14 feb 2017

UNA EXPERIENCIA CON OSSIM por Mg. Santiago Vázquez



En el presente trabajo se exponen las diferentes opciones que posee la herramienta AlienVault USM; como registra la información para el manejo y visibilidad de los eventos positivos o falsos positivos de la gestión de la seguridad. La posibilidad de tener información condensada y ordenada en una sola pantalla de gestión es muy importante facilitando la gestión ante eventos de seguridad potencialmente peligrosos; AlienVault USM, correlaciona los eventos (logs) y a través de su motor de correlación lanza alertas que pueden ser apreciables de diferentes perspectivas para un análisis profundo y canalizar cada uno de ellas al personal responsable de solucionar los problemas encontrados y que cuando se trata de una vulnerabilidad es la misma herramienta que indica como solucionar estos fallos de seguridad.


Al pasar el tiempo, es cada vez notorio los diferentes tipos de ataques que cada usuario o empresa están expuestos, sin que exista una sola pantalla única en donde se pueda observar con mayor detalle que es lo que esta sucediendo en las instituciones, los ataques son mas complejos y/o sofisticados. 

Según la empresa Verizon Enterprise divide en seis grandes grupos las formas de ataques en diferentes escenarios permitiendo observar el auge de la problemática de la inseguridad a nivel de equipos informáticos y de personas. La competencia Industrial, el dinero, política, seguridad nacional, guerra cibernética entre otros, son los principales motivos para crear y modificar técnicas que permitan colarse en instituciones sin el permiso de los dueños de la información. 

Con el bombardeo de información circulando por las redes institucionales y los eventos a nivel de red, host que se generan segundo a segundo es imposible de manera manual revisar cada uno de esos eventos o Logs de auditoria que se presentan en el instante mismo de que suceda algún hecho inapropiado, como un acceso a un servidor no autorizado y sobre todo que alerten en un tiempo mínimo una vez registrado el evento en nuestro sistemas. Por este motivo es necesario contar con herramientas que permitan la gestión de la seguridad de manera automática en donde se analizan los logs de los equipos de red y servidores que requieran ser auditados o monitorizados los 24x7x365 días. Existen en el mercado varias soluciones que correlación eventos (Logs) y que nos alertan sobre alguna incursión no deseada dentro de nuestros sistemas informáticos, pero nos concentraremos en uno solo y que es catalogado por muchos como el mejor y se lo conoce como USM de Alienvault “empresarial” y OSSIM (Gestión de los Eventos de Seguridad de la Información Open Sourse ) de Alienvault.


QUE HACE OSSIM DE ALIENVAULT 

Es una herramienta desarrollada por la corporación AlientVaul, se encarga de recolectar los datos entregados por las diferentes aplicaciones de monitoreo y mostrarlos a través de una interfaz WEB. 

Se divide en 3 programas: 

  • Osim-server 
  • Osim-framework
  • Osim.agent 

Osimm-server: - Es un servidor que posee su propia base de datos para almacenar los diferentes registros enviados por lo servidores o equipos de red por medio de los agentes como OSSEC instalados en los endpoints, o por SYSLOGS que lanzan los IOs. Su principal función es correlacionar los Logs, catalogarlos como críticos, recolectar logs, evaluación de riesgo, alarmas de los eventos, etc. 

Osim-framework: - Este demonio ejecuta comandos externos, lee/escribe archivos en el filesystem evitando que el servidor web lo haga directamente. 

