PROYECTO MONITOREO ALIENVAUL OSSIM

PRESENTADO POR: YADIRA VASQUEZ MICHAEL LEZAMA LEONARDO RAMIREZ HERNANDO FRANCO ALXANDER USMA

DOCENTE: JARBY JAVIER MEJIA BRITO Administracin de Redes de Computo 231096

SERVICIO NACIONAL DE APRENDIZAJE SENA CENTRO DE ELECTRICIDAD, ELECTRONICA Y TELECOMUNICACIONES BOGOTA D.C. AGOSTO 22 DE 2012

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

PROYECTO MONITOREO ALIENVAUL OSSIM

PRESENTADO POR YADIRA VASQUEZ MICHAEL LEZAMA LEONARDO RAMIREZ HERNANDO FRANCO ALXANDER USMA

Administracin de Redes de Computo 231096 . SERVICIO NACIONAL DE APRENDIZAJE SENA CENTRO DE ELECTRICIDAD, ELECTRONICA Y TELECOMUNICACIONES BOGOTA D.C. AGOSTO 22 DE 2012

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Introduccin

AlienVault Open Source SIEM (OSSIM) es un sistema de seguridad integral en cdigo abierto, ofrece como un producto de seguridad que permite integrar en una nica consola todos los dispositivos y herramientas de seguridad que disponga en la red, as como la instalacin de otras herramientas de cdigo abierto y de reconocido prestigio como Snort, Openvas, Ntop y OSSEC. Para acceder a toda la informacin recogida y generada por el sistema se hace uso de una consola Web que adems permite configurar el sistema y ver el estado global de nuestra red en tiempo real.

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Objetivo

El objetivo de este tutorial es proporcionar al usuario una gua paso a paso sobre cmo instalar AlienVault Open Source SIEM, la configuracin, y algunos buenos apuntes para tener en cuenta a la hora de instalarlo. Este documento tambin cubre los conceptos bsicos y una breve explicacin de la funcin de la herramienta AlienVault.

QUE ES OSSIM?

Este consiste en una consola de seguridad central, que nos permite gestionar y saber el nivel de seguridad (mtrica) que tiene nuestra empresa. Se trata de un proyecto Open Source.

Para tener en cuenta

Se debe tener en cuenta, que se debe usar la ultima versin del software, para mejor aprovechamiento de la herramienta.

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Por qu un instalador? AlienVault es un producto que integra ms de 30 herramientas Open Source. Tanto el sistema operativo como muchas de las herramientas integradas, han sido modificadas para mejorar su funcionamiento dentro del sistema. Es por ello que la instalacin de AlienVault a partir del cdigo fuente requiere de unos amplos conocimientos y de la compilacin de ms de 40 herramientas. Para simplificar el complejo proceso de compilacin, instalacin y configuracin de estas herramientas el equipo de desarrollo distribuye AlienVault dentro de un instalador en el que se incluye el sistema operativo, los componentes acompaados de un potente sistema de configuracin y actualizacin. El instalador de AlienVault est basado en el sistema operativo Debian/GNU Linux y est disponible para arquitecturas de 32 y 64 bits. 32 Bits o 64 Bits? Es de vital importancia comprobar si nuestro procesador es de arquitectura es de 32 o de 64 Bits. En caso afirmativo podremos aprovecharnos de las ventajas que ofrece esta arquitectura en cuanto a rendimiento. En determinados perfiles de instalacin y dependiendo del trfico y del nmero de eventos a tratar es necesario disponer de un hardware capaz de gestionar grandes volmenes de datos. La arquitectura de 64 Bits permite, adems, el uso de una mayor cantidad de memoria fsica. Funcionamiento Bsico 1. Las aplicaciones generan eventos de seguridad 2. Los eventos son recogidos y normalizados 3. Los eventos son enviados a un servidor central 4. Valoracin del riesgo de cada evento 5. Correlacin de eventos 6. Almacenamiento de los eventos 7. Acceso a los eventos almacenados 8. Acceso a la configuracin 9. Acceso a mtricas e informes 10. Acceso a informacin en tiempo real del estado de nuestra red Los eventos de seguridad son generados por las diferentes aplicaciones y dispositivos que existan en la red. Estos eventos son recogidos y normalizados por el Sensor de AlienVault, que se encarga adems de enviarlos a un servidor central. En un despliegue de AlienVault podremos disponer de tantos Sensores como necesitemos.

