Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Instalacion OSSIM
Instalacion OSSIM
PRESENTADO POR:
YADIRA VASQUEZ
MICHAEL LEZAMA
LEONARDO RAMIREZ
HERNANDO FRANCO
ALXANDER USMA
DOCENTE:
JARBY JAVIER MEJIA BRITO
Administracin de Redes de Computo
231096
231096
CEET
PRESENTADO POR
YADIRA VASQUEZ
MICHAEL LEZAMA
LEONARDO RAMIREZ
HERNANDO FRANCO
ALXANDER USMA
231096
CEET
Introduccin
231096
CEET
Objetivo
El objetivo de este tutorial es proporcionar al usuario una gua paso a paso sobre
cmo instalar AlienVault Open Source SIEM, la configuracin, y algunos buenos
apuntes para tener en cuenta a la hora de instalarlo. Este documento tambin
cubre los conceptos bsicos y una breve explicacin de la funcin de la
herramienta AlienVault.
QUE ES OSSIM?
Este consiste en una consola de seguridad central, que nos permite gestionar y
saber el nivel de seguridad (mtrica) que tiene nuestra empresa. Se trata de un
proyecto Open Source.
Se debe tener en cuenta, que se debe usar la ultima versin del software, para
mejor aprovechamiento de la herramienta.
231096
CEET
Por qu un instalador?
AlienVault es un producto que integra ms de 30 herramientas Open Source. Tanto
el sistema operativo como muchas de las herramientas integradas, han sido
modificadas para mejorar su funcionamiento dentro del sistema. Es por ello que la
instalacin de AlienVault a partir del cdigo fuente requiere de unos amplos
conocimientos y de la compilacin de ms de 40 herramientas.
Para simplificar el complejo proceso de compilacin, instalacin y configuracin de
estas herramientas el equipo de desarrollo distribuye AlienVault dentro de un
instalador en el que se incluye el sistema operativo, los componentes
acompaados de un potente sistema de configuracin y actualizacin. El
instalador de AlienVault est basado en el sistema operativo Debian/GNU Linux y
est disponible para arquitecturas de 32 y 64 bits.
32 Bits o 64 Bits?
Es de vital importancia comprobar si nuestro procesador es de arquitectura es de
32 o de 64 Bits. En caso afirmativo podremos aprovecharnos de las ventajas que
ofrece esta arquitectura en cuanto a rendimiento. En determinados perfiles de
instalacin y dependiendo del trfico y del nmero de eventos a tratar es necesario
disponer de un hardware capaz de gestionar grandes volmenes de datos. La
arquitectura de 64 Bits permite, adems, el uso de una mayor cantidad de
memoria fsica.
Funcionamiento Bsico
1. Las aplicaciones generan eventos de seguridad
2. Los eventos son recogidos y normalizados
3. Los eventos son enviados a un servidor central
4. Valoracin del riesgo de cada evento
5. Correlacin de eventos
6. Almacenamiento de los eventos
7. Acceso a los eventos almacenados
8. Acceso a la configuracin
9. Acceso a mtricas e informes
231096
CEET
Perfiles de Instalacin
Dependiendo de la funcin del nuevo host en el despliegue de AlienVault es
posible configurar el perfil en uso. Esto puede ser configurado durante la
instalacin o despus de la instalacin. Por defecto la instalacin automatizada
permitir a todos los perfiles en el mismo equipo.
Sensor
El Sensor de AlienVault incluye una serie de herramientas (Snort, Ntop, Tcptrack,
Arpwatch) que permiten analizar todo el trfico de red en busca de problemas
de seguridad y anomalas. Para poder sacar provecho de esta funcionalidad de
AlienVault es imprescindible que el Sensor de AlienVault sea capaz de ver todo el
trfico de la red, bien sea utilizando un concentrador, o configurando un port
mirroring o port Span en la electrnica de red.
Todos los sensores de AlienVault envan sus eventos a un nico servidor de
AlienVault, que se encarga de efectuar una valoracin del riesgo para cada
evento, y en el que tambin tendr lugar el proceso de correlacin. Una vez estos
dos procesos han tenido lugar, los eventos son almacenados en la base de datos
de AlienVault.
Para tener acceso a toda esta informacin, as como a la configuracin del
sistema y a una serie de mtricas e informes haremos uso de la Consola Web de
AlienVault. Desde esta consola Web tambin tendremos acceso a informacin en
tiempo real a una serie de aplicaciones que nos facilitarn el anlisis del estado
global de nuestra red.
El perfil del Sensor habilitar a ambos, los detectores de AlienVault y el Colector.
Los detectores siguientes estn activados por defecto:
231096
CEET
OCS (Inventario)
Una vez que el perfil de Sensor ha sido activado, usted puede desactivar el
detector de manera que slo se mantiene la funcionalidad de la coleccin.
