PROYECTO MONITOREO ALIENVAUL OSSIM

PRESENTADO POR:
YADIRA VASQUEZ
MICHAEL LEZAMA
LEONARDO RAMIREZ
HERNANDO FRANCO
ALXANDER USMA

DOCENTE:
JARBY JAVIER MEJIA BRITO
Administracin de Redes de Computo
231096

SERVICIO NACIONAL DE APRENDIZAJE SENA

CENTRO DE ELECTRICIDAD, ELECTRONICA Y
TELECOMUNICACIONES
BOGOTA D.C.
AGOSTO 22 DE 2012

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

PROYECTO MONITOREO ALIENVAUL OSSIM

PRESENTADO POR
YADIRA VASQUEZ
MICHAEL LEZAMA
LEONARDO RAMIREZ
HERNANDO FRANCO
ALXANDER USMA

Administracin de Redes de Computo

231096
.
SERVICIO NACIONAL DE APRENDIZAJE SENA
CENTRO DE ELECTRICIDAD, ELECTRONICA Y
TELECOMUNICACIONES
BOGOTA D.C.
AGOSTO 22 DE 2012

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Introduccin

AlienVault Open Source SIEM (OSSIM) es un sistema de seguridad integral en

cdigo abierto, ofrece como un producto de seguridad que permite integrar en una
nica consola todos los dispositivos y herramientas de seguridad que disponga en
la red, as como la instalacin de otras herramientas de cdigo abierto y de
reconocido prestigio como Snort, Openvas, Ntop y OSSEC.
Para acceder a toda la informacin recogida y generada por el sistema se hace
uso de una consola Web que adems permite configurar el sistema y ver el
estado global de nuestra red en tiempo real.

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Objetivo

El objetivo de este tutorial es proporcionar al usuario una gua paso a paso sobre
cmo instalar AlienVault Open Source SIEM, la configuracin, y algunos buenos
apuntes para tener en cuenta a la hora de instalarlo. Este documento tambin
cubre los conceptos bsicos y una breve explicacin de la funcin de la
herramienta AlienVault.

QUE ES OSSIM?

Este consiste en una consola de seguridad central, que nos permite gestionar y
saber el nivel de seguridad (mtrica) que tiene nuestra empresa. Se trata de un
proyecto Open Source.

Para tener en cuenta

Se debe tener en cuenta, que se debe usar la ultima versin del software, para
mejor aprovechamiento de la herramienta.

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Por qu un instalador?
AlienVault es un producto que integra ms de 30 herramientas Open Source. Tanto
el sistema operativo como muchas de las herramientas integradas, han sido
modificadas para mejorar su funcionamiento dentro del sistema. Es por ello que la
instalacin de AlienVault a partir del cdigo fuente requiere de unos amplos
conocimientos y de la compilacin de ms de 40 herramientas.
Para simplificar el complejo proceso de compilacin, instalacin y configuracin de
estas herramientas el equipo de desarrollo distribuye AlienVault dentro de un
instalador en el que se incluye el sistema operativo, los componentes
acompaados de un potente sistema de configuracin y actualizacin. El
instalador de AlienVault est basado en el sistema operativo Debian/GNU Linux y
est disponible para arquitecturas de 32 y 64 bits.
32 Bits o 64 Bits?
Es de vital importancia comprobar si nuestro procesador es de arquitectura es de
32 o de 64 Bits. En caso afirmativo podremos aprovecharnos de las ventajas que
ofrece esta arquitectura en cuanto a rendimiento. En determinados perfiles de
instalacin y dependiendo del trfico y del nmero de eventos a tratar es necesario
disponer de un hardware capaz de gestionar grandes volmenes de datos. La
arquitectura de 64 Bits permite, adems, el uso de una mayor cantidad de
memoria fsica.
Funcionamiento Bsico
1. Las aplicaciones generan eventos de seguridad
2. Los eventos son recogidos y normalizados
3. Los eventos son enviados a un servidor central
4. Valoracin del riesgo de cada evento
5. Correlacin de eventos
6. Almacenamiento de los eventos
7. Acceso a los eventos almacenados
8. Acceso a la configuracin
9. Acceso a mtricas e informes