Osim.agent: - Es un agente que se instala en los equipos con sistemas operativos Linux, Aix, Windows, y que son capaces de enviar información de los diferentes eventos que se inician en el servidor, un agente que se usa generalmente es OSSEC que al instalarlo en un Windows es muy fácil como seguir el famoso “next” ya que es un ejecutable pero para linux existe un proceso un poco mas largo pero para nada complejo. Ver el siguiente link en donde muestra como instalar OSSEC: https://www.alienvault.com/doc-repo/usm/threat-detection/AlienVault-USM-4.x-5.x-Deploying-HIDS-Agents-to-Linux-Hosts.pdf Esta potente herramienta de gestión de la seguridad Open Sourse OSSIM, integra varias herramientas open sourse en su motor como, Nagios, Suricata, Snort, ntop, Snare, Nmap, OSSEC, Osiris entre otros, permitiendo analizar en diferentes aspectos los servidor o equipos de red, ademas OSSIM integra una herramienta de análisis de vulnerabilidades potente como Openvas y Nessus. 

Su instalación es muy sencillo permitiendo ser instalado en una maquina virtual o en un applianse , primero hay que descargar la imagen ISO del siguiente link:


considerando que si requiere una versión de pago es necesario instalar una KEY que entrega Alienvault mediante una carta dirigida a la empresa que pago por la misma; también se puede descargar una imagen ISO free en la que no necesita KEY, al no ser el objetivo del presente trabajo la instalación del OSSIM si no mas bien como muestra la información en un ambiente producción, refiérase la instalación al siguiente link: 



EXPERIENCIA OSSIM
Una vez concluido la instalación y registrada los segmentos de red que se tiene en la institución se ingresa al sistema vía Shell o vía web. 

Vía shell se usa el servicio ssh al puerto por defecto para ingresar como root y la dirección ip que se coloco en el momento mismo de la instalación y se coloco como administrativa. Para el primer ingreso el mismo sistema coloca una clave temporal para ser cambiada una vez que se ingresa. 


Para el acceso vía web se coloca como URL la dirección Ip de la interfaz que se registro como de administración y muestra la siguiente imagen.



En el menú Dashboards/Overview/Executive podemos encontrar la imagen en la que se puede apreciar los eventos generados por diferentes dispositivos, en la imagen muestra movimiento de tráfico de un cisco, ingresos vía sudo, ssh y del mismo alienvault, de los otros dispositivos no muestra trafico importante como de los Aix, Pam_Unix, etc. Las aristas de la gráfica serán mayores o menores dependiendo de la estructura informática que se posea, pero sobre todo de lo que se quiere monitorear.



En el menú Dashboards/Overview/Security se puede observar entre otras cosas un top 10 de los equipos informáticos con mayores eventos de seguridad el cual es muy importante por que visualmente me indica que estos equipos tienen algún tipo de anomalía y es necesario si o si su revisión minuciosa de los mismos.


Menú dashboard/OpenThreat Exchange podemos observar las direcciones Ip publicas que fueron catalogadas por alienvault como ip maliciosas, en la que si no se tiene ninguna relación con estas Ip publicas se puede proceder a bloquear en el firewalls de frontera y así precautelar una posible intrusión o escaneos de nuestros servicios institucionales, ampliando la imagen en el lugar indicado se observa la IP publica maliciosa.


El OSSIM también puede mostrar los eventos como se puede apreciar en la siguiente imagen. cada uno de los círculos corresponde a una colección de eventos diferenciados en el tiempo y de acuerdo al catalogo de alienvault que presenta en la columna de la izquierda, que van en orden ascendente de criticidad, como top el “sistema comprometido” y que exige a un administrador hacer la investigación del evento para prevenir mayores ataques o intrusiones a profundidad, puede mostrar los scanner deliberados a nuestra institución con nmap, posibles virus, credenciales en texto claro, heartbleed, SSL Poodle, compartición de archivos por SMB, ataques de fuerza bruta (logueos fallidos), entre otros, para cada uno de los servidores que están siendo monitorizados por el HIDS y por lo que el NIDS pueda ver en la red. 


Si es necesario tener un mayor control sobre los logs que dispararon el evento en el OSSIM se puede hilar tan fino como se quiera, únicamente dando un clik en los círculos que se muestran, presentara el logs tal como el sistema operativo o aplicativos generan. En la siguiente imagen se puede apreciar un evento de log que muestra el fallo al autenticar con un servidor de directorio Activo.


