Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TRABAJO DE GRADUACIN
INFORMTICO
QUITO ECUADOR
2012
DEDICATORIA
Este trabajo de graduacin se lo dedico a Dios y a mis padres por velar por m para que sea
una persona de bien, por la educacin recibida en mi hogar, por sus consejos, por el amor
que me brindan.
Alexandra
Freddy
Dennis Ricardo
ii
AGRADECIMIENTOS
Agradezco a Dios, por darme la fuerza, sabidura y salud para lograr mis
objetivos, adems de su infinita bondad y amor, a mi madre Gladys por su
ejemplo de perseverancia, por su apoyo pero sobre todo por su amor
incondicional, a mi padre Juan por estar presente en los momentos difciles
siendo la fuerza que me impuls a seguir, a mis hermanos Gabriel y
Johanna por su paciencia y cario, a todos los amigos y seres queridos que
estuvieron presentes apoyndome incondicionalmente, gracias a todos ellos
que han sido la fuente de motivacin para seguir adelante.
Alexandra
iii
A la Universidad Central del Ecuador y a sus buenos maestros por las
enseanzas y experiencia por su aporte en mi formacin profesional.
A mi amada esposa Noemi y mi hija Giulianna gracias por ser todo en mi
vida.
A mis compaeros de trabajo por su ayuda y confianza muy en especial al
Ingeniero Edison Martnez por su desinteresado apoyo y como fuente de
sabidura muchas gracias amigo.
A mi jefe y hermano Vinicio por la confianza en todos los aspectos de mi
vida.
A mis amigos Dennis, Alexandra, Gerardo, y todos aquellos que estuvieron a
lo largo de toda la carrera.
Freddy
Dennis Ricardo
iv
AUTORIZACIN DE LA AUTORA INTELECTUAL
v
CERTIFICACIN
vi
CONTENIDO
DEDICATORIA ................................................................................................ II
CERTIFICACIN ............................................................................................ VI
CONTENIDO.................................................................................................. VII
CAPITULO 2 .................................................................................................... 6
2.4 Vulnerabilidades............................................................................................................. 18
ix
CAPITULO 4 .................................................................................................. 35
CAPTULO 5 .................................................................................................. 68
CAPTULO 6 .................................................................................................. 83
x
6.1.1 Instalacin de Apache-PHP .................................................................................. 83
6.1.2 Instalacin de Mysql ............................................................................................. 83
6.1.3 Instalacin de server OSSIM ................................................................................ 85
6.1.4 Instalacin del agente de OSSIM ......................................................................... 85
LISTA DE ANEXOS
ANEXO 1Valoracin de Activos ................................................................. 170
ANEXO 2 Fotos......................................................................................... 194
ANEXO 3 Manual Tcnico ......................................................................... 199
ANEXO 4 Manual de Instalacin ................................................................ 231
ANEXO 5 Manual de Usuario..................................................................... 246
ANEXO 6 Anlisis de Resultados .............................................................. 268
ANEXO 7 Pruebas de Aceptacin de Usuario ........................................... 269
xiii
LISTA DE TABLAS
xvi
LISTA DE DIAGRAMAS
xvii
Diagrama 22 Identificacin de enlaces de la Facultad de Ingeniera Qumica
hacia Hidrulica.......................................................................................... 191
Diagrama 23 Identificacin de enlaces del edificio de aulas hacia la Facultad
de Ingeniera Qumica hacia laboratorio de Posgrado. .............................. 191
Diagrama 24 Identificacin de enlaces del edificio de resistencia hacia el
edificio de aulas ......................................................................................... 192
Diagrama 25 Identificacin de enlaces del edificio de resistencia hacia el
edificio de suelos........................................................................................ 192
Diagrama 26 Identificacin de enlaces del laboratorio de computadoras
hacia el laboratorio de suficiencia .............................................................. 193
Diagrama 27 Diagrama servicio web ........................................................ 193
xviii
LISTA DE FOTOS
xix
LISTA DE GRFICOS
Grfico 1 Gestin de riesgo ......................................................................... 22
Grfico 2. Seguridad de la informacin ........................................................ 24
Grfico 3 Snort como sniffer......................................................................... 88
Grfico 5 Funcionamiento de ntop ............................................................... 91
Grfico 6 Funcionamiento de Nagios ........................................................... 93
Grfico 7 Envo de Correos .......................................................................... 95
Grfico 8 Escaneo de activos....................................................................... 95
Grfico 9 Ocs Inventory ............................................................................... 97
Grfico 10 Funcionamiento Nfsen .............................................................. 100
Grfico 11 Men de activos ....................................................................... 112
Grfico 12 Registro individual de Activos ................................................... 113
Grfico 13 Modificacin de activos ............................................................. 114
Grfico 14 Inventario de Activos ................................................................ 115
Grfico 15 Credenciales del activo ............................................................. 115
Grfico 16 Registro grupo de equipos ........................................................ 116
Grfico 17 Registro de redes ..................................................................... 117
Grfico 18 registro de puertos .................................................................... 118
Grfico 19 Bsqueda avanzada ................................................................. 119
Grfico 20 Descubrimiento de activos ........................................................ 119
Grfico 21 Descubrimiento de activos ....................................................... 120
Grfico 22 Trfico de flujos de red ............................................................. 121
Grfico 23 Reporte de trfico de paquetes y bits ....................................... 122
Grfico 24. Anlisis de grficas de trfico .................................................. 123
Grfico 25. Protocolo global de distribucin ............................................... 124
Grfico 26 Distribucin global del protocolo TCP/UDP .............................. 124
Grfico 27 Trfico en el ltimo minuto ........................................................ 125
Grfico 28 Informacin de host .................................................................. 125
Grfico 29 Informacin general del trfico del equipo ................................ 126
Grfico 30 Estadsticas de trfico por host ................................................. 126
xx
Grfico 31 Paquetes estadsticos por host ................................................. 127
Grfico 32 Distribucin de protocolos por host........................................... 127
Grfico 33 Grfica del ancho de banda de la red ....................................... 127
Grfico 34 Trfico de red de todos los protocolos para cada host ............. 128
Grfico 35 Trfico de red de todos los hosts .............................................. 128
Grfico 36 Estadsticas de la red ............................................................... 128
Grfico 37 Topologa de red....................................................................... 129
Grfico 38 Disponibilidad de servicios ....................................................... 130
Grfico 39 Primer paso reporte de disponibilidad ...................................... 130
Grfico 40 Segundo paso reporte de disponibilidad................................... 131
Grfico 41 Tercer paso reporte de disponibilidad....................................... 131
Grfico 42 Reporte Generado .................................................................... 131
Grfico 43 Seguridad de Informacin y eventos ........................................ 132
Grfico 44 Eventos en tiempo real ............................................................. 132
Grfico 45 Eventos generados ................................................................... 133
Grfico 46 Visualizacin de eventos consultados ...................................... 133
Grfico 47 Bsqueda avanzada de eventos .............................................. 134
Grfico 48 Tipos de ejecucin de consultas de eventos ............................ 134
Grfico 49 Consultas por fechas de eventos.............................................. 134
Grfico 50 Criterios de bsquedas y resmenes estadsticos.................... 135
Grfico 51 Eventos recolectados ............................................................... 135
Grfico 52 Administracin de vulnerabilidades .......................................... 138
Grfico 53 Interfaz grfica de trabajos escaneados ................................... 139
Grfico 54 Vulnerabilidades actuales ......................................................... 140
Grfico 55 Parmetros de consultas de vulnerabilidades .......................... 140
Grfico 56 Bases de datos de amenazas .................................................. 141
Grfico 57 Identificacin de reglas ............................................................. 141
Grfico 58 Clave CVE ................................................................................ 142
Grfico 59 Bsquedas por reglas ............................................................... 142
Grfico 60 Trabajos de escaneo ................................................................ 143
xxi
Grfico 61 Escaneo en tiempo real ............................................................ 143
Grfico 62 Trabajos programados.............................................................. 144
Grfico 63 Escaneos .................................................................................. 144
Grfico 64 Identificacin de leyendas ........................................................ 145
Grfico 65 Nuevos trabajos de escaneo .................................................... 146
Grfico 66 Combo plugins .......................................................................... 146
Grfico 67 Activos a realizar el trabajo de escaneo ................................... 147
Grfico 68 Nuevo trabajo de escaneo ........................................................ 148
Grfico 69 HIDS ......................................................................................... 148
Grfico 70 Primer paso creacin de polticas ............................................. 151
Grfico 71 Puertos de destino .................................................................... 152
Grfico 72 Grupos OD ............................................................................... 152
Grfico 73 Sensores .................................................................................. 153
Grfico 74 Consecuencias de la poltica .................................................... 153
Grfico 75 Cuadro de polticas creadas ..................................................... 154
Grfico 76 Acciones de poltica ................................................................ 155
Grfico 77 Propiedades de las directivas ................................................... 155
Grfico 78 Correlacin cruzada.................................................................. 156
Grfico 79 Alarmas .................................................................................... 156
Grfico 80 Filtros de alarmas ..................................................................... 157
Grfico 81 Calendario de alarmas.............................................................. 158
Grfico 82 Agrupacin de alarmas ............................................................. 158
Grfico 83 Alarmas Generadas .................................................................. 159
Grfico 84 Vista detallada de alarmas ....................................................... 159
Grfico 85 Informacin de alarmas ............................................................ 160
Grfico 86 Base de datos de conocimientos ............................................. 160
Grfico 87 Generacin de nuevo documento ............................................. 161
Grfico 88 Seleccin de nuevo documento ................................................ 161
Grfico 89 Cambiar de propietario ............................................................. 162
Grfico 90 Ficheros adjuntos ..................................................................... 162
xxii
Grfico 91 Relaciones para documento ..................................................... 163
xxiii
RESUMEN
CENTRO DE GESTIN DE RIESGOS PARA MONITOREO
DE REDES, EN LA FACULTAD DE INGENIERA
CIENCIAS FSICAS Y MATEMTICA
DESCRIPTORES:
The faculty did not have an asset inventory and valuation of each of them,
which is why it was necessary to know the IT assets and risk, to protect
information; this study was made by the Analysis and Management
Methodology Risk Information System (Magerit v2.0).
DESCRIPTORS
xxv
Centro de gestin de riesgos para monitoreo de redes
CAPITULO 1
1.1 Introduccin
1
Centro de gestin de riesgos para monitoreo de redes
1.2 Objetivos
2
Centro de gestin de riesgos para monitoreo de redes
1.3 Alcance
Ponderar los activos valorados para que a travs del sistema de monitoreo,
el riesgo de cada evento generado en cada activo pueda ser valorado
indicando el impacto global de los ataques a nivel del sistema.
1.4 Justificacin
3
Centro de gestin de riesgos para monitoreo de redes
1.5 Limitaciones
1
Las fases de la gestin de riesgo son: Anlisis de Riesgo, clasificacin del riesgo, control de riesgo,
reduccin de riesgo.
4
Centro de gestin de riesgos para monitoreo de redes
Monitores:
Nessus Monitor
Nmap
Ntop
Ossim-Monitor
Sesion-Monitor
Tcptrack-Monitor
Sistema operativo Debian GNU/Linux 5
Una de las ventajas que se tiene con Debian es que soporta casi todas las
arquitecturas de computador, es el lder mundial en la distribucin no
comercial de Linux totalmente gratis. Maneja de mejor manera la gestin de
paquetes de instalacin, actualizacin, configuracin y eliminacin de
paquetes de software, esto lo hace un sistema totalmente integrado que
permite actualizaciones continuas sin que esto afecte al sistema ni a sus
configuraciones, la mayora de paquetes dependientes se manejan de forma
automtica evitando as errores de dependencias comunes en sistemas
como Red Hat y Suse, adems utiliza los comandos estndar de Unix.
2
Basado en http://www.tabyengineering.com/index.php
5
Centro de gestin de riesgos para monitoreo de redes
CAPITULO 2
Descripcin de la metodologa
3
Tomado de: MAGERIT versin 2, Libro 1, pg. 6. Julio del 2011.
6
Centro de gestin de riesgos para monitoreo de redes
Proponer salvaguardas.
OCTAVE
CRAMM
4
http://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+Riesgo-CRAMM
8
Centro de gestin de riesgos para monitoreo de redes
IRAM
CORAS
SOMAP Auditabilidad
FAIR Mal uso
divulgacin
Tabla 1. Comparacin de las metodologas
Leyenda: completo satisfactorio pobre no tiene
2.2 Activos
10
Centro de gestin de riesgos para monitoreo de redes
[S] Servicios
Son soluciones que satisfacen una necesidad de los usuarios como: servicio
de internet, correo electrnico, etc., para ello se requieren un conjunto de
medios.
Dentro de este grupo se encuentran los servicios prestados por la
organizacin, por ejemplo:
[SW] Aplicaciones
Son las tareas que han sido automatizadas por un equipo informtico, stas
gestionan, analizan y transforman los datos permitiendo la explotacin de la
informacin para la prestacin de los servicios.
Ejemplos de aplicaciones son:
[office] ofimtica
[backup] sistema de backup
2.2.3 Valoracin
Para valorar los activos se puede elegir dos criterios de valoracin: criterio
cualitativo y el criterio cuantitativo
12
Centro de gestin de riesgos para monitoreo de redes
10 Muy alto
CRITERIOS DE VALORACIN
9
8 valor criterio descripcin
Alto
7 10 muy alto dao muy grave a la
6 organizacin
Medio
5 07 - 09 alto dao grave a la organizacin
4 04 - 06 medio dao importante a la organizacin
Bajo
3 01 - 03 bajo dao menor a la organizacin
2
Despreciable 0 despreciable irrelevante a efectos prcticos
1
0
Tabla 2 Criterios de Valoracin
Autor: Magerit
Fuente: Magerit libro II, pg. 19.
13
Centro de gestin de riesgos para monitoreo de redes
14
Centro de gestin de riesgos para monitoreo de redes
2.3 Amenazas
15
Centro de gestin de riesgos para monitoreo de redes
16
Centro de gestin de riesgos para monitoreo de redes
A.7 Uso no previsto: Uso de los recursos del sistema para fines personales.
2.4 Vulnerabilidades.
AMENAZA
VULNERABILIDAD
ACTIVO
Diagrama 1 Vulnerabilidades
Autor: tesistas
Fuente: Desarrollado por tesistas
18
Centro de gestin de riesgos para monitoreo de redes
2.5 Impacto
2.6 Salvaguardas
Las salvaguardas son medidas para reducir el impacto del riesgo sobre el
activo, para reducir el riesgo se necesita mejorar las salvaguardas que se
encuentran en funcionamiento o la generacin o incorporacin de nuevas
salvaguardas.
5
Tomado de Magerit v2.0 libro 1 pgina 23.
19
Centro de gestin de riesgos para monitoreo de redes
2.7 Riesgo
6
Tomado del libro 1 de Magerit v2.0 pg. 24
20
Centro de gestin de riesgos para monitoreo de redes
Proceso sistemtico para estimar la magnitud de los riesgos a los que est
expuesta una organizacin.
21
Centro de gestin de riesgos para monitoreo de redes
Gestin de Riesgo
Analisis de Clasificacin de
Riesgo Riesgo
Control de Reduccin de
Riesgo Riesgo
22
Centro de gestin de riesgos para monitoreo de redes
CAPITULO 3
23
Centro de gestin de riesgos para monitoreo de redes
SEGURIDAD DE LA INFORMACIN
Confidencialidad
Disponibilidad
Datos y
Servicios
Integridad
3.3 Monitorizacin
3.3.1 Sensores
Los sensores se dividen en Detectores y Monitores, que se encargan de la
coleccin y normalizacin de eventos.
