UNIVERSIDAD DE GUAYAQUIL -...
Transcript of UNIVERSIDAD DE GUAYAQUIL -...
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES
Monitoreo y gestión de seguridad sobre la infraestructura
de red mediante la implementación de una herramienta
OSSIM aplicando al sector de la mediana
empresa.
PROYECTO DE TITULACION
Previa a la obtención del título de:
INGENIERO EN NETWORKING Y TELECOMUNICACIONES.
AUTOR(ES):
Banchón Montaleza Joel Fernando.
Zalabarria Zamora Alexandra Mabel.
TUTOR:
Ing. Miguel Molina Villacis, Msc.
GUAYAQUIL-ECUADOR
2019
II
APROBACION DEL TUTOR
En mi calidad de Tutor del trabajo de investigación, ¨Monitoreo y gestión de
seguridad sobre la infraestructura de red mediante la implementación de
una herramienta OSSIM aplicando al sector de la mediana empresa¨
elaborado por la Srta. Alexandra Mabel Zalabarria Zamora y el sr Joel
Fernando Banchón Montaleza, Alumno no titulado de la Carrera de
Ingeniería en Networking y Telecomunicaciones, Facultad de Ciencias
Matemáticas y Físicas de la Universidad de Guayaquil, previo a la
obtención del Título de Ingeniero en Networking y Telecomunicaciones me
permito declarar que luego de haber orientado, estudiado y revisado, la
Apruebo en todas sus partes.
Atentamente,
Ing. Miguel Molina Villacis, Msc.
TUTOR
III
REPOSITORIO EN CIENCIAS Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS
TÍTULO
Monitoreo y gestión de seguridad sobre la infraestructura de red mediante la implementación de una
herramienta ossim aplicado en el sector de la mediana empresa
REVISORES:
INSTITUCIÓN: Universidad
de Guayaquil FACULTAD: Ciencias Matemáticas y Físicas
CARRERA: Ingeniería en Networking y Telecomunicaciones
FECHA DE PUBLICACIÓN: N° DE PÁGS: 89
ÁREA TEMÁTICA: Tecnologías de la información y Telecomunicaciones.
PALABRAS CLAVES:
Gestion, Seguridad, Herramienta OSSIM
RESUMEN: Este Proyecto de Titulación consiste en el análisis e implantación respectiva de la seguridad sobre una
infraestructura de red en distintos servidores físicos y virtuales, teniendo de forma centralizada los registro (logs) que son
creados por varios servidores y servicios dentro de la red, en dónde se realizará un análisis detallado de cada
acontecimiento y vulnerabilidad de este. La herramienta para utilizar va a ser OSSIM la cual es una aplicación Open Source,
la cual tiene una vista como administrador en varios aspectos relativos a la red y otras herramientas de monitoreo como es
SIEM la cual es complementada con diversas funcionabilidades de seguridad como son gestión de antivirus y la detección
de malware. La intención principal en el desarrollo de este proyecto es presentar un estudio general sobre esta herramienta,
un análisis de compatibilidad y requerimientos para proceder con la implementación y conocimiento general de la red la
configuración e instalación paso a paso resaltando lo más significativo de OSSIM que debe conocer el administrador de
red para una correcta implementación.
N° DE REGISTRO: N° DE CLASIFICACIÓN
DIRECCIÓN URL
ADJUNTO PDF SI NO
CONTACTO CON AUTOR:
Joel Fernando Banchon
Montaleza
Teléfono:
0968165461
E-mail:
CONTACTO CON AUTOR:
Alexandra Mabel Zalabarria
Zamora
Teléfono:
0967801066
E-mail:
CONTACTO DE LA
INSTITUCIÓN:
Nombre:
Teléfono:
x
IV
DEDICATORIA
Dedico este proyecto de
titulación a Dios por
haberme dado sabiduría, a
mi papá Clemente
Zalabarria por su apoyo
económico y darme
palabras de aliento cuando
sentía que ya no podía
más, a mi madre y
hermanas por los
consejos, paciencia e
infinito amor que han
tenido conmigo y a mi hija
Charlotte Ramírez por ser
mi motor para no darme
por rendida, te amo hija
Alexandra Zalabarría Z.
V
DEDICATORIA
El presente trabajo de
titulación tiene como
dedicación en principal
actor a Dios, quién me ha
guiado en la vida siempre,
de la mano de mis padres
Janeth Montaleza C. -
Oswaldo Banchón M. y mi
hermana Andrea Banchón
M. por su sacrificio y apoyo
incondicional en cada
decisión tomada a lo largo
del camino, por todas esas
personas que han estado
para mí sin pedir nada a
cambio, quiero dedicarles
todo mi esfuerzo y pasión
en el área que más amo
Telecomunciones y
Networking. - Gracias.
Joel Banchón M.
VI
AGRADECIMIENTO
Agradezco a mis padres, hermanas e hija por todo el apoyo incondicional
que me han brindado a lo largo de estos años de estudios.
A la Universidad de Guayaquil y a sus docentes por haberme permitido ser parte del alma mater
Alexandra Zalabarría Z.
VII
AGRADECIMIENTO
Gracias a Dios por permitirme culminar uno de mis mayores logros en mi vida profesional y darme fuerzas por ser el apoyo de mi familia con su inmensa bendición y al establecimiento de estudios, mi alma máter la Universidad de Guayaquil que me permitió desarrollar mis capacidades en conjunto con los profesionales que la integran.
Joel Banchón M.
VIII
TRIBUNAL DEL PROYECTO DE TITULACION
___________________ ____________________
Ing. Fausto Cabrera Molina, M Sc. Ing. Abel Alarcón Salvatierra M Sc.
DECANO DE LA FALCUTAD DIRECTOR DE LA CARRERA
MATEMATICAS Y FISICAS INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES
_______________________ ________________________
Ing. Luis Espín Pazmiño, M Sc. Ing. Juan Manuel Chaw, M Sc.
PROFESOR DEL AREA PROFESOR DEL AREA
ASIGNADO EN EL TRIBUNAL DESIGNADO EN EL TRIBUNAL
________________________ ________________________
Ing. Ingrid Giraldo Martínez M Sc. Ing. Miguel Molina Villacis M Sc.
PROFESOR DEL AREA PROFESOR TUTOR DEL
DESIGNADO EN EL TRIBUNAL PROYECTO DE TITULACION
_____________________
Ab. Juan Chávez Atocha, Esp.
SECRETARIO DE LA FACULTAD.
IX
DECLARACION EXPRESA
¨La responsabilidad del contenido de
este Proyecto de Titulación, me
corresponden exclusivamente; y el
patrimonio intelectual de la misma a
la UNIVERSIDAD DE GUAYAQUIL¨
ALEXANDRA MABEL ZALABARRIA
ZAMORA.
JOEL FERNANDO BANCHON MONTALEZA
X
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN NETWORKIING Y
TELECOMUNICACIONES
Monitoreo y gestión de seguridad sobre la infraestructura de red
mediante la implementación de una herramienta
OSSIM aplicando al sector de la media
empresa.
Proyecto de Titulación que se presenta como requisito para optar por el
título de INGENIERO EN NETWORKING Y TELECOMUNICACIONES.
Autor: Alexandra Mabel Zalabarría Zamora
C.I: 093120256-8
Autor: Joel Fernando Banchón Montaleza
C.I: 095067742-7
TUTOR: Miguel Molina Villacis, M Sc.
Guayaquil, 07 septiembre del 2019.
XI
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de Titulación, nombrado por el consejo
Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de
Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por estudiantes
la Srta. ALEXANDRA MABEL ZALABARRIA ZAMORA y el Sr JOEL
FERNANDO BANCHON MONTALEZA, como requisito previo para optar por el
título de Ingeniero en Networking y Telecomunicaciones cuyo título es:
Monitoreo y gestión de seguridad sobre la infraestructura de red mediante
la implementación de una herramienta OSSIM aplicando al sector de la media
empresa.
Considero aprobado el trabajo en su totalidad.
Presentado por:
ALEXANDRA MABEL ZALABARRIA ZAMORA
0931202568
JOEL FERNANDO BANCHON MONTALEZA
0950677427
TUTOR: Ing. Miguel Molina Villacis M Sc.
GUAYAQUIL, SEPTIEMBRE DEL 2019
XII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
Autorización para Publicación de Proyecto de Titulación en Formato
Digital
1. Identificación del Proyecto de Titulación
Nombre del Alumno: Alexandra Mabel Zalabarria Zamora
Dirección: La Nueva Prosperina Mz 751 Sl 13
Teléfono: 0967801066 E-mail:
Nombre del Alumno: Joel Fernando Banchon Montaleza
Dirección: Cdla. Covivem
Teléfono: 0968165461 E-mail: [email protected]
Facultad: Ciencias Matemáticas y Físicas
Carrera: Ingeniería en Networking y Telecomunicaciones
Título que opta: Ingeniero en Networking y Telecomunicaciones
Profesor Tutor: Ing. Miguel Molina Villasis Mgs.
Título del Proyecto de Titulación:
“Monitoreo y gestión de seguridad sobre la infraestructura de red
mediante la implementación de una herramienta ossim aplicado en el
sector de la mediana empresa
XIII
Tema del Proyecto de Titulación:
Implementacion de la herramienta OSSIM sobre una infrestructura de red
2. Autorización de Publicación de Versión Electrónica del Proyecto de
Titulación
A través de este medio autorizo a la Biblioteca de la Universidad de
Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la
versión electrónica de este Proyecto de Titulación
Publicación electrónica:
Inmediata X Después de un año
Firma Alumno: ____________________________
Alexandra Mabel Zalabarria Zamora
C.I.: 0931202568
Firma Alumno: ____________________________
Joel Fernando Banchón Montaleza
C.I.: 0950677427
3. Forma de envió:
El texto del Proyecto de Titulación debe ser enviado en formato Word, como
archivo .Doc. O .RTF y Puf para PC. Las imágenes que la acompañen
pueden ser: .gif, jpg o .TIFF.
