Proyecto de grado presentado a manera de estudio de caso, en el

RAE
1. TIPO DE DOCUMENTO: Proyecto de grado presentado a manera de estudio de caso, en el que
se logra la integración y aplicación de conocimientos adquiridos durante la carrera, para resolver
problemas en un ambiente empresarial real; conducente a obtener el titulo de ingeniero electrónico.
2. TITULO: INTEGRACIÓN Y EVALUACIÓN DEL PILOTO DE LA HERRAMIENTA DE
MONITOREO ALIENVAULT EN LA PLATAFORMA TECNOLÓGICA DE TELEFONICA TELECOM
3. AUTORES: Eduardo Hernán Amaya Guzmán, Laura Victoria Quiroga Martínez.
4. LUGAR: Bogotá D.C.
5. FECHA: Abril 2012.
6. PALABRAS CLAVE: Redes, monitoreo, seguridad informática y transaccional, vulnerabilidad.
7. DESCRIPCIÓN DEL TRABAJO: El desarrollo del trabajo se fundamenta en un estudio de caso
basado en la aplicación y evaluación de la herramienta de monitoreo AlienVault, en el Data Center
de Telefónica Telecom; con el fin de determinar su efectividad en la garantía de la seguridad de
sus redes. Se realiza por medio de pruebas y comparaciones de desempeño técnico y económico
con lo que se pretende llegar, luego de un análisis a profundidad, a recomendaciones sobre que es
lo más conveniente al momento de ofrecer el servicio de seguridad gestionada a sus clientes.
8. LÍNEA DE INVESTIGACIÓN: El trabajo se desarrolla en el marco de la línea institucional de la
Facultad de Ingeniería: tecnologías actuales y sociedad; en la sub-línea sistemas de información y
comunicación y el campo del programa en Ingeniería Electrónica: comunicaciones.
9. FUENTES CONSULTADAS: AlienVault Technical Documentation. Noviembre 24 del 2011. ISO
e IEC, ISO 27000 Sistemas de gestión de la calidad, 2005, Norma internacional. Noviembre 16 del
2011. Microsoft, Protocolo de mensajes de control de Internet (ICMP, Internet Control Message
Protocol), Articulo tecnológico.Diciembre 15.
10. CONTENIDOS: Con base en la formulación del problema, se realiza una revisión teórica de
temas tales como: herramientas de monitoreo, redes, seguridad de la información y una revisión de
la normatividad vigente. A continuación se propone y realiza una prueba piloto con la herramienta
AlienVault, que permite analizar su comportamiento y compararla con otras de su clase, usadas por
la empresa, con el fin de llegar a unas conclusiones y recomendaciones sobre su uso.
11. METODOLOGÍA: Inicialmente se definieron los parámetros más importantes relacionados con
desempeño de las herramientas de monitoreo usadas en la actualidad por la empresa, para de esa
forma permitir la comparación entre las mismas incluida AlienVault. Luego se lleva a cabo la
prueba piloto en tiempo real, precedida de la instalación del software y hardware que necesita la
herramienta motivo de análisis, además de su configuración. Esto permitió, la obtención de
resultados que se registraron y analizaron y que en conjunto con la herramienta de análisis
económico, se plantean las conclusiones y recomendaciones.
12. CONCLUSIONES: Después de realizar los análisis comparativos entre las diferentes
herramientas y la prueba piloto se obtuvo, como resultado final, que la herramienta de monitoreo
AlienVault cumple los criterios de costo-beneficio para una empresa como telefónica. A pesar de lo
anterior se recomendó su uso junto con otra herramienta, para de esta manera optimizar su
funcionamiento. El trabajo finaliza con la propuesta de un plan de implementación que le permite a
la empresa apropiar en el menor tiempo posible la herramienta.
INTEGRACIÓN Y EVALUACIÓN DEL PILOTO DE LA HERRAMIENTA DE MONITOREO
ALIENVAULT EN LA PLATAFORMA TECNOLÓGICA DE TELEFONICA TELECOM
EDUARDO HERNÁN AMAYA GUZMÁN
20063232009
LAURA VICTORIA QUIROGA MARTÍNEZ
20063232005
UNIVERSIDAD DE SAN BUENAVENTURA
FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA ELECTRÓNICA
BOGOTÁ
2012
INTEGRACIÓN Y EVALUACIÓN DEL PILOTO DE LA HERRAMIENTA DE MONITOREO
ALIENVAULT EN LA PLATAFORMA TECNOLÓGICA DE TELEFONICA TELECOM
EDUARDO HERNÁN AMAYA GUZMÁN
20063232009
eamaya@academia.usbbog.edu.co
LAURA VICTORIA QUIROGA MARTÍNEZ
20063232005
lquiroga@academia.usbbog.edu.co
Proyecto de grado
Profesor: Jaime Ramírez Artunduaga
UNIVERSIDAD DE SAN BUENAVENTURA
FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA ELECTRÓNICA
BOGOTÁ
2012
Nota de aceptación:
_________________________________________
_________________________________________
_________________________________________
_________________________________________
_________________________________________
_________________________________________
_________________________________________
_______________________________________
_________________________________________
Firma del presidente del jurado
_________________________________________
Firma del jurado
_________________________________________
Firma del jurado
Bogotá (30, Marzo, 2012)
DEDICATORIA
Dedicamos este trabajo de grado a nuestros padres que se esforzaron por llevarnos a culminar
esta etapa de nuestras vidas. Sabemos que no es todo lo que se merecen pero es solo el principio
de nuestra retribución.
AGRADECIMIENTO
Agradecemos la deferencia de la empresa Telefónica Telecom por permitirnos realizar este
proyecto dentro de sus instalaciones y el uso de su información, esperamos haber contribuido en
algo con la toma de decisiones como contraprestación.
De igual manera agradecemos a todas las personas que de manera desinteresada participaron con
sus aportes para el desarrollo y culminación del presente trabajo.
TABLA DE CONTENIDO
INTRODUCCIÓN ........................................................................................................................... 16
1. PLANTEAMIENTO DEL PROBLEMA ................................................................................. 18
1.1 ANTECEDENTES ............................................................................................................... 18
1.1.2 Oferta de empresas que ofrecen seguridad gestionada de redes ....................... 19
1.1.3 Oferta de productos comerciales en materia de seguridad de redes gestionadas:
Las ............................................................................................................................................ 24
1.2 DESCRIPCIÓN Y FORMULACIÓN DEL PROBLEMA .................................................. 31
1.3 JUSTIFICACIÓN .................................................................................................................. 31
1.4 OBJETIVOS DE LA INVESTIGACIÓN ............................................................................ 32
1.4.1. Objetivo General: ........................................................................................................ 32
1.4.2. Objetivos Específicos. ................................................................................................ 32
1.5 ALCANCES Y LIMITACIONES DEL PROYECTO ......................................................... 33
2. MARCO REFERENCIAL ....................................................................................................... 34
2.1 MARCO TEÓRICO - CONCEPTUAL ............................................................................... 34
2.1.1 Los riesgos informáticos.............................................................................................. 34
2.1.2 Riesgo informáticos más significativos y su impacto en la empresa. .................. 34
2.1.3 La gestión de los riesgos ............................................................................................ 35
2.1.4 Ataques a la red. .......................................................................................................... 35
2.1.5 Seguridad de la información ....................................................................................... 36
2.1.6 Red informática............................................................................................................. 36
2.1.7 Gestión de redes .......................................................................................................... 36
2.1.8 Pilares de la Seguridad Informática .......................................................................... 36
2.1.9 Importancia del monitoreo de la red .......................................................................... 37
2.1.10 Funcionalidades Importantes de las herramientas de Monitoreo ....................... 37
2.1.11 Protocolos mas utilizados para el monitoreo de la red ........................................ 38
2.2 MARCO NORMATIVO ........................................................................................................ 44
3. METODOLOGÍA ..................................................................................................................... 47
3.1 ANALIZAR EL FUNCIONAMIENTO DEL MONITOREO ACTUAL DE LA
PLATAFORMA
TECNOLÓGICA
DE
TELEFÓNICA
TELECOM
CON
LA
HERRAMIENTA O HERRAMIENTAS ACTUALES: ............................................................. 47
3.2 INTEGRAR EL SOFTWARE Y HARDWARE DE LA HERRAMIENTA DE
MONITOREO ALIENVAULT A LA PLATAFORMA TECNOLÓGICA DE TELEFÓNICA
TELECOM. .................................................................................................................................. 47
3.3 DISEÑAR INSTRUMENTOS DE CAPTURA DE LA INFORMACIÓN
Y
RESULTADOS DE LA PRUEBA PILOTO: ............................................................................ 49
3.4 CONSOLIDAR Y ANALIZAR LOS RESULTADOS DE LA EVALUACIÓN TÉCNICA
Y FUNCIONAL DE LA PRUEBA PILOTO: ............................................................................. 51
3.5 DISEÑAR LA HERRAMIENTA DE EVALUACIÓN ECONÓMICA DE LOS
RESULTADOS DE LA PRUEBA PILOTO COMPARADOS CON LAS HERRAMIENTAS
EXISTENTES.............................................................................................................................. 52
3.6 REALIZAR LA EVALUACIÓN ECONÓMICA. ................................................................. 52
3.7 REALIZAR CONCLUSIONES Y RECOMENDACIONES, SI FURA PERTINENTE
DE USO DE LA HERRAMIENTAS. ......................................................................................... 52
6
3.8 PROPONES UN PLAN DE IMPLEMENTACIÓN DE LA HERRAMIENTA SI FUERA
POSITIVA LA EVALUACIÓN. .................................................................................................. 52
3.9 ENTREGABLE. .................................................................................................................... 53
3.10 ENFOQUE DE LA INVESTIGACIÓN. ............................................................................ 53
4. LÍNEA DE INVESTIGACIÓN DE USB / SUB-LÍNEA DE FACULTAD / CAMPO
TEMÁTICO DEL PROGRAMA..................................................................................................... 54
5. DESARROLLO INGENIERIL ................................................................................................... 55
5.1 ANÁLISIS DE LAS HERRAMIENTAS ACTUALES DE MONITOREO UTILIZADAS
EN LA PLATAFORMA TECNOLÓGICA DE TELEFÓNICA TELECOM. .......................... 55
5.2 INTEGRACION DEL SOFTWARE Y HARDWARE DE LA HERRAMIENTA DE
MONITOREO ALIENVAULT A LA PLATAFORMA TECNOLÓGICA DE TELEFÓNICA
TELECOM. .................................................................................................................................. 68
5.2.1 Especificaciones técnicas del hardware donde se instalara la herramienta de
monitoreo................................................................................................................................. 68
5.2.2 Preparación e Instalación del equipo donde se instalará la herramienta de
monitoreo ................................................................................................................................. 70
5.2.3 Configuración final del equipo CT1ALVSEGURSRV001 (172.29.51.25): ........... 74
5.2.4 Instalación del Sensor AlienVault: ............................................................................. 77
5.2.5 Instalación de la Base de Datos: ............................................................................... 83
5.3 CONSOLIDACION Y ANALISIS DE LOS RESULTADOS DE LA EVALUACIÓN
TÉCNICA Y FUNCIONAL DE LA PRUEBA PILOTO. .......................................................... 84
5.3.1 funcionalidades de la herramienta AlienVault.......................................................... 84
5.4 CONSOLIDACION Y ANALISIS DE LOS RESULTADOS DE LA EVALUACIÓN
TÉCNICA Y FUNCIONAL DE LA PRUEBA PILOTO: ........................................................ 162
6. ANÁLISIS DE RESULTADOS ............................................................................................ 164
7. CONCLUSIONES Y RECOMENDACIONES................................................................... 165
8. BIBLIOGRAFÍA ........................................................................................................................ 166
GLOSARIO.................................................................................................................................... 170
ANEXOS ........................................................................................................................................ 172
ANEXOS. 1 (PLAN DE IMPLEMENTACIÓN)...................................................................... 172
ANEXOS. 2 (CERTIFICACIÓN DE TRABAJO DE GRADO POR TELEFÓNICA
TELECOM) ................................................................................................................................ 175
7
LISTA DE ILUSTRACIONES
Ilustración 1. Gestión de infraestructura (Telefónica Internacional). ................................................ 22
Ilustración 2. Monitorización de la seguridad (Vertical Telefónica)................................................... 23
Ilustración 3. Interfaz de Applications Manager. ............................................................................... 24
Ilustración 4. Interfaz web de Nagios ................................................................................................ 25
Ilustración 5. Interfaz de OpManager ................................................................................................ 25
Ilustración 6. The Complete RRDtool basado en la solución gráfica ............................................... 26
Ilustración 7. Interfaz de Firewall Analyzer ....................................................................................... 28
Ilustración 8. FortiAnalYzer – 400B .................................................................................................. 29
Ilustración 9. FortiAnalyzer -1000B ................................................................................................... 29
Ilustración 10. Formato del mensaje ................................................................................................. 39
Ilustración 11. Mensajes más comunes ............................................................................................ 39
Ilustración 12. Ejemplo de envio y recepción de un ping .................................................................. 39
Ilustración 13. Formato de los paquetes ........................................................................................... 40
Ilustración 14. Estructura de los mensajes ....................................................................................... 41
Ilustración 15. Topología Instalación AlienVault ............................................................................... 47
Ilustración 16. Interfaz gráfica de SIEM ............................................................................................ 48
Ilustración 17. Menú del software AlienVault .................................................................................... 51
Ilustración 18. Monitoreo de Servicios por Nagios .......................................................................... 57
Ilustración 19. Monitoreo de Temperatura y Humedad en un Aire Acondicionado .......................... 57
Ilustración 20. Monitoreo de Ping a un equipo por Nagios – Mensaje 0 y 8 .................................... 58
Ilustración 21. Monitoreo de Ping a un equipo por Nagios – Mensaje 11 ........................................ 58
Ilustración 22. Mensaje por Indisponibilidad de Equipos, OpManager ............................................. 62
Ilustración 23. Mensaje por Alto consumo de tráfico en una Interface, OpManager ....................... 62
Ilustración 24. Mensaje por Disponibilidad de Interface, OpManager .............................................. 62
Ilustración 25. Reporte de estado de CPU y Memoria, OpManager ................................................ 64
Ilustración 26. Servidor Físicamente: Parte Frontal .......................................................................... 68
Ilustración 27. Servidor Físicamente: Parte Posterior. ..................................................................... 68
Ilustración 28. Disco Duro HP SATA 160GB .................................................................................... 69
Ilustración 29. Servidor Físicamente: Parte Frontal .......................................................................... 71
Ilustración 30. Conjunto Redundante de Discos Independientes ..................................................... 71
Ilustración 31. Vista instalación personalizada ................................................................................. 72
Ilustración 32. Perfil del equipo a instalar ......................................................................................... 73
8
Ilustración 33. Vista de la opción “use entire disk” ........................................................................... 74
Ilustración 34. Pag. 1 configuración final del equipo ........................................................................ 74
Ilustración 35. Pag. 2 configuración final del equipo ........................................................................ 75
Ilustración 36. Pag. 3 configuración final del equipo ........................................................................ 75
Ilustración 37. Pag. 4 configuración final del equipo ........................................................................ 76
Ilustración 38. Pag. 5 configuración final del equipo ........................................................................ 76
Ilustración 39. Pag. 6 configuración final del equipo ........................................................................ 77
Ilustración 40. Ventana final para ingresar a la herramienta de monitoreo ...................................... 77
Ilustración 41. Lista de plugins configurados en el sensor ............................................................... 80
Ilustración 42. Vista del plugin para equipos Fortinet ....................................................................... 80
Ilustración 43. Vista del plugin para equipos Allot ............................................................................ 81
Ilustración 44. Configuración Final del Sensor ................................................................................. 83
Ilustración 45. Configuración Final de la Base de Datos .................................................................. 83
Ilustración 46. Configuracion de la BD MySQL................................................................................. 83
Ilustración 47. Características del sistema instalado ........................................................................ 84
Ilustración 48. Diagrama General Implementación ........................................................................... 85
Ilustración 49. Vista desde CLI del Servidor SIEM (Server Framework) .......................................... 85
Ilustración 50. Vista desde CLI del sensor de la implementación .................................................... 86
Ilustración 51. Vista desde CLI de la Base de Datos de la implementación ................................... 86
Ilustración 52. AlienVault, Interfaz gráfica: Menú Dashboards ......................................................... 87
Ilustración 53. Vista: Eventos de Seguridad SIEM vs. Eventos de Logger ...................................... 88
Ilustración 54. Vista: Eventos de Seguridad SIEM vs. Eventos de Logger con la relación de logs
recolectados ...................................................................................................................................... 89
Ilustración 55. Vista de eventos recibido en el servidor (logs).......................................................... 89
Ilustración 56. Nivel de Amenaza en la Red ..................................................................................... 89
Ilustración 57. Detalle del Nivel de Amenaza ................................................................................... 90
Ilustración 58. Convenciones de la Gráfica Nivel de Amenaza ........................................................ 90
Ilustración 59. Relación de Nivel administrativo y Métricas .............................................................. 90
Ilustración 60. Vista de eventos por sensor ...................................................................................... 91
Ilustración 61. Gráficas Top 10 de Eventos de Seguridad ............................................................... 91
Ilustración 62. Gráficas Eventos de Seguridad ................................................................................. 91
Ilustración 63. Gráficas Top 5 de Eventos de Seguridad ................................................................. 92
Ilustración 64. Visualización Compliance por eventos registrados ................................................... 92
Ilustración 65. Gráfica Compliance por Nivel de ataques (internos y externos) ............................... 92
Ilustración 66. Convenciones para los mapas de Riesgo ................................................................. 93
Ilustración 67. Visualización por defecto de los Mapas de Riesgo ................................................... 93
9
Ilustración 68. Configuración Mapas de Riesgo ............................................................................... 94
Ilustración 69. Edición de Vistas Pre- establecidas .......................................................................... 94
Ilustración 70. Opción Edit ................................................................................................................ 95
Ilustración 71. Pestaña configuración ............................................................................................... 95
Ilustración 72. Edición de la configuración ........................................................................................ 96
Ilustración 73. ¿Cómo se visualizan las alarmas? ............................................................................ 96
Ilustración 74. Informacion de la alarma ........................................................................................... 97
Ilustración 75. Detalle de la alarma ................................................................................................... 97
Ilustración 76. Detalle del evento ...................................................................................................... 97
Ilustración 77. Información del sensor .............................................................................................. 98
Ilustración 78. Detalles del sensor .................................................................................................... 99
Ilustración 79. Visualización con Filtro (Ip Origen / Ip Destino) ........................................................ 99
Ilustración 80. Visualización con Agrupación (Ip Origen / Ip Destino) ............................................ 100
Ilustración 81. Reportes top de ataques ......................................................................................... 100
Ilustración 82. Ticket ....................................................................................................................... 101
Ilustración 83. Informacion detallada del ticket ............................................................................... 101
Ilustración 84. Edición de un ticket ................................................................................................. 102
Ilustración 85. Como general un ticket de forma manual ............................................................... 102
Ilustración 86. Como generar un ticket de forma automática ......................................................... 102
Ilustración 87. Base de conocimientos ........................................................................................... 103
Ilustración 88. Ejemplo link: TituloAV Bruteforce, FTP authentication attack against SRC_IP (Cisco
IPS) – Links (3) ............................................................................................................................... 103
Ilustración 89. Directiva ................................................................................................................... 104
Ilustración 90. Pantalla principal del menú “Eventos de Seguridad SIEM” .................................... 104
Ilustración 91. Grafica tiempo real “Eventos de Seguridad SIEM” ................................................. 105
Ilustración 92. Eventos generados en tiempo real .......................................................................... 105
Ilustración 93. Eventos “Eventos de Seguridad SIEM” ................................................................... 106
Ilustración 94. Detalle 1. Eventos “Eventos de Seguridad SIEM” ................................................... 106
Ilustración 95. Detalle 1. Eventos “Eventos de Seguridad SIEM” ................................................... 106
Ilustración 96. Política Configurada ................................................................................................ 107
Ilustración 97. Linea de tiempo (Logger) ........................................................................................ 108
Ilustración 98. Detalle de los eventos generados para el lapso de tiempo (Línea de tiempo) ....... 108
Ilustración 99. Evento ossec: Login session closed ....................................................................... 109
Ilustración 100. Validación interna del evento ossec: Login session closed .................................. 109
Ilustración 101. Ayuda de búsqueda de la herramienta Alienvault ................................................. 109
Ilustración 102. Detalles de las vulnerabilidades ............................................................................ 110
10
Ilustración 103. Ejemplo vulnerabilidad Denial of Service .............................................................. 110
Ilustración 104. Detalle de la Vulnerabilidad ................................................................................... 111
Ilustración 105. Test configurados en el sistema ............................................................................ 111
Ilustración 106. Listado de Reportes por Defecto ........................................................................... 112
Ilustración 107. Edición de los reportes .......................................................................................... 112
Ilustración 108. Reportes, Modificarlo y Generarlo. ........................................................................ 113
Ilustración 109. Edición de los reporte - eventos ............................................................................ 113
Ilustración 110. Edición de los reportes - activos............................................................................ 114
Ilustración 111. Informacion para la generación del reporte ........................................................... 114
Ilustración 112. Top de las alarmas por riesgos ............................................................................. 114
Ilustración 113. Edición Layouts (Alienvault) .................................................................................. 115
Ilustración 114. Configuración scheduler ........................................................................................ 115
Ilustración 115. Programación Structure (Alienvault) ..................................................................... 116
Ilustración 116. Edición de un activo (Alienvault) ........................................................................... 117
Ilustración 117. Detalles de la edicion de un activo (Alienvault) ..................................................... 117
Ilustración 118. Relación del equipo dentro del árbol de inventario (Alientvault) ........................... 118
Ilustración 119. Monitoreo protocolo (Alientvault) ........................................................................... 118
Ilustración 120. Equipos configurados en la herramienta (Alientvault) ........................................... 118
Ilustración 121. Ingreso de un nuevo activo en la red de monitoreo. ............................................. 119
Ilustración 122. Informacion avanzada que compone el activo ...................................................... 120
Ilustración 123. Informacion de Inventario ...................................................................................... 120
Ilustración 124. Vista búsqueda Simple (Alienvault) ....................................................................... 121
Ilustración 125. Vista búsqueda avanzada (Alienvault) .................................................................. 122
Ilustración 126. Condiciones de búsqueda Avanzasa .................................................................... 122
Ilustración 127. Características búsqueda avanzada (Alientvaul) .................................................. 123
Ilustración 128. Políticas configuradas 1 (Alienvault) ..................................................................... 124
Ilustración 129. Políticas configuradas 2 (Alienvault) ..................................................................... 124
Ilustración 130. Detalles de las políticas 1 (Alienvault) ................................................................... 124
Ilustración 131. Detalles de las políticas 2 (Alientvault) .................................................................. 125
Ilustración 132. Fortigate ICMP, Relación de la Política con el Plugin ID y su descripción ........... 125
Ilustración 133. Fortigate ICMP, Relación de la Política, descripción, nivel de riesgo y fiabilidad . 125
Ilustración 134. Fortinet Drop, Relación de la Política con el Plugin ID y su descripción .............. 125
Ilustración 135. Fortinet Drop, Relación de la Política, descripción, nivel de riesgo y fiabilidad .... 126
Ilustración 136. Directivas de correlación del sistema .................................................................... 126
Ilustración 137. Vista del directorio desde CLI................................................................................ 127
11
Ilustración 138. Ossim management server ................................................................................... 128
Ilustración 139. Asignación de roles, tipos de roles ........................................................................ 129
Ilustración 140. Política de priorización, valores de prioridad ......................................................... 129
Ilustración 141. Tipos de correlación .............................................................................................. 129
Ilustración 142. Datos de los tipos de correlación .......................................................................... 129
Ilustración 143. Creación de una Nueva Directiva .......................................................................... 130
Ilustración 144. Creación de una Nueva Directiva .......................................................................... 130
Ilustración 145. Creación de una Nueva Directiva: Selección de Plugin ........................................ 131
Ilustración 146. Creación de una Nueva Directiva: Selección de Plugin ........................................ 131
Ilustración 147. Creación de una Nueva Directiva .......................................................................... 132
Ilustración 148. Creación de una Nueva Directiva -Protocolo ........................................................ 132
Ilustración 149. Elección Valor de Fiabilidad .................................................................................. 133
Ilustración 150. Elección de Condición de Número de Eventos ..................................................... 134
Ilustración 151. Visualización de una Nueva Directiva ................................................................... 134
Ilustración 152. Visualización de una Nueva Directiva ................................................................... 134
Ilustración 153. Vista de Directivas y propiedades ......................................................................... 135
Ilustración 154. Edición de las Propiedades ................................................................................... 135
Ilustración 155. Detalle de los Eventos ........................................................................................... 136
Ilustración 156. Reglas de la Correlación Cruzada ........................................................................ 136
Ilustración 157. Edición de las Reglas de Correlación Cruzada ..................................................... 137
Ilustración 158. Edición de las Reglas de Correlación Cruzada ..................................................... 137
Ilustración 159. Visualización de Tráfico......................................................................................... 138
Ilustración 160. Visualización de Tráfico......................................................................................... 138
Ilustración 161. Configuración para la visualización ...................................................................... 138
Ilustración 162. Configuración para la visualización de gráficas de tráfico .................................... 139
Ilustración 163. Vista Local del monitoreo de Nagios – Vista Normal ............................................ 139
Ilustración 164. Vista Local del monitoreo de Nagios - Vista Crítica ............................................. 140
Ilustración 165. Vista de Activos por Servicios ............................................................................... 140
Ilustración 166. Vista de Activos por Equipos ................................................................................. 140
Ilustración 167. Vista de Reputación IP – Eventos SIEM ............................................................... 141
Ilustración 168. Vista de Reputación IP .......................................................................................... 141
Ilustración 169. Menú de Configuración Simple ............................................................................. 142
Ilustración 170. Configuración Simple: Backup .............................................................................. 142
Ilustración 171. Configuración Simple: Tickets ............................................................................... 143
Ilustración 172. Configuración Simple: Lenguaje ........................................................................... 143
12
Ilustración 173. Configuración Simple: Métodos de Ingreso e Inicio de Sesión en la Herramienta 143
Ilustración 174. Configuración Simple: Métricas ............................................................................. 144
Ilustración 175. Configuración Simple: Actualizaciones ................................................................ 144
Ilustración 176. Menú Configuración Avanzada ............................................................................. 144
Ilustración 177. Configuración Avanzada:Configuracion PHP GACL ............................................. 145
Ilustración 178. Configuración Avanzada: Servidor AlienVault ....................................................... 145
Ilustración 179. Configuración Avanzada: Backup ......................................................................... 146
Ilustración 180. Configuración Avanzada: Aplicaciones Externas .................................................. 146
Ilustración 181. Configuración Avanzada: Servidor de E-mail........................................................ 146
Ilustración 182. Configuración Avanzada: Interfaz web de OSSIM ................................................ 147
Ilustración 183. Configuración Avanzada: Demonio Interfaz Web OSSIM ..................................... 147
Ilustración 184. Configuración Avanzada: OSVDB ......................................................................... 148
Ilustración 185. Configuración Avanzada: Políticas de Contraseña ............................................... 148
Ilustración 186. Configuración Avanzada: RRD.............................................................................. 149
Ilustración 187. Configuración Avanzada: Snort ............................................................................. 149
Ilustración 188. Configuración Avanzada: Actividad de Usuario .................................................... 150
Ilustración 189. Configuración Avanzada: Escáner de Vulnerabilidades ....................................... 150
Ilustración 190. Vista de los usuarios configurados ........................................................................ 151
Ilustración 191. Vista de las Entidades Configuradas .................................................................... 151
Ilustración 192. Vista para la creación de una nueva entidad ........................................................ 151
Ilustración 193. Vista de las plantillas (Templates) ......................................................................... 152
Ilustración 194. Vista para ingresar un nuevo usuario .................................................................... 153
Ilustración 195. Configuración de los ítems a permitir/ denegar..................................................... 153
Ilustración 196. Vista Sensores ...................................................................................................... 154
Ilustración 197. Configuración para el ingreso de un nuevo sensor ............................................... 154
Ilustración 198. Sensor Implementado ........................................................................................... 155
Ilustración 199. Servidor de la Implementación .............................................................................. 155
Ilustración 200. Base de Datos configurada ................................................................................... 156
Ilustración 201. Características Base de Datos configurada .......................................................... 156
Ilustración 202. Vista de Plugins ..................................................................................................... 157
Ilustración 203. Vista Plugin ID 1102 .............................................................................................. 157
Ilustración 204. Vista Plugin ID 1102 .............................................................................................. 158
Ilustración 205. Vista de Eventos por Grupo .................................................................................. 158
Ilustración 206. Detalle del Plugin ................................................................................................... 159
Ilustración 207. Vista Taxonomía .................................................................................................... 159
13
Ilustración 208. Vista de Descargas de Plugins disponibles en la red ........................................... 160
Ilustración 209. Vista notificaciones disponibles en la red .............................................................. 160
Ilustración 210. Vista Backup .......................................................................................................... 161
14
LISTA DE TABLAS
Tabla 1. Instrumento de captura – comportamiento de los parámetros de comparación de las
herramientas usadas Vs Alienvault. .................................................................................................. 49
Tabla 2. Instrumento de captura – comportamiento de los atributos de comparación de las
herramientas usadas Vs Alienvault ................................................................................................... 50
Tabla 3. Comparativo del valor de adquisición de la herramientas Vs. evaluación técnica. ............ 52
Tabla 4. Comparación de las 6 herramientas usadas actualmente en la plataforma tecnología de
Telefónica - Telecom......................................................................................................................... 55
Tabla 5. Equipos y servicios monitoreados Actualmente por Nagios en la plataforma tecnología de
Telefónica - Telecom......................................................................................................................... 56
Tabla 6. Equipos monitoreados Actualmente por OpManager. 11 en la plataforma tecnología de
Telefónica - Telecom......................................................................................................................... 59
Tabla 7. Equipos monitoreados Actualmente por OpManager. 12 en la plataforma tecnología de
Telefónica - Telecom......................................................................................................................... 60
Tabla 8. Distribución de los Menús / Submenús y Pestañas de la herramienta .............................. 87
Tabla 9. Relación Pestaña vs. Información por Vista ....................................................................... 88
Tabla 10. Equipos incluidos en la implementación ......................................................................... 116
Tabla 11. Características para el ingreso de un activo ................................................................... 119
Tabla 12. Características de la configuración avanzada que compone el activo ........................... 120
Tabla 13. Informacion de Inventario ............................................................................................... 120
Tabla 14. Características de la búsqueda simple ........................................................................... 121
Tabla 15. Tabla Relación de Riesgo ............................................................................................... 133
Tabla 16. Consolidado de la valoración comparada de atributos de las herramientas usadas VS.
Alienvault ......................................................................................................................................... 162
Tabla 17. Consolidado de costos de los diferentes aplicativos Vs. Alienvault ............................... 163
15
INTRODUCCIÓN
Los desarrollos científicos y tecnológicos han hecho que el mundo haya cambiado en los últimos
cincuenta años más que en toda su historia; esto ha hecho que las necesidades humanas sean
hoy diferentes y se tenga una dependencia evidente de las Tecnologías de la Información y la
Comunicación – TICs. La gran mayoría de los humanos no concibe la existencia sin dispositivos
tecnológicos que le faciliten la vida.
Si se extrapola este concepto al área empresarial e industrial, la dependencia es aún mayor, pues
independiente del tipo de actividad se pretende, con sobrada razón, tener el control de todos los
procesos productivos y no productivos empresariales e industriales. En este campo las TICs tienen
un muy buen nivel de desarrollo; es prácticamente absurdo pensar en una organización que no
cuente con un Sistema de Información – SI, que le permita el desarrollo y control óptimo de sus
actividades, haciendo parte de la garantía de la supervivencia en un medio tan competitivo. La
protección de su información ya hace parte del eje del negocio.
