OSSEC
Páginas: 6 (1365 palabras)
Publicado: 18 de mayo de 2013
GESTIÓN
DE REDES
!
INFORME OSSEC
Realizado por:
-Miguel Hoyo García
Introducción
OSSEC, es un detector de intrusos a nivel de host que basa su funcionamiento en el análisis de
los "logs" o bitácoras del sistema operativo o de las aplicaciones que en él se encuentran en
ejecución, con el objetivo de detectar anomalías que puedan ser consideradas como un ataque
inminente y tomaralguna acción al respecto.
De acuerdo a una presentación de Michael Starks en el Rochester Security Summit del 2009,
OSSEC es un software de seguridad que busca cosas fuera de lo común en el host donde esté
instalado.
OSSEC es un Host IDS OpenSource que incluye características que lo convierten en
una herramienta muy interesante para asegurar un sistema, ya sea de la familia Unix o Windows.En un sistema es posible llegar a identificar actividades sospechosas por medio del análisis de las
bitácoras o registros del sistema. Entre algunas de las actividades que deben llamar nuestra
atención están:
• Múltiples inicios de sesión fallidos a un servicio (Ejemplo en OpenSSH Server)
• Múltiples códigos de error HTTP (400 o 500)
• Modificación de los permisos de acceso del archivo/etc/shadow de 640 a 644
• Servicios desconocidos que se están ejecutando en el servidor (Servidor FTP, Telnet, etc.)
• Cuentas de usuario desconocidas
En su núcleo de operación considera tres tareas:
1.
Recolección de logs
2.
Análisis de logs
3.
Envío de alertas y/o ejecución de alguna acción
Pero no sólo eso. La herramienta es capaz de reportar otras cosas intrínsecas a laseguridad del
sistema:
• Verificación de las políticas de seguridad (CIS Security Benchmarks).
• Integridad de áreas críticas del Sistema de Archivos (propietario, permisos, fechas, códigos
de integridad MD5 y SHA-1).
• Detección de Rootkits/Caballos de Troya.
• Respuestas activas a eventos de seguridad con severidad alta.
Es posible utilizar OSSEC como un auxiliar en la concentración yalmacenamiento de logs de
todos los sistemas de nuestra red, cumpliendo con un requerimiento que pocas veces se logra: el
transporte seguro de los logs para una administración centralizada que lleva implícito el proceso
de resguardo de esa información valiosa en casos de incidentes de seguridad.
OSSEC nace en un principio como sistema de detención de intrusos basado en logs (LIDS o Logbased IntrusionDetection System) pero en la actualidad ha evolucionado incluyendo otras
funciones, entre ellas:
• Control de integridad de ficheros: verifica que los ficheros relevantes del sistema no sean
alterados de forma no gestionada.
• Control de integridad del registro: igual al anterior, pero para claves del registro. De esta
forma se puede monitorizar si se añade un nuevo servicio, y se conecta undispositivo USB,
si se agrega una aplicación para que arranque al inicio de windows, etc.
• Detección de rootkits: está basado en firmas y es un poco básico. No es tan completo
como algunas soluciones específicas como unhide, rkhunter o chkrootkit.
• Respuesta activa: actuando como IPS, puede añadir reglas al firewall para bloquear hosts
que generen eventos determinados.
Aunque la parte másrelevante es el análisis y sistema de alertas basado en los logs, para los que
dispone de decenas de decodificadores que los procesará con lógica.
Existen dos métodos de instalación, uno local, para un único servidor y otro con orientación
cliente-servidor, donde los Agentes desplegados mandan las alertas a un servidor central con
funciones de Manager.
El manager recibe y se comunica con losagentes mediante el puerto 1514/udp, por el que se
transmiten los registros de forma cifrada (blowfish) y comprimida (zlib).
Figura 1: esquema del servicio.
La aplicación se compone de varios servicios con distintas funciones cada uno de ellos y que
serán usados según la configuración. Los más importantes son:
• syscheckd: se encarga de ejecutar los análisis de integridad.