DVDROM CDROM
X
XIV
ÍNDICE GENERAL
APROBACION DEL TUTOR .................................................... II
DEDICATORIA ........................................................................ IV
DEDICATORIA ......................................................................... V
AGRADECIMIENTO ................................................................ VI
AGRADECIMIENTO ............................................................... VII
TRIBUNAL DEL PROYECTO DE TITULACION .................... VIII
DECLARACION EXPRESA ..................................................... IX
CERTIFICADO DE ACEPTACIÓN DEL TUTOR ..................... XI
RESUMEN .......................................................................... XXIII
ABSTRACT ........................................................................ XXIV
INTRODUCCIÓN................................................................. XXV
CAPITULO I ............................................................................. 1
DESCRIPCIÓN. ....................................................................... 2
ALCANCE. ............................................................................... 2
PROBLEMÁTICA ..................................................................... 2
OBJETIVO GENERAL. ............................................................. 3
OBJETIVOS ESPECÍFICOS. ................................................... 3
METODOLOGÍA DEL PROYECTO. ......................................... 3
CAPITULO II ............................................................................ 6
MARCO TEORICO ................................................................................. 6
OPEN SOURCE SECURITY INFORMATION MANAGER (OSSIM) ....................... 6
XV
DESCRIPCIÓN. .......................................................................................... 6
CARACTERÍSTICAS DE SEGURIDAD. ................................... 6
DETECCIÓN DE ACTIVOS (ASSET DISCOVERY). ................ 7
EVALUACIÓN DE VULNERABILIDADES........................................................... 7
DETECCIÓN DE VIOLACIONES DE SEGURIDAD .............................................. 7
MONITOREO DEL COMPORTAMIENTO. ......................................................... 8
GESTIÓN DE EVENTOS E INFORMACIÓN DE SEGURIDAD (SIEM). ................... 8
OSSIM VS OTRAS APLICACIONES. ....................................... 8
FUNCIONALIDADES DE ELEMENTOS DE LA ARQUITECTURA OSSIM9
OSSIM-SERVER .................................................................... 11
OSSIM- FRAMEWORK .......................................................... 12
OSSIM-AGENT ...................................................................... 12
VENTAJAS Y DESVENTAJAS DEL SOFTWARE A
IMPLEMENTAR. .................................................................... 12
VENTAJAS: ............................................................................................. 12
DESVENTAJAS: ....................................................................................... 12
ANTECEDENTES DEL ESTUDIO .......................................... 13
FUNDAMENTACIÓN TEÓRICA ............................................. 14
FUNDAMENTACIÓN LEGAL. ................................................ 14
CAPITULO III ......................................................................... 16
IMPLEMENTACIÓN ............................................................................. 16
¿QUÉ ES VIRTUALIZAR? ........................................................................... 16
¿QUÉ ES VMWARE VSPHERE? ................................................................ 17
¿QUÉ VIRTUALIZA VMWARE VSPHERE? .................................................... 17
¿CÓMO REALIZA LA VIRTUALIZACIÓN? ....................................................... 17
¿QUÉ ES VMWARE ESXI? ....................................................................... 17
¿QUÉ ES VMWARE VCENTER SERVER?.................................................... 18
FORTALEZAS Y DEBILIDADES: ALIENVAULT ..................... 20
XVI
FORTALEZAS Y DEBILIDADES: SPLUNK ............................ 20
VALORACIÓN: ALIENVAULT SOBRE SPLUNK .................... 21
ESTRUCTURA DE PRECIOS ................................................ 21
HERRAMIENTAS DE ADMINISTRACIÓN ALIENVAULT
(OSSIM) ................................................................................. 22
INSTALACIÓN DE SERVIDOR Y CLIENTES ........................ 23
SERVIDOR ESXI 6.7.0 VMWARE .......................................... 23
REQUERIMIENTOS DE HARDWARE: .................................. 23
REQUISITOS DE HARDWARE SERVIDOR OSSIM
(ALIENVAULT). ...................................................................... 26
REQUERIMIENTOS TÉCNICOS DEL PERSONAL
ADMINISTRADOR. ................................................................ 26
HERRAMIENTA GLOBAL OSSIM (ALIENVAULT) ................. 27
INSTALACIÓN ALIENVAULT (OSSIM) .................................. 27
PRUEBAS DE CONECTIVIDAD REMOTA ALIENVAULT
(OSSIM) ................................................................................. 43
MONITOREO DE ACTIVIDAD: .............................................. 44
REPORTES DE EVENTOS: ................................................... 44
ANALISIS Y RESULTADOS. .................................................. 46
CAPITULO Ⅳ ........................................................................ 47
VIABILIDAD DEL PROYECTO. .............................................. 47
VIABILIDAD TÉCNICA: .......................................................... 47
XVII
VIABILIDAD FINANCIERA: .................................................... 47
ESTUDIO DE FACTIBILIDAD: ............................................... 48
RECURSOS HUMANOS. ....................................................... 48
RECURSOS MATERIALES. ................................................... 48
RECURSOS FINANCIEROS. ................................................. 49
COSTO DE MANTENIMIENTO. ............................................. 49
RECURSOS LEGALES. ......................................................... 49
CONCLUSIONES ................................................................... 50
RECOMENDACIONES. ......................................................... 51
REFERENCIAS BIBLIOGRÁFICAS ....................................... 52
ANEXOS ................................................................................ 53
XVIII
TABLA DE ILUSTRACIONES
GRÁFICO N° 1 ......................................................................... 4
METODOLOGÍA HERRAMIENTA DE MONITOREO (OSSIM) . 4
GRÁFICO N° 2 ....................................................................... 18
VMWARE HYPERVISOR ....................................................... 18
GRÁFICO N° 3 ....................................................................... 19
VMWARE VCENTER SERVER .............................................. 19
GRÁFICO N° 4 ....................................................................... 22
FUNCIÓN Y BENEFICIO DE LA HERRAMIENTA ALIENVAULT
(OSSIM) ................................................................................. 22
REQUERIMIENTOS DE HARDWARE: .................................. 23
GRÁFICO N° 5 ....................................................................... 24
CONFIGURACION DEL SERVIDOR ESXI VMWARE ............ 24
GRÁFICO N° 6 ....................................................................... 25
INSTALACIÓN ALIENVAULT (OSSIM) .................................. 27
GRÁFICO N° 8 ....................................................................... 27
SELECCIÓN DEL SOFTWARE DE OSSIM: .......................... 28
GRÁFICO N° 9 ....................................................................... 28
SELECCIÓN DEL IDIOMA REGIONAL: ................................. 28
GRÁFICO N° 10 ..................................................................... 29
SELECCIÓN DEL IDIOMA (TECLADO) ................................. 29
XIX
GRÁFICO N° 11 ..................................................................... 29
SELECCIÓN DEL PAÍS O REGIÓN ....................................... 29
GRÁFICO N° 12 ..................................................................... 30
SELECCIÓN DE IP DEL SERVIDOR OSSIM. ........................ 30
GRÁFICO N° 13 ..................................................................... 30
CONFIGURACIÓN PUERTA DE ENLACE (GATEWAY). ....... 30
GRÁFICO N° 14 ..................................................................... 31
INGRESO DE CONTRASEÑA PARA EL SERVIDOR OSSIM.
............................................................................................... 31
GRÁFICO N° 15 ..................................................................... 31
FINALIZACIÓN DE INSTALACIÓN DEL SOFTWARE. .......... 31
GRÁFICO N° 16 ..................................................................... 32
USUARIO ATTACKER (UBUNTU) ......................................... 32
GRÁFICO N° 17 ..................................................................... 33
CONTRASEÑA VICTIM (UBUNTU) ....................................... 33
GRÁFICO N° 18 ..................................................................... 34
CONFIGURACIÓN DE IP ESTÁTICA .................................... 34
GRÁFICO N° 19 ..................................................................... 34
VISTA DE LA IP ESTÁTICA CONFIGURADA ........................ 34
GRAFICO N° 20 ..................................................................... 35
REINICIO INTERFAZ NIC ...................................................... 35
GRÁFICO N° 21 ..................................................................... 35
XX
INSTALACION DE LA PAQUETERÍA: NMAP ........................ 35
GRÁFICO N° 22 ..................................................................... 35
VISUALIZACIÓN DEL ARCHIVO OSSEC HIDS .................... 35
GRAFICO N° 23 ..................................................................... 36
EXTRACCIÓN DEL ARCHIVO .TAR.GZ ................................ 36
GRÁFICO N° 24 ..................................................................... 36
INGRESO INTERFAZ WEB ALIENTVAULT ........................... 36
GRÁFICO N° 25 ..................................................................... 37
ENVIRONMENT (ALIENVAULT) ............................................ 37
GRÁFICO N° 26 ..................................................................... 37
AGENTES (ALIENVAULT) ..................................................... 37
GRÁFICO N° 28 ..................................................................... 38
ESTACIONES REMOTAS ...................................................... 38
GRÁFICO N° 30 ..................................................................... 39
INSTALACIÓN REPOSITORIO ./ INSTALL.SH ...................... 39
GRÁFICO N° 31 ..................................................................... 40
IMPORTACIÓN DE LAS LLAVES .......................................... 40
GRÁFICO N° 33 ..................................................................... 41
SERVICIO OSSEC (STOP) .................................................... 41
GRÁFICO N° 34 ..................................................................... 41
SERVICIO OSSEC (START) .................................................. 41
XXI
GRÁFICO N° 35 ..................................................................... 42
SERVICIO HIDS (STOP) ........................................................ 42
GRÁFICO N° 36 ..................................................................... 42
SERVICIO HIDS (START) ...................................................... 42
GRÁFICO N° 37 ..................................................................... 43
ESTACIONES EN MODO (ACTIVE) ...................................... 43
MONITOREO DE ACTIVIDAD: .............................................. 44
GRÁFICA N° 39 ..................................................................... 44
MONITOREO DE EVENTOS ................................................. 44
REPORTES DE EVENTOS: ................................................... 44
GRÁFICA N° 40 ..................................................................... 45
REPORTE DE ALARMAS GENERADAS ............................... 45
GRÁFICA N° 41 ..................................................................... 45
XXII
INDICE DE CUADROS
CUADRO N 1 ………………………………………………………………… 10
CAPA SUPERIOR…………………………………………………………… 10
CUADRO N2………………………………………………………………….. 11
CAPA MEDIA…………………………………………………………………. 11
CAPA N 3……………………………………………………………………… 11
CAPA INFERIOR………………………………………………………………11
XXIII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIA MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES
Monitoreo y gestión de seguridad sobre la infraestructura
de red mediante la implementación de una herramienta
OSSIM aplicando al sector de la mediana
empresa.