La complejidad de la gestión de la información personal o empresarial y dentro de ella su
protección, han requerido desarrollos de gran complejidad y la mayoría de las veces las soluciones
son integradas y multidisciplinares, requiriendo el concurso de la electrónica, las
telecomunicaciones, los sistemas, entre otras áreas del conocimiento, que trabajando
mancomunadamente ha contribuido a la solución del problema. Esto por supuesto conduce a la
conclusión de que el conocimiento aplicado es la razón de ser de la ciencia.
De igual forma personas y organizaciones solucionan sus problemas de gestión de la información
de varias maneras acordes a sus necesidades: Para las personas usualmente un ordenador es la
solución; pero a nivel empresarial la soluciones son más complejas que van desde lo manual hasta
el desarrollo de programas o paquetes informáticos (software) de gran complejidad hecho a la
medida o adquirido de mera parametrizable; todo con un soporte de Infraestructura tecnológica y
arquitectura informática (hardware), también de gran capacidad, acorde a los volúmenes de
información. Las empresas optan en ocasiones por contratar servicios integrales de servicios
informáticos que van desde soporte técnico, suministro de “hardware” y “software”,
almacenamiento de la información y por supuesto implícitamente la protección y salvaguarda de la
misma.
Específicamente hablando de la protección de la información, entendida como seguridad
informática, busca garantizar que la información de las organizaciones y/o personas tengan la
certeza que su información más valiosa, la del eje de su negocio, se mantenga segura mediante la
garantía de los tres piares básicos: confidencialidad, integridad y disponibilidad; asegurando así la
continuidad del negocio. Esto se garantiza con sistemas internos de protección o mediante la
contratación de empresas especializadas en telecomunicaciones.
En este proyecto se pretende la realización de comparaciones de las diferentes herramientas de
software de protección de información – Seguridad informática, disponibles en el mercado y una
herramienta de uso libre, la realización de una prueba piloto y recomendaciones de uso o no uso
de la misma en la plataforma tecnológica de la empresa Telefónica - Telecom. Se plantea la
posibilidad de la realización de una gestión centralizada de la infraestructura de seguridad por
parte de la empresa.
16
Para la realización del proyecto se pretende el uso de herramientas de diversas disciplinas, de la
manera más práctica, buscando optimizar sus aplicaciones, integrar sus propiedades, pero sobre
todo demostrar que el buen uso y aprovechamiento de las herramientas ya existentes y sus
beneficios técnicos y operacionales.
17
1. PLANTEAMIENTO DEL PROBLEMA
1.1 ANTECEDENTES
1.1.1 Algo de Historia: La seguridad de la información es un tema que preocupa a todas las
organizaciones, específicamente las que tienen que ver con sus procesos misionales.
En el pasado, aún todavía en algunas empresas, la información se almacena en papel y el control
del riesgo se orientaba hacia la gestión adecuada de los archivos físicos y las gestión documental
dependía del trabajo eficiente de una buena secretaria. Poco a poco la empresas iniciaron
procesos que les permitieran almacenar de forma masiva la información, inician con la
microfilmación de archivos, proceso muy dispendioso y costoso que no dio los mejores resultados,
aún algunas empresas conservan estos archivos fotográficos.
Con la aparición de los computadores y posteriormente el escáner, algunas empresas decidieron
digitalizar sus archivos pero el tipo de archivo consumía grandes cantidades de memoria de
almacenamiento, por esta razón el proceso se suspendió. Posteriormente aparecen desarrollos
muy locales y personalizados, que utilizan las tablas electrónicas incipientes y los archivos de
procesador de palabra, que se almacenan en los discos duros de los computadores, pero sin
ninguna integración.
Luego llega el desarrollo de los Sistemas de Información y el máximo desarrollo de la Ingeniería de
Sistemas que proponen a las empresas el manejo integrado de la información en línea y en tiempo
real, se fundamenta la propuesta en el conocimiento detallado de los procesos empresariales y las
relaciones que existen entre ellos, con esa base se desarrollan programas y paquetes informáticos
que poco a poco van integrando la organización, haciéndola más eficiente.
Esto implicó para las organizaciones integración en redes y los desarrollos han crecido hasta ahora
de manera vertiginosa desde cableados estructurados, hasta redes inalámbricas, fibra óptica solo
por nombrar algunos. Pero los volúmenes de información crecieron y las necesidades de
almacenamiento de información lo hicieron de igual manera, se inician entonces desarrollos de
hardware que buscan la optimización de los espacios de almacenamiento; aparecen las centrales
de cómputo, con sus servidores, las copias, el almacenamiento externo de información, la nube y
con todo esto nace la necesidad de dar seguridad a la información, puesto que se convierte en el
activo más importante de la empresas, corresponde a su capital empresarial y a la diferenciación
en el mercado que por ende optimiza la supervivencia y la continuidad del negocio.
Nace entonces otra oportunidad de negocio, el negocio de proteger la información, es así como en
el mercado aparecen empresas y productos que pretenden suplir esta necesidad y garantizar a las
empresas que su información, el activo más valioso, esta cuidado, protegido y custodiado.
Así pues muchas empresas a nivel nacional e internación debido al auge y el crecimiento de las
redes informáticas empezaron a ofrecer este servicio, algunas de estas incluyendo las
características específicas de su producto.
18
1.1.2 Oferta de empresas que ofrecen seguridad gestionada de redes.
1
Verizon: “Servicios de seguridad gestionados” : Un enfoque sofisticado para la
seguridad gestionada, Nuevas tecnologías y prestaciones aumentan la agilidad y la
eficiencia de una empresa. Pero también pueden aumentar la complejidad que conlleva
mantener la confidencialidad, la integridad y la disponibilidad de las aplicaciones,
dispositivos y demás recursos de la red empresarial. El riesgo reside en las operaciones
mismas, en la existencia de vulnerabilidades y en la evolución de los ataques cibernéticos.
Para reducir los riesgos de la empresa es vital contar con una plataforma de seguridad que
le permita anticipar los problemas, tomar las medidas necesarias y conseguir resultados
satisfactorios.
El enfoque integral de este servicio se adelanta a las estrategias tradicionales para
enfrentar desafíos tales como:
o
o
o
o
o
Irrupción de nuevas vulnerabilidades y métodos de ataque.
Cambios en los requisitos empresariales.
Gestión de varias plataformas.
Multiplicación de los requisitos de conformidad.
Falta de experiencia en temas de seguridad y de infraestructura.
2
UNE “Seguridad Gestionada” : Servicio administrado que protege de manera integral la
información de nuestros clientes disminuyendo las probabilidades de sufrir incidentes de
seguridad con el fin de preservar su integridad, confidencialidad y disponibilidad.
o
o
o
o
o
o
o
o
Servicio integral completamente administrado.
Detección temprana de incidentes de seguridad minimizando las interrupciones de
servicio y el riesgo de pérdida de información.
Disminución de brechas de seguridad en la red y minimización de pérdidas
económicas.
Control, optimización y eficiencias del ancho de banda mediante el establecimiento de
políticas de protección para el tráfico entrante y saliente de la red privada.
Múltiples servicios de seguridad con tecnologías de última generación.
Monitoreo y gestión de la seguridad delegada en expertos.
Servicios de asesoría y consultoría para una mejor administración del riesgo.
Beneficios financieros al remplazar las inversiones en infraestructura por gastos
operativos.
3
Potosec “Seguridad Gestionada” : Nuestros servicios de Seguridad Gestionada están
basados en lo que se denomina "defense-in-depth" (defensa en profundidad),
protegemos la infraestructura TI de manera global, desde las necesidades mas básicas de
monitoreo de la seguridad de la información hasta la implantación de controles correctivos
y preventivos. Todas estas soluciones se diseñan alrededor de unos componentes
estándar como pueden ser:
1
Servicios de seguridad gestionados, Disponible en: http://www.verizonbusiness.com/pa/Products/security/managed/,
Noviembre 12 del 2011.
2
Seguridad gestionada, Disponible en: http://www.une.com.co/corporativo/servicios-de-telecomunicaciones/idc/seguridadgestionada.html, Noviembre 12 del 2011.
3
Seguridad gestionada, Disponible en: http://www.potosec.com.mx/es/servicios/seguridad-gestionada.html, Noviembre 12
del 2011.
19
o
o
o
o
o
Gestión de la seguridad de redes y sistemas, Fortalecimiento de la red, los servidores y
workstation, desde el mas básico antivirus hasta el mas complejo sistema de
prevención de intrusos.
Gestión de vulnerabilidades, es básico saber cuales son las vulnerabilidades de
nuestra red y nuestros sistemas para poder defenderlos y proveer futuras debilidades.
Monitoreo y gestión de dispositivos de seguridad, sistemas desarrollados para
monitorear lo que está pasando realmente en los sistemas de seguridad implantados
en la organización.
Gestión de parches de seguridad, para mitigar vulnerabilidades tecnológicas de los
sistemas y así cubrir uno de los aspectos más críticos de la seguridad.
Gestión segura del correo electrónico, asegurando la confidencialidad en las
comunicaciones así como el fastidioso SPAM.
4
Ibermatica “Seguridad gestionada” : El enfoque de la seguridad gestionada consiste en
incorporar conceptos de instalación (incorporación de soluciones de seguridad, alta del
servicio, configuraciones de inicio), administración (instalación de correcciones, mejoras,
nuevos usuarios, reglas de acceso, etc.) y supervisión (análisis en tiempo real de alarmas y
correlación de eventos de cada sistema), separadamente y en base a criterios de
especialización. Todo ello, a partir de un enfoque integral y multidisciplinar de la seguridad;
es decir, organizativo, tecnológico y en modalidad 24x7. Beneficios:
o
o
o
o
o
o
o
o
o
Mejora de la gestión de la seguridad.
Consolidación de actividades de gestión, como servicio gestionable.
Refuerzo de la fiabilidad de los sistemas y aumento de su disponibilidad.
Reducción de los costes asociados a la gestión de la seguridad.
Minimización de la complejidad de la gestión de la seguridad.
Costes predecibles por el servicio, sin necesidad de invertir en sistemas.
Economías de escala en recursos especializados.
Garantías de seguridad y continuidad del negocio.
Horario extendido, atención especializada.
Telefónica Telecom Colombia, Servicio de Seguridad Gestionada: Permite confiar a
un grupo de expertos la administración y gestión de los dispositivos de seguridad,
garantizando así un estricto control en el tráfico de entrada y salida de la red; atención de
indecencias y monitorización de la red y los equipos que la componen.
Este servicio puede ser instalado en Centros de Datos con las condiciones óptimas de
infraestructura y seguridad y/o en los domicilios escogidos por el cliente.
Ventajas:
o
Permite un sistema de fácil administración, ya que se encuentra apoyado en un grupo
de expertos capaz de detectar, atender y resolver cualquier incidente de seguridad, y
gestionar cualquier cambio solicitado por el cliente.
o
Conocimiento del funcionamiento de la red y equipos, con el envío periódico de
informes y reportes con la actividad de Internet y la red interna, con detalles como las
páginas visitadas, descargas de archivos y accesos no autorizados, entre otros.
o
Evita a las empresas compradoras del servicio una inversión de capital por compra de
equipos, licencias, etc. y entrenamiento de personal.
4
Servicios
de
seguridad
gestionada,
Disponible
http://www.ibermatica.com/ibermatica/eventos/2006/mtserviciosseguridadgestionada, Noviembre 12 del 2011.
20
en:
o
Permite que las empresas compradoras del servicio se enfoquen y dediquen mayor
tiempo y esfuerzo en su objeto de negocio.
o
Se garantiza un
(7x24x365).
monitoreo de la red y sus componentes de forma permanente
Servicio de Seguridad de Telefónica Internacional :
El grupo telefónica ha creado una estrategia de venta con la implementación de siete
mercados verticales de servicios digitales que serán atendidos mundialmente, uno de ellos,
es el servicio de seguridad (Vertical de Seguridad).
Ofrece a través de un SOC (Centro de control de Operaciones de Seguridad Informática)
un servicio de seguridad completo, desde donde se operan, monitorean y se prestan
servicios y equipos de seguridad, minimizando el riesgo en las operaciones en tiempo real
de cada uno de los clientes. Para lograr un excelente servicio comparten información entre
los SOC alrededor del mundo, lo que permite mantener información actualizada y en
tiempo real.
Modelo para la prestación del servicio:
Se tiene una jerarquía para la prestación del servicio de seguridad dividido en tres Niveles:
1. Service Desk: Es el primer nivel, se encarga del registro y control de incidencias y
requerimientos (Interacción directa con los clientes).
2. Centro técnico de Seguridad: Este grupo se encarga de la solución básica de
incidencias y requerimientos.
3. SOC: Grupo especializado de expertos (No tiene interacción directa con los clientes).
Se puede realizar una división de los productos ofrecidos dentro del servicio de seguridad:
21
Ilustración 1. Gestión de infraestructura (Telefónica Internacional).
Fuente: consolidación del equipo de trabajo
22
Funcionalidades del Servicio de Seguridad– Vertical Telefónica
Dentro de estos productos, la monitorización de la red y los equipos que la componen es
uno de los servicios esenciales para garantizar la seguridad de los activos y la información:
Ilustración 2. Monitorización de la seguridad (Vertical Telefónica).
Fuente: consolidación del equipo de trabajo
Producto Monitorización
Como se puede observar, la seguridad gestionada es una nueva tendencia dentro de la
externalización informática, y es fácilmente demostrable que corresponde a un servicio
rentable y eficaz para cualquier organización. Así, permite el acceso a recursos y
experiencia cualificada, y aporta disponibilidad y capacidad de reacción. En algunos casos,
puede incluso plantearse, en interés mutuo, un traspaso de infraestructuras de seguridad
entre el cliente y el proveedor. En cualquier caso, se requiere de una relación de confianza
importante entre ambos, así como flexibilidad continua.
La mayoría de organizaciones que delegan la monitorización y gestión de su seguridad
perimetral, incrementarán su nivel de seguridad al mismo o menor coste que sus recursos
internos. Por tanto, deberían focalizarse en gestionar los aspectos de arquitecturas y
seguridad interna, externalizando las tareas de seguridad externa por medio de servicios
de seguridad gestionada.
23
En definitiva, con la seguridad gestionada, garantizamos que siempre hay un grupo de
expertos gestionando los equipos, monitoreando la red y evitándoles a los clientes la
inversión continua.
Cada vez son más los elementos a gestionar y monitorear, por ello una solución adecuada
asegura al cliente que su plataforma se encuentra trabajando en condiciones óptimas; por
ello es necesario que las empresas prestadoras de servicio cuenten con las herramientas
necesarias para suplir dichas necesidades.
En el caso puntual del servicio ofrecido por Telefónica, podemos concluir que a nivel
nacional es necesario ajustar la infraestructura técnica para poder ofertar los servicios ya
establecidos por la vertical de seguridad, para ello inicialmente es necesario realizar un
análisis técnico y económico para validar que se necesita para poder ofertar estos nuevos
servicios en el mercado nacional y si es productivo para la organización (Telefónica
Telecom) invertir en ello.
1.1.3 Oferta de productos comerciales en materia de seguridad de redes gestionadas: Las
herramientas de monitoreo se pueden clasificar según sus características por ejemplo, según
protocolo utilizado, equipos monitoreados, características monitoreadas, en fin. En este caso se
clasificarán las herramientas por características o funciones de monitorización:
1.1.3.1 Herramientas para la monitorización de Equipos y características de IT:
5
Applications Manager : Es un software de disponibilidad y control del rendimiento que
ayuda a las empresas a garantizar una alta disponibilidad y rendimiento para sus
aplicaciones de negocio, garantizando la disponibilidad de los servidores y las
aplicaciones.
El rendimiento de las aplicaciones y la capacidad de gestión incluye la supervisión de
servidores , monitoreo de aplicaciones , de bases de datos , de servicios web , maquinas
virtuales entre otros que ayudarán a los administradores de TI gestionar sus recursos.
Ilustración 3. Interfaz de Applications Manager.
Fuente: http://www.manageengine.com/products/applications_manager/
5
Applications Manager, Disponible en: http://www.manageengine.com/products/applications_manager/. Diciembre 17 del
2011.
24
6
“Nagios: software de supervisión de red“ Es el estándar de monitoreo de la infraestructura
TI, lograr la conciencia inmediata de los problemas de infraestructura de TI, para que el
tiempo de inactividad no afecte negativamente a su negocio, Nagios ofrece un seguimiento
completo y de alerta para servidores, switches, aplicaciones y servicios. También permite
controlar servicios, disponibilidad de servicios, tiempos de respuesta de un servicio y según
los plugins que se le tengan cargados y/o configurados se pude incluso comprobar
aspectos locales referidos por ejemplo a los procesos de las maquinas, la carga de la CPU,
uso de la memoria entre otros.
Ilustración 4. Interfaz web de Nagios
Fuente: http://upload.wikimedia.org/wikipedia/commons/c/c0/Nagios_main_screen.png
1.1.3.2 Herramientas para la monitorización de Equipos y características de RED:
7
OpManager : Es un completo software de monitoreo de red, ofrece funciones avanzadas
gestión de fallos y funcionalidad a través de recursos críticos de TI, tales como routers,
enlaces WAN, switches, cortafuegos, caminos de llamadas VoIP, servidores físicos,
servidores virtuales, los controladores de dominio y otros dispositivos informáticos de
infraestructura. Además el software de monitorización de red, combina una interfaz fácil de
usar que le permite desplegar rápidamente el producto en un entorno de producción.
Ilustración 5. Interfaz de OpManager
Fuente: http://www.manageengine.com/products/applications_manager/
6
Perfil
técnico,
Disponible
en:
http://translate.googleusercontent.com/translate_c?hl=es&langpair=en%7Ces&rurl=translate.google.com.co&u=http://www.n
agios.org/&usg=ALkJrhhOAJPbtMviJbzm_xI-rNKuJadAIg, Noviembre 12 del 2011.
7
OpManager, Disponible en: http://www.manageengine.com/network-monitoring/. Diciembre 16 del 2011.
25
Ntop: Básicamente da estadísticas de los protocolos que está utilizando cada máquina de
la red, el ancho de banda que está consumiendo con cada uno de esos protocolos, las
cesiones TCP Y UDP que tienen establecidas entre las maquinas, también ofrece
información de inventario por ejemplo, sistema operativo y dirección física si acaso lo
detecta, esta herramienta funciona en modo de sniffer, y es una de las mejoras a la hora
de hacer monitorización.
Fprobe: Es un Sniffer que al mismo tiempo es un generador de flujos (flows). Funciona
analizando tráfico y en base a ese análisis genera flujos, estos flujos dan estadísticas del
uso que se está haciendo de la red hasta el nivel 3 , protocolos que se está utilizando,
cesiones TCP y UDP que están activas e incluso anchos de banda.
Nfsen: Es una interfaz gráfica y es también un colector de flujos, por esto se complementa
muy bien con Fprobe. Utiliza los flujos para generar de forma gráfica este tipo de
estadísticas que se pueden obtener con Fprobe.
8
Cactus - Software de supervisión de red : (Cacti) utiliza RRDtool para la solución de
gráficos de red. Utilizando Cactus (Cacti) puede supervisar y graficar - carga de la CPU, la
utilización de ancho de banda de red, monitor de tráfico de la red, etc., Cactus también es
compatible con la arquitectura plugo-in. Algunos administradores como la característica de
gráficos poderoso proporcionada por cactus, que utilizan tanto Nagios y Cactus (Cacti) en
su entorno como las herramientas de monitoreo de red.
Ilustración 6. The Complete RRDtool basado en la solución gráfica
Fuente:http://translate.googleusercontent.com/translate_c?hl=es&langpair=en%7Ces&rurl=tran
slate.google.com.co&u=http://en.wikipedia.org/wiki/File:Cacti_(software)_screenshot.png&usg=
ALkJrhjVreWzSwKIKL1W4AnMnvz3qXqZxg
8
Acerca
de
cactus,
Disponible
en:
http://translate.googleusercontent.com/translate_c?hl=es&langpair=en%7Ces&rurl=translate.google.com.co&u=http://www.c
acti.net/&usg=ALkJrhi5YZxn7eTcLD644E0ViOhYyvEMvg, Noviembre 14 del 2011.
26
1.1.3.3 Herramientas para la monitorización eventos de Seguridad:
Pof: Es un Sniffer, que hace toma de huellas dactilares (Fingerprinting) de sistemas
operativos, básicamente analiza las cabeceras de los paquetes buscando patrones que
correspondan a determinados sistemas operativos, Pof es capaz de identificar de forma
pasiva sistemas operativos (Windows, Unix, Mac OS X, etc.) según los campos o huellas
que van dejando a la hora de generar sus paquetes.
Arpwhatch: Es un Sniffer de nivel 2 que permite básicamente hacer un inventario de las
direcciones MAC de manera que con esta herramienta se pueden detectar casi cualquier
ataque a nivel 2 (ARP Spoofing o ARP Poisoning), de modo que cuando IP asociada a una
dirección física o a una MAC cambia, esta herramienta genera un registro especificando el
cambio que se detectó.
Kismet: Tiene la capacidad de hacer Sniffing Wireless y también permite detectar puntos
de acceso falsos.
Ossec: Funciona como host basado en el sistema de detección de intrusos (host-based
intrusion detection system - IDS) que permite controlar procesos locales, integridad de
ficheros, detectar Troyanos y Rootkits. Ossec funciona a nivel local y requiere instalar un
agente local en las maquinas que se están analizando.
Snort: Es el sistema de detección de intrusos o IDS (intrusion detection system) de red que
se basa en la detección de patrones, es decir, analiza el tráfico de red detectando patrones
que puedan corresponder a un determinado ataque de un determinado gusano, de
negación de servicio, shellcodes, etc.
Pads: Es un Sniffer que hace toma de huellas dactilares (Fingerprinting) a nivel 7, es decir,
es capaz de identificar las huellas que dejan las aplicaciones de red cuando generan un
determinado paquete. Pads al igual que Arpwatch, Snort, Pof y Kismet, funciona de forma
pasiva es decir que no influyen en el rendimiento que puede tener la red.
9
Nmap : Es uno de los escáner de puestos más utilizados en el mundo. Puede ser
utilizada para realizar auditorías de seguridad en una red, pero también
puede ser utilizada para fines delictivos, ya que esta herramienta pone al descubierto,
puertos abiertos en las computadoras de una red, así como también es posible
conocer cómo se encuentra organizada, y de cuantas computadoras consta una red.
Nessus: es un escáner de vulnerabilidades muy famoso, además de los puertos también
tiene su base de datos de ataque o Exploits utilizados para hacer provecho de
vulnerabilidades ya publicadas y conocidas. Nessus diariamente publica plugins para
explotar las vulnerabilidades basadas en nuevas amenazas, por esto es necesario
actualizar constantemente esta herramienta.
OpenVas: como Nessus a partir de la versión 3 cerro su código entonces se creó
OpenVas. Esta herramienta utiliza el mismo sistema de plugins de Pruebas de
vulnerabilidad Nessus (del ingles Nessus Vulnerability test - MVT) para detectar equipos
vulnerables.
OSVDB: base de datos de vulnerabilidades de código abierto (del inglés Open Source
Vulnerability DataBase), esta base de datos se actualiza diariamente con todas las
9
Introducción a Nmap, Disponible en: http://www.maestrosdelweb.com/editorial/nmap/, Noviembre 14 del 2011.
27
amenazas que se van descubriendo y describe de cada una de ellas en que consiste la
vulnerabilidad, como se puede solucionar, a que servicios afecta, etc.
1.1.3.4 Herramientas para generación de informes y visualización de vulnerabilidades:
10
Firewall Analyzer: es una herramienta basada en web para la gestión del cambio, el
análisis de la configuración, auditoría de seguridad de los dispositivos de firewall, control
de ancho de banda y la presentación de informes de seguridad. La aplicación de software
de análisis de los dispositivos de firewall configuraciones, gestiona los cambios de
configuración y auditorías de seguridad de los dispositivos. Se recoge, analiza, y los
registros de archivos de red perimetral dispositivos de seguridad y genera informes . Los
dispositivos son, firewalls, servidores proxy, Intrusion Detection System (IDS) / sistema de
prevención de intrusiones (IPS), y redes privadas virtuales (VPN) (véase la lista completa
de dispositivos compatibles ). Las características más destacadas de la aplicación son la
gestión de firewall del dispositivo, el control de ancho de banda y los informes de
seguridad.
Ilustración 7. Interfaz de Firewall Analyzer
Fuente: http://www.manageengine.com/products/firewall/
11
FortiAnalyzer : Los sistemas de la familia FortiAnalyzer de red en tiempo real el registro,
análisis y presentación de informes son una serie de aparatos que funcionan
exclusivamente de hardware de red que con seguridad usa datos agregados de registro de
los dispositivos de Fortinet y dispositivos de terceros. Una amplia gama de tipos de registro
pueden ser archivados, se filtra, y minado por el cumplimiento o fines de análisis de
históricos. Un completo conjunto de informes estándar de gráficos están incorporados al
sistema, que también ofrece la flexibilidad de personalizar los informes a las necesidades
específicas. Soluciones FortiAnalyzer también proporcionan funciones avanzadas de
10
11
Firewall Analyzer. Disponible en: http://www.manageengine.com/products/firewall/. diciembre 16 del 2011.
FortiAnalyzer -1000B .Disponible en: http://www.fortinet.com/doc/FortiAnalyzer-1000B_DS.pdf. Diciembre 16 del 2011.
28
gestión de la seguridad, tales como: archivo de cuarentena, la correlación de eventos, la
vulnerabilidad.
Ejemplos: FortiAnalyzer -400B y el FortiAnalyzer -1000B, que aparte de las diferencias en
las características y capacidades del sus respectivos hardwares, en la parte operativa solo
se diferencian en que mientras el FortiAnalizer – 400B hace una estrecha integración para
maximizar el rendimiento y permite que los recursos FortiAnalyzer sean gestionados desde
Fortigate o FortiManager™ interfaces de usuario. El FortiAnalyzer -1000B hace una plena
integración.
Ilustración 8. FortiAnalyzer – 400B
Fuente: http://www.fortinet.com/doc/FortiAnalyzer-1000B_DS.pdf
Ilustración 9. FortiAnalyzer -1000B
Fuente: http://www.fortinet.com/doc/FortiAnalyzer-400B_DS.pdf
1.1.3.5 Herramientas que permiten realizar correlación de eventos:
12
SolarWinds : Potente rendimiento de la red monitoreo Software diseñado por los
profesionales de TI.
o
o
o
Ofrece detallado monitoreo y análisis de los datos de rendimiento de enrutadores,
switches, servidores y otros dispositivos SNMP habilitado
Descubre los dispositivos de red y muestra las estadísticas de rendimiento en tiempo
real a través de mapas de red dinámica
Incluye paneles fuera de cuadro, alertas, informes, umbrales mejores prácticas y más
Fácil de usar, rendimiento de la red, software que proporciona la información esencial que
necesita para hacer su trabajo de supervisión.
12
SolarWinds,.
Disponible
monitor.aspx, enero 31 del 2012.
en:
http://www.solarwinds.com/products/network-management/network-performance-
29
Monitor de rendimiento de red de SolarWinds permite detectar, diagnosticar y resolver
problemas de rendimiento de red y las interrupciones rápidamente, antes de que usted
comienza a recibir llamadas preguntando si la red está caída. Y MNP SolarWinds es el
producto más fácil de su clase para implementar, utilizar y mantener.
13
AlienVault. : Es una herramienta de monitoreo de redes informáticas que se integra en
una infraestructura común:
o
Sensores: Dispositivo, configurado para inspeccionar el tráfico cursante en la red y
que está en la capacidad de detectar y monitorear actividades no autorizadas.
o
Logger ó bases de datos: Permite almacenar los eventos detectados por el sensor y
se utilizan en el SIEM para desarrollar por el administrador políticas de correlación de
eventos.
o
SIEM: Dispositivo que cuenta con una interfaz gráfica que permite administrar las
políticas de correlación de eventos, valoración y métricas de riesgos, y visualizar la
información del monitoreo de la red en tiempo real.
Toda esta infraestructura integrada permite tener información segundo a segundo de lo que
sucede a través de toda la red monitoreada y puede realizar una mejor administración de
los dispositivos que la componen (Routers, switches, servidores, modeladores de tráfico,
balanceadores de carga, IPS/IDS, y conectividad).
14
¿Porqué utilizar AlienVault?
Esta es una herramienta que ha sido diseñada para
realizar todas las tareas y otras adicionales que realizan otras herramientas de monitoreo
(Application Manager, Nagios, Firewall Analyzer, FortiAnalyzer, Cisco MARS, OpManager),
adicionalmente está basada en software libre lo que permite una administración más
flexible. Sus funcionalidades además de realizar un monitoreo del estado de los
dispositivos (CPU, Memoria, Sesiones concurrentes y Disponibilidad de interfaces), permite
realizar correlación de eventos, escaneo de vulnerabilidades en la red, realizar métricas y
valoraciones de riesgos entre otras.
Lo que se desea demostrar es que además de la funcionalidad del AlienVault, se puede
obtener una reducción de gastos operativos. ¿Porque? Porque cuando manejamos más de
una herramienta, tenemos que pagar a sus casas desarrolladoras por cada licencia es
decir: Application Manager, Firewall Analyzer, FortiAnalyzer, Cisco MARS, OpManager, lo
que indica el pago de alrededor de 5 licencias de funcionamiento, con el AlienVault
integramos la funcionalidad de todas las herramientas mencionadas anteriormente y sólo
se hace necesario el pago de una licencia.
13
14
AlienVault. Disponible en: www.alienvault.com, Noviembre 15 del 2011.
Ibíd.
30
1.2 DESCRIPCIÓN Y FORMULACIÓN DEL PROBLEMA
Las empresas proveedoras de servicios de telecomunicaciones buscan principalmente responder
la demanda de los clientes de manera integral en materia de manejo de información y de
comunicaciones.
Puntualmente con los temas de seguridad gestionada, lo que se busca es proveer un servicio de
seguridad integrada desde las redes, aplicaciones y servicios, teniendo en cuenta la seguridad
física y de los activos de la empresa; asegurando así que la infraestructura de sus clientes sea lo
más confiable y segura. Para ello es necesario integrar tecnologías para aprovisionar estos
servicios y gestionar sus recursos, contar con personal y herramientas especializadas que permitan
la conservación de la infraestructura de los dispositivos de seguridad, los activos informáticos y el
control o mitigación de riesgos y vulnerabilidades.
El monitoreo del estado de la red se convierte en una necesidad para todos las empresas, ya que
garantiza que los procesos de la empresa se mantengan estables, protegiendo la información vital
para el desarrollo de las actividades propias del negocio, información como bases de datos,
cuentas de nómina y planes estratégicos de la misma, por ello se torna importante centralizar la
gestión y control de los dispositivos necesarios para proteger dichos activos y contar con personal
capacitado para la administración de los mismos.
Dentro del proceso de monitoreo se encuentra el uso de gran cantidad de herramientas, por lo
general una herramienta diferente por cada uno de los proveedores de infraestructura de red, lo
que genera un aumento en los costos operacionales y presenta inconvenientes y demoras en el
diagnóstico y solución de incidentes.
La pregunta que se plantea es la siguiente:
¿Existen herramientas disponibles en el mercado que brinden beneficios técnicos, operacionales y
económicos a las compañías a menores costos y con igual e incluso mayor efectividad técnica y
funcional, que permitan la monitorización y correlación de eventos de la infraestructura de
seguridad, como solución para la gestión de nuevos servicios de seguridad gestionada?
1.3 JUSTIFICACIÓN
La evolución de la tecnología, puntualmente de las telecomunicaciones, así con el masivo uso de
internet y las redes de comunicaciones alrededor del mundo, hacen que las empresas sean más
vulnerables y estén expuestas a diferentes amenazas (denegación de servicio, intrusión en la red,
suplantación de identidad, entre otros) que pone en riesgo sus activos informáticos, por ello la
adecuada protección de los bienes de información ha dejado de ser un requisito operativo o
tecnológico para convertirse en una necesidad y una garantía para la continuidad del negocio.
