Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Facultad de Ingeniería
Sistemas
OSSIM
INTEGRANTES:
2. Características:
Monitoreo en tiempo real
Sistema de seguridad integrado
Escaneo de virus, malware
Seguridad en las bases de datos
Registros de autenticaciones
Realiza notificaciones automáticas mediante alertas.
Monitorización de equipos
3. Ventajas:
Prioriza los eventos recibidos
Disparas alarmas de acuerdo a la evaluación de los riesgos
Tiene incorporado un antivirus
No representa una carga mayor al administrador de red
Al ser libre no representa mayor carga económica para la empresa
4. Desventajas:
Problemas de rendimiento a escala.
Gestión de registros muy limitada.
Monitoreo limitado de aplicaciones y bases de datos.
Base de datos de gráficos limitada que permite solo análisis parciales de
usuarios nativos.
5. Arquitectura
5.1. Ossim-server
Funciona con un estándar cliente servidor y es obligatorio tener un solo servidor en toda
nuestra red en el cual al instalar el perfil server (servidor). Toda información que se
genera mediante el continuo monitoreo se almacena en una base de datos, esto permite
que el administrador de red realice las correcciones necesarias para obtener un reporte
más eficiente.
Por default utiliza el 40001 y 40002 TCP entrantes con el cual se comunica con
todos los agentes que están integrados
Para interactuar con la base de datos MYSQL es el 3306 de salida
Ossim puede ser administrado vía comando mediante conexión remota atreves
del puerto 22 (SSH)
OSSIM
2
Permite la administración atreves de interfaz web utilizando el puerto seguro
443 (HTTPS)
5.2. Ossim-framework
Sirve como intermediario para que la aplicación web del servidor no haga tareas en
segundo plano como la lectura y escritura de la información que recibe, evitando así un
innecesario uso de requerimiento como memoria y almacenaje y optimizar su
funcionabilidad.
6. Componentes
6.1. NMAP (Mapeador de redes)
Usada para ejecutar la auditoría de las seguridades de las redes, con la cual se realiza
análisis de cada paquete IP, por lo general los administradores de las redes llevan
adelante inventarios de las mismas ya que NMAP trabaja con información DNS, en la
cual se considera el tipo de puerto, protocolos, estados de los puertos y las direcciones
Mac que están vinculados a dichos puertos.
Permite detectar el sistema y la versión de las maquinas conectadas al sistema, a las que
se conecta, a las que se pueden ver a través de su tráfico e incluso a las que no es
posible conectarse
Utilidad en OSSIM:
Cambios de S.O
Gestión de inventario
Accesos no autorizados a la red
6.3. PADS (Sistema pasivo de detección de activos)
OSSIM
3
6.4. PRADS (Sistema pasivo de detección de activos en tiempo real)
6.5. OPENVAS
6.6. SNORT
Los IDSs utilizan distintas técnicas de análisis para alertar al administrador en caso de
ver acciones sospechosas. Snort en particular es un NIDS que se encarga de analizar el
tráfico de red, inspeccionando el contenido de los paquetes para dar alertas, o incluso,
cuando detecta tráfico sospechoso
Utilidad en OSSIM:
Escaneos de puertos
Gusanos
Malware
6.7. OCS
7. Conclusiones
El equipo consultor propone utilizar OSSIM AlienVault, ya que ayudará a priorizar
amenazas, realizará reportes precisos y personalizables, automatiza procesos y
monitorea en tiempo real, sin embargo el conocimiento que se requiere para su uso es
elevado aun así las funcionalidades que ofrece abarcar más la problemática en cuanto a
tecnología en la UNC y gestiona gran parte de los problemas que existen, y no implica
gastos adicionales.
OSSIM
4
Anexo
● Presentación de propuestas por cada consultor, donde expondrá los motivos como
ventajas y dificultades de implementación, por los cuales se deberían elegir el SIEM que
está proponiendo.
