Laboratorio: Instalacin y configuracin AlienVault Open Source SIEM (OSSIM)

Introduccin: AlienVault Open Source SIEM (OSSIM) es un sistema de seguridad integral que abarca desde el nivel de deteccin a un nivel ejecutivo generar mtricas e informes. AlienVault se ofrece como un producto de seguridad que permite integrar en una nica consola todos los dispositivos y herramientas de seguridad disponibles en la red, as como la instalacin de herramientas de seguridad de cdigo abierto de prestigio como Snort, OpenVAS, Ntop y OSSEC. Una vez que los eventos generados por diferentes herramientas y dispositivos han sido recogidos por AlienVault, el sistema realiza una evaluacin del riesgo para cada evento y se produce la correlacin. Durante el proceso de correlacin, de una serie de patrones, AlienVault genera nuevos eventos para detectar ataques o problemas en la red. Para acceder a toda la informacin recopilada y generada por el sistema, AlienVault incluye una consola web que nos permite tambin configurar el sistema y ver el estado general de la red en tiempo real. Antes de empezar: AlienVault es un producto en constante evolucin. Por esta razn, usted tiene que asegurarse de que est utilizando la ltima versin del instalador AlienVault y esta gua de instalacin. Las nuevas versiones estn siempre disponibles en el sitio web del Proyecto http://www.alienvault.com. Propsito de este laboratorio: El propsito de este tutorial es proporcionar al lector una gua paso a paso sobre cmo instalar SIEM AlienVault Open Source. Este documento tambin cubre los conceptos bsicos y una breve explicacin de la funcin de cada perfil que una instalacin AlienVault puede adoptar. Por qu un instalador?: AlienVault es un producto que integra ms de 30 herramientas de cdigo abierto. Tanto el sistema operativo y muchas herramientas integradas se han modificado para mejorar su funcionamiento dentro del sistema. Esa es la razn por la instalacin desde el cdigo fuente AlienVault requiere un conocimiento muy amplio y compilacin de ms de 40 herramientas diferentes. Para simplificar el complejo proceso de compilacin, instalacin y configuracin de todas estas herramientas, el equipo de desarrollo AlienVault distribuye instalador que incluye el sistema operativo, todos los componentes y una potente configuracin y actualizacin del sistema. AlienVault instalador est basado en el sistema operativo Debian GNU / Linux y est disponible en las ediciones de 32-bit y 64-bit 32 bits vs 64 bits: Si su procesador tiene soporte de 64-bits entonces usted puede tomar ventaja de la actuacin en esta arquitectura. En las implementaciones de determinados basados en el rendimiento de la red y el nmero de eventos, puede ser necesario un hardware capaz de manejar grandes volmenes de datos. La arquitectura de 64-bits tambin permite el uso de una mayor cantidad de memoria fsica. Sensor: El Perfil de sensor permitir tanto a los detectores de AlienVault y el colector. Los siguientes detectores estn activados de forma predeterminada: Snort (sistema de deteccin de intrusos en la red) Ntop (Monitor de red y uso) OpenVAS (Anlisis de Vulnerabilidad) P0f (deteccin pasiva del sistema operativo) Pads (sistema de deteccin pasiva de activos) Arpwatch (Ethernet / IP direccin del monitor recortes) OSSEC (Host Intrusion Detection System) Osiris (Supervisin de integridad del host) Nagios (Monitoreo Disponibilidad) OCS (Inventario)

Una vez que el perfil de sensor se ha activado, puede desactivar los detectores de modo que slo mantiene la funcionalidad coleccin. Paso 1: INSTALACIN AUTOMATIZADA La instalacin automatizada se va a instalar la versin de cdigo abierto AlienVault con el perfil all-in-one habilitado. Una vez completada la instalacin, el usuario actualice manualmente para obtener los beneficios de la versin AlienVault Professional. La instalacin se lleva a cabo casi sin intervencin del usuario. La instalacin automatizada se va a configurar el mapa de teclado de latinoamericano y todos los textos estarn en espaol.

Configuracin de la red: En este punto usted tendr que configurar la tarjeta de administracin de red. Usted debe utilizar una direccin IP con acceso a Internet durante el proceso de instalacin. Esta direccin IP se utiliza en la interfaz de gestin. Introduzca la direccin IP y haga clic en Continuar.