Considerando la importancia que representa la información para las empresas que manejan
activos informáticos, estas se ven en la necesidad de priorizar los recursos invertidos en un servicio
de monitoreo y gestión de seguridad informática, delegando la gestión de dispositivos de
seguridad, diagnóstico y atención de incidentes (preventivo y reactivo) de su organización en un
equipo experto, quienes serán los encargados de optimizar los recursos para mitigar los riesgos
existentes.
Las empresas expertas en la prestación de servicios de seguridad gestionada, además de buscar
la calidad de sus servicios deben de trabajar en aumentar su retorno económico disminuyendo los
31
costos de operación y capitalización. De esta forma, el centralizar la gestión y monitoreo en una
sola herramienta que represente reducción en estos costos, además de un beneficio a nivel
operativo, disminuyendo los tiempos de respuesta ante posibles incidentes, evitando
penalizaciones establecidas en los acuerdos de nivel de servicio.
En este proyecto se plantea la evaluación comparativa de las herramientas actuales que maneja la
empresa Telefónica - Telecom y otras alternativa existentes, que permiten realizar una gestión
centralizada, correlación de eventos y generación de reportes; dentro de la plataforma tecnológica
de un Data Center que contribuya a disminuir el tiempo de diagnóstico, atención y solución de
incidentes.
1.4 OBJETIVOS DE LA INVESTIGACIÓN
1.4.1. Objetivo General: Implementar la herramienta de monitoreo AlienVault en la plataforma
tecnológica del Datacenter de Telefónica Telecom y realizar pruebas para poder determinar su
eficiencia técnica, económica y funcional.
1.4.2. Objetivos Específicos.
Analizar el funcionamiento del monitoreo actual de la plataforma tecnológica de Telefónica
Telecom con la herramienta o herramientas actuales.
Integrar el software y hardware de la herramienta de monitoreo AlienVault a la plataforma
tecnológica de Telefónica Telecom.
Integrar un instrumento de captura de la información y resultados de la prueba piloto.
Consolidar los resultados de la evaluación técnica y funcional de la prueba piloto.
Diseñar la herramienta de evaluación económica de los resultados de la prueba piloto
comparados con las herramientas existentes.
Realizar la evaluación económica.
Efectuar conclusiones y recomendaciones, si fura pertinente de uso de la herramientas.
Proponer un plan de implementación de la herramienta si fuera positiva la evaluación.
32
1.5 ALCANCES Y LIMITACIONES DEL PROYECTO
El Análisis y las comparaciones de las herramientas de monitoreo actual de la plataforma
tecnológica de Telefónica - Telecom y otras alternativa existentes se hará en cuanto a la
eficiencia en la operación.
Se realizarán pruebas e implementación de la herramienta AlienVault. La integración del
piloto se realizará sobre la infraestructura disponible en el Data Center de Telefónica
Telecom.
El proyecto finaliza con el diseño de un plan de implementación si el resultado fuera
positivo, para la integración de la herramienta de monitoreo final dentro de
la
infraestructura del Data Center de Telefónica Telecom. Así mismo, se entregará la
evaluación de la relación económica que representaría la implementación de la
herramienta final.
El documento escrito que se entregará al cumplir el objetivo tendrá una descripción de la
instalación y el respectivo análisis (Incluye una evaluación técnica), sin embargo por
políticas de seguridad de la información de Telefónica Telecom habrán datos técnicos que
no se podrán entregar en el documento final.
La realización del proyecto contará con el apoyo de ingenieros del área de seguridad y
redes de Telefónica Telecom, sin embargo cabe aclarar que no existe ningún convenio
establecido para dicho apoyo.
33
2. MARCO REFERENCIAL
2.1 MARCO TEÓRICO - CONCEPTUAL
A continuación se describen los elementos fundamentales para el desarrollo del proyecto:
15
2.1.1 Los riesgos informáticos : Se refieren a la posibilidad que tiene toda empresa de perder la
información del eje de su negocio y la importancia de contar con una herramienta, que garantice la
correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que
participan en el área informática; y por medio de procedimientos de control se pueda evaluar el
desempeño del entorno informático.
Los sistemas de información computarizados son vulnerables a una diversidad de amenazas y
atentados por parte de:
Personas tanto internas como externas de la organización.
Desastres naturales.
Por servicios, suministros y trabajos no confiables e imperfectos.
Por la incompetencia y las deficiencias cotidianas.
Por el abuso en el manejo de los sistemas informáticos.
Por el desastre a causa de intromisión, robo, fraude, sabotaje o interrupción de las
actividades de cómputos
16
2.1.2 Riesgo informáticos más significativos y su impacto en la empresa. Según un estudio
del IT Governance Institute los riesgos informáticos “más significativos’” dado su impacto negativo
en la operación y la productividad de la empresa son en su orden:
Riesgo de acceso o seguridad (87%).
Riesgo de disponibilidad (85%).
Riesgo de infraestructura (81%).
Riesgo de integridad (81%).
Riesgo de proyectos de TI (72%).
Riesgo de inversión o costo (71%).
15
Riesgos informáticos, Disponible en: http://www.riesgosinformaticos.com.ar/2010/01/18/anecdotario-virico-2009/,
Noviembre 14 del 2011.
16
IT
Governance
Institute,
Riesgos
informaticos,
Disponible
en:
http://www.isaca.org/KnowledgeCenter/Research/Documents/ITGI-Global-Status-Report-2006.pdf. Noviembre 15 del 2011.
34
Así mimos dicho impacto se evidencia principalmente en:
Pérdida de rentabilidad del negocio (34%).
Pérdidas financieras (18%).
Falta de capacidad para alcanzar los objetivos de negocio (18%).
Pérdida de reputación (17%).
Desventaja competitiva (8%).
Problemas con los reguladores (2%).
17
2.1.3 La gestión de los riesgos : El principal objetivo de la administración de riesgos, como
primera ley de la naturaleza, es garantizar la supervivencia de la organización, minimizando los
costos asociados con los riesgos. Muchos de los defectos en la administración de riesgos radican
en la ausencia de objetivos claros.
La administración de riesgos es una aproximación científica del comportamiento de los riesgos,
anticipando posibles pérdidas accidentales con el diseño e implementación de procedimientos que
minimicen la ocurrencia de pérdidas o el impacto financiero de las pérdidas que puedan ocurrir.
2.1.4 Ataques a la red.
18
Se clasifican por generaciones:
Primera generación: ataques físicos. Encontramos aquí ataques que se centran en
componentes electrónicos, como podrían ser los propios ordenadores, los cables o los
dispositivos de red. Actualmente se conocen soluciones para estos ataques, utilizando
protocolos distribuidos y de redundancia para conseguir una tolerancia a fallos aceptable.
Segunda generación: ataques sintácticos. Se trata de ataques contra la lógica operativa
de los ordenadores y las redes, que quieren explotar vulnerabilidades existentes en el
software, algoritmos de cifrado y en protocolos. Aunque no existen soluciones globales
para contrarrestar de forma eficiente estos ataques, podemos encontrar soluciones cada
vez más eficaces.
Tercera generación: ataques semánticos. Finalmente, podemos hablar de aquellos
ataques que se aprovechan de la confianza de los usuarios en la información. Este tipo de
ataques pueden ir desde la colocación de información falsa en boletines informativos y
correos electrónicos hasta la modificación del contenido de los datos en servicios de
confianza, como, por ejemplo, la manipulación de bases de datos con información pública,
sistemas de información bursátil, sistemas de control de tráfico aéreo, etc.
17
Identificacion
y
administracion
de
riesgos,
Disponible
en:
http://www.udistrital.edu.co/files/dependencias/auditorIdentificacionAdministracionRiesgos.pdf, Noviembre 15 del 2011.
18
ATAQUES CONTRA REDES TCP/IP, pag. 10, Disponible en: http://ocw.uoc.edu/computer-science-technology-andmultimedia/advanced-aspects-of-network-security/advanced-aspects-of-network-security/P06_M2107_01769.pdf,
Noviembre 15 del 2011.
35
19
2.1.5 Seguridad de la información : Se entiende por seguridad de la información a todas
aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas
tecnológicos que permitan resguardar y proteger la información buscando mantener
la confidencialidad, la disponibilidad e Integridad de la misma.
El concepto de seguridad de la información no debe ser confundido con el de seguridad
informática, ya que este último sólo se encarga de la seguridad en el medio informático,
pudiendo encontrar información en diferentes medios o formas.
Para el hombre como individuo, la seguridad de la información tiene un efecto significativo
respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura
del mismo. El campo de la seguridad de la información ha crecido y evolucionado
considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera
acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la
auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia
forense digital y administración de sistemas de gestión de seguridad, entre otros.
20
2.1.6 Red informática : Una red es un sistema donde los elementos que lo componen (por lo
general ordenadores) son autónomos y están conectados entre sí por medios físicos y/o
lógicos y que pueden comunicarse para compartir recursos. Independientemente a esto, definir
el concepto de red implica diferenciar entre el concepto de red física y red de comunicación.
21
2.1.7 Gestión de redes : Consiste en monitorizar y controlar los recursos de una red con el
fin de evitar que esta llegue a funcionar incorrectamente degradando sus prestaciones. La
conforman los siguientes elementos:
Gestor (Estación de gestión).
Agente (Sistemas gestionados). Se trata de software que responde a solicitudes de
información del gestor y que proporciona información no solicitada pero de vital
importancia.
MIB (Base de información de gestión del inglés Management Information Base).
Objetos Variable que representa el aspecto de un agente.
Protocolo Manera de hacerlo
22
2.1.8 Pilares de la Seguridad Informática :
Integridad: Garantizar que la información no ha sido borrada, copiada o alterada.
19
SEGURIDAD INFORMÁTICA, Disponible en: http://www.ccee.edu.uy/ensenian/catcomp/material/SEGURIDAD2.pdf.
Noviembre 15 del 2011.
20
LAS
REDES
INFORMATICAS,
Disponible
en:
http://75.101.137.149/trabajos40/redes-informaticas/redesinformaticas.shtml. Noviembre 15 del 2011.
21
Ibíd.
22
SEGURIDAD INFORMÁTICA PILARES BÁSICOS, Disponible en:
http://www.google.com.co/url?sa=t&rct=j&q=pilares%20de%20la%20seguridad%20inform%C3%A1tica%3A&source=web&c
d=5&sqi=2&ved=0CDsQFjAE&url=http%3A%2F%2Ffiles.uladech.edu.pe%2Fdocente%2F17939348%2FS_I_03x.ppt&ei=Kh
bWTtnvFMrvggfE_6CMAQ&usg=AFQjCNFgf74ZHkNNYJfl2s9mq_oR05vs_g, Noviembre 15 del 2011
36
Confidencialidad: La información únicamente puede ser accedida por las personas que
tengan autorización, se pueden manejar diferentes perfiles de lectura y escritura para
garantizar la integridad de la información.
Disponibilidad: La información debe estar disponible siempre que se necesite, métodos
para la precaución contra posibles daños tanto en la información como en el acceso a la
misma.
Estos tres pilares nos llevan a un cuarto punto que debe ser tenido en cuenta si se quieren
garantizar el cumplimiento de los mismos:
No repudio: Saber exactamente quien, y cuando modificó o elimino la información.
23
2.1.9 Importancia del monitoreo de la red : El monitoreo del estado de la red se convierte
en una necesidad para todos las empresas, ya que garantiza que los procesos de la empresa
se mantengan estables, protegiendo la información vital para el desarrollo de las actividades
propias del negocio, información como bases de datos, cuentas de nómina y planes
estratégicos de la misma, por ello se torna importante centralizar la gestión y control de los
dispositivos necesarios para proteger dichos activos y contar con personal capacitado para la
administración de los mismos.
Adicionalmente dentro de este proceso de monitoreo se destaca la importancia de la pro
actividad, es decir el hecho de que un grupo experto este monitoreando los equipos y la red de
forma permanente garantizando la continuidad de negocio, al reportar, y solucionar las posibles
fallas e incidentes para los clientes e incluso para la red interna.
Dentro del proceso de monitoreo se encuentra el uso de gran cantidad de herramientas, por lo
general una herramienta diferente por cada uno de los proveedores de infraestructura de red,
lo que genera un aumento en los costos operacionales y presenta inconvenientes y demoras
en el diagnóstico y solución de incidentes.
24
2.1.10 Funcionalidades Importantes de las herramientas de Monitoreo :
Control y registro de los valores de utilización de CPU y memoria: Que permite
realizar una mejor administración de los dispositivos electrónicos.
Control de las Interfaces de los equipos: Permite visualizar cuando un equipo fue
desconectado y/o apagado, lo que permite a su vez tomar medidas reactivas para evitar
indisponibilidad de servicio.
Monitoreo de PING a los equipos: Se envía cada cierto tiempo un ping a los equipos
monitoreados, lo que nos permite saber si el ping no responde que el equipo se apagó o
existen problemas en el canal de comunicación.
23
Ibíd.
HERRAMIENTAS DE ADMINISTRACION Y MONITOREO DE REDES, Disponible en:
http://www.google.com.co/url?sa=t&rct=j&q=funcionalidades%20importantes%20de%20las%20herramientas%20de%20mon
itoreo&source=web&cd=3&sqi=2&ved=0CFIQFjAC&url=http%3A%2F%2Fblogs.fruxant.com%2Fsebas%2Fciapem%2FMON
ITOREOYADMINISTRACION.ppt&ei=JxfWTqOgJobWgQed04zGAQ&usg=AFQjCNETOFy_XNO8XSayG82kB4GaMnBmHQ
Noviembre 15 del 2011.
24
37
Escaneo de vulnerabilidades: Permite conocer el grado de debilidad inherente a cada red
y cada dispositivo. Esto incluye routers, switches, equipos de escritorio, servidores e,
incluso, dispositivos de seguridad.
Correlación de eventos: Se refiere a interpretar múltiples eventos como uno sólo, es decir
cada evento no autorizado o de impacto en la red y sus dispositivos (consumo alto de
CPU, Memoria, Desconexión de interfaces) se va almacenando en una base de datos,
luego de tener gran cantidad de eventos recolectados, se puede realizar una análisis de
las causas que han llevado a un evento desafortunado (Denegación de servicio, ingreso a
la red y su información, virus, etc.), y cuáles de estos eventos han influido en el evento de
impacto, pudiendo crear y programar un algoritmo de correlación de eventos que en un
futuro, cuando se presenten los mismos eventos, esté nos indique que un posible impacto
en la red está por suceder.
Métricas y valoración de riesgos: Como ya se tiene una Base de Datos de los eventos
que nos conducen a un riesgo, podemos categorizar y medir los riesgos en función a los
servicios prestados, los riesgos se miden como críticos, altos, medios y bajos.
2.1.11 Protocolos mas utilizados para el monitoreo de la red:
Protocolo
de
Mensajes
de
Control
de
Internet o ICMP (del
25
inglés Internet Control Message Protocol) : es el sub protocolo de control y notificación
de errores del Protocolo de Internet (IP). Como tal, se usa para enviar mensajes de error,
indicando por ejemplo que un servicio determinado no está disponible o que un router o
host no puede ser localizado.
ICMP difiere del propósito de TCP y UDP ya que generalmente no se utiliza directamente
por las aplicaciones de usuario en la red.
Los mensajes ICMP se suelen enviar automáticamente en una de las siguientes
situaciones:
1. Un datagrama IP no puede llegar a su destino.
2. Un enrutador IP (puerta de enlace) no puede reenviar datagramas a la velocidad actual
de transmisión.
3. Un enrutador IP redirige el host que realiza el envío para que utilice una ruta mejor
para llegar al destino.
Mensajes: Los mensajes ICMP están encapsulados y se envían dentro de datagramas IP,
como se muestra en la siguiente ilustración.
25
Protocolo de mensajes de control de Internet (ICMP, Internet Control Message Protocol). Disponible
en:http://technet.microsoft.com/es-es/library/cc758065(WS.10).aspx, Diciembre 15 del 2011.
38
Ilustración 10. Formato del mensaje
Fuente: http://technet.microsoft.com/es-es/library/cc758065(WS.10).aspx
En el encabezado ICMP se identifican diferentes tipos de mensajes ICMP. Como los
mensajes ICMP se transmiten en datagramas IP, no son confiables.
En la siguiente Ilustración se enumeran y se describen los mensajes ICMP más comunes.
Ilustración 11. Mensajes más comunes
Mensaje ICMP
Descripción
Solicitud de eco
Determina si está disponible un nodo IP (un host o un enrutador) en la red.
Respuesta de eco
Responde a una solicitud de eco ICMP.
Destino inaccesible
Informa al host de que no es posible entregar un datagrama.
Paquete de control de flujo
Informa al host de que disminuya la velocidad a la que envía los datagramas porque hay congestión.
Redirección
Informa al host de la existencia de una ruta preferida.
Tiempo agotado
Indica que ha caducado el tiempo de vida (TTL) de un datagrama IP.
Fuente: http://technet.microsoft.com/es-es/library/cc758065(WS.10).aspx
Puede utilizar el comando ping para enviar mensajes de solicitud de eco ICMP y registrar la
recepción de mensajes de respuesta de eco ICMP. Con estos mensajes, puede detectar
errores de comunicación de los hosts y la red, así como solucionar problemas de
conectividad TCP/IP comunes.
Ilustración 12. Ejemplo de envío y recepción de un ping
Fuente: http://www.erg.abdn.ac.uk/~gorry/eg3567/inet-pages/icmp.html
39
Protocolo Simple de Administración de Red o SNMP (del inglés Simple Network
26
Management Protocol) : es un protocolo de la capa de aplicación que facilita el
intercambio de información de administración entre dispositivos de red. Es parte de la
familia de protocolos TCP/IP. SNMP permite a los administradores supervisar el
funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.
Una red administrada a través de SNMP consiste de tres componentes claves: dispositivos
administrados, agentes y sistemas administradores de red (Network Management Systems,
NMS’s).
Los dispositivos administrados son supervisados y controlados usando cuatro comandos
SNMP básicos: lectura, escritura, notificación y operaciones transversales.
1. El comando de lectura: es usado por un NMS para supervisar elementos de red. El
NMS examina diferentes variables que son mantenidas por los dispositivos
administrados.
2. El comando de escritura: es usado por un NMS para controlar elementos de red. El
NMS cambia los valores de las variables almacenadas dentro de los dispositivos
administrados.
3. El comando de notificación: es usado por los dispositivos administrados para
reportar eventos en forma asíncrona a un NMS. Cuando cierto tipo de evento ocurre,
un dispositivo administrado envía una notificación al NMS.
4. Las operaciones transversales: son usadas por el NMS para determinar qué
variables soporta un dispositivo administrado y para recoger secuencialmente
información en tablas de variables, como por ejemplo, una tabla de rutas.
Paquetes: Los paquetes utilizados para enviar consultas y respuestas SNMP poseen el
siguiente formato:
Ilustración 13. Formato de los paquetes
Versión Comunidad SNMP PDU
Fuente: http://www.coit.es/publicac/publbit/bit102/quees.htm
Versión: Número de versión de protocolo que se está utilizando (por ejemplo 1 para
SNMPv1);
Comunidad: Nombre o palabra clave que se usa para la autenticación. Generalmente
existe una comunidad de lectura llamada "public" y una comunidad de escritura llamada
"private";
26
SNMP. Un protocolo simple de gestión, disponible en: http://www.coit.es/publicac/publbit/bit102/quees.htm, Diciembre 15
del 2011.
40
SNMP PDU: Contenido de la unidad de datos del protocolo, el que depende de la
operación que se ejecute.
Mensajes:
SNMP utiliza cinco mensajes básicos (Get, Get Next, Get Response, Set y Trap) para la
comunicación entre el gestor y el agente.
Los mensajes Get y Get Next permiten al administrador solicitar información a una variable
específica. El agente, al recibir un mensaje Get o Get Next, emitirá un mensaje Get
Response al administrador, ya sea con la información solicitada o una indicación de error
en cuanto a porqué la petición no puede ser procesada.
Un mensaje Set permite al administrador solicitar realizar un cambio en el valor de una
variable específica en el caso de una alarma remota que operará un relé. Luego, el agente
responderá con un mensaje Get Response que indica que el cambio se ha hecho o una
indicación de error en cuanto a por qué el cambio no se puede hacer.
El mensaje Trap permite que el agente informe de manera espontánea al administrador la
detección de una condición predeterminada, como es la conexión/desconexión de una
estación o una alarma.
Como puede ver, la mayoría de los mensajes (Get, Get Next, y Set) sólo se emiten por el
administrador SNMP. Debido a que el mensaje de alerta es el único mensaje capaz de ser
iniciada por un agente, éste es el mensaje utilizado por las Unidades de DPS de Telemetría
Remota (RTU) para reportar alarmas. Esto notifica al administrador SNMP, tan pronto
como se produce una alarma, en lugar de esperar a que el administrador SNMP pregunte.
Los mensajes Get Request, Get Next Request, Set Request y Get Response utilizan la
siguiente estructura en el campo SNMP PDU:
Ilustración 14. Estructura de los mensajes
Tipo Identificador Estado de error Índice de error Enlazado de variables
Fuente: http://www.coit.es/publicac/publbit/bit102/quees.htm
Identificador: Es un número utilizado por el NMS y el agente para enviar solicitudes y
respuesta diferentes en forma simultánea;
Estado e índice de error: Sólo se usan en los mensajes GetResponse (en las consultas
siempre se utiliza cero). El campo "índice de error" sólo se usa cuando "estado de error" es
distinto de 0 y posee el objetivo de proporcionar información adicional sobre la causa del
problema. El campo "estado de error" puede tener los siguientes valores:
0: No hay error;
1: Demasiado grande;
41
2: No existe esa variable;
3: Valor incorrecto;
4: El valor es de solo lectura;
5: Error genérico.
Enlazado de variables: Es una serie de nombres de variables con sus valores correspondientes
(codificados en ASN.1).
27
Syslog : OS-integrated logging: es un protocolo que permite a una máquina enviar
mensajes de notificación de sucesos a través de redes IP a coleccionistas de mensaje de
evento - también conocido como servidores Syslog o Syslog Daemons. En otras palabras,
una máquina o un dispositivo puede configurarse de tal manera que genera un mensaje
Syslog y lo reenvía a un servidor Syslog (Syslog Daemon) especifico.
Aunque syslog tiene algunos problemas de seguridad, su sencillez ha hecho que muchos
dispositivos lo implementen, tanto para enviar como para recibir. Eso hace posible integrar
mensajes de varios tipos de sistemas en un solo repositorio central.
Usos:
o Es útil registrar, por ejemplo:
o Un intento de acceso con contraseña equivocada
o Un acceso correcto al sistema
o Anomalías: variaciones en el funcionamiento normal del sistema
o Alertas cuando ocurre alguna condición especial
o Información sobre las actividades del sistema operativo
o Errores del hardware o el software
También es posible registrar el funcionamiento normal de los programas; por ejemplo,
guardar cada acceso que se hace a un servidor web, aunque esto suele estar separado del
resto de alertas.
Estructura del mensaje
El mensaje enviado se compone de tres campos:
o
o
o
Prioridad
Cabecera
Texto
Entre todos no han de sumar más de 1024 bytes, pero no hay longitud mínima.
Prioridad
27
Introduction to Syslog Protocol. Disponible en: http://www.monitorware.com/common/en/articles/syslog-described.php,
enero 26 del 2012.
42
Es un número de 8 bits que indica tanto el recurso (tipo de aparato que ha generado el
mensaje) como la severidad (importancia del mensaje), números de 5 y 3 bits
respectivamente. Los códigos de recurso y severidad los decide libremente la aplicación,
pero se suele seguir una convención para que clientes y servidores se entiendan.
Cabecera
El segundo campo de un mensaje syslog, la cabecera, indica tanto el tiempo como
el nombre del ordenador que emite el mensaje. Esto se escribe en codificación ASCII (7
bits), por tanto es texto legible.
El primer campo, tiempo, se escribe en formato Mmm dd hh:mm:ss, donde Mmm son las
iniciales del nombre del mes en inglés, dd, es el día del mes, y el resto es la hora. No se
indica el año.
Justo después viene el nombre de ordenador (hostname), o la dirección IP si no se conoce
el nombre. No puede contener espacios, ya que este campo acaba cuando se encuentra el
siguiente espacio.
Texto
Lo que queda de paquete syslog al llenar la prioridad y la cabecera es el propio texto del
mensaje. Éste incluirá información sobre el proceso que ha generado el aviso,
normalmente al principio (en los primeros 32 caracteres) y acabado por un carácter no
alfanumérico (como un espacio, ":" o "["). Después, viene el contenido real del mensaje, sin
ningún carácter especial para marcar el final.
43
2.2 MARCO NORMATIVO
A continuación se enumeran y explican las normas que aplican al tema de seguridad informática y
de la información:
28
La norma UNE-EN ISO 9001:2008 Sistemas de gestión de la calidad, Noviembre del
2008. Adoptada para la prestación de servicios de seguridad gestionada, consultoría y
auditoría, integración de sistemas y diseño y ejecución de planes de formación, en el área
de Seguridad de la Información. Esta norma es la versión oficial en español de la norma
Europea EN ISO 9001:2008 que a su vez adopta la norma internacional ISO 9001:2008.
“ISO/IEC 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por
ISO (International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridad de la información que
se puede utilizar por cualquier tipo de organización, pública o privada, grande o pequeña.
En este apartado se resumen las distintas normas que componen esta serie y se indica
cómo puede una organización implantar un sistema de gestión de seguridad de la
29
información (SGSI) basado en ISO 27001:”
30
Estándar internacional ISO/IEC 27001 , Tecnología de la información – Técnicas de
seguridad – Sistemas de gestión de seguridad de la información – Requerimientos,
Primera edición 2005-10-15, Numero de referencia ISO/IEC 27001:2005. Contiene los
requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS
7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los
SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos
de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO
17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las
organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la
implementación de todos los controles enumerados en dicho anexo, la organización deberá
argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el
28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC
27001:2007 y puede adquirirse online en AENOR. Otros países donde también está
publicada en español son, por ejemplo, Colombia Venezuela y Argentina.
31
Estándar internacional ISO 27002:2005 (anterior ISO/IEC 17799:2005) Tecnología de la
Información – Técnicas de seguridad – Código para la práctica de la gestión de la
seguridad de la información, Segunda Edición 2005-06-15. Desde el 1 de Julio de 2007, es
el nuevo nombre de ISO 17799:2005, Es una guía de buenas prácticas que describe los
objetivos de control y controles recomendables en cuanto a seguridad de la información.
No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11
dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001
contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está
traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia
(como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita).
28
Disponible en: http://www.faen.es/nueva/Intranet/documentos/2961_ISO9001-2008.pdf, Noviembre 15 del 2011.
Disponible en: http://es.scribd.com/doc/37513157/Doc-Iso27000-All, Noviembre 16 del 2011.
30
Disponible en: http://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf, Noviembre 16 del 2011.
31
Disponible en: http://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf, Noviembre 16 del 2011.
29
44
32
Estándar internacional ISO/IEC 27003 , Information technology - Security techniques
- Information security management system implementation guidance, Primera edicion
2010-02-01. En fase de desarrollo. Consistirá en una guía de implementación de SGSI
e información acerca del uso del modelo PDCA y de los requerimientos de sus
diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de
documentos publicados.
33
Estándar internacional ISO/IEC 27004 Information technology — Security techniques
— Information security management — Measurement. Primera edición 2009-12-15. En
fase de desarrollo. Especificará las métricas y las técnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se
usan fundamentalmente para la medición de los componentes de la fase “Do”
(Implementar y Utilizar) del ciclo PDCA.
34
Estándar internacional ISO/IEC 27005 Information technology - Security techniques Information security risk management, Primera edición 2008-06-15. Establece las
directrices para la gestión del riesgo en la seguridad de la información. Apoya los
conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para
ayudar a la aplicación satisfactoria de la seguridad de la información basada en un
enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y
términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un
completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo
de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales,
organizaciones sin fines de lucro) que tienen la intención de gestionar los riesgos que
puedan comprometer la organización de la seguridad de la información. Su publicación
revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000.
35
Estándar internacional ISO/IEC 27006:2007 , Information technology - Security
techniques - Requirements for the accreditation of bodies providing audit and
certification of information security management systems. Primera edición 2007-03-01.
Especifica los requisitos para la acreditación de entidades de auditoría y certificación
de sistemas de gestión de seguridad de la información. Es una versión revisada de EA7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de
SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y
certificación de sistemas de gestión) los requisitos específicos relacionados con ISO
27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de
ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no
es una norma de acreditación por sí misma.
36
Estandar internacional ISO/IEC 27007:2011
Information technology - Security
techniques - Guidelines for information security management systems auditing.
Publicada 2011-24-11. Es una guía de auditoría de un SGSI.
37
Estandar internacional ISO/IEC 27011:2008
Information technology - Security
techniques - Information security management guidelines for telecommunications
organizations based on ISO/IEC 27002. Publicada en julio de 2004 Esta
Recomendación
especifica
los requisitos
para
establecer, implementar,
32
Disponible en: http://webstore.iec.ch/preview/info_isoiec27003%7Bed1.0%7Den.pdf, Noviembre 16 del 2011.
Disponible en: http://webstore.iec.ch/preview/info_isoiec27004%7Bed1.0%7Den.pdf, Noviembre 16 del 2011.
34
Disponible en: http://webstore.iec.ch/preview/info_isoiec27005%7Bed1.0%7Den.pdf, Noviembre 16 del 2011.
35
Disponible en: http://www.iso27001security.com/, Noviembre 18 del 2011.
36
Ibíd.
37
Ibíd.
33
45
operar, supervisar, revisar, mantener y mejorar un sistema de seguridad de la
información documentada de gestión de información (SGSI) en el contexto de los
riesgos del negocio global de telecomunicaciones. Especifica los requisitos para la
implementación de controles de seguridad adaptados a las necesidades
individuales de las telecomunicaciones y sus partes.
38
Estándar internacional ISO/IEC 27031:2011
Information technology - Security
techniques - Guidelines for information and communications technology readiness for
business continuity. proporciona orientación sobre los conceptos y principios que
sustentan el papel de la información y las comunicaciones para asegurar la continuidad
del negocio.
39
Estandar internacional ISO/IEC 27033 Information technology - Security techniques Network security. Esta en fase de desarrollo. será un estándar multi-parte, derivados
de los actuales cinco partes de la red de seguridad estándar ISO / IEC 18028. La
primera parte ya ha sido publicada (ISO/IEC 27033-1:2009: network security overview
40
and
concepts )
El propósito de esta norma es proporcionar una guía detallada sobre los aspectos de
seguridad de la
administración,
operación y
uso
de redes
de
sistemas
de información, y sus interconexiones.
Estandar internacional ISO/IEC 27034 Information technology - Security techniques Application security. En fase de desarrollo; La primera parte ya ha sido publicada en
noviembre del 2011 (ISO/IEC 27034-1:2011 — Information technology — Security
41
techniques — Application security — Overview and concepts ). Consistirá en una guía
de seguridad en aplicaciones.
Norma PCI (PaymentCardIndustry Data Security Standard, significa Estándar de
Seguridad de Datos para la Industria de Tarjeta de Pago): Las Normas de Seguridad
de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) se desarrollaron para
fomentar y mejorar la seguridad delos datos del titular de la tarjeta y para facilitar la
adopción de medidas de seguridad consistentes a nivel mundial,utiliza como base los
12 requisitos de las DSS de la PCI y los combina con los procedimientos de evaluación
42
pertinentes en una herramienta de evaluación de seguridad.
38
39
40
41
42
Ibíd.
Ibíd.
Ibíd.
Ibíd.
https://www.pcisecuritystandards.org/pdfs/pci_dss_spanish.pdf
46
3. METODOLOGÍA
La metodología para la realización del trabajo será la siguiente:
3.1 ANALIZAR EL FUNCIONAMIENTO DEL MONITOREO ACTUAL DE LA PLATAFORMA
TECNOLÓGICA DE TELEFÓNICA TELECOM CON LA HERRAMIENTA O HERRAMIENTAS
ACTUALES.
