You are on page 1of 198

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMTICAS Y FSICAS


CARRERA DE INGENIERA EN SISTEMAS
COMPUTACIONALES

ESTUDIO DE LA HERRAMIENTA DE SEGURIDAD OPEN


SOURCE SECURITY INFORMATION MANAGEMENT
(OSSIM) EN LA UNIVERSIDAD TECNOLGICA
EMPRESARIAL DE GUAYAQUIL (UTEG)

TESIS DE GRADO
Previo a la obtencin del Ttulo de:

INGENIERO EN SISTEMAS COMPUTACIONALES

AUTORA:

DIANA JOSELYN ESPINOZA VILLN

GUAYAQUIL ECUADOR
2015
UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMTICAS Y FSICAS


CARRERA DE INGENIERA EN SISTEMAS
COMPUTACIONALES

ESTUDIO DE LA HERRAMIENTA DE SEGURIDAD OPEN


SOURCE SECURITY INFORMATION MANAGEMENT
(OSSIM) EN LA UNIVERSIDAD TECNOLGICA
EMPRESARIAL DE GUAYAQUIL (UTEG)

TESIS DE GRADO

Previo a la obtencin del Ttulo de:

INGENIERA EN SISTEMAS COMPUTACIONALES

DIANA JOSELYN ESPINOZA VILLN

TUTOR: ING. FAUSTO OROZCO LARA

GUAYAQUIL ECUADOR
2015
REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGA

FICHA DE REGISTRO DE TESIS

TTULO: ESTUDIO DE LA HERRAMIENTA DE SEGURIDAD OPEN SOURCE SECURITY INFORMATION


MANAGEMENT (OSSIM) EN LA UNIVERSIDAD TECNOLOGICA EMPRESARIAL DE GUAYAQUIL (UTEG)
REVISORES:

FACULTAD: CIENCIAS
INSTITUCIN: UNIVERSIDAD DE GUAYAQUIL
MATEMTICAS Y FSICAS
CARRERA: INGENIERA EN SISTEMAS COMPUTACIONALES

FECHA DE PUBLICACIN: 22 de Mayo del 2015 N DE PGS.: 170

REA TEMTICA: Seguridad Informtica.

PALABRAS CLAVES: Seguridad informtica, OSSIM, Red de datos, Correlacin.


RESUMEN: El presente trabajo de fin de carrera se basa en un estudio de una herramienta de seguridad informtica
open source (OSSIM) de AlienVault, la cual es una distribucin Linux que viene dotado de las herramientas de seguridad
informtica. Esta herramienta es un apoyo a la sociedad para brindar una alternativa de optimizacin del trfico en la red
por medio de correlacin de datos cuyo beneficiarios van a ser las medianas empresas ya que su estudio podr gestionar de
una manera ms segura sus sistemas informticos. Adems utiliza una base de datos para almacenar los eventos y la
informacin necesaria para los plugins. La modalidad de investigacin a utilizarse es de proyecto bibliogrfico ya que es
30% de campo y 70% bibliogrfica de la cual se tuvo que tener la asesora de expertos en el tema de OSSIM y tambin con
los encargados del departamento de sistemas de la UTEG. El resultado de la tesis gener un plan de accin con estrategias
de proteccin preventiva y detectivas para disminuir el impacto de los riesgos.
N DE CLASIFICACIN:
N DE REGISTRO(en base de datos):
N
DIRECCIN URL (tesis en la web):

ADJUNTO PDF X SI NO
CONTACTO CON AUTOR: Telfono: E-mail:
Diana Joselyn Espinoza Villn 0997756004 diana_esvi@hotmail.co
m
CONTACTO DE LA INSTITUCIN: Nombre:
Telfono:
APROBACIN DEL TUTOR

En mi calidad de Tutor del trabajo de investigacin, ESTUDIO DE LA


HERRAMIENTA DE SEGURIDAD OPEN SOURCE SECURITY
INFORMATION MANAGEMENT (OSSIM) EN LA UNIVERSIDAD
TECNOLGICA EMPRESARIAL DE GUAYAQUIL (UTEG) elaborado
por la Sra. DIANA JOSELYN ESPINOZA VILLN, egresada de la Carrera de
Ingeniera en Sistemas Computacionales, Facultad de Ciencias Matemticas y
Fsicas de la Universidad de Guayaquil, previo a la obtencin del Ttulo de
Ingeniera en Sistemas Computacionales, me permito declarar que luego de haber
orientado, estudiado y revisado, la Apruebo en todas sus partes.

Atentamente

.......
Ing. Fausto Orozco Lara
TUTOR

III
DEDICATORIA

Este proyecto de tesis est


dedicado a mis hijas Danna y
Brianna Palacios por ser mi
motivacin, por darme fuerzas
en momentos de decline y
cansancio; a mi esposo
Francisco Palacios por ser mi
apoyo primordial en todo
momento a mis padres y
hermanos por inculcarme
valores como la honestidad y
responsabilidad por haber
confiado en m y darme la
fuerza necesaria para culminar
con xito este trabajo de tesis;
los amo muchsimo.

Diana Espinoza Villn

IV
AGRADECIMIENTO

El presente trabajo de
graduacin va dirigido con una
expresin de gratitud para todos
mis distinguidos maestros que
han ido aportando con sus
conocimientos durante todo mi
proceso de formacin
universitaria, especialmente al
Ingeniero Freddy Burgos que
con nobleza y entusiasmo
aport en la realizacin de la
misma, a mi suegra Silvia Ortiz
por su gran ayuda cuidando de
mis amadas hijas cada vez que
iba a estudiar, a mi familia y a
todos aquellos que colaboraron
con esta gran meta confiando en
m.

Diana Espinoza Villn

V
TRIBUNAL DE GRADO

Ing. Eduardo Santos Baquerizo, MSc. Ing. Inelda Martillo Alcvar.


DECANO DE LA FACULTAD DIRECTORA
CIENCIAS MATEMATICAS Y CISC, CIN.
FISICAS

Ing. Fausto Orozco Lara Ing. Mitchell Vsquez Bermdez.


DIRECTOR DE TESIS PROFESOR DEL REA-
TRIBUNAL

Ing. Toms Bastidas Bermdez Ab. Juan Chvez Atocha


PROFESOR DEL REA - SECRETARIO
TRIBUNAL

VI
DECLARACIN EXPRESA

La responsabilidad del contenido de esta Tesis


de Grado, me corresponden exclusivamente; y
el patrimonio intelectual de la misma a la
UNIVERSIDAD DE GUAYAQUIL

DIANA JOSELYN ESPINOZA VILLN

VII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMTICAS Y FSICAS

CARRERA DE INGENIERA EN SISTEMAS COMPUTACIONALES

ESTUDIO DE LA HERRAMIENTA DE SEGURIDAD OPEN


SOURCE SECURITY INFORMATION MANAGEMENT
(OSSIM) EN LA UNIVERSIDAD TECNOLGICA
EMPRESARIAL DE GUAYAQUIL (UTEG)

Tesis de Grado que se presenta como requisito para optar por el ttulo de
INGENIERO en SISTEMAS COMPUTACIONALES

Autor: Diana Joselyn Espinoza Villn

C.C.: 092485477-1

Tutor: Ing. Fausto Orozco Lara

Guayaquil, Mayo del 2015

VIII
CERTIFICADO DE ACEPTACIN DEL TUTOR

En mi calidad de Tutor de Tesis de Grado, nombrado por el Consejo Directivo de


la Facultad de Ciencias Matemticas y Fsicas de la Universidad de Guayaquil.

CERTIFICO:

Que he analizado el Proyecto de Grado presentado por la egresada


DIANA JOSELYN ESPINOZA VILLN, como requisito previo para optar por
el ttulo de Ingeniero en Sistemas Computacionales cuyo problema es:

ESTUDIO DE LA HERRAMIENTA DE SEGURIDAD OPEN SOURCE


SECURITY INFORMATION MANAGEMENT (OSSIM) EN LA
UNIVERSIDAD TECNOLGICA EMPRESARIAL DE GUAYAQUIL
(UTEG)

Considero aprobado el trabajo en su totalidad.

Presentado por:

Diana Joselyn Espinoza Villn C.C.: 092485477-1

Tutor: Ing. Fausto Orozco Lara

Guayaquil, Mayo del 2015

IX
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMTICAS Y FSICAS
CARRERA DE INGENIERA EN SISTEMAS
COMPUTACIONALES

Autorizacin para Publicacin de Tesis en Formato Digital

1. Identificacin de la Tesis

Nombre Alumno: Diana Joselyn Espinoza Villn


Direccin: Medardo ngel Silva 1318 y Alfredo Valenzuela
Telfono: 0997756004 E-mail: diana_esvi@hotmail.com

Facultad: Ciencias Matemticas y Fsicas


Carrera: Ingeniera en Sistemas Computacionales
Ttulo al que opta: Ingeniero en Sistemas Computacionales
Profesor gua: Ing. Fausto Orozco Lara

Ttulo de la Tesis: Estudio de la herramienta de seguridad open source security


information management (ossim) en la Universidad Tecnolgica empresarial de
Guayaquil (UTEG)

Temas Tesis: Seguridad informtica, OSSIM, Red de datos, Correlacin.

2. Autorizacin de Publicacin de Versin Electrnica de la Tesis


A travs de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a
la Facultad de Ciencias Matemticas y Fsicas a publicar la versin electrnica de
esta tesis.

Publicacin electrnica:

Inmediata X Despus de 1 ao

Firma Alumno:

3. Forma de envo:
El texto de la Tesis debe ser enviado en formato Word, como archivo .Doc. O
.RTF y .Puf para PC. Las imgenes que la acompaen pueden ser: .gif, .jpg o
.TIFF.

DVDROM X CDROM

X
NDICE GENERAL
Pg.

CARTA DE APROBACIN DEL TUTOR III


DEDICATORIA IV
AGRADECIMIENTO V
NDICE GENERAL XI
NDICE DE CUADROS XVII
NDICE DE GRFICOS XIX
RESUMEN XXI
(ABSTRACT) XXII
INTRODUCCIN 1

CAPTULO I - EL PROBLEMA 4
Ubicacin del problema en un contexto 4
Situacin conflicto 6
Causa del problema, consecuencia 7
Delimitacin del problema 8
Formulacin del problema 8
Evaluacin del problema 9
Objetivos de la Investigacin 10
Alcances del problema 11
Justificacin e Importancia de la Investigacin 12
Utilidad Prctica 13
Beneficiarios 13

CAPTULO II - MARCO TERICO 14


Antecedentes del estudio 14
Fundamentacin Terica 16
Seguridad Informtica 16
Qu es Seguridad Informtica? 16
Prcticas de Gestin de Seguridad 17
Seguridad Fsica 17
Seguridad Personal 17
Seguridad Informtica 18
Lgica o Network Security 18
Seguridad de las telecomunicaciones 18
Operaciones de Seguridad 18
Modelo de Seguridad CNSS 23
Usuarios 25
Procedimientos 26
Redes 27
Equilibrio de Seguridad de la Informacin y el Acceso 27
Enfoques para la implementacin de seguridad de informacin 29
El Ciclo de Vida de Desarrollo de Sistemas 32
Metodologa y fases 32

XI
Investigacin 34
Anlisis 34
Diseo lgico 34
Mantenimiento y Cambio 35
Profesionales de la Seguridad y la Organizacin 38
Alta Direccin 38
Seguridad como arte 39
Seguridad como Ciencia 40
OSSIM 41
Qu es OSSIM? 41
Pre proceso 42
Coleccin 42
Post proceso 42
Priorizacin 42
Valoracin de Riesgo 42
Correlacin 42
Las etapas de Ossim 43
Deteccin 43
Deteccin de Anomalas 43
Deteccin de Patrones 43
Deteccin de Anomalas 44
Centralizacin/Normalizacin 44
Priorizacin 45
Valor del riesgo 45
Correlacin 46
Monitores 46
Monitor de uso 46
Monitor de perfiles 46
Monitor de sesiones 46
Consola Forense 46
Cuadro de Mandos 47
Los procesos de OSSIM 47
Ossim Server 47
Ossim Agent 47
Ossim Framework 48
Las Herramientas de Ossim 48
Snort 49
Introduccin a Snort 49
Caracteristicas de Snort 51
Sniffer 53
El Proceso de Deteccin 55
Detectores 55
Capacidad de deteccin 55
Incapacidad de deteccin 56
El proceso de deteccin 57
Post-tratamiento 57

XII
Priorizacin 58
Evaluacin del riesgo 58
Correlacin 58
Funcionalidad 59
Detectores de Patrones 60
Detectores de anomalas 60
Centralizacin y Normalizacin 62
Priorizacin 63
Evaluacin de riesgos 65
Riesgo inmediato 65
Correlacin 66
Entrada y Salida 67
Mtodos de Correlacin 68
Mtodo 1: Correlacin mediante algoritmos heursticos 69
CALM 70
Evento Acumulacin 70
Acumulacin del tiempo 72
Mtodo 2: Correlacin mediante Secuencias de Eventos 72
El Panel de Secuencias 72
Niveles de correlacin 73
Nivel 1.2 Deteccin por Actividad Especfica 76
Nivel 1.1 Deteccin por Patrones 76
Las respuestas de ataques 76
Nivel 2.2 Deteccin por Actividad General 77
Nivel 3: Comportamiento del Ataque 78
Monitores 79
Monitor de Riesgo 80
El uso, perodo de sesiones, y monitores perfil 80
Monitor de Sendero 81
Anlisis Enlace duro (Anlisis Enlace TCP) 82
Software de anlisis de Enlace 82
Consola Forense 82
Panel de Control 83
Arquitectura 84
Arquitectura General 84
Flujo de Datos 86
Distribucin de la Arquitectura 88
El Kernel 88
Productos de Terceros 88
Reglamentos 89
Australia 89
Austria 89
Canada 90
Alemania 90
India 91
Italy 91

XIII
Malaysia 91
Mxico 91
Espaa 92
Suiza 92
Tailandia 92
Reino Unido 92
Estados Unidos de Amrica 93
Fundamentacin Legal 95
Preguntas a Contestarse 104
Variables de la Investigacin 105
Definiciones Conceptuales 106

CAPTULO III - METODOLOGA 115


Diseo de la Investigacin 115
Modalidad de la Investigacin 115
Tipo de Investigacin 116
Poblacin y Muestra 117
Poblacin 117
Muestra 118
Operacionalizacin de las Variables 120
Instrumentos de Recoleccin de Datos 121
Instrumentos de la Investigacin 121
La Encuesta y el Cuestionario 122
La encuesta 123
Procesamiento y Anlisis 124
Criterio para la Elaboracin de la Propuesta 135
Criterio de Validacin de la Propuesta 136

CAPTULO IV - MARCO ADMINISTRATIVO 137


Cronograma 137
Presupuesto 138

CAPTULO V - CONCLUSIONES Y
139
RECOMENDACIONES
Conclusiones 139
Recomendaciones 141

BIBLIOGRAFA 143

ANEXOS 145

MANUAL TCNICO

XIV
ABREVIATURAS

Ab. Abogado
Cap. Captulo
CISC Carrera de Ingeniera en Sistemas Computacionales
Ed. Edicin
Ed. Rev. Edicin revisada
OSSIM Administracin de Seguridad Informtica de desarrollo
Abierto
Ing. Ingeniero
M.Sc. Master
No. Nmero
p. (pp.) Pgina (pginas)
Pte. Parte
UTEG Universidad Tecnolgica Empresarial de Guayaquil
Vol. Volumen

XV
SIMBOLOGA

e Error de Estimacin
E Margen de Error
K Constante de correccin del Error
N Poblacin
n Tamao de la muestra
P Probabilidad de xito
Q Probabilidad de Fracaso
Fraccin para la muestra

XVI
NDICE DE CUADROS
Pg.
CUADRO 1
Las Principales Causas y Consecuencias del Problema de la 7
Investigacin.

CUADRO 2
Delimitacin del Problema de la Investigacin. 8

CUADRO 3
Los principales servicios de la seguridad informtica. 19

CUADRO 4
Fase resumen SDLC y STXSDLC. 36

CUADRO 5
Capacidades del detector. 56

CUADRO 6
Post-procesamiento 58

CUADRO 7
Mejora de la fiabilidad de un caballo de Troya. 77

CUADRO 8
Poblacin en la universidad Tcnica Empresarial de Guayaquil. 117

CUADRO 9
Frmula del clculo de la muestra. 118

CUADRO 10
Aplicacin y estudio del tamao de la muestra. 119

CUADRO 11
Matriz de operacionalizacin de variables. 120

CUADRO 12
Resultados de la Pregunta 1. 125

CUADRO 13
Resultados de la Pregunta 2. 126

CUADRO 14
Resultados de la Pregunta 3. 127

XVII
CUADRO 15
Resultados de la Pregunta 4. 128

CUADRO 16
Resultados de la Pregunta 5. 129

CUADRO 17
Resultados de la Pregunta 6. 130

CUADRO 18
Resultados de la Pregunta 7. 131

CUADRO 19
Resultados de la Pregunta 8. 132

CUADRO 20
Resultados de la Pregunta 9. 133

CUADRO 21
Resultados de la Pregunta 10. 134

CUADRO 22
Ingresos del Proyecto. 138

CUADRO 23
Egresos del Proyecto. 138

XVIII
NDICE DE GRFICOS
Pg.
GRFICO 1
Seguridad Informtica. 16

GRFICO 2
Modelo de Seguridad CNSS. 23

GRFICO 3
Equilibrio de Seguridad de la Informacin y el Acceso. 28

GRFICO 4
Enfoques para la implementacin de seguridad de informacin. 31

GRFICO 5
SDLC metodologa cascada. 33

GRFICO 6
OSSIM Logo. 41

GRFICO 7
Logo ALIEN VAULT. 43

GRFICO 8
Logo de Snort. 49

GRFICO 9
Arquitectura de Snort. 52

GRFICO 10
Captura de Sniffer Wireshark. 54

GRFICO 11
Funcionalidad de Ossim 59

GRFICO 12
Correlacin Mediante Secuencias de Eventos. 74

GRFICO 13
Arquitectura General de Ossim 85

GRFICO 14
Flujo de Datos de Ossim 87

XIX
GRFICO 15
Tipos de Investigacin Cientfica 116

GRFICO 16
Resultados Pregunta 1. 125

GRFICO 17
Resultados Pregunta 2. 126

GRFICO 18
Resultados Pregunta 3. 127

GRFICO 19
Resultados Pregunta 4. 128

GRFICO 20
Resultados Pregunta 5. 129

GRFICO 21
Resultados Pregunta 6. 130

GRFICO 22
Resultados Pregunta 7. 131

GRFICO 23
Resultados Pregunta 8. 132

GRFICO 24
Resultados Pregunta 9. 133

GRFICO 25
Resultados Pregunta 10. 134

GRFICO 26
137
Cronograma del Proyecto.

XX
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMTICAS Y FSICAS
CARRERA DE INGENIERA EN SISTEMAS COMPUTACIONALES

ESTUDIO DE LA HERRAMIENTA DE SEGURIDAD OPEN SOURCE


SECURITY INFORMATION MANAGEMENT (OSSIM)
EN LA UNIVERSIDAD TECNOLGICA
EMPRESARIAL DE
GUAYAQUIL
(UTEG)

Autor: Diana Espinoza Villn


Tutor: Ing. Fausto Orozco Lara

RESUMEN
El presente trabajo de fin de carrera se basa en un estudio de una herramienta de
seguridad informtica open source (OSSIM) de AlienVault, la cual es una
distribucin Linux que viene dotado de las herramientas de seguridad
informtica. Esta herramienta es un apoyo a la sociedad para brindar una
alternativa de optimizacin del trfico en la red por medio de correlacin de datos
cuyo beneficiarios van a ser las medianas empresas ya que su estudio podr
gestionar de una manera ms segura sus sistemas informticos. Adems utiliza
una base de datos para almacenar los eventos y la informacin necesaria para los
plugins. La modalidad de investigacin a utilizarse es de proyecto bibliogrfico ya
que es 30% de campo y 70% bibliogrfica de la cual se tuvo que tener la asesora
de expertos en el tema de OSSIM y tambin con los encargados del departamento
de sistemas de la UTEG. El resultado de la tesis gener un plan de accin con
estrategias de proteccin preventiva, y detectivas para disminuir el impacto de los
riesgos.

Palabras clave: Seguridad informtica, OSSIM, Red de datos, Correlacin.

XXI
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMTICAS Y FSICAS
CARRERA DE INGENIERA EN SISTEMAS COMPUTACIONALES

"STUDY OF TOOL OPEN SOURCE SECURITYY INFORMATION


MANAGEMENT (OSSIM) IN THE UNIVERSITY
BUSINESS TECH OF GUAYAQUIL
(UTEG)"

ABSTRACT
This paper limit switch is based on a study of a computer security tool open
source (OSSIM) AlienVault, which is a Linux distribution that comes equipped
with the tools of computer security. This tool is a support company to provide an
alternative optimization of network traffic through data correlation whose
beneficiaries will be the medium enterprises and their study can manage more
safely their computer systems. It also uses a database to store events and
information needed for plugins. The research modality used is bibliographic
project as it is 30% from the field and 70% literature which had to take the advice
of experts in the field of OSSIM and also with the responsible department systems
UTEG. The result of the thesis produced an action plan with strategies for
preventive and corrective protection to reduce the impact of risks.

Key words: Information Security, OSSIM, Networks data, Correlation.

XXII
INTRODUCCIN

Debido al desarrollo de las nuevas tecnologas y al uso de Internet en mltiples

aspectos, los ataques por parte de los hackers han ido en constante crecimiento

ocasionando daos con el incorrecto control del acceso y manejo de la

informacin, los ataques siempre buscan deciencias en el software o en la

conguracin del mismo, lo que se conoce como vulnerabilidad.

Los administradores de sistemas con el fin de evitar estas vulnerabilidades

emplean diversas herramientas tales como: IDS, proxy, firewalls, que entregan

informacin valiosa para ver qu sucede en un determinado momento en una red,

para ser analizada en ese mismo momento en posteriormente.

Sin embargo surge una seria de inconvenientes al disponer de tanta informacin o

al disponer de tantas soluciones de seguridad dentro de una misma red, como

consecuencias podemos denotar las siguientes:

Obtener falsas alarmas que en lugar de colaborar con la deteccin de intrusos

conlleve a desviar la atencin de los administradores de un verdadero ataque.

Aumentar la complejidad de administracin de todas las herramientas

instaladas.