24
Centro de gestin de riesgos para monitoreo de redes
3.3.2 Detectores
Son herramientas recolectoras de patrones en la red que lo ejecutan en
tiempo real, para que puedan producir eventos, dependiendo de su fiabilidad
y sensibilidad, es decir que pueda ofrecer un grado de certeza y capacidad
de anlisis ante un posible ataque.
3.3.3 Monitores
Los IDS son herramientas que nos permiten detectar o monitorear accesos
no permitidos, restringidos o sospechosos a la red como por ejemplo
ataques informticos.
Existen dos tipos de IDS que son los Host IDS y los Network IDS.
25
Centro de gestin de riesgos para monitoreo de redes
Son IDS basado en red, este tipo de IDS analiza los paquetes que se
transmiten a travs de la red analizando cada uno de ellos esto quiere decir
que trabajan como sniffer de la red. Luego los paquetes son analizados en
busca de patrones que comprometan la seguridad mediante algn tipo de
ataque.
Una herramienta de deteccin de intrusos es Snort, que tiene caractersticas
de disponer el cdigo fuente abierto a travs de licencia GPL, por lo que es
factible realizar modificaciones y adaptaciones de nuevos cambios en el
cdigo, adems que dispone de una base de datos de firmas de ataques
actualizada, tiene la funcionalidad de trabajar con mdulos especficos en la
base de datos.
26
Centro de gestin de riesgos para monitoreo de redes
27
Centro de gestin de riesgos para monitoreo de redes
3.9.1 Correlacin
Correlacin es la posibilidad de ver los eventos de todos los sistemas en un
mismo lugar y en el mismo formato, desde este punto de vista privilegiado,
compara y procesa la informacin, lo que permite mejorar la capacidad de
deteccin y priorizacin de los eventos de acuerdo al contexto en que se
produjeron adems de monitorear la seguridad de la red.
3.9.2 Snort
7
http://es.wikipedia.org/wiki/Gestin_del_conocimiento
28
Centro de gestin de riesgos para monitoreo de redes
Los IDS buscan patrones definidos que impliquen cualquier tipo de actividad
sospechosa o maliciosa sobre la red. Adems contribuyen a la capacidad de
prevencin y de alerta anticipada ante cualquier actividad sospechosa,
examinan los paquetes analizndolos en busca de datos inseguros.
3.10 Nagios
Caractersticas:
29
Centro de gestin de riesgos para monitoreo de redes
Manejadores de eventos
3.11 Nessus
Ventajas
8
NESSUS Network Auditing Edit Syngress p. 28
30
Centro de gestin de riesgos para monitoreo de redes
Caractersticas:
Las caractersticas que hacen que Nessus sea una de las herramientas ms
reconocidas por los administradores de red son las siguientes:
3.12 Nmap
Caractersticas
9
NESSUS Network Auditing Edit Syngress p. 28
31
Centro de gestin de riesgos para monitoreo de redes
3.13 Ntop
Caractersticas y funcionalidades
Analiza los paquetes que generan trfico en la red, lista y ordena el trfico de
red de acuerdo con varios protocolos, muestra estadsticas de trfico,
almacena estadsticas de forma permanentemente en la base de datos,
identifica pasivamente informacin relacionada con los hosts de la red,
incluyendo el sistema operativo ejecutado, muestra la distribucin de trfico
IP entre varios protocolos de la capa de aplicacin, decodifica varios
protocolos de la capa de aplicacin, incluso los encontrados en software de
tipo P2P, acta como recolector de flujos generados por ruteadores y
switchs a travs de la tecnologa NETFLOW.
32
Centro de gestin de riesgos para monitoreo de redes
Protocolo Puertos
33
Centro de gestin de riesgos para monitoreo de redes
3.14 Nfsen
Nfsen guarda un histrico del trfico de red de manera que ante alguna
eventualidad se pueda detectar la anomala, los flujos de Nfsen proveen
informacin como IPs de origen y destino, puertos de origen y destino, Nfsen
trabaja slo con flujo, no maneja SNMP, permite detectar trfico anormal
como por ejemplo: trfico UDP, etc.
Caractersticas de NFSEN
34
Centro de gestin de riesgos para monitoreo de redes
CAPITULO 4
35
Centro de gestin de riesgos para monitoreo de redes
36
Centro de gestin de riesgos para monitoreo de redes
EQUIPO UBICACIN IP
[switch] swicth: 3com OFFICE
CONNECT: 01 AREA DE SUFICIENCIA 10.3.x.x/16
[switch] swicth: 3com OFFICE
CONNECT: 01 CARRERA DE CIENCIAS 10.3.x.x/16
37
Centro de gestin de riesgos para monitoreo de redes
38
Centro de gestin de riesgos para monitoreo de redes
39
Centro de gestin de riesgos para monitoreo de redes
40
Centro de gestin de riesgos para monitoreo de redes
CONNECT: 01
[switch]Switch
SANITARIA 3.05
3com 2226
[switch] Switch FACULTAD DE QUIMICA
3.05
3com 2226 [HW] (SALA DE COMPUTO)
[switch]3com LABORATORIO DE
3
4200G 24P [HW] COMPUTADORAS
[switch] 3com LABORATORIO DE
3
4226T 24P [HW] COMPUTADORAS
[switch]3com LABORATORIO DE
3.1
3560G 24P COMPUTADORAS
APLICACIONES [SW]
VALRACIN
EQUIPO UBICACIN
PONDERADA
[app] sistema de
BIBLIOTECA 3
biblioteca
[app] servidor de LABORATORIO DE
3
antivirus COMPUTADORAS
[app] servidor de LABORATORIO DE
7
base de datos COMPUTADORAS
[app] aplicacin
LABORATORIO DE
financiera 6
COMPUTADORAS
aplicaciones
SERVICIOS [S]
VALRACIN
EQUIPO UBICACIN
PONDERADA
[www] servidor web LABORATORIO 4
[email] Servidor de
LABORATORIO 5
correo
41
Centro de gestin de riesgos para monitoreo de redes
[switch]
PROMEDIO
swicth: 3com
[D] [I] [C] [A] [T] POR
OFFICE
AMENAZA
CONNECT: 01
N.* 7 [da] - - - 7 [da] 7
I.5 3[adm] - - - 1[da] 2
I.6 9[adm] - - - 3[adm] 6
I.7 1[lg] - 1
I.11 - - 1[adm] - - 1
E.2 5[da] 5[da] 5[da] 1[da] 1[da] 3.4
E.4 5[da] 5[da] 5[da] 1[da] 1[da] 3.4
E.23 5[da] - - - - 5
A.4 5[da] 5[da] 5[da] 1[da] 1[da] 3.4
A.6 - 5[da] 5[adm] - - 5
A.7 3[da] - - - - 3
A.11 7 [adm] - - - - 7
A.14 - - 3 [da] - - 3
A.24 5[adm] - - - - 5
A.25 7[da] - 1[da] - - 4
A.26 7[da] - - - - 7
PROMEDIO
4
PONDERADO
Tabla 13 Clculo de ponderacin de activos
Tesis: Elaborado por tesistas
Fuente: Elaboracin en funcin de la metodologa Magerit
Las tablas 14, 15 y 16 identifican las amenazas sobre los tipos de activos
(Servicios, Equipamiento y Aplicaciones), la interpretacin de stas es la
siguiente: Muestra el tipo de amenaza que podra ocurrir sobre un tipo de
activo en determinada dimensin.
42
Centro de gestin de riesgos para monitoreo de redes
[S] SERVICIOS
[D] [I] [C] [A] [T]
DISPONIBILIDAD INTEGRIDAD CONFIDENCIALIDAD AUTENTICIDAD TRAZABILIDAD
E.1 E.1 E.2 E.2 E.2
ERRORES
[HW] EQUIPAMIENTO
[D] [I] [C] [A] [T]
DISPONIBILIDAD INTEGRIDAD CONFIDENCIALIDAD AUTENTICIDAD TRAZABILIDAD
N.1 N.* N.*
NATURALES
DESASTRES
N.2 N.1
N.2
INDUSTRIAL
DE TIPO
I.6 I.6
I.7 I.7
43
Centro de gestin de riesgos para monitoreo de redes
Para la estimacin del estado del riesgo fue necesario realizar un anlisis de
la degradacin de los activos en los diferentes grupos: Hardware,
44
Centro de gestin de riesgos para monitoreo de redes
[switch] 3com
POSTGRADO 50% 50% 50% 10% 50% 10% 10% 30% 10% 10% 10% 30% 10% 10% 10% 10% 10%
Baseline 2226
[rou]Linksys
Router POSTGRADO 50% 50% 50% 30% 50% 10% 10% 50% 10% 10% 10% 10% 10% 10% 10% 10% 10%
Wireless N
[switch]D-Link
POSTGRADO 50% 50% 50% 30% 50% 10% 10% 50% 10% 10% 10% 10% 10% 10% 10% 10% 10%
Fast Ethernet
45
Centro de gestin de riesgos para monitoreo de redes
[switch]swicth:
3com OFFICE
AUDITORIO 50% 50% 50% 10% 50% 30% 10% 30% 10% 10% 10% 10% 30% 10% 10% 30% 10%
CONNECT:
01
[switch]swicth:
3com OFFICE
BIBLIOTECA 50% 50% 50% 10% 50% 10% 10% 30% 10% 10% 10% 10% 10% 10% 10% 10% 10%
CONNECT:
01
[switch]Switch
SANITARIA 50% 50% 50% 10% 50% 30% 10% 30% 10% 10% 10% 10% 10% 10% 10% 10% 10%
3com 2226
FACULTAD DE
[switch]
QUIMICA
Switch 3com 50% 50% 50% 10% 50% 10% 10% 30% 10% 10% 10% 30% 30% 10% 10% 50% 10%
(SALA DE
2226 [HW]
COMPUTO)
LABORATORIO
[switch]3com
DE
4200G 24P 50% 50% 50% 10% 50% 10% 10% 30% 10% 10% 10% 10% 10% 10% 10% 10% 10%
COMPUTADOR
[HW]
AS
LABORATORIO
[switch] 3com
DE
4226T 24P 50% 50% 50% 10% 50% 10% 10% 30% 10% 10% 10% 10% 10% 10% 10% 10% 10%
COMPUTADOR
[HW]
AS
LABORATORIO
[switch]3com DE
50% 50% 50% 10% 50% 10% 10% 30% 10% 10% 10% 10% 10% 10% 10% 10% 10%
3560G 24P COMPUTADOR
AS
PROMEDIO 50% 50% 50% 13% 50% 13% 10% 33% 10% 10% 10% 14% 13% 10% 10% 18% 10%
46
Centro de gestin de riesgos para monitoreo de redes
[app]
aplicacin LABORATORIO
financiera DE
aplicaciones COMPUTADORAS 30% 30% 10% 30% 10% 10% 30% 30% 30% 30% 30% 10% 10% 10% 10% 10% 30%
PROMEDIO 35% 25% 20% 25% 10% 10% 20% 25% 20% 25% 15% 10% 10% 20% 20% 10% 15%
47
Centro de gestin de riesgos para monitoreo de redes
48
Centro de gestin de riesgos para monitoreo de redes
18, los casilleros marcados de color amarillo indican un impacto bajo con
respecto a la disponibilidad de los activos, los de color verde un impacto
medio y los de color tomate un impacto medio-alto.