En conjunto con el área técnica de la empresa se determinaran los resultados de la utilización de
las herramientas actuales de monitoreo disponibles, utilizadas y los resultados obtenidos hasta la
fecha. Se utilizaran entrevistas semiestructuradas.
3.2 INTEGRAR EL SOFTWARE Y HARDWARE DE LA HERRAMIENTA DE MONITOREO
ALIENVAULT A LA PLATAFORMA TECNOLÓGICA DE TELEFÓNICA TELECOM.
Etapa de Implementación: El software AlienVault se va a instalar en un servidor físico alojado en el
Data Center de Telefónica Telecom (SIEM), se instalarán también un servidor que sirva como
sensor y otro servidor que va a servidor como Base de Datos SQL (Logger), estos tres dispositivos
se conectarán consiguiendo la siguiente cadena de trabajo:
Ilustración 15. Topología Instalación AlienVault
Fuente: www.alienvault.com
Lo que permite reconocer eventos en toda la red (sensor), almacenarlos (Logger) y mostrarlos en
tiempo real (interfaz gráfica SIEM) y adicionalmente permite al administrador realizar políticas de
correlación de eventos, métricas de riesgos y vulnerabilidades.
47
Ilustración 16. Interfaz gráfica de SIEM
Fuente: www.alienvault.com
Tareas de esta primera parte:
1. Instalar el SIEM.
2. Instalar el Sensor de la red.
3. Instalar y dejar operativa la BD MySQL.
4. Realizar la conectividad entre los tres dispositivos y verificar que los mismos estén
operativos y se reconozcan.
Luego de Tener la infraestructura inicial montada empezamos la etapa de integración:
1. Realizar la lista de dispositivos que se desean monitorear (Switches, routers, IPS/IDS,
Modeladores de tráfico, balanceadores de Carga, Servidores).
2. Integrar estos dispositivos con sensor: Realizar las interconexiones físicas y virtuales que
sean necesarias para que el sensor pueda descubrir el tráfico cursante entre estos
dispositivos
y
empiece
así
a
detectar
eventos.
Realizar las configuración en los routers, switches, firewall, que permitan el reconocimiento
del protocolo SNMP para poder realizar el monitoreo basándonos en este protocolo, crear
las comunidades y configurarlas en todos los equipos relacionados en el proceso de
monitoreo.
3. Verificar que los eventos que están siendo detectados por el sensor, se almacenan
correctamente y sin pérdidas de información en la Base de Datos.
48
3.3 DISEÑAR INSTRUMENTOS DE CAPTURA DE LA INFORMACIÓN Y RESULTADOS DE LA
PRUEBA PILOTO:
Diseño del formato de captura de información que debe ser aprobado por el área técnica de la
empresa y la dirección del proyecto
Tabla 1. Instrumento de captura – comportamiento de los parámetros de comparación de las
herramientas usadas Vs AlienVault.
Variables
Herramientas de monitoreo
GroundWor
Firewall FortiAnalyz FortiAnalyz Aplications
OpManager
Alienvault
k:Nagios
Analyzer 7 er 1000 B
er 400 B
Manager
Software
Hardware
Monitoreo de la
disponibilidad y
desempeño de redes
Monitoreo del Trafico
de redes
Gestion de enrutadores
Monitoreo de
Servidores
Monitoreo de la
infraestructura TI
Monitoreo de la
Infraestructuras de
otros dispositivos
Alertas
Evita alertas falsas
Representacion grafica
a tiempo real de redes
Genera reportes
integrales de redes
Administracion de
servicios
Monitoreo de la web
Correlacion de eventos
Identifica patrones de
ataque
Extienda el poder de la
herramienta
Costo
Fuente: consolidación del equipo de trabajo
49
Tabla 2. Instrumento de captura – comportamiento de los atributos de comparación de las
herramientas usadas Vs AlienVault.
Variable
Atributo
Herramientas de monitoreo
GroundWor
Firewall FortiAnalyz FortiAnalyz Aplications
OpManager
Alienvault
k:Nagios
Analyzer 7 er 1000 B
er 400 B
Manager
Software
Hardware
Velocidad del monitoreo
Monitoreo de la
Calidad del monitoreo
disponibilidad y
desempeño de redes Desempeño de la herramienta
Velocidad del monitoreo
Monitoreo del
Trafico de redes
Calidad del monitoreo
Desempeño de la herramienta
Gestion de
enrutadores
Monitoreo de
Servidores
Determinacion de rutas adecuadas
Calidad de las alertas
Oportunidad en el disparo de la
alarma
Seguridad transaccional
Trafico de la informacion
Monitoreo de la
infraestructura TI
Monitoreo de la
Infraestructuras de
otros dispositivos
Eficiencia del monitoreo
Seguridad transaccional
Velocidad de la transaccion
Velocidad
Oportunidad
velocidad de la deteccion
Alertas
Veracidad de la deteccion
Oportunidad de la deteccion
Evita alertas falsas
Calidad de control
Calidad del graficador
Representacion
grafica a tiempo real Velocidad del graficador
de redes
Concordancia con la realidad
Calidad del reporte
Genera reportes
Velocidad del report
integrales de redes
Concordancia con la realidad
Administracion de
servicios
Efectividad
Oportunidad del servicio
Continuidad del servicio
Seguridad
Monitoreo de la web Continuidad del servicio
Calidad de la senal
Correlacion de
eventos
Identifica patrones
de ataque
Velocidad de la deteccion
concordancia de los eventos
Oportunidad de la deteccion
Calidad de la deteccion
Diferenciacion
Extienda el poder de
Calidad de la interface
la herramienta
Costo
costo beneficio
TOTAL
%
Fuente: consolidación del equipo de trabajo
La cuantificación de cada uno de los atributos (contenidos en la taba.2), se llevaran acabo en una
escala de 1 a 5, 1 para el menor resultado y 5 para el mejor resultado. El puntaje máximo para
cada herramienta será 185 puntos que a su vez será igual al 100%. También se manejara un valor
0 (cero) para indicar que la variable no aplica para la herramienta correspondiente.
50
3.4 CONSOLIDAR Y ANALIZAR LOS RESULTADOS
FUNCIONAL DE LA PRUEBA PILOTO:
DE LA EVALUACIÓN TÉCNICA Y
Etapa de evaluación técnica:
Validar que los dispositivos configurados estén comunicándose por el protocolo establecido
y validar que la información que se está almacenando es veraz.
Estudiar y conocer las funcionalidades de cada una de las interfaces gráficas del SIEM, y
configurarlas para que muestre lo que se desea ver (graficas top de consumo de BW, de
hits de páginas y servidores más visitados, intentos de loggeo por usuarios no autorizados,
etc.). Este punto lleva un desarrollo ingenieril muy importante ya que se hace necesario
conocer el funcionamiento en capa 2 (enlace de datos) y 3 (red) del modelo OSI, de toda la
red, saber cómo se comunican y como se interpretan los diferentes dispositivos y
adicionalmente conocer, analizar y desarrollar dentro del software las políticas y algoritmos
de correlación de eventos y métricas de riesgos necesarias para que la herramienta sea
funcional dentro de una operación de seguridad gestionada.
Ilustración 17. Menú del software AlienVault
Fuente: www.alienvault.com
Menú del software AlienVault, se debe conocer y aplicar todas las funcionalidades del menú.
Realizar monitoreo, recolección de datos y efectividad de las políticas de correlación de
eventos y métricas de riesgos.
51
3.5 DISEÑAR LA HERRAMIENTA DE EVALUACIÓN ECONÓMICA DE LOS RESULTADOS DE
LA PRUEBA PILOTO COMPARADOS CON LAS HERRAMIENTAS EXISTENTES.
Diseño de la herramienta de evaluación económica que debe ser aprobado por el área técnica de
la empresa y la dirección del proyecto
Tabla 3. Comparativo del valor de adquisición de la herramientas Vs. evaluación técnica.
Herramientas
GroundWork:Nagios
Valor del aplicativo
Soporte tecnico Actualizaciones
Total
Evaluacion Tecnica
OpManager
Firewall Analyzer 7
FortiAnalyzer 1000 B
FortiAnalyzer 400 B
Aplications Manager
Alienvault
Fuente: consolidación del equipo de trabajo
3.6 REALIZAR LA EVALUACIÓN ECONÓMICA.
Se busca demostrar los beneficios económicos que trae la implementación de la herramienta
reduciendo los costos operacionales, se realizará un análisis costo- beneficio.
3.7 REALIZAR CONCLUSIONES Y RECOMENDACIONES, SI FURA PERTINENTE DE USO DE
LA HERRAMIENTAS.
Se plantearán los resultados obtenidos debidamente justificados y referenciados.
3.8 PROPONES UN PLAN DE IMPLEMENTACIÓN DE LA HERRAMIENTA SI FUERA POSITIVA
LA EVALUACIÓN.
Se propondrá la realización de un pan de implementación en donde se especifique técnicamente
los requerimientos que son necesarios para su desarrollo para luego integrar el sistema de
monitoreo en una infraestructura real, si los resultados de la evaluación fueran positivos. Esta
información saldrá de las etapas previas.
52
3.9 ENTREGABLE.
Documento técnico que contiene todos los ítems planteados en el objetivo genera y los específicos
(incluye una evaluación técnica). Incluye los anexos.
El trabajo se realizará sobre un piloto, con la utilización de una licencia de tiempo limitado, y se
realizará la integración en el Data Center de Telefónica Telecom ya que se necesita tener una
infraestructura real y operativa para realizar pruebas en tiempo, con eventos y riesgos reales.
3.10 ENFOQUE DE LA INVESTIGACIÓN.
El desarrollo de este tipo de proyectos y la vinculación directa de estudiantes en el área de
Electrónica a ellos, propone una visión general de las tecnologías actuales y la sociedad, e invita a
los estudiantes a afianzar no sólo los conocimientos adquiridos durante su preparación académica,
sino también a cumplir con uno de los objetivos de la ingeniería “Mejorar procesos productivos”.
Por lo cual este proyecto pretende realizar un análisis y un estudio de caso analítico y proponer e
implementar de forma empírica un nuevo desarrollo tecnológico en un entorno productivo y de
realidad nacional que permita obtener conclusiones reales y medibles.
Enfoque de la Investigación: Empírico – Analítica
53
4. LÍNEA DE INVESTIGACIÓN DE USB / SUB-LÍNEA DE FACULTAD / CAMPO TEMÁTICO DEL
PROGRAMA.
La línea de investigación de la Universidad es Tecnologías actuales y sociedad.
La sub-línea de la facultad de ingeniería es Sistemas de Información y comunicación, y el campo
del programa Ingeniería Electrónica es: Comunicaciones
54
5. DESARROLLO INGENIERIL
5.1 ANÁLISIS DE LAS HERRAMIENTAS ACTUALES DE MONITOREO UTILIZADAS EN LA
PLATAFORMA TECNOLÓGICA DE TELEFÓNICA TELECOM.
En conjunto con el área técnica de la empresa se construyó una tabla comparativa de las 6
herramientas de seguridad usadas actualmente. Determinando los resultados obtenidos hasta la
fecha.
Tabla 4. Comparación de las 6 herramientas usadas actualmente en la plataforma tecnología de
Telefónica - Telecom.
Variables
Software
Hardware
Monitoreo de la
disponibilidad y
desempeño de
redes
Monitoreo del
Trafico de redes
Gestion de
enrutadores
Monitoreo de
Servidores
Monitoreo de la
infraestructura TI
Monitoreo de la
Infraestructuras
de otros
dispositivos
Alertas
Evita alertas
falsas
Representacion
grafica a tiempo
real de redes
Genera reportes
integrales de
redes
Administracion
de servicios
Monitoreo de la
web
Correlacion de
eventos
Identifica
patrones de
ataque
Extienda el
poder de la
herramienta
Costo
GroundWork:
OpManager
Nagios
x
x
x
x
x
x
Herramientas de monitoreo
Firewall FortiAnalyzer FortiAnalyzer Aplications
Analyzer 7
1000 B
400 B
Manager
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Fuente: consolidación del equipo de trabajo
55
x
x
x
x
x
x
x
x
x
x
x
x
A continuación se describe cada una de las herramientas anteriormente nombradas desde la parte
operativa y técnica:
Nagios en la Operación:
Se maneja una vista de la herramienta que permite visualizar la disponibilidad de los equipos allí
configurados, ver tabla 2.
Tabla 5. Equipos y servicios monitoreados Actualmente por Nagios en la plataforma tecnología de
Telefónica - Telecom.
Equipo
Monitoreo
Protocolo
Servidores Windows
Disponibilidad (Ping)
ICMP
Tiempo de Disponibilidad
SNMP
Consumo de CPU
SNMP
Utilización de Disco
SNMP
Utilización de Memoria
SNMP
Procesos del Servidor
SNMP
Disponibilidad (Ping)
ICMP
Tiempo de Disponibilidad
SNMP
Consumo de CPU
SNMP
Utilización de Disco
SNMP
Utilización de Memoria
SNMP
Particiones
SNMP
SSH
SSH
Servidor Proxy
Disponibilidad (Ping)
ICMP
Servidor de Correo
Protocolo POP3
POP3
Protocolo SMTP
SMTP
Disponibilidad (Ping)
ICMP
Navegación
ICMP
Disponibilidad (Ping)
ICMP
Humedad
SNMP
Temperatura
SNMP
Switch SAN
Disponibilidad (Ping)
ICMP
Cx
Disponibilidad (Ping)
ICMP
Firewall
Disponibilidad (Ping)
ICMP
Firewall CORE
Disponibilidad (Ping)
ICMP
Consumo de CPU
SNMP
Utilización de Memoria
SNMP
Disponibilidad (Ping)
ICMP
Consumo de CPU
SNMP
Utilización de Memoria
SNMP
Servidores Unix
BlueCoat
Aires Acondicionados
FW - HSRP
56
IRONPORT
Disponibilidad (Ping)
ICMP
Ironport CONN IN
SNMP
Ironport CONN OUT
SNMP
Ironport MSGSXHOUR
SNMP
Ironport MSGS IN QUARANTINE
SNMP
Ironport STATUS
SNMP
Ironport WORKQUEQUE
SNMP
Consumo de CPU
SNMP
Utilización de Disco
SNMP
Utilización de Memoria
SNMP
Modelador de Tráfico
Disponibilidad (Ping)
ICMP
Router
Disponibilidad (Ping)
ICMP
SCE
Disponibilidad (Ping)
ICMP
Librería SL 500
Disponibilidad (Ping)
ICMP
Switch LAN
Disponibilidad (Ping)
ICMP
UPS
Disponibilidad (Ping)
ICMP
Batería (Voltaje DC)
SNMP
Voltaje Entrada (Voltaje AC)
SNMP
Voltaje Salida (Voltaje AC)
SNMP
Protocolo HTTP
HTTP
Dominios Web
Fuente: consolidación del equipo de trabajo.
Esta herramienta reporta principalmente si los equipos monitoreados se encuentran respondiendo
a ping y si la comunicación hacia ellos presenta tiempos altos de respuesta. En cuanto a equipos
como servidores se monitorea estado de CPU y Memoria, en este caso se configuran unos
umbrales de espacio y utilización de CPU, cuando estos umbrales son superados se genera una
alarma.
La mayoría de equipos monitoreados aquí se monitorean apuntando a la IP Pública.
Ilustración 18. Monitoreo de Servicios por Nagios
Fuente: pantallazo de la interfaz de Nagios.
Ilustración 19. Monitoreo de Temperatura y Humedad en un Aire Acondicionado
Fuente: pantallazo de la interfaz de Nagios.
57
Ilustración 20. Monitoreo de Ping a un equipo por Nagios – Mensaje 0 y 8
Fuente: pantallazo de la interfaz de Nagios.
Ilustración 21. Monitoreo de Ping a un equipo por Nagios – Mensaje 11
Fuente: pantallazo de la interfaz de Nagios.
Operación de Monitoreo y Pruebas de Primer Nivel:
Se monitorean los equipos 7*24 y al momento de presentarse una alarma se realiza pruebas para
asegurar que la falla es real y conocer donde radica el problema.
Alarma en Firewalls ubicados en casa de Cliente: Se realiza una prueba de conectividad
hacia el equipo, se tiene un archivo con las trazas de los clientes y su topología, se
realizan pruebas de ping y tracert al firewall y al router del cliente, de allí se deduce si el
problema es del equipo o de canal.
De deducir que el problema se debe a la conectividad se escalará el tema al área
encargada de la administración de los canales de comunicación para que se realice una
revisión a fondo, de lo contrario se debe revisar en las demás herramientas de monitoreo si
se presentan logs de la incidencia.
Se deben descartar fallas eléctricas en la sede y/o posible apagado programado de los
equipos.
Alarma en Firewall ubicados en las instalaciones de Telefónica Telecom: Se realizan
las mismas pruebas de conectividad, se revisan en las demás herramientas de monitoreo
si existen más equipos alarmas y/o logs de equipos que puedan indicar que es una falla
masiva.
Se debe verificar el estado físico del equipo.
Alarma en Servidores por espacio en Disco y umbrales superados en el uso de
memoria, cpu y disco: Se ingresa al equipo y se revisa la cantidad de espacio disponible,
se realiza un proceso de depuración de logs y archivos y se monitorea el estado del
mismo.
Alarma en Servidores Proxy o Equipos BlueCoat: Se realizan pruebas de conectividad y
se revisan los logs y alarmas en las demás herramientas de monitoreo. Se debe realizar
un cheklist de tiempos de carga para el servidor proxy afectado y concluir si es una falla
real o un falso positivo.
Se debe verificar el estado físico del equipo.
Alarmas por disponibilidad (ICMP: Pérdida de Paquetes al 100%): Se debe realizar una
validación física del equipo, si esta encendido y reporta alarmas, se debe revisar así mismo
las demás herramientas de monitoreo para encontrar relación de las alarmas reportadas
allí.
58
Se debe validar si la alarma se presenta efectivamente por que el equipo no se encuentra
operativo o existe una falla en el enlace de comunicación.
Alarma por Temperatura, Humedad, Voltaje o Ping a un equipo de Infraestructura: Se
debe validar físicamente el estado del equipo.
OpManager en la Operación:
Esta herramienta de monitoreo se utiliza principalmente para monitorear equipos de seguridad.
Se tienen dos OpManager:
OpManager. 11 – Monitoreo de Equipos de Cliente, ver tabla 3.
OpManager .12 – Monitoreo Infraestructura del Data Center, ver tabla 4.
Tabla 6. Equipos monitoreados Actualmente por OpManager. 11 en la plataforma tecnología de
Telefónica - Telecom.
Equipo
Monitoreo
Protocolo
IPS
Disponibilidad
ICMP
Tiempo de Respuesta
ICMP
Pérdida de Paquetes
ICMP
Utilización de CPU
SNMP
Utilización de Memoria
SNMP
Utilización de Disco
SNMP
Interfaz - Tráfico Recepción
SNMP
Interfaz - Tráfico Transmisión
SNMP
Interfaz - Errores y Descartes
SNMP
Interfaz - Total bytes Transferidos
SNMP
Interfaz - Paquetes por segundo
SNMP
Disponibilidad
ICMP
Switch SAN
Firewall
Tiempo de Respuesta
ICMP
Interfaz - Tráfico Recepción
SNMP
Interfaz - Tráfico Transmisión
SNMP
Interfaz - Errores y Descartes
SNMP
Interfaz - Total bytes Transferidos
SNMP
Interfaz - Paquetes por segundo
SNMP
Disponibilidad
ICMP
Tiempo de Respuesta
ICMP
Pérdida de Paquetes
ICMP
Utilización de CPU
SNMP
Utilización de Memoria
SNMP
59
Balanceador
Carga
Utilización de Disco
SNMP
Conexiones Activas
SNMP
Sesiones Activas
SNMP
Interfaz - Tráfico Recepción
SNMP
Interfaz - Tráfico Transmisión
SNMP
Interfaz - Errores y Descartes
SNMP
Interfaz - Total bytes Transferidos
SNMP
Interfaz - Paquetes por segundo
SNMP
Disponibilidad
ICMP
Tiempo de Respuesta
ICMP
Pérdida de Paquetes
ICMP
Utilización de CPU
SNMP
Utilización de Memoria
SNMP
Utilización de Disco
SNMP
Conexiones Activas
SNMP
Sesiones Activas
SNMP
Interfaz - Tráfico Recepción
SNMP
Interfaz - Tráfico Transmisión
SNMP
Interfaz - Errores y Descartes
SNMP
Interfaz - Total bytes Transferidos
SNMP
Interfaz - Paquetes por segundo
SNMP
de
Fuente: consolidación del equipo de trabajo.
Tabla 7. Equipos monitoreados Actualmente por OpManager. 12 en la plataforma tecnología de
Telefónica - Telecom.
Equipo
Monitoreo
Protocolo
Switch LAN
Disponibilidad
ICMP
Tiempo de Respuesta
ICMP
Pérdida de Paquetes
ICMP
Utilización de CPU
SNMP
Utilización de Memoria
SNMP
Utilización de Disco
SNMP
Interfaz - Tráfico Recepción
SNMP
Interfaz - Tráfico Transmisión
SNMP
Interfaz - Errores y Descartes
SNMP
Interfaz - Total bytes Transferidos
SNMP
Interfaz - Paquetes por segundo
SNMP
Disponibilidad
ICMP
Tiempo de Respuesta
ICMP
Switch SAN
60
Router
Balanceadores
Carga
UPS
Aire Acondicionado
Interfaz - Tráfico Recepción
SNMP
Interfaz - Tráfico Transmisión
SNMP
Interfaz - Errores y Descartes
SNMP
Interfaz - Total bytes Transferidos
SNMP
Interfaz - Paquetes por segundo
SNMP
Disponibilidad
ICMP
Tiempo de Respuesta
ICMP
Pérdida de Paquetes
ICMP
Utilización de CPU
SNMP
Utilización de Memoria
SNMP
Temperatura
SNMP
Accesos al Buffer
SNMP
Pérdidas de Buffer
SNMP
Fallas de Buffer
SNMP
Interfaz - Tráfico Recepción
SNMP
Interfaz - Tráfico Transmisión
SNMP
Interfaz - Errores y Descartes
SNMP
Interfaz - Total bytes Transferidos
SNMP
Interfaz - Paquetes por segundo
SNMP
Disponibilidad
ICMP
Tiempo de Respuesta
ICMP
Pérdida de Paquetes
ICMP
Interfaz - Tráfico Recepción
SNMP
Interfaz - Tráfico Transmisión
SNMP
Interfaz - Errores y Descartes
SNMP
Interfaz - Total bytes Transferidos
SNMP
Interfaz - Paquetes por segundo
SNMP
Disponibilidad
ICMP
Tiempo de Respuesta
ICMP
Pérdida de Paquetes
ICMP
Carga de la UPS
SNMP
Estado de la UPS
SNMP
Interfaz - Tráfico Recepción
SNMP
Interfaz - Tráfico Transmisión
SNMP
Interfaz - Errores y Descartes
SNMP
Interfaz - Total bytes Transferidos
SNMP
Interfaz - Paquetes por segundo
SNMP
Disponibilidad
ICMP
Tiempo de Respuesta
ICMP
de
61
Pérdida de Paquetes
ICMP
Estado de los Aires Acondicionados
SNMP
Fuente: consolidación del equipo de trabajo.
Se monitorea la disponibilidad de los equipos y se configuran los umbrales de espacio en disco,
utilización de memoria y tráfico para las interfaces.
Alarmas de Disponibilidad: Los equipos registrados en el OpManager se monitorean
levantando una VPN, por lo cual la primera validación a realizar es comprobar si el equipo
reporta alarma de indisponibilidad en Nagios (Ip Pública) si en Nagios no se reporta la
indisponibilidad, se realizan pruebas de Ping y se verifica que sea la VPN la que esta
generando indisponibilidad.
Si se valida y en Nagios también existe la misma alarma de indisponibilidad se realizan las
pruebas mencionadas anteriormente para validar si el problema es del equipo o es una
falla en el canal de comunicaciones.
Ilustración 22. Mensaje por Indisponibilidad de Equipos, OpManager
Fuente: pantallazo de la interfaz de OpManager.
Alarmas por Tráfico: Se debe revisar el umbral por el que está alarmada la interface y el
umbral configurado, se hace seguimiento y si se encuentra que este tráfico no es constante
y esta en aumento se procede a escalar, de lo contrario si ese aumento de trafico es
constante se revisa la actividad que se esta ejecutando y la periodicidad de las alarmas,
por lo general estas alarmas corresponden a los horarios de Backups de algunos
servidores.
Ilustración 23. Mensaje por Alto consumo de tráfico en una Interface, OpManager
Fuente: pantallazo de la interfaz de OpManager.
Alarmas por indisponibilidad de Interfaces:
Ilustración 24. Mensaje por Disponibilidad de Interface, OpManager
62
Fuente: pantallazo de la interfaz de OpManager.
Mensaje: “Interfaz XX Está activo”: significa que se presenta una desconexión física en la
interfaz señalada.
Cuándo la se hace un shutdown de la interfaz el mensaje que aparece es “Interfaz XX Está
apagada”.
Es necesario entonces confirmar porqué se presentó esta desconexión física y si es normal
que ya no haya nada conectado a ese puerto.
Se debe ingresar al Switch que reporta la interface alarmada y revisar el estado de la
misma desde el Switch para descartar un falso positivo, revisar el log de eventos del mismo
y verificar que no se esté presentando intermitencia en la misma.
Cuando se confirme esto se debe colocar la interfaz en su estado por defecto (sin
descripciones ni VLANs) y hacer un shutdown de la misma. Posterior a esto se puede
proceder a borrar las alarmas generadas por estas acciones.
Si la alarma es repetitiva y se detecta intermitencia en la interface se debe escalar y/o
revisar conjuntamente con el administrador del equipo al que va conectado esa interface
para descartar fallas de software y/o físicas.
Alarmas por CPU, Memoria y/o Disco: Se debe ingresar al equipo que reporta la alarma
y revisar el rendimiento del mismo.
El uso de Nagios y OpManager se complementan en la operación, para realizar pruebas de
falsos positivos y/o detectar posibles fallas e incidentes de forma mas rápida, sin embargo
es necesario realizar validaciones por separado lo que genera perdida de tiempo al
momento de escalar incidentes graves.
63
Ilustración 25. Reporte de estado de CPU y Memoria, OpManager
Fuente: pantallazo de la interfaz de OpManager.
FortiAnalyzer en la operación:
Se tienen dos FortiAnalyzer, uno para cada segmento de negocios estructurado en Telefónica
Telecom (FortiAnalyzer 1000B – Segmento Empresas y FortiAnalyzer 400B – Segmento
Negocios), esta diferenciación se hace basándose en los ingresos generados por cada segmento.
FortiAnalyzer 1000B – Segmento Empresas:
Se tienen 10 clientes registrados allí, se utiliza principalmente para la generación de Reportes de
Seguridad Gestionada, se descargan dichos informes y se envían al cliente mensualmente.
FortiAnalyzer 400B – Segmento Negocios:
Se tienen 28 clientes registrados allí, se utiliza principalmente para la generación de Reportes de
Seguridad Gestionada, se descargan dichos informes y se envían al cliente mensualmente.
Reportes Generados: Se genera una platilla con la información más relevante para el cliente:
1. Performance y Rendimiento del Equipo:
Gráfica de Utilización de CPU.
Grafica de Utilización de Memoria.
Gráfica de Sesiones Activas vs Tiempo.
2. Reporte de Tráfico: Muestra las estadísticas de tráfico entrante y saliente que fue
registrado por el firewall detallando el top por principales orígenes, destinos y principales
servicios.
Tabla Top por tráfico: Fuente - Destino (Usuario - Ip Destino – Tráfico en MB – Tráfico
en Porcentaje).
Tabla Top por tráfico: Destino – Fuente (Destino – Usuario Origen – Tráfico en MB –
Tráfico en Porcentaje).
64
Tabla Top Servicios (Servicio o puerto – Tráfico en MB – Tráfico en Porcentaje).
3. Reporte de Seguridad: Muestra las estadísticas del top de políticas más usadas por
número de sesiones de Firewall al igual que el top de los orígenes, destinos y servicios que
más denegaciones han tenido.
Tabla Top de Políticas Utilizadas (Número ID de la política – Eventos (utilización) –
Porcentaje).
Gráfica Top de Políticas Utilizadas.
Tabla Top de Fuentes Denegadas (Fuentes con mas intentos de violación de políticas
de seguridad) (Dispositivo – Usuario/Fuente – Evento (utilización) – Porcentaje).
Tabla Top de Destinos Denegados (Destinos con mas intentos de violación de políticas
de seguridad) (Dispositivo –Destino – Evento (utilización) – Porcentaje).
Tabla Top de Servicios Denegados (Servicios de Internet con mas intento de violación
de políticas de seguridad) (Servicio – Evento (utilización) – Porcentaje).
Gráfica Top de Servicios Denegados.
4. Reporte de Filtrado de Contenido Web: Se muestran las estadísticas generales de los
principales sitios web permitidos y bloqueados según las configuraciones de Web Filtre.
Tabla Top de Sitios Web Permitidos (Destino – Evento (utilización) – Porcentaje).
Gráfica Top de Sitios Web Permitidos.
Tabla Top de Sitios Web Denegados (Destino – Evento (utilización) – Porcentaje).
Gráfica Top de Sitios Web Denegados.
Tabla Top de Categorías Web Permitidas (Grupo - Categoría – Evento (utilización) –
Porcentaje).
Gráfica Top de Categorías Web Permitidas.
Tabla Top de Categorías Web Denegadas (Grupo - Categoría – Evento (utilización) –
Porcentaje).
Gráfica Top de Categorías Web Denegadas.
Top de Usuarios Web Bloqueados
Porcentaje).
(Usuario /Fuente - Evento (utilización) –
Gráfica Top de Usuarios Web Bloqueados.
5. Reporte de Mensajes Instantáneos: Se muestran las estadísticas de los usuarios de
mensajería instantánea local con el mayor volumen de tráfico.
65
Tabla Top de Fuentes de mayor tráfico por utilización de IM (Usuario / Fuente – Tráfico
Kb – Porcentaje).
Gráfico Top de Fuentes de mayor tráfico por utilización de IM.
Tabla Top de Destinos de mayor tráfico por utilización de IM (Destino – Tráfico Kb –
Porcentaje).
Gráfico Top de Destinos de mayor tráfico por utilización de IM.
Tabla Top de usuarios IM bloqueados por protocolo (Aplicación – Fuente – Eventos –
Porcentaje).
Gráfica Top de usuarios IM bloqueados por protocolo.
6. Reporte de Control de Aplicaciones: Utilización y reporte de aplicaciones permitidas.
Tabla Top de Aplicaciones Permitidas (Aplicación – Eventos (utilización) – Porcentaje).
Gráfica Top de Aplicaciones Permitidas.
Tabla Top de Aplicaciones Bloqueadas (Aplicación – Eventos (utilización) –
Porcentaje).
Gráfica Top de Aplicaciones Bloqueadas.
Otra de las utilizaciones que se le da al FortiAnalyzer es la revisión de vulnerabilidades allí
reportadas, para casos y/o solicitudes específicas.
Applications Manager en la Operación:
Se tienen configurados cinco Aplications Manager para el control y monitoreo de servidores, bases
de datos, URL y aplicaciones propias de los servicios de Hosting Dedicado Linux, Windows y
Almacenamiento y Backup.
Se tiene una distribución específica para cada uno permitiendo así la rápida identificación del
incidente reportado:
Appm 1: Se utiliza para el monitoreo de un solo cliente, relacionando allí servidores, URLs
y demás servicios.
Appm2: Monitoreo de Servidores Windows y Bases de datos.
Appm3: Monitoreo de Servidores Linux y Solaris.
Appm 4: Monitoreo de Servidores que soportan la infraestructura de Monitoreo, Bases de
Datos ORACLE.
Appm5: Monitoreo de URLs.
66
Applications Manager reporta principalmente indisponibilidad de equipos y servicios. En el caso de
los servidores, también es posible monitorear estado de CPU, Memoria y Disco.