AUTORES: Alexandra Zalabarria Zamora
Joel Banchón Montaleza
TUTOR: Ing. Miguel Molina Villacis
RESUMEN
Este Proyecto de Titulación consiste en el análisis e implantación respectiva de la
seguridad sobre una infraestructura de red en distintos servidores físicos y
virtuales, teniendo de forma centralizada los registro (logs) que son creados por
varios servidores y servicios dentro de la red, en dónde se realizará un análisis
detallado de cada acontecimiento y vulnerabilidad de este. La herramienta a
utilizar va a ser OSSIM que es una aplicación Open Source, la cual tiene una vista
como administrador en varios aspectos relativos a la red y otras herramientas de
monitoreo como es SIEM la cual es complementada con diversas
funcionabilidades de seguridad como son gestión de antivirus y la detección de
malware. La intención principal en el desarrollo de este proyecto es presentar un
estudio general sobre esta herramienta, un análisis de compatibilidad y
requerimientos para proceder con la implementación y conocimiento general de la
red la configuración e instalación paso a paso resaltando lo más significativo de
OSSIM que debe conocer el administrador de red para una correcta
implementación.
XXIV
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIA MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES
Infrastructure security monitoring and management
network by implementing a tool
OSSIM applying to the median sector
company.
AUTHORS: Alexandra Zalabarria Zamora
Joel Banchón Montaleza
TUTOR: Ing. Miguel Molina Villacis
ABSTRACT
This Degree Project consists of the respective analysis and implementation of security over a network infrastructure in different physical and virtual servers, having centralized records (logs) that are created by several servers and services within the network, where A detailed analysis of each event and its vulnerability will be carried out. The tool to use will be OSSIM which is an Open Source application, which has a view as administrator in various aspects related to the network and other monitoring tools such as SIEM which is complemented with various security features such as management of antivirus and malware detection. The main intention in the development of this project is to present a general study on this tool, a compatibility analysis and requirements to proceed with the implementation and general knowledge of the network configuration and installation step by step highlighting the most significant OSSIM that should Meet the network administrator for proper implementation study on this tool, a compatibility analysis and requirements to proceed with the implementation and general knowledge of the network configuration and installation step by step highlighting the most significant OSSIM that should Meet the network administrator for proper implementation.
XXV
INTRODUCCIÓN
Los grandes avances de nuevas tecnologías e internet, el uso constante hace
que su crecimiento sea exponencial, el internet crea una necesidad y hace que
los seres humanos nos comuniquemos a través de ella con diferentes dispositivos
como son los teléfonos inteligentes (smartphones) y diferentes aplicaciones que
permiten navegar y acceder a varios servicios que esta ofrece.
Varias empresas basan sus comunicaciones en redes Voz IP (VoIP) lo cual la red
debe estar apta para soportar todo el tráfico de red que los usuarios requieren y
compartir sus recursos, para que esto se lleve a cabo es necesario implementar
varios equipos muy robustos que tengan toda la capacidad de almacenamiento e
interacción. Estos equipos son adquiridos con sistemas operativos
multiplataforma que están en toda la capacidad de brindar servicios un excelente
servicio a los usuarios internos o externos.
La seguridad informática como la conocemos es un conjunto de procedimientos
que garantizan en su gran parte la integridad de los datos para ello necesita
herramientas que ayuden a la protección de datos críticos y un correcto
funcionamiento de estas.
Los procedimientos para desarrollarse deben ser planificados para una
distribución adecuada y así prevenir vulnerabilidades en la seguridad de la
empresa. Por lo tanto, se debe explorar en diferentes alternativas y técnicas a
implementar en este caso la herramienta denominada OSSIM.
El propósito principal para el desarrollo de este proyecto es la mejorar la
seguridad de la red mediante la correlación o la oportunidad de tener una vista
amplia de los eventos ocurridos en la red, a través de esta situación privilegiada
se procede la información y a su vez permite aumentar la capacidad de detección
de anomalías y prioriza los eventos según el contexto de importancia que se le
dé.
La valoración de riesgos es una forma práctica de decidor en cada evento y la
ejecución de una acción a través de la valoración de la amenaza que
representaría el evento frente a un activo, teniendo en cuenta casos como la
factibilidad y probabilidad de ocurrencias del mismo evento, a partir de ahí nuestra
herramienta se vuelve más compleja ya que es capaz de activar la política de
XXVI
seguridad según el caso, el conocimiento de cada equipo de red ofrecerá
monitoreo de riesgos en tiempo real.
Ofrece un marco que centraliza, organiza y mejora las capacidades de detección
de intrusos con una visibilidad en el monitoreo de eventos en la seguridad de
empresas. OSSIM establece un fuerte motor de correlación la cual permite el
detalle de eventos y permite la visualización con la presentación de informes y
herramientas de gestión de seguridad gestionando los incidentes.
CAPITULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
Ubicación del Problema en un Contexto
ANÁLISIS CONTEXTUAL
“MONITOREO Y GESTIÓN DE SEGURIDAD SOBRE LA
INFRAESTRUCTURA DE RED MEDIANTE LA IMPLANTACIÓN DE
UNA HERRAMIENTA OSSIM APLICADO AL SECTOR DE LA
MEDIANA EMPRESA”
2
Descripción.
El Proyecto abarca análisis e implementación de la herramienta OSSIM, sobre
una infraestructura de red, en la cual tienen como existencia servidores tanto
físicos como virtuales, ejecutando sistemas operativos: Windows Y Linux ya
implantados, los mismos que proporcionan servicios de Active Directory (AD),
Reporting Services (SQL), Telefonía IP (Elastix), Servicios de plataforma Web con
protocolos de red debidamente estandarizados; el enfoque que se tiene es el
análisis detallado sobre el estado actual de la red, verificación de los errores
generados y advertencias o alarmas, llevando un mejor control de seguridad
sobre los distintos servicios actuales en la empresa Red de servicios Facilito.
Los administradores de red se ven en la necesidad de tener un monitoreo de
forma general sobre su propia infraestructura de red, visualizando en tiempo real
los distintos síntomas presentados, para la respectiva toma de decisiones cómo
acciones preventivas y correctivas del mismo.
Alcance.
El alcance de nuestro proyecto abarca los siguientes puntos específicos:
Instalación de la herramienta OSSIM en la empresa Red de Servicios Facilito.
Análisis y Monitoreo del tráfico interno de la red actual tanto en el enlace WAN
como Datos.
Análisis de errores generados en los distintos servidores ya implantados.
Análisis de vulnerabilidades presentadas en la red.
Monitoreo y restricciones de usuarios.
Análisis y segmentación del consumo de ancho de banda de la red.
Análisis y verificación de los servicios existentes dentro de la empresa.
Problemática
Es de común consenso que los indicadores de seguridad de un sistema
informático se incrementan favorablemente en la medida en que se implementan
controles y herramientas específicas para solucionar problemas relacionados a la
3
seguridad del sistema, la red y los usuarios. Sin embargo, la implementación de
una gran cantidad de soluciones de seguridad en una red con frecuencia conlleva
un aumento sustancial en la complejidad de administración de los dispositivos
instalados para tal fin, observándose al final resultados adversos en los
indicadores de gestión de la seguridad.
Justificación.
El proyecto consiste en el análisis de la seguridad de una infraestructura de red
y servidores, el enfoque principal es mantener centralizado todos los registros
(logs) que son generados por los diferentes servidores y equipos de red en una
sola consola de administración centralizada, realizando un análisis detallado de
cada evento, así mismo como obtener reportes personalizados de las
vulnerabilidades existentes en las estaciones de trabajo y la red en genera.
Objetivo General.
Implementar la herramienta OSSIM, en la empresa Red de Servicios Facilito,
en dónde el administrador podrá monitorizar cada una de las alertas o eventos de
seguridad sobre la infraestructura de la red.
Objetivos Específicos.
Analizar de la Red interna de la empresa y segmentación de ser necesaria.
Implementar e Integrar servicios y servidores virtuales actuales
Prevenir las vulnerabilidades, verificando las alarmas o eventos que se
presenten sobre la herramienta centralizada a implantar.
Metodología del Proyecto.