En vista a esto surge un punto muy importante a ser tratado como es la

correlacin, que no es ms que analizar los eventos provenientes de distintos

1
sensores con el propsito de reducir el nmero de falsas alertas, poder reconstruir

el hilo de ejecucin de un ataque, o ver el impacto real sobre un ataque.

Por tal razn surge la necesidad de brindar informacin necesaria sobre una

herramienta denominada OSSIM (Open Source Security Information

Management), la cual cuenta con un motor de correlacin, este correlaciona

eventos para detectar alertas de manera centralizada con muchas herramientas es

capaz de detectar anomalas en el funcionamiento de las mquinas.

Es una plataforma que integra las mejores aplicaciones de seguridad Open Source

en una nica interfaz, aprovechando lo mejor de cada una de ellas, e

interrelacionndolas para obtener la informacin final mucho ms fiable y

detallada. Toda esta informacin puede ser filtrada por red o sensor con el

objetivo de proveer nicamente la informacin requerida por el usuario especfico,

permitiendo una buena granularidad en un ambiente de seguridad multi - usuario.

La propuesta de tesis de Estudio de la Herramienta de Seguridad Open

Source Security Information Management (OSSIM) en la Universidad

Tecnolgica Empresarial de Guayaquil (UTEG) es desarrollada en cinco

captulos los cuales se detallan a continuacin:

Captulo I: Mediante este captulo se da a conocer la informacin necesaria para

involucrar al lector sobre la problemtica planteada, detalles de los tems que

2
permitan brindar una mejor propuesta tales como: la situacin, delimitacin,

formulacin, e importancia para la sociedad.

Captulo II: Se denota las bases sobre las cuales se respaldar el planteamiento y

la solucin del problema como es la informacin terica y legal.

Captulo III: Se da a conocer como hemos llegado a obtener la informacin que

nos conlleven a la solucin del problema planteado, la poblacin sobre la que se

trabaja, se indica el analiza la informacin obtenida en base a diferentes tcnicas,

tambin del mtodo a utilizar para la elaboracin de la propuesta.

Captulo IV: En base a tareas se da a conocer el tiempo que se toma para plantear

la solucin de los temas, los recursos econmicos en los que se ha incurrido para

concluir la propuesta de tesis.

Captulo V: Como punto final se emiten conclusiones y recomendaciones

referentes al tema de tesis presentado.

3
CAPTULO I

EL PROBLEMA

Planteamiento del Problema

Ubicacin del Problema en un Contexto

La gestin de la seguridad informtica para las empresas existentes en el pas y en

el mundo en general se ha convertido en una necesidad debido a las exigencias

que el mercado informtico actual demanda, para los hackers se ha tornado fcil

de cierta forma realizar ataques que ocasionan daos en los sistemas.

Para que un sistema informtico pueda ser considerado como seguro debe cumplir

con ciertos puntos entre los cuales podemos denotar los siguientes:

Contar con un control de acceso que evite que cualquier persona acceda a

informacin que no le corresponde.

La informacin que se maneja debe conservar su integridad.

El sistema debe estar disponible cuando se lo necesite.

Son precisamente los puntos detallados anteriormente los cuales son vulnerables a

ataques.

4
No se puede indicar que existe una seguridad absoluta, debido a que si en un

instante un sistema es considerado seguro en otro momento no se lo puede

considerar as esto debido al constante avance tecnolgico en que nos

encontramos.

A pesar de esto podemos encontrar herramientas valiosas que cubren en un gran

porcentaje estas falencias un ejemplo de esta es OSSIM, herramienta que permita

unificar y centralizar la gestin de las alertas de seguridad, y en la cual se basa la

propuesta de tesis presentada.

La seguridad informtica es un tema que se ve afectado en millones de empresas

alrededor del mundo, cada da son ms notorios los ataques a las vulnerabilidades

que estas sufren, por esto los administradores de sistemas se ven en la obligacin

de actualizarse cada vez y cuando en las herramientas de proteccin que van

saliendo en el mercado.

Basndose en esta necesidad se plantea el estudio de la plataforma OSSIM que es

una solucin que me permita monitorizar el trfico de la red, y saber qu pasa,

pero sin tener cientos de logs diferentes que mirar, se destacaran las virtudes y las

vulnerabilidades que la misma presenta detallando informacin relevante como

por: la arquitectura que emplea, las herramientas que las conforman y las

utilidades de las misma, entre otros.

5
Situacin Conflicto Nudos Crticos

La empresa Kaspersky realiz un estudio a nivel latinoamericano denominado

Estudio Global sobre la Seguridad TI Empresarial, consult entre 3300

empresas en 22 pases arrojando como resultado que un 63% de las empresas

pequeas y el 60% de las medianas admitieron que sufrieron un ataque por virus,

gusanos, spyware, las empresas grandes, por su parte, son el blanco de ataques

dirigidos como el ciberespionaje, phishing y ataques DDoS.

La investigacin encontr que las vulnerabilidades de software y los dispositivos

inteligentes son los dos aspectos ms preocupantes para los encargados de la

seguridad de TI de la empresa. Un tercio de los participantes asegur que el poco

control sobre los dispositivos mviles es una seria preocupacin. El 10% de las

empresas ha perdido informacin crtica por la prdida de un dispositivo mvil;

aunque ms del 50% dijo que le est prestando atencin al tema.

De la misma forma en el Ecuador la seguridad informtica se ve violentada segn

un estudio presentado por la GMS y respaldado por la Fiscala General del Estado,

cada ao aumentan en el 2011 se denunciaron alrededor de 1.308 delitos

informticos, en el 2012 se presentaron 2.044, en el 2013 se denunciaron

alrededor de 4.500, y en los primeros meses del 2014 ya se han presentado

alrededor de 1.000 delitos, esto sin contar aquellos que no se han hecho pblicos.

6
Es por tal razn que surge la necesidad de presentar una alternativa de seguridad

que integren las mejores aplicaciones en una sola interfaz, aprovechando lo mejor

de cada una.

Causas y Consecuencias del Problema

CUADRO No. 1
LAS PRINCIPALES CAUSAS Y CONSECUENCIAS DEL PROBLEMA DE LA
INVESTIGACIN.
Causas Consecuencias

Poca inversin en equipos de hardware y Falta de polticas se seguridad en la


software de seguridad en la red de datos configuracin de los sistemas
de la UTEG. informticos.

No existe una planificacin de monitoreo Debilidades en el resguardo de la


de la red de datos de la UTEG. informacin.

Hardware y licencias de software Dificultad de adquirir los equipos e


costosos. necesarios para las implementaciones.

El departamento de sistemas debe de El tcnico debe ajustarse a lo que tiene


ajustarse a los recursos y las ordenes de para poder configurar e implementar
los directivos de la UTEG. reglas de seguridad en la red de datos.

Falta de Investigacin tcnica por parte de No se demuestra los objetivos de las


los encargados de sistemas de la UTEG. implementaciones tcnicas con respecto a
la seguridad informtica.
Falta de herramientas de software que
No tienen un conjunto de herramientas de
cubra las necesidades para un completo
software que puedan utilizar para
escaneo y monitoreo de la red de datos de
maximizar su utilizacin.
la UTEG.

Tcnicos no enfocados al uso de


Falta de una cultura de prevencin de
herramientas de monitoreo de redes de
ataques informticos por parte de los
datos para evitar las intrusiones
encargados de rea de sistemas.
informticas.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

7
Delimitacin del Problema

CUADRO No. 2
DELIMITACION DEL PROBLEMA DE LA INVESTIGACIN.

Campo: Tecnolgico.

rea: Seguridad Informtica.

Aspecto: Estudio del trfico de la red de datos por medio herramientas Open Source.

Estudio de la Herramienta de Seguridad Open Source Security Information


Tema: Management (OSSIM) en la Universidad Tecnolgica Empresarial de
Guayaquil (UTEG).

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

Formulacin del Problema

En qu medida favorecer el estudio de la Herramienta de Seguridad

Open Source Security Information Management (OSSIM) en la

Universidad Tecnolgica Empresarial de Guayaquil (UTEG). para conocer

las fortalezas y vulnerabilidades que tiene dicha herramienta?

En qu medida favorecer visualizar eventos de seguridad en la red

informtica, en una misma pantalla de administracin mediante un sistema

de cdigo abierto existente denominado OSSIM (Open Source Security

Information Management, que utilice en forma integrada herramientas

para la deteccin de vulnerabilidades?

8
Evaluacin del Problema

A continuacin se detalla las caractersticas con que goza el presente proyecto de

tesis:

Delimitado: A pesar que el estudio de las redes de datos conlleva a un extenso

mundo de tecnologas tanto software como en hardware, este trabajo se va a

delimitar solo a la redes de datos de la UTEG mas no a los otros campos que

abarca el estudio de estas tecnologas.

Evidente: Cada da es ms claro la necesidad de que las empresas se mantengan

protegidos de ataques a su informacin esto debido a que se ha convertido en un

recurso invaluable, que al ser afectado conlleva a grandes prdidas econmicas,

es por esto que necesitan de una herramienta con grandes potenciales que les

ofrezca confiabilidad y autenticidad de los sistemas.

Relevante: Al realizar un estudio que d a conocer los puntos factibles y las

vulnerabilidades que ofrece esta plataforma, brindaremos una alternativa de

seguridad que puede ser tomada en cuenta por los administradores de sistemas, y

por ende se deje asentada esta informacin en la Carrera de Ingeniera en Sistemas

Computacionales de la Universidad de Guayaquil para futuros investigadores de

este tema.

9
Factible: El tema de tesis es factible debido a que con el suficiente estudio y

anlisis de la herramienta se indica las vulnerabilidades y las fortalezas de la que

tiene la red de datos de la UTEG y por o consiguiente una futura implementacin

partiendo de este estudio.

Original: Este estudio involucra unas interesantes herramientas de seguridad

aadiendo a esto el tema de correlacin lo que la hace una alternativa de estudio

interesante y original.

Objetivos de la Investigacin

Objetivo General

Estudiar las vulnerabilidades en la red de datos basado en simulacin para la

Universidad Tecnolgica Empresarial de Guayaquil, mediante la herramienta

open source OSSIM, con el fin de proponer mejoras en su seguridad.

Objetivos Especficos

Analizar el riesgo actual de la red de datos de la Universidad Tecnolgica

Empresarial de Guayaquil.

Estudiar y evaluar las prestaciones de diferentes sensores de libre distribucin

e integrarlas en una sola interfaz de administracin.

10
Monitorizar el trfico de la red de datos basado en la simulacin para detectar

vulnerabilidades y anomalas mediante de un conjunto de herramientas de

Open Source.

Dar a conocer diferentes reglas de correlacin utilizando la herramienta Open

Source OSSIM.

Alcances del Problema

El presente proyecto de tesis tiene como finalidad, el estudio de la herramienta

open source OSSIM, para este proyecto se eligi como referente la Universidad

Tecnolgica Empresarial de Guayaquil UTEG, basado en simulacin para el

monitoreo de las vulnerabilidades de la red:

El sistema proporcionar un punto de acceso para la monitorizacin de los

dispositivos de red.

El sistema proporcionar los eventos de amenazas de la red interna.

Proporcionar un inventario de la Red de datos, detallando las caractersticas

ms importantes de cada equipo los cuales sern monitorizados y gestionar su

situacin desde un framework centralizado.

11
Analizar las de vulnerabilidades de la red simulada.

Mostrar los informes de forma general de los eventos de seguridad originados

en la red monitorizada.

Justificacin e Importancia

Las justificaciones de este proyecto se basan en dos aspectos como lo son:

acadmica, tecnolgica:

Acadmica

Al ser aplicada a una institucin acadmica como lo es la Universidad

Tecnolgica Empresarial de Guayaquil es por lo tanto una justificacin que ayude

a la parte acadmica. La seguridad informtica ha adquirido gran incremento,

dadas las cambiantes condiciones y las nuevas plataformas tecnolgicas que

existen en la actualidad y es por lo tanto un necesidad de que se realice un estudio

del estado actual de la seguridad en el sistema informtico, otorgando as una

mejora en las ejecuciones diarias de sus labores y por ende una mejor imagen en

la institucin.

Tecnolgica

Se justifica como tecnolgica ya que el proyecto est basado en las tecnologas de

las redes de datos y de los sistemas de informacin, este estudio va ayudar a

mejorar la parte tecnolgica de la Universidad Tecnolgica Empresarial de

12
Guayaquil aportando una gran ayuda a su personal administrativo y sus

estudiantes.

Econmica

Al ser una herramienta open source es un gran aporte econmico para la

institucin debido a sus falencias econmicas por tal motivo es considerado una

justificacin econmica.

Utilidad Terica y Prctica

La utilidad prctica del siguiente trabajo de tesis est basado en la aplicacin

prctica que ofrece el software OSSIM el cual ofrece un conjunto de herramientas

que son de software libre que ayudan al monitoreo de redes informticas de una

forma unificada y centralizada, contribuyendo una forma gil y prctica en su

utilizacin.

Beneficiarios

Los beneficiarios inmediatos de este estudio una vez que se llegue a su

culminacin sern los estudiantes, docentes y personal administrativo de la

Universidad Tecnolgica Empresarial de Guayaquil, por garantizar la seguridad

de un activo tan valioso como lo es la informacin.

13
CAPTULO II

MARCO TERICO

Antecedentes del Estudio

En nuestro pas existen trabajos previos como la presentada en Octubre del 2010

en la Escuela de Ciencias de la Computacin de Universidad Tcnica Particular de

Loja, Anlisis de Vulnerabilidades de la Red LAN de la UTPL Autor: Srta.

Anglica del Cisne Espinosa Otavalo Director: Ing. Carlos Gabriel Crdova E. y

Co-Director: Ms. Mara Paula Espinosa V.

En este proyecto de fin de carrera se enfoca en el anlisis de las vulnerabilidades

que existen en la red LAN de la UTPL orientado a ayudar al usuario de la

institucin, determinando cuales son los riesgos y amenazas que estn expuesto y

el impacto en el caso de que estos llegarn a suceder; para llevar a cabo este

proceso, se realiz un test de intrusin interno en un entorno de laboratorio de

pruebas con la gua de un conjunto de procesos hbridos seleccionados de "Open

Source Security Testing Methodology Manual" OSSTMM y de

"Operationally Critical Threat, Asset, and Vulnerability Evaluation"

OCTAVE.

En este estudios el resultado de este test gener un plan de accin con estrategias

de proteccin preventivas, correctivas y detectivas los cuales se disearon para

mitigar el impacto de los riesgos; la metodologa hbrida OSSTMM-OCTAVE

14
que se ajusta al entorno de la Universidad, adems un conjunto de polticas de

seguridad de la informacin enfocados al usuario final con normativas

mnimas que debera tomar en cuenta con el objetivo de preservar las

caractersticas de la seguridad de la informacin que se identifican por la

confidencialidad, integridad y disponibilidad.

El trabajo tiene como objetivo general el de indicar el grado de seguridad de

exposicin actual que enfrentan los usuarios al utilizar la Red LAN. Aquello

permitir que el investigador determine el estado actual de la red LAN que

utilizan los estudiantes de la Universidad para el anlisis de la seguridad

informtica.

Los objetivos especficos estn orientados a evaluar la seguridad del uso de la

telefona sobre IP, seguridad fsica, seguridad inalmbrica y tecnologas de

internet. Por otra parte est tambin abarcando los medios fsicos que conllevan

otros tipos de seguridades en el estudio de dicho trabajo de fin de carrera.

La exposicin anterior tiene que alcanzar una meta propsito que persiguen los

objetivos tanto generales como especficos los cuales el autor expone:

El grupo de Seguridad poseer conocimiento ms a detalle sobre los riesgos

que estn expuestos los usuarios finales.

El rea de Seguridad de la Informacin de la universidad tendr informacin

que le servir de gua y apoyo para hacer un Ethical Hacking posterior.

15
Fundamentacin Terica

Seguridad Informtica

Qu es Seguridad Informtica?

El trmino "seguridad informtica" es genrico. En su sentido ms amplio, el

trmino se refiere a la proteccin de la informacin los cuales para una empresa

representa sus "activos". Los activos de informacin, por supuesto, incluyen no

slo la informacin en s, sino tambin software, hardware, redes, y la

infraestructura de apoyo a los sistemas de informacin.

Segn Purificacin Aguilera Lpez (p.9):

La seguridad informtica es la disciplina que se ocupa de disear las


normas, procedimientos, mtodos y tcnicas destinados a conseguir un
sistema de informacin seguro y confiable.

GRFICO No. 1
SEGURIDAD INFORMTICA.

Elaboracin: Diana Espinoza Villn


Fuente: http://juankasegurity.blogspot.com/2011/12/seguridad-informatica.html

16
La informacin puede residir en las unidades de disco, los dispositivos fsicos o

memoria flash y puede constituir la propiedad intelectual o informacin

confidencial. Sistemas de informacin recopilar, utilizar, comunicar y almacenar

informacin. Los sistemas de informacin se componen de hardware, tales como

servidores, redes, escritorio y computadoras porttiles, asistentes digitales

personales, buscapersonas y telfonos celulares, as como el software, como

sistemas operativos y aplicaciones. En un sentido ms amplio, la infraestructura

de apoyo a los centros de datos y los sistemas informticos (es decir, la

electricidad, el agua y los servicios de telecomunicaciones, as como de

calefaccin, ventilacin y sistemas de aire acondicionado) es tambin un activo de

informacin. "Seguridad informtica" es un trmino genrico, ya que abarca un

gran nmero de disciplinas. Algunos ejemplos incluyen:

Prcticas de Gestin de Seguridad: acciones de gestin para proteger los

activos de informacin de una organizacin mediante el desarrollo e

implementacin de polticas y procedimientos de seguridad, clasificacin y

determinar el valor de los activos de informacin, anlisis y gestin de riesgos,

la auditora y la continuidad del negocio y recuperacin ante desastres.

Seguridad Fsica: Proteger las instalaciones fsicas y la infraestructura de la

intrusin, robo, alteracin, vandalismo, el acceso no autorizado, accidentes y

desastres naturales.

Seguridad Personal: Proporciona garantas de que el personal utilizados por

una organizacin (empleados y contratistas) son competentes, debidamente

capacitado, de confianza, y administrada adecuadamente.

17
Seguridad Informtica: Proteccin de la informacin dentro de un sistema

de informacin, incluyendo la seguridad en el sistema operativo, las

aplicaciones y el acceso a las estaciones de trabajo.

"Lgica" o Network Security: Proteccin de la informacin, ya que se

transmite de un sistema a otro usando las redes de ordenadores y asegurando

las redes de intrusiones y accesos no autorizados.

Seguridad de las Telecomunicaciones: Proteccin de la informacin y la

prevencin del acceso no autorizado a los sistemas de telecomunicaciones

distintos de redes informticas, como los sistemas de telefona, sistemas de

correo de voz, fax, buscapersonas, sistemas de radiodifusin y sistemas de

videoconferencia.

Operaciones de Seguridad: El uso de procedimientos y sistemas que

aseguren que los sistemas de una organizacin funcionan correctamente y que

sus operaciones continan sin interrupcin. Esta disciplina tambin incluye el

diseo de operaciones de una organizacin para disuadir, detectar y

recuperarse de incidentes de robo, alteracin, vandalismo, el fraude y el

acceso no autorizado. Por ltimo, se incluye el mantenimiento de registros

electrnicos y registros que soportan el negocio de una organizacin, facilitar

la investigacin de seguridad de la organizacin, y proporcionar la rendicin

de cuentas.

Otro aspecto de la seguridad de la informacin es la proteccin de los sistemas de

informacin y de informacin al proporcionar objetivos crticos de seguridad,

caractersticas o capacidades, conocidos en los crculos tcnicos como "servicios

18
de la seguridad informtica". La confidencialidad, integridad y disponibilidad

son los tres objetivos de la piedra angular que cada programa de seguridad de la

informacin intenta lograr, pero otros tambin juegan un papel en los programas

de seguridad de la informacin. El Cuadro No.3 resume los principales servicios

de seguridad informtica comnmente mencionados en la literatura seguridad de

la informacin.

CUADRO No. 3
LAS PRINCIPALES SERVICIOS DE LA SEGURIDAD INFORMTICA.

Principales Servicios de la Seguridad


Definiciones
Informtica
Confidencialidad La capacidad de proteger la
informacin contra la divulgacin no
autorizada intencional o accidental.
Integridad La capacidad de proteger la
informacin contra la corrupcin no
autorizado y accidental o intencional,
manipulacin u otra modificacin; esta
capacidad incluye la salvaguardia de
la exactitud e integridad de la
informacin.
Disponibilidad Ofrecer garantas de que la
informacin y los sistemas pueden ser
ms segura y puntual consultados y
usados cuando se necesitan.
Autenticacin Asegurar que una persona,
organizacin o dispositivo es quin o
qu, ella, o que pretende ser.
Autorizacin Administrar, supervisar y controlar el
sistema de seguridad. La autorizacin
podr incluir la concesin de
privilegios especficos a uno o ms
usuarios. Privilegios especficos a uno
o ms usuarios.
Control de Acceso La posibilidad de restringir el acceso a
la informacin al personal autorizado,
organizaciones o dispositivos.
Responsabilidad La capacidad de identificar a la
persona u organizacin que realizado,
o es responsable de las acciones que
afectan a informacin.
Aseguramiento La confianza en que el sistema

19
funciona a su especificacin sin
defecto o vulnerabilidad.
No Repudio La capacidad de proporcionar
evidencia de que se puede utilizar
contra una persona u organizacin
falsamente de intentar negar haber
enviado o recibido una comunicacin
especfica o que hayan incurrido en
una transaccin especfica.
Elaboracin: Diana Espinoza Villn
Fuente: Kimberly Kiefer. Information Security: A Legal, Business, and Technical Handbook. (p. :6)

Por ltimo, otro aspecto de la seguridad de la informacin es el proceso de gestin

del riesgo de que los profesionales de seguridad informtica se comprometen al

proteger sistemas de informacin. El proceso incluye la identificacin del

universo de posibles amenazas a los activos de informacin, determinando si los

activos de informacin son vulnerables a estas amenazas, y la aplicacin de las

salvaguardias adecuadas y rentables para hacer frente a tales amenazas. Una

amenaza es la posibilidad de que cualquier hecho por el hombre, accidental, o

evento natural podra daar los sistemas de informacin o de informacin. Existen

vulnerabilidades cuando hay una ausencia o debilidad en una salvaguarda para

hacer frente a una amenaza.