Cada vez que se reporte una nueva alarma, se realizan las pruebas ya mencionadas, que permiten
conocer la veracidad de la misma. Adicionalmente y debido al enfoque que se tiene de esta
herramienta (Monitorización de Plataformas y Servicios de Almacenamiento), se debe validar el
estado físico de los equipos y el rendimiento de los mismos con los administradores del sistema.
67
5.2 INTEGRACION DEL SOFTWARE Y HARDWARE DE LA HERRAMIENTA DE MONITOREO
ALIENVAULT A LA PLATAFORMA TECNOLÓGICA DE TELEFÓNICA TELECOM.
5.2.1 Especificaciones técnicas del hardware donde se instalara la herramienta de
monitoreo.
5.2.1.1 Servidor HP Proliant DL 385 g6- Referencia 575045-071
43
Ilustración 26. Servidor Físicamente: Parte Frontal
Fuente:http://bizsupport2.austin.hp.com/bc/docs/support/SupportManual/c01759024/c01759024.pdf
Ilustración 27. Servidor Físicamente: Parte Posterior.
Fuente:http://bizsupport2.austin.hp.com/bc/docs/support/SupportManual/c01759024/c01759024.pdf
43
Guía
de
usuario,
Disponible
http://bizsupport2.austin.hp.com/bc/docs/support/SupportManual/c01759024/c01759024.pdf , Noviembre 22 del 2011.
68
en:
Puertos Posteriores:
Ranura PCI: Es también conocida como ranura de expansión, permite conectar a ésta
una tarjeta adicional o de expansión, la cual suele realizar funciones de control de
dispositivos periféricos adicionales.
Conector iLO: Esta ranura nos permite conectarnos al servidor utilizando la tecnología iLO
mediante la red de área local, y sin la necesidad de tener un KVM (infraestructura de
virtualización en Linux). Nos permite conectar directamente el servidor switch y asignarle
una dirección IP a este adaptador, permitiéndonos que desde cualquier PC se pueda
acceder al servidor de forma local.
Conector NIC: también conocido como conector RJ45 para realizar las conexiones de red
del servidor.
El servidor donde se va a instalar la herramienta cuenta con 5 Discos SATA físicos de 160
GB cada uno.
Referencia de los Discos: SATA MD (160 GB) – SPARE 530932-001
44
5.2.1.2 Disco Duro HP SATA 160GB. SATA (acrónimo de Serial Advanced Technology
Attachment) Es un sistema controlador de discos que proporciona mayor velocidad, mejora el
rendimiento si hay varios discos rígidos conectados y permite conectar discos cuando el servidor
está encendido (conexión en caliente). Su conexión es una conexión en serie, que crea una
conexión punto a punto entre dos dispositivos.
Ilustración 28. Disco Duro HP SATA 160GB
Fuente: http://www.itpros.pe/tienda/discos-duros-hp/328-disco-duro-hp-sata-160gb.html
Una de las características principales de estos servidores es la posibilidad de configurar arreglos
de discos, en este caso como se necesita tener el mayor espacio posible en Disco se configurara
RAID 5.
RAID (Conjunto Redundante de Discos Independientes): Este es un sistema de
almacenamiento que utiliza discos duros para crear un arreglo lógico único con gran
capacidad. Físicamente esta compuesto por varios discos pero lógicamente el servidor lo
ve como uno o varios discos dependiendo la configuración asignada (RAID 0 – 5).
44
Ibíd.
69
Los beneficios de realizar este tipo de arreglos con respecto a manejar un solo disco físico
es la tolerancia a fallos que ofrece al servicio instalado en el servidor, y mayor rendimiento
al crear volúmenes de gran capacidad y velocidad.
RAID 0 (volumen dividido): Permite repartir la información en los discos configurados en el
arreglo de forma equitativa, no ofrece redundancia pero aumenta la velocidad de trabajo en
el servidor.
RAID 1 (Copia exacta o Espejo): Se realiza una copia exacta de los datos en uno o más
discos este tipo de arreglos da redundancia de datos ya que la probabilidad de que los
dos discos fallen al tiempo es mínima, adicionalmente aumenta la velocidad de lectura de
los datos, ya que mientras se lee parte de la información en uno la otra parte se lee en el
disco espejo.
RAID 2: Este arreglo divide los datos en bits y no en bloques como los demás arreglos, lo
que permite realizar detección y corrección de errores, este tipo de arreglos no se
implementan actualmente ya que sería necesario utilizar como mínimo un arreglo de 39
discos físicos.
RAID 3: Realiza un división a nivel de bytes y utiliza uno de los discos como disco de
paridad dedicado, este tipo de arreglos no se usa en la vida práctica ya que no puede
atender varias peticiones al tiempo ya que para operar necesita que todos los discos
trabajen, generando congestión en el servidor (cuellos de botella), este arreglo se
configura como discos paralelos pero no independientes por lo que no permite realizar
operaciones por separado.
RAID 4: Este arreglo es igual que el RAID 3 con la única diferencia que se divide a nivel de
bloques y no de bytes.
RAID 5: Realiza división a nivel de bloques, distribuye la información de paridad y los
datos en todos los discos que hace parte del arreglo, para realizar esta implementación se
necesitan como mínimo tres discos duros físicos, sin embargo si se implementa con un
total de 3 discos se corre el riesgo de que con el fallo definitivo de un disco se pierda la
totalidad de la información.
5.2.2 Preparación e Instalación del equipo donde se instalará la herramienta de monitoreo.
Datos Técnicos del Equipo:
Servidor HP Proliant DL 385 g6- Referencia 575045-071
Características del Equipo:
El equipo HP Proliant DL 385 g6 está diseñado para implementaciones medianas y
grandes que requieran capacidad de espacio en disco y memoria, esta especialmente
diseñado para la virtualización pero cubre las especificaciones para proyectos diferentes.
Dimensiones (Ancho x Profundidad x Altura): 44.5 cm x 70 cm x 8.6 cm. Peso. 20.4 kg.
Procesador: 2 x AMD Opteron 2435 / 2.6 GHz (6 núcleos).
Memoria caché: 12 MB L3. Caché por procesador.
70
Memoria RAM: 16 GB (instalados).
Controlador de almacenamiento: RAID (Serial ATA-150 / SAS) - PCI Express x8 (Smart
Array P410).
Memoria de vídeo: 32 MB.
Conexión de redes: Adaptador de red - Ethernet, Fast Ethernet, Gigabit Ethernet - Puertos
Ethernet. : .4 x Gigabit Ethernet.
Ilustración 29. Servidor Físicamente: Parte Frontal
Fuente: http://www.dynos.es/servidor-hp-proliant-dl385-g6-2x-opteron-2435-16gb-ddr2-sin-hd-dvdrw-4gigabit-p410-raid-fuente-redundante-884962073544__570102-421.html
Basados en los análisis realizados anteriormente y como lo que se busca es obtener redundancia
en los datos almacenados en el servidor y buena velocidad de trabajo se decide realizar el arreglo
RAID 5 con 5 Discos físicos, lo que nos permitiría en caso de daño de algunos de los discos
restaurar la información faltante con la que se encuentra disponible en los otros 4.
Ilustración 30. Conjunto Redundante de Discos Independientes
Fuente:
http://bizsupport2.austin.hp.com/bc/docs/support/SupportManual/c01759024/c01759024.pdf
5.2.2.1 Procedimiento para la creación del arreglo. Se enciende el servidor y en el momento que
se encuentra cargando la configuración de la tarjeta madre se debe ingresas a la utilidad ORCA del
servidor y desde allí configurar el arreglo, para ingresar se pulsa la tecla F8, allí aparecerá el menú
principal.
En el caso de esta implementación el servidor ya tenia un arreglo previamente definido por lo cual
se debió eliminar las particiones ya creadas, se da en la opción “Delete Logical Drive” , allí se
solicita confirmación de eliminación a la cual se pulsa “enter” y queda el servidor como se
encontraba originalmente, es decir con 5 discos físicos separados.
Se procede a seleccionar la opción “Create New” donde nos solicita seleccionar los discos a utilizar
y el arreglo que se desea crear “RAID 5”, damos “enter” y el arreglo queda configurado.
71
El servidor queda con las siguientes características:
Arreglo Lógico: 596 GB
RAM: 8GB
5.2.2.2 Instalación del software AlienVault. Se desea instalar el software de AlienVault, en este
caso se instalará AlienVault Professional SIEM (Versión 3.0, después de la instalación se realiza
una actualización en línea a la versión 3.1) se va a trabajar con una licencia temporal.
Se puede trabajar con la versión gratis que ofrece OSSIM, sin embargo en este caso debido a las
utilidades que ofrece la versión profesional se utilizará esta.
Se inserta el cd en la unidad lectora del servidor y se le solicita al equipo iniciar desde el cd, se
sigue el proceso de instalación, en este caso se realizara la instalación personalizada:
Ilustración 31. Vista instalación personalizada
Fuente: http://www.alienvault.com/docs/Installation_Guide.pdf
Para continuar la instalación se deben seguir los siguientes pasos:
1. Seleccionar el idioma, y la ciudad.
2. Seleccionar el perfil de configuración del equipo, existen 4 diferentes perfiles, es posible
que en un solo equipo se tengan las cuatro funcionalidades, en este caso se configurara
este servidor solamente como SERVER y FRAMEWORK.
Descripción de los perfiles:
Servidor: Esta configuración permite combinar los componentes SIEM y Logger, el
SIEM esta encargado de procesar todos los eventos recolectados por los sensores y el
Logger firma los eventos, permitiendo que estos puedan ser leído en texto plano.
72
Sensor: Se encarga de la recolección y normalización de eventos. En el caso de esta
implementación el sensor esta configurado en otro equipo dentro de la red.
Framework: Permite configurar la interface de gestión web, este perfil utiliza pocos
recursos de maquina por lo cual se recomienda instalar en el mismo perfil “Servidor”.
Base de Datos: Se encarga de almacenar eventos, inventarios y configuraciones del
sistema. En el caso de esta implementación la Base de Datos se encuentra
configurada en otro equipo (Base de Batos SQL).
Ilustración 32. Perfil del equipo a instalar
Fuente: http://www.alienvault.com/docs/Installation_Guide.pdf
3. Se realiza la configuración de red con los siguientes datos:
Dirección IP: 172.29.51.25
Puerta de enlace (gateway): 172.29.51.254
DNS: Se configuran las DNS establecidos para Telefónica Telecom.
Hostname (Nombre del Host): CT1ALVSEGURSRV001
Dirección Ip de la Base de Datos: 172.29.51.26
Contraseña de la Base Datos.
4. Se configura la zona horaria.
73
5. Se debe seleccionar la partición de disco que se desea utilizar para la instalación, en este
caso y como se explico anteriormente se desea utilizar todos los recursos de disco
disponibles, por ello se escoge la opción “use entire disk”
Ilustración 33. Vista de la opción “use entire disk”
Fuente: http://www.alienvault.com/docs/Installation_Guide.pdf
6. Se configura la VPN que encriptara la comunicación entre los diferentes componentes de la
solución de AlienVault.
5.2.3 Configuración final del equipo CT1ALVSEGURSRV001 (172.29.51.25):
Ilustración 34. Pag. 1 configuración final del equipo
Fuente: pantallazo de la configuración final del equipo.
74
Ilustración 35. Pag. 2 configuración final del equipo
Fuente: pantallazo de la configuración final del equipo
Ilustración 36. Pag. 3 configuración final del equipo
Fuente: pantallazo de la configuración final del equipo
75
Ilustración 37. Pag. 4 configuración final del equipo
Fuente: pantallazo de la configuración final del equipo
Ilustración 38. Pag. 5 configuración final del equipo
Fuente: pantallazo de la configuración final del equipo
76
Ilustración 39. Pag. 6 configuración final del equipo
Fuente: pantallazo de la configuración final del equipo
Se puede gestionar el equipo por la interfaz web configurada:
Ilustración 40. Ventana final para ingresar a la herramienta de monitoreo
Fuente: pantallazo de la configuración final del equipo
5.2.4 Instalación del Sensor AlienVault: Los sensores son los encargados analizar el tráfico que
cursa por la red en tiempo real, recolecta los datos enviados por los dispositivos que conforman la
red (realiza tareas de IDS, Escáner de Vulnerabilidades, detección de anormalidades, monitoreo
77
de red, recolección de datos de routers, firewalls, etc.) y los normaliza para luego enviarlos al
servidor (SIEM quien se encargará de realizar la clasificación y correlación de eventos).
Estos se encuentran instalados en servidores Linux, puntualmente en el caso del piloto estudiado
se encuentra en un servidor físico con la misma versión de Linux que se ha instalado para el SIEM,
para realizar la conexión entre el sensor y el servidor OSSIM debemos habilitar la comunicación
por los puertos ya establecidos:
Puerto 40001 – Puerto al que está conectado el servidor OSSIM (SIEM).
Puerto 3306 – Puerto al que se encuentra conectado con la Base de Datos para atender las
solicitudes hechas por el servidor OSSIM
Para poder normalizar la información recibida, el sensor utiliza plugins (serie de expresiones
regulares que permiten identificar y describir un evento), todos los datos recolectados deben estar
en un mismos formato para que al ser enviados al servidor este pueda clasificarlos, analizarlos y
correlacionarlos de la misma forma, para ello es necesario que cada herramienta utilizada en la red
tenga su respectivo plugin configurado en OSSIM; existen dos tipos de plugin:
Detectores: encargados de leer los logs creados por las diferentes herramientas y
estandarizarlos para que el agente pueda enviarlos al servidor.
o
Ejemplos típicos de plugins detectores son Snort, p0f, Arpwatch, Pads, etc.
Monitores: reciben pedidos del servidor OSSIM y los envían a la herramienta
correspondiente, obtienen la respuesta y le avisan al servidor si la herramienta acepta lo
que se le pide. Ejemplos de monitores son el Nmap y tcptrack.
Por lo general los plugins utilizados son de tipo detector, los monitores se utilizan para información
muy específica y detallada que sea requerida.
Proceso de funcionamiento: Detectores:
1. El dispositivo a monitorear genera un evento y lo envía mediante protocolo (Syslog ó
SNMP) al sensor.
2. El sensor lo recibe por el puerto 514 UDP si es Syslog o 161UDP si es SNMP.
3. La información recibida es almacenada en una ruta ya definida para el almacenamiento de
eventos en el directorio etc. (en nuestro caso y para tenas de organización se ha decidido
crear un fichero nuevo para el almacenamiento de los logs dependiendo del equipo que
envía los logs: CISCO, Fortinet, CheckPoint, etc.)se crean dos archivos, un archivo .conf y
u archivo sql.
4. El plugin de cada dispositivo leerá los datos recolectados en el archivo .conf.
5. Se normalizan los eventos con respecto a las reglas del plugin y se envía al servidor
OSSIM con dos identificadores: Plugin_Id y Plugin_Sid (estos identificadores se asignan
por el plugin).
Para identificación del sistema y los eventos existen dos identificadores:
Plugin_id: Identificador del Dispositivo específico.
78
Plugin_sid: Identificador del evento que pertenecen a ese plugin.
Estos identificadores nos permiten conocer el origen y descripción de los eventos.
Tipos de eventos: Existen cinco diferentes tipos de eventos:
1. Evento Nuevo: Eventos que nunca antes se habían visto en el servidor OSSIM.
2. Evento “Cambiado”: Son todos aquellos eventos que ya se había visto antes, pero que
ahora llegan al motor de correlación con un nuevo valor en uno de sus campos (Ej:
Cuando un evento se correlaciona utilizando correlación lógica lo que hace es ingresar un
nuevo evento al motor de correlación pero incrementando su valor de riesgo).
3. Evento Eliminado ó Reservado: Eventos que traen información pero alguna de esta
información ha sido reservada solo para el servidor OSSIM.
4. Evento “Igual”: Evento que ya se ha visto en el servidor OSSIM.
5. Evento Desconocido.
Normalización de los eventos:
Todo evento recibido debe ser normalizado para poder ser analizados todos dentro de un mismo
contexto, para ello se utilizan los plugins, que por medio de expresiones regulares toman los datos
interesantes del log y lo llevan a un archivo de texto plano.
Todos los plugins los podemos encontrar en la siguiente ruta del sensor (en nuestro caso se tiene
configurado como sensor el equipo con Ip 172.29.51.26).
/etc/ossim/agent/plugins/
Todos los plugins cuentan con dos archivos:
-Archivo .conf: Este archivo contiene la información del log y de cómo interpretar el mismo.
-Archivo sql: Este archivo contiene el tipo de evento, sirve para crear la estructura en la BD
y construir la tabla de plugin_sid.
5.2.4.1 Lista de plugins por consola, Como se ve un plugin por consola? Cuando se desea
monitorear un nuevo equipo en la red es necesario entonces cargar el plugin del equipo en el
servidor para que este reciba los datos, los normalice y los clasifique, los plugins se pueden crear o
bien se pueden descargar de diferentes páginas web, dado que OSSIM se basa en software libre,
existe gran cantidad de documentación y/o desarrollos del mismo.
En caso de que el fabricante del equipo o algún desarrollador no haya realizado un nuevo plugin
este se puede crear.
79
Ilustración 41. Lista de plugins configurados en el sensor
Fuente: pantallazo de la configuración final del equipo
Ilustración 42. Vista del plugin para equipos Fortinet
Fuente: pantallazo de la configuración final del equipo
80
Ilustración 43. Vista del plugin para equipos Allot
Fuente: pantallazo de la configuración final del equipo
Formas de recolección de información:
Para recolectar los logs de eventos de los diferentes equipos monitoreados en la red, se utilizan
diferentes protocolos como lo son syslog, SNMP entre otros que han sido explicados con
anterioridad en el marco teórico.
El sensor que hace parte de la solución de AlienVault tiene integrada gran cantidad de
herramientas libres, que ayudan a recolectar eventos y así mismo para su análisis y correlación.
Snort: Es un N-IDS (Network – IDS: Sistema detector de intrusos de Red), se encarga de
analizar el tráfico que cursa por la red, los paquetes y su contenido, está en capacidad de
generar alarmas en caso de encontrar patrones sospechosos en el tráfico analizado. Está
en capacidad de detectar e incluso tomar acciones preventivas frente a diferentes ataques,
para ello se configuran reglas con la información que debería contener un paquete
sospechoso (IPs origen, IPs destino, Puertos origen y destino y datos del paquete), estas
reglas se componen por expresiones regulares e incluye un campo con la información de
lo que detecto.
OSSEC: Es un H-IDS (Host-IDS: Sistema detector de intrusos de Host), se encarga de
analizar datos del servidor (host) como logs, registros de Windows, rootkits entre otros y
detectar si el servidor está siendo víctima de un ataque. OSSEC funciona en casi todos los
sistemas operativos y el análisis lo realiza creando reglas en lenguajes XML.
Orisis: Es un H-IDS, al igual que OSSEC se encarga de analizar datos de servidores, pero
lo hace de forma diferente a OSSEC, Osiris toma periódicamente imágenes del servidor
monitoreado, la almacena y la compara con la imagen tomada anteriormente (imagen de
SO donde no se evidenciaron ataques y/o vulnerabilidades explotadas), en caso de
encontrar algún patrón anormal alerta sobre el cambio. Osisris está en capacidad de
monitorear listas de usuarios, de grupos y módulos de kernel.
Nessus: Es un programa de escaneo de vulnerabilidades, escanea los servidores
buscando inicialmente puertos abiertos y enviando un tests de vulnerabilidades a los
servidores, genera informes detallados con las vulnerabilidades encontradas, el nivel del
riesgo y la posible forma de mitigarlas, AlienVault trabaja sobre l aversión free de Nesus
creando sus propios plugins (OpenVAS).
Nagios: Catalogada como una de las herramientas mas complejas y completas para la
monitorización de redes, permite conocer y alertar en caso de presentarse una falla en
81
alguno de los equipos monitoreados, recibe los datos de los plugins, los almacena en una
base de datos y los procesa para ejecutar las acciones que sean necesarias. Actualmente
existen plugins para monitorear varios dispositivos y servicios incluyendo: HTTP, POP3,
IMAP, FTP, SSH, DHCP, Carga de CPU, Uso de Disco, Uso de Memoria, Usuarios
Actuales, Unix/Linux, Windows, y servidores Netwar, Routers y Switch.
La principal función de Nagios es alertar sobre la falla, pero se puede configurara para que
tome acciones ante las posibles alarmas (reinicio de servicios, creación de tickets, entre
otros).
NFSen: Permite generar graficas, estadísticas con relación a los flujos, paquete y bytes
transmitidos por la red.
Ntop: Realiza la misma labor de NFSen con la diferencia que adicionalmente distingue
protocolos de aplicación (HTTP, SNMP, SSH, etc).
Pads (Sistema de Detección Pasiva de Activos): Es un sniffer, mapea la red y detecta
servicios y servidores en ella.
Pof: Al igual que Pads es un sniffer que permite de forma pasiva obtener la “huella
digitales” de los sistema operativos.
Arpwatch: Observa y recolecta en una tabla las direcciones MAC existentes en la red y las
relaciona con su IP, esta herramienta se encarga de generar notificaciones cuando esta
tabla es alterada, permitiendo así detectar posibles intrusos en la red.
-Teptrack: Es un sniffer que se encarga de mostrar las conexiones TCP vistas en las
interfaces.
Configuración Final del Sensor:
Versión del sistema operativo: Debian 4.2.3
Servidor Físico HP Proliant.
82
Ilustración 44. Configuración Final del Sensor
Fuente: pantallazo de la configuración final del equipo
5.2.5 Instalación de la Base de Datos:
Ilustración 45. Configuración Final de la Base de Datos
Fuente: pantallazo de la configuración final del equipo
Ilustración 46. Configuracion de la BD MySQL
Fuente: pantallazo de la configuración final del equipo
83
5.3 CONSOLIDACION Y ANALISIS DE LOS RESULTADOS DE LA EVALUACIÓN TÉCNICA Y
FUNCIONAL DE LA PRUEBA PILOTO.
5.3.1 funcionalidades de la herramienta AlienVault.
Configuración del AlienVault desde la interfaz gráfica.
5.3.1.1 Características del Sistema:
Ilustración 47. Características del sistema instalado
Fuente: pantallazo de la configuración final de la herramienta
Diagrama de la Implementación
En el siguiente diagrama se puede visualizar la forma en que quedó implantada la solución de
AlienVault en el Datacenter, La implementación cuenta con un servidor físico HP con sistema
operativo Linux-Debian con IP 172.29.51.25 como servidor SIEM, conectado a él se encuentra un
servidor físico HP con sistema operativo Linux-Debian con IP 172.29.51.26 configurado como
Sensor y a otro lado de la red se encuentra un servidor HP con varias máquinas virtuales, entre
ellas una de las máquinas virtuales funciona como la Base de Datos de la solución con IP
172.29.51.27.
Se desea dar una idea general de la red que se está monitoreando, esta cuenta con equipos de
diferentes fabricantes, sistemas operativos y equipos de red (Switch, firewall, router, balanceadores
de carga, – físicos y virtuales) y aplicaciones (Bases de Datos, Servidores FTP, etc).
AlienVault permite la configuración de la solución en forma jerárquica, es decir tener varios
servidores SIEM y sensores a lo largo de la red. Si embargo y dado a que la implementación en
este proyecto es como una prueba piloto, se configuró con un único servidor SIEM y un único
sensor.
84
Ilustración 48. Diagrama General de la Implementación
Fuente: consolidación del equipo de trabajo
Para la integración de la herramienta se tienen los siguientes activos dentro de la Red:
Servidor SIEM (Servidor Físico) – IP: 172.29.51.25 - Sistema Operativo: Linux Debian 4.3.2
Ilustración 49. Vista desde CLI del Servidor SIEM (Server Framework)
Fuente: pantallazo de la configuración final de la herramienta
85
Sensor (Servidor físico configurado como sensor) – IP: 172.29.51.26 - Sistema Operativo: Linux
Debian 4.3.2
Ilustración 50. Vista desde CLI del sensor de la implementación
Fuente: pantallazo de la configuración final de la herramienta
Base de Datos MySQL (Servidor Virtual) – IP: 172.29.51.27 – Sistema Operativo: Linux Debian
4.3.2
Ilustración 51. Vista desde CLI de la Base de Datos de la implementación
Fuente: pantallazo de la configuración final de la herramienta
La configuración de la herramienta se realizó por la interfaz gráfica sobre el servidor configurado
como servidor SIEM (Server Framework), a continuación se explica paso a paso la configuración
de la misma y el detalle de la información que esta nos permite visualizar.
Dado que es una herramienta con gran contenido se torna importante conocer su manejo en forma
detallada para poder realizar así un mejor análisis de su funcionamiento y alcance, para mayor
entendimiento se ha estructurado la herramienta de la siguiente forma:
86
Tabla 8. Distribución de los Menús / Submenús y Pestañas de la herramienta
Fuente: consolidación del equipo de trabajo
5.3.1.2 Descripción de la configuración y visualización detallada de la herramienta:
Menú: Tableros (Dashboards)
Permite visualizar de forma práctica y fácil la información recolectada por el servidor SIEM, permite
configurar las vistas de forma personalizada por usuarios o por redes de activos.
Ilustración 52. AlienVault, Interfaz gráfica: Menú Dashboards
Fuente: pantallazo de la herramienta (AlienVault)
87
Como se puede ver el Menú Dashboards cuenta con varias pestañas dentro de él que permiten
visualizar la información de forma más detallada:
Tabla 9. Relación Pestaña vs. Información por Vista
PESTAÑA
Ejecutivo (Executive)
Seguridad (Security)
Taxonomía (Taxonomy)
Tickets
Vulnerabilidades (Vulnerabilities)
Cumplimiento (Compliance)
Red (Network)
VISTA
Permite ver de forma general las métricas de eventos
recolectados y procesados por AlienVault y estado
general de la red.
Estadísticas y reportes de los eventos de seguridad.
Permite diferenciar los eventos según su clasificación (Ej:
Clasificación por Malvare, por Virus etc).
Tickets generados para la atención de alarmas en el
sistema
Informes y gráficas de la explotación de vulnerabilidades.
Gráficas y reportes de cumplimiento de reglas establecidas
en AlienVault.
Estadísticas y gráficas del comportamiento de la red.
Fuente: consolidación del equipo de trabajo
1. Vistas en Detalle – Tableros: Ejecutivo ( Dashboard – Executive):
En esta vista se tiene configuradas tres gráficas:
Gráfica Número 1: Eventos de Seguridad SIEM vs. Eventos de Logger (Last SIEM vs
Logger Events)
Ilustración 53. Vista: Eventos de Seguridad SIEM vs. Eventos de Logger
Fuente: pantallazo de la herramienta (AlienVault)
88
Ilustración 54. Vista: Eventos de Seguridad SIEM vs. Eventos de Logger con la relación de
logs recolectados
Fuente: pantallazo de la herramienta (AlienVault)
Al dar click sobre la imagen nos lleva al menú: Análisis: Eventos de Seguridad (SIEM):
Donde podremos ver la información exacta de los eventos que se están reportándose en
las gráficas:
Ilustración 55. Vista de eventos recibido en el servidor (logs).
Fuente: pantallazo de la herramienta (AlienVault)
Gráfica Número 2: Nivel de Amenaza (Threat Level) Permite ver a nivel general el
estado de la red en cuanto a topología, vulnerabilidades y seguridad de la red.
Ilustración 56. Nivel de Amenaza en la Red
Fuente: pantallazo de la herramienta (AlienVault)
89
Al dar click sobre la gráfica anterior nos permitirá ver el nivel de riesgo del sistema:
Ilustración 57. Detalle del Nivel de Amenaza
Fuente: pantallazo de la herramienta (AlienVault)
Ilustración 58. Convenciones de la Gráfica Nivel de Amenaza
Fuente: pantallazo de la herramienta (AlienVault)
Al dar click en esta grafica nos envía al submenú Risk:
Ilustración 59. Relación de Nivel administrativo y Métricas
Fuente: pantallazo de la herramienta (AlienVault)
90
Gráfica Número 3: SIEM: Events by sensor: Data Source (Eventos SIEM por sensor)
Ilustración 60. Vista de eventos por sensor
Fuente: pantallazo de la herramienta (AlienVault)
1.1 Pestaña Seguridad (Security):
Ilustración 61. Gráficas Top 10 de Eventos de Seguridad
Fuente: pantallazo de la herramienta (AlienVault)
Ilustración 62. Gráficas Eventos de Seguridad
Fuente: pantallazo de la herramienta (AlienVault)
91
Ilustración 63. Gráficas Top 5 de Eventos de Seguridad
Fuente: pantallazo de la herramienta (AlienVault)
1.2 Pestaña Cumplimiento (Compliance):
Ilustración 64. Visualización Compliance por eventos registrados
Fuente: pantallazo de la herramienta (Alientvault)
Ilustración 65. Gráfica Compliance por Nivel de ataques (internos y externos)
Fuente: pantallazo de la herramienta (Alientvault)
92
2. Submenú: Tablero – Riesgo (Dashboards – Riks)
2.1 Pestaña: Mapa de Riesgo:
Permite organizar y visualizar los ataques y la red en un mapa, en
este caso está el
mapamundi, sin embargo se pueden cargar gráficas de un centro de datos y allí
estructurar la red, os indicadores muestran:
R Riesgo: Muestra el valor de riesgo del objeto en relación a los valores
compromiso y el umbral de ataques que define en el inventario de AlienVault para ese
activo.
VVulnerabilidad: El indicador del nivel de vulnerabilidad se calcula sobre la base de
los resultados de los análisis de vulnerabilidad realizados por el vulnerabilityscanner
(OpenVAS
ó
Nessus)
utilizando
la
interfaz
de
AlienVault.
El sistema obtiene el valor del riesgo de las vulnerabilidades más graves del activo, el
estado de vulnerabilidad será de color amarillo cada vez que hay una vulnerabilidad a
un riesgo mayor de 3, y en rojo cuando el riesgo es mayor que 7. Si el riesgo de las
vulnerabilidades es inferior a 3, el estado de vulnerabilidad se muestra con un icono
verde. Este indicador sólo será útil siempre que los activos y la red están siendo
analizados por el Vulnerability Scanner(Nessus ó OpenVAS).
ADisponibilidad: El indicador de disponibilidad se calcula utilizando la información
obtenida de Nagios (el monitor de disponibilidad en AlienVault). Este indicador sólo
será útil siempre que el host y redes que estén siendo monitoreados por Nagios.
Ilustración 66. Convenciones para los mapas de Riesgo
Fuente: https://172.29.51.25/ossim/session/login.php
Ilustración 67. Visualización por defecto de los Mapas de Riesgo
Fuente: pantallazo de la herramienta (AlienVault)
93
Podemos modificar el mapa y sus componentes, dando click en configuración:
Ilustración 68. Configuración Mapas de Riesgo
Fuente: pantallazo de la herramienta (AlienVault)
Allí podemos escoger el equipo que se desea ubicar en el mapa y configurar la
visualización del mismo.
Edición y configuración de los tableros desde la interfaz gráfica:
Para editar los tableros o deshabilitarlos solo es necesario dar click en el icono
“configuración” del extremo derecho de la pantalla, allí nos dará la opción de escoger la
vista
que
se
desea
modificar.
Las vistas que vienen por defecto en AlienVault no es posible eliminarlas, pero permite
sea deshabilitadas para no visualizarlas.
Ilustración 69. Edición de Vistas Pre- establecidas
Fuente: pantallazo de la herramienta (AlienVault)
94
Crear una nueva Vista:
Para crear una nueva vista, se debe escribir el nombre de la nueva vista, y hacer click
en Insertar nuevo. Si se desea utilizar uno de los paneles por defecto como plantilla,
se debe seleccionar el que se desea tomar como base y hacer click en Clonar.
Eliminar una Vista:
Se debe seleccionar la vista y dar click en el icono “Eliminar”.
Modificar una vista:
Para modificar la geometría de cada vista solo es necesario dar click en la opción Edit
Ilustración 70. Opción Edit

Fuente: pantallazo de la herramienta (AlienVault)
Para finalizar solo se debe dar click en aplicar.
Editar las ventanas:
Para personalizar la información de cada vista damos click en el icono config, allí nos salen las
opciones de las tablas y gráficos que se pueden incluir en la vista.