Para el desarrollo del presente proyecto se utilizará la Metodología PPDIOO,
revisando cada una de sus fases correspondientes: (Preparar, Planear, Diseñar,
Implementar, Operar, Optimizar), teniendo como objetivo final obtener la
4
información necesaria siguiendo un correcto orden del desarrollo y ejecución del
proyecto a realizar
GRÁFICO N° 1
Metodología Herramienta de Monitoreo (OSSIM)
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
PREPARAR: En esta fase determinaremos si el proyecto es viable o no,
determinar los riesgos que puede haber en el mismo, determinar los objetivos
generales que sean medibles en tiempo y alcance.
PLANEAR: En esta etapa podemos definir el alcance del proyecto, es decir tener
un análisis de los recursos que vamos a utilizar para el monitoreo y control de red
sobre los registros (logs) de cada servidor físico y virtual, determinando el nivel de
riesgo o vulnerabilidad que se tienen sobre los diferentes productos que se tienen
trabajando actualmente sobre la plataforma dentro de la empresa una vez que
sean integrados a nuestro sistema de monitoreo.
DISEÑAR: Se lleva acabo el diseño detallado comprendiendo los requerimientos
técnicos obtenidos desde las fases anteriores, dónde se tendrá información
actualizada para la debida implantación del proyecto en cada una de sus fases.
5
IMPLEMENTAR: Aquí coordinamos todos los recursos que tenemos para la
implementación de nuestro proyecto, es decir se procederá a diseñar un plan
mejorado acorde el diseño inicial, que nos ofrece la herramienta OSSIM para la
mitigación y monitorización de problemas o incidencias dentro de nuestra
estructura de red.
OPERAR: Supervisar el avance de nuestro proyecto aplicando acciones
correctivas para evaluar la operación y funcionamiento de los servicios, servidores
y equipos de red, corrigiendo todos los problemas en la configuración de la
herramienta OSSIM para tener un panorama más claro de problemática y
soluciones por el administrador de red.
OPTIMIZAR: En esta última fase tendremos una mejor visión del panorama ya
implantado, de tal forma que podemos identificar y resolver novedades antes que
puedan afectar al rendimiento de nuestra red, también podremos realizar o crear
modificaciones de ser necesarias para tener un desempeño eficiente de la
herramienta implantada.
6
CAPITULO II
MARCO TEORICO
Open Source Security Information Manager (OSSIM)
Descripción.
El término OSSIM es derivado de las siglas (Open Source Security Information
Manager) traducido al español como “Herramienta de Código Abierto para la
Gestión de Seguridad de la Información”, la cual nos provee una interfaz de
administración sobre eventos de seguridad de forma detallada, en conjunto con
diversas aplicaciones o componentes Open Source incluidos en la herramienta,
siendo de gran ayuda a la gestión del administrador ya que puede visualizar de
forma centralizada los distintos eventos en la infraestructura de red de la empresa,
obteniendo una mayor eficacia al momento de encontrar vulnerabilidades sobre la
seguridad de la red a monitorear.
OSSIM como herramienta trae incorporadas algunos componentes adicionales
Open Source dentro de su software, que tienen la capacidad de correlacionarse
entre sí para llevar a cabo una mejor centralización de la infraestructura de red
dentro de la empresa.
Características de Seguridad.
OSSIM trae consigo varias características que permite al administrador de red
gestionar de forma más eficiente la seguridad interna de los servidores de la red
de voz y datos.
Se pueden mencionar las siguientes características.
• Es completamente gratuito.
7
• Cuenta con monitoreo centralizado.
• Analiza el comportamiento de red.
• Presenta informes técnicos detallados.
• Análisis de las posibles incidencias anómalas de la red.
• Control de ataques en la red.
• Monitorea el exceso de tráfico en la red.
• Recolecta los logs de los distintos servidores.
• Presenta una prueba de vulnerabilidades.
• Notificaciones automáticas mediante alertas que son.
• Alerta y detección de intrusos
• Posibles ataques
Detección de Activos (Asset Discovery).
Permite evaluar y detectar todos los activos dentro de la red como:
• Escaneo masivo de terminales (hosts).
• Monitoreo pasivo de la red.
• Inventario de activos y softwares.
Evaluación de Vulnerabilidades.
• Identifica las vulnerabilidades del sistema de red implantado.
• Ejecución o pruebas de seguridad de la red.
• Monitoreo continuo de vulnerabilidades presentadas.
Detección de Violaciones de Seguridad
• Identifica las vulnerabilidades del sistema de red implantado.
• Ejecución o pruebas de seguridad de la red.
• Monitoreo continuo de vulnerabilidades presentadas.
8
Monitoreo del Comportamiento.
• Detecta anomalías o comportamientos sospechosos.
• Análisis del flujo de la red.
• Disponibilidad del servicio de vigilancia sobre alarmas reportadas.
Gestión de Eventos e Información de Seguridad (SIEM).
• Analiza y relaciona datos de eventos sobre la seguridad de la red.
• Administración de Eventos (logs).
• Respuestas a incidentes y elaboración de informes detallados.
OSSIM vs Otras Aplicaciones.
OSSIM actualmente cuenta con diversas herramientas de libre distribución
embebidas, de tal forma que se puede obtener una mayor factibilidad al momento
de la detección de intrusos en la red, a través de la interfaz amigable que
poseedicha plataforma. Nos permite generar de forma automática notificaciones
de eventos o alarmas previamente programadas.
A continuación, se mostrará una tabla comparativa estableciendo como criterios;
el software libre y de pago, demostrando que la herramienta a implantar OSSIM
(AlientVault) siendo Open Source puede competir e incluso superar a una
herramienta de pago.
CUADRO N° 1
OSSIM vs OTRAS HERRAMIENTAS
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
9
Funcionalidades de elementos de la arquitectura ossim
Los elementos de la arquitectura OSSIM se basa en tres capas como son las
superior, media e inferior a continuación se detallará cada funcionabilidad.
CUADRO N° 2
CAPA SUPERIOR.
En esta capa permite la interacción con la herramienta tanto la visualización de
eventos ocurridos con en la configuración de las herramientas.
Cuadro de mandos. Permite la presentación de una manera que
permite la visualización de eventos y alertas
que son generadas en la red de una forma
comprensible para el administrador de red.
Consola forense.
Concede toda la información recopilada y
almacenada por un colector de eventos de
una manera ordenada y centralizada.
Características AlientVa
ult
LogRhyt
hm
Splu
nk
McAf ee IBM
Qradar
HP
ArcSight
SolarWi
nds
Tipo de Licencia Libre /
Pago Pago Pago Pago
Libre /
Pago Pago Pago
Monitoreo de Seguridad en
Tiempo Real ✅ ✅ ✅ ✅ ✅ ✅ ✅
Detección de Amenazas ✅ ✅ ✅ ✅ ✅ ✅ ✅
Análisis o Escaneo de Red ✅ ✅ ✅ ✅ ✅ ✅ ✅
Perfil de Comportamiento ✅ ✅
Administración de Eventos (logs) &
Reportes ✅ ✅ ✅ ✅ ✅ ✅ ✅
Aplicaciones de Monitoreo
Embebidas ✅ ✅ ✅ ✅
10
Monitores de procesos.
Delegados del monitoreo de los procesos que
se presentan en la red.
Correlación. Procesos de datos de entrada enviados por
los sensores y de entrega da datos de salida.
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
CUADRO N° 3
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
CAPA MEDIA
Permite la interpretación de cada evento enviado por cada uno de los agentes o
sensores y lo hace de forma comprensible al administrador, esto es manipulado por
el motor de correlación, es decir que relaciona los datos que entran y ofrece un dato
de salida legible creando los diferentes avisos o advertencias según el caso
Estimación de riesgos. Nos ayuda a la valoración de diferentes
eventos suscitados en la red justificándose
en varios factores como el tipo de
vulnerabilidades y el porcentaje de
probabilidad que ocurra.
Importancia de eventos. Es la priorización de los eventos ya que los
evalúa según su importancia para que sea
atendido de forma más rápida comparada a
otros.
Base de Datos:
Permite el almacenamiento de todos los
tipos de datos de la red.
11
Fuente: Datos tomados de la investigación
CUADRO N° 4
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
OSSIM-SERVER
Es un demonio que se ejecuta en el background y tiene una conexión directa con
la base de datos para tener un ingreso u obtención de datos desde los agentes y
el framework.
Tiene como principal propósito:
• La recopilación de datos desde los agentes y varios servidores.
• Priorización de los eventos receptados.
• Colector de los eventos receptados de múltiples fuentes.
• Ejecutar las debidas evaluaciones de los diferentes tipos de riesgos y
activación de alarmas.
• Almacenamiento masivo de eventos en la base de datos.
• Reenviar acontecimientos.
CAPA INFERIOR.
Esta es la última capa de OSSIM donde permite la colección y correlaciona los eventos
los cuales son enviados hacia el sistema núcleo
Colector de eventos. Hace la recopilación de los eventos
desarrollados en la red para
consecutivamente sean procesados.
Generador de eventos. Cualquier equipo que esté conectado a la
red generara algún tipo de evento con
cada operación realizada en el mismo.
12
OSSIM- FRAMEWORK
Este es otro demonio que ejecuta varias tareas no realizadas por los agentes,
servidores o el front-end. Su acceso a la base de datos de OSSIM, como la base
de datos de eventos.
Tiene como propósito principal:
• Lectura/escritura archivos del filesystem obviando que el servidor web lo
haga de una forma más directa.
• Ejecución de comandos externos.