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

10. Acceso a informacin en tiempo real del estado de nuestra red

Los eventos de seguridad son generados por las diferentes aplicaciones y
dispositivos que existan en la red. Estos eventos son recogidos y normalizados
por el Sensor de AlienVault, que se encarga adems de enviarlos a un servidor
central. En un despliegue de AlienVault podremos disponer de tantos Sensores
como necesitemos.

Perfiles de Instalacin
Dependiendo de la funcin del nuevo host en el despliegue de AlienVault es
posible configurar el perfil en uso. Esto puede ser configurado durante la
instalacin o despus de la instalacin. Por defecto la instalacin automatizada
permitir a todos los perfiles en el mismo equipo.
Sensor
El Sensor de AlienVault incluye una serie de herramientas (Snort, Ntop, Tcptrack,
Arpwatch) que permiten analizar todo el trfico de red en busca de problemas
de seguridad y anomalas. Para poder sacar provecho de esta funcionalidad de
AlienVault es imprescindible que el Sensor de AlienVault sea capaz de ver todo el
trfico de la red, bien sea utilizando un concentrador, o configurando un port
mirroring o port Span en la electrnica de red.
Todos los sensores de AlienVault envan sus eventos a un nico servidor de
AlienVault, que se encarga de efectuar una valoracin del riesgo para cada
evento, y en el que tambin tendr lugar el proceso de correlacin. Una vez estos
dos procesos han tenido lugar, los eventos son almacenados en la base de datos
de AlienVault.
Para tener acceso a toda esta informacin, as como a la configuracin del
sistema y a una serie de mtricas e informes haremos uso de la Consola Web de
AlienVault. Desde esta consola Web tambin tendremos acceso a informacin en
tiempo real a una serie de aplicaciones que nos facilitarn el anlisis del estado
global de nuestra red.
El perfil del Sensor habilitar a ambos, los detectores de AlienVault y el Colector.
Los detectores siguientes estn activados por defecto:

Snort (IDS a nivel de Red)

Ntop (Monitor de red y uso)

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Openvas (Gestin de Vulnerabilidad)

P0f (Sistema Operativo de Deteccin Pasiva)

Pads (Sistema Pasivo de Deteccin de Activos)

Arpwatch (Anomalas de cambios de mac)

OSSEC (IDS a nivel de Host)

Osiris (Monitor de integridad)

Nagios (Monitor de disponibilidad)

OCS (Inventario)

Una vez que el perfil de Sensor ha sido activado, usted puede desactivar el
detector de manera que slo se mantiene la funcionalidad de la coleccin.
Para obtener beneficio de las capacidades de deteccin de esas herramientas,
tendremos que configurar la red en el sensor de AlienVault de modo que:

Tiene acceso a la red que se est supervisando:

o Escner de Vulnerabilidades, Control de Disponibilidad, WMI Agentless collection, Coleccin Syslog

Recibe todo el trfico de la red. Es necesario configurar un port

mirroring/portspan o hacer uso de un concentrador (HUB) o Network tap.
o Snort, Ntop, Arpwatch, Generacin de Fujos, Pads, P0f

El perfil del Sensor configura el sistema para que est listo para recibir eventos de
hosts remotos usando el protocolo Syslog. Cada aplicacin o dispositivo tendr un
plugin asociado (conector DS) que define cmo recoger los sucesos de la
aplicacin o dispositivo, as como cmo los acontecimientos que deberan
normalizarse antes de enviarlos al servidor central de AlienVault.
Un despliegue AlienVault puede tener tantos sensores como le sea necesario,
bsicamente en funcin de las redes que estn siendo controladas y sobre la
distribucin geogrfica de la organizacin que ser objeto de seguimiento
utilizando AlienVault. Por lo general, es necesario configurar un sensor por red,
pero si instalamos ms de un interfaz de red y enrutamos el trafco configuramos

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

un port-mirroring sobre el, podremos monitorizar ms de una red en el mismo

sensor.