Ilustración 71. Pestaña configuración
Fuente: pantallazo de la herramienta (AlienVault)
95
Ilustración 72. Edición de la configuración
Fuente: pantallazo de la herramienta (AlienVault)
Menú: Incidentes
1. Submenú Alarmas
1.1 Pestaña Alarmas: permite visualizar las alarmas generadas por la herramienta, las
alarmas son aquellos eventos que tienen un riesgo superior a 1.
Las alarmas también se pueden generar como consecuencia de una política de
correlación de eventos, para generar las alarmas se debe tener en cuenta una seria de
parámetros establecidos como lo son: si el evento tiene una alta prioridad y los valores
de la fiabilidad y el valor de las máquinas implicadas
Ilustración 73. ¿Cómo se visualizan las alarmas?
Fuente: pantallazo de la interfaz grafica (Alienvault)
96
Ilustración 74. Información de la alarma
Fuente: pantallazo de la interfaz grafica (Alienvault)
Alarma: Es posible en cada alerta conocer de forma más detallada la información, para
ello damos click en el símbolo +:
Ilustración 75. Detalle de la alarma
Fuente: pantallazo de la interfaz grafica (Alienvault)
Ilustración 76. Detalle del evento
Fuente: pantallazo de la interfaz grafica (Alienvault)
Riesgo: ¿Qué significa Normalizar?
La normalización de eventos permite consolidar el tratamiento de la información, cada
uno de los componentes que hacen parte de la red tiene una forma diferente de
categorizar las prioridades, en AlienVault se utiliza el valor de riesgo para normalizar la
información y su valor se mide del 0 al 5, siendo el 0 el de menor valor y el 5 de mayor
valor.
97
Valor de Riesgo: El valor del riesgo nos permite no sólo la normalización de los
eventos, sino también permite determinar los valores a utilizar y que nos ayudaran a
tomar decisiones en el momento que se presente un evento crítico.
Ossim utiliza dos valores de riesgo:
1. Valor de Riesgo Origen: Dirección IP de dónde se originó en evento - Se relaciona
con el dispositivo de origen.
2. Valor de Riesgo Destino: Dirección IP de destino del evento - Se relaciona con el
dispositivo de destino.
La formula que se utiliza para la normalización del Riesgo es la siguiente:
Riesgo = (Prioridad * Confiabilidad * Activo) / 25
Basándose en los siguientes parámetros:
Prioridad  Valor Máximo 5 - Valor Mínimo 0
Confiabilidad  Valor Máximo 10 - Valor Mínimo 0
Activo  Valor Máximo 5 - Valor Mínimo 0
Sensor: La información relacionada al sensor se puede visualizar en el Menú
“Configuration”, en el submenú “AlienVault Components”.
Por ser esta una implementación piloto, sólo se tiene un sensor configurado en la red,
con Ip 10.67.68.14 está IP corresponde a la VPN creada para comunicar el sensor con
el servidor OSSIM, la Ip publica del servidor del sensor es la 172.29.51.26.
Ilustración 77. Información del sensor
Fuente: pantallazo de la interfaz grafica (AlienVault)
98
Ilustración 78. Detalles del sensor
Fuente: pantallazo de la interfaz grafica (Alienvault)
La visualización de las alarmas se puede filtrar y organizar por Origen, Destino, Fecha,
y contenido de la alarma, lo que nos permite organizar de forma practica las alarmas
reportadas por un mismo evento o una misma política de correlación.
Ilustración 79. Visualización con Filtro (Ip Origen / Ip Destino)
Fuente: pantallazo de la interfaz grafica (Alienvault)
Otra de las opciones gráficas para visualizar las alarmas es por grupos, permite
agrupar por nombre, eventos similares, fechas y por origen.
99
Ilustración 80. Visualización con Agrupación (Ip Origen / Ip Destino)
Fuente: pantallazo de la interfaz grafica (Alienvault)
Cuando se presentan alarmas relacionadas por una misma directiva de correlación,
estas se agrupan para facilidad de análisis, adicionalmente es recomendado no
eliminar ninguna alarma excepto aquellas que después de confirmación sean
reportadas como falsos positivos, de lo contrario se perderá información para próximas
correlaciones de eventos y generaciones de alarmas.
1.2 Pestaña Reporte:
Se tiene por defecto cinco gráficas de reportes Top, se puede escoger el período de
tiempo a mostrar.
Ilustración 81. Reportes top de ataques
Fuente: pantallazo de la interfaz grafica (Alienvault)
100
2. Submenú Tickets:
Es la forma de controlar el estado de las alarmas, es posible generar los casos de forma
manual y/o es posible también que la herramienta los genere de forma automática con
relación a las alarmas registradas.
Ilustración 82. Ticket
Fuente: pantallazo de la interfaz grafica (Alienvault)
Es posible desplegar información del ticket dando click en el nombre del mismo o en el Id:
Ilustración 83. Información detallada del ticket
Fuente: pantallazo de la interfaz grafica (Alienvault)
101
Así mismo permite editar el ticket con nueva información:
Ilustración 84. Edición de un ticket
Fuente: pantallazo de la interfaz grafica (Alienvault)
Para generar un ticket de forma manual, solamente debemos elegir la categoría del ticket a
crear y dar click en créate:
Ilustración 85. Como general un ticket de forma manual
Fuente: pantallazo de la interfaz grafica (Alienvault)
Los tickets automáticos se generan de los resultados de las alarmas y los escaneos de
vulnerabilidades.
Configuración para la generación de tickets de forma automática:
Se debe configurar si se desean generar tickets por todas las alertas o por cada escaneo
de vulnerabilidades, esto se hace en el menú: Configuration – Main –Tickets
Ilustración 86. Como generar un ticket de forma automática
Fuente: pantallazo de la interfaz grafica (Alienvault)
102
2.1 Pestaña Reporte:
Muestra gráficas de tickets por tiempo, por tipo y por estado.
3. Submenú Base de Conocimientos:
Como su nombre lo indica es la base de conocimientos que permite validar información
relacionada a un ticket, una alarma, o directiva. Permite buscar por algún evento o tipo
específico.
Ilustración 87. Base de conocimientos
Fuente: pantallazo de la interfaz grafica (Alienvault)
Permite ver los casos y/o eventos con los que esta relacionado, para ver en detalle esta
información podemos dar click en el icono de la columna Links:
Ilustración 88. Ejemplo link: TituloAV Bruteforce, FTP authentication attack against SRC_IP
(Cisco IPS) – Links (3)
Fuente: pantallazo de la interfaz grafica (Alienvault)
Nos permite ver la directiva a la que se encuentra asociada dicha documentación:
50036:http://www.alienvault.com/wiki/doku.php?id=user_manual:intelligence:correlation_dir
ectives:directives
103
Ilustración 89. Directiva
Fuente: pantallazo de la interfaz grafica (Alienvault)
Menú: Análisis
1. Submenú: Eventos de Seguridad (SIEM).
Permite ver y procesar (calificar y correlacionar) los eventos generados y guardados en la
base de datos, cada vez que un evento es correlacionado genera un nuevo evento que se
almacenará en la Base de datos. Todos los eventos que tengas un valor de riesgo mayor a
uno se convertirán en alarmas.
Ilustración 90. Pantalla principal del menú “Eventos de Seguridad SIEM”
Fuente: pantallazo de la interfaz grafica (Alienvault)
La pantalla principal nos da una vista general de los eventos de seguridad que se han
recibido en el servidor SIEM, se puede dividir en tres parte principales:
Gráfica Tiempo Real: Nos permite ver la cantidad de eventos que se han generado en
una línea de tiempo.
104
Ilustración 91. Grafica tiempo real “Eventos de Seguridad SIEM”
Fuente: pantallazo de la interfaz grafica (Alienvault)
Al dar click en “Real Time” podemos visualizar los eventos generados en el momento e
incluso una hora antes:
Ilustración 92. Eventos generados en tiempo real
Fuente: pantallazo de la interfaz grafica (Alienvault)
Filtro: Nos permite realizar filtros para encontrar y mostrar sólo la información
relacionada a equipos y/o eventos específicos, este filtro es muy útil al momento de
buscar eventos o coincidencias por fechas o por orígenes en caso de algún incidente.
El filtro que allí podemos realizar es acumulable, lo que quiere decir que el filtro no se
va borrando sino que acumula la información lo que nos permite realizar una búsqueda
muy puntual
Eventos: Esta vista es quizá de las vistas más importantes que podemos tener en la
herramienta, nos permite ver todos los eventos de seguridad con la información al
detalle y el valor de riesgo que tiene cada evento.
105
Ilustración 93. Eventos “Eventos de Seguridad SIEM”
Fuente: pantallazo de la interfaz grafica (Alienvault)
o
Detalle 1:
Ilustración 94. Detalle 1. Eventos “Eventos de Seguridad SIEM”
Fuente: pantallazo de la interfaz grafica (Alienvault)
o
Detalle 2:
Ilustración 95. Detalle 1. Eventos “Eventos de Seguridad SIEM”
Fuente: pantallazo de la interfaz grafica (Alienvault)
La cantidad de eventos generados por día puede ser demasiado grande lo que genera
lentitud en el procesamiento de la información y el manejo de la herramienta, para evitar
que el servidor se sature con esta información, se configuran políticas de almacenamiento.
106
La política puede ser configurada por tiempo o por cantidad de eventos, o para mejor
control del almacenamiento de los mismos se pueden configurar ambas políticas, lo que
nos permite tener almacenamiento de eventos flexibles.
Política Configurada:
Eventos activos por ventana (por tiempo): Eventos hasta de 5 días.
Eventos activos por ventana (por número de eventos): Eventos hasta de 5000000 eventos.
Ilustración 96. Política Configurada
Fuente: pantallazo de la interfaz grafica (Alienvault)
En este caso la flexibilidad de la configuración nos permite mostrar en la interfaz gráfica
hasta 5000000 eventos (puede que estos se generen en menos tiempo que los 5 día
configurados dependiendo de la utilización y tráfico de la red) ó hasta 5 días (se pueden
tener poca cantidad de eventos, sin embargo para visualizar los eventos mas recientes y
darle un mejor manejo a la información se almacenarán los datos pasados 5 días así estos
no superen los 5000000 eventos).
2. Submenú: Raw Logs (Logger)
Logger: Está diseñado para almacenar los logs en su estado original (es decir sin
normalizar); se utiliza principalmente para la recolección de evidencia forense en caso de
generarse un ataque en contra de la red monitoreada.
La forma más fácil de visualizar y/o buscar y recopilar la información en el Logger es
buscar con la ayuda de la línea de tiempo, se presenta una gráfica donde se puede
observar: Cantidad de Eventos (eje x) vs. Lapso de tiempo en que se generaron los
mismos (en este ejemplo la toma es de 10 eventos para el día 07 a las 02 hrs).
107
Ilustración 97. Linea de tiempo (Logger)
Fuente: pantallazo de la interfaz grafica (Alienvault)
Al dar click sobre la gráfica podemos observar el detalle de los eventos generados para
este lapso de tiempo (como se puede observar en la gráfica sólo permite visualizar los 10
eventos generados y muestra con exactitud la fecha y hora de la generación de los
mismos).
Ilustración 98. Detalle de los eventos generados para el lapso de tiempo (Línea de tiempo)
Fuente: pantallazo de la interfaz grafica (Alienvault)
En este caso veremos el evento #9:
Tipo de Evento: ossec: Login session closed. (Evento que indica autenticación cerrada en
el servidor OSSEC).
Detalle del evento: ** Alert 1331103885.181668 - pam syslog 2012 Mar 07 02 04 45
CT1ALVSEGURSRV001->/var/log/auth.log Rule 5502 (level 3) -> Login session closed. Src
IP (none) User (none) Mar 7 02 04 44 CT1ALVSEGURSRV001 su[14977] pam_unix(su
session) session closed for user daemon  Permite visualizer el log sin ningún tratamiento.
108
Ilustración 99. Evento ossec: Login session closed
Fuente: pantallazo de la interfaz grafica (Alienvault)
Así mismo podemos solicitarle la validación interna que realizo el servidor y el lugar exacto
donde ha quedado guardado el mismo:
En este caso se ha configurado la siguiente ruta en el servidor para el almacenamiento de
los logs: /var/ossim/logs/.
Se ha guardado el log como un archivo de texto plano con el siguiente nombre:
2012/03/07/07/172.29.51.25/2012-03-07T07-03-43Z.log
Ilustración 100. Validación interna del evento ossec: Login session closed
Fuente: pantallazo de la interfaz grafica (Alienvault)
Si se desea realizar una búsqueda exacta o puntual, se puede utilizar la ayuda de
búsqueda que viene por defecto configurada en la herramienta, entre más precisa sea la
información que se ingresé mejor será el resultado de la misma.
Ilustración 101. Ayuda de búsqueda de la herramienta Alienvault
Fuente: pantallazo de la interfaz grafica (Alienvault)
3. Submenú Vulnerabilidades:
Como se ha explicando anteriormente, AlienVault trae integrado herramientas gratis que
permite el escaneo y detección de vulnerabilidades en la red y sus componentes, en este
sección podremos ver las reglas que trae por defecto configuradas el sistema (es una
compilación de reglas entre las herramientas OpenVAS y Nessu).
109
Las reglas se organizan dependiendo la familia y nivel de riesgo, lo que nos permite
realizar una totalización de las vulnerabilidades encontradas y poder entrar a realizar un
análisis de estas para poder mitigarlas.
Esta información funciona como una base de datos con la información detallada de la
vulnerabilidad y la posible solución a la misma. Lo que se hace con esto es realizar un
escaneo de la red monitoreada y mostrar las vulnerabilidades que podrían llegar a
explotarse.
Ilustración 102. Detalles de las vulnerabilidades
Fuente: pantallazo de la interfaz grafica (Alienvault)
En este caso se va a estudiar la vulnerabilidad nombrada como: Denial of Service
(Denegación de Servicio):
Factor de Riesgo: Serio:
Ilustración 103. Ejemplo vulnerabilidad Denial of Service
Fuente: pantallazo de la interfaz grafica (Alienvault)
110
Para obtener información de la vulnerabilidad se da click en el ID:
Ilustración 104. Detalle de la Vulnerabilidad
Fuente: pantallazo de la interfaz grafica (Alienvault)
En este caso se han configurado los siguientes perfiles para el escaneo de la red:
Ilustración 105. Test configurados en el sistema
Fuente: pantallazo de la interfaz grafica (Alienvault
111
Menú Reportes:
La herramienta trae cargado por defecto alrededor de 400 reportes ya predefinidos, que lo que
hacen básicamente es organizar y gráficar la información recolectada por el equipo, se puede ver
la lista de los reportes por defecto en el menú “Reports”.
Ilustración 106. Listado de Reportes por Defecto
Fuente: pantallazo de la interfaz grafica (Alienvault)
De la lista de posibles reportes tenemos la opción de escoger el reporte a generar y generarlo por
defecto o configurarlo que se desea ver en el mismo.
Herramientas para la generación de los reportes predeterminados: Las opciones se encuentran al
final del nombre del reporte:
Ilustración 107. Edición de los reportes
Fuente: pantallazo de la interfaz grafica (Alienvault)
112
Generarlo por defecto: Genera el reporte con la plantilla que viene por defecto en la herramienta.
Modificarlo y Generarlo: Da la opción de modificar parte de la información que se va a mostrar en el
reporte y lo genera luego de ingresar los datos a modificar (Rango de Tiempo, Equipos de los
cuales extraer la información y aplicación de filtros).
Ilustración 108. Reportes, Modificarlo y Generarlo.
Fuente: pantallazo de la interfaz grafica (Alienvault)
Editar: Permite modificar la información a mostrar sin embargo no lo genera hasta que no se le
indique.
Clonar: Permite clonar la información del reporte y utilizarla varias veces, por ejemplo si dese
obtener varios reportes de alarmas generadas por tipo de equipo, sólo se debe crear un tipo de
informe, clonarlo y modificar la información deseada.
Eliminar: Permite eliminar los reportes que no deseamos visualizar en la herramienta.
Si por el contrario lo que se desea es generar un reporte personalizado, lo podemos hacer dando
click en el link “New Custom Report”.
Allí se puede modificar campos como: Nombre del Reporte, Rango de Tiempo para la toma de
datos del reporte, y la disponibilidad de visualización para todos los usuarios o de forma limitada.
Luego de modificar la información básica se debe elegir de qué parte del servidor se desea obtener
la información para la generación del reporte, Ver Ilustración 77 se escogió la recolección de datos
para equipos FORTINET en la vista de Eventos de Seguridad.
Ilustración 109. Edición de los reporte - eventos
Fuente: pantallazo de la interfaz grafica (Alienvault)
113
Nos permite elegir la red de la cual se desea generar el reporte (permite escoger todos los equipos
y/o equipos específicos):
Ilustración 110. Edición de los reportes - activos
Fuente: pantallazo de la interfaz grafica (Alienvault)
Permite escoger la cantidad de eventos (información y datos) para la generación del reporte:
Ilustración 111. Información para la generación del reporte
Fuente: pantallazo de la interfaz grafica (Alienvault)
El siguiente paso es dar click en “Update & Run”, esto carga el nuevo reporte a la herramienta.
1. Pestaña Módulos: Permite visualizar los reportes organizados por categoría, por ejemplo
una categoría puede ser alarmas y de allí puede desprenderse varias categorías como:
Top 10 de los equipos con más generación de alarmas
Top 10 de los hots más atacados
Top de Alarmas por riesgos
Ilustración 112. Top de las alarmas por riesgos
Fuente: pantallazo de la interfaz grafica (AlienVault)
114
2. Pestaña Layouts: Permite modificar colores y tipo de letra para la generación del reporte.
Ilustración 113. Edición Layouts (AlienVault)
Fuente: pantallazo de la interfaz grafica (AlienVault)
3. Pestaña Scheduler (Programador): Permite programar la generación de los reporte, de
forma mensual o según sea requerido.
Permite programar que tipo de reporte se desea, para que equipos de la red y la fecha y/o
periodicidad de la generación de los mismos.
Ilustración 114. Configuración scheduler
Fuente: pantallazo de la interfaz grafica (AlienVault)
Menú: Activos (Assets)
Para la implementación del piloto se integraron los siguientes equipos: Este listado de equipos se
estableció en conjunto con el grupo de seguridad y redes del Datacenter, la idea principal es
monitorear equipos que sean importantes en la gestión y prestación de servicios y adicionalmente
que sean de diferentes fabricantes para poder integrar diferentes plugins y ver como se comporta
la herramienta.
115
Tabla 10. Equipos incluidos en la implementación
Sistema Operativo y Versión Marca y Modelo
Método de Conexión
IOS 3.2
Cisco FWSM
Syslog, SNMP
FortiOS 4.3
Fortinet
Syslog, SNMP
IOS 8.2
Cisco ASA 5520
Syslog, SNMP
IOS 7.3
Cisco ISDM
Syslog, SNMP
IOS 12.3
Cisco 7206
Syslog, SNMP
IOS 12.1(12r)EX1
Cisco 7304
Syslog, SNMP
IOS 12.2(17r)S4
Cisco Catalyst 6513 Syslog, SNMP
IOS 12.2(18)SXF6
Cisco Catalyst 6509 Syslog, SNMP
IOS 12.2(18)EW
Cisco Catalyst 4506 Syslog, SNMP
IOS 12.2(20)EWA4
Cisco Catalyst 4948 Syslog, SNMP
IOS 12.2(35)SE5
Cisco Catalyst 3750 Syslog, SNMP
IOS
Cisco Catalyst 2960 Syslog, SNMP
5.0
Bluecoat SG
Syslog, SNMP
N/A
F5
Syslog, SNMP
A2(1.1)
Cisco ACE
Syslog, SNMP
Fuente: consolidación del equipo de trabajo
Pestaña Structure (Estructura): Permite visualizar los equipos que tiene relacionados la
herramienta, AlienVault organizar las vistas en forma estructura de árbol y relaciona los
activos dependiendo de características como: Sistema Operativo, Servicios, Hardware y
Software.
Ilustración 115. Programación Structure (Alienvault)
Fuente: pantallazo de la interfaz grafica (AlienVault)
116
Al desplegar cada uno de las ramas de la estructura se encuentra el detalle de los equipo
como dirección Ip y puerto (servicio mas utilizado), adicionalmente se puede tener una
organización de la red por segmentos de red y/o grupos de servicios.
Para tener un mayor control sobre la información de los activos de la red configurados en la
herramienta, podemos ingresar a cada uno de ellos y configurarle algunos datos
adicionales, para ello sólo debemos escoger la IP del equipo a complementar y dar sobre
click en ella.
Ilustración 116. Edición de un activo (AlienVault)
Fuente: pantallazo de la interfaz grafica (AlienVault)
Se puede dar una mayor descripción a cada uno de los activos, Ip, Tipo de Equipo, Marca
del equipo, ubicación entre otras.
Ilustración 117. Detalles de la edición de un activo (AlienVault)
Fuente: pantallazo de la interfaz grafica (AlienVault)
117
Ilustración 118. Relación del equipo dentro del árbol de inventario (AlienVault)
Fuente: pantallazo de la interfaz grafica (AlienVault)
Adicionalmente se puede agregar un monitoreo específico a alguno de los servicios que
corren en el activo, para ello es necesario editar el activo, indicar el puerto por donde se
ejecuta el servicio y habilitar el monitoreo con la herramienta Nagios.
Ilustración 119. Monitoreo protocolo (AlienVault)
Fuente: pantallazo de la interfaz grafica (Alienvault)
Pestaña Host (Equipos): Permite conocer el detalle de los equipos configurados en la
herramienta.
Ilustración 120. Equipos configurados en la herramienta (AlienVault)
Fuente: pantallazo de la interfaz grafica (AlienVault)
118
Esta vista nos permite ver de forma generalizada los equipos que se están monitoreando
dentro de la red y datos del mismo como: Hostname, Ip, Alias, Descripción, Valor del
equipo dentro de la estructura de red, sensor, Base de conocimientos (podemos editar la
información o adicionar información nueva para la KDB).
La interfaz gráfica del servidor OSSIM nos permite configurar y editar configuraciones
existentes, desde aquí se ingresan los equipos que se desean monitorear.
o
Ingreso de Activos a monitorear:
Para adicionar un nuevo activo en la red de monitoreo desde la interfaz gráfica se debe
dar click en el icono nombrado como “New”
Ilustración 121. Ingreso de un nuevo activo en la red de monitoreo.
Fuente: pantallazo de la interfaz grafica (AlienVault)
Tabla 11. Características para el ingreso de un activo
HOSTNAME
Puede empezar o terminar con letra o número (válidos a-z A-Z 0-9).
No puede empezar ni terminar con símbolos (-). No puede contener sólo valores
numéricos.
IP
Ip del equipo a monitorear.
Fully Qualified Domain Name: Nombre o Alias que incluye el nombre del equipo a
monitorear y el dominio asociado a este, La longitud máxima permitida para un FQDN
es 255 caracteres (bytes). Puede incluir letras y/o caracteres propios de l código ACSII,
no distingue entre minúsculas y mayúsculas.
FQDN
DESCRIPCIÓN
Descripción importante relacionada al activo (Ej: DB, FW Core, Servidor FT, etc.)
VALOR DEL ACTIVO
Valor del activo en relación a su nivel de prioridad dentro de la red (valor de 0 a 5).
Sensor que realizará la recolección de datos (en este caso como se ha explicado
anteriormente solo estamos utilizando un sensor con IP 10.67.68.14 , aparece la IP del
servidor OSSIM ya que éste también puede ser instalado como sensor, en nuestro caso
sólo esta instalado como servidor).
Se puede asociar al equipo un icono representativo (Ej: Icono de CISCO para equipos
de esta marca).
SENSOR
ICONO
Fuente: consolidación del equipo de trabajo.
119
Opción 1 Información Avanzada
Ilustración 122. Información avanzada que compone el activo
Fuente: pantallazo de la interfaz grafica (AlienVault)
Tabla 12. Características de la configuración avanzada que compone el activo
OPCIONES DE
ESCANEO
PERFIL
UMBRAL "C"
UMBRAL "A"
Como Alien Vault trae integrada la herramienta Nagios, podemos habilitar o no el
monitoreo en ella.
Perfil que se desea dar al activo. Para ello podemos asociar un perfil dando click en
"Insert New Profile" o dejarlo sin ningún perfil, este perfil modificara las
configuraciones de alarmas y creación de tickets, por ello en este caso lo hemos
dejado en "None".
Nivel de Ataque (Mide el riesgo potencial de los ataques realizados a este activo en
caso de que un ataque haya sido exitoso - valor relacionado con el valor del activo).
Nivel de Compromiso (Mide el nivel de probabilidad de que un equipo este
comprometido - valor relacionado con el valor del activo).
Fuente: consolidación del equipo de trabajo
Opción 2  Información de Inventario
Ilustración 123. Información de Inventario
Fuente: pantallazo de la interfaz grafica (Alienvault)
Tabla 13. Información de Inventario
OS (SISTEMA OPERATIVO)
Sistema operativo del activo.
MAC ADDRESS
Dirección MAC del activo
MAC VENDOR
Nombre del Fabricante de la Tarjeta de Red del activo.
Fuente: consolidación del equipo de trabajo
120
Para cargar el nuevo equipo a monitorear sólo se debe dar click en “Update” y este cargará
la información al servidor. Adicionalmente se debe garantizar que el activo que se desea
monitorear tenga conectividad hacia el sensor que recopilará los datos y tenga permitidos
los puertos de comunicación necesarios.
Adicionalmente la herramienta nos da la posibilidad de agrupar los activos monitoreados
por red (segmentos de red), por grupos (ej: Grupo de Activos de firewalls), y por servicios
(por puertos TCP /UDP).
1. Submenú Búsqueda de Activos: Para realizar búsquedas de activos con características
específicas (los equipos deben estar ya ingresados en el servidor OSSIM) podemos utilizar
la opcion de búsqueda símple o la opción de búsqueda avanzada. Para realizar la
búsqueda, el servidor puede recoelctar datos del Logger o de la Base de Datos.
Cabe aclarar que esta búsqueda hace referencia a una búsqueda de activos en la red
relacionados a un evento, vulnerabilidad, inventario y o ticket.
Búsqueda Simple:
Ilustración 124. Vista búsqueda Simple (AlienVault)
Fuente: pantallazo de la interfaz grafica (AlienVault)
Tabla 14. Características de la búsqueda simple
ACTIVO
INVENTARIO
VULNERABILIDAD
TICKETS
EVENTO
Nombre del Activo
Características específicas del activos y/o
servicios que se ejecutan en el
Cadena de texto (descripción) de la
vulnerabilidad relacionada al activo.
Nombre del ticket relacionado.
Nombre del evento relacionado.
Fuente: consolidación del equipo de trabajo
121
INFORMACIÓN
Activos (Assets)
Activos (Assets)
Análisis → Vulnerabilidades
Incidentes →Tickets
Análisis → SIEM / Análisis →
Logger
Se realiza una búsqueda en el servidor, la BD y el Logger y arroja los resultados que hayan
tenido coincidencia con la información introducida.
Búsqueda Avanzada:
Nos permite crear premisas lógicas para obtener una búsqueda más detallada, se debe
introducir una pequeña descripción del activo relacionado y construir la premisa lógica:
Ilustración 125. Vista búsqueda avanzada (AlienVault)
Fuente: pantallazo de la interfaz grafica (AlienVault)
Si TODAS/NINGUNA de las condiciones seleccionadas se cumplen
Ilustración 126. Condiciones de búsqueda Avanzada
Fuente: pantallazo de la interfaz grafica (AlienVault)
2. Submenú “Descubrir Activos”: Permite realizar análisis del sistema de AlienVault con el fin
de descubrir los activos en la red y garantizar que no se han producido cambios en los
servicios, sistemas operativos, y las direcciones MAC que utilizan cada una de las
direcciones IP de la red.
122
Ilustración 127. Características búsqueda avanzada (AlienVault)
Fuente: pantallazo de la interfaz grafica (AlienVault)
Se debe escoger el perfil con el que se desea raizar el escaneo, estos perfiles son perfiles
propios asociados a nMap.
Menú Inteligencia (Intelligence)
1. Submenú Políticas y Acciones (Policy & Actions): Esta sección nos permite configurar las
políticas y reglas para que el sistema procese los eventos una vez lleguen al servidor;
todos los eventos deben ser procesados por el SIEM y el Logger.
SIEM: Se proporciona un análisis de los eventos, mediante tareas como:
Evaluación de Riesgo: El riesgo que se asigna a cada caso teniendo en cuenta el tipo
de evento y de los activos involucrados en la generación del evento.
Correlación: Se puede definir también como el proceso de transformación de datos de
entrada en la salida de nuevo elementos de datos, esto significa que toma los datos
entrantes y les realiza algún algoritmo lógico de correlación convirtiéndolos en un
nuevo elemento para el análisis de los eventos. Estos eventos se transforman
convirtiéndose en elementos más fiables.
Desvío: Se pude configurar para enviar las alarmas y eventos a otro servidor (modelo
jerárquico, en el caso de esta implementación el modelo es único no tiene niveles de
operación).
Almacenamiento SQL: Todos los eventos procesados por el SIEM se almacenan en la
base de datos MySQL.
Logger: El Logger firma los datos para asegurar la integridad de los mismos en caso de ser
necesarios como prueba en algún proceso judicial.
Las políticas y reglas, definen características propias del comportamiento del SIEM y el
Logger y así mismo como interpretara algunos eventos.
Las políticas se revisan en orden de menor ha mayor, si un evento coincide con la política
no seguirá revisando las políticas inferiores, si por el contrario no coincide seguirá con la
siguiente política hasta coincidir con alguna.
123
1.1 Pestaña: Políticas
Ilustración 128. Políticas configuradas 1 (AlienVault)
Fuente: pantallazo de la interfaz grafica (AlienVault)
Ilustración 129. Políticas configuradas 2 (AlienVault)
Fuente: pantallazo de la interfaz grafica (AlienVault)
Para ver el detalle de la configuración de estas políticas, basta con dar click sobre la
política y allí se desplegara el cuadro con sus respectivas características:
Ilustración 130. Detalles de las políticas 1 (AlienVault)
Fuente: pantallazo de la interfaz grafica (AlienVault)
124
Ilustración 131. Detalles de las políticas 2 (AlienVault)
Fuente: pantallazo de la interfaz grafica (AlienVault)
En nuestro caso hemos activado dos políticas: Ambos eventos son muy recurrentes en
la red por la forma de operar de los equipos Fortinet, por ello se ha hecho necesario
configurar para estos eventos un nivel de prioridad y de confiabilidad de 1, de lo
contrario el servidor se saturaría de este tipo de eventos y su procesamiento se vería
seriamente afectado.
Fortigate ICMP
Ilustración 132. Fortigate ICMP, Relación de la Política con el Plugin ID y su descripción
Fuente: pantallazo de la interfaz grafica (AlienVault)
Ilustración 133. Fortigate ICMP, Relación de la Política, descripción, nivel de riesgo y
fiabilidad
Fuente: pantallazo de la interfaz grafica (AlienVault)
Fortinet Drop
Ilustración 134. Fortinet Drop, Relación de la Política con el Plugin ID y su descripción
Fuente: pantallazo de la interfaz grafica (AlienVault)
125
Ilustración 135. Fortinet Drop, Relación de la Política, descripción, nivel de riesgo y
fiabilidad
Fuente: pantallazo de la interfaz grafica (AlienVault)
1.2 Pestaña Acciones: Permite definir las respuestas a los ataques o problemas que
ocurren en la red. Las acciones están relacionadas con las reglas de política,
AlienVault es compatible con tres tipos de acciones, el envío de un correo electrónico,
ejecutar un comando de Linux (detener algún servicio por ejemplo), o abrir un ticket en
el Sistema de AlienVault venta de entradas (incidentes → Entradas).
En el caso de nuestra implementación no incluimos el servidor de correo por lo cual la
opción de habilitar alarmas vía e-mail está descartada, como el objetivo es realizar una
prueba piloto para analizar el comportamiento de la herramienta no hemos configurado
ninguna acción, todos los eventos deben quedar guardados y registrados.