● Debate de propuestas
● Selección de propuesta
Participantes
Apellidos y Nombres
Bustamante Ruiz Rolando
Cuzco Ramos Manuel
Ñontol Estacio Kevin
Vásquez Estrada Analy
ACTA DE REUNION
Análisis de seguridad
Detección de intrusiones
Análisis de datos de registro
Supervisión de la integridad de los archivos
Detección de vulnerabilidades
OSSIM
5
Evaluación de la configuración
Respuesta al incidente
Cumplimiento normativo
Luego consultor el Manuel dice que SIEMonster cumple con la gran mayoría de o requerido,
aunque no se encontró información del monitoreo de midleware, su gran cantidad de
herramientas complementarias que se pueden instalar trae muchos beneficios, aunque puede
resultar tedioso de aprender todos, se convierte en una gran opción de satisfacción de lo
requerido. Monitoreo de red, alertas y supervisión de eventos, respuesta a incidentes/gestión de
casos, analizar y responder activamente a las amenazas e interactuar con su circunscripción,
informes automatizados, el activo para la evaluación se puede agregar individualmente o de
forma masiva utilizando la función de importación de activos.
El consultor Kevin manifiesta que es la herramienta más utilizada en el mundo por las funciones
completas de recopilación, normalización y recolección de eventos, también cuenta con una
detección avanzada de amenazas, detección de intrusos, evaluación de vulnerabilidades puesto
que es la herramienta SIEM que ofrece muchos más módulos que son gratuitos, además es
escalable y sobre todo permite que los usuarios estén informados momento a momento sobre
hosts maliciosos (dispositivos infectados). Es capaz de realizar registro de eventos, detección de
intrusos, notificaciones automáticas mediante alarmas, visualización, entre otros. Es
multiplataforma con una automatización de procesos y monitoreará en tiempo real
Finalmente, la consultora Analy menciona que la herramienta que escogió es CACTI, ya que está
herramienta ofrece muchas de las soluciones al problema de UNC, como es monitoreo de red y
servidores, registro de errores y algo muy importante es el tema salta capacidad ya que la
universidad guarda muchos datos. Cuenta con un sistema de alarmas basadas en umbrales.
Sin embargo, en el tema de instalación es un poco complicada ya que se realiza de forma en cada
uno de los equipos que se quiere visualizar.
Conclusiones/Recomendaciones:
Deberíamos usar OSSIM porque tiene muchas guías para su implementación y amplia
gama de recursos que podemos utilizar y cubrir un mayor control en la seguridad. En
acorde a lo analizado en la instalación y funcionabilidad de la herramienta frente a las
necesidades del caso podemos recalcar que es factible la instalación y puesta en marcha
en cualquier empresa privada o pública, grande o pequeña dado que no representa una
carga mayor al administrador de red y al ser una herramienta libre no tiene una mayor
carga económica para la empresa.
Se descartó la herramienta Wazuh por qué no tiene un monitoreo de red adecuado a las
necesidades de la UNC y porqué al ser una herramienta relativamente nueva la
documentación es escasa y generaría dificultades al momento de instalar.
OSSIM ha sido seleccionada a comparación de SIEMonster por soportar
multiplataforma, tener más funciones pre definidas ajustadas a los necesidades de la
UNC.
Si bien CACTI es una herramienta que ofrece monitoreo de red y servidores, diseñada
para almacenamiento de datos, OSSIM es mucho más completa ya que proporciona de
forma completa la recolección, normaliza ion y correlación de eventos.
OSSIM
6
Propuesta Solución:
Luego escuchar las ventajas y dificultades de implementación de las distintas herramientas
SIEM, se concluye que OSSIM es la herramienta que se adapta mejor a los requerimientos
actuales de la UNC.
FIRMAS DE CONSULTORES
8. Bibliografía
[3] Á. L. V. Q. Ángel Heraldo Bravo Bravo, «Implantación De Una Herramienta Ossim Para El
Monitoreo Y Gestión De La Seguridad De La Red Y Plataformas Windows Y Linux
Aplicado A Empresas Medianas».
OSSIM
7