formato muy amigable ( tan sencillo como copiar en CSF blocklist, por ejemplo).


La ruta alienvault:/etc/ossim/server/reputation.data

El segundo uso que vamos a comentar es la monitorización de nuestros servicios IP en la base de datos. Esto quiere decir que añadimos nuestros equipos públicos, y configuramos una alerta para que en el caso de ser introducidos, por ejemplo por la presencia de malware en algún equipo que está "trabajando internet", el servicio nos envíe una alerta para poder gestionar la inclusión.
Esta configuración la hacemos directamente desde la url de Alienvault, con nuestro usuario.


Espero que os sirvan estas ideas para implementar en vuestros escenarios de seguridad xD.

Gracias por leerme !!!