Server
Esta instalacin combina los perfiles SIEM y el componente Logger. Los sensores
se conectarn al servidor de AlienVault para enviar los eventos normalizados. Los
despliegues simples incluirn un Servidor nico en el despliegue. Ms despliegues
complejos podran tener ms de un Servidor con diferentes roles, o en caso de
que sea necesario para implementar el Servidor de AlienVault con alta
disponibilidad.
Framework
El perfil de Framework instalar y configurar el componente de la interfaz de
Gestin Web. Una nica interfaz de Gestin Web sern desplegada en cada
instalacin AlienVault. Ms despliegues complejos con mltiples Servidores
AlienVault pueden tener ms de un equipo con el perfil de Marco habilitado. El
Framework es el perfil de instalacin que utiliza la menor cantidad de memoria y
CPU. Por esta razn, el Framework se suele instalar con el perfil de Servidor.
Database
El perfil Database permitir a una base de datos MySQL almacenar la
configuracin y eventos (Si la funcionalidad SIEM est en uso). Por lo menos una
base de datos se requiere en cada despliegue. Incluso si slo el perfil SIEM es
habilitado, una base de datos ser necesaria para almacenar la informacin de los
inventarios y los parmetros de configuracin.
All-in-one
El perfil all-in-one habilitar a todos los perfiles en un solo equipo. Este es el perfil
de instalacin por defecto y se activa si el usuario realiza una instalacin
automatizada.
Requisitos
Requisitos de Hardware
Los requisitos de hardware para instalar AlienVault dependern en gran medida
del nmero de eventos por segundo y del ancho de banda de la red que
pretendamos analizar.

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Como requisito mmimo siempre es recomendable disponer de al menos 2GB de

memoria RAM, cantidad que deberemos ir incrementando en funcin del trfico
que analicemos, del nmero de eventos que tenga que procesar el servidor o de la
cantidad de datos que pretendamos almacenar en base de datos. Para optimizar
el uso de recursos es imprescindible que utilicemos unicamente las aplicaciones y
componentes que nos resultarn de utilidad en cada caso.
La diferencia de rendimiento entre 32 Bits y 64 Bits es ms que considerable, por
lo que siempre deberemos tratar de escoger esta arquitectura a la hora de escoger
nuestro hardware.
A la hora de seleccionar las tarjetas de red para realizar la captura del trfico,
deberemos procurar escoger aquellas soportadas por el driver e1000. El desarrollo
Open Source de este driver garantiza una buena compatibilidad de estas tarjetas
con Debian GNU/Linux.
Siempre deberemos dedicar las tarjetas de red con peores especificaciones, o
aquellas que ofrezcan problemas de compatibilidad a la recogida de eventos de
otros dispositivos o como interfaz de gestin.
Requisitos de red
Para poder llevar a cabo un buen despliegue de AlienVault es importante conocer
bien la electrnica de red de la que disponemos para poder configurar un port
mirroring en los dispositivos de red que lo soporten. Hay que tener un especial
cuidado a la hora de configurar el port mirroring para evitar principalmente dos
cosas:

Trfico duplicado : Se da en el caso en que estoy viendo el mismo trfico

en dos port mirroring configurados en diferentes dispositivos de la misma
red.

Trfico que no se puede analizar : En ocasiones puede no tener sentido

configurar un port mirroring en un punto de la red en el que todo el trfico es
canalizado utilizando una VPN o dems protocolos que envan los datos
cifrados.