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Perfiles de Instalacin Dependiendo de la funcin del nuevo host en el despliegue de AlienVault es posible configurar el perfil en uso. Esto puede ser configurado durante la instalacin o despus de la instalacin. Por defecto la instalacin automatizada permitir a todos los perfiles en el mismo equipo. Sensor El Sensor de AlienVault incluye una serie de herramientas (Snort, Ntop, Tcptrack, Arpwatch) que permiten analizar todo el trfico de red en busca de problemas de seguridad y anomalas. Para poder sacar provecho de esta funcionalidad de AlienVault es imprescindible que el Sensor de AlienVault sea capaz de ver todo el trfico de la red, bien sea utilizando un concentrador, o configurando un port mirroring o port Span en la electrnica de red. Todos los sensores de AlienVault envan sus eventos a un nico servidor de AlienVault, que se encarga de efectuar una valoracin del riesgo para cada evento, y en el que tambin tendr lugar el proceso de correlacin. Una vez estos dos procesos han tenido lugar, los eventos son almacenados en la base de datos de AlienVault. Para tener acceso a toda esta informacin, as como a la configuracin del sistema y a una serie de mtricas e informes haremos uso de la Consola Web de AlienVault. Desde esta consola Web tambin tendremos acceso a informacin en tiempo real a una serie de aplicaciones que nos facilitarn el anlisis del estado global de nuestra red. El perfil del Sensor habilitar a ambos, los detectores de AlienVault y el Colector. Los detectores siguientes estn activados por defecto:

Snort (IDS a nivel de Red) Ntop (Monitor de red y uso) Openvas (Gestin de Vulnerabilidad) P0f (Sistema Operativo de Deteccin Pasiva) Pads (Sistema Pasivo de Deteccin de Activos) Arpwatch (Anomalas de cambios de mac) OSSEC (IDS a nivel de Host) Osiris (Monitor de integridad) Nagios (Monitor de disponibilidad) OCS (Inventario)

Una vez que el perfil de Sensor ha sido activado, usted puede desactivar el detector de manera que slo se mantiene la funcionalidad de la coleccin.

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Para obtener beneficio de las capacidades de deteccin de esas herramientas, tendremos que configurar la red en el sensor de AlienVault de modo que:

Tiene acceso a la red que se est supervisando: o Escner de Vulnerabilidades, Control de Disponibilidad, WMI Agentless collection, Coleccin Syslog Recibe todo el trfico de la red. Es necesario configurar un port mirroring/portspan o hacer uso de un concentrador (HUB) o Network tap. o Snort, Ntop, Arpwatch, Generacin de Fujos, Pads, P0f

El perfil del Sensor configura el sistema para que est listo para recibir eventos de hosts remotos usando el protocolo Syslog. Cada aplicacin o dispositivo tendr un plugin asociado (conector DS) que define cmo recoger los sucesos de la aplicacin o dispositivo, as como cmo los acontecimientos que deberan normalizarse antes de enviarlos al servidor central de AlienVault. Un despliegue AlienVault puede tener tantos sensores como le sea necesario, bsicamente en funcin de las redes que estn siendo controladas y sobre la distribucin geogrfica de la organizacin que ser objeto de seguimiento utilizando AlienVault. Por lo general, es necesario configurar un sensor por red, pero si instalamos ms de un interfaz de red y enrutamos el trafco configuramos un port-mirroring sobre el, podremos monitorizar ms de una red en el mismo sensor.

Server Esta instalacin combina los perfiles SIEM y el componente Logger. Los sensores se conectarn al servidor de AlienVault para enviar los eventos normalizados. Los despliegues simples incluirn un Servidor nico en el despliegue. Ms despliegues complejos podran tener ms de un Servidor con diferentes roles, o en caso de que sea necesario para implementar el Servidor de AlienVault con alta disponibilidad. Framework El perfil de Framework instalar y configurar el componente de la interfaz de Gestin Web. Una nica interfaz de Gestin Web sern desplegada en cada instalacin AlienVault. Ms despliegues complejos con mltiples Servidores AlienVault pueden tener ms de un equipo con el perfil de Marco habilitado. El Framework es el perfil de instalacin que utiliza la menor cantidad de memoria y CPU. Por esta razn, el Framework se suele instalar con el perfil de Servidor. Database
231096 ADMINISTRACION DE REDES DE COMPUTO CEET

