Universidad Nacional de Cajamarca

Facultad de Ingeniería

Escuela Académico Profesional de Ingeniería de

Sistemas

PROPUESTA SOLUCIÓN PARA EL CASO UNC

OSSIM

DOCENTE: Ing. Valencia Castillo Edwin Alberto

INTEGRANTES:

Bustamante Ruiz Rolando

Cuzco Ramos Manuel

Ñontol Estacio Kevin Manuel

Vásquez Estrada Analy

1. Descripción
Siendo una aplicación Open Source y más que una herramienta de monitoreo de logs es
un SIEM, trae incorporado diversas formas para gestión de seguridad como un antivirus
que se encarga de detectar y eliminar software malicioso de un sistema informático,
cuenta con detectores de intrusos basados en host como es HIDS, Hostbased Intrusion
Detection Systems encargado de monitorear procesos.

Cuenta con detectores de intrusos basados en red como es NIDS, Network-based

Intrusion Detection Systems, responsables de la revisión de los datos que circulan por la
red y avisan cuando observan tráfico que evidencia un ataque.

2. Características:
 Monitoreo en tiempo real
 Sistema de seguridad integrado
 Escaneo de virus, malware
 Seguridad en las bases de datos
 Registros de autenticaciones
 Realiza notificaciones automáticas mediante alertas.
 Monitorización de equipos
3. Ventajas:
 Prioriza los eventos recibidos
 Disparas alarmas de acuerdo a la evaluación de los riesgos
 Tiene incorporado un antivirus
 No representa una carga mayor al administrador de red
 Al ser libre no representa mayor carga económica para la empresa
4. Desventajas:
 Problemas de rendimiento a escala.
 Gestión de registros muy limitada.
 Monitoreo limitado de aplicaciones y bases de datos.
 Base de datos de gráficos limitada que permite solo análisis parciales de
usuarios nativos.
5. Arquitectura
5.1. Ossim-server

Funciona con un estándar cliente servidor y es obligatorio tener un solo servidor en toda
nuestra red en el cual al instalar el perfil server (servidor). Toda información que se
genera mediante el continuo monitoreo se almacena en una base de datos, esto permite
que el administrador de red realice las correcciones necesarias para obtener un reporte
más eficiente.

Puertos que utiliza

 Por default utiliza el 40001 y 40002 TCP entrantes con el cual se comunica con
todos los agentes que están integrados
 Para interactuar con la base de datos MYSQL es el 3306 de salida
 Ossim puede ser administrado vía comando mediante conexión remota atreves
del puerto 22 (SSH)

OSSIM
2
  Permite la administración atreves de interfaz web utilizando el puerto seguro
443 (HTTPS)
5.2. Ossim-framework

Sirve como intermediario para que la aplicación web del servidor no haga tareas en
segundo plano como la lectura y escritura de la información que recibe, evitando así un
innecesario uso de requerimiento como memoria y almacenaje y optimizar su
funcionabilidad.

El propósito de esta herramienta es:

 Recolectar datos de los agentes y otros servidores

 Priorizar los eventos recibidos
 Correlacionar los eventos recibidos de diferentes fuentes
 Realizar la evaluación de riesgos y disparar alarmas
 Almacenar eventos en la base de datos
5.3. Ossim-agent

El nombre de Agent en la herramienta Ossim se les da a los plugins y aplicaciones que

permite analizar todos los eventos específicos que se generan en la red de trabajo o en
los diferentes servidores en la cual se está haciendo el monitoreo y seguimiento.

6. Componentes
6.1. NMAP (Mapeador de redes)

Usada para ejecutar la auditoría de las seguridades de las redes, con la cual se realiza
análisis de cada paquete IP, por lo general los administradores de las redes llevan
adelante inventarios de las mismas ya que NMAP trabaja con información DNS, en la
cual se considera el tipo de puerto, protocolos, estados de los puertos y las direcciones
Mac que están vinculados a dichos puertos.

 Identifica Host dentro de una red con el uso del ping.