La mscara de red a usar en su red. Introduzca la mscara de red y seleccione Continuar

El sistema en su red que deber usar como servidor de DNS (Domain Name Service) del servidor. Si dispone de un servidor de nombres local en su red debera ser la primera en esta configuracin. Puede introducir como servidores de nombres como desee. Introduzca las direcciones IP de los DNS (separados por espacios) y seleccione Continuar.

Particiones de disco: Ahora es el momento para el particionado. Tenga en cuenta que esto borrar todos los datos almacenados en el disco duro.

Seleccione "guiada: Usar todo el disco" y haga clic en Continuar: Si el equipo tiene varios discos, seleccione el disco en el que se instalar AlienVault y haga clic en Continuar. En caso de que la mquina tiene un nico disco simplemente haga clic en Continuar.

Configurar usuarios y contraseas: Despus de que el sistema de base se ha instalado, el instalador le permitir configurar la cuenta "root". Otras cuentas de usuario se pueden crear despus de la instalacin se ha completado. Cualquier contrasea que cree debera tener al menos 6 caracteres y debera tener tanto caracteres en maysculas y minsculas, as como caracteres de puntuacin. Tenga mucho cuidado cuando decida su contrasea de root, ya que es la cuenta ms poderosa. Evite palabras de diccionario o el uso de cualquier informacin personal que pueda adivinar fcilmente.

Actualizacin de la instalacin: La instalacin se puede conectar a la web AlienVault para descargar la ltima versin disponible de cada paquete de software incluido en AlienVault profesional SIEM. Este proceso puede tardar hasta 1 hora (Dependiendo de su conexin a Internet). Sea paciente y no cancelar este proceso.

Seleccione "S" y haga clic en Continuar. Una vez finalizada la instalacin, el sistema se reiniciar cargando su nuevo sistema AlienVault.

Paso 2: Configuracin Configuracin del sistema: Para simplificar la configuracin de la gran cantidad de herramientas incluidas en AlienVault, la configuracin est centralizada en un nico archivo. Cada vez que modifique esta configuracin se debe ejecutar un comando para actualizar la configuracin de todas las aplicaciones basadas en la configuracin centralizada. La configuracin centralizada se almacena en el archivo siguiente: /etc/ossim/ossim_setup.conf Puede editar este archivo con cualquier editor de texto (vi, nano, pico...). Los usuarios inexpertos deben utilizar el siguiente comando para editar este archivo: ossim-setup Para aplicar la configuracin centralizada en cada archivo de configuracin que tendr que ejecutar el siguiente comando:

ossim-reconfig

Configuracin de la red: Los equipos que ejecutan AlienVault requieren un cuidado especial cuando se configura la red. La configuracin de red se define en el archivo siguiente: /etc/network/interfaces Si la configuracin de la red se ha modificado, para aplicar los cambios utilice el siguiente comando: /etc/init.d/networking restart Cada caja AlienVault debe tener al menos una direccin IP esttica para los diferentes componentes AlienVault pueden comunicarse entre ellos y el administrador puede tener acceso remoto a las mquinas. Cada interfaz con una direccin IP debe tener una entrada en el archivo / etc / network / interfaces con el siguiente esquema: allow-hotplug eth0 iface eth0 inet static address 192.168.1.5 netmask 255.255.1.0 network 192.168.1.0 broadcast 192.168.255.255 gateway 192.168.1.1 dns-nameservers 192.168.1.100 Estas interfaces se utilizan para recoger todo el trfico de la red no debe tener una direccin IP. Interfaces de promiscuos no requiere ninguna configuracin especial en el archivo de configuracin de red. Actualizacin de AlienVault: Los siguientes comandos se actualizarn el sistema AlienVault: apt-get update; apt-get dist-upgrade;

Ingresar a la aplicacin web del servidor AlienVault Open Source SIEM (OSSIM) desde otro usuario

Escribimos nuestro usuario root y la contrasea que ingresamos durante la instalacin de AlienVault Open Source SIEM (OSSIM), una vez ingresado estos datos por primera vez aparecer una siguiente pantalla la cual nos pide cambiar nuestra password por uno nuevo