Leyenda:
bajo medio medio-alto alto
Leyenda:
bajo Medio medio-alto alto
49
Centro de gestin de riesgos para monitoreo de redes
Leyenda:
bajo medio medio-alto alto
50
Centro de gestin de riesgos para monitoreo de redes
[app] sistema de
BIBLIOTECA 4,50 1,50 0,50 0,00 0,70 0,70 0,00 1,50 0,70 0,30 0,00 0,00 0,70 0,30 0,00 0,00 0,50
biblioteca
[app] servidor de LABORATORIO DE
0,30 0,70 0,70 0,00 0,70 0,70 0,00 0,50 2,10 2,70 0,00 0,00 0,00 2,70 0,00 0,00 0,00
antivirus COMPUTADORAS
[app] servidor de LABORATORIO DE
2,70 2,70 3,50 0,00 0,90 0,70 0,00 1,50 0,50 2,70 0,90 0,00 0,70 2,70 0,00 0,00 0,90
base de datos COMPUTADORAS
[app] aplicacin
LABORATORIO DE
financiera 2,70 1,50 0,50 0,00 0,70 0,70 0,00 2,70 2,70 2,70 0,00 0,00 0,70 0,90 0,00 0,00 2,70
COMPUTADORAS
aplicaciones
Leyenda:
bajo medio medio-alto alto
51
Centro de gestin de riesgos para monitoreo de redes
Leyenda:
bajo medio medio-alto alto
N.1 N.2 N.* I.5 I.6 I.7 E.2 E.4 E.23 A.4 A.6 A.7 A.11 A.14 A.24 A.25 A.26
[switch] swicth:
AREA DE
3com OFFICE 0.0 0.0 0.0 0.0 0.0 0.0 0.5 1.5 0.0 0.5 0.5 0.0 0.0 0.3 0.0 0.1 0.0
SUFICIENCIA
CONNECT: 01
[switch] swicth:
CARRERA DE
3com OFFICE 0.0 0.0 0.0 0.0 0.0 0.0 0.5 1.5 0.0 0.5 0.5 0.0 0.0 0.3 0.0 0.3 0.0
CIENCIAS
CONNECT: 01
[switch] swicth SECRETARIA
0.0 0.0 0.0 0.0 0.0 0.0 0.5 1.5 0.0 0.5 0.0 0.0 0.0 0.1 0.0 0.3 0.0
3com 4500 GENERAL
[switch]swicth SECRETARIA
0.0 0.0 0.0 0.0 0.0 0.0 0.5 1.5 0.0 0.5 0.0 0.0 0.0 0.1 0.0 0.3 0.0
3com 2024 GENERAL
[switch] Switch DEPARTAMENTO
0.0 0.0 0.0 0.0 0.0 0.0 0.5 1.5 0.0 0.5 0.0 0.0 0.0 0.1 0.0 0.1 0.0
3com 4210 FINANCIERO
[switch] 3com
POSTGRADO 0.0 0.0 0.0 0.0 0.0 0.0 0.3 1.5 0.0 0.5 0.0 0.0 0.0 0.1 0.0 0.1 0.0
Baseline 2226
[rou]Linksys
Router Wireless POSTGRADO 0.0 0.0 0.0 0.0 0.0 0.0 0.3 2.5 0.0 0.5 0.0 0.0 0.0 0.1 0.0 0.1 0.0
N
[switch]D-Link
POSTGRADO 0.0 0.0 0.0 0.0 0.0 0.0 0.3 2.5 0.0 0.5 0.0 0.0 0.0 0.1 0.0 0.1 0.0
Fast Ethernet
[switch]swicth:
3com OFFICE AUDITORIO 0.0 0.0 0.0 0.0 0.0 0.0 0.5 1.5 0.0 0.5 0.5 0.0 0.0 0.3 0.0 0.3 0.0
CONNECT: 01
[switch]swicth:
3com OFFICE BIBLIOTECA 0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.0 0.1 0.0
CONNECT: 01
[switch]Switch
SANITARIA 0.0 0.0 0.0 0.0 0.0 0.0 0.5 1.5 0.0 0.5 0.0 0.0 0.0 0.1 0.0 0.1 0.0
3com 2226
[switch] Switch FACULTAD DE
0.0 0.0 0.0 0.0 0.0 0.0 0.5 1.5 0.0 0.5 0.0 0.0 0.0 0.1 0.0 0.5 0.0
3com 2226 [HW] QUIMICA (SALA DE
52
Centro de gestin de riesgos para monitoreo de redes
COMPUTO)
[switch]3com LABORATORIO DE
0.0 0.0 0.0 0.0 0.0 0.0 0.5 1.5 0.0 0.5 0.0 0.0 0.0 0.5 0.0 0.1 0.0
4200G 24P [HW] COMPUTADORAS
[switch] 3com LABORATORIO DE
0.0 0.0 0.0 0.0 0.0 0.0 0.5 1.5 0.0 0.5 0.0 0.0 0.0 0.5 0.0 0.1 0.0
4226T 24P [HW] COMPUTADORAS
[switch]3com LABORATORIO DE
0.0 0.0 0.0 0.0 0.0 0.0 0.5 1.5 0.0 0.5 0.0 0.0 0.0 0.5 0.0 0.1 0.0
3560G 24P COMPUTADORAS
Leyenda:
bajo medio medio-alto alto
[app]
sistema de BIBLIOTECA 0.00 0.00 0.70 0.00 0.70 0.70 0.30 1.50 0.00 0.30 0.90 0.70 0.00 0.30 0.70 0.30 0.50
biblioteca
[app] LABORATORIO
servidor de DE 0.00 0.00 0.50 0.00 0.50 0.50 0.00 0.30 0.00 2.10 0.00 0.00 0.00 2.70 0.90 0.10 0.70
antivirus COMPUTADORAS
[app]
LABORATORIO
servidor de
DE 0.00 0.00 3.50 0.00 0.90 0.90 2.70 2.10 0.00 2.70 0.90 0.90 0.00 2.70 0.70 0.90 0.90
base de
COMPUTADORAS
datos
[app]
LABORATORIO
aplicacin
DE 0.00 0.00 0.70 0.00 0.70 0.90 0.90 2.70 0.00 2.70 2.10 0.70 0.00 0.90 0.50 0.50 2.70
financiera
COMPUTADORAS
aplicaciones
Leyenda:
bajo medio medio-alto alto
[www]
servidor LABORATORIO 0.00 0.00 2.70 0.00 2.10 1.50 0.70 0.00 0.70 0.90 0.00 2.10 0.00 0.80 0.00 0.50 0.30 0.50 2.10 2.10
web
[email]
Servidor
LABORATORIO 0.00 0.00 1.50 0.00 1.50 1.50 2.70 0.00 2.10 0.00 0.00 2.10 2.10 0.50 0.00 2.70 2.10 0.50 0.50 0.70
de
correo
Leyenda:
bajo medio medio-alto alto
N.1 N.2 N.* I.5 I.6 I.7 E.2 E.4 E.23 A.4 A.6 A.7 A.11 A.14 A.24 A.25 A.26
[switch] swicth:
AREA DE
3com OFFICE 0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
SUFICIENCIA
CONNECT: 01
[switch] swicth:
CARRERA DE
3com OFFICE 0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
CIENCIAS
CONNECT: 01
[switch] swicth SECRETARIA
0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
3com 4500 GENERAL
[switch]swicth SECRETARIA
0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
3com 2024 GENERAL
[switch] Switch DEPARTAMENTO
0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
3com 4210 FINANCIERO
[switch] 3com
POSTGRADO 0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
Baseline 2226
[rou]Linksys
Router Wireless POSTGRADO 0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.5 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
N
[switch]D-Link
POSTGRADO 0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.5 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
Fast Ethernet
[switch]swicth:
AUDITORIO 0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
3com OFFICE
54
Centro de gestin de riesgos para monitoreo de redes
CONNECT: 01
[switch]swicth:
3com OFFICE BIBLIOTECA 0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0
CONNECT: 01
[switch]Switch
SANITARIA 0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
3com 2226
FACULTAD DE
[switch] Switch
QUIMICA (SALA DE 0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
3com 2226 [HW]
COMPUTO)
[switch]3com LABORATORIO DE
0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
4200G 24P [HW] COMPUTADORAS
[switch] 3com LABORATORIO DE
0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
4226T 24P [HW] COMPUTADORAS
[switch]3com LABORATORIO DE
0.0 0.0 0.0 0.0 0.0 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
3560G 24P COMPUTADORAS
Leyenda:
bajo medio medio-alto alto
[app]
sistema de BIBLIOTECA 0.00 0.00 0.70 0.00 0.70 0.60 0.00 0.00 0.00 0.10 0.90 0.00 0.00 0.30 0.50 0.00 0.70
biblioteca
[app] LABORATORIO
servidor de DE 0.00 0.00 0.60 0.00 0.60 0.60 0.00 0.00 0.00 0.90 0.00 0.00 0.00 0.90 0.30 0.00 0.30
antivirus COMPUTADORAS
[app]
LABORATORIO
servidor de
DE 0.00 0.00 4.50 0.00 0.70 0.60 0.00 0.00 0.00 2.10 0.70 0.00 0.00 2.10 0.50 0.00 0.70
base de
COMPUTADORAS
datos
[app]
LABORATORIO
aplicacin
DE 0.00 0.00 0.70 0.00 0.70 0.60 0.00 0.00 0.00 2.10 2.10 0.00 0.00 0.70 0.50 0.00 2.10
financiera
COMPUTADORAS
aplicaciones
Leyenda:
bajo medio medio-alto alto
55
Centro de gestin de riesgos para monitoreo de redes
[www]
servidor LABORATORIO 0.00 0.00 2.10 0.00 2.10 1.50 0.70 0.00 0.00 0.00 0.00 0.90 0.00 0.00 0.00 0.70 0.30 0.70 0.00 0.90
web
[email]
Servidor
LABORATORIO 0.00 0.00 1.50 0.00 1.50 1.50 2.70 0.00 0.00 0.00 0.00 2.10 2.10 0.00 0.00 2.10 2.10 0.50 0.00 0.70
de
correo
Leyenda:
bajo medio medio-alto alto
N.1 N.2 N.* I.5 I.6 I.7 E.2 E.4 E.23 A.4 A.6 A.7 A.11 A.14 A.24 A.25 A.26
[switch] swicth:
AREA DE
3com OFFICE 0.5 0.0 3.5 0.1 1.5 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
SUFICIENCIA
CONNECT: 01
[switch] swicth:
CARRERA DE
3com OFFICE 0.5 0.0 3.5 0.1 1.5 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
CIENCIAS
CONNECT: 01
[switch] swicth SECRETARIA
0.5 0.0 0.0 0.1 1.5 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
3com 4500 GENERAL
[switch]swicth SECRETARIA
0.5 0.0 0.0 0.1 1.5 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
3com 2024 GENERAL
[switch] Switch DEPARTAMENTO
0.5 0.0 0.0 0.1 1.5 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
3com 4210 FINANCIERO
[switch] 3com
POSTGRADO 0.5 0.0 0.5 0.1 1.5 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
Baseline 2226
[rou]Linksys
POSTGRADO 0.5 0.0 0.5 0.3 1.5 0.0 0.1 0.5 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
Router Wireless
56
Centro de gestin de riesgos para monitoreo de redes
N
[switch]D-Link
POSTGRADO 0.5 0.0 0.5 0.3 1.5 0.0 0.1 0.5 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
Fast Ethernet
[switch]swicth:
3com OFFICE AUDITORIO 0.5 0.0 0.5 0.1 1.5 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
CONNECT: 01
[switch]swicth:
3com OFFICE BIBLIOTECA 0.0 0.0 0.0 0.1 0.5 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0
CONNECT: 01
[switch]Switch
SANITARIA 0.5 0.0 0.0 0.1 1.5 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
3com 2226
FACULTAD DE
[switch] Switch
QUIMICA (SALA DE 0.5 0.0 0.0 0.1 1.5 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
3com 2226 [HW]
COMPUTO)
[switch]3com LABORATORIO DE
0.5 0.0 0.0 0.5 3.5 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
4200G 24P [HW] COMPUTADORAS
[switch] 3com LABORATORIO DE
0.5 0.0 0.0 0.5 3.5 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
4226T 24P [HW] COMPUTADORAS
[switch]3com LABORATORIO DE
0.5 0.0 0.0 0.5 3.5 0.0 0.1 0.3 0.0 0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.0
3560G 24P COMPUTADORAS
Leyenda:
bajo medio medio-alto alto
57
Centro de gestin de riesgos para monitoreo de redes
[app]
sistema de BIBLIOTECA 4.50 0.00 0.70 0.10 0.70 0.70 0.00 0.00 0.00 0.10 0.90 0.00 0.00 0.30 0.00 0.00 0.50
biblioteca
[app] LABORATORIO
servidor de DE 0.30 0.00 0.70 3.50 0.70 0.70 0.00 0.00 0.00 0.90 0.00 0.00 0.00 2.10 0.00 0.00 0.30
antivirus COMPUTADORAS
[app]
LABORATORIO
servidor de
DE 2.70 0.00 4.50 0.70 0.70 0.70 0.00 0.00 0.00 2.10 0.70 0.00 0.00 2.10 0.00 0.00 0.70
base de
COMPUTADORAS
datos
[app]
LABORATORIO
aplicacin
DE 2.70 0.00 0.70 1.50 0.70 0.70 0.00 0.00 0.00 2.10 2.10 0.00 0.00 0.70 0.00 0.00 2.10
financiera
COMPUTADORAS
aplicaciones
Leyenda:
bajo medio medio-alto alto
[www]
servidor LABORATORIO 0.10 0.00 0.90 0.70 2.10 1.50 0.70 0.00 0.00 0.00 0.00 0.90 0.00 0.00 0.00 0.70 0.10 0.00 0.00 2.10
web
[email]
Servidor
LABORATORIO 0.90 0.00 1.50 0.30 1.50 2.10 2.70 0.00 0.00 0.00 0.00 2.10 2.10 0.00 0.00 2.10 2.10 0.00 0.00 0.70
de
correo
Leyenda:
bajo medio medio-alto alto
Frecuencia
[switch]
swicth:
AREA DE
3com 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
SUFICIENCI
OFFICE 00 00 00 00 00 00 05 15 00 05 05 00 00 03 00 08 00
A
CONNEC
T: 01
[switch]
swicth:
CARRERA
3com 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
DE
OFFICE 00 00 00 00 00 00 05 15 00 05 05 00 00 03 00 03 00
CIENCIAS
CONNEC
T: 01
[switch]
swicth SECRETARI 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
3com A GENERAL 00 00 00 00 00 00 05 15 00 05 00 00 00 01 00 03 00
4500
[switch]s
wicth SECRETARI 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
3com A GENERAL 00 00 00 00 00 00 05 15 00 05 00 00 00 01 00 03 00
2024
[switch] DEPARTAM
Switch ENTO 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
3com FINANCIER 00 00 00 00 00 00 05 15 00 05 00 00 00 01 00 01 00
4210 O
[switch]
3com POSTGRAD 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
Baseline O 00 00 00 00 00 00 03 15 00 05 00 00 00 01 00 01 00
2226
[rou]Links
ys Router POSTGRAD 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
Wireless O 00 00 00 00 00 00 03 25 00 05 00 00 00 01 00 01 00
N
[switch]D-
POSTGRAD 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
Link Fast
O 00 00 00 00 00 00 03 25 00 05 00 00 00 01 00 01 00
Ethernet
59
Centro de gestin de riesgos para monitoreo de redes
[switch]s
wicth:
3com 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
AUDITORIO
OFFICE 00 00 00 00 00 00 05 15 00 05 05 00 00 03 00 03 00
CONNEC
T: 01
[switch]s
wicth:
3com 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
BIBLIOTECA
OFFICE 00 00 00 00 00 00 01 00 00 00 00 00 00 01 00 01 00
CONNEC
T: 01
[switch]S
witch 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
SANITARIA
3com 00 00 00 00 00 00 05 15 00 05 00 00 00 01 00 01 00
2226
[switch]
FACULTAD
Switch
DE QUIMICA 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
3com
(SALA DE 00 00 00 00 00 00 05 15 00 05 00 00 00 01 00 05 00
2226
COMPUTO)
[HW]
[switch]3c LABORATO
om RIO DE 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
4200G COMPUTAD 00 00 00 00 00 00 05 15 00 05 00 00 00 05 00 03 00
24P [HW] ORAS
[switch] LABORATO
3com RIO DE 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
4226T COMPUTAD 00 00 00 00 00 00 05 15 00 05 00 00 00 05 00 03 00
24P [HW] ORAS
[switch]3c LABORATO
om RIO DE 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
3560G COMPUTAD 00 00 00 00 00 00 05 15 00 05 00 00 00 05 00 03 00
24P ORAS
[app]
sistema
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
de BIBLIOTECA
00 00 19 00 38 19 02 10 00 16 25 02 00 08 05 04 03
bibliotec
a
[app] LABORATO
servidor RIO DE 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.01 0.00 0.00 0.00 0.00 0.00 0.00 0.00
de COMPUTAD 00 00 14 00 27 14 00 01 00 15 00 00 00 74 49 01 05
antivirus ORAS
[app] LABORATO
servidor RIO DE 0.00 0.00 0.00 0.00 0.00 0.00 0.03 0.00 0.00 0.01 0.00 0.00 0.00 0.00 0.00 0.01 0.00
de base COMPUTAD 00 00 96 00 49 06 70 29 00 48 25 49 00 74 38 23 25
de datos ORAS
60
Centro de gestin de riesgos para monitoreo de redes
[app]
aplicaci
LABORATO
n
RIO DE 0.00 0.00 0.00 0.00 0.00 0.00 0.02 0.00 0.00 0.01 0.00 0.00 0.00 0.00 0.00 0.00 0.00
financier
COMPUTAD 00 00 19 00 38 49 47 74 00 48 58 38 00 25 27 07 74
a
ORAS
aplicacio
nes
I.5 E.1 E.2 E.3 E.4 E.8 E.9 E.10 E.14 E.20 E.21 A.4 A.5 A.6 A.7 A.8 A.9 A.11 A.14 A.22
[www]
servidor LABORATORIO 0.0000 0.0000 0.0222 0.0000 0.0173 0.0041 0.0005 0.0000 0.0005 0.0006 0.0000 0.0115 0.0000 0.0022 0.0000 0.0014 0.0008 0.0014 0.0012 0.0012
web
[email]
Servidor