El perfil Database permitir a una base de datos MySQL almacenar la configuracin y eventos (Si la funcionalidad SIEM est en uso). Por lo menos una base de datos se requiere en cada despliegue. Incluso si slo el perfil SIEM es habilitado, una base de datos ser necesaria para almacenar la informacin de los inventarios y los parmetros de configuracin. All-in-one El perfil all-in-one habilitar a todos los perfiles en un solo equipo. Este es el perfil de instalacin por defecto y se activa si el usuario realiza una instalacin automatizada. Requisitos Requisitos de Hardware Los requisitos de hardware para instalar AlienVault dependern en gran medida del nmero de eventos por segundo y del ancho de banda de la red que pretendamos analizar. Como requisito mmimo siempre es recomendable disponer de al menos 2GB de memoria RAM, cantidad que deberemos ir incrementando en funcin del trfico que analicemos, del nmero de eventos que tenga que procesar el servidor o de la cantidad de datos que pretendamos almacenar en base de datos. Para optimizar el uso de recursos es imprescindible que utilicemos unicamente las aplicaciones y componentes que nos resultarn de utilidad en cada caso. La diferencia de rendimiento entre 32 Bits y 64 Bits es ms que considerable, por lo que siempre deberemos tratar de escoger esta arquitectura a la hora de escoger nuestro hardware. A la hora de seleccionar las tarjetas de red para realizar la captura del trfico, deberemos procurar escoger aquellas soportadas por el driver e1000. El desarrollo Open Source de este driver garantiza una buena compatibilidad de estas tarjetas con Debian GNU/Linux. Siempre deberemos dedicar las tarjetas de red con peores especificaciones, o aquellas que ofrezcan problemas de compatibilidad a la recogida de eventos de otros dispositivos o como interfaz de gestin. Requisitos de red Para poder llevar a cabo un buen despliegue de AlienVault es importante conocer bien la electrnica de red de la que disponemos para poder configurar un port mirroring en los dispositivos de red que lo soporten. Hay que tener un especial
231096 ADMINISTRACION DE REDES DE COMPUTO CEET

cuidado a la hora de configurar el port mirroring para evitar principalmente dos cosas:

Trfico duplicado : Se da en el caso en que estoy viendo el mismo trfico en dos port mirroring configurados en diferentes dispositivos de la misma red. Trfico que no se puede analizar : En ocasiones puede no tener sentido configurar un port mirroring en un punto de la red en el que todo el trfico es canalizado utilizando una VPN o dems protocolos que envan los datos cifrados.

Adems del port mirroring, es necesario preparar con anterioridad las diferentes direcciones IP que vamos asignar a los componentes de AlienVault, teniendo en cuenta que muchos de estos componentes debern tener acceso a la red que estn monitorizando. Como ejemplo, si decidimos hacer uso de OpenVas para realizar escaneos de vulnerabilidades a nuestra red deberemos asegurarnos de que la mquina en que se est ejecutando OpenVas tiene permisos en el Firewall para acceder a los equipos que se dispone a analizar. Para poder normalizar los diferentes eventos, el Sensor de AlienVault tambin deber tener acceso al DNS de la organizacin, logrando de este modo obtener las direcciones IP a partir de los nombres de las mquinas.

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Topologia

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Instalacion OSSIM

Seleccione automated installation

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Se selecciona el idioma espaol

Seleccionamos el pais

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Seleccionamos la configuracin del teclado en espaol

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Configuramos la IP con 192.168.5.xxx

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Mascara de subred

Configuracin de la red

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Nos pregunta la direccin IP del name server

Configuramos el nombre de la maquina por default nos aparece ailenvault, pero puse OSSIM para diferenciar que se va a usar OSSIM

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Configuracin del dominio redes.com

Configuracion del reloj

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Nos indica las formas en que queremos formatear el disco, en este caso guiado utilizando todo el disco

Escogemos la particin que deseamos, en este caso escojo la de VMware

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Instalando sistema operativo

Ponemos clave al usuario ROOT

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Finalizar intalacion

Comenzando ossim

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Se ingresa con el super usuario y la contrasea

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

CONFIGURACION OSSIM

1.- Configurar Interfaces de Red (Interfaces Ethernet) Primero configuramos una tarjeta con ip ej: 192.168.5.xxx y otra tarjeta la configuramos en modo promiscuo para capturar paquetes de nuestra red. - Editamos la configuracin /etc/network/interface: nano /etc/network/interfaces # The loopback network interface auto lo eth0 eth1 iface lo inet loopback # The primary network interface #allow-hotplug eth1 iface eth0 inet manual up ifconfig $IFACE 0.0.0.0 up up ifconfig $IFACE promisc down ifconfig $IFACE down iface eth1 inet static address 192.168.5.xxx (ip del servidor) netmask 255.255.255.0 (mascara de red) network 192.168.5.xxx (inicio de segmento de red) broadcast 192.168.5.255 (final de segmento de red) gateway 192.168.5.1 (puerta de enlace) dns-nameservers 192.168.5.10 (servidor dns) dns-search mundoredes.com (grupo de trabajo) Ejemplo

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

- Guardar los cambios y reiniciamos las instancias de red con el comando: /etc/init.d/networking restart