Adems del port mirroring, es necesario preparar con anterioridad las diferentes
direcciones IP que vamos asignar a los componentes de AlienVault, teniendo en
cuenta que muchos de estos componentes debern tener acceso a la red que
estn monitorizando.

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Como ejemplo, si decidimos hacer uso de OpenVas para realizar escaneos de

vulnerabilidades a nuestra red deberemos asegurarnos de que la mquina en que
se est ejecutando OpenVas tiene permisos en el Firewall para acceder a los
equipos que se dispone a analizar.
Para poder normalizar los diferentes eventos, el Sensor de AlienVault tambin
deber tener acceso al DNS de la organizacin, logrando de este modo obtener
las direcciones IP a partir de los nombres de las mquinas.

Topologia

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Instalacion OSSIM

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Seleccione automated installation

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Se selecciona el idioma espaol

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Seleccionamos el pais

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Seleccionamos la configuracin del teclado en espaol

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Configuramos la IP con 192.168.5.xxx

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Mascara de subred

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Configuracin de la red

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Nos pregunta la direccin IP del name server

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Configuramos el nombre de la maquina por default nos aparece ailenvault, pero

puse OSSIM para diferenciar que se va a usar OSSIM

Configuracin del dominio redes.com

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Configuracion del reloj

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Nos indica las formas en que queremos formatear el disco, en este caso guiado
utilizando todo el disco

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Escogemos la particin que deseamos, en este caso escojo la de VMware

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Instalando sistema operativo

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Ponemos clave al usuario ROOT

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Finalizar intalacion

Comenzando ossim

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Se ingresa con el super usuario y la contrasea

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

CONFIGURACION OSSIM

1.- Configurar Interfaces de Red (Interfaces Ethernet)

Primero configuramos una tarjeta con ip ej: 192.168.5.xxx y otra tarjeta la
configuramos en modo promiscuo para capturar paquetes de nuestra red.
- Editamos la configuracin /etc/network/interface:
nano /etc/network/interfaces
# The loopback network interface
auto lo eth0 eth1
iface lo inet loopback
# The primary network interface
#allow-hotplug eth1
iface eth0 inet manual
up ifconfig $IFACE 0.0.0.0 up
up ifconfig $IFACE promisc
down ifconfig $IFACE down
iface eth1 inet static
address 192.168.5.xxx (ip del servidor)
netmask 255.255.255.0 (mascara de red)
network 192.168.5.xxx (inicio de segmento de red)
broadcast 192.168.5.255 (final de segmento de red)
gateway 192.168.5.1 (puerta de enlace)
dns-nameservers 192.168.5.10 (servidor dns)
dns-search mundoredes.com (grupo de trabajo)
Ejemplo

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

- Guardar los cambios y reiniciamos las instancias de red con el comando:

/etc/init.d/networking restart

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

- Con este commando veremos si los cambios fueron efectuados: ifconfig

- Cambiar la contrasea de ntop: ntop A

Contrasea andr34920919 usuario admin

- Reiniciar el servidor: reboot

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

2.- Resetear la contasea de MYSQL.

- Detenemos mysql
/etc/init.d/mysql stop
- Iniciamos el servicio de mysql en modo seguro, ejecutamos:
/usr/bin/mysqld_safe --user=root --pid-file=/var/run/mysqld/mysqld.pid --skip-grant
tables &

- Entramos en la consola con usuario root:

/usr/bin/mysql -u root mysql

- Reseteamos la contrasea de usuario root:

update user set password=password('passwordnuevoMYSQL') where User='root'
and host='localhost';

- flush privileges;

- Damos derechos a root@localhost: grant all privileges on *.* to root@'localhost';

- Si queremos entrar de una ip especifica a la base de datos mysql:

GRANT ALL PRIVILEGES ON *.* TO root@'192.168.5.2' IDENTIFIED BY
'sena231096';