• logcollector:...
DE REDES
!
INFORME OSSEC
Realizado por:
-Miguel Hoyo García
Introducción
OSSEC, es un detector de intrusos a nivel de host que basa su funcionamiento en el análisis de
los "logs" o bitácoras del sistema operativo o de las aplicaciones que en él se encuentran en
ejecución, con el objetivo de detectar anomalías que puedan ser consideradas como un ataque
inminente y tomaralguna acción al respecto.
De acuerdo a una presentación de Michael Starks en el Rochester Security Summit del 2009,
OSSEC es un software de seguridad que busca cosas fuera de lo común en el host donde esté
instalado.
OSSEC es un Host IDS OpenSource que incluye características que lo convierten en
una herramienta muy interesante para asegurar un sistema, ya sea de la familia Unix o Windows.En un sistema es posible llegar a identificar actividades sospechosas por medio del análisis de las
bitácoras o registros del sistema. Entre algunas de las actividades que deben llamar nuestra
atención están:
• Múltiples inicios de sesión fallidos a un servicio (Ejemplo en OpenSSH Server)
• Múltiples códigos de error HTTP (400 o 500)
• Modificación de los permisos de acceso del archivo/etc/shadow de 640 a 644
• Servicios desconocidos que se están ejecutando en el servidor (Servidor FTP, Telnet, etc.)
• Cuentas de usuario desconocidas
En su núcleo de operación considera tres tareas:
1.
Recolección de logs
2.
Análisis de logs
3.
Envío de alertas y/o ejecución de alguna acción
Pero no sólo eso. La herramienta es capaz de reportar otras cosas intrínsecas a laseguridad del
sistema:
• Verificación de las políticas de seguridad (CIS Security Benchmarks).
• Integridad de áreas críticas del Sistema de Archivos (propietario, permisos, fechas, códigos
de integridad MD5 y SHA-1).
• Detección de Rootkits/Caballos de Troya.
• Respuestas activas a eventos de seguridad con severidad alta.
Es posible utilizar OSSEC como un auxiliar en la concentración yalmacenamiento de logs de
todos los sistemas de nuestra red, cumpliendo con un requerimiento que pocas veces se logra: el
transporte seguro de los logs para una administración centralizada que lleva implícito el proceso
de resguardo de esa información valiosa en casos de incidentes de seguridad.
OSSEC nace en un principio como sistema de detención de intrusos basado en logs (LIDS o Logbased IntrusionDetection System) pero en la actualidad ha evolucionado incluyendo otras
funciones, entre ellas:
• Control de integridad de ficheros: verifica que los ficheros relevantes del sistema no sean
alterados de forma no gestionada.
• Control de integridad del registro: igual al anterior, pero para claves del registro. De esta
forma se puede monitorizar si se añade un nuevo servicio, y se conecta undispositivo USB,
si se agrega una aplicación para que arranque al inicio de windows, etc.
• Detección de rootkits: está basado en firmas y es un poco básico. No es tan completo
como algunas soluciones específicas como unhide, rkhunter o chkrootkit.
• Respuesta activa: actuando como IPS, puede añadir reglas al firewall para bloquear hosts
que generen eventos determinados.
Aunque la parte másrelevante es el análisis y sistema de alertas basado en los logs, para los que
dispone de decenas de decodificadores que los procesará con lógica.
Existen dos métodos de instalación, uno local, para un único servidor y otro con orientación
cliente-servidor, donde los Agentes desplegados mandan las alertas a un servidor central con
funciones de Manager.
El manager recibe y se comunica con losagentes mediante el puerto 1514/udp, por el que se
transmiten los registros de forma cifrada (blowfish) y comprimida (zlib).
Figura 1: esquema del servicio.
La aplicación se compone de varios servicios con distintas funciones cada uno de ellos y que
serán usados según la configuración. Los más importantes son:
• syscheckd: se encarga de ejecutar los análisis de integridad.
• logcollector:...
Leer documento completo
Regístrate para leer el documento completo.