LABORATORIO 0.0000 0.0000 0.0041 0.0000 0.0041 0.0041 0.0074 0.0000 0.0115 0.0000 0.0000 0.0115 0.0014 0.0004 0.0000 0.0074 0.0058 0.0014 0.0003 0.0004
de
correo
61
Centro de gestin de riesgos para monitoreo de redes
Baseline
2226
[rou]Linksys
0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000
Router POSTGRADO
0 0 0 0 0 0 1 5 0 1 0 0 0 0 0 0 0
Wireless N
[switch]D-
0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000
Link Fast POSTGRADO
0 0 0 0 0 0 1 5 0 1 0 0 0 0 0 0 0
Ethernet
[switch]swic
th: 3com
0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000
OFFICE AUDITORIO
0 0 0 0 0 0 1 3 0 1 0 0 0 0 0 0 0
CONNECT:
01
[switch]swic
th: 3com
0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000
OFFICE BIBLIOTECA
0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0
CONNECT:
01
[switch]Swit
0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000
ch 3com SANITARIA
0 0 0 0 0 0 1 3 0 1 0 0 0 0 0 0 0
2226
[switch] FACULTAD DE
Switch QUIMICA 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000
3com 2226 (SALA DE 0 0 0 0 0 0 1 3 0 1 0 0 0 0 0 0 0
[HW] COMPUTO)
LABORATORI
[switch]3co
O DE 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000
m 4200G
COMPUTADO 0 0 0 0 0 0 1 3 0 1 0 0 0 0 0 0 0
24P [HW]
RAS
[switch] LABORATORI
3com O DE 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000
4226T 24P COMPUTADO 0 0 0 0 0 0 1 3 0 1 0 0 0 0 0 0 0
[HW] RAS
LABORATORI
[switch]3co
O DE 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000
m 3560G
COMPUTADO 0 0 0 0 0 0 1 3 0 1 0 0 0 0 0 0 0
24P
RAS
I.5 E.1 E.2 E.3 E.4 E.8 E.14 E.20 E.21 A.4 A.5 A.6 A.7 A.8 A.11 A.14 A.22
[app]
sistema 0.000 0.000 0.001 0.000 0.003 0.001 0.000 0.000 0.000 0.000 0.002 0.000 0.000 0.000 0.000 0.000 0.000
BIBLIOTECA
de 0 0 9 0 8 6 0 0 0 5 5 0 0 8 3 0 5
biblioteca
[app] LABORATORIO
servidor DE 0.000 0.000 0.001 0.000 0.003 0.001 0.000 0.000 0.000 0.004 0.000 0.000 0.000 0.002 0.001 0.000 0.000
de COMPUTADOR 0 0 6 0 3 6 0 0 0 9 0 0 0 5 6 0 2
antivirus AS
[app] LABORATORIO
servidor DE 0.000 0.000 0.012 0.000 0.003 0.000 0.000 0.000 0.000 0.011 0.001 0.000 0.000 0.005 0.002 0.000 0.001
de base COMPUTADOR 0 0 3 0 8 4 0 0 0 5 9 0 0 8 7 0 9
de datos AS
[app]
LABORATORIO
aplicacin
DE 0.000 0.000 0.001 0.000 0.003 0.003 0.000 0.000 0.000 0.011 0.005 0.000 0.000 0.001 0.002 0.000 0.005
financiera
COMPUTADOR 0 0 9 0 8 3 0 0 0 5 8 0 0 9 7 0 8
aplicacion
AS
es
62
Centro de gestin de riesgos para monitoreo de redes
[www]
LABORATOR 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0
servid
IO 0 0 2 0 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
or web
[email]
Servid LABORATOR 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0
or de IO 0 0 0 0 0 0 1 0 0 0 0 1 0 0 0 1 1 0 0 0
correo
[switch]swicth SECRETARIA
0.00150 0.00000 0.00000 0.00010 0.00150 0.00000 0.00010 0.00030 0.00000 0.00010 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000
3com 2024 GENERAL
[switch]
DEPARTAMENTO
Switch 3com 0.00050 0.00000 0.00000 0.00010 0.00150 0.00000 0.00010 0.00030 0.00000 0.00010 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000
FINANCIERO
4210
[switch] 3com
POSTGRADO 0.00050 0.00000 0.00250 0.00010 0.00150 0.00000 0.00010 0.00030 0.00000 0.00010 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000
Baseline 2226
[rou]Linksys
Router POSTGRADO 0.00050 0.00000 0.00250 0.00030 0.00150 0.00000 0.00010 0.00050 0.00000 0.00010 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000
Wireless N
[switch]D-Link
POSTGRADO 0.00050 0.00000 0.00250 0.00030 0.00150 0.00000 0.00010 0.00050 0.00000 0.00010 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000
Fast Ethernet
[switch]swicth:
3com OFFICE
AUDITORIO 0.00150 0.00000 0.00250 0.00010 0.00150 0.00000 0.00010 0.00030 0.00000 0.00010 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000
CONNECT:
01
[switch]swicth:
3com OFFICE
BIBLIOTECA 0.00000 0.00000 0.00000 0.00010 0.00050 0.00000 0.00010 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000
CONNECT:
01
[switch]Switch
SANITARIA 0.00050 0.00000 0.00000 0.00010 0.00150 0.00000 0.00010 0.00030 0.00000 0.00010 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000
3com 2226
63
Centro de gestin de riesgos para monitoreo de redes
[switch] FACULTAD DE
Switch 3com QUIMICA (SALA 0.00050 0.00000 0.00000 0.00010 0.00150 0.00000 0.00010 0.00030 0.00000 0.00010 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000
2226 [HW] DE COMPUTO)
[switch]3com LABORATORIO
4200G 24P DE 0.00050 0.00000 0.00000 0.00050 0.00350 0.00000 0.00010 0.00030 0.00000 0.00010 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000
[HW] COMPUTADORAS
[switch] 3com LABORATORIO
4226T 24P DE 0.00050 0.00000 0.00000 0.00050 0.00350 0.00000 0.00010 0.00030 0.00000 0.00010 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000
[HW] COMPUTADORAS
LABORATORIO
[switch]3com
DE 0.00050 0.00000 0.00000 0.00050 0.00350 0.00000 0.00010 0.00030 0.00000 0.00010 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000 0.00000
3560G 24P
COMPUTADORAS
[app]
sistema
0.02 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
de BIBLIOTECA
47 00 19 14 38 19 00 00 00 05 25 00 00 08 00 00 03
bibliotec
a
[app] LABORATO
servidor RIO DE 0.00 0.00 0.00 0.04 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
de COMPUTAD 16 00 19 79 38 19 00 00 00 49 00 00 00 58 00 00 02
antivirus ORAS
[app] LABORATO
servidor RIO DE 0.02 0.00 0.01 0.00 0.00 0.00 0.00 0.00 0.00 0.01 0.00 0.00 0.00 0.00 0.00 0.00 0.00
de base COMPUTAD 96 00 23 96 38 05 00 00 00 15 19 00 00 58 00 00 19
de datos ORAS
[app]
aplicaci
LABORATO
n
RIO DE 0.02 0.00 0.00 0.02 0.00 0.00 0.00 0.00 0.00 0.01 0.00 0.00 0.00 0.00 0.00 0.00 0.00
financier
COMPUTAD 22 00 19 05 38 38 00 00 00 15 58 00 00 19 00 00 58
a
ORAS
aplicacio
nes
64
Centro de gestin de riesgos para monitoreo de redes
[www]
servidor LABORATORIO 0.0003 0.0000 0.0074 0.0019 0.0173 0.0041 0.0005 0.0000 0.0000 0.0000 0.0000 0.0049 0.0000 0.0000 0.0000 0.0019 0.0003 0.0000 0.0000 0.0012
web
[email]
Servidor
LABORATORIO 0.0123 0.0000 0.0041 0.0008 0.0041 0.0058 0.0074 0.0000 0.0000 0.0000 0.0000 0.0115 0.0014 0.0000 0.0000 0.0058 0.0058 0.0000 0.0000 0.0004
de
correo
HARDWARE [HW]
RIESGO RIESGO RIESGO RIESGO RIESGO
VALRACIN PONDERADO PONDERADO PONDERADO PONDERADO PONDERADO
EQUIPO UBICACIN
PONDERADA DISPONIBILID INTEGRIDAD CONFIDENCIA AUTENTICIDA TRAZABILIDA
AD LIDAD D D
[switch] swicth:
3com OFFICE AREA DE SUFICIENCIA 4.2
CONNECT: 01 0.21 0.08 0.07 0.02 0.20
[switch] swicth:
CARRERA DE
3com OFFICE 3.83
CIENCIAS
CONNECT: 01 0.08 0.08 0.06 0.02 0.30
[switch] swicth
SECRETARIA GENERAL 3
3com 4500 0.07 0.08 0.06 0.02 0.06
[switch]swicth 3com
SECRETARIA GENERAL 2.86
2024 0.02 0.08 0.06 0.02 0.06
[switch] Switch DEPARTAMENTO
2.76
3com 4210 FINANCIERO 0.29 0.08 0.05 0.02 0.04
[switch] 3com
POSTGRADO 2.89
Baseline 2226 0.22 0.08 0.05 0.02 0.07
[rou]Linksys Router
POSTGRADO 2.89
Wireless N 0.12 0.11 0.07 0.02 0.08
[switch]D-Link Fast
POSTGRADO 2.89
Ethernet 0.09 0.11 0.07 0.02 0.08
[switch]swicth:
3com OFFICE AUDITORIO 2.81
CONNECT: 01 0.02 0.08 0.06 0.02 0.09
[switch]swicth:
3com OFFICE BIBLIOTECA 2.15
CONNECT: 01 0.29 0.03 0.01 0.00 0.02
65
Centro de gestin de riesgos para monitoreo de redes
[switch]Switch
SANITARIA 3.05
3com 2226 0.25 0.08 0.05 0.02 0.04
[switch] Switch FACULTAD DE QUIMICA
3.05
3com 2226 [HW] (SALA DE COMPUTO) 0.08 0.08 0.06 0.02 0.04
[switch]3com LABORATORIO DE
3
4200G 24P [HW] COMPUTADORAS 0.07 0.08 0.07 0.02 0.08
[switch] 3com LABORATORIO DE
3
4226T 24P [HW] COMPUTADORAS 0.02 0.09 0.07 0.02 0.08
[switch]3com LABORATORIO DE
3.1
3560G 24P COMPUTADORAS 0.04 0.09 0.07 0.02 0.08
APLICACIONES [SW]
RIESGO RIESGO RIESGO RIESGO RIESGO
VALRACIN PONDERADO PONDERADO PONDERADO PONDERADO PONDERADO
EQUIPO UBICACIN
PONDERADA DISPONIBILID INTEGRIDAD CONFIDENCIA AUTENTICIDA TRAZABILIDA
AD LIDAD D D
[app] sistema de
BIBLIOTECA 5
biblioteca 1.26 1.26 0.13 0.15 0.42
[app] servidor de LABORATORIO DE
7
antivirus COMPUTADORAS 0.44 0.44 0.33 0.23 0.85
[app] servidor de LABORATORIO DE
7
base de datos COMPUTADORAS 1.29 1.29 0.86 0.51 0.85
[app] aplicacin
LABORATORIO DE
financiera 6
COMPUTADORAS
aplicaciones 1.15 1.15 0.67 0.46 0.86
SERVICIOS [S]
RIESGO RIESGO RIESGO RIESGO RIESGO
VALRACIN PONDERADO PONDERADO PONDERADO PONDERADO PONDERADO
EQUIPO UBICACIN
PONDERADA DISPONIBILID INTEGRIDAD CONFIDENCIA AUTENTICIDA TRAZABILIDA
AD LIDAD D D
66
Centro de gestin de riesgos para monitoreo de redes
67
Centro de gestin de riesgos para monitoreo de redes
CAPTULO 5
Interfaz Web
Datos
Framework
Servidor de
Base
de
Server Gestin
Vulnera-
Monitor Agente
bilidades
Sensor
Anomalia IDS Plg Plg Plg
Autor: tesistas
Fuente: Framework OSSIM
Sensor
68
Centro de gestin de riesgos para monitoreo de redes
puerto espejo (port mirror) que copie todos los paquetes de la red y los enve
hacia el sensor.
Las funciones que efecta son:
IDS (Snort)
Escner de Vulnerabilidades (Nessus)
Anlisis y monitorizacin de la red (Ntop)
Servidor de Gestin
El servidor de gestin procesa los eventos generados por los agentes, los
almacena en la base de datos de correlacin y genera las alarmas.
Base de Datos
Almacena todos los eventos generados por los sensores, el motor de base
de datos utilizado es mysql.
Interfaz Web
69
Centro de gestin de riesgos para monitoreo de redes
APLICACIN WEB
Coleccion Configuracion
es es
Red
70
Centro de gestin de riesgos para monitoreo de redes
Los eventos son almacenados en la base de datos OSSIM, estos datos nos
servirn para su presentacin en la aplicacin web desarrollada en php
(front-end).
Nivel 0
Reportes/Graficos
MONITOREO DE ADMINISTRADOR
RED Trfico de red
RED DE RED
Alertas y eventos
Nivel 1
Colector
Pruebas
Paquetes De Vulnerabilidad
Vulnerabilidades SYN/Puertos ACK SNMP Disponibilidad Flujos/paquetes/ Peticin Reportes
bits
1.1 Deteccin de 1.2 Escaneo de 1.4Descubrimiento 1.5 Monitor de 1.6 Monitor de 1.7Generacin de
1.3 Correlacin
Instrusiones Vulnerabilidades de Activos Disponibilidad Red Reportes
Peticiones/
Envio de datos
71
Centro de gestin de riesgos para monitoreo de redes
Deteccin de Instruciones
Inicio
Trfico
Alertas
Alertas
Verificadas
BASE DE CONOCIMIENTOS
Escaneo de
Vulnerabilidades
Pruebas de
vulnerabilidades 1.2.1 Ejecucin de
RED
Pruebas
Vulnerabilidades
Vulnerabilidades
Procesadas
BASE DE CONOCIMIENTO
72
Centro de gestin de riesgos para monitoreo de redes
Correlacin
Alertas Correlacionadas
1.3.4 Verificacin
Alertas/Vulnerabilidades
de Alertas
Alertas verificadas/
Alertas no verificadas
BASE DE CONOCIMIENTO
Descubrimiento de
Activos
Resultados de
Scaneo
BASE OSSIM
73
Centro de gestin de riesgos para monitoreo de redes
Motor de Disponibilidad
Peticin
Disponibilidad
SNMP
1.5.3 RED
Monitor de Red
Captura de
RED 1.6.1 Colector
Flujos
Flujos Formateados
Actualizacin
BASE OSSIM
74
Centro de gestin de riesgos para monitoreo de redes
GENERACIN DE REPORTES
Bases de Datos
75
Centro de gestin de riesgos para monitoreo de redes
INICIO
Inicializa sistema
Recoleccin de
paquetes
Reprocesando
paquetes
Se validan
Analizando Verificacin de
paquetes alertas
Generando alertas
Almacenamiento
en Base de datos
almacena
76
Centro de gestin de riesgos para monitoreo de redes
INICIO
Inicializa sistema
Peticiones
Host Activo
Identificacin
Almacenamiento
Activo
Caractersticas
Bases de Datos
77
Centro de gestin de riesgos para monitoreo de redes
INICIO
Inicializa sistema
Peticiones
Activos
Descubiertos
Preguntas SNMP
Verificacin de
Servicios
disponibles
Datos
Almacenamiento
alertas
Bases de Datos
78
Centro de gestin de riesgos para monitoreo de redes
INICIO
Inicializa sistema
Coleccin
Netflows
Cambio de
formatos
flows
Almacenamiento
RRD
79
Centro de gestin de riesgos para monitoreo de redes
INICIO
Inicializa sistema
Cargando reglas
alimentacion
Obtiene
Base de Datos
informacin
Asignacion de prioridad y
riesgo
Correlacin de
alertas
Alertas
correlacionadas
Almacenamiento
de alertas
80
Centro de gestin de riesgos para monitoreo de redes
Diagrama de Correlacin
INICIO
Inicializa sistema
Esperando
configuracin
Configura escaneo
Priorizacin Realizando
escaneo
Pruebas de correlacin
Esperando
resultados
Verificacin de
alertas
Recuperacin de
resultados de escaneo
Almacenando
resultados en
base de datos
81
Centro de gestin de riesgos para monitoreo de redes
INICIO
Inicializa sistema
Esperando
parmetros
Parametros de consulta
Validando
parmetros
Envio de parmetros a la
consulta
Consulta Bases
de Datos
Envio de datos
Espera resultados
Genera reportes
Despliega
reportes
Reporte visual al
usuario
82
Centro de gestin de riesgos para monitoreo de redes
CAPTULO 6
bind-address = 10.3.x.x1-10.3.x.x2
#cat /urs/share/ossim/db/create_mysql.sql \
/usr/share/ossim/db/ossim_config.sql \
/usr/share/ossim/db/ossim_data.sql \
/usr/share/ossim/db/realsecure.sql \
# cat /usr/share/ossim/db/create_snort_tbls_mysql.sql \
/usr/share/ossim/db/create_acid_tbls_mysql.sql \
84
Centro de gestin de riesgos para monitoreo de redes
Iniciar el agente
85
Centro de gestin de riesgos para monitoreo de redes
# ossim-agent -d -c /usr/share/doc/ossim-contrib/contrib/debian
/agent/config.xml
86
Centro de gestin de riesgos para monitoreo de redes
$alert_user='snort';
$alert_password='UN_PASSWORD';
$basepath='';
$alert_dbname='snort';
$alert_host='localhost';
$alert_port='3306';
$DBtype='mysql';
#mkdir /etc/snort/reglas.