Para obtener beneficio de las capacidades de deteccin de esas herramientas,
tendremos que configurar la red en el sensor de AlienVault de modo que:
El perfil del Sensor configura el sistema para que est listo para recibir eventos de
hosts remotos usando el protocolo Syslog. Cada aplicacin o dispositivo tendr un
plugin asociado (conector DS) que define cmo recoger los sucesos de la
aplicacin o dispositivo, as como cmo los acontecimientos que deberan
normalizarse antes de enviarlos al servidor central de AlienVault.
Un despliegue AlienVault puede tener tantos sensores como le sea necesario,
bsicamente en funcin de las redes que estn siendo controladas y sobre la
distribucin geogrfica de la organizacin que ser objeto de seguimiento
utilizando AlienVault. Por lo general, es necesario configurar un sensor por red,
pero si instalamos ms de un interfaz de red y enrutamos el trafco configuramos
231096
CEET
Server
Esta instalacin combina los perfiles SIEM y el componente Logger. Los sensores
se conectarn al servidor de AlienVault para enviar los eventos normalizados. Los
despliegues simples incluirn un Servidor nico en el despliegue. Ms despliegues
complejos podran tener ms de un Servidor con diferentes roles, o en caso de
que sea necesario para implementar el Servidor de AlienVault con alta
disponibilidad.
Framework
El perfil de Framework instalar y configurar el componente de la interfaz de
Gestin Web. Una nica interfaz de Gestin Web sern desplegada en cada
instalacin AlienVault. Ms despliegues complejos con mltiples Servidores
AlienVault pueden tener ms de un equipo con el perfil de Marco habilitado. El
Framework es el perfil de instalacin que utiliza la menor cantidad de memoria y
CPU. Por esta razn, el Framework se suele instalar con el perfil de Servidor.
Database
El perfil Database permitir a una base de datos MySQL almacenar la
configuracin y eventos (Si la funcionalidad SIEM est en uso). Por lo menos una
base de datos se requiere en cada despliegue. Incluso si slo el perfil SIEM es
habilitado, una base de datos ser necesaria para almacenar la informacin de los
inventarios y los parmetros de configuracin.
All-in-one
El perfil all-in-one habilitar a todos los perfiles en un solo equipo. Este es el perfil
de instalacin por defecto y se activa si el usuario realiza una instalacin
automatizada.
Requisitos
Requisitos de Hardware
Los requisitos de hardware para instalar AlienVault dependern en gran medida
del nmero de eventos por segundo y del ancho de banda de la red que
pretendamos analizar.
231096
CEET
Adems del port mirroring, es necesario preparar con anterioridad las diferentes
direcciones IP que vamos asignar a los componentes de AlienVault, teniendo en
cuenta que muchos de estos componentes debern tener acceso a la red que
estn monitorizando.
231096
CEET
Topologia
231096
CEET
Instalacion OSSIM
231096
CEET
231096
CEET
231096
CEET
Seleccionamos el pais
231096
CEET
231096
CEET
231096
CEET
231096
CEET
Mascara de subred
231096
CEET
Configuracin de la red
231096
CEET
231096
CEET
231096
CEET
231096
CEET
Nos indica las formas en que queremos formatear el disco, en este caso guiado
utilizando todo el disco
231096
CEET
231096
CEET
231096
CEET
231096
CEET
Finalizar intalacion
Comenzando ossim
231096
CEET
231096
CEET
CONFIGURACION OSSIM
231096
CEET
231096
CEET
231096
CEET
- flush privileges;
231096
CEET
[database]
db_ip=localhost
pass=passwordMYSQL (debe ser el mismo password que se configure en mysql)
231096
CEET
[framework]
Framework_ip= 192.168.5.xxx
[sensor]
interfaces=eth0
ip=192.168.5.xxx (ip del sensor que es la misma ip del equipo)
[server]
server_ip=192.168.5.xxx (ip del servidor que es la misma ip del equipo)
231096
CEET
[snmp]
Snmpd=yes
Snmptrap=yes
##################################################
# OSSIM control access list configuration (phpGACL)
##################################################
phpgacl_host=localhost
phpgacl_pass=passwordMYSQL (el password debe ser = al que se cambio en
mysql)
231096
CEET
231096
CEET
231096
CEET
231096
CEET
231096
CEET
CEET
231096
CEET
NOTA! Para que la actividad resulte al 100%, la maquina desde donde accedemos
a la consola ossim debemos tener activo el servidor DHCP (configurado con
anterioridad con el mismo rango de OSSIM), el cual nos arrojara la direccion IP
para la maquina, no debemos tener ningn proxy activo.
Recomendaciones generales
231096
CEET