2. Submenú Directivas de Correlación:
Correlación: La correlación permite relacionar eventos con respecto a su prioridad e
importancia, es posible correlacionar todo tipo de eventos ya que antes de esto los
eventos se normalizan en el sistema.
AlienVault implementa directivas de correlación y/o reglas de correlación; estas definen las
condiciones que deben reunir los eventos para así generar un nuevo evento.
Directivas de Correlación:
Ilustración 136. Directivas de correlación del sistema
Fuente: pantallazo de la interfaz grafica (AlienVault)
126
Las directivas de asocian con respecto al comportamiento del evento. AlienVault en la
versión profesional trae alrededor de 600 directivas de correlación ya integradas, cuando
un nuevo archivo de directivas de correlación es desarrollado, se debe cargar en la
siguiente ruta, en un archivo “.xml”.
/etc/ossim/server/ :
Ilustración 137. Vista del directorio desde CLI
Fuente: pantallazo de la interfaz grafica
En esta ruta se almacenan las directivas de correlación por defecto, las directivas de
correlación que son creadas por los usuarios del sistema deberían quedar almacenadas en
la siguiente ruta: /etc/ossim/server/user.xml
Existen dos tipos de información entrantes al motor de correlación:
Información del Detector: Ofrece eventos (snort, firewalls, antivirus, servidores web,
eventos de SO).
Información de Monitor: Ofrece indicadores (ntop, nmap, compromiso y ataque).
Reglas de Correlación:
Las directivas de correlación se pueden organizar por niveles, cada nivel contiene
palabras claves y específicas.
Cada directiva de correlación está en al menos una regla de correlación.
Cada nivel de correlación tiene tantas reglas como sea necesario, el único nivel de
correlación que sólo contiene una regla de correlación es el primer nivel.
Funcionamiento:
Un nuevo evento llega al motor de correlación y valida (compara) si existe algún evento
previo, si existe, se crea el nuevo evento de entrada y se asocia con la información ya
registrada. Si el evento entrante no coincide:
1. Primera Regla de Directiva: Se almacena la información con palabras clave (Origen,
Destino, Puerto Origen, Puerto Destino, Protocolo, Plugin SID, Sensor, Nombre de
Archivo, Nombre de Usuario).
Estas palabras claves se utilizan por los demás niveles de correlación.
2. Se almacena el evento.
3. Se inserta en la tabla denominada “Ossim event”; como este evento puede volverse
una alarma en el sistema debe contener los siguientes campos de información:
o
Time: Fecha exacta de la generación del evento.
127
o
o
o
o
o
o
o
Backlog ID: Id de la directiva de correlación existente con la que se puede
relacionar el evento.
Plugin ID: Identificador del plugin que generó el evento.
Plugin SID: Tipo de evento específico (dentro de los tipos de plugins).
Ip/Puertos: IPs origen/ destino y puertos origen/destino, en este caso cuando el
puerto y/o la IP esta marcada como ANY, el SIEM remplazará la palabra ANY
con las IP/puerto que coincidan con la regla.
Datos: Información de la directiva.
Nivel: Directiva con la que coincide.
Fiabilidad: la fiabilidad se puede clasificar en:
 Fiabilidad Absoluta: La fiabilidad del evento = Fiabilidad de la Directiva
 Fiabilidad Relativa: Fiabilidad= Suma de las fiabilidades (evento +
directivo).
 Se le da un nuevo ID y se incluye en la tabla.
4. Se debe adicionar el nuevo evento en las tablas “Ossim Backlog” y “Ossim
Backlogevent”.
5. Se comprueba el nivel de la regla (si es nula o no).
Ilustración 138. Ossim management server
Fuente: consolidación del equipo de trabajo
128
Ilustración 139. Asignación de roles, tipos de roles
Fuente www.alienvault.com
Ilustración 140. Política de priorización, valores de prioridad
Fuente www.alienvault.com
Ilustración 141. Tipos de correlación
Fuente www.alienvault.com
Ilustración 142. Datos de los tipos de correlación
Fuente www.alienvault.com
Crear una nueva política de correlación:
Nueva Directiva de Correlación: Para simplificar la creación de las directivas de correlación se
puede utilizar la interfaz gráfica.
Escoger el nombre de la nueva directiva de correlación: Este será el nombre que tendrán todos
los eventos generados como consecuencia de esta directiva.
129
Ilustración 143. Creación de una Nueva Directiva
Fuente: pantallazo de la interfaz grafica
Escogemos el nivel de prioridad: Se dá un valor numérico de 0 a 5 (siendo 0 el menor y 5 el
mayor), todos los eventos generados en la misma directiva, podrán tener un valor diferente de
fiabilidad, dependiendo del nivel de correlación en el que se haya generado el evento.
Si se establece la prioridad a los eventos generados dentro de la directiva nunca se convertirán
en una alarma. Sise establece un valor de alta prioridad, la directiva puede generar alarmas
después de agrupar a sólo unos pocos eventos.
Ilustración 144. Creación de una Nueva Directiva
Fuente: pantallazo de la interfaz grafica
Como se explicó en el proceso de funcionamiento todos los eventos al ingresar al servidor van a
buscar coincidir con alguna de las directivas de correlación ya creadas, este comportamiento se
puede modificar o delimitar con la creación de políticas (como se explico en el capitulo anterior).
Estas reglas tienen características especiales como:
Debe venir siempre de un detector.
No tiene tiempo de espera, se activa con tan sólo un evento.
Se debe procurar cubrir todas las variantes posibles de un evento o ataque
Teniendo en cuenta esto, cuando se desea crear una nueva directiva de correlación, se deben
tener en cuenta todos los posibles eventos, para tener una idea podemos revisar el lista de
Plugins y los eventos que reconoce cada uno.
Luego de seleccionar el valor de prioridad es necesario entonces escoger el plugin que incluya
el evento de la directiva que se va a crear:
130
Ilustración 145. Creación de una Nueva Directiva: Selección de Plugin
Fuente: pantallazo de la interfaz grafica
Cada plugin tiene asociado un ID (Identificador de Plugin), y a este hay asociados gran
cantidad de eventos (identificados como Plugin SID), ahora es necesario seleccionar los
eventos que coincidan con la directiva de correlación:
Ilustración 146. Creación de una Nueva Directiva: Selección de Plugin
Fuente: pantallazo de la interfaz grafica
Se pueden seleccionar y adicionar los eventos que sean necesarios y de la misma forma
eliminar los que no se necesiten.
Luego de elegir los eventos de la directiva se debe escoger los activos origen y destino de la
mismo (por defecto, todos los orígenes y destinos tanto internos o externos cumplirían la
directiva, por ellos es necesario delimitarlo).
En esta pantalla también puede definirlos puertos de origen y destino del os eventos que
coincidan con la regla de correlación. Por defecto cualquier puerto coincida con las condiciones
definidas por la regla de correlación.
131
Ilustración 147. Creación de una Nueva Directiva
Fuente: pantallazo de la interfaz grafica
Se pueden seleccionar varios activos, y puertos (cuantos como sean necesarios), en la parte
de puertos, se pueden definir estos de forma numérica, si son varios, seguidos de una coma (,)
y sin espacio ó se pueden realizar excepciones  ANY: Todos los puertos ó ANY!80: Todos
exceptuando el puerto 80.
Algunos eventos tienen un campo que indica el protocolo de red que se estaba utilizando en el
momento en que el evento fue generado. Esta condición puede ser utilizada en la directiva de
correlación, de modo que la directiva sólo funciona cuando el evento tiene un protocolo en
particular:
Ilustración 148. Creación de una Nueva Directiva -Protocolo
Fuente: pantallazo de la interfaz grafica
Si no se desea limitar la directiva, se escoge la opción ANY.
La regla de correlación trabajará con los acontecimientos recogidos por todos y cada uno de
sensor de AlienVault.
Cada vez quela condición establecida por la regla de correlación es igual, un nuevo evento se
genera con un valor de fiabilidad de nuevo. Este evento se vuelve a inyectaren el servidor de
correlación como si viniera de otro sensor de AlienVault.
132
Este evento tendrá el valor de prioridad asignado previamente como una prioridad global de la
directiva de correlación, el valor de la fiabilidad se define en la regla de correlación y el valor de
los activos que cumplan las condiciones de la regla de correlación (En caso de que tengan un
valor
de
activos
diferente
del
más
alto
será
utilizado).
El riesgo de que el evento se calcula utilizando la siguiente fórmula:
RIESGO= (Valor del activo * Prioridad*Fiabilidad) / 25
Tabla 15. Tabla Relación de Riesgo
Característica
Valor Mínimo
Valor Máximo
Prioridad
0
5
Fiabilidad
0
10
Valor del Activo
0
5
Fuente: consolidación del equipo de trabajo
Prioridad: Su valor pretende analizar el daño que podría ocasionar un ataque que se
realiza de forma exitosa, para los eventos en tiempo real responde a la pregunta ¿Qué
tan importante es el evento o ataque que está ocurriendo en ese momento?
Fiabilidad: Que tan fiable es que un ataque tenga éxito.
Valor del activo: Valor o importancia de este activo para el correcto funcionamiento de
la red.
Ilustración 149. Elección Valor de Fiabilidad
Fuente: pantallazo de la interfaz grafica
Se debe también elegir el número de eventos que es necesario que lleguen al servidor para
correlacionar de forma exitosa la directiva, es necesario indicarle un valor numérico (puede ser
cualquier valor mayor de 1):
133
Ilustración 150. Elección de Condición de Número de Eventos
Fuente: pantallazo de la interfaz grafica
¿Cómo se visualizan las nuevas directivas de correlación? : En este caso hemos creado la
directiva “prueba”
Ilustración 151. Visualización de una Nueva Directiva
Fuente: pantallazo de la interfaz grafica
Ilustración 152. Visualización de una Nueva Directiva
Fuente: pantallazo de la interfaz grafica
134
2.1 Pestaña Propiedades (Properties): Esta pestaña nos permite visualizar de forma
detallada las directivas de correlación creadas y sus propiedades:
Ilustración 153. Vista de Directivas y propiedades
Fuente: pantallazo de la interfaz grafica
Si se desea modificar alguna de las propiedades solo se debe dar click sobre la
directiva, allí aparecerá una lista de propiedades que pueden ser modificadas según
las necesidades del sistema.
Ilustración 154. Edición de las Propiedades
Fuente: pantallazo de la interfaz grafica
2.2 Pestaña Backlog: Esta pestaña nos permite ver detalles de los eventos que han
coincidido con alguna directiva de correlación, e información de origen, destino y
nombre del plug con el cual está relacionado.
135
Ilustración 155. Detalle de los Eventos
Fuente: pantallazo de la interfaz grafica
3. Submenú:
Cumplimiento
de
Cartografía
(Compliance
Mapping):“Table
ISO27001An.A05_Security_Policy' doesn't exist” AlienVault
permite configurar la
herramienta para detector y analizar eventos de seguridad rigiéndose en la norma PCI y la
norma ISO27001, para ello es necesario contar con personal experto en la norma para
realizar las configuraciones que sean pertinentes, en este caso se omitió esta funcionalidad
de la herramienta.
4. Submenú: Correlación Cruzada (Cross Correlation)
Realiza un análisis de los Eventos Físicos vs. Vulnerabilidades, esta correlación se utiliza
para modificar la fiabilidad de un evento. La modificación de este valor tiene un efecto
sobre el riesgo y, como consecuencia, la generación de alarma.
Esta se lleva a cabo con los eventos que tienen una dirección IP de destino definida. La
razón es que en este tipo de correlación, que se va a comprobar si el destino de los
eventos tiene algún tipo de vulnerabilidad que pueda ser explotada (definida en la base de
datos).
La regla básica para la correlación de la Cruz es la siguiente: si el IDS (Snort), ha
descubierto un ataque a una IP, y se sabe que la IP tiene que la vulnerabilidad, la
fiabilidad se incrementará de forma inmediata a 10.
Ilustración 156. Reglas de la Correlación Cruzada
Fuente: pantallazo de la interfaz grafica
Para editar una regla o directiva de correlación cruzada, solo es necesario dar click en el
icono modificar, allí nos abrirá una nueva ventana la cual nos permite modificar todos sus
campos según sea necesario.
136
Ilustración 157. Edición de las Reglas de Correlación Cruzada
Fuente: pantallazo de la interfaz grafica
Algunas de las posibles opciones que se pueden escoger para la modificación son:
Ilustración 158. Edición de las Reglas de Correlación Cruzada
Fuente: pantallazo de la interfaz grafica
5. Submenú: Percepción de la Situación de la Red (Situational Awareness)
Permite controlar y trabajar con los datos de Netflow, además de la inclusión de esta
interfaz web, AlienVault también se complementa con Nfdump(instalado por defecto),
recoge datos de NetFlow generados por los dispositivos de red y permite graficarlos.
NetFlow es un protocolo de red desarrollado por Cisco Systems para correr en Cisco IOS
habilitado para equipos de recolección de información de tráfico IP. Es propietario, pero
con el apoyo de otras plataformas de IOS, tales como routers Juniper, Linux Free BSD y
OpenBSD.
5.1 Pestaña: Tráfico (Traffic) La página está dividida en dos partes: La parte superior le
permite navegar a través de los datos de NetFlow, así como la selección de un
intervalo de tiempo. La parte inferior contiene todos los controles para procesar los
datos
de
NetFlow.
137
Ilustración 159. Visualización de Tráfico
Fuente: pantallazo de la interfaz grafica
Ilustración 160. Visualización de Tráfico
Fuente: pantallazo de la interfaz grafica
Ilustración 161. Configuración para la visualización
Fuente: pantallazo de la interfaz grafica
El resumen estadístico ofrece una visión general del tráfico, paquetes en la ranura de
tiempo seleccionado de tiempo.
138
5.2 Pestaña Perfil: “There are not sensors with NTOP enabled” : Las gráficas generadas
en esta pestaña no están habilitadas en esta implementación ya que se decidió no
instalar NTOP de forma predeterminada en el sistema.
5.3 Pestaña Captura de Tráfico: Permite escoger el (los) activos de los cuales se desea
generar la gráfica y el período de tiempo deseado.
Ilustración 162. Configuración para la visualización de gráficas de tráfico
Fuente: pantallazo de la interfaz grafica
6. Submenú Disponibilidad (Availability):
“The requested URL /nagios3//cgi-bin/status.cgiwasnotfoundonthis server”, en este caso
permite ver la disponibilidad de los equipos registrada en Nagios, como se explico
anteriormente en el desarrollo ingenieril la herramienta de monitoreo Nagios ya se
encuentra instalada y funcionando en el Data Center, por esta razón no se utilizó para esta
implementación. Sin embargo podemos visualizar el estado del servidor y los servicios
activos en él.
Ilustración 163. Vista Local del monitoreo de Nagios – Vista Normal
Fuente: pantallazo de la interfaz grafica
139
Ilustración 164. Vista Local del monitoreo de Nagios - Vista Crítica
Fuente: pantallazo de la interfaz grafica
7. Submenú Inventario (Inventory)
Permite visualizar por grupos los activos de la red, bien sea por servicio, por IOS por
segmento entre otros.
Ilustración 165. Vista de Activos por Servicios
Fuente: pantallazo de la interfaz grafica
Ilustración 166. Vista de Activos por Equipos
Fuente: pantallazo de la interfaz grafica
8. Submenú Reputación Ip (IP Reputation):
AlienVault permite integrar el servicio de reputación, este servicio consiste en una base de
datos accesible vía DNS que contiene millones de IPs con una reputación negativa debido
a que son máquinas comprometidas distribuyendo spam sin control por parte del usuario o
140
IPs utilizadas para ataques de seguridad. Adicionalmente permite visualizar dichas IPs con
respecto a su origen en el mapa.
Ilustración 167. Vista de Reputación IP – Eventos SIEM
Fuente: consolidación del equipo de trabajo
Ilustración 168. Vista de Reputación IP
Fuente: pantallazo de la interfaz grafica
141
Menú Configuración (Configuration)
Permite configurar de forma general las características y funcionamiento del sistema desde la
interfaz gráfica, las opciones de configuración se han clasificado en la configuración simple y
avanzada.
1. Submenú: Configuración Simple (Main– Simple):
Para cambiar el valor de uno de los parámetros de configuración, solo se debe hacer click
en la categoría, introducir el valor de a nueva configuración y hacer click en “Actualizar la
Configuración”.
Ilustración 169. Menú de Configuración Simple
Fuente: pantallazo de la interfaz grafica
1.1 Pestaña Backup: Permite configurar el número de días almacenado en la base de
datos SIEM. La ventana de eventos de seguridad SIEM en este caso esta configurada
para visualizar eventos hasta de 5 días, pasado este tiempo se envían a la Base de
Datos.
Ilustración 170. Configuración Simple: Backup
Fuente: pantallazo de la interfaz grafica
1.2 Pestaña Tickets: Permite configurar la apertura de tickets de forma automática por
cada alarma generada. También nos da la opción de configurar un servidor.
142
Ilustración 171. Configuración Simple: Tickets
Fuente: pantallazo de la interfaz grafica
1.3 Pestaña Lenguaje (Language): Permite seleccionar el idioma a utilizar en la interfaz
gráfica, por defecto: Inglés.
Ilustración 172. Configuración Simple: Lenguaje
Fuente: pantallazo de la interfaz grafica
Opciones y métodos de inicio de sesión (Loginmethods/options): (LDAP CN, O, OU:
Parámetros de LDAP).
Ilustración 173. Configuración Simple: Métodos de Ingreso e Inicio de Sesión en la
Herramienta
Fuente: pantallazo de la interfaz grafica
143
1.4 Pestaña Métricas (Metrics):
Ilustración 174. Configuración Simple: Métricas
Fuente: pantallazo de la interfaz grafica
1.5 Pestaña Actualizaciones (Updates): El sistema realiza una revisión diaria de las
actualizaciones disponibles del sistema.
Ilustración 175. Configuración Simple: Actualizaciones
Fuente: pantallazo de la interfaz grafica
Adicionalmente a las opciones básicas de configuración existen varios menús más
para la configuración más detallada del sistema, en este apartado se pretenden
mostrar los menús adicionales para la configuración.
2. Submenú: Main – Advanced
Ilustración 176. Menú Configuración Avanzada
Fuente: pantallazo de la interfaz grafica
144
Configuracion PHP GACL (ACL phpGACLconfiguration):
Ilustración 177. Configuración Avanzada:Configuracion PHP GACL
Fuente: pantallazo de la interfaz grafica
Servidor AlienVault (AlienVault Server): Configuración del servidor AlienVault.
Ilustración 178. Configuración Avanzada: Servidor AlienVault
Fuente: pantallazo de la interfaz grafica
2.1 Pestaña Backup: Adicional a las opciones básicas de configuración de Backup existen
otras adicionales como IP de la Base de Datos, puerto, etc.
145
Ilustración 179. Configuración Avanzada: Backup
Fuente: pantallazo de la interfaz grafica
2.2 Pestaña Aplicaciones Externas (External Applications): Permite la integración de la
herramienta NMap con AlienVault.
Ilustración 180. Configuración Avanzada: Aplicaciones Externas
Fuente: pantallazo de la interfaz grafica
Configuración del Servidor de correo para el envío de Alarmas (Mail Server
Configuration):
Ilustración 181. Configuración Avanzada: Servidor de E-mail
Fuente: pantallazo de la interfaz grafica
2.3 Pestaña Marco OSSIM (Ossim Framework): Configuración de la interfaz gráfica del
servidor OSSIM. (Configuración de PHPy enlaces aotras aplicaciones).
146
Ilustración 182. Configuración Avanzada: Interfaz web de OSSIM
Fuente: pantallazo de la interfaz grafica
2.4 Pestaña Demonio Marco OSSIM (Ossim Framework Daemon): Configuración del
demonio (s un tipo especial de proceso informático no interactivo, es decir, que se
ejecuta en segundo plano en vez de ser controlado directamente por el usuario, se
ejecutan de forma continua) que permite la integración de la interfaz web del servidor
AlienVault.
Ilustración 183. Configuración Avanzada: Demonio Interfaz Web OSSIM
Fuente: pantallazo de la interfaz grafica
Frameworkd Directory  /usr/share/ossim-framework/ossimframework
147
OSVDB (Configuración de la Base de Datos de Vulnerabilidades):
Ilustración 184. Configuración Avanzada: OSVDB
Fuente: pantallazo de la interfaz grafica
2.5 Pestaña Políticas de Contraseñas (Passwordpolicy):
Ilustración 185. Configuración Avanzada: Políticas de Contraseña
Fuente: pantallazo de la interfaz grafica
Configuración de la herramienta para graficar RRD (RRD): Tiene como objetivo gestionar de
datos (ancho de banda , temperaturas , la CPU de carga, etc), los datos se almacenan en un
round-robin(base de datos), también incluye herramientas para extraer RRD datos en un formato
gráfico.
En este apartado se configuran los directorios en el servidor donde se almacenará la información.
148
Ilustración 186. Configuración Avanzada: RRD
Fuente: pantallazo de la interfaz grafica
2.6 Pestaña Snort: Configuración para la integración de Snort en AlienVault (Dirección Ip
de la Base de Datos, Usuario y Contraseña y puerto).
Ilustración 187. Configuración Avanzada: Snort
Fuente: pantallazo de la interfaz grafica
Snort location /etc/snort/
Snort rule location  /etc/snort/rules/
Snort DB Host  172.29.51.27 - Snort DB Port3306
149
2.7 Pestaña Actividad de Usuario (Useractivity): Permite configurar el tiempo de duración
de la sesión de cada usuario y habilitar el log de eventos de los mismos.
Ilustración 188. Configuración Avanzada: Actividad de Usuario
Fuente: pantallazo de la interfaz grafica
2.8 Pestaña Configuración Escáner de Vulnerabilidades (Vulnerability Scanner):
Ilustración 189. Configuración Avanzada: Escáner de Vulnerabilidades
Fuente: pantallazo de la interfaz grafica
3. Submenú: Usuarios:
Para acceder a la información recopilada y generada por AlienVault, debe tener un usuario
en la interfaz web de AlienVault. La instalación crea un usuario por defecto que permite el
acceso a la interfaz web por primera vez para crear y establecer permisos para otros
usuarios.
Cada usuario puede tener privilegios de lectura y escritura diferentes, así como activar o
desactivar ciertas características de la interfaz web de AlienVault.
Por defecto el primer usuario creado para el ingreso a la interfaz gráfica es el usuario
“admin” con contraseña “admin”, luego de acceder por primera vez con estas credenciales
de ingreso se solicita el cambio de la contraseña, este usuario sólo debe ser utilizado por la
persona encargada del afinamiento de la herramienta y configuración de la misma ya que
posee privilegios totales de escritura y lectura.
3.1 Pestaña Configuración: Para configurar correctamente los usuarios dentro de la
interfaz web de AlienVault es importante tener el inventario de las redes y activos bien
organizados y de forma detallada.
150
Ilustración 190. Vista de los usuarios configurados
Fuente: pantallazo de la interfaz grafica
Entidades (Entities): Es una funcionalidad que ofrece la versión Profesional de
AlienVault que permite la creación de entidades para simplificar la gestión de los
permisos de usuario en entornos complejos (gran cantidad de activos y grupos
diferentes de administradores para cada grupo de activos). Una entidad es una
agrupación virtual de objetos dentro del inventario de AlienVault (hosts, grupos de
hosts, redes y grupos de red, etc.).
Ilustración 191. Vista de las Entidades Configuradas
Fuente: pantallazo de la interfaz grafica
Las opciones seleccionadas son las que permite visualizar:
Company Sensores /Activos /Menús / Políticas
Departamento  Sensores /Activos /Menús
Grupo  Sensores //Menús / Políticas
Para ingresar una nueva entidad sólo se debe dar click en Nueva Entidad “New Entity”.
Ilustración 192. Vista para la creación de una nueva entidad
Fuente: pantallazo de la interfaz grafica
151
o
o
o
o
o
o
Nombre: Nombre de la entidad.
Dirección: Dirección física en la que los activos que pertenecen a esta entidad.
Tipo: Tipo de entidad.
Usuario Administrador: Usuario de administrador de esta entidad.
Padres: En caso de que esta entidad haga parte de una entidad “más grande” se
debe relacionar la otra entidad en este campo.
Sensores: Sensores que los usuarios dentro de esta entidad puede controlar.
Activos: Los activos que los usuarios dentro de esta entidad puede controlar.
Menú: Opciones de menú dentro de la Interfaz Web de AlienVault que los usuarios
dentro de esta entidad tienen acceso.
Template (Plantillas): Para poder crear una nueva entidad es necesario tener
configurada una platilla previamente.
Configuración de Plantillas: Se debe introducir el nombre de la plantilla y las entidades
que se desean relacionar a la misma (pueden no relacionarse ninguna entidad), se
deben seleccionar las redes que los usuarios seleccionados para esta plantilla será
capaz de controlar, así como sensores, que recogerá los eventos que los usuarios
verán
en
la
interfaz
Web
de
AlienVault.
Las opciones de menú que aparecen en la interfaz web de AlienVault puede ser
limitado en cada plantilla de usuario, para limitar la lectura y escritura se deben marcar
las casillas correspondientes a las secciones que desea dar acceso a los usuarios.
Ilustración 193. Vista de las plantillas (Templates)
Fuente: pantallazo de la interfaz grafica
152
Para crear un nuevo usuario, sólo se debe dar click en “New User” e ingresar los datos solicitados.
Ilustración 194. Vista para ingresar un nuevo usuario
Fuente: pantallazo de la interfaz grafica
3.2 Pestaña: Actividad de Usuario: Permite configurar las actividades de los usuarios
dentro de la interfaz Web de AlienVault que estar conectado.
Sólo es necesario arrastrar los ítems a los cuales se desea dar ingreso y remover los
que no.
Ilustración 195. Configuración de los ítems a permitir/ denegar
Fuente: pantallazo de la interfaz grafica
153
4. Submenú: Componentes AlienVault (AlienVault Components):
4.1 Pestaña: Sensor: El Sensor de AlienVault es el componente encargado de la
recolección y normalización de los eventos generados porl os diferentes activos de la
red.
El número de sensores dependerá fundamentalmente del número de redes que
necesitan ser monitoreadas yen la distribución geográfica de la corporación.
En el caso de nuestra implementación solo se tiene un sensor encargado de la
recolección de datos (dado a que la cantidad de equipos a integrar es mínima).
Ilustración 196. Vista Sensores
Fuente: pantallazo de la interfaz grafica
Para ingresar un nuevo sensor al sistema solo es necesario dar click en “New” y
completar los datos solicitados por el sistema.
Ilustración 197. Configuración para el ingreso de un nuevo sensor
Fuente: pantallazo de la interfaz grafica
Nombre del sensor: Hostname, se permiten caracteres alfanuméricos y
espacios. Algunos símbolos tales como "-" "_" también se utiliza en este campo.
IP: Dirección IP del sensor en formato IPv4. En caso de que el sensor tiene
varias direcciones IP que debe introducir la dirección IP que se utiliza para
enviar los eventos al servidor de AlienVault.
Prioridad: Esta opción
predeterminada.
se utiliza para mostrar el sensor
de forma
Descripción: Descripción corta del sensor. El campo de descripción es opcional
154
Características del sensor de la implementación:
Ilustración 198. Sensor Implementado
Fuente: pantallazo de la interfaz grafica
4.2 Pestaña Servidor (Servers): En nuestra implementación de AlienVault se tiene un único
servidor que trabaja como SIEM y Logger. En otro tipo de diseños para la
implementación de AlienVault se puede realizar una jerarquía de red Multi-nivel que
permite la correlación de múltiples servidores en diferentes niveles. En esta sección
que, básicamente, se tendrán que insertar todos los servidores de AlienVault que
forman parte de la implementación, y las características que se habilitará en cada
servidor. En el caso de nuestra implementación sólo tenemos un servidor:
Características del servidor de la implementación:
Ilustración 199. Servidor de la Implementación
Fuente: pantallazo de la interfaz grafica
155
4.3 Pestaña Base de Datos (Databases): Como ya se ha explicando anteriormente se
tiene una Base de Datos MySQL que nos permite almacenar todos los datos recibidos
y procesados por el servidor SIEM.
Ilustración 200. Base de Datos configurada
Fuente: pantallazo de la interfaz grafica
Ilustración 201. Características Base de Datos configurada
Fuente: pantallazo de la interfaz grafica
Nombre: Nombre dado a la base de datos.
IP: Dirección IP del host que ejecuta la base de datos MySQL.
Puerto: Puerto de escucha de MySQL( por defecto3306).
Usuario: Nombre de usuario en el servidor de MySQL.
Contraseña: Contraseña para el nombre de usuario en el servidor MySQL.
Repetir Contraseña: Repetir el nombre de usuario en el servidor MySQL.
5. Submenú: Colección / Plugins (Collection):
Los pluginscomo se explico anteriormente, son utilizados por AlienVault para mejorar las
capacidades de recolección de los sensores de AlienVault, diciéndole al sistema la manera
de entender, y recoger los eventos generados por cada aplicación y el dispositivo (ayuda
con la recolección y la normalización de los eventos). Con el fin de calcular el riesgo para
cada caso que llega al servidor de AlienVault, el sistema necesita saber todos los tipos
156
posibles de eventos que pueden ser recogidos por el sistema. En la siguiente imagen
podemos ver todos los eventos que el servidor de AlienVault está listo para procesar.
5.1 Pestaña Data Source:
Ilustración 202. Vista de Plugins
Fuente: pantallazo de la interfaz grafica
Ejemplo de la visualización de uno de los plugins – Plugin ID 1102 -EVENT TYPES
(1102, http_decode)
Ilustración 203. Vista Plugin ID 1102
Fuente: pantallazo de la interfaz grafica
157
Nombre del Plugin (Name), Prioridad (Priority) y Fiabilidad (Reliability)
Ilustración 204. Vista Plugin ID 1102
Fuente: pantallazo de la interfaz grafica
DS Group: Permite así mismo organizar los plugins por grupo de eventos, por ejemplo:
Eventos Denegados por Fortinet, o virus, para así lograr una mejor visualización y un
mejor control y supervisión de los mismos.
Ilustración 205. Vista de Eventos por Grupo
Fuente: pantallazo de la interfaz grafica
Al dar click sobre alguno de los DS podemos visualizar el detalle del plugin: En este
caso podemos ver el Plugin_ID, la fuente que generó los eventos relacionado a este
plugin (Data Source), una pequeña descripción y todos los eventos que están
relacionados al Plugin y que han sido procesados por el servidor SIEM.
158
Ilustración 206. Detalle del Plugin
Fuente: pantallazo de la interfaz grafica
Taxonomía (Taxonomy): Pretende clasificar de forma fácil y homogénea el conjunto de
categorías de servicios y soluciones de seguridad de la información.
Ilustración 207. Vista Taxonomía
Fuente: pantallazo de la interfaz grafica
Descargas (Downloads): AlienVault siendo un sistema de fuente abierta, nos da la
posibilidad de conocer algunas de las actualizaciones de plugins y descargas de los
mismos que se han actualizado en la red.
159
Ilustración 208. Vista de Descargas de Plugins disponibles en la red
Fuente: pantallazo de la interfaz grafica
6. Submenú: Notificaciones de Actualización (Update Notification)
Permite configurarse para comprobar automáticamente la disponibilidad de las nuevas
actualizaciones de software, mostrará las disponibles para su aplicación.
Ilustración 209. Vista notificaciones disponibles en la red
Fuente: pantallazo de la interfaz grafica
160
7. Submenú Backup:
Permite administrar el tiempo o cantidad de eventos para generar los backups en la Base
de Datos y así no acumular gran cantidad de eventos en el servidor, por defecto, los
acontecimientos de los últimos 5 días se almacenarán. Este número se puede incrementar
dependiendo del hardware que se utiliza y el número de eventos por día que se han
recogido y almacenado cuando se utiliza el SIEM. Eventos nunca se eliminan luego de
haber sido purgados de la base de datos, que se acaba de almacenar en un archivo y que
puedan ser restaurados en el momento de ser requeridos.