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

- Salimos de la consola con: exit

- Editar archivo my.cnf
nano /etc/mysql/my.cnf

- Guardamos el archivo y reiniciamos el servicio de mysql: /etc/init.d/mysql restart

El primer archivo a modificar es el /etc/ossim/ossim_setup.conf
nano /etc/ossim/ossim_setup.conf
Cambiamos las siguientes lneas:
Admin_ip=192.168..5.xxx
Domain=nombre del dominio
interface=eth0 (interfas que utiliza el servidor en modo promiscuo)

[database]
db_ip=localhost
pass=passwordMYSQL (debe ser el mismo password que se configure en mysql)

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

[framework]
Framework_ip= 192.168.5.xxx

[sensor]
interfaces=eth0
ip=192.168.5.xxx (ip del sensor que es la misma ip del equipo)

[server]
server_ip=192.168.5.xxx (ip del servidor que es la misma ip del equipo)

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

[snmp]
Snmpd=yes
Snmptrap=yes

- Guardamos los cambios y modificamos el siguiente archivo:

nano /etc/ossim/framework/ossim.conf
#################################################
# OSSIM db configuration
#################################################
ossim_pass=passwordMYSQL
ossim_host=localhost

##################################################
# OSSIM control access list configuration (phpGACL)
##################################################
phpgacl_host=localhost
phpgacl_pass=passwordMYSQL (el password debe ser = al que se cambio en
mysql)

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Guardamos los cambios y modificamos el siguiente archivo:

nano /etc/snort/snort.debian.conf
DEBIAN_SNORT_HOME_NET="192.168.5.0/24, 172.16.0.0/16, 10.0.0.0/8"
DEBIAN_SNORT_INTERFACE="eth0" (interfaz en modo promiscuo)

Guardamos los cambios y despus reconfiguramos el ossim:

/usr/bin/ossim-reconfig

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

- Reiniciar el servidor: reboot

3 Ingresamos a una maquina con el sistema operativo preferido (Microsoft,
Linux,etc) que tenga instalado java, flash player y adobe read
-Abrimos cualquier navegador de internet (opera,chrome, mozilla
firefox,interneet explorer etc)

Escribimos en la barra del buscador la direccin ip de OSSIM 192.168.5.xxx

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Entramos por primera vez a la consola de ossim, el usurio y contrasea es

admin
231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

Luego nos pide cambiar la contrasea mas de 10 caracteres alfanumericos

Ingresamos por primera vez a la consola de ossim

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET

NOTA! Para que la actividad resulte al 100%, la maquina desde donde accedemos
a la consola ossim debemos tener activo el servidor DHCP (configurado con
anterioridad con el mismo rango de OSSIM), el cual nos arrojara la direccion IP
para la maquina, no debemos tener ningn proxy activo.
Recomendaciones generales

En entornos de produccin siempre est recomendado el uso de

arquitecturas de 64 bits, ya que existe una gran diferencia de rendimiento
comparado con la versin de 32 bits.

Debemos procurar no instalar nunca un Sensor en un entorno virtualizado

debido al modo en que estas herramientas de virtualizacin gestionan las
interfaces de red, que provoca que una gran cantidad del trfico de red se
pierda sin haber sido analizado.

Nunca se debe instalar software que obligue a modificar o incluir nuevas

entradas en el fichero en que se almacenan los repositorios del software
( /etc/apt/sources.list)

AlienVault siempre va a apoyar la ltima versin estable de Debian GNU /

Linux. Si una nueva versin de Debian se libera a los desarrolladores
proporcionar una gua sobre cmo actualizar a la nueva versin.

No exeiste limitacin en el software que se puede instalar en las mquinas

pero tenga en cuenta el elevado consumo de memoria y CPU de algunas
aplicaciones al instalar nuevo software. Como ejemplo, nunca debe instalar
un entorno de escritorio en sus mquinas AlienVault.

231096

ADMINISTRACION DE REDES DE COMPUTO

CEET