Las alertas también se presentan como se indica en la siguiente imagen de manera que pintan de color la criticidad del evento según CVE. Con su respectiva información de Ip origen he Ip destino.


El NIDS detecta el movimiento en la red de direcciones Ip de korea con sus respectivo detalle de hora, fecha, tipo de alerta, dirección ip origen y destino.
 

La herramienta me permite sacar información en base a parámetros de filtrados por HIDS, HIDS, rangos de fechas, semanas, horas, días, por grupos de asets, grupos de redes.


Siempre es necesario tener una estadística gráfica de los registros de los logs y la herramienta presenta de la siguiente manera.



Esta imagen es importante ya que nos da una guía cuando se genero mayores eventos en el transcurso del día.

En el menú ENVIROMENT, presente opciones de ingreso de Aset (equipos o dispositivos que tiene una dirección ip). Y la posibilidad de agrupar varias direcciones ip que pueden ser de un mismo servicio con el objetivo de llevar una adecuada segregación de direcciones IP.


Se puede apreciar los campos necesario para llenar el registro de un aset, los datos como “Asset value” es el valor de la criticidad del aset a monitorizar, mientras mas alto el numero (1-5) mayor atención del sistema para alertar al administrador sobre un evento y dependiendo de la función del aset se puede dar el tipo de dispositivo como servidores, endpoint, móviles, dispositivos de red, etc.

Vulnerabilidades.- La herramienta posee un analizador de vulnerabilidades que se actualiza constantemente a una base de datos externa propia de Alienvault sobre los nuevos BUGS o exploit en el mercado.



Una vez que se ejecuta el scaneo de vulnerabilidades que puede ser por direcciones ip únicas o por grupos de direcciones IP como por ejemplo zona DMZ todas en una misma tarea programada o de manera inmediata, el resultado muestra algo similar como se me en la siguiente imagen.



Siguiendo el documento generado que puede ser en Pdf, hmtl ú otros formatos se pude apreciar con mayor claridad el aplicativo , puerto, el bug, CVE, y una posible forma de solucionar el problemas encontrados, siendo una herramienta necesaria para la gestión de la seguridad así se adelanta a resolver los problemas de seguridad antes que una persona no deseada lo haga por nosotros. 

Netflow.- Muestra el trafico generado por protocolos en la siguiente imagen muestra todo el trafico de todos los protocolos en un momento del tiempo, visualmente se puede ver anomalías en la generación de trafico.



Disponibilidad.- muestra gráficamente la disponibilidad de los aset que están siendo monitorizados, permitiendo tener una alerta temprana de un equipo que esta caído y por hende el servicio, en el ejemplo de la gráfica muestra las direcciones ip publicas pero también puede ser por los servidores o todo equipo que tiene una dirección ip.




Agente OSSEC.- El agente OSSEC se instala en cada equipo que necesitamos que este siendo monitorizado, cuyas elertas o controles son: Notificaciones cuando los archivos críticos sean modificados, rootkits instalados, envío de Logs, modificación de registros del sistema, etc.


Reportes.- La herramienta provee una gran gama de reportes que son soportados para casos de litigios legales, como se muestra en la pantalla.




SOPORTE DE ALIENVAULT

El soporte se lo hace de manera remota vía SSH en donde el personal de alienvault se conecta una vez abierto un tiket por medio de correo electrónico; en el mismo administrador web existe la opción de permitir la conexión entre el soporte y el servidor OSSIM cuya comunicación es encriptada, para establecer la comunicación es necesario colocar el numero de tiket que se entrega al cliente y se escoge el sensor que esta prestando servicio en ese momento.



Recuerden ver nuestros calendario de cursos en:




No hay comentarios:

Publicar un comentario

Tus Comentarios son Importantes para Nosotros Siéntete Libre De Opinar