El anlisis de riesgos es el proceso de determinar las amenazas a los activos de

informacin y su grado de vulnerabilidad. El proceso de gestin de riesgos

incluye el proceso de anlisis de riesgos, pero tambin incluye el proceso de

minimizar, aceptar, o el paso de riesgo. Cualquier cosa por hacer para aumentar

las garantas de seguridad (equipos, software, polticas y procedimientos)

reduzcan los riesgos planteados por las amenazas, pero tendr costos tanto

20
monetarios como no monetarios. Cualquier cosa por hacer para aumentar las

garantas de seguridad (equipos, software, polticas y procedimientos) reduzcan

los riesgos planteados por las amenazas, pero tendr costos tanto monetarios como

no monetarios. La probabilidad, magnitud, y la posibilidad de recurrencia del

dao debe ser sopesado contra la efectividad y el costo de una garanta destinada a

resolver el problema. Al sopesar la necesidad de una salvaguardia, es importante

para determinar el valor de los activos de informacin protegida y grado en que

estos activos son fundamentales para la existencia continua de la organizacin.

Una forma de medir la importancia de los activos de informacin es preguntar

cul sera el costo y el impacto si su seguridad se vea comprometida.

En algunos casos, una organizacin ser ms rentable para aplicar una

salvaguardia. En otros casos, como en los activos de informacin amenazada no

son crticos o el dao es poco probable o insignificante, la organizacin puede

aceptar un cierto nivel de riesgo. Sin embargo, como hemos visto en los eventos

del 11 de septiembre de 2001, se puede producir incluso el escenario ms

probable. En tales casos, la organizacin puede hacer frente a estos riesgos al

trasladar el riesgo a travs de seguros o indemnizaciones impuestas a otras partes

a pagar por las prdidas de la organizacin. Una vez definido el concepto amplio

de la seguridad de la informacin, est vez definido el concepto amplio de la

seguridad de la informacin, es til para aclarar su alcance y distinguirlo de otros

conceptos.

En primer lugar, seguridad de la informacin implica algo ms que la simple

proteccin contra intrusiones y robos por "hackers" (terceros no autorizados). Es

21
tambin ms amplia que la actividad delictiva que afecta a los sistemas de

informacin y de la informacin, como la "ciberdelincuencia" (a travs de

Internet o las computadoras con fines delictivos) y el espionaje econmico.

Seguridad de la informacin es diferente de la "privacidad de la informacin",

aunque los dos conceptos a menudo se superponen. Informacin de la privacidad

es la proteccin de la informacin personal no pblica de una persona a travs de:

Limitar la cantidad y el tipo de informacin personal recopilada y almacenada.

Notificar a la persona de las formas en que su informacin es utilizada o

revelada.

Obtener el consentimiento de la persona a tales usos y divulgacin.

Medio que quede de una persona para revisar y actualizar su propia

informacin personal.

Dar a la persona la capacidad de mantener a alguien responsable de la

imposibilidad de pagar estas protecciones.

Privacidad de la informacin tambin significa que la informacin privada de una

persona se mantiene segura contra la prdida, el robo y la corrupcin, adems del

acceso no autorizado, del uso o la divulgacin de dicha informacin. Uno no

puede tener la informacin de privacidad, sin seguridad. De hecho, las directrices

estatutos, reglamentos, y de la industria que se ocupan de la vida privada tambin

requieren las organizaciones para implementar medidas de seguridad para

proteger la informacin personal. Como resultado, existe una superposicin

considerable entre el cumplimiento de las obligaciones de seguridad y privacidad.

No obstante, la privacidad es ms amplia que la seguridad. Por ejemplo, una

22
organizacin que ha implementado medidas de seguridad para proteger su

informacin de los consumidores y comunica esta informacin de forma segura a

una empresa de marketing de terceros para el envo de anuncios a los

consumidores pueda violar los derechos de privacidad de los consumidores.

Modelo de Seguridad CNSS

El documento CNSS NSTISSI N 401 / Estndar Nacional de Formacin de

Sistemas de Informacin de Seguridad (InfoSec) Profesionales presenta un

modelo integral de InfoSec conocido como el McCumber Cube, que lleva el

nombre de su creador, John McCumber. Se muestra en la Grfico No. 2, que es

una adaptacin del modelo NSTISSI, la McCumber Cube sirve como el estndar

para la comprensin de muchos aspectos de InfoSec, muestra las tres dimensiones

que son centrales para la discusin de InfoSec: caractersticas de la informacin,

la localizacin de la informacin, y categoras de control de seguridad. Si se

extiende la relacin entre las tres dimensiones que son representadas por los ejes

en la figura, usted termina con un cubo de 3 x 3 x 3 con 27 celdas.

GRFICO No. 2
MODELO DE SEGURIDAD CNSS.

Elaboracin: Diana Espinoza Villn


Fuente: Michael Whitman Herbert Mattord. Management of Information Security (p. 5)

23
Cada celda representa un rea de interseccin entre estas tres dimensiones, que

deben abordarse para asegurar la informacin. Al utilizar este modelo para disear

o revisar cualquier programa InfoSec, usted debe asegurarse de que cada una de

las clulas 27 se aborda adecuadamente por cada una de las tres comunidades de

inters. Por ejemplo, la celda que representa la interseccin de la tecnologa, la

integridad y los criterios de almacenamiento podra incluir controles o

salvaguardas que abordan el uso de la tecnologa para proteger la integridad de la

informacin durante el almacenamiento. Dicho control puede consistir en un

sistema de deteccin de intrusiones en el host (HIDS), por ejemplo, que alertara a

los administradores de seguridad cuando un archivo crtico se ha modificado o

eliminado.

Mientras que el modelo CNSS cubre las tres dimensiones de InfoSec, omite

cualquier discusin de los lineamientos y polticas que dirigen la ejecucin de los

controles, que son esenciales para un programa InfoSec efectiva. En su lugar, el

propsito principal del modelo es identificar las lagunas en la cobertura de un

programa InfoSec.

Otra debilidad de este modelo surge cuando se ve desde una nica perspectiva.

Por ejemplo, el control de HIDS descrito anteriormente se dirige slo a las

necesidades y preocupaciones de la comunidad InfoSec, dejando de lado las

necesidades y preocupaciones de las comunidades de negocios ms amplios y

generales de TI. En la prctica, la reduccin de riesgos a fondo requiere la

creacin y difusin de los controles de los tres tipos (poltica, educacin y

tcnicas) por las tres comunidades. Estos controles pueden aplicarse slo a travs

de un proceso que incluye la creacin de consenso y el conflicto constructivo para

24
reflejar el acto de equilibrio que cada organizacin se enfrenta a medida que

disea y ejecuta un programa InfoSec. El resto de este libro se extender sobre

estas cuestiones.

Usuarios

Aunque a menudo se pasa por alto en las consideraciones de seguridad

informtica, los usuarios siempre ha sido una amenaza para la seguridad de la

informacin. La leyenda cuenta que alrededor de 200 DC, un gran ejrcito

amenaz la seguridad y la estabilidad del imperio chino. As feroces eran los

invasores que el emperador chino orden la construccin de una gran muralla que

defendera contra los invasores hunos. Alrededor de 1.275 A.C., Kublai Khan,

finalmente logr lo que los hunos haban estado tratando desde hace miles de

aos. Inicialmente, el ejrcito del Khan trat de pasar por encima, excavar bajo, y

romper el muro. Al final, el Khan simplemente soborn al portero y el resto es

historia. Ya sea que este evento realmente ocurri o no, la moraleja de la historia

es que la gente puede ser el eslabn ms dbil en el programa de seguridad de la

informacin de una organizacin. Y a menos que la poltica, la educacin y la

formacin, la sensibilizacin y la tecnologa se emplean adecuadamente para

evitar que la gente de forma accidental o intencionalmente daar o perder

informacin, seguirn siendo el eslabn ms dbil. La ingeniera social puede

aprovecharse de la tendencia a cortar las esquinas y la naturaleza comn de los

errores humanos. Puede ser utilizado para manipular las acciones de personas para

obtener acceso a la informacin acerca de un sistema.

25
Procedimientos

Otro componente pasa por alto con frecuencia de un SI es procedimientos. Los

procedimientos se escriben las instrucciones para realizar una tarea especfica.

Cuando un usuario no autorizado obtiene procedimientos de una organizacin,

esto supone una amenaza para la integridad de la informacin. Por ejemplo, un

consultor para un banco aprendi cmo cablear los fondos mediante el uso de los

procedimientos del centro de clculo, que eran fcilmente disponibles. Al tomar

ventaja de una debilidad de seguridad (falta de autenticacin), este consultor

banco orden millones de dlares para ser transferidos por cable a su propia

cuenta. Procedimientos de seguridad Lax causaron la prdida de ms de diez

millones de dlares antes de que se corrigi la situacin. La mayora de las

organizaciones distribuyen los procedimientos a sus empleados legtimos para que

puedan acceder al sistema de informacin, pero muchas de estas empresas a

menudo no pueden proporcionar una educacin adecuada sobre la proteccin de

los procedimientos. Educar a los empleados sobre la salvaguardia de los

procedimientos es tan importante como asegurar fsicamente el sistema de

informacin. Despus de todo, procedimientos son la informacin en su propio

derecho. Por lo tanto, el conocimiento de los procedimientos, al igual que con

toda la informacin crtica, se debe difundir entre los miembros de la organizacin

slo en base a la necesidad de conocer.

26
Redes

El componente que cre gran parte de la necesidad de aumentar la seguridad

informtica y la informacin son las redes. Cuando los sistemas de informacin

estn conectados entre s para formar redes de rea local (LAN), redes de rea

local y estos estn conectados a otras redes, tales como Internet, los nuevos

desafos de seguridad emergen rpidamente. La tecnologa fsica que permite

funciones de la red es cada vez ms accesible para las organizaciones de todos los

tamaos. La aplicacin de las herramientas tradicionales de la seguridad fsica,

tales como cerraduras y llaves, para restringir el acceso y la interaccin con los

componentes de hardware de un sistema de informacin siguen siendo

importantes; pero cuando los sistemas informticos estn conectados en red, este

enfoque ya no es suficiente. Pasos para proporcionar seguridad de red son

esenciales, como es la implementacin de sistemas de alarma de intrusin y de

hacer conscientes del propietario del sistema de concesiones en curso.

Equilibrio de Seguridad de la Informacin y el Acceso

Incluso con la mejor planificacin y ejecucin, es imposible obtener una perfecta

seguridad de la informacin. Recordemos la declaracin de James Anderson

desde el comienzo de este captulo, que hace hincapi en la necesidad de

equilibrar la seguridad y el acceso. Seguridad de la informacin no puede ser

absoluta: es un proceso, no una meta. Es posible hacer un sistema de disposicin

de cualquier persona, en cualquier lugar, en cualquier momento, a travs de

cualquier medio. Sin embargo, dicho acceso sin restricciones representa un

27
peligro para la seguridad de la informacin. Por otra parte, un sistema de

informacin totalmente segura no permitir el acceso a nadie. Por ejemplo, ante el

reto de lograr una certificacin de seguridad de nivel TCSF.C-2 para su sistema

operativo Windows, Microsoft tuvo que quitar todos los componentes de red y

operar el equipo desde slo la consola en una habitacin segura.

Para lograr el equilibrio, es decir, para operar un sistema de informacin que

satisfaga al usuario el nivel de seguridad debe permitir un acceso razonable, sin

embargo, la proteccin contra amenazas. El Grfico No.3 muestra algunas de las

voces en competencia que se deben considerar al equilibrio entre la seguridad de

la informacin y el acceso.

GRFICO No. 3
EQUILIBRIO DE SEGURIDAD DE LA INFORMACIN Y EL ACCESO.

Elaboracin: Diana Espinoza Villn


Fuente: Michael Whitman Herbert Mattord. Management of Information Security (p. 19)

28
Debido a las preocupaciones y problemas de seguridad de hoy en da, un sistema

de informacin o con el departamento de procesamiento de datos puede ser

demasiado arraigada en la gestin y proteccin de los sistemas. Un desequilibrio

puede ocurrir cuando las necesidades del usuario final se ven socavados por

demasiado pesado un enfoque en la proteccin y administracin de los sistemas de

informacin. Ambos tecnlogos seguridad de la informacin y los usuarios finales

deben reconocer que ambos grupos comparten los mismos objetivos generales de

la organizacin para asegurar los datos estn disponibles cundo, dnde, y cmo

se necesita, con retrasos mnimos u obstculos. En un mundo ideal, el nivel de

disponibilidad puede cumplirse incluso despus de las preocupaciones acerca de

la prdida, dao, intercepcin, o la destruccin se ha abordado.

Enfoques para la implementacin de seguridad de informacin

La implementacin de seguridad de la informacin en una organizacin debe

comenzar en alguna parte, y no puede suceder durante la noche. Proteger los

activos de informacin es, de hecho, un proceso gradual que requiere la

coordinacin, el tiempo y la paciencia. Seguridad de la informacin puede

comenzar como un esfuerzo de los pueblos en los que los administradores de

sistemas tratan de mejorar la seguridad de sus sistemas. Esto es a menudo referido

como un enfoque de abajo hacia arriba. La ventaja clave del enfoque de abajo

hacia arriba es la experiencia tcnica de los administradores individuales. Trabajar

con sistemas de informacin sobre una base del da a da, estos administradores

poseen un profundo conocimiento que puede mejorar en gran medida el desarrollo

de un sistema de seguridad de la informacin. Ellos saben y entienden las

29
amenazas a sus sistemas y los mecanismos necesarios para proteger con xito. Por

desgracia, este enfoque rara vez funciona, ya que carece de una serie de

caractersticas importantes, como el apoyo de los participantes y poder de

permanencia de la organizacin.

El enfoque de arriba hacia abajo que el proyecto se inicia con gerentes de alto

nivel que emiten las polticas, procedimientos y procesos, determinan los

objetivos y resultados esperados, y determinar la responsabilidad de cada accin

requerida-tiene una mayor probabilidad de xito. Este enfoque tiene un fuerte

apoyo de gestin superior, un campen dedicado, por lo general una financiacin

especfica, un proceso de planificacin y ejecucin clara, y los medios de influir

en la cultura organizativa. El tipo ms exitoso de enfoque de arriba hacia abajo

tambin implica una estrategia de desarrollo formal se refiere como un ciclo de

vida de desarrollo de sistemas.

Para cualquier esfuerzo de toda la organizacin para tener xito, la gerencia debe

comprar en y apoyar plenamente. El papel desempeado a este respecto por el

campen no puede ser exagerado. Normalmente, este campen es un ejecutivo,

como un director de informacin o el vicepresidente de tecnologa de la

informacin, que se mueve adelante el proyecto, asegura que se gestione

adecuadamente, y empuja a la aceptacin en toda la organizacin . Sin este apoyo

de alto nivel, muchos administradores de nivel medio no logran hacer que el

tiempo para el proyecto o descartarlo como una prioridad baja. Tambin

fundamental para el xito de este tipo de proyectos es la participacin y el apoyo

30
de los usuarios finales. Estos individuos ARC ms directamente afectados por el

proceso y los resultados del proyecto y deben incluirse en el proceso de seguridad

de la informacin. Usuarios finales clave deben ser asignados a un equipo de

desarrollo, conocido como el equipo de desarrollo de aplicacin conjunta (JAD).

Para tener xito, la JAD debe tener poder de permanencia. Debe ser capaz de

sobrevivir a la rotacin de personal y no debe ser vulnerable a los cambios en el

equipo de personal que est desarrollando el sistema de seguridad de la

informacin. Esto significa que los procesos y procedimientos deben

documentarse e integrarse en la cultura de la organizacin. Debern ser aprobadas

y promovidas por la direccin de la organizacin.

La jerarqua de la organizacin y la de abajo a arriba y de arriba hacia abajo se

acerca arco se ilustra en el Grfico No. 4.

GRFICO No. 4
ENFOQUES PARA LA IMPLEMENTACIN DE SEGURIDAD DE INFORMACIN.

Elaboracin: Diana Espinoza Villn


Fuente: Michael Whitman Herbert Mattord. Management of Information Security (p. 21)

31
El Ciclo de Vida de Desarrollo de Sistemas

Seguridad de la informacin debe ser manejada de una manera similar a cualquier

otro sistema importante implementado en una organizacin. Un enfoque para la

implementacin de un sistema de seguridad de la informacin en una

organizacin con poca o ninguna seguridad formal en placa es usar una variacin

del ciclo de vida de desarrollo de sistemas SDLC: el ciclo de vida de desarrollo de

sistemas de seguridad (SecSDLC). Para comprender un ciclo de vida de desarrollo

de sistemas de seguridad, primero hay que entender los conceptos bsicos del

mtodo sobre el que se basa.

Metodologa y fases

El ciclo de vida de desarrollo de sistemas (SDLC) es una metodologa para el

diseo e implementacin de un sistema de informacin. Una metodologa es un

enfoque formal para resolver un problema por medio de una secuencia

estructurada de procedimientos. Utilizando una metodologa asegura un riguroso

proceso con un objetivo claramente definido y aumenta la probabilidad de xito.

Una vez que una metodologa ha sido adoptada, los hitos clave se establecen y se

selecciona un equipo de personas y el hecho responsable por el cumplimiento de

las metas del proyecto.

El SDLC tradicional consta de seis fases generales. Si usted ha tomado un anlisis

del sistema y curso de diseo, que puede haber estado expuesto a un modelo que

consiste en un nmero diferente de fases. SDLC modelos van desde tener once y

cincuenta y siete fases, todas las cuales han sido asignadas a los seis que aqu se

32
presenta. El modelo de cascada representado en el Grfico No. 5 ilustra que cada

fase se inicia con los resultados y la informacin adquirida en la fase anterior.

GRFICO No. 5
SDLC METODOLOGA CASCADA.

Elaboracin: Diana Espinoza Villn


Fuente: Michael Whitman Herbert Mattord. Management of Information Security (p. 22)

Al final de cada fase viene una revisin estructurada o revisin de la realidad, en

la que el equipo determina si el proyecto debe continuar, descontinuado,

tercerizado, pospuesto, o devuelto a una fase anterior en funcin de si el proyecto

avanza segn lo previsto y en l la necesidad de conocimientos especializados

adicionales, el conocimiento de la organizacin, o de otros recursos. Una vez que

el sistema se implementa, se mantiene (y modificada) durante el resto de su vida

operativa. Cualquier implementacin de sistemas de informacin puede tener

mltiples iteraciones como el ciclo se repite en el tiempo. Slo mediante el

examen y la renovacin constante puede cualquier sistema, especialmente un

programa de seguridad de la informacin, realice las expectativas en constante

evolucin del entorno en el que es colocado. Las secciones siguientes describen

cada fase de la tradicional SDLC.

33
Investigacin

La primera fase, la investigacin, es el ms importante. Qu problema est el

sistema que est siendo desarrollado para resolver? La fase de investigacin

comienza con un examen de la prueba o plan que inicia el proceso. Durante la fase

de investigacin, se especifican los objetivos, las limitaciones y el alcance del

proyecto. Un anlisis preliminar de costo-beneficio evala los beneficios

percibidos y los niveles adecuados de costo para los beneficios. A la conclusin

de esta fase, y en cada fase siguiente, un anlisis de factibilidad evala las

factibilidades econmicas, tcnicas, y de comportamiento del proceso y asegura

que la aplicacin vale la pena el tiempo de la organizacin y esfuerzo.

Anlisis

La fase de anlisis comienza con la informacin obtenida durante la etapa de

investigacin. Esta fase consiste principalmente en la evaluacin de la

organizacin, sus sistemas actuales, y su capacidad para soportar los sistemas

propuestos. Los analistas comienzan determinando qu se espera que el nuevo

sistema de hacer y cmo va a interactuar con los sistemas existentes. Esta fase

termina con la documentacin de los resultados y una actualizacin del anlisis de

viabilidad.

Diseo lgico

En la fase de diseo lgico, la informacin obtenida en la fase de anlisis se

utiliza para iniciar la creacin de una solucin de sistemas para un problema de

34
negocio. En cualquier solucin de sistemas, es imperativo que la primera y la

conduccin factor es la necesidad de negocio. Sobre la base de las necesidades del

negocio, se seleccionan las aplicaciones para proporcionar los servicios

necesarios, y luego el apoyo de datos y estructuras capaces de proporcionar los

insumos necesarios se eligen. Por ltimo, sobre la base de todas las tecnologas

especficas anteriores para implementar la solucin fsica se delinean. El diseo

lgico es, por lo tanto, el modelo para la solucin deseada.

Mantenimiento y Cambio

Mantenimiento y el cambio es el ltimo, aunque tal vez ms importante, la fase,

dado el entorno de amenazas en constante cambio actual. Sistemas de seguridad

de la informacin de hoy necesitan una supervisin constante, pruebas,

modificacin, actualizacin y reparacin. Sistemas de aplicaciones desarrolladas

en el marco de la tradicional SDLC no estn diseados para anticipar un ataque de

software que requiere un cierto grado de reconstruccin aplicacin. En seguridad

de la informacin, la batalla por los sistemas estables y confiables es defensivo. A

menudo, la reparacin de daos y restaurar informacin es un esfuerzo constante

contra un adversario invisible. Como surgen nuevas amenazas y viejas amenazas

evolucionan, el perfil de seguridad de la informacin de una organizacin debe

adaptarse constantemente a prevenir las amenazas penetren correctamente los

datos sensibles. Esta vigilancia y seguridad constante se pueden comparar a la de

una fortaleza donde las amenazas del exterior, as como desde dentro de l deben

monitoreados y controlados con tecnologas continuamente nuevas y ms

innovadoras constantemente.