87
Centro de gestin de riesgos para monitoreo de redes
#mkdir /var/log/snort
88
Centro de gestin de riesgos para monitoreo de redes
Make
Libc6-dev
Libtool
Automake
89
Centro de gestin de riesgos para monitoreo de redes
Autoconf
Instalacin de graphpviz
90
Centro de gestin de riesgos para monitoreo de redes
Instalacin de la librera GD
#cd /tmp
#wget -c http://www.libgd.org/releases/gd-2.0.35.tar.gz
tar -xzvf gd-2.0.35.tar.gz
#cd gd-2.0.35
#./configure
#make
#make install
91
Centro de gestin de riesgos para monitoreo de redes
#passwd nagios
Instalacin de Nagios
# tar xvfz nagios-3.2.2.tar.gz
#cd nagios-3.2.2/
#./configure --with-command-group=nagcmd
#make all
#make install
#make install-init
#make install-config
#make install-commandmode
#make install-webconf
Instalacin del modulo SNMP de perl para normalizar los datos SNMP
perl -MCPAN -e "install Net::SNMP"
92
Centro de gestin de riesgos para monitoreo de redes
Postfix permite el envo correos electrnicos por cada alerta generada por
Nagios.
El comando para instalacin de postfix es:
#apt-get install postfix.
Seguir las instrucciones presentadas en la pantalla y poner si a todas las
opciones.
Reiniciar nagios con el siguiente comando:
#/etc/init.d/nagios3 restart.
El archivo de configuracin inicial de nagios se encuentra en el archivo
nagios.cfg en la direccin: /etc/nagios3/nagios.cfg.
En el archivo /etc/nagios3/conf.d/contacts_nagios.cfg, se define los
contactos y el grupo de contactos as:
define contact{
contact_name root
alias Root
service_notification_commands notify-service-by-email
email usuariofac@gmail.com ;
}
93
Centro de gestin de riesgos para monitoreo de redes
define contactgroup{
contactgroup_name admins
alias Nagios Administrators
members root
}
94
Centro de gestin de riesgos para monitoreo de redes
$ Mkdir / etc/p0f
$ Ln-s / etc/p0f.fp / etc/p0f/p0f.fp
95
Centro de gestin de riesgos para monitoreo de redes
Ejecutar el comando:
#apt-get update
Para continuar se necesita instalar las libreras libxml-simple-perl, biblioteca
de software para analizar documentos XML
# apt-get install libxml-simple-perl
libcompress-zlib-perl, mdulo externo de Perl que proporciona una interfaz
para biblioteca de compresin.
# libcompress-zlib-perl
libdbi-perl, interfaz de base de datos de Perl
# libdbi-perl
libdbd-mysql-perl, interfaz de base de datos a la base de datos MySql
# libdbd-mysql-perl
libapache-dbi-perl, mdulos de perl para el apache webserver
# libapache-dbi-perl
libnet-ip-perl, extension Perl para manipular las direcciones IPv4/IPv6
# libnet-ip-perl
libsoap-lite-per, es una coleccin de mdulos de Perl
# libsoap-lite-per
Los paquetes de apache2, php5, perl, mysql-server, fueron instalados con
anterioridad.
Instalacin de la aplicacin OCSINVENTORY Server:
#./setup.sh
Y reiniciamos los servicios de apache y mysql
# /etc/init.d/apache2 restar
# /etc/init.d/mysql restar
97
Centro de gestin de riesgos para monitoreo de redes
perl-5.8.8-10
perl-HTML-Tagset-3.10-2.1.1
perl-rrdtool-1.0.50-3.el5.rf
Instalacin de Nfsen
# cd etc/nfsen-1.3
# cp nfsen-dist.conf nfsen.conf
$BASEDIR = "/usr/nfsen";
$BINDIR="${BASEDIR}/bin";
$LIBEXECDIR="${BASEDIR}/libexec";
$CONFDIR="${BASEDIR}/etc";
$HTMLDIR = "/var/www/html/nfsen/";
$DOCDIR="${HTMLDIR}/doc";
$VARDIR="${BASEDIR}/var";
$PROFILESTATDIR="${BASEDIR}/profiles-stat";
$BACKEND_PLUGINDIR="${BASEDIR}/plugins";
$FRONTEND_PLUGINDIR="${HTMLDIR}/plugins";
$PREFIX = '/usr/local/bin';
$USER = "netflow";
$WWWUSER = "apache";
98
Centro de gestin de riesgos para monitoreo de redes
$WWWGROUP = "apache";
$BUFFLEN = 200000;
$SUBDIRLAYOUT = 1;
$ZIPcollected = 0;
$ZIPprofiles = 0;
$DISKLIMIT = 98;
$low_water = 90;
$syslog_facility = 'local3';
Instalar NFSEN
Arrancar Nfsen
# cd /var/nfsen/bin
# ./nfsen start
99
Centro de gestin de riesgos para monitoreo de redes
[framework]
framework_https=yes
framework_https_cert=
framework_https_key=
framework_ip=10.3.x.x // IP del framework de ossim
framework_port=40003 // Puerto por el que se conecta OSSIM
<Directory /usr/share/ossim/www>
<Files ~ "\.(pl|local|old|conf|ini|sql|cnf)$">
Order Allow, Deny
Allow from 127.0.0.1
</Files>
<IfModule mod_php4.c>
php_value include_path .:/usr/share/php:/usr/share/ossim/include/
php_value error_reporting 2039
php_value memory_limit 512M
AddType application/x-httpd-php .inc
</IfModule>
<IfModule mod_php5.c>
php_value include_path .:/usr/share/php:/usr/share/ossim/include/
php_value error_reporting 2039
php_value memory_limit 512M
AddType application/x-httpd-php .inc
</IfModule>
</Directory>
BEGIN {
local %ossim_conf::ossim_data;
#
# Read config from /etc/ossim.conf
#
open FILE, "/etc/ossim/framework/ossim.conf"
102
Centro de gestin de riesgos para monitoreo de redes
close(FILE);
#
# Read config from database
#
my $ossim_type = $ossim_conf::ossim_data->{"ossim_type"};
if ($ossim_type =~ /^postgres|^pg/i) {
$ossim_type = "Pg";
}
my $dsn = "dbi:$ossim_type:" .
"dbname=" . $ossim_conf::ossim_data->{"ossim_base"} ";" .
"host=" . $ossim_conf::ossim_data->{"ossim_host"} . ";" .
"port=" . $ossim_conf::ossim_data->{"ossim_port"};
my $conn = DBI->connect($dsn,
$ossim_conf::ossim_data->{"ossim_user"},
$ossim_conf::ossim_data->{"ossim_pass"})
or die "Can't connect to Database\n";
my $uuid = "";
if (-e "/etc/ossim/framework/db_encryption_key") {
$uuid = `grep "^key=" /etc/ossim/framework/db_encryption_key
| awk 'BEGIN { FS = "=" } ; {print \$2}'`; chomp($uuid);
103
Centro de gestin de riesgos para monitoreo de redes
} else {
$uuid = `dmidecode -s system-uuid`; chomp($uuid);
}
my $query = "SELECT *,AES_DECRYPT(value,'$uuid') as dvalue FROM
config";
my $stm = $conn->prepare($query);
$stm->execute();
}
Reiniciar el servidor y verificar que se ingres al sistema:
http://10.3.x.x/ossim
Para visualizar las grficas se debe copiar todos los archivos de imgenes
de ossim a la carpeta mrtg que se instal con anterioridad.
sub print_usage {
print "check_win_snmp_cpuload.pl IP COMMUNITY warning critical\n";
}
$PROGNAME = "check_win_snmp_cpuload.pl";
104
Centro de gestin de riesgos para monitoreo de redes
$IP=@ARGV[0];
$COMMUNITY=@ARGV[1];
$warning=@ARGV[2];
$critical=@ARGV[3];
$resultat =`snmpwalk -v 1 -c $COMMUNITY $IP 1.3.6.1.2.1.25.3.3.1.2`;
if ( $resultat ) {
@pourcentage = split (/\n/,$resultat);
$i=0;
foreach ( @pourcentage ) {
s/HOST-RESOURCES-MIB::hrProcessorLoad.\d+ = INTEGER://g;
$use_total+=$_;
$i++;
}
$use = $use_total / $i ;
exit $STATE_OK;
} elsif ( $use < $critical ) {
print "WARNING : CPU load $use%\n";
exit $STATE_WARNING;
105
Centro de gestin de riesgos para monitoreo de redes
} else {
print "CRITICAL : CPU load :$use%\n";
exit $STATE_CRITICAL;
}
} else {
print "Unkonwn : No response\n";
exit $STATE_UNKNONW;
}
use strict;
use Net::SNMP;
my $host = shift;
my $community = shift;
my $storageType = shift;
our $WARN = shift;
our $CRIT = shift;
unless( $CRIT ) {
errorExit( "syntax: check_win_snmp_storage.pl HOST COMMUNITY
type WARN CRIT" );
}
our %ERRORS = (
OK => 0,
WARNING => 1,
CRITICAL => 2,
UNKNOWN => 3,
DEPENDENT => 4
);
my %oid = (
hrStorageEntryTables => '.1.3.6.1.2.1.25.2.3.1',
hrStorageIndex => '.1.3.6.1.2.1.25.2.3.1.1',
hrStorageType => '.1.3.6.1.2.1.25.2.3.1.2',
106
Centro de gestin de riesgos para monitoreo de redes
my %storageType = (
'.1.3.6.1.2.1.25.2.1.5' => 'RemovableDisk',
'.1.3.6.1.2.1.25.2.1.4' => 'FixedDisk',
'.1.3.6.1.2.1.25.2.1.7' => 'CompactDisk',
'.1.3.6.1.2.1.25.2.1.3' => 'VirtualMemory',
'.1.3.6.1.2.1.25.2.1.2' => 'PhysicalMemory'
);
# find indices
my @indices;
foreach my $key ( keys %value ){
107
Centro de gestin de riesgos para monitoreo de redes
# memory checks
if( (lc $storageType) eq 'virtualmemory' || (lc $storageType) eq
'physicalmemory') {
foreach my $item ( values %storage ){
my %this = %{$item};
if ( (lc $this{type}) eq (lc $storageType) ) {
ReportAndExit(
$this{pct},
$this{size} * $this{units},
$this{used} * $this{units},
$this{type}
);
}
108
Centro de gestin de riesgos para monitoreo de redes
}
errorExit( "$storageType type not found" );
}
}
}
# must be a driveletter
if( $storageType =~ /^[a-zA-Z]$/ ) {
my $drive = uc $storageType;
foreach my $item ( values %storage ){
my %this = %{$item};
if ( ($this{type} eq 'FixedDisk') ) {
my $thisDrive = uc substr($this{desc},0,1);
if( $thisDrive eq $drive ){
ReportAndExit(
$this{pct},
$this{size} * $this{units},
$this{used} * $this{units},
"Disk $drive"
);
}
}
}
errorExit( "Driveletter [$drive] not found" );
}
errorExit( "Invalid storage type $storageType" );
# end of program
sub ReportAndExit {
my ( $pct, $total, $used, $type ) = @_;
my $err = ($pct > $CRIT) ? 'CRITICAL' : ($pct > $WARN) ?
'WARNING' : 'OK';
print "$err : Storage Used $pct% : Total $total bytes : Used $used
bytes : Type $type\n";
exit $ERRORS{$err};
}
110
Centro de gestin de riesgos para monitoreo de redes
sub errorExit {
my $msg = shift;
print "UNKNOWN: $msg\n";
exit $ERRORS{UNKNOWN};
}
111
Centro de gestin de riesgos para monitoreo de redes
CAPTULO 7
7. SISTEMA MODULAR
El primer paso para realizar el monitoreo es registrar los equipos, para ello el
sistema maneja un men con las opciones de crear, modificar, borrar. Los
activos que se deben registrar son los que se valoraron con la metodologa.
112
Centro de gestin de riesgos para monitoreo de redes
Nuevo
Opciones Avanzadas
113
Centro de gestin de riesgos para monitoreo de redes
Inventario
Modificar
114
Centro de gestin de riesgos para monitoreo de redes
Editar credenciales
115
Centro de gestin de riesgos para monitoreo de redes
Nuevo
Equipos: seleccionar del rbol Activos por propiedad, por que deseo
agrupar los activos.
116
Centro de gestin de riesgos para monitoreo de redes
Avanzado
Nuevo
Nombre: Nombre de la red a monitorear, campo obligatorio.
117
Centro de gestin de riesgos para monitoreo de redes
Bsqueda de activos
Bsqueda Avanzado
118
Centro de gestin de riesgos para monitoreo de redes
Descubrimiento de activos
119
Centro de gestin de riesgos para monitoreo de redes
Flujo de red
120
Centro de gestin de riesgos para monitoreo de redes
Caractersticas:
Los lenguajes de programacin utilizados son PHP para frond-
end y perl para el back-end. En el backend se encuentra todo
la programacin propia del plugin y en el frond-end se hace el
llamado al plugin desarrollado.
/var/www/nfsen/plugins
121
Centro de gestin de riesgos para monitoreo de redes
/etc/nfsen/nfsen.conf
Trfico de red
Por ejemplo para la grfica siguiente muestra que el total de trfico generado
es de 2.0 GB que corresponden a 12761302 paquetes, el trfico de IPv4 es
de 1.6 GB, el promedio del tiempo de vida de un paquete es de 68 saltos
antes de que el paquete sea descartado o devuelto, el 28.8% de los host
tiene un tiempo de vida menor a 32, para el 13.8% de los host el tiempo de
vida est entre 32 y 64, el 25.8% tiene un tiempo de vida entre 96 y 128 y el
4.1% tiene su tiempo de vida menor que 256 y mayor que 224, lo que indica
que no existe trfico en esta red.
122
Centro de gestin de riesgos para monitoreo de redes
La grfica de distribucin global del protocolo indica que protocolos son los
ms utilizados, para ello se muestran la grfica siguiente la cual se la debe
leer as: para el protocolo IP se transmitieron 199.2 Kbytes de los cuales el
71.3% corresponde a trasmisin TCP, el 22.8 % a trasmisin UDP, el 3,3% a
ICMP y 2.6% a trasmisin IGMP (protocolo utilizado para intercambiar
informacin entre enrutadores).
123
Centro de gestin de riesgos para monitoreo de redes
124
Centro de gestin de riesgos para monitoreo de redes
125
Centro de gestin de riesgos para monitoreo de redes
126
Centro de gestin de riesgos para monitoreo de redes
En Summary y dando clic en network load, es posible ver las grficas que
muestran la carga de la red o ancho de banda consumido los ltimos 10
minutos, ltima hora, ltimo da y ltimo mes.