 Lista los puertos por estado y tipo de protocolo.
 Determina el tipo de sistema operativo.
 Determina la aplicación que corre sobre cada puerto.
6.2. P0F

Permite detectar el sistema y la versión de las maquinas conectadas al sistema, a las que
se conecta, a las que se pueden ver a través de su tráfico e incluso a las que no es
posible conectarse

Utilidad en OSSIM:

 Cambios de S.O
 Gestión de inventario
 Accesos no autorizados a la red
6.3. PADS (Sistema pasivo de detección de activos)

Es un motor de detección basado en libpcap para detectar pasivamente activos de la red.

Está diseñado para complementar la tecnología IDS proporcionando contexto a las
alertas IDS.

OSSIM
3
6.4. PRADS (Sistema pasivo de detección de activos en tiempo real)
6.5. OPENVAS

Utiliza OpenVas para la evaluación de las vulnerabilidades y el control de acceso e

intrusiones. Al analizar los equipos realiza informes sobre las vulnerabilidades
detectadas y trabaja con un motor de correlación con el cual compara todo lo que se ha
detectado y buscar soluciones asociadas.

6.6. SNORT

Los IDSs utilizan distintas técnicas de análisis para alertar al administrador en caso de
ver acciones sospechosas. Snort en particular es un NIDS que se encarga de analizar el
tráfico de red, inspeccionando el contenido de los paquetes para dar alertas, o incluso,
cuando detecta tráfico sospechoso

Utilidad en OSSIM:

 Escaneos de puertos
 Gusanos
 Malware
6.7. OCS

Gestión de inventario (software y hardware).

7. Conclusiones
El equipo consultor propone utilizar OSSIM AlienVault, ya que ayudará a priorizar
amenazas, realizará reportes precisos y personalizables, automatiza procesos y
monitorea en tiempo real, sin embargo el conocimiento que se requiere para su uso es
elevado aun así las funcionalidades que ofrece abarcar más la problemática en cuanto a
tecnología en la UNC y gestiona gran parte de los problemas que existen, y no implica
gastos adicionales.

OSSIM
4
Anexo

Universidad Nacional de Equipo Consultor N° de acta: 1

Cajamarca
Grupo 4
Evidencia de reunión:
https://drive.google.com/file/d
Reunión virtual plataforma
Fecha: 22 de marzo 2021 /1UqDLjhWIkClDxTBqzcu6
Meet
mF9RQHdDrDz_/view?
usp=sharing
Agenda de la Reunión:

● Presentación de propuestas por cada consultor, donde expondrá los motivos como
ventajas y dificultades de implementación, por los cuales se deberían elegir el SIEM que
está proponiendo.
● Debate de propuestas
● Selección de propuesta
Participantes
Apellidos y Nombres
Bustamante Ruiz Rolando
Cuzco Ramos Manuel
Ñontol Estacio Kevin
Vásquez Estrada Analy

ACTA DE REUNION

Aprobación del Acta

1. Tema: Presentación de propuestas por cada consultor
Desarrollo:
El consultor Rolando Bustamante expuso a los demás consultores su propuesta solución
manifestando que la tecnología que más se ajusta a las necesidades de la UNC es Wazuh, por los
siguientes motivos:

 Wazuh se considera una continuación de OSSEC

 Basado en (y compatible con) OSSEC.
 Admite implementaciones de Docker , Puppet, Chef y Ansible.
 Admite la supervisión de la infraestructura en la nube, incluidos AWS y Azure .
 Adiciona una nueva interfaz de usuario web, API REST y un conjunto de reglas más
completo.
Y tiene las siguientes capacidades de seguridad:

 Análisis de seguridad
 Detección de intrusiones
 Análisis de datos de registro
 Supervisión de la integridad de los archivos
 Detección de vulnerabilidades

OSSIM
5
  Evaluación de la configuración
 Respuesta al incidente
 Cumplimiento normativo

Luego consultor el Manuel dice que SIEMonster cumple con la gran mayoría de o requerido,
aunque no se encontró información del monitoreo de midleware, su gran cantidad de
herramientas complementarias que se pueden instalar trae muchos beneficios, aunque puede
resultar tedioso de aprender todos, se convierte en una gran opción de satisfacción de lo
requerido. Monitoreo de red, alertas y supervisión de eventos, respuesta a incidentes/gestión de
casos, analizar y responder activamente a las amenazas e interactuar con su circunscripción,
informes automatizados, el activo para la evaluación se puede agregar individualmente o de
forma masiva utilizando la función de importación de activos.