OSSIM-AGENT
Los agentes en OSSIM se encargan de la recolección de todos los datos enviados
por los dispositivos que se encuentran conectados en el entorno de red, estos
datos se estandarizan para la comprensión de OSSIM y después enviarlos a los
servidores.
Ventajas y desventajas del software a implementar.
Ventajas:
Disponibilidad de la información.
Mejora el rendimiento y la calidad de la red
Optimiza la producción y la disponibilidad del equipo
Escalable.
Se pueden adherir nuevos servicios
Gratuita.
Aumento de la seguridad en la información
Desventajas:
Existe una versión con plugins adicionales de esta herramienta, que
permite una más fácil e intuitiva administración del administrador, pero es con
costo de licenciamiento.
13
Antecedentes del estudio
Los ataques informáticos que se viven diariamente pueden presentar un riesgo
eminente por esta razón se deben reinventar las técnicas de seguridad para que
no exista una posible fuga de información lo cual es una gestión bastante compleja
ya que se debe saber cuáles son las vulnerabilidades que existen en la red para
poder mitigar los riesgos de esta.
El desarrollo de la Internet y como la mayoría de los avances tecnológicos han
sido pilares fundamentales para el desarrollo de la humanidad, pero como
desventaja tenemos el crecimiento de ataques informáticos que se han venido
desarrollando, para prevenir vulnerabilidades en la seguridad información
tenemos la seguridad informática que se encarga de reducir al mínimo el acceso
de forma maliciosa a la red.
“La globalización de la economía ha exigido que las empresas implementen
plataformas tecnológicas que soporten la nueva forma de hacer negocios.
El uso de Internet para este fin conlleva a que se desarrollen proyectos de
seguridad informática que garanticen la integridad, disponibilidad y
accesibilidad de la información” (Quiroz, Macías, 2017).
Los ataques informáticos que se viven diariamente pueden presentar un riesgo
eminente por esta razón se deben reinventar las técnicas de seguridad para que
no exista una posible fuga de información lo cual es una gestión bastante compleja
ya que se debe saber cuáles son las vulnerabilidades que existen en la red para
poder mitigar los riesgos de las misma.
“La seguridad informática actualmente forma parte de los grandes negocios
en materia de tecnología y seguridad en las empresas. Debido a que hoy en
día se reflejan distintos tipos de ataques y amenazas al acceso de la
información de las organizaciones, es necesario crear medidas y procesos
que contrarresten estos peligros que afectan los recursos funcionales de las
entidades”. (Suarez. Ávila, 2015)
OSSIM (Open Source Security Information Manager) es una herramienta de
seguridad que fue desarrollada por Julio Casal y Dominique Karg en el 2000, que
tiene como función principal la seguridad informática y a partir de ella funcionan
varias herramientas muy conocidas con grandes capacidades, alto grado de
14
beneficios y seguridad de código abierto (Open Source). Por estas ventajas se ha
convertido en una compañía grande en el área de seguridad informática,
aproximadamente se realizan descargas de 40.000 copias al año lo que este caso
representaría más del 50% de los despliegues de sistema de seguridad mundial,
poniéndose como competencia para marcas reconocidas en el medio como son
IBM o McAfee.
Fundamentación teórica
El desarrollo del internet ha sido eminente y pieza fundamental para casi todo
lo que quieran hacer los ser humanos ya que es un factor importante e
indispensable para la tecnología de hoy en día esto nos lleva a la seguridad
informática que trata de proteger y mitigar los riesgos en los datos, para que se
manipulen de forma correcta y así supervisar los diferentes inconvenientes y
vulnerabilidades en el funcionamiento de la organización.
Una herramienta que nos puede ayudar a la seguridad de red es OSSIM ya que
nos permite controlar algo sencillo como son los logs en una contraseña mal
digitada hasta un ataque que se esté dando en nuestra infraestructura.
OSSIM cuenta con aproximadamente 22 funciones, todas esta con código
abierto que son capaces de correlacionarse y así tener un control mucho más
centralizado.
Fundamentación legal.
Art.1. Establecer como política pública para las entidades de administración
Pública central la utilización del Software Libre en sus sistemas y equipamiento
informáticos.
Art. 2. Se entiende por software Libre, a los programas de computación que se
pueden utilizar y distribuir sin restricción alguna. Que permitan al acceso a los
códigos fuentes y que sus aplicaciones puedan ser mejoradas.
Estos programas de computación tienen las siguientes libertades:
Utilización de programas con cualquier propósito de uso común.
Distribución de copias sin restricción alguna.
Estudio y modificación de programas (Requisitos: código fuente disponible).
Publicación del programa mejorado (Requisito: código fuente disponible).
15
Art. 3. Las entidades de la administración pública central previa a la instalación
del software libre en sus equipos deberán verificar la existencia de capacidad
técnica que brinde el soporte necesario para este tipo de software.
Art. 4. Se faculta la utilización de software propietario (no libre) únicamente
cuando no exista una solución de software libre que supla las necesidades
requeridas, o cuando esté en riesgo de seguridad nacional, o cuando el proyecto
informático se encuentre en un punto de no retorno.
Art. 5. Tanto para software libre como software propietario, siempre y cuando
se satisfagan los requerimientos.
Art. 6. La subsecretaria de informática como órgano regulador y ejecutor de
las políticas y proyectos informáticos en las entidades de Gobierno Central deber
realizar el control y seguimiento de este decreto.
Art. 7. Encargue de la ejecución de este decreto de los señores ministros
coordinadores y el señor secretario General de la administración pública y
comunicación.
16
CAPITULO III
IMPLEMENTACIÓN
¿Qué es virtualizar? Es la emulación de un recurso, como puede ser un sistema operativo, mediante
software.
Podemos emular o ejecutar un sistema operativo como si estuviera instalado en
un servidor físico, incluso tener varios sistemas operativos corriendo a la vez
dentro de otro, que se conoce como el anfitrión, host o Hypervisor.
Ejemplo del Concepto Virtualización:
Una empresa tiene 15 servidores físicos con su CPU, memoria, su placa base, su
fuente de alimentación, entre otros.
Cada servidor tiene su gasto de luz, mantenimiento, piezas, adicional de lo que ha
costado comprar cada uno de ellos y de repente llega una empresa en la que te
dice que esos 15 servidores, los puedes tener corriendo a la vez en un solo
servidor físico.
No sólo tus 15 Windows Server, sino también 5 máquinas Linux con una
distribución distinta cada uno. La cantidad de dinero que ahorró a las empresas
fue de tal manera que generó un gran ahorro sustancial económico.
17
Aunque la virtualización ya existió durante los años 60, el auge real vino en 1998
cuando VMware fue capaz de virtualizar la infraestructura en arquitectura de x86.
¿Qué es VMware vSphere?
Es el paquete completo que facilita la administración total de todo nuestro entorno
virtual y para ello consta de 2 partes muy bien diferenciadas: Vmware y Vmware
vCenter Server.
¿Qué virtualiza VMware vSphere?
Básicamente sistemas operativos y hardware.
¿Cómo realiza la virtualización?
Mediante un servidor anfitrión al que desde ahora llamaremos hypervisor o host,
ejecutando una serie de máquinas virtuales (VM o virtual machines) que son las
que contienen los sistemas operativos instalar.
¿Qué es VMware ESXi?
Es el sistema operativo que lleva el servidor físico que va a ejecutar las máquinas
virtuales.
Esto también se conoce como hypervisor: VMware ESXi es el sistema operativo
que permite correr otros sistemas operativos dentro de él. No se debe confundir
con VMware Workstation que es una aplicación, no un sistema operativo como tal.
El ESXI no emula el hardware, entrega el hardware donde está instalado a las
máquinas virtuales con una serie de procesos complejos que hace que se pueda
compartir la memoria entre varias máquinas virtuales y la CPU, entre otras cosas.
Y además lo hace mejor que ningún otro hypervisor del mercado (KVM, QEMU,
HyperV…).
A continuación, el esquema sobre la infraestructura VMware ESXi:
18
GRÁFICO N° 2
VMware Hypervisor
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de: virtualizadesdezero.com
¿Qué es VMware vCenter Server?
Es la herramienta que permite manejar todos nuestros ESXi y nuestras máquinas
virtuales de la manera más eficiente.
No es necesario tenerlo para que nuestras máquinas virtuales se ejecuten, y de
hecho si solo tienes un ESXi, el vCenter no tiene ningún sentido.
Una vez que hayamos configurado los ESXi dentro de nuestro vCenter (por
ejemplo, creando Clusters de ESXi), podremos conectarnos a este vCenter Server
y tendremos la visibilidad de todo nuestro entorno virtual presentado de una
manera clara, sencilla e intuitiva.
19
GRÁFICO N° 3
VMware vCenter Server
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de: virtualizadesdezero.com
Características y opciones: alienvault vs splunk AlienVault es una plataforma de respuesta a incidentes y detección de amenazas
basada en dispositivos virtuales o de hardware que combina la funcionalidad de
gestión de registros, como descubrimiento de activos, evaluación de
vulnerabilidad y detección de intrusos.
Aunque es ideal para equipos de seguridad de TI más pequeños (1-20), éste
también integra capacidades de seguridad esenciales en una única plataforma
unificada, ofreciendo un enfoque simplificado para la gestión de seguridad que
permite a las empresas mitigar amenazas de tal forma que se pueda monitorear
soluciones de puntos múltiples.
Splunk Enterprise Security (ES) proporciona monitoreo en tiempo real para brindar
a los usuarios una imagen visual clara de la postura de seguridad de su
organización, con vistas fácilmente personalizables y la capacidad de profundizar
en eventos sin procesar según sea necesario. El panel de control de Postura de
seguridad de la solución rastrea indicadores y métricas de seguridad clave, y el
20
aprendizaje automático ayuda a determinar si Splunk puede manejar un incidente
por sí solo o si necesita ayuda humana.