127
Centro de gestin de riesgos para monitoreo de redes
128
Centro de gestin de riesgos para monitoreo de redes
129
Centro de gestin de riesgos para monitoreo de redes
Existen dos tipos de reportes por host o por servicio, despus de seleccionar
el tipo de reporte que se desea obtener, dar clic en el paso 2, despus
seleccionar las opciones del reporte y oprimir el botn crear reporte.
130
Centro de gestin de riesgos para monitoreo de redes
131
Centro de gestin de riesgos para monitoreo de redes
132
Centro de gestin de riesgos para monitoreo de redes
Una vez dado clic aparece la pantalla de los eventos que llegan al servidor y
son generados por los distintos plugins como Snort, ossec, ssh, indicando la
fecha que se genero el evento, el nombre, el riesgo definido por las reglas, el
plugin que lo gener, el sensor qu lo detecto, IP origen e IP destino del
evento.
133
Centro de gestin de riesgos para monitoreo de redes
134
Centro de gestin de riesgos para monitoreo de redes
Destino: Esa la direccin destino del host, que puede ser el nombre del host,
direccin IP o la direccin IP y el puerto.
Activo S -> D: Valor del activo, evento del host origen (S), hacia el evento
del host destino. El valor del activo est entre cero y cinco.
Prio: Es la prioridad del evento.
Rel: Es la fiabilidad de la prueba.
Riesgo S -> D: Es el riesgo, que es calculado en base al origen del evento
(S) y el riesgo calculado en base al destino del evento (D).
L4 Proto:
Informacin de Eventos
Al dar clic sobre el evento generado, se traslada hacia una pantalla en la que
proporciona informacin ms detallada, dando la ventaja de poder trabajar
con Anlisis Shellcode, o la opcin de descargar en formato PCAP.
PCAP: un archivo de extensin PCAP, es la captura de paquetes de datos y
que pueden ser abiertos por software como WinDump o WireShark que son
los ms conocidos.
Informacin IP.
Eliminacin de Eventos
Para eliminar uno o varios elementos marcamos con un clic en la casilla de
verificacin junto al nombre del evento y en la parte inferior dar un clic en el
botn Borrar Seleccionados, para borrar todos los eventos en pantalla, clic
en el botn Eliminar TODOS en la pantalla, y para borrar todos los eventos
del los criterios de bsqueda, clic en el botn Eliminar toda la consulta.
Administracin
En la parte inferior derecha, encontramos un link con la palabra
Administracin, que traslada hacia una pantalla con dos secciones la
primera es para que se pueda ver informacin general de que componentes
integran para recoleccin de eventos PHP built y la otra seccin Database
permite ver la base de datos que utiliza, la versin y que sensor utiliza para
la coleccin de eventos. Permite realizar una manipulacin de la base de
datos, con las opciones de Reparar, Limpiar Tablas y Limpiar Sensores.
137
Centro de gestin de riesgos para monitoreo de redes
7.1.9 Vulnerabilidades
Anlisis de vulnerabilidades
138
Centro de gestin de riesgos para monitoreo de redes
139
Centro de gestin de riesgos para monitoreo de redes
Equipo IP: Presenta el nombre del activo, y todos los trabajos ejecutados.
Fecha / Tiempo: fechas realizadas en el trabajo de escaneo.
Perfil: nombre del perfil que se ha dado al trabajo de escaneo.
Serias, Alto, Medio, Bajo, Info: divisin de las vulnerabilidades por activo
ejecutado en el anlisis
Presentacin de informes que pueden ser consultados por cada anlisis
realizado.
Se puede seleccionar por Equipo/Red, Servicio o Texto libre, para que
despliegue la informacin en funcin de los parmetros solicitados.
140
Centro de gestin de riesgos para monitoreo de redes
141
Centro de gestin de riesgos para monitoreo de redes
Buscar reglas
142
Centro de gestin de riesgos para monitoreo de redes
Estado
Esta seccin indica el estado en tiempo real del servidor o activo que se est
escaneando para un anlisis de vulnerabilidades, conteniendo el nmero de
cuantos se estn ejecutando, los que estn programados para el anlisis, los
completados, los que han fallado el escaneo por tiempo de espera y el
estado de escaneo.
143
Centro de gestin de riesgos para monitoreo de redes
Trabajos Programados
Grfico 62 Escaneos
Autor: tesistas
Fuente: Imgenes del sistema
144
Centro de gestin de riesgos para monitoreo de redes
145
Centro de gestin de riesgos para monitoreo de redes
146
Centro de gestin de riesgos para monitoreo de redes
Seleccionar las opciones deseadas: Escanear solo los equipos que estn
levantados en el inventario, ayudando a ejecutar ms rpido la exploracin
(Ping scan) de los activos, antes de iniciar el anlisis de vulnerabilidades.
Pre-scan localmente, ejecuta el escaneo de ping, desde el host que est
instalada la interface CGRM.
147
Centro de gestin de riesgos para monitoreo de redes
Grfico 68 HIDS
Autor: tesistas
Fuente: Imgenes del sistema
148
Centro de gestin de riesgos para monitoreo de redes
7.1.13 Correlacin
La correlacin de eventos se la realiza con las herramientas Snort y Nessus,
las directivas de correlacin permiten definir las diferentes condiciones que
deben cumplir los eventos.
El motor de correlacin toma todos los eventos de los detectores y luego los
normaliza.
Reglas de correlacin
149
Centro de gestin de riesgos para monitoreo de redes
Origen
En esta parte se debe insertar los activos para los cuales se desea realizar
la poltica, se puede filtrar por redes, grupos de redes, equipos.
Dando clic en insertar se puede crear una regla para cualquier otra IP que no
est en el los activos descubiertos
Destino
Hay que insertar en destino las Ip para los cuales se desea realizar la
poltica, se puede filtrar por redes, grupos de redes, equipos.
151
Centro de gestin de riesgos para monitoreo de redes
Puertos
En los puertos se puede configurar el puerto que debe aparecer como puerto
de destino en sus eventos. Si desea crear una regla de poltica que slo
coincide con los eventos que tienen uno o ms puertos de destino, se crea el
Grupo de puertos (del registro de activos) y luego seleccione el grupo de
puertos en esta forma poltica.
Grupos OD
Grfico 71 Grupos OD
Autor: tesistas
Fuente: Imgenes del sistema
152
Centro de gestin de riesgos para monitoreo de redes
Sensores
Grfico 72 Sensores
Autor: tesistas
Fuente: Imgenes del sistema
Rango de tiempo
Consecuencias de la poltica
153
Centro de gestin de riesgos para monitoreo de redes
Grupo de polticas
Una vez que una gran cantidad de reglas de poltica se han definido, se
puede crear grupos de polticas a seguir las reglas de polticas bien
organizadas.
154
Centro de gestin de riesgos para monitoreo de redes
Acciones
Propiedades de directivas
En esta pestaa estn las propiedades de las directivas, se puede crear una
nueva propiedad dando clic en nuevo y aceptando o negando las opciones.
Esta parte del sistema permite establecer las reglas de correlacin cruzada,
dando clic en nuevo aparece una pantalla como la siguiente:
155
Centro de gestin de riesgos para monitoreo de redes
7.1.18 Alarmas
Grfico 78 Alarmas
Autor: tesistas
Fuente: Imgenes del sistema
Una alarma es un evento que tiene un riesgo mayor a 1. Las alarmas son un
tipo especial de evento, ya que puede agrupar ms de un evento, cuando el
evento se convierte en alarma mediante directivas de correlacin.
156
Centro de gestin de riesgos para monitoreo de redes
Columna Contenido
Alarma Nombre de la directiva de eventos generados durante la correlacin
Riesgo Valor del riesgo entre 0 y 10
Sensor Nombre del sensor activo
Primer Evento Fecha y hora del primer evento que genero la alarma
ltimo Evento Fecha y hora del ltimo evento que genero la alarma
Origen IP o nombre del host de origen que gener la alarma (puede ser ms de un
origen, pero slo la primera se mostrar)
Destino IP de destino del host que gener la alarma (puede ser ms de un destino, pero
slo la primera se mostrar
Estado Estado de la alarma: abierto o cerrado
Filtros
Sirve para filtrar o mostrar slo ciertas alarmas, haga clic en Filtro, Acciones
y Opciones en la esquina superior izquierda.
157
Centro de gestin de riesgos para monitoreo de redes
Cerrar Alarmas
Una vez que la alarma ha sido analizada debe ser cerrada. Las alarmas que
no se han considerado como un falso positivo no se deben eliminar, slo se
debe cerrar.
Para cerrar una alarma haga clic en el icono blanco X junto a la alarma que
desea cerrar, para ver las alarmas abiertas y cerradas, haga clic en Filtros,
Acciones, Opciones y desmarcar la casilla de verificacin ocultar las alarmas
cerradas.
Para cerrar ms de una alarma haga clic en Filtros, Acciones y Opciones,
marque la casilla de verificacin junto a las alarmas que desea eliminar y, a
continuacin, haga clic en cerrar seleccionado.
158
Centro de gestin de riesgos para monitoreo de redes
Borrar alarmas
Slo las alarmas que han sido consideradas como falsos positivos deben ser
eliminadas. Las alarmas que representan un verdadero problema en la red
debe ser cerrada pero no borradas.
Para eliminar ms de una alarma haga clic de en filtros, acciones y
opciones, marque la casilla de verificacin junto a las alarmas que desea
eliminar y, a continuacin, haga clic en Eliminar seleccionado.
Vista detallada
Cuando una directiva de correlacin es generada por varios eventos, todos
los eventos se agrupan dentro de la misma alarma. En este caso, la alarma
se compone de diferentes eventos. Para ver todos los eventos, haga clic en
la cruz verde junto al nombre de la alarma:
Se abrir una nueva ventana con todos los eventos organizados por nivel de
correlacin. Al hacer clic en cada evento se mostrar el evento original en la
consola forense.
159
Centro de gestin de riesgos para monitoreo de redes
160
Centro de gestin de riesgos para monitoreo de redes
Nuevo documento
Se puede agregar un nuevo documento a la Base de Datos, haga clic en
Nuevo documento. El sistema de proporciona un editor de texto ofreciendo la
posibilidad de la insertar imgenes en los documentos.
Editar documentos
Para editar un documento, haga clic en el icono correspondiente junto al
nombre del documento que desea editar.
Eliminar documento
Para eliminar un documento, haga clic en el icono rojo con una 'X' al lado del
nombre del documento que desee eliminar.
Cambiar de Propietario
161
Centro de gestin de riesgos para monitoreo de redes
Adjuntar archivos
Para adjuntar un archivo a un documento de la base de datos de
conocimiento, haga clic sobre el icono de archivo adjunto al lado del nombre
del documento.
Vincular documentos
Un documento de la base de datos de conocimiento puede ser vinculado a
un host, un grupo de hosts, a una red, un grupo de red.
162
Centro de gestin de riesgos para monitoreo de redes
163
Centro de gestin de riesgos para monitoreo de redes
CAPTULO 8
8. CONCLUSIONES Y RECOMENDACIONES
8.1 CONCLUSIONES
164
Centro de gestin de riesgos para monitoreo de redes
8.2 RECOMENDACIONES
165
Centro de gestin de riesgos para monitoreo de redes
GLOSARIO DE TERMINOS
168
Centro de gestin de riesgos para monitoreo de redes
BIBLIOGRAFA
http://systemadmin.es/2010/12/usar-el-event-handler-de-nagios-para-
recuperar-servicios
http://www.ajpdsoft.com/modules.php?name=News&file=article&sid=3
44
http://www.esdebian.org/wiki/monitorizar-dispositivos-red-usando-
nagios-debian
http://blog.unlugarenelmundo.es/2007/06/29/instalando-nagios-3x-en-
debian-etch/
http://www.wikipeando.com/index.php/archives/101
http://www.becodemyfriend.com/2011/04/manual-de-instalacion-y-
configuracion-de-nagios-3-monitoring-parte-ii/
http://www.securityartwork.es/2012/04/02/introduccion-al-analisis-de-
riesgos-%E2%80%93-metodologias-ii/
http://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Eval
uacion+de+Riesgo-CRAMM
http://www.mikogo.es/2011/03/01/servicios-informaticos-importancia/
169
Centro de gestin de riesgos para monitoreo de redes
Carrera de Informtica
ANEXO 1
VALORACIN DE ACTIVOS
170
Centro de gestin de riesgos para monitoreo de redes
VALORACIN DE ACTIVOS
PROMEDIO POR
VALORACION AREA DE SUFICIENCIA
ACTIVO AMENAZAS
HARDWARE [HW]
[switch] swicth: 3com OFFICE
CONNECT: 01
I.11 - - 1[adm] - - 1
E.23 5[da] - - - - 5
A.7 3[da] - - - - 3
A.11 7[adm] - - - - 7
A.14 - - 3 [da] - - 3
A.24 5[adm] - - - - 5
A.26 7[da] - - - - 7
171
Centro de gestin de riesgos para monitoreo de redes
PROMEDIO
VALORACION DIRECCIN DE CARRERA DE POR
CIENCIAS AMENAZAS
ACTIVO
[D] [I] [C] [A] [T]
HARDWARE [HW]
I.7 1[lg] 0 1
I.11 - - 1[adm] - - 0
E.23 5[da] - - - - 5
E.24 0 - - - - 0
A.7 3[da] - - - - 3
A.11 7 [adm] - - - - 7
A.14 - - 3 [da] - - 0
A.24 5[adm] - - - - 5
A.26 7[da] - - - - 7
172
Centro de gestin de riesgos para monitoreo de redes
La tabla 47. Muestra los resultados del anlisis de activos para el swicth:
3com OFFICE CONNECT: 01 de la sala de la direccin de carrera, en la
cual se resume el promedio por amenazas y el promedio ponderado, en
este caso el promedio ponderado tiene una valoracin de 4.1, lo cual lo
ubica en una valoracin media baja de acuerdo a la escala de valoracin
propuesta por MAGERIT.
E.23 5[da] - - - - 5
E.24 0 - - - - 0
A.6 - 0 0 - - 0
A.7 1[da] - - - - 1
A.11 1 [da] - - - - 1
A.14 - - 1 [da] - - 0
A.24 3[adm] - - - - 3
A.25 3[adm] - 1[da] - - 3
A.26 1[da] - - - - 1
PROMEDIO PONDERADO 3
Tabla 48 Valoracin de switch 1 secretara general
Autor: tesistas
Fuente: Magerit v2.0
La tabla 48. Muestra los resultados del anlisis de activos para el swicth:
swicth 3com 4500 de la secretara general, en la cual se resume el
173
Centro de gestin de riesgos para monitoreo de redes
E.23 5[da] - - - - 5
E.24 0 - - - - 0
A.6 - 0 0 - - 0
A.7 1[da] - - - - 1
A.11 1 [da] - - - - 1
A.14 - - 1 [da] - - 0
A.24 3[adm] - - - - 3
A.25 3[adm] - 1[da] - - 3
A.26 1[da] - - - - 1
PROMEDIO PONDERADO 2.9
Tabla 49 Valoracin de switch 2 secretara general
Autor: tesistas
Fuente: Magerit v2.0
La tabla 49. Muestra los resultados del anlisis de activos para el swicth:
swicth 3com 2024 de la secretara general, en la cual se resume el
promedio por amenazas y el promedio ponderado, en este caso el
174
Centro de gestin de riesgos para monitoreo de redes
promedio ponderado tiene una valoracin de 2.9, lo cual loa ubica en una
valoracin baja de acuerdo a la escala de valoracin propuesta por
MAGERIT.