35
CUADRO No. 4
FASE RESUMEN SDLC Y STXSDLC.

Pasos comunes tanto para el


ciclo de vida de desarrollo de Pasos nicas para el ciclo de
Fases sistemas y el ciclo de vida de vida de desarrollo de sistemas
desarrollo de sistemas de de seguridad
seguridad
Fase 1: Investigacin Alcance del proyecto Direccin define los
de trazado y metas procesos y las metas del
Calcular los costos proyecto y documenta
Evaluar los recursos estos en la poltica de
existentes seguridad del programa
Analizar la viabilidad
Fase 2: Anlisis Evaluar el sistema Analizar las polticas y
actual contra el plan programas de
desarrollado en la Fase seguridad existente
1 Analizar las amenazas
Desarrollar los y los controles actuales
requisitos del sistema Examinar las
preliminares cuestiones jurdicas
Estudio de integracin Realizar anlisis de
nuevo sistema con el riesgos
sistema existente
Documentar los
hallazgos y anlisis de
viabilidad de
actualizacin
Fase 3: Diseo Lgico Evaluar las Desarrollar plan de
necesidades de negocio seguridad
actuales contra el plan Acciones de respuesta
desarrollado en la Fase a incidentes de Plan
2 Plan de respuesta de
Seleccionar las las empresas a los
aplicaciones, soporte desastres
de datos y estructuras Determinar la
Generar mltiples factibilidad de
soluciones para su continuar y / o
consideracin subcontratar el
Documentar los proyecto
hallazgos y anlisis de
viabilidad de
actualizacin
Fase 4: Diseo Fsico Seleccionar las Seleccionar las
tecnologas para tecnologas necesarias
apoyar las soluciones para apoyar plan de
desarrolladas en la seguridad
Fase 3 Desarrollar la
Seleccionar la mejor definicin de la
solucin solucin exitosa
Deciden hacer o Disear medidas de
comprar componentes seguridad fsica para
Documentar los apoyar soluciones
hallazgos y anlisis de tecnolgicas

36
viabilidad de Revisar y aprobar
actualizacin proyectos
Fase 5: Implementacin Desarrollar o comprar Comprar o desarrollar
software soluciones de
componentes de orden seguridad
Documentar el sistema Al final de la fase,
Formar a los usuarios presente probado
Anlisis de viabilidad paquete de gestin
de actualizacin para su aprobacin
Sistema actual de
usuarios
Sistema de prueba y
evaluacin de
desempeo
Fase 6: Mantenimiento y Soporte y sistema Controle
Cambio modificar durante su constantemente,
vida til probar, modificar,
Pon a prueba actualizar y reparar
peridicamente para para enfrentar las
cumplir con las amenazas cambiantes
necesidades del
negocio
Actualizar y parchear
segn sea necesario
Elaboracin: Diana Espinoza Villn
Fuente: Michael Whitman Herbert Mattord. Management of Information Security (p. 28)

El Cuadro No. 4 resume los pasos realizados, tanto en el ciclo de liras desarrollo

de sistemas y el ciclo de vida de desarrollo de sistemas de seguridad. Dado que el

sistema de seguridad del ciclo de vida de desarrollo se basa en el ciclo de vida de

desarrollo de sistemas, los pasos de los ciclos son similares, y por lo tanto los

comunes a ambos ciclos arco se indica en la columna 2 Columna 3 muestra los

pasos nicos para el ciclo de vida de desarrollo de sistemas de seguridad ese arco

realiza en cada fase.

37
Profesionales de la Seguridad y la Organizacin

Se necesita una amplia gama de profesionales para apoyar un programa de

seguridad de la informacin diversa. Como se ha sealado anteriormente en este

captulo, seguridad de la informacin es mejor iniciar desde la parte superior hacia

abajo. La alta gerencia es el componente clave y la fuerza vital para una

implementacin exitosa de un programa de seguridad de la informacin. Pero el

apoyo administrativo es tambin esencial para el desarrollo y ejecucin de las

polticas y procedimientos de seguridad especficos, y la experiencia tcnica es,

por supuesto, esencial para la implementacin de los detalles del programa de

seguridad de la informacin. Las siguientes secciones describen las

responsabilidades tpicas de seguridad de informacin de diversas funciones

profesionales en una organizacin.

Alta Direccin

El oficial mayor de la tecnologa suele ser el director de informacin (CIO),

aunque se pueden usar otros ttulos como vicepresidente de la informacin,

vicepresidente de tecnologa de la informacin, y el vicepresidente de sistemas. El

CIO es el principal responsable de asesorar al director ejecutivo, presidente, o

propietario de la empresa en la planificacin estratgica que afecta a la gestin de

la informacin en la organizacin. El CIO traduce los planes estratgicos de la

organizacin como un todo en los planes estratgicos de informacin para los

sistemas de informacin o de procesamiento de datos de la divisin de la

organizacin. Una vez logrado esto, los CIO trabajan con los directores

38
subordinados para desarrollar planes tcticos y operativos para la divisin y para

permitir la planificacin y gestin de los sistemas que soportan la organizacin.

El jefe de seguridad de la informacin (CISO) tiene la responsabilidad principal

de la evaluacin, la gestin y la implementacin de seguridad de la informacin

en la organizacin. El CISO tambin puede ser referido como el gerente de

seguridad de TI, el administrador de seguridad, o un ttulo similar. El CISO

generalmente depende directamente del CIO, aunque en las grandes

organizaciones, no es raro para una o ms capas de gestin de existir entre los dos.

Sin embargo, las recomendaciones del CISO a la CIO deben dar igual, si no

mayor, prioridad que otras tecnologas y propuestas relacionadas con la

informacin. La colocacin de la CISO y apoyar al personal de seguridad en las

jerarquas organizacionales es el tema de debate actual en toda la industria.

Seguridad como arte

Los administradores y tcnicos que implementan la seguridad se pueden comparar

con un pintor aplicar aceites a la lona. Un toque de color aqu, un trazo de pincel

all, JList suficiente para representar la imagen que el artista quiere transmitir sin

abrumar al espectador, o en trminos de seguridad, sin restringir demasiado el

acceso de usuarios. No hay reglas duras y rpidas que regulan la instalacin de

diversos mecanismos de seguridad, ni existen muchas soluciones completas

universalmente aceptados. Si bien hay muchos manuales de apoyo a los sistemas

individuales, no existe un manual para la implementacin de la seguridad en todo

39
un sistema interconectado entero. Esto es especialmente cierto dado los complejos

niveles de interaccin entre los usuarios, polticas y controles de la tecnologa.

Seguridad como Ciencia

La tecnologa desarrollada por los cientficos y los ingenieros informticos - que

est diseado para niveles de desempeo rigurosos - hace que la seguridad de

informacin de una ciencia como un arte. La mayora de los cientficos estn de

acuerdo en que las condiciones especficas causan prcticamente todas las

acciones en los sistemas informticos. Casi todos los fallos de funcionamiento de

fallo, agujero de seguridad, y sistemas es el resultado de la interaccin de

hardware y software especficos. Si los desarrolladores tenan tiempo suficiente,

podran resolver y eliminar estas faltas.

Los defectos que quedan son generalmente el resultado de la tecnologa de mal

funcionamiento de cualquiera de las mil razones posibles. Hay muchas fuentes de

mtodos de seguridad reconocidas y aprobadas y tcnicas que proporcionan

consejos de seguridad tcnica de sonido. Las mejores prcticas, estndares del

debido cuidado, y otros mtodos probados y verdaderos pueden minimizar el nivel

de conjeturas necesarias para asegurar la informacin y los sistemas de una

organizacin.

40
OSSIM

Qu es OSSIM?

OSSIM es un conjunto de herramientas de cdigo abierto, las cuales se

administran desde una sola interfaz (SIEM) esas herramientas que recopila son

herramientas muy conocidas en el mundo de las seguridad informtica con la

ventaja de ser de cdigo abierto (Open Source).

GRFICO No. 6
OSSIM LOGO.

Elaboracin: Diana Espinoza Villn


Fuente: http://galleryhip.com/splunk-logo-png.html

El SIEM OSSIM ofrece la posibilidad de obtener una total visibilidad de todos los

eventos de los sistemas en solo sitio con un mismo formato, y a travs de esta

situacin privilegiada, permitir relacionar y procesar la informacin obteniendo un

aumento en la capacidad de deteccin, priorizar los eventos segn con la

frecuencia que se produzcan, y as monitorizar el estado de seguridad de nuestra

red de datos. Tambin permite integrar la informacin generada por IDS,

detectores de anomalas, Firewalls y varios monitores. Existe la opcin de crear

un reporte de todos los dispositivos, y denir la topologa de la red.

41
Las principales funciones que ofrece OSSIM, se las clasifica en tres fases:

Pre proceso

Es la deteccin en s misma, la generacin de alertas por los detectores y la

consolidacin previa al envo de informacin.

Coleccin

La coleccin es el envo y la recepcin de toda la informacin de estos sensores

escuchan desde un punto de red.

Post proceso

Por ltimo el Post proceso el tratamiento que se realizar a la informacin que ha

sido recolectada por los sensores.

La fase de Post proceso se subdivide en tres mtodos diferentes:

Priorizacin: En esta etapa se priorizan las alertas que se reciben

mediante un proceso de contextualizacin desarrollado a travs de la

definicin de una Poltica Topolgica de Seguridad y del Inventariado de

los sistemas.

Valoracin de Riesgo: En la valoracin cada evento ser valorado

respecto al Riesgo que implique, es decir, de una forma proporcional entre

el activo al que se aplica, la amenaza que supone y la probabilidad del

evento.

Correlacin: La correlacin analiza un conjunto de eventos con otro tipo

de eventos ya categorizados para obtener una informacin de cmo

priorizar los anlisis.

42
GRFICO No. 7
LOGO ALIEN VAULT.

Elaboracin: Diana Espinoza Villn


Fuente: www.runsolutions.com

Las etapas de OSSIM

Para conocer como funciona OSSIM, se detallar a continuacin cada una de las

fases en las que se divide todo su proceso.

Deteccin

Los detectores integrados en OSSIM tienen dos orientaciones de formas distintas:

Detectores de Patrones: estos detectores no solo son para el contexto de los

sistemas de deteccin de intrusos, sino en un sentido ms amplio, como lo son los

Firewalls o routers los cuales pueden detectar el escaneo de puertos, intentos de

Spoong o ataques de fragmentacin. Adems muchas herramientas que trabajan

a nivel de host permiten monitorizar con la visualizacin de los logs, como el

syslog de los sistemas UNIX.

El objetivo fundamental de este esta etapa es la de tener una monitorizacin total

sobre los eventos de toda la red y tambin la visibilidad de la red.

43
Deteccin de anomalas: Esta fase de la deteccin de anomalas es ms reciente

que la de patrones. Esta etapa el sistema es capaz de decidir por cuenta propia que

evento que se ejecuta es bueno o malo, l es capaz de aprender por s solo y

alertar cuando un comportamiento se diferencia de lo normal de lo normalmente

aprendido anteriormente. Con esta funcionalidad que ofrece el sistema se puede

dar un punto de vista diferente y complementarlo con una deteccin de patrones

pues la naturaleza de los dos procesos es opuesta. Esta deteccin de anomalas

puede ser utilizada especialmente para prevenir por ejemplo ataques por la red

DMZ, ya que estos por si solos son una anomala continua, en la direccin el

sentido de las comunicaciones, en el ujo de datos, el tamao, el tiempo, el

horario, el contenido, etc.

Esta fase ofrece una solucin de control de accesos de usuarios privilegiados que

pueden ocasionar un ataque interno, por ejemplo de empleados desleales, los

cuales no implican la violacin de ninguna poltica ni la ejecucin de ningn tipo

de exploit. Implican sin embargo una anomala en el uso y la forma de uso de un

servicio.

Algunos ejemplos de este tipo de anomalas son: el uso en horario anormal,

exceso de trfico, cambio en el sistema operativo, etc.

Centralizacin / normalizacin

La centralizacin y la normalizacin (o agregacin) tiene como objetivo unicar

en una nica interfaz y dar un solo formato a los eventos de seguridad de todos los

sistemas crticos de la organizacin. La normalizacin implica la existencia de un

parser o traductor que conozca los tipos y formatos de alertas de los diferentes

44
detectores. Con esta funcin, ser posible tanto almacenar las alertas en un mismo

formato en una base de datos.

Priorizacin

La prioridad de una alerta debe ser dependiente de la Topologa y el Inventario de

los dispositivos y equipos de la organizacin. Por ejemplo, una alerta de un

gusano que ataque los servidores Internet Informacin Server de Windows 2000,

no tendr prioridad si los servidores web del inventario que monitorizamos son

Apache.

Valoracin del riesgo

La valoracin del riesgo pude depender de tres factores diferentes:

1. El valor del activo al que el evento se reere

2. La amenaza que representa el evento

3. La probabilidad de que este evento ocurra

Para realizar estas tareas es necesario disponer de las siguientes herramientas para

la fase de priorizacin disponer de un framework (Ossim-Framework) donde se

puede congurar:

Poltica de Seguridad, o valoracin de parejas activo-amenazas segn la

Topologa y ujo de los datos.

Inventario.

Valoracin de activos.

Valoracin de amenazas (priorizacin de alertas).

45
Valoracin de abilidad de cada alerta.

Denicin de alarmas.

Correlacin

El funcionamiento del correlador de OSSIM fue mencionado con anterioridad.

Monitores

Con el n de poder controlar las anomalas, OSSIM dene tres tipos de monitores:

Monitor de Uso: ofrece datos generales de la maquina como el nmero de

bytes que transmite al da.

Monitor de Perles: ofrece datos especcos del uso realizado por el usuario

y permite establecer un perl, por ejemplo si usa correo, pop, y http, es un

perl de usuario normal.

Monitor de Sesiones: permite ver en tiempo real las sesiones que est

realizando el usuario. Ofrece una foto instantnea de la actividad de una

mquina en la red.

Consola forense

Esta consola forense est disponible en la versin de pago de AlientVault. Pero

como es una parte de Ossim se va a mencionar su funcionalidad. La Consola

forense permite acceder a toda la informacin recogida y almacenada por el

colector en forma de logs.

46
Cuadro de mandos

La ltima de las funcionalidades de Ossim es la de los cuadro de mandos,

mediante el cual se puede ofrecer una visin de alto nivel de la situacin de

nuestra red en cuanto a seguridad. El cuadro se maneja por medio de la interfaz de

usuario la cual monitoriza una serie de indicadores que miden el estado de la

organizacin respecto de seguridad. Permitir denir una serie de umbrales u

objetivos que debe cumplir el sistema. Estos umbrales sern denidos de forma

absoluta o relativa como un grado de anomala. Se podr asignar el envo de

alarmas cuando se superen estos umbrales o la ejecucin.

Los procesos de OSSIM

OSSIM se divide en tres aplicaciones o procesos distintos: Ossim-agent, Ossim-

server y Ossim-framework.

Ossim-server

El servidor es el cerebro de OSSIM. Se encarga de recibir los eventos que le

envan los distintos agentes (Ossim-agents), adems de realizar las labores de

priorizacin, correlacin y gestin del propio motor de Ossim.

Ossim-agent

Es un proceso que corre en los hosts donde se quiere monitorizar algn evento.

Sus funciones bsicas consisten en recoger los eventos de algn detector o sensor,

y reportarlos a algn Ossim-server mediante conexiones TCP. Cada Ossim-agent

tendr congurado un conjunto de detectores o monitores, que estarn

47
ejecutndose en el host que controlan. Para cada uno de las fuentes de

informacin de Ossim-agent, existe un parser escrito en Python [45], que se

encarga de analizar los logs en el formato estndar del propio sensor, traducirlos a

IDMEF y enviarlos al Ossim-server.

Ossim-framework

Es el gestor de OSSIM. Se podra denir como la capa intermedia entre el propio

servidor y el usuario. Entre otras cosas, incorpora un portal el PHP que corre a

travs del servidor web para facilitar la conguracin del sistema.

Las herramientas de OSSIM

OSSIM integra herramientas de software libre, obteniendo una arquitectura

abierta y adaptable segn las necesidades. Pero adems tambin utiliza los logs de

otras herramientas no libres.

Los principales servicios y herramientas que integra OSSIM son: Apache,

Arpwatch, Cisco IDS, Firewall PIX de cisco , Routers Cisco, Firewall one de

CheckPoint, Iptables, Servidor de microsoft Internet Information Server, Ntop,

Ntsyslog, Osiris, Prelude HIDS , Snort, Syslog, p0f, tcptrack, snarewindows,

realsecure, rrd, opennms, netgear.

48
Snort

Introduccin a Snort

Snort no es ms que un IDS de red. Snort originalmente fue diseado para ser un

rastreador de paquetes o sniffer. Un poco de historia, en noviembre de 1998,

Marty Roesch program en Linux un sniffer llamado APE, este contaba con

muy buenas caractersticas pero su autor quera que se desarrollaran las

siguientes caractersticas para este:

Trabajar sobre cualquier sistema operativo.

Usar hexdump.

Mostrar todos los diferentes paquetes de la red.

El siguiente objetivo de Roesch fue escribir un mejor sniffer para su uso

propio. Entonces fue que creo a Snort como una aplicacin libre, el cual daba a

Snort una portabilidad desde el punto de vista del filtrado y rastreo de paquetes

en la red.

GRFICO No. 8
LOGO DE SNORT.

Elaboracin: Diana Espinoza Villn


Fuente: matome.naver.jp

49
El primer anlisis de snort fue a partir de reglas apareci en enero de 1999. Esto

marco una de las primeras incursiones en el camino de la deteccin de intrusos.

A partir de la versin 1.5 de snort la cual sali en diciembre de 1999, se

tuvo que decidir sobre la actualizacin, reescritura y optimizacin de la

arquitectura de Snort para las versiones siguientes. Despus de que la versin

1.5 fue liberada, se pudo utilizar utilizar diferentes plug-ins que an se utilizan en

la actualidad.

En ese momento Snort poco a poco comenz a ganar popularidad pero

complicada su manipulacin, por lo que Roesch se dedic por completo a su IDS

y la prioridad era hacerlo ms fcil de configurar y que trabajara en ambientes

empresariales. La visin fue la de introducirla en el mbito empresarial a snort, la

gente podra comenzar a invertir dinero y dar soporte al IDS. A partir de esta idea

surgi Sourcefire, organizacin en la cual se encontraban la mayora del equipo de

desarrollo de Snort adems la filosofa del producto sigui por el mismo

camino, el de el software libre, a pesar de que la nueva organizacin se hizo

cargo del desarrollo del IDS, ste no pas a ser propiedad de l, pero si se

encarg de escribir y dar soporte para versiones comerciales de Snort,

siempre basadas sobre GNU/Linux. En la actualidad la versin liberada y estable

de Snort es la 3.0.a y no solo est disponible para GNU/Linux, sino tambin para

Windows.

50
La gran capacidad de correlacionar reglas coincidentes (rules-matching) del IDS

es apenas reciente en comparacin con la corta vida de Snort, pero no solo se ha

puesto nfasis en esta parte del programa, tambin se ahondado en diversas

reas de la arquitectura. Otra cosa que acotar es que Snort no naci con

capacidades de pre procesamiento ni tampoco con la capacidad de adicionar

plugins.

Con el pasar del tiempo Snort se ha adaptado para funcionar sobre cualquier

arquitectura de red, se han agregado plug-ins para bases de datos, tales como

MySQL o Postgres, plug-ins del preprocesador para revisar implementaciones de

protocolos, como protocolos comunes de red tales como HTTP o RPC,

ensamblado de paquetes, flujos y la secuencia y escaneo de puertos antes de que

los paquetes sean enviados al anlisis de reglas para alertar sobre cualquier

eventualidad.

Caractersticas de Snort

Las caractersticas con las que cuenta Snort son importantes tales como el

preprocesador y plug-ins de alertas, de los cuales muchos de los cuales pueden

ser adaptados de acuerdo a las necesidades de implementacin de Snort. Estos

componentes permiten a Snort manipular los paquetes para hacer su contenido

ms manejable para el motor de deteccin de alertas y que este pueda

informar al sistema sobre lo que ocurre. Una vez que el paquete ha pasado

a travs del preprocesador, del motor de deteccin y la alerta ha sido enviada al

51
sistema, este puede ser manejado por cualquiera de los plug-ins que se elija como

lanzador de alertas.

La Arquitectura de Snort est compuesta cuatro componentes bsicos:

1. El Sniffer

2. El Preprocesador

3. El Motor de Deteccin

4. La Salida

En su forma ms bsica, Snort es un Sniffer, sin embargo es diseado para tomar

paquetes y procesarlos para posteriormente compararlos con una serie de reglas a

travs del motor de deteccin con el que cuenta.

En la siguiente figura se muestra la arquitectura de Snort:

GRFICO No. 9
ARQUITECTURA SNORT.

Elaboracin: Diana Espinoza Villn


Fuente: snortudenar.wordpress.com

52
A continuacin se describe el funcionamiento de Snort en 4 pasos:

1. Toma los paquetes de la red.

2. Despus se determina si hay paquetes, cul ser el tratamiento a seguir

con ellos (preprocesador).

3. Posteriormente, los paquetes se ordenan de acuerdo a su tipo (motor de

deteccin).

4. Finalmente, es el administrador quien decide que se va a hacer con los

paquetes, usualmente estos son almacenados.

El preprocesador, el motor de deteccin y los componentes de alerta de Snort son

todos plug-ins. Los plug-ins son programas que son escritos de acuerdo a la API

de plug-ins de Snort. Estos programas eran usualmente parte del cdigo del

ncleo de Snort, pero estos han sido separados para que las modificaciones al

cdigo fuente sean ms confiables y fciles de acoplar.

Sniffer

Un sniffer es un software que intercepta de paquetes de una red de datos, desde un

dispositivo que puede estar dentro o fuera de la red. Funciona de manera similar a

un interceptor de llamadas telefnicas, pero este es usado para datos que

circulan sobre la red en lugar de voz. Un sniffer de red permite a una

aplicacin o tambin un hardware interceptar datos disimuladamente en el trfico

de la red. En el caso de Internet, usualmente consiste en trfico IP, pero en las

redes locales, este puede ser de otros protocolos.

53
Debido a que el trfico IP consiste en muchos protocolos de alto nivel (como

TCP, UDP, ICMP, protocolos de enrutamiento e IPSec), muchos sniffers analizan

esta gran variedad de protocolos para poder dar una interpretacin de los

paquetes ms entendible para el ser humano. Los sniffers de paquetes tienen

varios usos, como los siguientes:

Anlisis y soluciones en la red

Desempeo en anlisis y pruebas

Rastreo de contraseas y otros contenidos importantes de los paquetes

Un sniffer necesita ser instalado en un punto de red para que este provea la

mayor cantidad de paquetes que circulan en la red. Siendo una clase de sniffer,

Snort puede guardar los paquetes a ser procesados y posteriormente poder

visuaizarlos en un conjunto de registros de los paquetes capturados en la red,

esto se puede observar en el siguiente grfico:

GRFICO No. 10
CAPTURA DEL SNIFFER WIRESHARK.