La búsqueda ad hoc y las correlaciones estáticas, dinámicas y visuales ayudan a
detectar actividades maliciosas, y la solución admite investigaciones de varios
pasos para rastrear actividades dinámicas asociadas con amenazas avanzadas.
La tienda de aplicaciones Splunkbase proporciona acceso a más de 1,000
aplicaciones que se pueden usar con Splunk ES, incluida la actualización de
contenido de Splunk ES, Splunk Security Essentials para ransomware, Splunk
Security Essentials para detección de fraude y otras.
Fortalezas y Debilidades: AlienVault
AlienVault OSSIM ofrece una amplia gama de funcionalidades de seguridad
integradas, que incluyen descubrimiento de activos, gestión de vulnerabilidades y
detección de intrusos. Los clientes dicen que las tecnologías de monitoreo de
seguridad incluidas ofrecen más funcionalidades sin costo alguno que la de los
competidores.
"El mercado objetivo de AlienVault son las medianas empresas y las
organizaciones más pequeñas", señala Gartner. "Como resultado, las
características orientadas a la empresa, como el flujo de trabajo basado en roles,
las integraciones de tickets, el soporte para múltiples fuentes de inteligencia de
amenazas y las capacidades analíticas avanzadas, van a la zaga de las de los
competidores que se centran en los clientes empresariales".
Fortalezas y Debilidades: Splunk
Splunk ofrece una gama de soluciones de gestión de eventos de seguridad que
permiten a los usuarios crecer en la plataforma con el tiempo, y la funcionalidad
de análisis avanzado está disponible en todo el ecosistema: como parte de las
capacidades de búsqueda principales, con Machine Learning Toolkit,
preempaquetado en UBA y a través de terceros -proveedores de aplicaciones de
fiesta.
Aún así, Gartner señala que Splunk no ofrece una versión de dispositivo de la
solución, y los clientes han expresado su preocupación sobre el modelo de licencia
21
y el costo general para implementar la solución. En respuesta, Splunk ha agregado
nuevas opciones de licencia, como el Acuerdo de Adopción Empresarial (EAA).
"Muchas organizaciones comienzan a implementar Splunk para otros casos de
uso, facilitando el camino para los equipos de seguridad que buscan agregar una
solución SIEM a su entorno ya que la infraestructura central y las fuentes de
registro de eventos ya están en su lugar", dijo Gartner.
Valoración: AlienVault sobre Splunk
Los usuarios de la estación central de TI otorgan a AlienVault un 8,4 sobre 10, y
Splunk lo sigue de cerca de 8,0 sobre 10. Los usuarios de Gartner Peer Insights
otorgan a ambas soluciones un 4,3 sobre 5.
Los revisores de AlienVault dijeron que la solución les permitió "crear un SOC con
un presupuesto con requisitos de personal más pequeños de lo habitual", y que
mientras "algunos de los eventos de correlación son falsos positivos", la solución
ofrece "detección de amenazas poderosas, respuesta a incidentes y gestión de
cumplimiento."
Los usuarios de Splunk dijeron que les brinda "la capacidad de reunir múltiples
tipos de datos dispares, luego correlacionarlos e informar sobre ellos", y que
mientras que la "GUI se puede mejorar" y "necesita alguna actualización", el
producto hace posible nuevos tipos de correlaciones que antes eran imposibles
con los SIEM tradicionales".
Estructura de precios
El precio de Splunk se basa en la cantidad de usuarios y la cantidad de datos
ingeridos por día. Una versión gratuita está disponible para un solo usuario y hasta
500 MB de datos por día. Splunk Light, para hasta cinco usuarios y hasta 20 GB
de datos por día, comienza en $ 75 al mes, facturado anualmente. Splunk
Enterprise, para usuarios ilimitados y hasta cantidades ilimitadas de datos por día,
comienza en $ 150 por mes por 1 GB de datos por día, con descuentos por GB a
medida que aumenta el volumen: 10 GB de datos por día cuesta $ 83 por GB por
mes, por ejemplo, mientras que 100 GB de datos por día cuestan $ 50 por GB por
mes, mientras que la herramienta AlienVault OSSIM es de libre licenciamiento.
22
GRÁFICO N° 4
FUNCIÓN Y BENEFICIO DE LA HERRAMIENTA
ALIENVAULT (OSSIM)
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Herramientas de administración ALIENVAULT (OSSIM)
• P0f, Utilizado para la identificación pasiva del OS.
• Pads, utilizado para detectar anomalías en servicios.
• Openvas, utilizado para la evaluación y correlación cruzada (Sistema de
detección de intrusos vs Escáner de Vulnerabilidad)
• Snort, utilizado como sistema de detección de intrusos (IDS) como
también para la correlación cruzada con Nessus.
• Spade, es un motor de detección de anomalías en paquetes. Utilizado para
obtener conocimiento de ataques sin firma.
23
• Tcptrack, utilizado para conocer la información de las sesiones, lo cual
puede conceder información útil relativa a los ataques.
• Ntop, el mismo construye una impresionante base de datos con la
información de la red, para la detección de anomalías en el comportamiento.
• Nagios, utilizado para monitorear la disponibilidad de los hosts y servicios.
• nfSen, visor de flujos de red para la detección de anomalías de red
• Snare, colecciona los logs de sistemas Windows.
• OSSEC, es un sistema de detección de intrusos basado en hosts.
• OSSIM también incluye herramientas desarrolladas específicamente para
él, siendo el más importante un motor de correlación con soporte de directivas
lógicas e integridad de logs con plugins.
Instalación de servidor y clientes
Servidor ESXi 6.7.0 VMware
Debido a la demanda y la escalabilidad que hay en la actualidad sobre los distintos
servicios en la infraestructura de una empresa, se configurará la imagen .iso
VMware ESXi 6.7.0 sobre nuestro servidor físico, ya que nos permitirá verificar los
recursos y la cantidad de procesamiento que actualmente se encuentren
virtualizados sobre nuestra infraestructura.
Requerimientos de Hardware:
Los requerimientos mínimos de hardware para la instalación del equipo físico
deberán contener las siguientes características:
La imagen .iso correspondiente se la puede obtener desde la página web
oficial VMware.
Quemar la imagen obtenida anteriormente sobre algún dispositivo boot o CD
sobre el equipo a instalar.
Procesador: Sólo CPUs de 64-bit x86, Intel o AMD, máximo 160 CPUs (cores
o hyperthreads).
Memoria: 2GB de RAM mínimo, 1TB máximo.
24
Red: Una o más tarjetas Gigabit Ethernet. Las tarjetas Ethernet de 10Gbps
también están soportadas. El número máximo de tarjetas de 1Gbps Ethernet
por servidor es de 32
Disco Duro: Capacidad mínima de 40GB o de mayor almacenamiento.
Controladora de disco: Controladora SCSI, controladora FC (Fibre Channel),
controladora iSCSI, controladora RAID interna, SAS y SATA.
Almacenamiento: Disco SCSI, LUN (Logical Unit Number) FC, disco iSCSI o
RAID LUN con espacio disponible sin particionar.
Configuración del Servidor ESXi 6.7.0
Para la configuración de nuestro servidor ESXi (VMware), se debe tener en cuenta
las siguiente direcciones IP a utilizar:
IP del Servidor.
IP Puerta de Enlace (Gateway).
IP DNS del servidor.
GRÁFICO N° 5
CONFIGURACION DEL SERVIDOR ESXi VMware
Configuración Servidor E
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
25
Ingresamos a nuestra interfaz web desde cualquier navegador de preferencia
para el administrador e ingresamos las credenciales, sobre el siguiente enlace:
https://192.168.251.13/ui/#/login
GRÁFICO N° 6
Ingreso: Nombre de Usuario y Contraseña del servidor.
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Se visualizan todos los datos previamente configurados en nuestro servidor físico,
en dónde se podrá realizar el monitoreo de cada máquina virtual dentro de nuestra
infraestructura VMware:
26
GRÁFICO N° 7
Interfaz Gráfica del Servidor.
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Requisitos de Hardware Servidor OSSIM (AlienVault).
El hardware requerido para instalar: OSSIM (AlienVault), depende en su mayoría
al número de eventos correlacionados que el servidor deba procesar
simultáneamente, teniendo en cuenta la cantidad de datos que vamos a
almacenar dentro de su misma base sobre el software OSSIM, y los dispositivos
o hosts que se encuentren disponibles a monitorear dentro de la red a analizar.
Los requisitos mínimos recomendables de hardware para la instalación del equipo
físico contienen las siguientes características:
Procesador de 1.5 GHz con doble núcleo o de mayor capacidad.
Memoria RAM de 2GB o de mayor capacidad.
Tarjeta de Red 100/1000 Mbps.
Disco Duro con capacidad mínima de 40GB o de mayor almacenamiento.
Requerimientos Técnicos del Personal Administrador.
Con el uso de la herramienta OSSIM (AlienVault) y el poder operar sus distintas
funciones es importante que el administrador cumpla con ciertos conocimientos
mínimos:
Conocimientos básicos en Sistemas Operativos sobre plataforma Linux.
Conocimientos en Sistemas Operativos sobre Windows Server.
Conocimientos fundamentales en el ámbito de la Seguridad Informática.
Interpretación sobre logs generados sobre plataforma Linux y Windows.
27
Conocimientos básicos de Redes: LAN/WAN.
Análisis e Interpretación de gráficos estadísticos sobre reportes obtenidos.
