OSSIM
Páginas: 19 (4677 palabras)
Publicado: 21 de marzo de 2014
Capítulo I. Implementación de Gestor de Seguridad OSSIM
Open Source Information Managemetn se trata de una distribución Linux que integra múltiples herramientas de monitorización de seguridad para una red; que se accede mediante una interface web y data de un servidor donde las aplicaciones corren y los agentes para los equipos que forman la red dependiendo de la arquitectura y sistemaoperativo.
La herramienta ofrece la detección de anomalías de la red, análisis forense, análisis de vulnerabilidades, detención de intrusos entre otros. Es una consola de seguridad de código abierto, de amplio uso actualmente. Tiene la capacidad de consolidar alertas de gran cantidad de sistemas de seguridad, y altamente configurable, de esta forma permite procesar información de programas ydispositivos de seguridad.
Luego de la instalación el software empieza a recolectar la información que proviene de la red, debo mencionar que la configuración (con el wizard) no alcanza el 20% de su potencialidad por ello empieza aquí la etapa de configuración más compleja, para el administrador de la red, tenemos que entender la funcionalidad y los servicios que incluye la herramienta.
Como yamencione OSSIM integra muchas herramientas para el análisis de seguridad y monitoreo a medida que se logre configurar el servidor (implementación) se llegara a la capacidad 60%. La implementación llega a ser tediosa y lleva algo de tiempo para lograr un 100% para llegar a ser optimo se necesita un año, según lo que he leído en foros.
Por otra parte, casa aplicación trabaja por si sola y tambiénpuede obtener información de cada una de ellas y trabajarla independientemente.
Nota: Ossim es un integrador y lo que lo hace único es la interface web con la que cuenta.
Capítulo II. Gestor de seguridad OSSIM
2.1 Objetivos
- Implementar un sistema de detección de intrusos distribuido.
- Homogenizar y centralizar la información de eventos
-Monitorizar desde una perspectiva deintegridad y confidencialidad.
-Utilizar una plataforma open source
Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de detección y visibilidad en la monitorización de eventos de seguridad de la organización. Además de obtener las mejores herramientas de código abierto, algunas de las cuales se describen a continuación, ossim establece un fuerte motor decorrelación, detallando nivel de interfaces de visualización bajo, medio y alto, así como la presentación de informes y herramientas de gestión de incidentes, trabajando en un conjunto de activos se define como anfitriones, redes, grupos y servicios.
2.2 Uso
-Herramienta que ayuda a los administradores de red en la seguridad de las computadoras, detección de intrusos y prevención.
2.2.1Funcionamiento Básico
1. Las aplicaciones generan eventos de seguridad
2. Los eventos son recogidos y normalizados
3. Los eventos son enviados a un servidor central
4. Valoración del riesgo de cada evento
5. Correlación de eventos
6. Almacenamiento de los eventos
7. Acceso a los eventos almacenados
8. Acceso a la configuración
9. Acceso a métricas e informes
10. Acceso a información en tiemporeal del estado de nuestra red
2.3 Características
- Cuenta con un motor de correlación y una colección de herramientas open source que sirven al administrador para tener una vista de los aspectos relativos a la seguridad en su infraestructura.
- Cuenta con interfaces de visualización, como reportes y herramientas de manejo de incidentes.
2.3.1 Características de Hardware
Losrequisitos de hardware para instalar AlienVault dependerán en gran medida del número de eventos por segundo y del ancho de banda de la red que pretendamos analizar.
Como requisito mínimo siempre es recomendable disponer de al menos 2GB, cantidad que deberemos ir incrementando en función del tráfico que analicemos, del número de eventos que tenga que procesar el servidor o de la cantidad de datos...
Open Source Information Managemetn se trata de una distribución Linux que integra múltiples herramientas de monitorización de seguridad para una red; que se accede mediante una interface web y data de un servidor donde las aplicaciones corren y los agentes para los equipos que forman la red dependiendo de la arquitectura y sistemaoperativo.
La herramienta ofrece la detección de anomalías de la red, análisis forense, análisis de vulnerabilidades, detención de intrusos entre otros. Es una consola de seguridad de código abierto, de amplio uso actualmente. Tiene la capacidad de consolidar alertas de gran cantidad de sistemas de seguridad, y altamente configurable, de esta forma permite procesar información de programas ydispositivos de seguridad.
Luego de la instalación el software empieza a recolectar la información que proviene de la red, debo mencionar que la configuración (con el wizard) no alcanza el 20% de su potencialidad por ello empieza aquí la etapa de configuración más compleja, para el administrador de la red, tenemos que entender la funcionalidad y los servicios que incluye la herramienta.
Como yamencione OSSIM integra muchas herramientas para el análisis de seguridad y monitoreo a medida que se logre configurar el servidor (implementación) se llegara a la capacidad 60%. La implementación llega a ser tediosa y lleva algo de tiempo para lograr un 100% para llegar a ser optimo se necesita un año, según lo que he leído en foros.
Por otra parte, casa aplicación trabaja por si sola y tambiénpuede obtener información de cada una de ellas y trabajarla independientemente.
Nota: Ossim es un integrador y lo que lo hace único es la interface web con la que cuenta.
Capítulo II. Gestor de seguridad OSSIM
2.1 Objetivos
- Implementar un sistema de detección de intrusos distribuido.
- Homogenizar y centralizar la información de eventos
-Monitorizar desde una perspectiva deintegridad y confidencialidad.
-Utilizar una plataforma open source
Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de detección y visibilidad en la monitorización de eventos de seguridad de la organización. Además de obtener las mejores herramientas de código abierto, algunas de las cuales se describen a continuación, ossim establece un fuerte motor decorrelación, detallando nivel de interfaces de visualización bajo, medio y alto, así como la presentación de informes y herramientas de gestión de incidentes, trabajando en un conjunto de activos se define como anfitriones, redes, grupos y servicios.
2.2 Uso
-Herramienta que ayuda a los administradores de red en la seguridad de las computadoras, detección de intrusos y prevención.
2.2.1Funcionamiento Básico
1. Las aplicaciones generan eventos de seguridad
2. Los eventos son recogidos y normalizados
3. Los eventos son enviados a un servidor central
4. Valoración del riesgo de cada evento
5. Correlación de eventos
6. Almacenamiento de los eventos
7. Acceso a los eventos almacenados
8. Acceso a la configuración
9. Acceso a métricas e informes
10. Acceso a información en tiemporeal del estado de nuestra red
2.3 Características
- Cuenta con un motor de correlación y una colección de herramientas open source que sirven al administrador para tener una vista de los aspectos relativos a la seguridad en su infraestructura.
- Cuenta con interfaces de visualización, como reportes y herramientas de manejo de incidentes.
2.3.1 Características de Hardware
Losrequisitos de hardware para instalar AlienVault dependerán en gran medida del número de eventos por segundo y del ancho de banda de la red que pretendamos analizar.
Como requisito mínimo siempre es recomendable disponer de al menos 2GB, cantidad que deberemos ir incrementando en función del tráfico que analicemos, del número de eventos que tenga que procesar el servidor o de la cantidad de datos...
Leer documento completo
Regístrate para leer el documento completo.