Se puede manejar una columna de administrado de backups donde se pueden programar
la ejecución de los mismos (Imagen – Backup Manager), así mismo nos permite conocer
que backups se han almacenado y cuales se han restaurado.
Ilustración 210. Vista Backup
Fuente: pantallazo de la interfaz grafica
161
5.4 CONSOLIDACION Y ANALISIS DE LOS RESULTADOS DE LA EVALUACIÓN TÉCNICA Y
FUNCIONAL DE LA PRUEBA PILOTO:
Se realiza un análisis numérico con relación al desempeño de las herramientas ya existentes y
estudiadas anteriormente vs. la implementación de la herramienta AlienVault.
Estos resultados reflejan el comportamiento de AlienVault dentro de la red monitoreada y las
características a resaltar según su desempeño.
La relación numérica está en escala 1:5, siendo 1 el valor más bajo y 5 el valor más alto en cuanto
a desempeño, en el caso del 0 representa que esta característica no aplica para dicha herramienta
ya que su implementación no incluye esa variable (ver tabla 4.)
Tabla 16. Consolidado de la valoración comparada de atributos de las herramientas usadas VS.
AlienVault
Variable
Atributo
Software
Hardware
Velocidad del monitoreo
Monitoreo de la
Calidad del monitoreo
disponibilidad y
desempeño de redes Desempeño de la herramienta
Herramientas de monitoreo
GroundWork:
Firewall FortiAnalyzer FortiAnalyzer Aplications
OpManager
Nagios
Analyzer 7
1000 B
400 B
Manager
5
5
5
5
5
5
0
0
0
5
5
0
5
3
0
0
0
3
5
1
0
0
0
3
Monitoreo de
Servidores
Monitoreo de la
infraestructura TI
Monitoreo de la
Infraestructuras de
otros dispositivos
Alertas
Evita alertas falsas
5
5
5
4
4
4
0
0
0
3
4
5
5
4
3
1
4
0
0
0
4
4
3
4
4
3
0
0
0
5
4
4
Determinacion de rutas adecuadas
0
4
0
0
0
2
3
Calidad de las alertas
Oportunidad en el disparo de la
alarma
Seguridad transaccional
Trafico de la informacion
Eficiencia del monitoreo
Seguridad transaccional
Velocidad de la transaccion
0
4
0
0
0
2
3
5
4
0
0
0
5
3
5
5
4
5
5
4
4
4
4
3
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
2
5
4
2
4
3
3
4
3
5
Velocidad
0
4
0
0
0
0
0
Oportunidad
0
4
0
0
0
0
0
5
4
3
2
2
1
1
1
4
4
4
0
0
0
0
1
1
1
4
3
4
4
4
4
5
5
4
4
4
0
0
0
0
1
1
1
4
0
0
0
0
4
4
5
0
0
0
0
0
0
0
1
1
1
4
0
0
0
0
4
4
5
0
0
0
4
1
1
1
3
3
3
4
0
0
0
0
4
4
5
0
0
0
4
1
1
1
3
3
3
4
0
0
0
0
0
0
0
3
3
3
1
1
0
0
0
0
0
5
5
5
5
5
4
4
5
4
4
5
5
5
5
5
5
5
5
5
3
0
5
5
0
5
5
106
57,29
3
114
61,62
2
27
14,59
3
62
33,51
3
62
33,51
2
57
30,81
4
158
85,4
Velocidad del monitoreo
Monitoreo del Trafico
Calidad del monitoreo
de redes
Desempeño de la herramienta
Gestion de
enrutadores
Alienvault
Velocidad de la deteccion
Calidad de control
Calidad del graficador
Representacion
grafica a tiempo real Velocidad del graficador
de redes
Concordancia con la realidad
Calidad del reporte
Genera reportes
Velocidad del reporte
integrales de redes
Concordancia con la realidad
Efectividad
Administracion de
Oportunidad del servicio
servicios
Continuidad del servicio
Seguridad
Monitoreo de la web
Continuidad del servicio
Velocidad de la deteccion
Correlacion de
eventos
concordancia de los eventos
Oportunidad de la deteccion
Identifica patrones de
Calidad de la deteccion
ataque
Diferenciacion
Extienda el poder de
Calidad de la interface
la herramienta
Costo
Relación Costo beneficio
TOTAL
%
Fuente: consolidado del equipo de trabajo
162
Evaluación Económica
Para la evaluación económica se tomaron valores generales del costo de la instalación, soporte y
actualizaciones de las diferentes herramientas, en el caso de las herramientas con valor $0,
significa que esta variable no tiene un costo significativo por estar incluida en alguno de las otras
variables.
Se incluye el porcentaje obtenido del análisis anterior para así poder visualizar la relación costo
beneficio de las herramientas
El valor final $92.701.200 indica el costo total de la plataforma de monitoreo en un valor general,
incluyendo todas las herramientas allí mencionadas.
Tabla 17. Consolidado de costos de los diferentes aplicativos Vs. AlienVault
Herramientas
GroundWork:Nagios
OpManager
Firewall Analyzer 7
FortiAnalyzer 1000 B
FortiAnalyzer 400 B
Aplications Manager
Alienvault
Valor del aplicativo
$0
$0
$0
$ 18.000.000
$ 12.000.000
$0
$ 23.000.000
Soporte tecnico Actualizaciones
$ 2.000.000
$0
$ 8.472.800
$ 2.322.000
$ 6.549.000
$ 1.230.000
$ 6.000.000
$0
$ 6.000.000
$0
$ 5.897.400
$ 1.230.000
$0
$0
Fuente: consolidado del equipo de trabajo
163
Total
$ 2.000.000
$ 10.794.800
$ 7.779.000
$ 24.000.000
$ 18.000.000
$ 7.127.400
$ 23.000.000
$ 92.701.200
Evaluacion Tecnica
57.29%
61.62%
14.59%
33.51%
33.51%
30.81%
85.40%
6. ANÁLISIS DE RESULTADOS
Como se puede observar en los resultados de la tabla “Instrumento de captura –
comportamiento de los atributos de comparación de las herramientas usadas Vs
AlienVault”, se ve una diferencia de 54 puntos entre la herramienta AlienVault y
OpManager, lo que indica que en el momento la herramienta que cumple la mayor cantidad
de características ideales para el monitoreo de la red es OpManager; sin embargo
comparando estas características con el piloto de AlienVault encontramos que esta última
tiene la capacidad de suplir e incluso superar las funcionalidades de la mayoría de
herramientas.
Como se puede observar a nivel de porcentajes la evaluación indica un porcentaje
altamente significativo para AlienVault con 85,4%, seguida por OpManager con 61,62%.
Sí se observa con detenimiento la tabla y los valores consignados en ella, podemos
concluir que otras herramientas como Nagios y OpManager están en capacidad de ofrecer
un mejor monitoreo a nivel de servidores (servicios y características de los mismos),
AlienVault por el contrario es la única herramienta a nivel de seguridad que nos ofrece
oportunidad y certeza al momento de monitorear eventos de seguridad.
Se invierte gran cantidad de dinero en la implementación y soporte de las herramientas que
actualmente se utilizan, sin embargo al comparar las características de las mismas
podemos observar que se tendría una mayor rentabilidad económica si se utilizaran sólo
dos o máximo tres de las herramientas y se desarrollaran y explotaran todas sus
funcionalidades. En este caso las herramientas que podrían utilizarse con mejores
resultados son AlienVault y OpManager, (por la gran cantidad de características que
reúnen y su fácil manejo).
La integración de Nagios podría no solo traer beneficios económicos (al ser una
herramienta de código libre permite implementarse a bajo costo) sino que también permite
ser integrada con AlienVault haciendo de este un sistema de monitoreo mucho más
robusto.
164
7. CONCLUSIONES Y RECOMENDACIONES
La complejidad de la configuración de la herramienta está directamente relacionada al
detalle de la red y activos que se desee monitorear; las posibilidades que ofrece una
herramienta como AlienVault al ser libre son infinitas en cuanto a configuración,
visualización y correlación, haciendo que la herramienta sea muy flexible en su manejo e
instalación. No obstante es necesario contar con conocimiento básicos de Linux, y amplios
de redes y seguridad informática.
Cuando se desea monitorear redes a gran escala como lo es la red del Data Center de
Telefónica Telecom que cuenta con gran cantidad de activos configurados y muchos
servicios críticos para la operación se recomienda el uso de herramientas adicionales para
el monitoreo y control de servidores, aplicaciones y performance de estos. AlienVault como
se indica en las conclusiones es una herramienta diseñada y enfocada al monitoreo y
correlación de eventos propios de seguridad. Para el monitoreo adicional de
características, performance y servicios activos en servidores se recomienda utilizar
herramientas complementarias como OpManager y Nagios.
Con respecto a la configuración de la herramienta AlienVault, cabe resaltar la importancia
del proceso de correlación para minimizar e incluso eliminar los falsos positivos; se
consigue una reducción de las alertas con la correcta configuración de reglas de
correlación de eventos para así asegurarnos la eficacia y veracidad de las alarmas
generadas por la herramienta, para ello es necesario conocer en detalle la complejidad de
la red, sus servicios críticos y los procesos que en ella ocurren.
Se recomienda dar un mayor alcance y desarrollo a las herramientas ya adquiridas e
implementadas en el Data Center e integrarlas con AlienVault para hacer de este un
sistema oportuno y completo.
Se recomienda adquirir la licencia profesional de AlienVault ya que activa opciones de la
herramienta como lo son: correlación y reportes, adicionalmente se recomienda la
contratación del soporte técnico como mínimo para el primer año de funcionamiento de la
herramienta en la red, ya que el monitoreo de alguno equipos y la configuración de algunas
directivas de correlación necesitan desarrollos adicionales por parte del fabricante.
Se recomienda la contratación del soporte para la implementación de la herramienta,
debido a la poca documentación existente de la herramienta y la muy pobre información
que hay en los foros de la comunidad AlienVault, lo que nos lleva a realizar gran cantidad
de pruebas de funcionamiento para las diferentes configuraciones, adicionalmente como ya
se indicó anteriormente existen algunos equipos que necesitan desarrollos adicionales
para el monitoreo de estos activos.
Dado el gran tamaño de la red que se desea monitorear, se recomienda realizar una
solución con tres máquinas físicas de gran capacidad en memoria y disco, en lo posible
con arreglos RAID 5, se recomienda también realizar Backups de forma periódica de los
archivos de configuración del sistema por si ocurre algún daño en el servidor SIEM.
Dadas las conclusiones anteriores se recomienda la utilización de la herramienta
AlienVault, para esto incluimos un plan de implementación teniendo como base el
desarrollo ingenieril realizado en este proyecto (ver anexo 1)
165
8. BIBLIOGRAFÍA
AEN/CTN 66, UNE-EN ISO 9001 Sistemas de gestión de la calidad, Noviembre 2008,
Norma
Española.
Disponible
en:
http://www.faen.es/nueva/Intranet/documentos/2961_ISO9001-2008.pdf, Noviembre 15 del
2011.
AlienVault, AlienVault Installation guide, 2010, Manual de intalacion. Disponible en:
http://www.alienvault.com/docs/Installation_Guide.pdf, Noviembre 25 del 2011.
AlienVault,
AlienVault
Technical
Documentation.
Disponible
en:
http://www.alienvault.com/community/technical-documentation, Noviembre 24 del 2011.
AlienVault, Manual de instalación de AlienVault Open Source SIM (OSSIM), Manual de
instalacion.
Disponible
en:
http://walox.bligoo.cl/content/view/786488/Manual-deinstalacion-de-AlienVault-Open-Source-SIM-OSSIM.html, Noviembre 24 del 2011.
Alienvault. Disponible en: www.alienvault.com, Noviembre 15 del 2011.
BADUE, Monica Patricia, SEGURIDAD INFORMÁTICA PILARES BÁSICOS, 2005,
Presdentacion.
Disponible
en:
http://www.google.com.co/url?sa=t&rct=j&q=pilares%20de%20la%20seguridad%20inform
%C3%A1tica%3A&source=web&cd=5&sqi=2&ved=0CDsQFjAE&url=http%3A%2F%2Ffiles
.uladech.edu.pe%2Fdocente%2F17939348%2FS_I_03x.ppt&ei=KhbWTtnvFMrvggfE_6CM
AQ&usg=AFQjCNFgf74ZHkNNYJfl2s9mq_oR05vs_g, Noviembre 15 del 2011.
Cacti, Acerca de cactus, 2009, descripción del programa. Disponible en:
http://translate.googleusercontent.com/translate_c?hl=es&langpair=en%7Ces&rurl=translat
e.google.com.co&u=http://www.cacti.net/&usg=ALkJrhi5YZxn7eTcLD644E0ViOhYyvEMvg,
Noviembre 14 del 2011.
Centro estatal de tecnologías de información y comunicación, HERRAMIENTAS DE
ADMINISTRACION Y MONITOREO DE REDES, agosto 2005, Presentación. Disponible
en:
http://www.google.com.co/url?sa=t&rct=j&q=funcionalidades%20importantes%20de%20las
%20herramientas%20de%20monitoreo&source=web&cd=3&sqi=2&ved=0CFIQFjAC&url=h
ttp%3A%2F%2Fblogs.fruxant.com%2Fsebas%2Fciapem%2FMONITOREOYADMINISTRA
CION.ppt&ei=JxfWTqOgJobWgQed04zGAQ&usg=AFQjCNETOFy_XNO8XSayG82kB4Ga
MnBmHQ, Noviembre 15 del 2011.
CPEuropa10 AlienVault, Fuente de seguridad abierta, 2010, video. Disponible en:
http://www.youtube.com/watch?v=WC4fg1lDjIg, Noviembre 12 del 2011.
DEVIS GRANADOS, Isaac Alfonso, CARDENAS RINCON, Erick, DERECHO DE LOS
USUARIOS DE LAS TELECOMINICACIONES, 2008, Universidad del Rosario, Libro.
Dynos, 2010, lista de equipos. Disponible en: http://www.dynos.es/servidor-hp-proliantdl385-g6-2x-opteron-2435-16gb-ddr2-sin-hd-dvd-rw-4gigabit-p410-raid-fuente-redundante884962073544__570102-421.html, Noviembre 24 del 2011.
Fortinet,
FortiAnalyzer
-400B,
Manual
Técnico.
Disponible
http://www.fortinet.com/doc/FortiAnalyzer-1000B_DS.pdf. Diciembre 16 del 2011.
166
en:
Fortinet,
FortiAnalyzer
-1000B,
Manual
Técnico.
Disponible
http://www.fortinet.com/doc/FortiAnalyzer-400B_DS.pdf. Diciembre 16 del 2011.
en:
GARCIA TOMAS, Jesús, FERRANDO, Santiago, PIATTINI, Mario, Redes para Proceso
Distribuido, Febrero 2000, Alfaomega Grupo Editor, S.A., Libro.
GARCIA, Joaquin Alfaro: ATAQUES CONTRA REDES TCP/IP, pág. 10, Modulo didáctico.
Disponible en: http://ocw.uoc.edu/computer-science-technology-and-multimedia/advancedaspects-of-network-security/advanced-aspects-of-network-security/P06_M2107_01769.pdf,
Noviembre 15 del 2011.
HP, Guía de usuario del servidor HP ProLiant DL385 G6, Primera edición Abril de 2009.
Disponible
en:
http://bizsupport2.austin.hp.com/bc/docs/support/SupportManual/c01759024/c01759024.pd
f, Noviembre 22 del 2011.
HUIDOBRO Manuel J., SNMP. Un protocolo simple de gestión, Articulo tecnológico.
Disponible en: http://www.coit.es/publicac/publbit/bit102/quees.htm, Noviembre 15 del
2011.
Ibermatica,
Servicios
de
seguridad
gestionada,
2006.
Disponible
http://www.ibermatica.com/ibermatica/eventos/2006/mtserviciosseguridadgestionada,
Noviembre 12 del 2011.
en:
ISO e IEC, ISO 27000 Sistemas de gestión de la calidad, 2005, Norma internacional.
Disponible en: http://es.scribd.com/doc/37513157/Doc-Iso27000-All, Noviembre 16 del
2011.
ISO e IEC, ISO/IEC 17799:2005 Tecnología de la Información – Técnicas de seguridad –
Código para la práctica de la gestión de la seguridad de la información, Segunda edición
2005-06-15,
Estándar
internacional.
Disponible
en:
http://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf, Noviembre 16
del 2011.
ISO e IEC, ISO/IEC 27001 Tecnología de la información – Técnicas de seguridad –
Sistemas de gestión de seguridad de la información – Requerimientos, Primera edición
2005-10-15,
Estándar
internacional.
Disponible
en:
http://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf, Noviembre 16 del
2011.
ISO e IEC, ISO/IEC 27001 Tecnología de la información – Técnicas de seguridad –
Sistemas de gestión de seguridad de la información – Requerimientos, Primera edición
2005-10-15, Estándar internacional. Disponible en: http://www.iso27001security.com/,
Noviembre 18 del 2011.
ISO e IEC, ISO/IEC 27003 Information technology - Security techniques - Information
security management system implementation guidance, Primera edicion 2010-02-01,
Estandar
internacional.
Disponible
en:
http://webstore.iec.ch/preview/info_isoiec27003%7Bed1.0%7Den.pdf, Noviembre 16 del
2011.
167
ISO e IEC, ISO/IEC 27004 Information technology — Security techniques — Information
security management — Measurement.
Primera edición 2009-12-15, Estándar
internacional.
Disponible
en:
http://webstore.iec.ch/preview/info_isoiec27004%7Bed1.0%7Den.pdf, Noviembre 16 del
2011.
ISO e IEC, ISO/IEC 27005 Information technology - Security techniques - Information
security risk management, Primera edición 2008-06-15, Estandar internacional. Disponible
en: http://webstore.iec.ch/preview/info_isoiec27005%7Bed1.0%7Den.pdf, Noviembre 16 del
2011.
IT Governance Institute, Riesgos informáticos, 2006, Articulo Tecnológico. Disponible en:
http://www.isaca.org/Knowledge-Center/Research/Documents/ITGI-Global-Status-Report2006.pdf, Noviembre 15 del 2011.
Kaleido Group, Riesgos informáticos, 18 de enero 2010, articulo tecnológico. Disponible en:
http://www.riesgosinformaticos.com.ar/2010/01/18/anecdotario-virico-2009/, Noviembre 14
del 2011.
Maestros del web, Introducción a Nmap, agosto 2003, articulo tecnológico. Disponible en:
http://www.maestrosdelweb.com/editorial/nmap/, Noviembre 14 del 2011.
ManagEengine,
Application
Manager,
Disponible
en:
http://www.manageengine.com/products/applications_manager/. Diciembre 17 del 2011.
ManagEengine, Firewall Analyzer. Disponible en: http://www.manageengine.com/networkmonitoring/. Diciembre 16 del 2011.
ManagEengine,
OpManager.
Disponible
http://www.manageengine.com/products/firewall/. Diciembre 16 del 2011.
en:
Microsoft, Protocolo de mensajes de control de Internet (ICMP, Internet Control Message
Protocol),
Articulo
tecnológico.
Disponible
en:http://technet.microsoft.com/eses/library/cc758065(WS.10).aspx, Diciembre 15.
Nagios®,
2011,
Perfil
técnico.
disponible
en:
http://translate.googleusercontent.com/translate_c?hl=es&langpair=en%7Ces&rurl=translat
e.google.com.co&u=http://www.nagios.org/&usg=ALkJrhhOAJPbtMviJbzm_xI-rNKuJadAIg,
Noviembre 12 del 2011.
PoToSEC,
Seguridad
gestionada,
2006-2008.
http://www.potosec.com.mx/es/servicios/seguridad-gestionada.html,
2011.
Disponible
Noviembre 12
en:
del
RAMESH, Natarajan, 5 mejores herramientas del Sistema de Monitoreo, 2 de septiembre
del
2009,
articulo
tecnológico.
Disponible
en:
http://translate.google.com.co/translate?hl=es&langpair=en%7Ces&u=http://www.thegeekst
uff.com/2009/09/top-5-best-network-monitoring-tools/, Noviembre 14 del 2011.
SENA, Leonardo: SEGURIDAD INFORMÁTICA, Julio 2000. Computación aplicada a
Contabilidad, Administración y economía, Artículo Tecnológico. Disponible en:
http://www.ccee.edu.uy/ensenian/catcomp/material/SEGURIDAD2.pdf, Noviembre 15 del
2011.
168
SUAREZ VELEZ, Livic. LAS REDES INFORMATICAS, Noviembre 2006, Artículo
Tecnológico. Disponible en: http://75.101.137.149/trabajos40/redes-informaticas/redesinformaticas.shtml. Noviembre 15 del 2011.
Telefonica,
Seguridad
gestionada,
2011.
Disponible
en:
http://www.telefonica.co/Empresas/Fijo/Servicios_de_Valor_Agregado/Portada_Hosting_y_
ASP/Seguridad_Gestionada/, Noviembre 15 del 2011.
UNE,
Seguridad
gestionada,
2011.
Disponible
http://www.une.com.co/corporativo/servicios-de-telecomunicaciones/idc/seguridadgestionada.html, Noviembre 12 del 2011.
en:
Universidad distrital Francisco Jose de Caldas, Identificación y administración de riesgos,
Articulo
académico.
Disponible
en:
http://www.udistrital.edu.co/files/dependencias/auditorIdentificacionAdministracionRiesgos.
pdf, Noviembre 15 del 2011.
Verizon,
Servicios
de
seguridad
gestionados,
2012.
Disponible
en:
http://www.verizonbusiness.com/pa/Products/security/managed/, Noviembre 12 del 2011.
169
GLOSARIO
ACTIVOS INFORMÁTICOS: recursos como software, bases de datos, metadatos y
archivos que hacen parte de la información vital para garantizar la continuidad del negocio
y que pueden ser vulnerados.
ARP SPOOFING: también conocido como ARP Poisoning o ARP Poison Routing, es una
técnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no
en hubs), que puede permitir al atacante husmear paquetes de datos en la LAN (red de
área local), modificar el tráfico, o incluso detenerlo.
BIOS (SISTEMA BÁSICO DE ENTRADA Y SALIDA): Es un programa instalado en la
placa base del servidor que permite realizar el encendido de la misma y configurara y/o
cargar el sistema operativo, así mismo permite gestionar y configurar el hardware instalado
en el servidor.
BLOQUE: Hace referencia a la cantidad mínima de datos que se pueden transferir entre la
memoria principal del servidor y los dispositivos periféricos y viceversa.
DISPOSITIVOS PERIFÉRICOS: Hace referencia a todos los dispositivos externos que
pueden ser conectados al servidor (ej: Disco Duro, Memoria, Pantalla, entre otros).
FIABILIDAD: Indica que tan fiable es que el ataque tengan éxito (valor entre 0 y 10 siendo
0 el mínimo y 10 el máximo).
HONEYPOT: es un software o conjunto de computadores cuya intención es atraer a
atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta
de seguridad informática utilizada para recoger información sobre los atacantes y sus
técnicas.
INTEGRACIÓN: fusionar una serie de dispositivos con el objeto de hacer funcionar de
forma óptima un sistema.
INFRAESTRUCTURA: elementos y servicios que forman parte y se consideran necesarios
para el correcto funcionamiento de una empresa.
MALWARE: del inglés malicious software, también llamado badware, código maligno,
software malicioso o software malintencionado, es un tipo de software que tiene como
objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario.
NORMALIZACIÓN: Proceso en el cual se unifican los eventos recolectados en un único
formato, el proceso de normalización debe permitir la visualización de los eventos en una
única base de datos.
ORCA: Utilidad que se encuentra en la ROM para la configuración de arreglos de disco.
PARIDAD (TELECOMUNICACIONES): Códigos utilizados para detectar y corregir errores
en la transmisión de datos.
PRIORIDAD: Importancia del evento que se está generando. Su valor pretende medir el
daño que el ataque causaría si fuera exitoso (valor entre 0 y 5, siendo 0 el mínimo y 5 el
máximo).
170
REPUTACIÓN IP: Hace referencia al uso indebido de IPs, existen listas negra y blancas de
IPs.
ROOTKITS: son programas que permite un acceso de privilegio continuo a una
computadora pero que mantiene su presencia activamente oculta al control de los
administradores al corromper el funcionamiento normal del sistema operativo o de otras
aplicaciones.
SEGURIDAD INFORMÁTICA: serie de estándares, protocolos, métodos, reglas,
herramientas y leyes concebidas e integradas para minimizar los posibles riesgos a la
infraestructura de una organización o a la información vital de la misma.
SHELLCODES: son conjuntos de órdenes programadas generalmente en lenguaje
ensamblador y trasladadas a opcodes que suelen ser inyectadas en la pila (o stack) de
ejecución de un programa para conseguir que la máquina en la que reside se ejecute la
operación que se le haya programado.
SISTEMA: conjunto de elementos que, ordenadamente relacionadas entre sí, contribuyen
a determinado objeto.
SNIFFER: es un programa informático que registra la información que
los periféricos, así como la actividad realizada en un determinado ordenador.
envían
VULNERABILIDAD: hace referencia a una debilidad en un sistema permitiendo a un
atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y
consistencia del sistema o de sus datos y aplicaciones.
WORKSTATION: estación de trabajo o puesto informático, incluye equipos terminales
(computadores, impresoras, teléfonos Ip, etc) con conectividad a la red y óptimo
funcionamiento de las aplicaciones necesarias dentro de la red.
171
ANEXOS
ANEXOS. 1 (PLAN DE IMPLEMENTACIÓN)
Se recomienda la utilización de tres equipos diferentes para cada parte de la solución, (Servidor
SIEM, sensor, Base de Datos), se recomienda también asegurar que la arquitectura de estos
servidores sea de 64 Bits, por la ventaja que ofrece dicha arquitectura en cuanto a rendimiento.
En determinados perfiles de instalación y dependiendo del tráfico y del número de eventos a tratar
es necesario disponer de un hardware capaz de gestionar grandes volúmenes de datos. La
arquitectura de 64 Bits permite, además, el uso de una mayor cantidad de memoria física.
Requisitos de Hardware
Los requisitos de hardware para instalar OSSIM dependen directamente de la red que se desea
monitorear, para ello es necesario tener en cuenta factores como número de eventos por segundo
producidos por cada equipo, del ancho de banda de la red que pretendamos analizar, cantidad de
equipos, diferentes marcas y fabricantes.
Es recomendable disponer de al menos 2GB en la capacidad del servidor, se deben garantizar
buena compatibilidad de las tarjetas de red con tarjetas con Debian GNU/Linux.
Requisitos de red:
Se debe tener claro las direcciones IP que se le van a asignar a cada uno de los equipos que
componen la solución, máscara, puerta de enlace de los mismos y puerto de comunicación entre
ellos. Para poder normalizar los diferentes eventos, el Sensor de AlienVault también deberá tener
acceso al DNS de la organización, pudiendo de este modo obtener las direcciones IP a partir de los
nombres de las máquinas.
Pasos para la implementación:
1. Instalar el servidor SIEM según el proceso de instalación, ya explicado en el desarrollo
ingenieril.
2. Instalar el sensor y la Base de Datos (cada uno en una máquina aparte, la base de datos
necesariamente requiere se MySQL).
3. Luego de tener instalados los tres equipos con el perfil de AlienVault definido (al realizar la
instalación de los equipos sólo es necesario escoger el perfil de cada servidor y la
instalación del software se realizará de forma automática) sólo se deberán ingresar los
datos solicitados por el software como lo son IP, DNS, GW entre otros.
4. Se deben configurar las interfaces y direcciones IP de cada uno de los servidores (esto va
incluido en el setup de la instalación del software). Al finalizar la instalación de los tres
perfiles se deben realizar pruebas de conectividad entre los mismos.
5. Iniciar con la configuración de la herramienta.
172
Detalle de la Instalación:
Instalación Automática: La instalación automática instalará la versión Open Source de
AlienVault con el perfil de todo-en-uno habilitado (este perfil crea un único servidor con
los tres perfiles en el, en este caso sólo es necesario configurar la interfaz de red que
comunicará a este servidor a internet y a la red de gestión local).
Instalación por Cliente: Se recomienda realizar la instalación por cliente, en donde se
podrán escoger las características a instalar, los primeros pasos incluyen escoger el idioma
y zona horaria de la localización del servidor, luego de establecer esto, se procede con
datos como IP, Mascara, Puerta de Enlace, DNS, partición del disco y perfil del servidor.
Es necesario garantizar que el servidor que se va a instalar cuente con una conexión a internet
continúa.
Perfiles a escoger para cada instalación:
Sensor
El perfil sensor se encarga de la recolección y normalización de eventos. Para ello, es necesario
que hagamos llegar todos los eventos generados por las herramientas de las que disponemos en
nuestra red al sensor haciendo uso de Syslog, SNMP entre otros. Cada herramienta tiene un plugin
asociado que indica al sistema como ha de procesar la información recibida.
En el perfil sensor se instalan Snort, Ntop, Arpwatch, P0f y Pads. Estas herramientas se encargan
de analizar el tráfico de red.
Datos que deben ser ingresados por el usuario durante la instalación:
“OSSIM Sensor Name”: Se debe introducir el nombre que le vamos a dar al sensor
instalado en este equipo.
“Choose interfaces”: Allí se deben indicar las interfaces que van a utilizarse como
interfaces de monitorización o escucha dentro de la red, en el caso del sensor se debe
configurar un port mirror como interfaz de escucha (port mirroring es una configuración
que podemos establecer en un equipo , con el fin de que este envíe una copia de todos los
paquetes que pasan por uno o más puertos a otro puerto concreto que llamamos
monitor-port o, esto nos ayuda a ver todo el tráfico que cursa por la red).
“Profile Networks”: Se debe indicar allí las redes que se desean a monitorizar con este
sensor, en formato CIDR, y separadas por comas, (ejemplo: 192.168.0.0/24, 10.0.0.0/8).
“OSSIM Server Ip Address”: Se debe indicar la dirección IP en que se encuentra
escuchando el sensor.
“Choose the plugins”: Se debe seleccionar los plugins que queremos habilitar en este
sensor, tanto los que son de tipo monitor (Gestionan peticiones de información durante la
correlación) como los de tipo detector (Recogida de eventos).
173
Server
El perfil servidor se encargará de procesar todos los eventos enviados por los diferentes agentes o
sensores. Este Servidor es el encargado de tener en sí el Framework o la interfaz web que le
permitirá al usuario interactuar con la herramienta. Adicionalmente el servidor es el encargado de
realizar procesos de correlación, visualización de alarmas tickets, reportes entre otros.
“OSSIM Mysql Server IP Address”: Se debe introducir la dirección IP en que se encuentra
instalado el perfil Base de datos.
“OSSIM Mysql Server Port”: Puerto de escucha del servidor Mysql, por defecto 3306.
“OSSIM Mysql Password”: Contraseña de la base de datos para el usuario root.
Estos datos, permiten la comunicación entre el servidor SIEM y la Base de Datos.
Base de Datos El perfil de Base de Datos se encarga del almacenamiento de los eventos,
inventarios y configuraciones del sistema. Para ello el perfil Base de datos dispondrá de un
servidor de base de datos MySQL.
“OSSIM Mysql Password”: Contraseña de la base de datos para el usuario root.
Actualización
de
la
instalación:
La instalación se puede conectar al sitio web de AlienVault para descargar la última versión
disponible de cada paquete de software incluido en AlienVault Profesional SIEM, esta actualización
tarda mas de 20 minutos.
Luego de que se encuentren configurados los tres equipos con el perfil deseado, y se hayan
realizado pruebas de conectividad entre ellos con resultados satisfactorios, se puede proceder
con la configuración de la herramienta. Para realizar la configuración detallada de la herramienta
referiste al apartado 5 (Desarrollo ingenieril) del trabajo en donde se encuentra el paso a paso de
la configuración de cada uno de los menús y submenús del sistema.
174
ANEXOS. 2 (CERTIFICACIÓN DE TRABAJO DE GRADO POR TELEFÓNICA TELECOM)
175