Herramienta global OSSIM (AlienVault)
Instalación AlienVault (OSSIM)
Para realizar una instalación de forma óptima, se deberá tomar en cuenta las
siguientes recomendaciones:
Se deberá descargar la imagen .iso correspondiente desde el sitio web
oficial OSSIM AlienVault.
Quemar la imagen obtenida anteriormente sobre algún dispositivo boot o
CD sobre el equipo a instalar.
Iniciar la imagen del software obtenido en nuestro servidor ESXi 6.70
VMware, siguiendo los pasos indicados en la plataforma.
Pasos de la instalación:
Seleccionamos la primera opción para comenzar con la instalación del
software OSSIM (AlienVault) con la arquitectura x64, basado en la distribución
Debian - Linux
GRÁFICO N° 8
Selección del software de OSSIM:
28
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Se procede a seleccionar el idioma de la instalación de preferencia para el
administrador de red, según los requerimientos necesarios para el
monitoreo de servicios a integrar.
GRÁFICO N° 9
Selección del Idioma Regional:
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
29
Seleccionar el país, territorio o área, en nuestro caso: Ecuador.
GRÁFICO N° 10
Selección del Idioma (teclado)
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
GRÁFICO N° 11
SELECCIÓN DEL PAÍS O REGIÓN
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
30
Configuración IP del servidor OSSIM para administración futura del sistema de
monitoreo según el segmento de red escogido previamente
GRÁFICO N° 12
Selección de IP del servidor OSSIM.
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
GRÁFICO N° 13
Configuración Puerta de Enlace (Gateway).
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
31
Ingreso de clave y contraseña (AlienVault), se recomienda una clave que contenga
cómo requisitos mínimos, letras mayúsculas y caracteres especiales:
GRÁFICO N° 14
Ingreso de contraseña para el servidor OSSIM.
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Finalización de nuestra plataforma OSSIM (AlienVault), previo a las
configuraciones realizadas:
GRÁFICO N° 15
Finalización de Instalación del Software.
32
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Configuración de Ambiente Test.
Configuración de máquinas clientes “hosts”
Es necesario tener un ambiente de prueba para realizar una correcta
implementación al momento de que los servicios a monitorear pasen al Dpto. de
Producción, por este motivo se realizará configuraciones en máquinas virtuales
verificando su funcionalidad.
MÁQUINA CLIENTES: “PC: ATTACKER” – “PC: VICTIM” LINUX (UBUNTU)
Para la demostración a realizar se levantaron 2 equipos virtuales, cada uno de
ellos con sus respectivos nombres de usuarios y configuraciones similares en
ambas estaciones de trabajo cómo se aprecia a continuación:
GRÁFICO N° 16
Usuario Attacker (Ubuntu)
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigacióN
33
GRÁFICO N° 17
Contraseña Victim (Ubuntu)
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Configuración IP Estática Linux (Ubuntu)Se procede a configurar una
dirección IP estática en la máquina por motivos de que cualquier evento
que surja un cambio en el equipo, siempre asigne dicha dirección IP.
34
GRÁFICO N° 18
Configuración de IP estática
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
GRÁFICO N° 19
Vista de la IP Estática Configurada
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Reinicio de la tarjeta de red (NIC) para refrescar la dirección IP anteriormente
configurada.
35
GRAFICO N° 20
Reinicio Interfaz NIC
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Instalación de la paquetería nmap (Ubuntu)
GRÁFICO N° 21
Instalacion de la paquetería: nmap
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Descargar desde el navegador de nuestras estaciones de trabajo el archivo
o plugin OSSEC HIDS mediante el siguiente enlace:
https://github.com/ossec/ossec-hids/archive/3.3.0.tar.gz
Para mejor visualización podemos copiar nuestro archivo de descarga en
nuestro escritorio.
GRÁFICO N° 22
Visualización del archivo OSSEC HIDS
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Mediante el siguiente comando extraemos el archivo.tar.gz:
36
GRAFICO N° 23
Extracción del archivo .tar.gz
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Interfaz Web AlientVault
Ingresamos a nuestra interfaz de monitoreo gráfica AlienVault OSSIM.
GRÁFICO N° 24
Ingreso Interfaz Web AlientVault
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Se procede a seleccionar el panel: Environment – Detection:
37
GRÁFICO N° 25
Environment (AlienVault)
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Seleccionamos la opción: AGENTS.
GRÁFICO N° 26
Agentes (AlienVault)
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Se visualizan los agentes actualmente instalados y se procede agregar nuevos
para el monitoreo de las máquinas virtuales respectivas.
38
GRÁFICO N° 27
Agregación Agentes
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Procedemos agregar nuestras máquinas virtuales detectadas por el sistema
para la instalación de los agentes.
GRÁFICO N° 28
Estaciones Remotas
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Se verifican que se hayan agregado correctamente nuestras 2 estaciones de
trabajo.
39
GRÁFICO N° 29
Estaciones de agentes instalados
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Procedimiento de instalación de Agentes en Ubuntu
(Linux).
A continuación, el sistema le indicará varias preguntas sobre el tipo de instalación
de agente que se quiere tener en las
Configuración de Agente OSSEC.
Se procede con la instalación de la paquetería sobre la carpeta
anteriormente extraída en el Escritorio (Ubuntu), de ambas estaciones de
trabajo.
GRÁFICO N° 30
Instalación Repositorio ./ install.sh
40
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Instalación de Agentes en Ubuntu (Linux).
A continuación, el sistema le indicará varias preguntas sobre el tipo de instalación
de agente que se quiere tener en las estaciones de trabajo (hosts).
Tipo de Instalación: Cliente.
Dónde se desea instalar el Agente: Usar por defecto (Presionar-> Enter)
Notificación E-mail: Ingresar dirección e-mail and y detalles del servidor
SMTP, si se desean recibir correos. (Presionar-> Enter)
Run Integrity Check – (Presionar tecla-> y)
Run Rootkit Detection – (Presionar tecla-> y)
Enable Firewall Drop – Se puede agregar la dirección IP del firewall en caso
de disponer uno e ingresarlo hacia una Lista Blanca. - (Presionar tecla-> y)
Importación de llaves para Agentes en Ubuntu (Linux).
Se procede con la importación de llaves desde la interfaz web de AlienVault
(OSSIM) de cada estación de trabajo virtual.
GRÁFICO N° 31
IMPORTACIÓN DE LAS LLAVES
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
41
Información de la llave del Agente a importar de cada usuario:
GRÁFICO N° 32
Usuario - Agente Lla
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Se detiene el servicio ossec mediante el siguiente comando:
GRÁFICO N° 33
Servicio OSSEC (Stop)
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Se inicializa nuevamente el servicio OSSEC mediante el siguiente comando:
GRÁFICO N° 34
Servicio OSSEC (Start)
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
• Procedemos a iniciar el servicio HIDS desde el panel:
- Environment – Detection – HIDS – HIDS Control: Star
42
Procedemos a detener el servicio HIDS desde el panel: - Environment – Detection
– HIDS – HIDS Control: Stop
GRÁFICO N° 35
Servicio HIDS (STOP)
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
GRÁFICO N° 36
Servicio HIDS (Start)
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Se verifican que las estaciones de trabajo se encuentren en estado: Active
43
GRÁFICO N° 37
Estaciones en modo (Active)
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Pruebas de conectividad remota AlienVault (OSSIM)
Ingreso remoto al servidor vía SSH.
Ingresamos a nuestra máquina virtual “Attacker” para realizar las pruebas
de conexión remota con nuestro sistema de monitoreo OSSIM (AlienVault).
GRÁFICO N° 38
Conexión Remota vía SSH
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
44
Monitoreo de actividad:
Se visualizan las actividades o eventos registrados por la herramienta
implementada desde la máquina virtual “Attacker”
GRÁFICA N° 39
Monitoreo de Eventos
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Reportes de Eventos:
Se visualizan los reportes de las alarmas generadas en formato .pdf o .html
45
GRÁFICA N° 40
Reporte de Alarmas Generadas
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza
Fuente: Datos tomados de la investigación
Dentro de la página principal de la herramienta implementada se puede
visualizar un resumen de las actividades reportadas por los distintos agentes
previamente instalados y actividades adicionales con respecto a nuestro
servidor AlienVault (OSSIM).
GRÁFICA N° 41
Resumen de Eventos Registrados
Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza Fuente: Datos tomados de la investigación
46
Análisis y resultados.
Al no utilizar un modelo de encuestas o valores cuantitativos no podemos dar un
análisis en base al entorno de estos datos, los parámetros que si se podrán
analizar son en el entorno OSSIM (Alient Valunt), el funcionamiento con la
activación de los distintos plugins y los resultados arrojados por los informes que
genera la herramienta OSSIM nos presenta las principales áreas de seguridad en
los gráficos estadísticos las cuales presentan un reporte de los hots que están
dentro de nuestra infraestructura de red y un informe personalizado, dentro de su
producción.
El análisis e interpretación de los resultados se muestran según la etapa de
investigación e implementación realizada en entorno a la herramienta OSSIM y
orientándonos en el cumplimiento de los objetivos planteados inicialmente en
nuestro proyecto.
La implementación de la herramienta OSSIM se realizó con éxito en un servidor
virtual que cumple con todos los requerimientos de instalación que exige la
herramienta.
Los plugin utilizados dentro de nuestra herramienta es Syslog genera y almacena
los logs que funciona a cabalidad para el uso de la empresa, cabe recordar que
OSSIM a ser una herramienta de seguridad completa cuenta con varios plugins
adicionales que no están implementados ni mencionados dentro de este proyecto,
pero resaltamos la eficiencia de cada uno de ellos en la parte de los anexos.