Valoracin de switch 1 departamento financiero
PROMEDIO
VALORACION DPTO. FINANCIERO POR
ACTIVO
AMENAZAS
[D] [I] [C] [A] [T]
HARDWARE [HW]
[switch] Switch 3com 4210
N.2 0 - - - 0 0
N.* 9 [da] - - - 0 9
E.23 5[da] - - - - 5
E.24 0 - - - - 0
A.6 - 0 0 - - 0
A.7 1[da] - - - - 1
A.11 1 [da] - - - - 1
A.14 - - 1 [da] - - 0
A.24 3[adm] - - - - 3
A.25 3[adm] - 1[da] - - 3
A.26 1[da] - - - - 1
PROMEDIO PONDERADO 2.8
Tabla 50 Valoracin de switch 1 departamento financiero
Autor: tesistas
Fuente: Magerit v2.0
La tabla 50. Muestra los resultados del anlisis de activos para el swicth:
swicth 3com 4210 del departamento financiero, en la cual se resume el
promedio por amenazas y el promedio ponderado, en este caso el
promedio ponderado tiene una valoracin de 2.8, lo cual lo ubica en una
175
Centro de gestin de riesgos para monitoreo de redes
N.1 0 - - - 0 0
N.2 0 - - - 0 0
N.* 9 [da] - - - 0 9
I.5 3[adm] - - - 1[da] 3
I.6 9[adm] - - - 3[adm] 9
I.7 5[adm] 0 5
I.11 - - 0 - - 0
E.2 3[da] 3[da] 3[da] 1[da] 1[da] 3
E.23 5[da] - - - - 5
E.24 0 - - - - 0
A.6 - 0 0 - - 0
A.7 1[da] - - - - 1
A.11 1 [da] - - - - 1
A.14 - - 1 [da] - - 0
A.24 3[adm] - - - - 3
A.25 3[adm] - 1[da] - - 3
A.26 1[da] - - - - 1
PROMEDIO PONDERADO 2.9
Tabla 51 Valoracin de switch 1 postgrado
Autor: tesistas
Fuente: Magerit v2.0
La tabla 51. Muestra los resultados del anlisis de activos para el swicth:
3com Baseline 2226 de postgrado, en la cual se resume el promedio por
amenazas y el promedio ponderado, en este caso el promedio ponderado
tiene una valoracin de 2,9, lo cual loa ubica en una valoracin media
baja de acuerdo a la escala de valoracin propuesta por MAGERIT.
176
Centro de gestin de riesgos para monitoreo de redes
E.23 5[da] - - - - 5
E.24 0 - - - - 0
A.6 - 0 0 - - 0
A.7 1[da] - - - - 1
A.11 1 [da] - - - - 1
A.14 - - 1[da] - - 0
A.24 3[adm] - - - - 3
A.25 3[adm] - 1[da] - - 3
A.26 1[da] - - - - 1
PROMEDIO PONDERADO 2.9
La tabla 52. Muestra los resultados del anlisis de activos para el router:
Linksys Router Wireless N de postgrado, en la cual se resume el
promedio por amenazas y el promedio ponderado, en este caso el
promedio ponderado tiene una valoracin de 2.9, lo cual loa ubica en una
valoracin baja de acuerdo a la escala de valoracin propuesta por
MAGERIT.
177
Centro de gestin de riesgos para monitoreo de redes
N.1 0 - - - 0 0
N.2 0 - - - 0 0
N.* 9 [da] - - - 0 9
I.5 3[adm] - - - 1[da] 3
I.6 9[adm] - - - 3[adm] 9
I.7 5[adm] 0 5
I.11 - - 0 - - 0
E.2 3[da] 3[da] 3[da] 1[da] 1[da] 3
E.23 5[da] - - - - 5
E.24 0 - - - - 0
A.6 - 0 0 - - 0
A.7 1[da] - - - - 1
A.11 1 [da] - - - - 1
A.14 - - 1 [da] - - 0
A.24 3[adm] - - - - 3
A.25 3[adm] - 1[da] - - 3
A.26 1[da] - - - - 1
PROMEDIO PONDERADO 2.9
La tabla 53. Muestra los resultados del anlisis de activos para el switch:
D-Link Fast Ethernet de postgrado, en la cual se resume el promedio por
amenazas y el promedio ponderado, en este caso el promedio ponderado
tiene una valoracin de 2.9, lo cual lo ubica en una valoracin baja de
acuerdo a la escala de valoracin propuesta por MAGERIT.
178
Centro de gestin de riesgos para monitoreo de redes
La tabla 54. Muestra los resultados del anlisis de activos para el switch:
D-Link Fast Ethernet del auditorio, en la cual se resume el promedio por
amenazas y el promedio ponderado, en este caso el promedio ponderado
tiene una valoracin de 5.4, lo cual lo ubica en una valoracin media de
acuerdo a la escala de valoracin propuesta por MAGERIT.
Valoracin de switch 1 biblioteca
PROMEDIO
VALORACION BIBLIOTECA POR
ACTIVO
AMENAZAS
[D] [I] [C] [A] [T]
HARDWARE [HW]
[switch]swicth: 3com OFFICE
CONNECT: 01
N.1 7[da] - - - - 7
N.* 9 [da] - - - - 9
I.5 3[adm] - - - 1[da] 3
179
Centro de gestin de riesgos para monitoreo de redes
La tabla 55. Muestra los resultados del anlisis de activos para el switch:
3com OFFICE CONNECT: 01 de la biblioteca, en la cual se resume el
promedio por amenazas y el promedio ponderado, en este caso el
promedio ponderado tiene una valoracin de 3.1, lo cual lo ubica en una
valoracin medio-baja de acuerdo a la escala de valoracin propuesta por
MAGERIT.
Valoracin de servidor de la biblioteca
PROMEDIO
POR
VALORACION BIBLIOTECA AMENAZAS
ACTIVO [D] [I] [C] [A] [T]
APLICACIONES [SW]
servidor de biblioteca
I.5 9[da] - - - 9 [da] 9
E.1 5[da] 5[da] - - - 5
E.2 5[da] 7[adm] 7[adm] 7[adm] 7[adm] 5
E.3 - - - - 1[lg] 1
E.4 7[adm] 7[adm] 7[adm] 7[adm] 7[si] 7
E.8 7[olm] 5[olm] 7[da] 6[si] 7[ps] 7
E.14 - - 3[adm] - - 3
E.20 5[adm] 5[adm] 5[adm] - - 5
E.21 7[adm] 7[adm] - - - 7
A.4 3[adm] 3[adm] 3[adm] 1[adm] 1[adm] 3
A.5 9[adm] 9[adm] 9[adm] 9[adm] 9
A.6 - 7[adm] 7[adm] - - 7
A.7 7[adm] - - - - 7
A.8 3[adm] 3[adm] 3[adm] 3[adm] 3[adm] 3
A.11 - 7[adm] 7[adm] 5[adm] - 6.3
A.14 3[adm] 3
A.22 5[adm] 5[adm] 5[adm] 7[adm] 5[si] 6.8
PROMEDIO PONDERADO 5.5
Tabla 56 Valoracin de servidor de la biblioteca
Autor: tesistas
Fuente: Magerit v2.0
180
Centro de gestin de riesgos para monitoreo de redes
La tabla 56. Muestra los resultados del anlisis de activos para el servidor
de la biblioteca, en la cual se resume el promedio por amenazas y el
promedio ponderado, en este caso el promedio ponderado tiene una
valoracin de 5.5, lo cual lo ubica en una valoracin media de acuerdo a
la escala de valoracin propuesta por MAGERIT.
HARDWARE [HW]
N.* 9 [da] - - - 0 9
I.7 5[adm] 0 5
I.11 - - 1[adm] - - 1
E.23 5[da] - - - - 5
A.7 1[da] - - - - 1
A.11 1 [da] - - - - 1
A.14 - - 1 [da] - - 1
A.24 3[adm] - - - - 3
A.26 1[da] - - - - 1
181
Centro de gestin de riesgos para monitoreo de redes
La tabla 58. Muestra los resultados del anlisis de activos para el Switch
3com 2226 de la Facultad de Ingeniera Qumica, en la cual se resume el
promedio por amenazas y el promedio ponderado, en este caso el
promedio ponderado tiene una valoracin de 3.3, lo cual lo ubica en una
valoracin media de acuerdo a la escala de valoracin propuesta por
MAGERIT.
Valoracin de switch 1 laboratorio de computadoras
PROMEDIO
VALORACION LAB. COMPUTADORAS POR
ACTIVO AMENAZAS
[D] [I] [C] [A] [T]
HARDWARE [HW]
N.* 9 [adm] - - - - 9
182
Centro de gestin de riesgos para monitoreo de redes
I.7 5[adm] - 5
I.11 - - 1 [adm] - - 1
E.23 5[da] - - - - 5
A.7 1[da] - - - - 1
A.11 1 [da] - - - - 1
A.14 - - 5 [da] - - 5
A.24 1[da] - - - - 1
A.26 1[da] - - - - 1
La tabla 59. Muestra los resultados del anlisis de activos para el Switch
3com 4200GT 24P del laboratorio de computadoras , en la cual se
resume el promedio por amenazas y el promedio ponderado, en este caso
el promedio ponderado tiene una valoracin de 3.9, lo cual lo ubica en
una valoracin media de acuerdo a la escala de valoracin propuesta por
MAGERIT.
HARDWARE [HW]
N.* 9[adm] - - - - 9
I.7 5[adm] - 5
I.11 - - 1[adm] - - 1
183
Centro de gestin de riesgos para monitoreo de redes
E.23 5[da] - - - - 5
A.7 1[da] - - - - 1
A.11 1 [da] - - - - 1
A.14 - - 5 [da] - - 5
A.24 1[da] - - - - 1
A.26 1[da] - - - - 1
PROMEDIO PONDERADO 4
Tabla 60 Valoracin de switch 2 laboratorio de computadoras
Autor: tesistas
Fuente: Magerit v2.0
E.3 - - - - 7[si] 7
184
Centro de gestin de riesgos para monitoreo de redes
A.14 1[lg] 1
A.22 7[olm] 7[olm] 3[olm] 3[olm] 6.6
PORMEDIO PONDERADO 5.1
Tabla 61 Valoracin de servidor de antivirus
Autor: tesistas
Fuente: Magerit v2.0
La tabla 61. Muestra los resultados del anlisis de activos del servidor de
antivirus, en la cual se resume el promedio por amenazas y el promedio
ponderado, en este caso el promedio ponderado tiene una valoracin de
5.1, lo cual lo ubica en una valoracin media-alta de acuerdo a la escala
de valoracin propuesta por MAGERIT.
Valoracin de servidor de base de datos
PROMEDI
O POR
VALORACION LAB. COMPUTADORAS
ACTIVO AMENAZA
S
[D] [I] [C] [A] [T]
SERVIDORES [S]
servidor de base de datos
I.5 9[da] - - - 9 [da] 9
E.1 9[da] 9[da] - - - 9
E.2 7[da] 7[da] 7[olm] 9[adm] 9[adm] 7.5
E.3 - - - - 7[si] 7
La tabla 62. Muestra los resultados del anlisis de activos del servidor de
base de datos, en la cual se resume el promedio por amenazas y el
promedio ponderado, en este caso el promedio ponderado tiene una
valoracin de 7.7, lo cual lo ubica en una valoracin alta de acuerdo a la
escala de valoracin propuesta por MAGERIT.
Valoracin de servidor de aplicaciones
PROMEDIO
VALORACION LAB. COMPUTADORAS POR
ACTIVO
AMENAZAS
[D] [I] [C] [A] [T]
SERVIDORES [S]
Servidor de aplicaciones
I.5 9[da] - - - 9 [da] 9
E.1 5[da] 5[da] - - - 5
E.2 5[da] 7[adm] 7[adm] 7[adm] 7[adm] 6.5
E.3 - - - - 5[adm] 5
La tabla 63. Muestra los resultados del anlisis de activos del servidor de
base de datos, en la cual se resume el promedio por amenazas y el
promedio ponderado, en este caso el promedio ponderado tiene una
valoracin de 6.6, lo cual lo ubica en una valoracin medio-alta de
acuerdo a la escala de valoracin propuesta por MAGERIT.
186
Centro de gestin de riesgos para monitoreo de redes
La tabla 64. Muestra los resultados del anlisis de activos del servidor
web, en la cual se resume el promedio por amenazas y el promedio
ponderado, en este caso el promedio ponderado tiene una valoracin de
6.8, lo cual lo ubica en una valoracin medio-alta de acuerdo a la escala
de valoracin propuesta por MAGERIT.
187
Centro de gestin de riesgos para monitoreo de redes
La tabla 65. Muestra los resultados del anlisis de activos del servidor
web, en la cual se resume el promedio por amenazas y el promedio
ponderado, en este caso el promedio ponderado tiene una valoracin de
5.4, lo cual lo ubica en una valoracin media de acuerdo a la escala de
valoracin propuesta por MAGERIT.
188
Centro de gestin de riesgos para monitoreo de redes
FACULTAD DE INGENIERA
EDIFICIO DE HIDRALICA QUIMICA EDIFICIO DE AULAS
Aplicacin biblioteca
Switch de la biblioteca
9 Switch
6 Servidor
CENTRO DE DATOS CIU
EDIFICIO DE RESISTENCIA DE MATERIALES
1 Router
1 Internet
1 Servidor.7
Servidor de correo Servidor de antivirus
Laboratorio de suficiencia de la
CIU Escuela de Ciencias
Laboratorio de Computadoras de
La escuela de ciencias
189
Centro de gestin de riesgos para monitoreo de redes
Internet
DIAGRAMA DEL SERVICIO DE CORREO ELECTRONICO
EDIFICIO DE RESISTENCIA DE
CIU
MATERIALES
Laboratorio de
Computadoras de
La escuela de ciencias
Servidor de Correo
190
Centro de gestin de riesgos para monitoreo de redes
FACULTAD DE INGENIERA
EDIFICIO DE HIDRALICA
QUIMICA
191
Centro de gestin de riesgos para monitoreo de redes
EDIFICIO DE RESISTENCIA DE
MATERIALES
EDIFICIO DE AULAS
Laboratorio de Computadoras de
La escuela de ciencias
Postgrado de Ingeniera
Laboratorio de Computadoras de
La escuela de ciencias
192
Centro de gestin de riesgos para monitoreo de redes
Internet
DIAGRAMA DEL SERVICIO WEB
EDIFICIO DE RESISTENCIA DE
CIU
MATERIALES
Laboratorio de
Computadoras de
La escuela de ciencias
Servidor Web
193
Centro de gestin de riesgos para monitoreo de redes
Carrera de Informtica
ANEXO 2
FOTOS
194
Centro de gestin de riesgos para monitoreo de redes
195
Centro de gestin de riesgos para monitoreo de redes
196
Centro de gestin de riesgos para monitoreo de redes
197
Centro de gestin de riesgos para monitoreo de redes
198
Centro de gestin de riesgos para monitoreo de redes
Carrera de Informtica
ANEXO 3
MANUAL TCNICO
199
Centro de gestin de riesgos para monitoreo de redes
MANUAL TCNICO
define contact{
contact_name root
alias Root
service_notification_commands notify-service-by-email
email usuariofac@gmail.com ;
}
define contactgroup{
contactgroup_name admins
alias Nagios Administrators
members root
}
define service {
hostgroup_name http-servers
service_description HTTP
check_command check_http
200
Centro de gestin de riesgos para monitoreo de redes
use generic-service
}
Variables SNMP
Las variables snmp que maneja Nagios se encuentran en una librera del
paquete, esta librera se llama check_snmp_process.pl, la misma que
se la puede descargar para utilizarla.