Elaboracin: Diana Espinoza Villn


Fuente: blog.theliel.es

54
El proceso de deteccin

Para hacer un resumen de toda la informacin que se ha expuesto en con respecto

al anlisis de los paquetes de una red de datos pudiera decir la siguiente frase la

cual, sera esta: "Mejorar la Capacidad de Deteccin"

A continuacin volvemos con los procesos de Ossim el cual tiene varios procesos

que son necesarios ir analizando.

Detectores

Definimos un detector como cualquier programa capaz de procesar la informacin

en tiempo real, informacin sobre el nivel generalmente bajo como trfico o

eventos del sistema y la capacidad de enviar alertas cuando surgen situaciones

previamente definidas.

Estas situaciones pueden ser definidas en cualquiera de dos maneras:

Patrones o reglas definidas por el usuario

Por niveles de anomalas

Capacidad de deteccin

Capacidades de deteccin ha aumentado enormemente en los ltimos aos, el

mejor ejemplo es IDS, que son capaces de detectar patrones en el nivel ms

detallado.

Con el fin de analizar la capacidad de un detector, que definiremos mediante dos

variables:

55
Sensibilidad o la capacidad que posee nuestro detector para el anlisis extenso

y complejo en la identificacin de posibles ataques.

Confiabilidad, que, como su nombre indica, es el nivel de seguridad que puede

aportar nuestro detector ante el aviso de un posible evento.

Incapacidad de Deteccin

A lo largo de este documento veremos que a pesar de los avances en el mbito de

los sistemas de deteccin, sus capacidades estn todava lejos de ser aceptable.

A causa de incapacidad de los detectores en estas dos reas, nos enfrentamos a los

dos principales problemas afrontan en la actualidad:

Los falsos positivos. Falta de fiabilidad del detector o alertas que en realidad

no corresponden a ataques reales.

Los falsos negativos. Deteccin inadecuada significa que los ataques pasan

desapercibidos.

La siguiente tabla resume estas ideas:

CUADRO No. 5
CAPACIDADES DEL DETECTOR.
Resultados de su
Propiedades Ausencia
El nivel de seguridad que puede
Los falsos
Confiabilidad aportar nuestro detector ante el
Positivos
aviso de un posible evento
La capacidad que posee nuestro
detector para el anlisis extenso y Los falsos
Sensibilidad
complejo en la localizacin de negativos
posibles ataques
Elaboracin: Diana Espinoza Villn
Fuente: Open Source Security Information Management. (p. 9)

56
El proceso de deteccin

Nos referiremos al proceso global desarrollado por el SIM como el proceso de

deteccin, incluyendo varios detectores de la organizacin y los monitores, as

como los ejecutados por el sistema para procesar esta informacin.

El proceso de deteccin implica normalmente tres fases bien definidas:

Pre-procesamiento: s Deteccin, en el que los detectores generan alertas y la

informacin se consolida antes de ser enviado.

Coleccin: Toda la informacin de estos detectores se enva y se recibe en una

ubicacin central.

Post-procesamiento: Qu vamos a hacer con la informacin una vez lo

tenemos todo centralizado

Post-tratamiento

Pre-procesamiento y coleccin son capacidades tradicionales y no aportan nada

nuevo a nuestra solucin. Pero en el post-procesamiento, una vez que tengamos

toda la informacin en un solo lugar, podemos implementar mecanismos que

mejoren la sensibilidad y la fiabilidad de la deteccin. Aumentamos la

complejidad del anlisis mediante la inclusin de los mtodos para descartar

falsos positivos o, por otro lado priorizar o descubrir patrones ms complejos que

nuestros detectores han pasado por alto.

En OSSIM se utilizan tres mtodos de post-procesamiento:

57
1. Priorizacin: Priorizamos alertas recibidas mediante un proceso de

contextualizacin desarrollado mediante la definicin de una poltica de

seguridad topolgica en combinacin con el inventario de nuestros sistemas.

2. Evaluacin del riesgo: Cada evento se evala en relacin con su riesgo

asociado, es decir, en proporcin a los activos en riesgo, la amenaza

representada por el evento, y la probabilidad es real.

3. Correlacin: Se analiza una serie de eventos para obtener una informacin

ms valiosa.

La siguiente figura muestra cmo las propiedades antes mencionadas se ven

afectados por estos procesos:

CUADRO No. 6
POST-PROCESAMIENTO.
Procesamiento Efecto
Evaluar la amenaza
Priorizacin Mejora la fiabilidad
contextualizando un evento
La capacidad que posee nuestro
detector para el anlisis extenso y Los falsos
Sensibilidad
complejo en la localizacin de negativos
posibles ataques
Mejora la
Comparar diversos eventos para
fiabilidad,
Correlacin obtener una informacin ms
sensibilidad, y la
valiosa
abstraccin
Elaboracin: Diana Espinoza Villn
Fuente: Open Source Security Information Management. (p. 10)

58
As que despus de procesarlos, nuestro sistema utilizar las alertas

proporcionadas por los detectores para producir lo que se hace referencia en este

documento como alarmas.

Una alarma suele ser el resultado de varias alertas y tienen un mayor nivel de

abstraccin que nos permite identificar patrones y ms complejas que

proporcionar una mayor fiabilidad.

Funcionalidad

Con el fin de entender lo que es capaz de ofrecer, podemos definir la

funcionalidad del sistema mediante una forma simplificada, grfica con los

siguientes nueve niveles:

GRFICO No. 11
FUNCIONALIDAD DE OSSIM.

Elaboracin: Diana Espinoza Villn


Fuente: Open Source Security Information Management. (p. 11)

59
Se discute cada uno de estos niveles de abajo para ayudar a dar una descripcin

prctica de nuestro sistema:

Detectores de Patrones

La mayora de los detectores tradicionales funcionan con patrones, el mejor

ejemplo de que es el IDS o deteccin de intrusin en el sistema, que es capaz de

detectar patrones definidos a travs de firmas o reglas.

Hay otra clase de detectores de patrones que se incluyen en la mayora de los

dispositivos como routers y firewall y son capaces de detectar, por ejemplo,

anlisis de puertos, intentos de suplantacin de identidad, y los posibles ataques

de fragmentacin.

Tambin contamos con detectores de eventos de seguridad de un sistema

operativo. Ellos son capaces de alertar de posibles problemas de seguridad, y que

casi todos incluyen su propio registrador, como syslog de UNIX.

Cualquier elemento de la red, como un router, una estacin de trabajo, un servidor

de seguridad, etc, tiene cierta capacidad para la deteccin. En nuestro sistema,

estamos interesados en la recoleccin de eventos de todos los sistemas crticos

para lograr uno de nuestros principales objetivos: una visin global de la red.

Detectores de Anomalas

La capacidad de detectar anomalas es ms reciente que de los patrones. En este

caso no tenemos que decirle al sistema de deteccin de lo que es bueno y lo que es

60
malo; se puede aprender por s mismo y nos avise cuando el comportamiento se

desva lo suficiente de lo que normalmente se ha aprendido.

Puesto que los dos procesos funcionan de maneras opuestas, esta nueva

funcionalidad proporciona un punto de vista de que es a la vez diferente y

complementario a la deteccin del patrn.

La deteccin de anomalas puede ser especialmente til para evitar, por ejemplo,

el permetro de ataques, que son una anomala contina: en la direccin de las

comunicaciones y el camino que definen, en el flujo de datos, en su tamao,

duracin, tiempo, contenido, etc.

Esta tcnica proporciona una solucin hasta ahora fuera de su alcance para

controlar el acceso de usuarios privilegiados, como en los ataques internos, por

ejemplo, empleados desleales que violan las polticas de seguridad de la empresa.

Sin embargo, ellos representan una anomala en la forma de usar el servicio.

Ahora echemos un vistazo a algunos otros ejemplos en los que estos detectores

puedan ser tiles:

Un nuevo ataque para el que todava no existen firmas podra producir una

anomala evidente an eludir los sistemas de deteccin de patrones.

Un gusano que se ha introducido en la organizacin, un ataque de spam, e

incluso el uso de programas P2P generara una serie de conexiones anmalas

que son fciles de detectar.

61
Asimismo, hemos podido detectar:

o El uso de los servicios que es anormal en origen y destino

o Uso en tiempos anormales

o El uso de la Franquicia de trfico o conexiones

o Copia anormal de archivos en la red interna

o Cambios en el sistema operativo de una mquina. Etc.

Podramos pensar que, un elemento no deseado, estos detectores generarn una

serie de nuevas alertas, generando un alto trfico en la red ocasionndonos un

grave problema (nuestro objetivo es limitar el nmero de alertas). Sin embargo, si

las tomamos como informacin adicional que complementa las alertas de patrones

tradicionales, vamos a ser capaces de evaluar y por lo tanto diferenciar aquellas

que puedan dar lugar a una situacin de mayor riesgo.

Centralizacin y Normalizacin

La normalizacin y centralizacin (o agregacin) se dirigen a los eventos de

seguridad de unificacin de todos los sistemas crticos de toda la organizacin en

un nico formato en una sola consola.

Todos los productos de seguridad suelen tener una capacidad de gestin

centralizada a travs de protocolos estndar por lo tanto, la agregacin es simple

usando estos protocolos. En OSSIM intentamos evitar el uso regular de los

agentes y en su lugar utilizar formas de comunicacin que son nativas de los

sistemas.

62
La normalizacin requiere un analizador o traductor familiarizado con los tipos y

formatos de alertas procedentes de diferentes detectores. Tendremos que organizar

la base de datos y adaptar la consola forense con el fin de homogenizar el

procesamiento y visualizacin de todos estos eventos.

De esa manera podremos observar todos los eventos de seguridad para un

momento particular en el tiempo si provienen de un router, un firewall, un IDS o

un servidor en UNIX la misma pantalla y en el mismo formato.

Cuando tengamos todos los eventos de la red centralizados en la misma base de

datos, podemos lograr una visin considerablemente amplia de lo que est

pasando en toda la red, que, como veremos en breve, nos permite desarrollar

procesos que nos permiten detectar patrones ms complejos y muy dispersos.

Priorizacin

La prioridad de una alerta debe depender de la topologa e inventario de los

sistemas de la organizacin. Las razones son bastante claras, como se demuestra

por los ejemplos siguientes:

a. Si un equipo que ejecuta el sistema operativo UNIX y el servidor web Apache

recibe una alerta sobre un ataque a Microsoft IIS, la alerta debe ser

despriorizada.

b. Si un usuario realiza una conexin sospechosa a un servidor, el sistema

debera:

63
o Darle mxima prioridad si el usuario es externo a la red y atacar la

base de datos cliente.

o Darle prioridad baja si el usuario es interno a la red y atacar a una

impresora de red.

o Desechar si el usuario es una persona que normalmente hace pruebas

servidores de desarrollo.

Por priorizacin nos referimos al proceso de contextualizacin, es decir, la

evaluacin de la importancia de una alerta en relacin al entorno de la

organizacin, que se describe en una base de conocimientos para la red integrada

por:

Un inventario de mquinas y redes (identificadores, sistemas operativos,

servicios, etc.)

Una poltica de acceso (si se permite el acceso o prohibido, y de dnde a

dnde)

Para realizar estas tareas (como en la evaluacin del riesgo, tal como se explica en

la siguiente seccin), tenemos un marco en el que podemos configurar lo

siguiente:

1. La poltica de seguridad, o la evaluacin de pares activos de amenaza de

acuerdo al flujo de topologa y datos

2. Inventario

3. Evaluacin de activos

4. La evaluacin de riesgos (priorizacin de alertas)

64
5. La evaluacin de la fiabilidad de cada alerta

6. Definicin de alarmas

La priorizacin es uno de los pasos ms importantes en las alertas de filtrado

recibidas por los detectores y deben ser ejecutados mediante un proceso continuo

de perfeccionamiento y la retroalimentacin de la organizacin.

Evaluacin de riesgos

La importancia que se da a un evento depende de estos tres factores:

a. El valor de los activos asociados con el evento

b. La amenaza representada por el evento

c. La probabilidad de que el evento ocurra

Riesgo Inmediato

En nuestro caso, debido a las capacidades en tiempo real se puede medir el riesgo

asociado a la situacin actual en trminos inmediatos.

En este caso, la medicin del riesgo se pondera por el dao que producira y la

probabilidad que la amenaza est ocurriendo en el presente.

Esa probabilidad, que es un derivado de la imperfeccin de nuestros sensores,

resulta ser nada ms que el grado de fiabilidad de los sensores para detectar el

potencial de intrusin en curso.

65
Por riesgo inmediato nos referimos a la situacin de riesgo se produce cuando se

recibe y evala instantneamente como una medida del dao que producira el

ataque, ponderado por la fiabilidad del detector que hizo el informe una alerta.

OSSIM calcula el riesgo inmediato de cada evento recibido, y esta ser la medida

objetiva que utilizamos para evaluar la importancia del evento en trminos de

seguridad. Evaluamos la necesidad de actuar utilizando slo esta medida.

Nuestro sistema incluye asimismo un monitor de riesgo (descrito ms adelante)

que evala el riesgo acumulado en el tiempo de las redes y grupos de mquinas

relacionadas con un evento.

Correlacin

Definimos la funcin de correlacin como un algoritmo que realiza una operacin

que recoge informacin de eventos de la red y lo devuelve categorizado.

Debemos tener en cuenta la informacin recogida por nuestros detectores y

monitores para ser especfico ya que dicha informacin es parcial, esta analiza la

informacin que realmente nos gustara tener.

Podemos pensar en la correlacin como la capacidad de tomar ventaja de estos

sistemas y con una nueva capa de procesamiento rellene ms reas a lo largo de

ese espectro infinito de toda la informacin posible sobre una red.

66
Si nos dejamos llevar, esta idea podra llevarnos a tratar de instalar un nico

sistema con un detector que puede recoger toda la informacin posible acerca de

la red, pero requerira una pantalla que muestra absolutamente todo en un mismo

lugar y casi de memoria y una capacidad de almacenamiento ilimitada.

Por lo tanto, los sistemas de correlacin que suplen la falta de sensibilidad,

fiabilidad y variedad limitada de nuestros detectores.

Unas de sus grandes bondades de OSSIM es mostrarnos todas las herramientas

correlacionas en una sola interfaz.

Entrada y salida

En trminos simples, nuestra arquitectura tiene dos elementos claramente

definidos que proporcionan informacin a sus funciones de correlacin:

Monitores, que normalmente proporcionan los indicadores.

Detectores, que normalmente proporcionan alertas.

La salida tambin ser uno de estos dos elementos: alertas o indicadores.

Modelo de Correlacin

OSSIM tiene un modelo ambicioso de correlacin:

1. Desarrollar pautas especficas para la deteccin de lo conocido y detectable.

2. Desarrollar patrones especficos para la deteccin de lo desconocido y lo

indetectable.

67
3. Proporcionar un motor de inferencia que se puede configurar mediante reglas

relacionadas entre s y que tiene la capacidad de describir los patrones ms

complejos.

4. La posibilidad de vincular los detectores y monitores de forma recursiva para

crear objetos ms abstractos y tiles.

5. Desarrollar algoritmos para la visualizacin de una vista general de la

situacin de seguridad.

Mtodos de Correlacin

Para lograr estos objetivos utilizaremos dos mtodos de correlacin muy

diferentes basados en los dos siguientes principios:

Una secuencias de correlacin de eventos, se centr en los ataques conocidos

y detectables, relaciona los patrones y comportamientos conocidos que

definen un ataque con reglas implementadas por una mquina de estados.

Correlacin mediante algoritmos heursticos. El uso de un enfoque opuesto,

implementamos algoritmos que tratan de detectar situaciones de riesgo

mediante anlisis heurstico. En un esfuerzo para compensar las deficiencias

de otros mtodos, ste detecta situaciones sin conocer o mostrar los detalles.

Es til para detectar ataques desconocidos y mostrar una visin general del

estado de seguridad de un gran nmero de sistemas.

68
Mtodo 1: Correlacin mediante algoritmos heursticos

Por correlacin OSSIM implementaremos un sencillo algoritmo heurstico por

acumulacin de eventos con el fin de obtener un indicador o una instantnea del

estado de seguridad general de la red.

En este proceso nuestro primer objetivo es la obtencin de lo que hemos definido

anteriormente como riesgo inmediato y, posteriormente, un valor que podramos

llamar el riesgo acumulado.

Esto proporciona un control de alto nivel que podemos utilizar como un

"termmetro" para situaciones de riesgo sin conocer ningn detalle acerca de las

caractersticas del problema.

Siguiendo con esta analoga, vamos a construir un termmetro sensible que

mostrar el riesgo total acumulado en un perodo de tiempo determinado. El

termmetro subir proporcionalmente a la cantidad de eventos recibido

recientemente y que lo "caliente" que son y que se enfriar el paso del tiempo si

no se reciben nuevos eventos.

Esta correlacin suplementos mtodo de correlacin utilizando secuencias de

eventos con un opuesto enfoque en este ltimo intentamos caracterizar posibles

ataques al ms alto nivel de detalle.

69
En consecuencia, el valor de correlacin utilizando algoritmos heursticos es

doble:

Proporciona una visin global rpida de la situacin.

Detecta posibles patrones que otros sistemas de correlacin puedan pasar por

alto ya sea porque los ataques son desconocidos o por falta de capacidad.

CALM

CALM (Compromiso y Monitor del Nivel Ataque) es un algoritmo de evaluacin

que utiliza la acumulacin de eventos con recuperacin en el tiempo. Su entrada

es un gran volumen de eventos, y su salida es un nico indicador del estado

general de la seguridad.

La acumulacin se realiza por cualquier motivo en la red, incluyendo cualquier

mquina, grupo de mquinas, segmento de red, camino, etc, que estamos

interesados en el monitoreo.

Evento Acumulacin

La acumulacin se calcula simplemente por la suma de dos variables de estado

que representan el riesgo inmediato de cada evento:

"C" o el nivel de compromiso, que mide la probabilidad de que una mquina

se ve comprometida.

"A" o nivel de ataque al que se someten un sistema, que mide el riesgo

potencial debido a ataques lanzados.

70
Por qu separar estas dos variables para la vigilancia? En primer lugar, porque

caracterizan distintas situaciones: el nivel de ataque indica la probabilidad de que

un ataque se ha puesto en marcha, un ataque que pueden o no tener xito; mientras

que el nivel de compromiso proporciona evidencia directa de que ha habido un

ataque y que ha tenido xito.

En segundo lugar, la importancia de ambas variables depende de la situacin de la

mquina. Principalmente debido a la exposicin de las redes perimetrales, que

estn expuestos a un gran nmero de ataques, la mayora de ellos automatizados,

lamentablemente un alto valor del nivel de ataque es una situacin "normal". Sin

embargo, el indicador de Compromiso o movimiento que pueda llevar a pensar

que hay un atacante que residen en estas redes debe ser sealado de inmediato y

revisado.

Por otra parte, hay casos en los que una mquina genera anomalas dentro de la

red debido a la naturaleza de su funcin, tales como un escner de seguridad, un

servicio con puertos pasivos aleatorios, desarrollo, etc y estos normalmente tienen

un alto C y un bajo A.

Un valor se asigna a la variable C o para una mquina de la red de acuerdo a tres

reglas:

1. Cualquier posible ataque lanzado desde la mquina 1 en la mquina 2 se

incrementar la A (el nivel de ataques) de la mquina 2 y el C (nivel de

71
compromiso, o acciones sospechosas normalmente perpetrados por un hacker)

de la mquina 1.

2. Cuando hay una respuesta de ataque (una respuesta que podra indicar el xito

del ataque), el valor de C aumentar tanto para las mquinas 1 y 2.

3. Si los eventos son internos, el valor de C va a subir slo para la mquina de

origen.

La acumulacin a travs del tiempo

Desde CALM est pensado para la monitorizacin en tiempo real, estamos

interesados en un plazo de corto plazo.

En otras palabras, estamos interesados en la evaluacin de los recientes

acontecimientos, y el algoritmo debemos tener memoria a corto plazo que da

importancia a los acontecimientos ms recientes y descarta el ms antiguo.

La implementacin actual utiliza una variable simple de recuperacin en el

tiempo. El sistema bajar peridicamente los niveles de C y A para cada mquina

por un valor constante.

Mtodo 2: Correlacin mediante Secuencias de Eventos

El Panel de Secuencias

La idea bsica para la deteccin de una secuencia de patrones es sencilla: basta

con crear una lista de reglas como "si recibe el evento A y luego B y luego C,

realice la accin D."

72
Para ello se utiliza el panel de secuencias, donde definimos listas de reglas para

cada secuencia de eventos que queremos definir.

La complejidad del panel depende de la capacidad de esas reglas para la

abstraccin y la capacidad de OSSIM para analizar una variedad de entrada.

Nuestro panel puede ejecutar secuencias con las siguientes caractersticas:

Capacidad para definir orgenes y destinos variables

Acepta tanto la entrada patrn de los detectores y de entrada indicador de

monitores

Definir la prioridad y la fiabilidad de las nuevas alertas

Utilice variables "elsticos", o variables que pueden medir un evento para

definir la prioridad o la fiabilidad (por ejemplo, la negacin total del servicio -

> alta prioridad, el 50% de denegacin -> prioridad media, el 15% de

denegacin -> baja prioridad).

Arquitectura recursivas puede crear objetos de la correlacin de reglas que

funcionan como detectores o monitores en las nuevas reglas

Niveles de correlacin

La naturaleza recursiva de nuestro modelo permite la creacin de una jerarqua

casi infinito de niveles, pero para los propsitos de esta explicacin vamos a

definir una jerarqua con tres niveles, como se muestra en el siguiente diagrama:

73
GRFICO No. 12
CORRELACIN MEDIANTE SECUENCIAS DE EVENTOS.

Elaboracin: Diana Espinoza Villn


Fuente: Open Source Security Information Management. (p. 20)

Vamos a discutir los tres niveles, pero fuera de servicio para facilitar la

explicacin:

Nivel 2.1 Ataque Especfico

Este nivel trata directamente con los detectores y monitores. Haremos lo posible

para incluir ambas firmas y actividades relacionadas con los ataques concretos, es

decir, los que tienen un nombre y apellido conocido, exactamente como se

identifica por el detector (por ejemplo, "comprometida por desbordamiento cwd

ftp").

El principal objetivo del nivel de ataque especfico es mejorar la fiabilidad de la

deteccin. Esto significa que en lugar de estar satisfecho con una posible firma de

ataque, buscamos ms evidencia que demuestra que el ataque es en curso o ha

fallado.