47
CAPITULO Ⅳ
Viabilidad del proyecto.
Al momento del análisis y planteamiento de los objetivos sobre la viabilidad del
proyecto, nos encontramos con un panorama un poco complicado al momento de
la implementación, por tal razón el análisis de los diferentes factores para la
viabilidad de nuestro proyecto se concentró en la parte técnica.
Viabilidad Técnica:
Este punto comprende respectivamente en el conocimiento profesional de la
correcta instalación y configuración de la herramienta OSSIM , se basa en la
capacidad analítica que debe tener el profesional del área de seguridades
informáticas para llevar a cabo la configuración de los clientes recolectores de logs
que se encuentran distribuidos de manera estratégica en diferentes puntos de la
red y el distintos servidores de la empresa, mientras más conocimientos tenga el
profesional será más factible para una mejor experiencia y garantizar que todo
esté en un correcto funcionamiento
Viabilidad Financiera:
OSSIM, que es la herramienta fundamentales para el desarrollo de este proyecto
requiere de una inversión por dos partes: la parte profesional y hardware, esta
última donde se procederá la instalación física del servidor, en la parte financiera
se considera de gran importancia ya que se podrá medir el grado de viabilidad del
proyecto, porque la empresa gozara de este beneficio y se reflejara en los activos
de la empresa, como es una empresa privada si se pudo concretar ya que cuenta
48
con los insumos necesarios y podemos enfatizar que el proyecto se pudo llevar a
cabo ya que si se cuenta con los recursos profesionales y financieros, se puede
decir que si es factible la viabilidad del proyecto.
Estudio de Factibilidad:
Cuando se habla de factibilidad en OSSIM sobresalta la amplia gama de recursos
que posee y podemos utilizar y cubrir con mayor control, apegándose a lo
analizado anteriormente en la configuración, instalación y funcionabilidad de esta
herramienta. Recalcando la factibilidad de la instalación y la puesta en
funcionamiento de OSSIM en cualquier tipo de empresa ya sea esta privada o
pública ya que no representaría una carga adicional al administrador de red y al
contar que es una herramienta libre tampoco cuenta con una carga económica
adicional para la empresa.
Recursos Humanos.
Cuando se habla del personal involucrado en la implementación de OSSIM,
sacamos a relucir una de nuestras ventajas, ya que no necesita la contratación de
personal especializado en la herramienta, descartamos un peso para la empresa
a la hora de la contratación del personal nuevo. Los recursos humanos
fundamentales que son necesarios para la implementación son:
Consultor externo en seguridad informática.
Profesionales en la implementación de OSSIM.
Administrador de red.
Administrador de servidores Linux y Windows.
Capacitar al personal de Infraestructura.
Recursos Materiales.
Los diferentes materiales mencionados anteriormente adicionalmente
necesitaremos recursos que son indispensables que ayudaran en el proceso de
instalación, dado que sin estos materiales no se llevaría con manera exitosa la
instalación.
Los materiales son:
49
Laptops.
Esferos, lápices.
Libretas de apuntes.
Hojas.
Disco duro externo.
Driver’s.
Recursos Financieros.
Con relación a lo antes mencionado con referencia a las licencias de OSSIM,
nos referimos a que no tiene ningún costo con el licenciamiento, pero si es
estrictamente necesario un servidor físico para su respectiva instalación
cumpliendo con los requerimientos mínimos en el hardware.
Costo de Mantenimiento.
Analizando que OSSIM es una herramienta no compleja y acotando que existe
material en la web que ayuda a su mantenimiento, podemos concluir que el costo
de mantenimiento es de cero, ya que el mantenimiento lo realizara el administrador
de red de la empresa.
Recursos Legales.
Analizando que la herramienta que usamos en este proyecto es de libre
comercialización y se distribuye bajo una licencia libre de usar, no es necesario la
compra de otra licencia o pagos mensuales y anuales, OSSIM se la puede adquirir
desde la página oficial sin ningún costo o problema A raíz de que es un software
libre está totalmente prohibida la venta de esta herramienta, pero si está permitido
la comercialización o vender los servicios profesionales de las respectivas
configuraciones y la implementación a terceros.Es muy importante recalcar que
en la página oficial de OSSIM es preferible el registro para pertenecer a la
comunidad de Alienvault-OSSIM y así tener actividad referente a las nuevas
mejoras, como punto importante es que Alienvault periódicamente realiza mejoras
a OSSIM.
50
Conclusiones
Se concluyo que en nuestro estudio investigativo podemos resaltar que OSSIM
(AlienVault), no solo es una herramienta que tiene como función la recolección
de logs de los diferentes equipos, sino que también trae incorporado múltiples
funciones para la gestión de seguridad como un antivirus que se encarga de
eliminar y detectar malware de un sistema informático.
Nuestra herramienta cuenta con HIDS (Host-based Intrusion Detection Systems)
encargado del monitoreo de los procesos y archivos críticos del sistema bajo
análisis, NIDS (Network-based Intrusion Detection System) su función es revisar
los datos que circulan por la red y el aviso del tráfico que evidencia un ataque,
detecta las vulnerabilidades que realizan un análisis detallado y dan como
resultado las vulnerabilidades que se encuentran en el sistema operativo y en el
software instalado. Tenemos como conclusión que OSSIM es una herramienta
bastante fuerte al momento de visualizar los recursos de los servidores y distintos
dispositivos de red ya que es de gran ayuda al momento de detectar y mitigar los
riesgos y vulnerabilidades generadas en la red interna de la empresa por los
diferentes hosts, al mismo tiempo representa una cantidad considerable de
información crítica y que puede ser analizada de manera detallada.
El trabajo se concluyó como una representación de aportación profesional para
el desarrollo de seguridades informáticas dentro de la empresa Red de Servicios
Facilito empleando herramientas de código abierto y así mitigar vulnerabilidades
dentro de la infraestructura de red para optimizar su gestión y el control de exceso
de tráfico previo a esto se recomienda contar con una administración organizada,
detallada de equipos de red, servidores, para establecer parámetros de cada
usuario previo a la instalación de la herramienta ya que se convierte en un claro
ejemplo de colaboración en la comunidad de OSSIM.
51
Recomendaciones.
Se recomienda al administrador de red investigar e indagar en el tema para
ampliar sus conocimientos en el campo de la seguridad informática y
administración de Linux para así tener el dominio total de esta herramienta y
aprovechar todo el potencial que nos ofrece OSSIM.
También tenemos como recomendación que OSSIM sea implementado en
empresas medianas para tener una gestión más optimizada y el dominio de una
cantidad considerable de hosts, previo a esto se debe tener una administración
establecida de equipos de red y servidores con su respectivo direccionamiento IP
para tener establecidos los parámetros de cada usuario al momento de la
instalación de la herramienta.
52
Referencias Bibliográficas
Asensio Asensio G. (2006). Gestión de la Seguridad con OSSIM.
Abril Ana, Pulido Jarol, Bohada John. (2013). Análisis de riesgos en
seguridad de la información, Colombia: Fundación Universitaria Juan de
Castellano.
Dussan Clavijo C. (2006). Políticas de la seguridad informática. Colombia:
Universidad Libre de Colombia.
Balbuja Garcia W, Caro Reina C, Cancio Bello F (2012). OSSIM una alternativa
para la integración de la gestión de seguridad en la red, Revista Telematica.
Suarez Diana, Avila Fontalvo A, (2013). Una Forma de interpretar la seguridad
informática. Universidad Simón Bolivar.
Alegre Ramos M, (2011). Sistemas operativos en red. Madrid, España:
Paraninfo.
Stallings W, (2007). Fundamentos de seguridad en redes, aplicaciones y
estándares.
Madrid, España: Pearson Educación.
Quiroz Zambrano S, Macias Valencia D, (2017). Seguridad en informática:
Consideraciones. Ecuador: Universidad Eloy Alfaro de Manabí.
Tenorio Martinez M, (2005). Manual de OSSIM. Universidad Nacional de
Ingeniería.
53
ANEXOS
54
55
DIRECCIONAMIENTO LÓGICO
Se detalla a continuación el esquema direccionamiento:
56
Guayaquil, 5 de agosto del 2019
CERTIFICADO DE APROBACIÓN
Estimado(s)
A petición del Sr. Joel Fernando Banchón Montaleza, con cédula de
identidad N° 0950677427, desempeñando el cargo Infraestructura; nos
permitimos certificar que actualmente se encuentra realizando su
Proyecto de Titulación previo a la obtención del título Ing. Networking
y Telecomunicaciones, dentro de su Área de trabajo respectiva,
cumpliendo así sus horas de labores respectivas, adicionando las
horas empleadas en el proyecto a realizar.
Agradecemos su gentil atención y aprovechamos para reiterarles
nuestra especial consideración.
Atentamente,
57
DIAGRAMA DE RED INTERNO
58
SIEM Events
59
SIEM Events - Top 10 Attacker Host from: 2019-09-06 to: 2019-10-06
Host Occurrences
192.168.100.42 190
Attacker 13
Victim 11
192.168.100.42 1
60
SIEM Events - Top 10 Attacked Host from: 2019-09-06 to: 2019-10-06
Host Occurrences
Attacker 58
Victim 16
255.255.255.255 1
61
SIEM Events - Top 10 Used Ports from: 2019-09-06 to: 2019-10-06
Port Service Occurrences
22 ssh 88
67 dhcpserver 1
62
SIEM Events - Top 15 Events from: 2019-09-06 to: 2019-10-06
63
SIEM Events - Top 15 Events by Risk from: 2019-09-06 to: 2019-10-06