La forma de configurar este archivo es la siguiente:
1. Despus de descargado se debe dar permisos de escritura sobre el
archivo de la siguiente forma: chmod 755
check_snmp_process.pl
2. El siguiente paso es dar permisos de ossim a la librera as:
chown ossim check_snmp_process.pl
3. Se debe editar el fichero /etc/nagios3/ossim-commands.cfg
agregando las lneas siguientes:
define command{
command_name check_snmp_process
command_line $USER1$/check_snmp_process.pl -H
$HOSTADDRESS$
$USER7$ -n $ARG1$ -w $ARG2$ -c $ARG3$ $ARG4$
}
201
Centro de gestin de riesgos para monitoreo de redes
Manejadores de eventos
define command {
command_name snmp_load
command_line /usr/lib/nagios/plugins/check_snmp H
$HOSTADDRESS& -C &ARG1&
202
Centro de gestin de riesgos para monitoreo de redes
203
Centro de gestin de riesgos para monitoreo de redes
WARNING) ;;
UNKNOWN) ;;
204
Centro de gestin de riesgos para monitoreo de redes
Despus hay que aadir el comando de reinicio del servicio por NRPE:
define command{
command_name nrpe_restart_bacula_fd
command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c
restart_bacula_fd -a $SERVICESTATE$ $SERVICESTATETYPE$
$SERVICEATTEMPT$
}
Para el servicio concreto que se desee habilitar en el event handler se
aade:
event_handler_enabled: Habilitamos explcitamente el event handler
event_handler: Indicamos el comando a ejecutar cuando ocurra algn
evento
Postfix
205
Centro de gestin de riesgos para monitoreo de redes
206
Centro de gestin de riesgos para monitoreo de redes
207
Centro de gestin de riesgos para monitoreo de redes
208
Centro de gestin de riesgos para monitoreo de redes
209
Centro de gestin de riesgos para monitoreo de redes
210
Centro de gestin de riesgos para monitoreo de redes
211
Centro de gestin de riesgos para monitoreo de redes
212
Centro de gestin de riesgos para monitoreo de redes
213
Centro de gestin de riesgos para monitoreo de redes
214
Centro de gestin de riesgos para monitoreo de redes
# apt-get update
# apt-get install ssh
#apt-get install apache-ssl apache-common libapache-mod-php4 \mysql-
server mysql-common mysql-client php4-mysql \libnet1 libnet1-dev
libpcre3 libpcre3-dev autoconf automake1.9 \libpcap0.8 libpcap0.8-dev
libmysqlclient15-dev \php4-gd php4-pear libphp-adodb vim gcc make
\php4-cli libtool libssl-dev gcc-4.1 g++
Por otra parte, hay un grupo de reglas de la comunidad. Son reglas que
gente de todo el mundo va desarrollando y enva a Snort para que las
publiquen.
Descargar las reglas para la versin 2.8 (tipo 2 :)) en:
215
Centro de gestin de riesgos para monitoreo de redes
http://www.snort.org/pub-bin/downloads.cgi
# cd /etc/snort
# mv /root/snortrules-snapshot-2.8.0.1.tar.gz
# tar xvzf snortrules-snapshot-2.8.0.1.tar.gz MD5 -
>61b7818176609e8753bb10b98ae9a820
# cp /usr/local/src/snort-2.8.0.1/etc/*.conf*
# cp /usr/local/src/snort-2.8.0.1/etc/*.map
Configuracin /etc/snort/snort.conf:
Configuracin de MYSQL:
216
Centro de gestin de riesgos para monitoreo de redes
Iniciamos mysql:
# mysql -u root p
Creamos la BD snort:
mysql> create database snort;
Asignar un password.
# cd /usr/local/src/snort-2.8.0.1/schemas
# mysql -u root -p <>
217
Centro de gestin de riesgos para monitoreo de redes
Reiniciar snort
# kill -9 pid
Hacer un escaneo a la mquina con nmap y comprobar que ha guardado
algn evento con:
Configurar apache-ssl:
Editar /etc/apache-ssl/httpd.conf
Buscar y descomentar:
extension=mysql.so
Reiniciar apache:
/etc/init.d/apache-ssl restart
Instalar BASE (Basic Analysis and Security Engine. Front-end web para
analizar alertas del snort):
# cd /var/www
218
Centro de gestin de riesgos para monitoreo de redes
# rm index.html (opcional)
# wget http://internap.dl.sourceforge.net/sourceforge/secureideas/base-
1.2.5.tar.gz
# tar xvzf base-1.2.5.tar.gz
# mv base-1.2.5 base
# chmod 777 base
Pulsar "continue".
Pulsar "continue":
Pulsar "continue":
Pulsar sobre el botn "create baseag" e informa de si se ha creado todo
correctamente.
Pulsar "Ir al paso 5"
Cambiar permisos al directorio base:
219
Centro de gestin de riesgos para monitoreo de redes
# rm /etc/alternatives/php
# ln -s /usr/bin/php4 /etc/alternatives/php
Ejecutar:
extension=gd.so
Ejecutar:
Reiniciar apache-ssl.
220
Centro de gestin de riesgos para monitoreo de redes
# cd /usr/local/src
# wget
http://internap.dl.sourceforge.net/sourceforge/oinkmaster/oinkmaster-
2.0.tar.gz
# tar xvzf oinkmaster-2.0.tar.gz
# cd oinkmaster-2.0
# cp oinkmaster.pl /usr/local/bin
# mkdir /usr/local/etc
# cp oinkmaster.conf /usr/local/etc
url = http://www.snort.org/pub-bin/oinkmaster.cgi/oinkcode/filename
A continuacin hacemos:
# mkdir /tmp/oinktest
# /usr/local/bin/oinkmaster.pl -o /tmp/oinktest
# mkdir /tmp/OINKBACK
# /usr/local/bin/oinkmaster.pl -o /tmp/oinktest -b /tmp/OINKBACK
221
Centro de gestin de riesgos para monitoreo de redes
Esto, har una copia de las reglas en OINKBACK antes de instalar las
nuevas.
Crear el script de inicio de SNORT:
Crear y editar /etc/init.d/snort
Aadir al fichero lo siguiente:
#!/bin/bash
/sbin/ifconfig eth0 up
/usr/local/bin/snort -Dq -u snort -g snort -c /etc/snort/snort.conf -i eth1
Hacerlo ejecutable:
#chmod +x /etc/init.d/snort-barn
Utilizar update-rc.d will para crear los enlaces en los directorios rc?.d:
#update-rc.d snort defaults 95
Nessus.Monitor.cfg.
222
Centro de gestin de riesgos para monitoreo de redes
[DEFAULT]
plugin_id=3001
[config]
type=monitor
enable=yes
source=command
location=process=nessusd
start=yes
stop=yes
startup=/etc/init.d/%(process)s start
shutdown=/etc/init.d/%(process)s stop
Puerto de escucha
Nessus en su operacin de escaneo utiliza el puerto 1241, para
comunicarse con el sistema, su plugin ocupa el puerto 3001.
223
Centro de gestin de riesgos para monitoreo de redes
224
Centro de gestin de riesgos para monitoreo de redes
225
Centro de gestin de riesgos para monitoreo de redes
Lenguaje NASL
El analizador Nessus incluye NASL (Nessus Attack Scripting Language),
un lenguaje diseado especficamente para crear pruebas de seguridad
de manera rpida y sencilla.
226
Centro de gestin de riesgos para monitoreo de redes
nessus-fetch --security-center
# /opt/nessus/sbin/nessus-service D
/etc/init.d/nessusd start
# killall nessusd
# /etc/init.d/nessusd stop
Opcin Descripcin
-c <config-file> Al iniciar el servidor nessusd, esta
opcin se emplea para especificar el
archivo de configuracin nessusd del
servidor que se usar. Posibilita el uso
de un archivo de configuracin
alternativo en lugar del
227
Centro de gestin de riesgos para monitoreo de redes
/opt/nessus/etc/nessus/nessusd.conf
estndar (o
/usr/local/nessus/etc/nessus/nessusd.
conf para FreeBSD).
-a <address> Al iniciar el servidor nessusd, esta
opcin se emplea para indicar al servidor
que solo escuche las conexiones en la
direccin <address> que sea una IP, no
un nombre de equipo. Esta opcin
resulta til si usted ejecuta nessusd en
una puerta de enlace, y si no desea que
personas ajenas se conecten con su
nessusd.
-S <ip[,ip2,...]> Al iniciar el servidor nessusd, fuerza la
IP de origen de las conexiones
establecidas por Nessus durante el
anlisis a <ip>. Esta opcin solo es de
utilidad si usted tiene un equipo de
mltiples hosts con varias direcciones IP
pblicas que desea usar en lugar de la
direccin predeterminada. Para que
funcione esta configuracin, el host en el
que se ejecute nessusd debe contar con
varias NIC en las que estn establecidas
estas direcciones IP.
-p <port-number> Al iniciar el servidor nessusd, esta
opcin le indicar al servidor que
escuche las conexiones con el cliente en
el puerto <port-number> en lugar de
escucharlas en el puerto 1241, que es el
predeterminado.
-D Al iniciar el servidor nessusd, esta
228
Centro de gestin de riesgos para monitoreo de redes
Actualizacin de Plugins
# /opt/nessus/sbin/nessus-update-plugins
229
Centro de gestin de riesgos para monitoreo de redes
Para usar Nessus, integrado con Ossim, se tiene que actualizar las reglas
de manera manual y configurar el fichero para lanzar Nessus desde
Ossim con los parmetros adecuados.
my $nessus = "/usr/bin/nessus";
my $nessus_user = "angel";
my $nessus_pass = "------";
my $nessus_host = "localhost";
my $nessus_port = "1241";
my $nessus_rpt_path = "/usr/share/ossim/www/vulnmeter/";
my $nessus_distributed = "0";
my $nessus_tmp = $nessus_rpt_path . "tmp/";
230
Centro de gestin de riesgos para monitoreo de redes
Carrera de Informtica
ANEXO 4
MANUAL DE INSTALACIN
231
Centro de gestin de riesgos para monitoreo de redes
INTRODUCCIN
REQUISITOS DE HARDWARE
INSTALACION
232
Centro de gestin de riesgos para monitoreo de redes
233
Centro de gestin de riesgos para monitoreo de redes
234
Centro de gestin de riesgos para monitoreo de redes
235
Centro de gestin de riesgos para monitoreo de redes
236
Centro de gestin de riesgos para monitoreo de redes
237
Centro de gestin de riesgos para monitoreo de redes
16. Una vez inicializado todos los servicios, se debe entrar a la raz de
la aplicacin mediante consola de comandos, donde ingresamos el
login y el password, que por omisin son los siguientes:
Login: root
238
Centro de gestin de riesgos para monitoreo de redes
Password: admin01
239
Centro de gestin de riesgos para monitoreo de redes
User: admin
Password: admin01
240
Centro de gestin de riesgos para monitoreo de redes
241
Centro de gestin de riesgos para monitoreo de redes
242
Centro de gestin de riesgos para monitoreo de redes
22. Una vez creado el sensor se debe configurar, para ello en el men
Configuracin en la opcin Principal en la pestaa
Avanzado en Framework Ossim en Default Ntop Sensor se
debe seleccionar el sensor creado.
243
Centro de gestin de riesgos para monitoreo de redes
244
Centro de gestin de riesgos para monitoreo de redes
vim /etc/ossim/server/config.xml
y cambiar la lnea 5 por la ip del Nuevo servidor:
<framework name="srvossim" ip="192.168.1.10"
port="40003"/>
245
Centro de gestin de riesgos para monitoreo de redes
Carrera de Informtica
ANEXO 5
MANUAL DE USUARIO
246
Centro de gestin de riesgos para monitoreo de redes
Ingreso al sistema
User: admin
Password: 1030tesis
247
Centro de gestin de riesgos para monitoreo de redes
1. Cuadro de Mandos.
248
Centro de gestin de riesgos para monitoreo de redes
2. Incidencias
Alarmas
249
Centro de gestin de riesgos para monitoreo de redes
Tickets
250
Centro de gestin de riesgos para monitoreo de redes
BD Conocimiento
3. Anlisis
Seguridad de eventos
251
Centro de gestin de riesgos para monitoreo de redes
Vulnerabilidades
Trabajos de escaneo
252
Centro de gestin de riesgos para monitoreo de redes
Deteccin
4. Informes
253
Centro de gestin de riesgos para monitoreo de redes
5. Activos
254
Centro de gestin de riesgos para monitoreo de redes
Equipos: se agrega los equipos que van a formar parte del grupo.
Bsqueda de activos
255
Centro de gestin de riesgos para monitoreo de redes
Descubrimiento de activos
6. Inteligencia
Poltica.
256
Centro de gestin de riesgos para monitoreo de redes
257
Centro de gestin de riesgos para monitoreo de redes
Directivas.
258
Centro de gestin de riesgos para monitoreo de redes
259
Centro de gestin de riesgos para monitoreo de redes
260
Centro de gestin de riesgos para monitoreo de redes
261
Centro de gestin de riesgos para monitoreo de redes
7. Conocimiento de la situacin
262
Centro de gestin de riesgos para monitoreo de redes
Red
Se realiza el anlisis del trfico de red para los servicios TCO, UDP,
ICMP, y mostrarlos a travs de grficos estadsticos.
Disponibilidad
263
Centro de gestin de riesgos para monitoreo de redes
Configuracin
Principal
264
Centro de gestin de riesgos para monitoreo de redes
Componentes
265
Centro de gestin de riesgos para monitoreo de redes
Coleccin
El men configuracin coleccin, permite al administrador verificar que el
estado del sistema, es decir que plugins estn arriba o abajo, a si como
tambin la habilitacin.
Copia de seguridad
266
Centro de gestin de riesgos para monitoreo de redes
267
Centro de gestin de riesgos para monitoreo de redes
Carrera de Ingeniera en
Informtica
ANEXO 6
ANLISIS DE RESULTADOS
268
Centro de gestin de riesgos para monitoreo de redes
INFORME DE ANLISIS DE
RESULTADOS
Centro de gestin de riesgos para monitoreo de redes
RESUMEN
INTRODUCCIN
1. ANLISIS DE VULNERABILIDADES
7.1.20 Conclusin
7.1.21 Recomendacin
2. MONITOREO DE RED
Conclusin
3. DISPONIBLIDAD DE ACTIVOS
Resultados de Disponibilidad
Anlisis de resultados
Conclusin
Niveles de capacidad:
70% : alerta
90% : crtico
Centro de gestin de riesgos para monitoreo de redes
Conclusin
ANEXO ANLISIS DE
VULNERABILIDADES
Centro de gestin de riesgos para monitoreo de redes
Centro de gestin de riesgos para monitoreo de redes
Centro de gestin de riesgos para monitoreo de redes
Centro de gestin de riesgos para monitoreo de redes
Centro de gestin de riesgos para monitoreo de redes
Centro de gestin de riesgos para monitoreo de redes
Centro de gestin de riesgos para monitoreo de redes
ANEXO DISPONIBILIDAD DE
ACTIVOS
Centro de gestin de riesgos para monitoreo de redes
Carrera de Ingeniera en
Informtica
ANEXO 7
PRUEBAS DE ACEPTACIN DE
USUARIO
269
Centro de gestin de riesgos para monitoreo de redes
Centro de gestin de riesgos para monitoreo de redes
Centro de gestin de riesgos para monitoreo de redes