Esta evaluacin es lo que har la diferencia en la limitacin de los falsos positivos

y dar prioridad a los ataques reales en un sistema de deteccin de seguridad, ya

74
que como hemos visto la fiabilidad de un evento afecta directamente el clculo del

riesgo.

Considere este ejemplo simple de correlacin entre un detector de patrones y un

monitor:

Utilizando una firma, la IDS detecta un posible ataque de denegacin de servicio

a travs de synflood y enva una alerta de disparo una consulta al monitor de

servicio para ver si se ha experimentado un descenso en la disponibilidad y en

qu grado. En consecuencia podemos asignar nuestra alerta "denegacin de

servicio mediante synflood" un mayor grado de fiabilidad.

Generalmente utilizamos secuencias ms complejas, donde correlacionaremos

alertas producidas por firmas con el caracterstico comportamiento especfico de

un ataque. Consideremos ahora la deteccin de caballos de Troya. Podemos

detectar varias operaciones utilizando firmas IDS:

Connect, active, get info, access, server2client_flow,


client2server_flow, response, traffic_detect

La deteccin de una operacin de conexin, probablemente, no es una

informacin muy til en s mismo. Hay docenas cada da en ambientes de

permetro, pero si detectamos cualquier otra operacin-en particular un ataque-

respuesta que deben enviar una alerta de alta prioridad.

75
Nivel 1.2 Deteccin por Actividad Especfica

Vamos a usar el ejemplo del caballo de Troya para explicar el concepto de

actividad especfica. Considere este caso simple: despus de un intento de

conexin, si el caballo de Troya est utilizando el puerto P, slo si este puerto

tiene actividad, es decir, la transmisin de datos. Si est activo, tenemos, como lo

hicimos anteriormente, una confirmacin de que el intento de conexin fue

probablemente exitosa. Pero esta vez lo identificamos por el seguimiento de la

actividad de la propia Troya en lugar de utilizar una firma IDS.

Por actividad especfica que utilizamos monitores para examinar una cuestin

relativa a la actividad concreta asociada a un posible ataque especfico mediante el

envo de consultas que inician y detienen el motor de correlacin para ese tema.

Nivel 1.1 Deteccin por Patrones

En este nivel, que ya hemos hablado, nuestro sistema procesa cualquier alerta

enviada por los detectores de patrones.

Las respuestas de ataques

Con base en los dos puntos anteriores, podemos concluir que las respuestas de

ataque son importantes, ya que verifican la existencia de un evento, lo que

equivale a un aumento de la fiabilidad de la alerta.

Nuestro motor de correlacin est diseado para buscar continuamente estas

respuestas de ataque, y siguiendo las seales iniciales de un posible ataque,

76
pondremos todo nuestro sistema a la bsqueda de evidencia de que el ataque

realmente se est produciendo. Esto nos permite diferenciar los ataques fallidos de

los exitosos.

Para nuestro ejemplo de caballo de Troya, podemos representar grficamente de la

siguiente manera:

CUADRO No. 7
MEJORA DE LA FIABILIDAD DE UN CABALLO DE TROYA.

Sucesin de eventos Tipo de alerta Confiabilidad


Signature: connection,
1. Intromisin de un caballo client2server, access,
getinfo
de Troya o intento de Specific activity: flow Baja
conexin from
attacker -> victim
La deteccin de una Signatures: response,
server2client
respuesta tpica de un
ataque exitoso o respuesta a Specific activity: flow Alta
la operacin de un caballo from
victim -> attacker
de Troya
Elaboracin: Diana Espinoza Villn
Fuente: Open Source Security Information Management. (p. 30)

Nivel 2.2 Deteccin por Actividad General

Por la deteccin utilizando la actividad en general nos referimos a normas

destinadas a la localizacin de los ataques desconocidos o indetectables, ya que

las firmas o patrones que caracterizan este.

Los ataques pueden ser identificados gracias a la actividad anmala generada por

el atacante, que se detecta mediante el control de los indicadores de actividad de

77
los usuarios en general, como puertos o servicios, trfico, tiempos, etc para todos

los usuarios.

En algunos casos podemos caracterizar los ataques a un cierto grado de detalle

utilizando esta tcnica. Pero en general, detectamos comportamientos sospechosos

con menos precisin que en la deteccin de ataques especficos, a menudo en la

zona gris entre los ataques, problemas de red, y la mala conducta del usuario.

A continuacin se presentan algunos ejemplos de deteccin seran:

La deteccin de un gusano desconocido que genera trfico anormal y un

nmero de conexiones atpicos a los puertos no utilizados anteriormente y

destinos.

Deteccin de acceso sospechosa, tal como un usuario que realiza una conexin

persistente a un puerto de administracin por primera vez.

El exceso de trfico, con destinos anmalos y usos.

Nivel 3: Comportamiento del Ataque

El tercer nivel es principalmente la correlacin de varios ataques especficos o

actividades generales identificados en el primer nivel.

Recuerde que la arquitectura de correlacin de nuestro sistema es recursivo, y que

nuestras reglas pueden incluir nuevos objetos que funcionan como detectores (y

enviar alertas) o como monitores (y proporcionar valores) y que se compone de

una coleccin de reglas desde el nivel anterior.

78
Pero no debemos caracterizar definitivamente estos nuevos niveles por el hecho

de que los objetos del nivel anterior se utilizan como entrada. Esto no siempre es

el caso; podemos mezclar y combinar mtodos, segn corresponda.

Cada nivel corresponde a un cierto grado de abstraccin, por lo que para este nivel

se intenta identificar patrones de conducta que nos ayudan a identificar el objeto,

el camino recorrido, y el comportamiento y el mtodo del atacante. Para ello

definimos el comportamiento de ataque como la secuencia de ataques y

actividades llevadas a cabo por un usuario en una o varias mquinas

comprometidas.

Los siguientes son algunos ejemplos de comportamiento de ataque:

Ataque Distribuido, que se caracteriza por una relacin entre varios atacantes

y ataques experimentados.

Acceso a una red crtica de Internet, siguiendo el flujo de un ataque al

permetro que alcanza una red crtica de Internet en pocos saltos.

Compromiso interno usuario malicioso, identificado por diversas acciones

anormales tomadas por un usuario interno.

Monitores

A pesar de que son simplemente monitorea los procesos ejecutados previamente,

como tal, estas funcionalidades son de destacar:

79
Monitor de Riesgo

OSSIM posee un monitor de riesgo llamado RiskMeter que muestra los valores

producidos por el algoritmo CALM. Estos valores miden el compromiso (C) y el

ataque (A) los niveles de riesgo derivados de las alertas que indican la posibilidad

de que una mquina ha sido comprometida o est siendo atacado.

El uso, perodo de sesiones, y monitores perfil

Como se explica en el apartado de anomalas OSSIM le damos mucha

importancia a la supervisin detallada de cada mquina y el perfil.

Hay tres tipos para este tipo de monitorizacin:

El monitor de uso proporciona informacin general sobre la mquina, como el

nmero de bytes transmitidos por da.

El monitor de perfil proporciona informacin especfica sobre la actividad del

usuario, que nos permite establecer un perfil, por ejemplo "utiliza el correo,

pop, y http" es un perfil de usuario normal.

El monitor de sesin proporciona una visualizacin en tiempo real de las

sesiones en las que est realizando el usuario, as como una instantnea de la

mquina en la red.

Creemos que los tres de ellos son esenciales para un sistema de seguridad, y en su

defecto el administrador de seguridad estar ciego ante eventos pasados, no sera

capaz de distinguir lo normal de lo anormal, y no seramos capaces de ver la red

como un polica de trfico en una carretera de tono negro.

80
Esta zona de seguridad coincide con la administracin de la red, pero es inevitable

cierta superposicin, ya que, por ejemplo, la saturacin de una red o el

comportamiento anmalo de una mquina podran indicar un problema de red o

un problema de seguridad.

OSSIM ofrece estas tres capacidades de monitoreo usando productos con la

capacidad de actuar como sniffers y ver la situacin de la red en el ms alto grado

de detalle.

Monitor de Sendero

Este monitor puede rastrear en tiempo real los caminos utilizados por varias

mquinas de la red de comunicaciones o enlaces.

El dibujo se realiza en un cierto intervalo de tiempo, la creacin de un grfico

cuyas ramas aparecen y desaparecen con el tiempo.

Este monitor recibe datos de otros dos monitores: el monitor sesin identifica cada

enlace presente en la red, y el monitor riesgo enva el nivel de riesgo para cada

mquina para que el monitor de ruta puede hacerlas con colores en funcin del

riesgo y calcular el riesgo agregado.

La monitorizacin de enlaces, hay dos mtodos:

81
Anlisis Enlace duro (Anlisis Enlace TCP)

Usando este mtodo graficamos slo sesiones TCP persistentes. El

propsito de este mtodo es identificar ataques de red que implican la

intrusin de varias mquinas, una situacin tpica de intrusiones

perimetrales.

Software de anlisis de Enlace

OSSIM utiliza el anlisis de enlace dinmico para graficar todos los

enlaces percibidos en la red, incluyendo UDP as como TCP e ICMP,

resultando a menudo en mapas de la red catica.

Consola Forense

La consola forense proporciona acceso a toda la informacin recopilada y

almacenada por el coleccionista.

Esta consola es un motor de bsqueda que opera sobre la base de datos de

eventos, permitiendo al administrador analizar eventos de seguridad en relacin

con todos los elementos crticos de la red valida de manera centralizada.

A diferencia de la pantalla riesgos que se analiza en la seccin anterior, esta

consola nos permite explorar cada evento que se produce en el sistema para el

mximo detalle.

82
Panel de control

El panel de control nos permite ver la situacin de seguridad de red en un nivel

alto. Efectuar un seguimiento de una serie de indicadores que miden el estado de

la organizacin en relacin a la seguridad.

El panel de control nos permite definir una serie de umbrales u objetivos que la

organizacin debe cumplir. Estos umbrales se definen como valores absolutos o

relativos, tales como el grado de anomala.

Podemos asignar las alarmas que se enven o cualquier proceso automtico que se

ejecutan cuando se superan estos umbrales.

La informacin que se visualiza en el panel de control es importante, por lo que

debe ser lo ms concisa y simple posible. Para ello necesitamos una configuracin

flexible que muestra slo la informacin que es relevante en el momento de su

inters.

El panel de control es nuestro termmetro general de todo lo que ocurre en la red.

Y lo usamos para acceder a todas las herramientas de supervisin para

inspeccionar cualquier problema que se ha identificado.

Por ejemplo, puede mostrar lo siguiente:

El monitoreo constante de los niveles de riesgo de las principales redes de la

organizacin

Seguimiento de las mquinas o subredes que superan el umbral de seguridad

83
Monitoreo constante de la red en general, el sistema y los parmetros de nivel

de servicio:

o El rendimiento y el trfico en las redes principales

o Recursos de bases de datos principales

o Latencia de servicios crticos

o Nmero de transacciones de servicios crticos

Monitoreo de los parmetros de red o de nivel de servicio que superan el

umbral establecido:

o El uso de trfico

o El uso de los servicios crticos

o Uso de servicios anmalos

o Los cambios en la configuracin

o Cualquier otra actividad anmala

En nuestra opinin, la central debe ser totalmente personalizado. A diferencia de

todas las dems funciones, slo se incluir una muestra para personalizar.

Arquitectura

Arquitectura general

Procesos del sistema se divide en dos etapas bsicas, cada una correspondiente a

una de las dos partes diferentes de la arquitectura:

Procesamiento previo, llevado a cabo por los monitores y detectores

Post-procesamiento, ejecutado en una consola centralizada

El siguiente es un diagrama general de la arquitectura segn los procesos:

84
GRFICO No. 13
ARQUITECTURA GENERAL DE OSSIM.

Elaboracin: Diana Espinoza Villn


Fuente: Open Source Security Information Management. (p. 26)

Adems de todas las funcionalidades descritas anteriormente, este diagrama

muestra tres bases de datos:

EDB, la base de datos de eventos, que es el ms grande, ya que todos los

eventos individuales que perciben nuestros detectores

KDB, el conocimiento o el marco base de datos, en el que parametrizar el

sistema para familiarizarse con la red y definir la poltica de seguridad

UDB, la base de datos de perfiles, que almacena toda la informacin

recopilada por el monitor de perfil

85
Flujo de datos

Para darle una mejor comprensin de cmo se integra cada producto, ofrecemos el

siguiente paso por caso

Descripcin paso del flujo de datos a partir de la generacin de un evento:

1. eventos son procesados por los detectores hasta que una alerta se produce en

respuesta a la identificacin de un patrn o una anomala.

2. Si es necesario, las alertas son procesadas por los preparadores antes de ser

enviado. Los consolidadores de enviar la informacin agrupada para ocupar

un mnimo de ancho de banda.

3. El colector recibe alertas utilizando varios protocolos de comunicacin

abiertos.

4. El analizador normaliza y los guarda en la base de datos de eventos.

5. El analizador tambin su prioridad segn la poltica de seguridad definida en

el marco y la informacin en el inventario de los sistemas sobre el sistema

atacado.

6. El analizador evala el riesgo inmediato que implica la alerta y enva una

alarma al panel de control segn sea necesario.

7. Alertas cualificadas se envan a cada proceso de correlacin, que actualiza sus

variables de estado y finalmente enva nuevas alertas con informacin ms

completa y fiable. Estas alertas se reenvan al parser para su almacenamiento,

priorizacin, valoracin del riesgo, etc

8. El monitor riesgo muestra peridicamente el estado de cada ndice de riesgo

calculado por CALMA.

86
9. El panel de control muestra las alarmas ms recientes, actualiza el estado de

todos los ndices que se compara con sus umbrales, y enva alarmas nuevas o

realiza las acciones apropiadas cuando sea necesario.

10. Desde el panel de control, el administrador puede enlazar y visualizar todos

los eventos que se producen en el momento de la alerta mediante la consola

forense.

11. El administrador tambin puede comprobar el estado instantneo de la

mquina a travs de los monitores de uso, perfiles, y sesiones.

El grfico siguiente muestra el flujo de datos:

GRFICO No. 14
FLUJO DE DATOS DE OSSIM.

Elaboracin: Diana Espinoza Villn


Fuente: Open Source Security Information Management. (p. 28)

87
Distribucin de la Arquitectura

OSSIM es una distribucin en lugar de un producto, lo que significa que la

integracin tiene prioridad sobre el desarrollo. El proyecto tiene como objetivo la

intercomunicacin OSSIM, haciendo estos productos se comuniquen entre s.

Debido a la creciente complejidad del desarrollo, por lo que hemos definido dos

niveles:

El Kernel

El primer nivel desarrollado por el proyecto GNU OSSIM es lo que una

distribucin tpica llamara el Ncleo, que engloba las siguientes tareas:

Definir la estructura de datos

Proporcionar las interfaces para hablar con todos los diferentes productos

El trabajo en lo que se llam formalmente post-procesamiento

Proporcionar un marco en la primera capa de la administracin para vincular a

todos los dems sistemas administrativos

Implementar el panel de control

Productos de Terceros

Aqu hablamos de productos de terceros, no desarrolladas por el proyecto an

integrado en nuestra solucin.

Hay dos tipos de productos:

Productos de cdigo abierto, que pueden ser modificados y/o patched,

dependiendo del producto y por lo general se incluyen en la distribucin

88
Para pago-productos, que, obviamente, no se incluirn en las distribuciones ni

sern parcheados o modificados

Consulte la seccin Hoja de Ruta para ver la relacin entre las arquitecturas.

Reglamentos

Australia

Ley de Privacidad Enmiendas de la Ley N 119 Australia-- de 1988 en su

forma enmendada, preparado el 2 de agosto de 2001 que incorpora las

enmiendas anteriores a la Ley N 55 de 2001 La Ley de Privacidad de 1988

(Privacy Act) busca el equilibrio entre la vida privada con la pblica inters en

la aplicacin de la ley y los objetivos de regulacin del gobierno.

Nacional Principio de Privacidad (NPP) 6 proporciona a un individuo con un

derecho de acceso a la informacin en poder de ellos por una organizacin.

Privacidad Nacional Principio (NPP) 4.1 establece que una organizacin debe

tomar medidas razonables para proteger la informacin personal que posee de

un uso indebido y la prdida y de acceso no autorizado, modificacin o

divulgacin.

Commonwealth Ley de Privacidad.

Austria

Ley de Proteccin de Datos de Austria de 2000 (Bundesgesetz ber den

Schutz personenbezogener Daten (Datenschutzgesetz 2000 - DSG 2000)).

89
Canada

Ley de Privacidad de 1983.

Libertad Municipal de Informacin y Proteccin de la Privacidad (MFIPPA),

1991.

Ley de Quebec Respetando la Proteccin de Datos Personales en el Sector

Privado, 1993.

Proteccin de Informacin Personal y la Ley (PIPEDA), 2.000 documentos

electrnicos.

Bill de Ontario 198, 2002.

Ley de Proteccin de Informacin Personal (PIPA), las provincias de Alberta

y Columbia Britnica, 2004.

Ley de Proteccin de Informacin Personal de Salud (PHIPA), 2004.

Alemania

Deutsche Bundesdatenschutzgesetz (BDSG) - Artikel 1 des Gesetzes zur

Fortentwicklung der Datenverarbeitung und des Datenschutzes de 20

diciembre de 1990, BGBl. I S. 2954, 2955, zuletzt gendert durch das Gesetz

zur Neuordnung des Postwesens und der Telekommunikation vom 14

septiembre de 1994, BGBl. I S. 2325.

IT Manual de Proteccin de lnea de base (IT Grundschutzhandbuch) Emitido

por Bundesamt fr Sicherheit in der Informationstechnik (Oficina Federal para

la Seguridad de la Informacin (BSI)), disponible en

http://www.bsi.de/gshb/english/menue.htm.

90
Alemn IT Systems. S6.68 (Prueba de la eficacia del sistema de gestin para

el manejo de incidentes de seguridad) y las pruebas S6.67 (El uso de las

medidas de deteccin de incidentes de seguridad).

India

The Information Technology Act, 2000.

Italy

D.Lgs. n. 196/2003 - Codice in materia di protezione dei dati personali.

Malaysia

Computer Fraud and Abuse Act.

The Computer Crimes Act.

Mxico

Ley Federal de Transparencia y Acceso a la Informacin Pblica

Gubernamental.

Ley de Propiedad Industrial (LPI).

Ley Federal de Derechos de Autor (LFDA) y su libro de reglas (RLFDA).

Cdigo Penal Federal y Cdigo Federal de Procedimientos Penales.

Singapur

Ley de Mal Uso de ordenador.

E-Commerce Cdigo de Proteccin de la Informacin Personal y

Comunicaciones de Consumidores de Comercio Internet.

91
Espaa

Espaol LOPD Ley Orgnica de Proteccin de Datos de Carcter Personal.

LSSICE 31/2002 (Ley de Servicios de la Sociedad de la Informacin y el

Correo Electronico), 11 de julio de 2002.

RD 14/1999 (Real Decreto de Regulacin de la Firma Electrnica), 17 de

septiembre de 1999.

RD 994/1999 (Real Decreto Sobre el reglamento de Seguridad de los Ficheros

estafa Informacin de Carcter Personal), 11 de junio de 1999.

Suiza

Bundesverfassung (BV) vom 18. Dezember 1998, Artikel 7 und 13.

Obligationenrecht (OR) 2002 (Stand am 1. Oktober 2002), Artikel 707, 716,

716B, 717, 727ff und 321a.

Datenschutzgesetz (DSG) vom 19 Juni 1992 (Stand am 3. Oktober 2000).

Tailandia

Ley de Delitos Informticos.

Privacidad Ley de Proteccin de Datos.

Reino Unido

UK Data Protection Act 1998.

Requisitos de gobierno corporativo.

IT Information Library disponible en http://www.ogc.gov.uk/index.asp?id=

2261 emitido por la Oficina Britnica de Comercio Gubernamental (OGC).

92
BSI ISO 17799-2000 (BS 7799) - Este manual cumple plenamente con todos

los requisitos de auditora y pruebas remotas de BS7799 (y su equivalente

internacional ISO 17799) para la auditora de seguridad de la informacin.

Reino Unido CESG CHECK - especficamente la salud de verificacin

Servicio de TI CESG.

Estados Unidos de Amrica

AICPA SAS 70 - verificaciones de las actividades de control de procesos se

aplican al Informe del Auditor Service en la Declaracin de Normas de

Auditora (SAS) no. 70 del Instituto Americano de Contadores Pblicos

Certificados de orientacin para Auditores Internos.

Ley Clinger-Cohen.

Desempeo del Gobierno y la Ley de Resultados.

Ley de la FTC, 15 USC 45 (a), Seccin 5 (a).

Ley de Proteccin (COPPA) Privacidad Infantil en Internet.

Ley de Proteccin contra la Piratera Ciberntica (ACPA).

Ley de Gestin de la Informacin de Seguridad Federal.

EE.UU. Ley Sarbanes-Oxley (SOX).

California Individual Privacidad Senado Bill - SB1386.

Ley de Reforma de la Seguridad EE.UU. de Informacin del Gobierno de la

seccin 3534 2000 (a) (1) (A).

MITRE Vulnerabilidades y Exposiciones Comunes - las limitaciones de

seguridad RAV descritos en este manual cumplen con las Descripciones CVE

93
para categorizaciones ms eficientes (http://cve.mitre.org/ about /

terminology.html).

DoD FM 31-21, Guerra de guerrillas y fuerzas de operaciones especiales.

Ley de Responsabilidad de 1996 (HIPAA) Seguro de Salud de Portabilidad y.

HIPAA OCR Privacidad TA 164.502E.001, Asociados comerciales [45 CFR

160.103, 164.502 (e), 164.514 (e)].

HIPAA OCR Privacidad TA 164.514E.001, Relacionados con la Salud de

Comunicaciones y Marketing [45 CFR 164.501, 164.514 (e)].

HIPAA OCR Privacidad TA 164.502B.001, mnimo necesario [45 CFR

164.502 (b), 164.514 (d)].

HIPAA OCR Privacidad TA 164.501.002, pago [45 CFR 164.501].

Estndares de HIPAA para la Privacidad de la Informacin de Salud

Identificable (45 CFR partes 160 y 164).

FDA: sistemas informticos utilizados en ensayos clnicos. Registros

Electrnicos; Firmas Electrnicas; [21 CFR Parte 11].

U.S. Gramm-Leach-Bliley Act (GLBA).