El consultor Kevin manifiesta que es la herramienta más utilizada en el mundo por las funciones
completas de recopilación, normalización y recolección de eventos, también cuenta con una
detección avanzada de amenazas, detección de intrusos, evaluación de vulnerabilidades puesto
que es la herramienta SIEM que ofrece muchos más módulos que son gratuitos, además es
escalable y sobre todo permite que los usuarios estén informados momento a momento sobre
hosts maliciosos (dispositivos infectados). Es capaz de realizar registro de eventos, detección de
intrusos, notificaciones automáticas mediante alarmas, visualización, entre otros. Es
multiplataforma con una automatización de procesos y monitoreará en tiempo real

Finalmente, la consultora Analy menciona que la herramienta que escogió es CACTI, ya que está
herramienta ofrece muchas de las soluciones al problema de UNC, como es monitoreo de red y
servidores, registro de errores y algo muy importante es el tema salta capacidad ya que la
universidad guarda muchos datos. Cuenta con un sistema de alarmas basadas en umbrales.
Sin embargo, en el tema de instalación es un poco complicada ya que se realiza de forma en cada
uno de los equipos que se quiere visualizar.

Conclusiones/Recomendaciones:

 Deberíamos usar OSSIM porque tiene muchas guías para su implementación y amplia
gama de recursos que podemos utilizar y cubrir un mayor control en la seguridad. En
acorde a lo analizado en la instalación y funcionabilidad de la herramienta frente a las
necesidades del caso podemos recalcar que es factible la instalación y puesta en marcha
en cualquier empresa privada o pública, grande o pequeña dado que no representa una
carga mayor al administrador de red y al ser una herramienta libre no tiene una mayor
carga económica para la empresa.
 Se descartó la herramienta Wazuh por qué no tiene un monitoreo de red adecuado a las
necesidades de la UNC y porqué al ser una herramienta relativamente nueva la
documentación es escasa y generaría dificultades al momento de instalar.
 OSSIM ha sido seleccionada a comparación de SIEMonster por soportar
multiplataforma, tener más funciones pre definidas ajustadas a los necesidades de la
UNC.
 Si bien CACTI es una herramienta que ofrece monitoreo de red y servidores, diseñada
para almacenamiento de datos, OSSIM es mucho más completa ya que proporciona de
forma completa la recolección, normaliza ion y correlación de eventos.

OSSIM
6
 Propuesta Solución:
Luego escuchar las ventajas y dificultades de implementación de las distintas herramientas
SIEM, se concluye que OSSIM es la herramienta que se adapta mejor a los requerimientos
actuales de la UNC.
FIRMAS DE CONSULTORES

BUSTAMENTE RUIZ ROLANDO CUZCO RAMOS MANUEL

ÑONTOL ESTACIO KEVIN VÁSQUEZ ESTRADA ANALY

8. Bibliografía

[1] C. C. C. R. F. A. C. B. Walter Baluja García, «OSSIM, una alternativa para la integración

de la gestión de seguridad en la red,» 2012.

[2] A. L. M. C. J. V. T. C. Darwin Alfredo Chanaluisa Viera, «Implementacion del sistema de

gestion y administracion de seguridad para la direccion de tecnologias de la Universidad
Central de Ecuador,» 2012.

[3] Á. L. V. Q. Ángel Heraldo Bravo Bravo, «Implantación De Una Herramienta Ossim Para El
Monitoreo Y Gestión De La Seguridad De La Red Y Plataformas Windows Y Linux
Aplicado A Empresas Medianas».

[4] T. A. S. Foundation, «Apache Metron,» [En línea]. Available:

https://metron.apache.org/documentation/.

[5] Cloudera, «Cloudera,» [En línea]. Available: https://www.cloudera.com/products/open-

source/apache-hadoop/apache-metron.html.

[6] S. Onion, «Security Onion,» [En línea]. Available: https://securityonionsolutions.com/.

[7] Siemonster, «Siemonster,» [En línea]. Available: https://siemonster.com/.

OSSIM
7