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

- Con este commando veremos si los cambios fueron efectuados: ifconfig

- Cambiar la contrasea de ntop: ntop A

Contrasea andr34920919 usuario admin - Reiniciar el servidor: reboot

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

2.- Resetear la contasea de MYSQL. - Detenemos mysql /etc/init.d/mysql stop - Iniciamos el servicio de mysql en modo seguro, ejecutamos: /usr/bin/mysqld_safe --user=root --pid-file=/var/run/mysqld/mysqld.pid --skip-grant tables &

- Entramos en la consola con usuario root: /usr/bin/mysql -u root mysql

- Reseteamos la contrasea de usuario root: update user set password=password('passwordnuevoMYSQL') where User='root' and host='localhost';

- flush privileges;

- Damos derechos a root@localhost: grant all privileges on *.* to root@'localhost';

- Si queremos entrar de una ip especifica a la base de datos mysql: GRANT ALL PRIVILEGES ON *.* TO root@'192.168.5.2' IDENTIFIED BY 'sena231096';

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

- Salimos de la consola con: exit - Editar archivo my.cnf nano /etc/mysql/my.cnf

- Guardamos el archivo y reiniciamos el servicio de mysql: /etc/init.d/mysql restart El primer archivo a modificar es el /etc/ossim/ossim_setup.conf nano /etc/ossim/ossim_setup.conf Cambiamos las siguientes lneas: Admin_ip=192.168..5.xxx Domain=nombre del dominio interface=eth0 (interfas que utiliza el servidor en modo promiscuo)

[database] db_ip=localhost pass=passwordMYSQL (debe ser el mismo password que se configure en mysql)

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

[framework] Framework_ip= 192.168.5.xxx

[sensor] interfaces=eth0 ip=192.168.5.xxx (ip del sensor que es la misma ip del equipo)

[server] server_ip=192.168.5.xxx (ip del servidor que es la misma ip del equipo)

[snmp] Snmpd=yes Snmptrap=yes

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

- Guardamos los cambios y modificamos el siguiente archivo: nano /etc/ossim/framework/ossim.conf ################################################# # OSSIM db configuration ################################################# ossim_pass=passwordMYSQL ossim_host=localhost

################################################## # OSSIM control access list configuration (phpGACL) ################################################## phpgacl_host=localhost phpgacl_pass=passwordMYSQL (el password debe ser = al que se cambio en mysql)

Guardamos los cambios y modificamos el siguiente archivo: nano /etc/snort/snort.debian.conf DEBIAN_SNORT_HOME_NET="192.168.5.0/24, 172.16.0.0/16, 10.0.0.0/8" DEBIAN_SNORT_INTERFACE="eth0" (interfaz en modo promiscuo)

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Guardamos los cambios y despus reconfiguramos el ossim: /usr/bin/ossim-reconfig

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

- Reiniciar el servidor: reboot 3 Ingresamos a una maquina con el sistema operativo preferido (Microsoft, Linux,etc) que tenga instalado java, flash player y adobe read -Abrimos cualquier navegador de internet (opera,chrome, mozilla firefox,interneet explorer etc)

Escribimos en la barra del buscador la direccin ip de OSSIM 192.168.5.xxx

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Entramos por primera vez a la consola de ossim, el usurio y contrasea es admin

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

Luego nos pide cambiar la contrasea mas de 10 caracteres alfanumericos

Ingresamos por primera vez a la consola de ossim

231096 ADMINISTRACION DE REDES DE COMPUTO CEET

NOTA! Para que la actividad resulte al 100%, la maquina desde donde accedemos a la consola ossim debemos tener activo el servidor DHCP (configurado con anterioridad con el mismo rango de OSSIM), el cual nos arrojara la direccion IP para la maquina, no debemos tener ningn proxy activo. Recomendaciones generales

En entornos de produccin siempre est recomendado el uso de arquitecturas de 64 bits, ya que existe una gran diferencia de rendimiento comparado con la versin de 32 bits. Debemos procurar no instalar nunca un Sensor en un entorno virtualizado debido al modo en que estas herramientas de virtualizacin gestionan las interfaces de red, que provoca que una gran cantidad del trfico de red se pierda sin haber sido analizado. Nunca se debe instalar software que obligue a modificar o incluir nuevas entradas en el fichero en que se almacenan los repositorios del software ( /etc/apt/sources.list) AlienVault siempre va a apoyar la ltima versin estable de Debian GNU / Linux. Si una nueva versin de Debian se libera a los desarrolladores proporcionar una gua sobre cmo actualizar a la nueva versin. No exeiste limitacin en el software que se puede instalar en las mquinas pero tenga en cuenta el elevado consumo de memoria y CPU de algunas aplicaciones al instalar nuevo software. Como ejemplo, nunca debe instalar un entorno de escritorio en sus mquinas AlienVault.

231096 ADMINISTRACION DE REDES DE COMPUTO CEET