94
Fundamentacin Legal

TTULO VII
RGIMEN DEL BUEN VIVIR

SECCIN OCTAVA
CIENCIA, TECNOLOGA, INNOVACIN Y SABERES ANCESTRALES
SECCIN NOVENA GESTIN DEL RIESGO

Art. 8.- Sern Fines de la Educacin Superior.- La educacin superior tendr los

siguientes fines:

a) Aportar al desarrollo del pensamiento universal, al despliegue de la

produccin cientfica y a la promocin de las transferencias e innovaciones

tecnolgicas;

b) Fortalecer en las y los estudiantes un espritu reflexivo orientado al logro de la

autonoma personal, en un marco de libertad de pensamiento y de pluralismo

ideolgico;

c) Contribuir al conocimiento, preservacin y enriquecimiento de los saberes

ancestrales y de la cultura nacional;

d) Formar acadmicos y profesionales responsables, con conciencia tica y

solidaria, capaces de contribuir al desarrollo de las instituciones de la

Repblica, a la vigencia del orden democrtico, y a estimular la participacin

social;

95
e) Aportar con el cumplimiento de los objetivos del rgimen de desarrollo

previsto en la Constitucin y en el Plan Nacional de Desarrollo;

f) Fomentar y ejecutar programas de investigacin de carcter cientfico,

tecnolgico y pedaggico que coadyuven al mejoramiento y proteccin del

ambiente y promuevan el desarrollo sustentable nacional;

g) Constituir espacios para el fortalecimiento del Estado Constitucional,

soberano, independiente, unitario, intercultural, plurinacional y laico; y,

h) Contribuir en el desarrollo local y nacional de manera permanente, a travs del

trabajo comunitario o extensin universitaria.

Art. 28.- Fuentes complementarias de ingresos y exoneraciones tributarias.- Las

instituciones de educacin superior pblicas podrn crear fuentes

complementarias de ingresos para mejorar su capacidad acadmica, invertir en la

investigacin, en el otorgamiento de becas y ayudas econmicas, en formar

doctorados, en programas de posgrado, o inversin en infraestructura, en los

trminos establecidos en esta Ley.

Las instituciones de educacin superior pblicas gozarn de los beneficios y

exoneraciones en materia tributaria y arancelaria, vigentes en la Ley para el resto

de instituciones pblicas, siempre y cuando esos ingresos sean destinados

exclusivamente y de manera comprobada a los servicios antes referidos.

96
Los servicios de asesora tcnica, consultora y otros que constituyan fuentes de

ingreso alternativo para las universidades y escuelas politcnicas, pblicas o

particulares, podrn llevarse a cabo en la medida en que no se opongan a su

carcter institucional sin fines de lucro. El Consejo de Educacin Superior

regular por el cumplimento de esta obligacin mediante las regulaciones

respectivas.

Art. 30.- Asignaciones y rentas del Estado para universidades y escuelas

politcnicas particulares.- Las universidades y escuelas politcnicas particulares

que a la entrada de vigencia de la Constitucin de la Repblica del Ecuador

reciban asignaciones y rentas del Estado, podrn continuar percibindolas en el

futuro.

Estn obligadas a destinar dichos recursos al otorgamiento de becas de

escolaridad e investigacin a estudiantes matriculados en programas acadmicos

de cualquier nivel, que por su origen socio econmico, etnia, gnero, discapacidad

o lugar de residencia, entre otros, tengan dificultad para acceder, mantenerse y

terminar exitosamente su formacin, desde el inicio de la carrera; as como

tambin, becas de docencia e investigacin para la obtencin del ttulo de cuarto

nivel.

Art. 71.- Principio de igualdad de oportunidades.- El principio de igualdad de

oportunidades consiste en garantizar a todos los actores del Sistema de Educacin

97
Superior las mismas posibilidades en el acceso, permanencia, movilidad y egreso

del sistema, sin discriminacin de gnero, credo, orientacin sexual, etnia, cultura,

preferencia poltica, condicin socioeconmica o discapacidad.

Las instituciones que conforman el Sistema de Educacin Superior propendern

por los medios a su alcance que, se cumpla en favor de los migrantes el principio

de igualdad de oportunidades. Se promover dentro de las instituciones del

Sistema de Educacin Superior el acceso para personas con discapacidad bajo las

condiciones de calidad, pertinencia y regulaciones contempladas en la presente

Ley y su Reglamento. El Consejo de Educacin Superior, velar por el

cumplimiento de esta disposicin.

Art. 80.- Gratuidad de la educacin superior pblica hasta el tercer nivel.- Se

garantiza la gratuidad de la educacin superior pblica hasta el tercer nivel. La

gratuidad observar el criterio de responsabilidad acadmica de los y las

estudiantes, de acuerdo con los siguientes criterios:

a) La gratuidad ser para los y las estudiantes regulares que se matriculen en por

lo menos el sesenta por ciento de todas las materias o crditos que permite su

malla curricular en cada perodo, ciclo o nivel;

b) La gratuidad ser tambin para los y las estudiantes que se inscriban en el

nivel preuniversitario, prepolitcnico o su equivalente, bajo los parmetros del

Sistema de Nivelacin y Admisin.

98
c) La responsabilidad acadmica se cumplir por los y las estudiantes regulares

que aprueben las materias o crditos del perodo, ciclo o nivel, en el tiempo y

en las condiciones ordinarias establecidas. No se cubrirn las segundas ni

terceras matrculas, tampoco las consideradas especiales o extraordinarias.

d) El Estado, por concepto de gratuidad, financiar una sola carrera o programa

acadmico de tercer nivel por estudiante. Se exceptan los casos de las y los

estudiantes que cambien de carrera o programa, cuyas materias puedan ser

revalidadas.

e) La gratuidad cubrir exclusivamente los rubros relacionados con la primera

matrcula y la escolaridad; es decir, los vinculados al conjunto de materias o

crditos que un estudiante regular debe aprobar para acceder al ttulo terminal

de la respectiva carrera o programa acadmico; as como los derechos y otros

rubros requeridos para la elaboracin, calificacin, y aprobacin de tesis de

grado.

f) Se prohbe el cobro de rubros por utilizacin de laboratorios, bibliotecas,

acceso a servicios informticos e idiomas, utilizacin de bienes y otros,

correspondientes a la escolaridad de los y las estudiantes universitarios y

politcnicos.

99
g) Para garantizar un adecuado y permanente financiamiento del Sistema de

Educacin Superior y la gratuidad, la Secretara Nacional de Educacin

Superior, Ciencia, Tecnologa e Innovacin desarrollar un estudio de costos

por carrera/programa acadmico por estudiante, el cual ser actualizado

peridicamente.

h) Se pierde de manera definitiva la gratuidad, si un estudiante regular reprueba,

en trminos acumulativos, el treinta por ciento de las materias o crditos de su

malla curricular cursada.

i) La gratuidad cubrir todos los cursos acadmicos obligatorios para la

obtencin del grado.

Art. 118.- Niveles de formacin de la educacin superior.- Los niveles de

formacin que imparten las instituciones del Sistema de Educacin Superior son:

a) Nivel tcnico o tecnolgico superior, orientado al desarrollo de las

habilidades y destrezas que permitan al estudiante potenciar el saber hacer.

Corresponden a ste los ttulos profesionales de tcnico o tecnlogo

superior, que otorguen los institutos superiores tcnicos, tecnolgicos,

pedaggicos, de artes y los conservatorios superiores. Las instituciones de

educacin superior no podrn ofertar ttulos intermedios que sean de

carcter acumulativo.

100
b) Tercer nivel, de grado, orientado a la formacin bsica en una disciplina o

a la capacitacin para el ejercicio de una profesin. Corresponden a este

nivel los grados acadmicos de licenciado y los ttulos profesionales

universitarios o politcnicos, y sus equivalentes. Slo podrn expedir

ttulos de tercer nivel las universidades y escuelas politcnicas. Al menos

un 70% de los ttulos otorgados por las escuelas politcnicas debern

corresponder a ttulos profesionales en ciencias bsicas y aplicadas.

c) Cuarto nivel, de postgrado, est orientado al entrenamiento profesional

avanzado o a la especializacin cientfica y de investigacin.

Corresponden al cuarto nivel el ttulo profesional de especialista; y los

grados acadmicos de maestra, PhD o su equivalente. Para acceder a la

formacin de cuarto nivel, se requiere tener ttulo profesional de tercer

nivel otorgado por una universidad o escuela politcnica, conforme a lo

establecido en esta Ley.

Las universidades y escuelas politcnicas podrn otorgar ttulos de nivel tcnico o

tecnolgico superior cuando realicen alianzas con los institutos de educacin

superior o creen para el efecto el respectivo instituto de educacin superior,

inclusive en el caso establecido en la Disposicin Transitoria Vigsima Segunda

de la presente Ley.

101
Art. 385.- El sistema nacional de ciencia, tecnologa, Innovacin y saberes

ancestrales, en el marco del respeto al ambiente, la naturaleza, la vida, las culturas

y la soberana, tendr como finalidad:

a) Generar, adaptar y difundir conocimientos cientficos y tecnolgicos.

b) Recuperar, fortalecer y potenciar los saberes ancestrales.

c) Desarrollar tecnologas e innovaciones que impulsen la produccin nacional,

eleven la eficiencia y productividad, mejoren la calidad de vida y contribuyan

a la realizacin del buen vivir.

Art. 386.- El sistema comprender programas, polticas, recursos, acciones, e

incorporar a instituciones del Estado, universidades y escuelas politcnicas,

institutos de investigacin pblicos y privados, empresas pblicas y privadas,

organismos no gubernamentales y personas naturales o jurdicas, en tanto realizan

actividades de investigacin, desarrollo tecnolgico, innovacin y aquellas ligadas

a los saberes ancestrales.

El Estado, a travs del organismo competente, coordinar el sistema, establecer

los objetivos y polticas, de conformidad con el Plan Nacional de Desarrollo, con

la participacin de los actores que lo conforman.

Art. 387.- Ser responsabilidad del Estado:

a) Facilitar e impulsar la incorporacin a la sociedad del conocimiento para

alcanzar los objetivos del rgimen de desarrollo.

102
b) Promover la generacin y produccin de conocimiento, fomentar la

investigacin cientfica y tecnolgica, y potenciar los saberes ancestrales, para

as contribuir a la realizacin del buen vivir, al sumak kausay.

c) Asegurar la difusin y el acceso a los conocimientos cientficos y

tecnolgicos, el usufructo de sus descubrimientos y hallazgos en el marco de

lo establecido en la Constitucin y la Ley.

d) Garantizar la libertad de creacin e investigacin en el marco del respeto a la

tica, la naturaleza, el ambiente, y el rescate de los conocimientos ancestrales.

e) Reconocer la condicin de investigador de acuerdo con la Ley.

Art. 388.- El Estado destinar los recursos necesarios para la investigacin

cientfica, el desarrollo tecnolgico, la innovacin, la formacin cientfica, la

recuperacin y desarrollo de saberes ancestrales y la difusin del conocimiento.

Un porcentaje de estos recursos se destinar a financiar proyectos mediante

fondos concursables. Las organizaciones que reciban fondos pblicos estarn

sujetas a la rendicin de cuentas y al control estatal respectivo.

La fundamentacin legal para los estudios segn la nueva ley de educacin

superior se refleja en los artculos:

103
Art. 390.- Los riesgos se gestionarn bajo el principio de descentralizacin

subsidiaria, que implicar la responsabilidad directa de las instituciones

dentro de su mbito geogrfico. Cuando sus capacidades para la gestin del riesgo

sean insuficientes, las instancias de mayor mbito territorial y mayor capacidad

tcnica y financiera brindarn el apoyo necesario con respeto a su autoridad en el

territorio y sin relevarlos de su responsabilidad.

Preguntas Cientficas a Contestase

Le parece a usted seguro el sistema acadmico que maneja la UTEG?

Usted ha escuchado acerca del software OSSIM?

Le gustara que se implementen nuevas metodologas de trabajo en la


seguridad informtica de la UTEG?

104
Variables de la Investigacin

Variable Independiente

Herramienta de Seguridad

Las herramientas de seguridad informtica estn diseadas para la recopilacin de

informacin necesaria para asegurar o explotar un computador o una red

completa. Estas se utilizan para fines tanto legales como ilegales, y por lo tanto, la

mayora de las personas piensan que estas herramientas son solo utilizadas por

hackers (maliciosos), cuando en realidad estn diseadas para ayudar a los

administradores y profesionales de seguridad a asegurar las redes y los sistemas

de informacin.

Variables Dependientes

1. OSSIM

Open Source Security Information Management por sus siglas (OSSIM) es una

coleccin de herramientas bajo la licencia GPL, diseadas para ayudar a los

administradores de red en la seguridad de las computadoras, deteccin de intrusos

y prevencin.

2. UTEG

La Universidad Tecnolgica Empresarial de Guayaquil, conocida por el acrnimo

UTEG, es una universidad del tipo Particular Autofinanciada creada el 31 de

105
enero del 2000, fundada a partir del Instituto Tecnolgico de Comercio

(INTESCO), en la ciudad de Guayaquil, Ecuador.

Definiciones Conceptuales

Alerta.- Una alerta es el lapso de tiempo que transcurre despus de un ataque,

notificando as con el fin de precautelar el posible hecho de una intrusin.

Amenaza.- Una amenaza es una circunstancia que puede ocasionar un dao.

Anomala.- Una anomala es una irregularidad, o anormalidad que es diferente a

lo normal.

Antispyware.- Es un software que evitan la propagacin de virus y adems

algunos limpian las computadoras de dichos virus.

Antivirus.- Son tipos de software que protegen el computador de diferentes tipos

de virus informticos en el sistema.

Arp.- Es un Protocolo de red que se utiliza a nivel de capa de 2 para la obtencin

de direcciones MAC, para poder comunicarse las computadoras.

Atacante.- Un atacante es una persona con fines maliciosos que est penetrando

un sistema informtico.

106
Auditora.- La auditora informtica es la parte de la informtica que estudia y

analiza las vulnerabilidades informticas de una empresa.

Autenticacin.- La autentificacin en un proceso donde se corrobora la identidad

de un usuario en un sistema.

Back door.- Los back door o puerta trasera es una tcnica de penetracin en donde

una vulnerabilidad se vuelve indetectable frente a los sistemas de seguridad del

computador.

Background.- El background es el trmino que se le da a todo proceso, servicio,

rutina que se ejecuta en segundo plano, que no est en primera vista del usuario.

Bug.- Un error de software, normalmente conocido como bug (bicho en espaol),

es un error o fallo de los sistemas de software que predispone un resultado

indeseado. Los softwares que ayudan al anlisis y deteccin y errores de

programacin de software son denominados depuradores (debuggers).

Capa de aplicacin.- La capa de aplicacin o capa 7 del modelo OSI es la que se

encarga de manejar las aplicaciones del computador orientados al manejo de las

redes.

Capa de enlace de datos.- Es la capa 2 del modelo OSI en donde se manejan a

nivel de direcciones MAC para la comunicacin entre computadores.

107
Capa de red.- Es la Capa 3 del modelo OSI donde se maneja las direcciones IP y

se enruta los paquetes de una red.

Capa de transporte.- Es la capa 4 del modelo OSI donde se encarga de definir el

transporte de las capas superiores hacia la red de destino.

Capa Fsica.- la capa fsica o capa 1 del modelo OSI se los denomina a los que

son cables, pulsos elctricos y todo lo relacionado con lo fsico que representa una

red.

Clster.- El clster es conjunto de computadoras, las cuales tienen el fin de

otorgar un mejor rendimiento trabajando en conjunto y mejorando la redundancia.

Correlacin.- La correlacin es la accin relacionar o establecer la dependencia

entre dos servicios o componentes.

Cracker.- El cracker es la una persona con bastante conocimientos en informtica

(hacker) que maneja herramientas de penetracin informtica con fines

maliciosos.

Criptografa.- la criptografa es la ciencia que estudia el proceso de encriptar un

lenguaje de texto a un cifrado.

108
Denegacin de Servicio.- Es la suspensin de un servicio o funcionamiento de un

servidor o una web, mermando su funcionamiento habitual.

DMZ.- Es la zona desmilitarizada o red perimetral que se ubica entre la red

interna de una organizacin y una red externa (Internet).

DNS (Domain Name System).- Es un conjunto de servidores de una empresa en

el cual comparten recursos de forma jerrquica y forman parte de una red privada.

DoS (Denial of Service).- Es un ataque que consiste en la denegacin de

servicios la cual impide que los usuarios accedan a los servicio de un servidor.

Exploits.- Es un tipo de software que utiliza un atacante para aprovechar bug

(errores) en los sistemas, con el fin de penetrar sus privilegios.

Firewall.- El firewall puede ser software o hardware que evitan el ingreso no

autorizado a los sistemas.

Framework.- Es una herramienta de software que utilizan los sistemas para la

ejecuciones de aplicaciones de forma estandarizada.

FTP.- (File Transfer Protocol) Es el protocolo de transferencia de archivos.

109
Fuerza Bruta.- Es un tipo de ataque que consiste en utilizar diccionarios para

descifrar las contraseas de un sistema.

Gateway.- Es la puerta de enlace predeterminada por donde sale una red hacia el

exterior.

GPL (General Public License).- Es la licencia que est orientada

principalmente a proteger la libre distribucin, modificacin y uso de software.

Gusanos.- Es una tipo de virus que tiene la caracterstica de copiarse as mismo.

Hacker.- Un hacker es una persona que tiene elevados conocimientos de

informtica que se dedica a descubrir vulnerabilidades en los sistemas

informticos.

Host.- Se denomina host a todo componente que tenga una direccin ip como por

ejemplo: computador, telfono, cmara IP, impresora, etc.

HTTP.- (HiperText transfer protocol) Es el protocolo perteneciente a la capa de

aplicacin del modelo OSI la cual se usa en la navegacin de la web.

HTTPS.- (HiperText transfer protocol Secure) Es el protocolo basado en http

seguro para la navegacin segura por la web.

110
IDS.- Un IDS es un sistema de deteccin de intrusos que evita el acceso no

autorizados a un sistema o red.

Ingeniera Social.- La ingeniera social es una tcnica de hacking que el atacante

utiliza para conocer cierta informacin para penetrar a su cuentas personales.

Interfaz.- La interfaz en el punto de comunicacin de un sistema para lograr

interaccin entre el usuario y la computadora.

Internet.- Es la red de redes conocida como la Word Wide Web donde se

interconectan todas las computadoras del mundo.

Intrusin.- Es la accin de penetrar unos sistemas sin ser la persona autorizada.

IPS.- Es un sistema de que se utiliza para la prevenir que ingresen a la red.

ISP.- Es el conocido proveedor de servicios de internet.

LAN.- Por sus siglas Red de rea Local, es una red local de computadoras.

OSSIM.- Open Source Security Information Management por sus siglas (OSSIM)

es una coleccin de herramientas bajo la licencia GPL, diseadas para ayudar a

los administradores de red en dar seguridad de las computadoras, detectar intrusos

y prevencin.

111
Plataforma.- Se le denomina plataforma al sistema operativo donde se ejecutan

las aplicaciones o software determinado para funcionar con determinados

hardware.

Plug-in.- Son aplicaciones de software que sirven de intermediarios entre ciertas

plataformas para la ejecucin de elementos estandarizados.

Polticas de seguridad.- Las polticas de seguridad son estndares o reglas que

definen la forma de gestionar la seguridad de la informacin. En estas de

definen la informacin de cada compaa establece de su punto de vista.

Protocolo.- Es un conjunto de reglas que establecen la comunicacin entre dos

computadoras.

Recursividad.- La recursividad se trata de una forma de retroalimentacin la cual

se utiliza en la codificacin de aplicaciones informticas.

Router.- El router es un dispositivo que funcioan a nivel de capa 3 del modelo osi

y su funcin es enrutar y conectar direcciones ip de un red.

Seguridad Informtica.- Segn Purificacin Aguilera Lpez (p.9). La seguridad

informtica es la disciplina que se ocupa de disear las normas, procedimientos,

112
mtodos y tcnicas destinados a conseguir un sistema de informacin seguro y

confiable.

Sensor en Alienvault.- Son parte de una serie de herramientas (Snort, Ntop,

Tcptrack).

Servicios.- Los servicios son un conjunto de aplicaciones que se ejecutan en un

sistema operativo de forma predeterminada al encender el sistema y que sirven

para garantizar el funcionamiento de ciertas necesidades del usuario.

Servidor.- Un servidor es una computadora en una red que da servicios a otras

computadoras (clientes), se la utiliza para centralizar los datos o recursos de los

usuarios.

SMTP.- Es el protocolo simple de correo electrnico que se encuentra ubicada

en la capa de aplicacin.

Sniffer.- Es un software de captura de las tramas de una red de

computadoras. Lo utilizan los atacantes para recopilar informacin de una red.

Spam.- Los Spam son mensajes de correo electrnico que nos llegan a la

bandeja de entras sin ser solicitados o de remitentes conocidos. Son mensajes

tipo publicitario por lo general.

113
Spoofing.- Es un tipo de ataque de suplantacin de identidad, la cual se trata de un

software que suplanta tu identidad de otro para el fraude de datos.

Spyware.- Es un tipo de virus que recopila informacin de una computadora

infectada y despus la enva a otra computadora donde se encuentra el atacante.

SQL (Structured Query Language).- Es un lenguaje de base de datos, que

permiten ejecutar rutinas y programas para gestionar la base de datos.

Subred.- Es un segmento de una red ms grande, donde se conectan por lo

general las computadoras de tu red privada.

Telnet.- El telnet es un protocolo que permite la conexin desde host hacia otro

de forma de forma remota.

Test de Penetracin.- Es una tcnica auditoria de red para detectar posibles bug

o fallas de los sistemas informticas.

Virus.- El virus es un software que se comporta de forma maliciosa.

Xploit.- Es un software de que se utiliza para la penetracin de un sistema donde

la victima recibe una web falsa o enlace laso donde se captura la informacin,

para hackear su cuenta

114
CAPTULO III

METODOLOGA

Diseo de la Investigacin

Modalidad de la investigacin

En la metodologa de la tesis se emplean varias modalidades que se pueden

emplear a la hora de elaborar dicho trabajo, las modalidad que se emple en este

trabajo fue la de un proyecto de tipo Bibliogrfico.

La investigacin documental bibliogrfica consiste en una descripcin


cuidadosa y ordenada del conocimiento publicado, seguido de una
interpretacin. En este tipo de investigacin, se estudian los problemas con el
propsito de ampliar y profundar el conocimiento de su naturaleza, con
apoyo, principalmente de trabajos previos, informacin y datos divulgados
por medios impresos, audiovisuales o electrnicos. La originalidad del
estudio se refleja en el enfoque, criterios, conceptualizaciones, reflexiones,
conclusiones, recomendaciones y, en general, con el pensamiento del autor.
(Manual de Trabajos de Grado de Especializacin y Tesis Doctorales. 1998).

La modalidad bibliogrfica para la investigacin son aquellos que permitirn al

investigador utilizar la informacin disponible en algunos documentos para llevar

a cabo su propia investigacin. Segn Umberto Eco una tesis estudia un objeto

valindose de determinados instrumentos: los instrumentos son los libros pero

en la actualidad no solamente libros se emplean a la hora de investigar y

documentar, tambin se utiliza mucho el internet y en cual abre un sin nmero de

opciones a la hora de consultar informacin y el objeto es obtener informacin

115
que puede tambin estar en un libro en internet. En todo caso, la utilizacin de

instrumentos bibliogrficos en el desarrollo de cualquier investigacin es

absolutamente imprescindible. Los mtodos de investigacin bibliogrfica sern

los hilos que permitan localizar y seleccionar la informacin precisa de entre toda

la masa documental que existe.

Tipos de Investigacin

Para el perfeccionamiento del trabajo de investigacin se ha seleccionado un tipo

de investigacin que persigue el esquema o metodologa de la modalidad de la

investigacin que se ha seleccionado, para este caso el tipo de investigacin que

ms se acopla a esta investigacin es del tipo documental bibliogrfica puesto que

el 70 % es de investigacin y el 30% de campo.

GRFICO No 15
TIPOS DE INVESTIGACIN CIENTFICA.

Elaboracin: Diana Espinoza Villn


Fuente: http://ecoblogcb.wordpress.com/

116
Poblacin y Muestra

Poblacin

La poblacin del estudio est en la Universidad Tecnolgica Empresarial de

Guayaquil, al cual se muestra a continuacin:

CUADRO No. 8
POBLACIN EN LA UNIVERSIDAD TCNICA EMPRESARIAL DE GUAYAQUIL.

Poblacin Tamao de la Poblacin

Personal Administrativo 34

Operadores de Sistemas 4

Docentes-Administrativos 44

Docentes 94

Total 176
Elaboracin: Diana Espinoza Villn
Fuente: Universidad Tecnolgica Empresarial de Guayaquil

117
Muestra

La muestra se la obtuvo en base a una formula realizada y diseada por la

Universidad Catlica de Chile, para lograr tener el nmero exacto de encuestado

para analizar el problema, esta frmula detallada a continuacin:

CUADRO No. 9
FRMULA DEL CLCULO DE LA MUESTRA.

N: Tamao de muestra
PQ:Varianza = 0.25
N: Poblacin
E: Margen de error
K: Constante de correccin del error = 2

Elaboracin: Diana Espinoza Villn


Fuente: Universidad Catlica de Chile CIENES

P = Probabilidad de xito (0.50)


Q = Probabilidad de fracaso (0.50)
N= Tamao de la poblacin (176)
E= error de estimacin (6%)
K= # de desviac. Tpicas Z (1: 68%, 2: 95,5%, 3: 99.7%)
n = Tamao de la muestra (108)

Utilizando la formula anterior el tamao de la muestra sera:

118
Clculo de la fraccin para la
muestra:

CUADRO No 10
APLICACIN Y ESTUDIO DEL TAMAO DE LA MUESTRA.
Estratos Poblacin Tamao de la muestra (n)

Personal Administrativo 34 21

Operadores de Sistemas 4 2

Docentes-Administrativos 44 27

Docentes 94 58

Total 176 108

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

119
Operacionalizacin de las Variables

La operacionalizacin de las variables se las procesa un cuadro donde se desglosa

en dimensiones, tcnicas y tcnicas o instrumentos, los cuales a continuacin se

muestra:

CUADRO No 11
MATRIZ DE OPERACIONALIZACIN DE VARIABLES.

Tcnicas y/o
Variables Dimensiones Indicadores
Instrumentos

Confidencialidad
VARIABLE Integridad
INDEPENDIENTE Disponibilidad
Autenticacin Bibliografa
Control de especializada,
Acceso consulta a
Herramientas de Responsabilidad expertos.
Seguridad Lgica o
Seguridad Aseguramiento
Network Security
No rechazo

Bsqueda de Seguridad de la
VARIABLES
Vulnerabilidades Informacin
DEPENDIENTES
Escaneo de la Seguridad en las Consulta a
Seguridad Tecnologas de expertos
Test de Intrusin Internet internos y
Evaluacin de Seguridad en las externos.
Riesgo Comunicaciones
UTEG

Seguridad de la
Informacin
Seguridad de los
Procesos
Seguridad en las
Open Source Security Telecomunicaciones tecnologas de Bibliografa
Information Manager Redes de datos. Internet especializada,
OSSIM Seguridad en las consulta a
Comunicaciones expertos.
Seguridad
Inalmbrica
Seguridad Fsica

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

120
Instrumentos de Recoleccin de Datos

El presente estudio se fundamenta en una investigacin de Campo, dado que esta

se la realiza en el lugar donde ocurren los hechos como lo es la Universidad

Tecnolgica Empresarial de Guayaquil. Los instrumentos utilizados para esta

investigacin para la recoleccin de los datos para su posterior procesamiento fue

la encuesta, la cual fue entregada a cada persona que conforma la muestra del

estudio, para posteriormente obtener una posible respuesta a los problemas del

fenmeno estudiado.

En el momento de la entrevista a cada encuestado se le entreg un cuestionario

con diez preguntas que deber responder de forma objetiva, los cuestionarios de

cada encuestado se guardan para su posterior procesamiento. Los encuestados

respondieron la encuesta de forma positiva.

Los cuestionarios respondidos se procesaran para obtener una opinin real de

como los involucrados en el estudio en este caso los estudiantes de la UTEG

avalan la implementacin de estas tcnicas de aseguramiento de la informacin.

Instrumentos de la Investigacin

Como se mencion con anterioridad los instrumentos de recoleccin de datos que

se utilizaron fueron la encuesta en esta, se menciona la los instrumentos de la

investigacin, con esta se recolect la informacin que se necesit para dar

viabilidad al proyecto. Otro instrumento de la investigacin fue la entrevista y la

consulta a expertos del tema que resultaron de mucha utilidad para poder aclarar

121
las dudas planteadas en desarrollo del proyecto, todas estas y otras son los

instrumentos que se utilizaron durante la investigacin del que se realiz en la

Universidad Tecnolgica Empresarial de Guayaquil, al estudiar la seguridad de

las redes informticas con el software OSSIM.

La Encuesta y el Cuestionario

La encuesta que se implement en la investigacin estuvo conformada por un

cuestionario de diez preguntas objetivas del tipo Escala LIKERT, la cual se midi

el grado de aceptacin de la implementacin del estudio de la seguridades en las

redes y su monitorizacin con un software OSSIM, a continuacin se muestra

ciertos aspectos que se tomaron en cuentas al momento de elaboracin de la

encuesta:

El cuestionario que conforma la encuesta es de escala LIKERT con preguntas

cerradas.

El cuestionario fue dirigido al estudiantado de la Universidad Tecnolgica

Empresarial de Guayaquil.

En la encuesta se resalt lo que opinan de las seguridades informticas y de las

vulnerabilidades que existen en las redes informticas no seguras.

Luego de aclarar los puntos importantes de la encuesta se procede a mostrar las

preguntas propiamente entregadas a los entrevistados, se muestra a continuacin

el diseo y las preguntas:

122
ENCUESTA

Muy en En Muy de
Indeciso De acuerdo
desacuerdo desacuerdo acuerdo

Qu le parece que se implementen


sistemas de monitoreo de la red
1
informtica en la UTEG para prevenir O O O O O
ataques informticos?

Est de acuerdo usted que se deba


2 monitorear la red informtica de la UTEG O O O O O
para prevenir ataques?

Opina usted que la red WIFI de la UTEG


3 est monitoreada por seguridad de los O O O O O
usuarios al acceder a ella?

En su opinin, Le parece importante


implementar procesos de seguridad anti
4
intrusos en los sistemas informticos de la O O O O O
UTEG?

Qu le parece a usted la implementacin


5 de herramientas de software para obtener O O O O O
una red segura en la UTEG?

Qu le parece que al utilizar la red


informtica de la UTEG para navegar en
6
internet estn libres de posibles ataques O O O O O
informticos?

Le gustara que se utilice el software Open


Source (libre distribucin) para el
7
monitoreo de la red informtica en la O O O O O
UTEG?

Est de acuerdo en la utilizacin


8 metodologas para mejorar la seguridad de O O O O O
las redes informticas en la UTEG?

Las herramientas utilizadas en el


monitoreo de la red de la UTEG son
9
software libre, deberan implementarse O O O O O
herramientas pagadas?

Para concluir Cree que son de suma


10 importancia las preguntas planteadas en O O O O O
esta encuesta?

123
Procesamiento y Anlisis

Una vez examinado la estructura de la encuesta y sus preguntas se proceder a

procesar la informacin de la misma para todos los encuetados que fueron parte de

la muestra, estos resultados se procedern a mostrarse en grficas y tablas de los

resultados por cada pregunta.

El anlisis e interpretacin de los resultados tambin se proceder a exponer por

cada pregunta ya procesada y tabulada, con todo esto se procede a mostrar a

continuacin dichos resultados:

124
Pregunta 1

Qu le parece que se implementen sistemas de monitoreo de la red informtica


en la UTEG para prevenir ataques informticos?
CUADRO No. 12
RESULTADOS DE LA PREGUNTA 1.
FRECUENCIA FRECUENCIA
FRECUENCIA FRECUENCIA
ABSOLUTA RELATIVA
ABSOLUTA RELATIVA
ACUMULADA ACUMULADA
MUY DEACUERDO 45 42% 45 42%
DEACUERDO 58 54% 103 95%
INDECISO 5 5% 108 100%
EN DESACUERDO 0 0% 108 100%
MUY DESACUERDO 0 0% 108 100%
TOTAL 108

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 16
RESULTADOS PREGUNTA 1.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

Anlisis

De acuerdo al resultado obtenido en la encuesta realizada en la UTEG, la mayora


de las personas encuestadas estn muy de acuerdo con la pregunta siendo de un
42% y de acuerdo con un 52% mientras que en desacuerdo un 0% que no
respondi que no le gustara que se implementen estas seguridades en las redes
informticas.

125
Pregunta 2

Est de acuerdo usted que se deba monitorear la red informtica de la UTEG


para prevenir ataques?

CUADRO No. 13
RESULTADOS DE LA PREGUNTA 2.
FRECUENCIA FRECUENCIA
FRECUENCIA FRECUENCIA
ABSOLUTA RELATIVA
ABSOLUTA RELATIVA
ACUMULADA ACUMULADA
MUY DE ACUERDO 59 55% 59 55%
DEACUERDO 44 41% 103 95%
INDECISO 3 3% 106 98%
DESACUERDO 1 1% 107 99%
MUY DESACUERDO 1 1% 108 100%
TOTAL 108

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 17
RESULTADOS PREGUNTA 2.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn
Anlisis

De acuerdo al resultado obtenido en la encuesta realizada en la UTEG, la mayora


de las personas encuestadas estn muy de acuerdo con la pregunta siendo de un
55% y de acuerdo con un 41% mientras que en desacuerdo un 1% respondi que
no le gustara que se monitoree las redes informticas.

126
Pregunta 3

Opina usted que la red WIFI de la UTEG est monitoreada por seguridad de los
usuarios al acceder a ella?

CUADRO No. 14
RESULTADOS DE LA PREGUNTA 3.
FRECUENCIA FRECUENCIA
FRECUENCIA FRECUENCIA
ABSOLUTA RELATIVA
ABSOLUTA RELATIVA
ACUMULADA ACUMULADA
MUY DE ACUERDO 47 44% 47 44%
DEACUERDO 46 43% 93 86%
INDECISO 9 8% 102 94%
DESACUERDO 4 4% 106 98%
MUY DESACUERDO 2 2% 108 100%
TOTAL 108

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 18
RESULTADOS PREGUNTA 3.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn
Anlisis

De acuerdo al resultado obtenido en la encuesta realizada en la UTEG, la mayora


de las personas encuestadas estn muy de acuerdo con la pregunta siendo de un
44% y de acuerdo con un 43% mientras que en desacuerdo un 4% que no
respondi que no le gustara que se monitoree las redes WIFI de la UTEG.

127
Pregunta 4

En su opinin, Le parece importante implementar procesos de seguridad anti


intrusos en los sistemas informticos de la UTEG?

CUADRO No. 15
RESULTADOS DE LA PREGUNTA 4.
FRECUENCIA FRECUENCIA
FRECUENCIA FRECUENCIA
ABSOLUTA RELATIVA
ABSOLUTA RELATIVA
ACUMULADA ACUMULADA
MUY DE ACUERDO 55 51% 55 51%
DEACUERDO 48 44% 103 95%
INDECISO 4 4% 107 99%
DESACUERDO 1 1% 108 100%
MUY DESACUERDO 0 0% 108 100%
TOTAL 108

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 19
RESULTADOS PREGUNTA 4.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

Anlisis

De acuerdo al resultado obtenido en la encuesta realizada en la UTEG, la mayora


de las personas encuestadas estn muy de acuerdo con la pregunta siendo de un
51% y de acuerdo con un 44% mientras que en desacuerdo un 1% respondi que
no le gustara que se implementar procesos de seguridad anti intrusos en los
sistemas informticos de la UTEG.

128
Pregunta 5

Qu le parece a usted la implementacin de herramientas de software para


obtener una red segura en la UTEG?

CUADRO No. 16
RESULTADOS DE LA PREGUNTA 5.
FRECUENCIA FRECUENCIA
FRECUENCIA FRECUENCIA
ABSOLUTA RELATIVA
ABSOLUTA RELATIVA
ACUMULADA ACUMULADA
MUY DE ACUERDO 51 47% 51 47%
DEACUERDO 49 45% 100 93%
INDECISO 5 5% 105 97%
DESACUERDO 2 2% 107 99%
MUY DESACUERDO 1 1% 108 100%
TOTAL 108
Elaboracin: Diana Espinoza Villn
Fuente: Diana Espinoza Villn

GRFICO No. 20
RESULTADOS PREGUNTA 5.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

Anlisis

De acuerdo al resultado obtenido en la encuesta realizada en la UTEG, la mayora


de las personas encuestadas estn muy de acuerdo con la pregunta siendo de un
47% y de acuerdo con un 45% mientras que en desacuerdo un 2% respondi que
no le gustara que se implemente herramientas de software para obtener una red
segura.

129
Pregunta 6

Qu le parece que al utilizar la red informtica de la UTEG para navegar en


internet estn libres de posibles ataques informticos?
CUADRO No. 17
RESULTADOS DE LA PREGUNTA 6.
FRECUENCIA FRECUENCIA
FRECUENCIA FRECUENCIA
ABSOLUTA RELATIVA
ABSOLUTA RELATIVA
ACUMULADA ACUMULADA
MUY DE ACUERDO 57 53% 57 53%
DEACUERDO 41 38% 98 91%
INDECISO 7 6% 105 97%
DESACUERDO 2 2% 107 99%
MUY DESACUERDO 1 1% 108 100%
TOTAL 108

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 21
RESULTADOS PREGUNTA 6.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

Anlisis

De acuerdo al resultado obtenido en la encuesta realizada en la UTEG, la mayora


de las personas encuestadas estn muy de acuerdo con la pregunta siendo de un
53% y de acuerdo con un 38% mientras que en desacuerdo un 2% respondi que
no le gustara navegar en internet con la red libres de posibles ataques.

130
Pregunta 7

Le gustara que se utilice el software Open Source (libre distribucin) para el


monitoreo de la red informtica en la UTEG?
CUADRO No. 18
RESULTADOS DE LA PREGUNTA 7.
FRECUENCIA FRECUENCIA
FRECUENCIA FRECUENCIA
ABSOLUTA RELATIVA
ABSOLUTA RELATIVA
ACUMULADA ACUMULADA
MUY DE ACUERDO 32 30% 32 30%
DEACUERDO 53 49% 85 79%
INDECISO 14 13% 99 92%
DESACUERDO 6 6% 105 97%
MUY DESACUERDO 3 3% 108 100%
TOTAL 108

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 22
RESULTADOS PREGUNTA 7.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

Anlisis
De acuerdo al resultado obtenido en la encuesta realizada en la UTEG, la mayora
de las personas encuestadas estn muy de acuerdo con la pregunta siendo de un
30% y de acuerdo con un 49% mientras que en desacuerdo un 6% que no
respondi que no le gustara que se implemente un software Open Source

131
Pregunta 8

Est de acuerdo en la utilizacin metodologas para mejorar la seguridad de las


redes informticas en la UTEG?
CUADRO No. 19
RESULTADOS DE LA PREGUNTA 8.
FRECUENCIA FRECUENCIA
FRECUENCIA FRECUENCIA
ABSOLUTA RELATIVA
ABSOLUTA RELATIVA
ACUMULADA ACUMULADA
MUY DE ACUERDO 56 52% 56 52%
DEACUERDO 42 39% 98 91%
INDECISO 6 6% 104 96%
DESACUERDO 3 3% 107 99%
MUY DESACUERDO 1 1% 108 100%
TOTAL 108

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 23
RESULTADOS PREGUNTA 8.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

Anlisis
De acuerdo al resultado obtenido en la encuesta realizada en la UTEG, la mayora
de las personas encuestadas estn muy de acuerdo con la pregunta siendo de un
52% y de acuerdo con un 39% mientras que en desacuerdo un 3% respondi que
no le gustara que se utilicen metodologas para mejorar la seguridad en las redes
informticas.

132
Pregunta 9

Las herramientas utilizadas en el monitoreo de la red de la UTEG son software


libre, deberan implementarse herramientas pagadas?
CUADRO No. 20
RESULTADOS DE LA PREGUNTA 9.
FRECUENCIA FRECUENCIA
FRECUENCIA FRECUENCIA
ABSOLUTA RELATIVA
ABSOLUTA RELATIVA
ACUMULADA ACUMULADA
MUY DE ACUERDO 15 14% 15 14%
DEACUERDO 19 18% 34 31%
INDECISO 27 25% 61 56%
DESACUERDO 23 21% 84 78%
MUY DESACUERDO 24 22% 108 100%
TOTAL 108

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 24
RESULTADOS PREGUNTA 9.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

Anlisis
De acuerdo al resultado obtenido en la encuesta realizada en la UTEG, la mayora
de las personas encuestadas estn ms indecisas con la pregunta siendo de un 14%
y de acuerdo con un 18% mientras que en indecisas un 25% respondi que no le
gustara que se implementen herramientas pagadas en las redes informticas.

133
Pregunta 10

Para concluir Cree que son de suma importancia las preguntas planteadas en esta
encuesta?
CUADRO No. 21
RESULTADOS DE LA PREGUNTA 10.
FRECUENCIA FRECUENCIA
FRECUENCIA FRECUENCIA
ABSOLUTA RELATIVA
ABSOLUTA RELATIVA
ACUMULADA ACUMULADA
MUY DE ACUERDO 34 31% 34 31%
DEACUERDO 41 38% 75 69%
INDECISO 25 23% 100 93%
DESACUERDO 6 6% 106 98%
MUY DESACUERDO 2 2% 108 100%
TOTAL 108

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 25
RESULTADOS PREGUNTA 10.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

Anlisis
De acuerdo al resultado obtenido en la encuesta realizada en la UTEG, la mayora
de las personas encuestadas estn muy de acuerdo con la pregunta siendo de un
31% y de acuerdo con un 38% mientras que en desacuerdo un 6% respondi que
son de suma importancia estas preguntas.

134
Criterio para la Elaboracin de la Propuesta

Este proyecto de implementar herramientas que mejores la seguridad en las redes

informticas en la UTEG est respaldado en las vulnerabilidades que existen en la

actualidad en la red informtica de la institucin, cuya informacin es de suma

importancia para los estudiantes que se estn dependiendo tanto de sus

informacin de las calificaciones, internet y datos personales dependen de la

seguridad informtica que posee la UTEG.

Ahora bien el principal objetivo de este proyecto es de proveer de seguridades en

el monitoreo de la red informtica, empelando software open source como lo es

OSSIM que es un SIEM que trae un paquete de las mejores herramientas en

seguridad informtica que existe en la actualidad, estas aparte de ser de libre

distribucin tambin OSSIM trae una versin de pago que trae un mdulo ms

desarrollado para mejorar ms las prestaciones que traen en si las herramientas.

Con todas estas ventajas que en si se trae la de un software open source OSSIM

ha sido escogido como el ideal para una institucin importante como la UTEG,

ajustndose al criterio de validacin para la propuesta de este proyecto en la

implementacin de la monitorizacin de las redes informticas de la institucin

que presentan vulnerabilidades en la seguridad de la informacin.

135
Criterio de Validacin de la Propuesta

Ya implementadas los primeros sensores y el servidor de OSSIM se empez a

monitorear las redes informticas de UTEG en busca de anormalidades en el

funcionamiento, para lo cual los logs de la monitorizacin se emplean para dar

una visin en conjunto del estado de la red.

Terminando con la validacin de la propuesta, se pone a exposicin el creciente

uso de herramientas para la seguridad de la informacin en esta poca de auge de

los delitos informticos, que se tiene en estos ltimos tiempos.

136
CAPTULO IV

MARCO ADMINISTRATIVO

Cronograma

GRFICO No. 23
CRONOGRAMA DEL PROYECTO.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn
137
Presupuesto

A continuacin se muestra el presupuesto que se utiliz durante la

implementacin del proyecto de Estudio de la herramienta OSSIM, se muestra los

egresos y los ingresos y egresos.

CUADRO No. 22
INGRESOS DEL PROYECTO.

Ingresos Valor
Capital Propio $1340.00
Total $1340.00

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

CUADRO No. 21
EGRESOS DEL PROYECTO.
Egresos Valor
Laptop $800.00

Curso de OSSIM $300.00

Transporte $90.00

Fotocopias $50.00

Empastado, anillado de tesis de grado $100.00

Total $1340.00

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

138
CAPITULO V

CONCLUSIONES Y RECOMENDACIONES

Conclusiones

La herramienta OSSIM no pretende ser un producto si no una solucin que

satisfaga las necesidades de cada organizacin y ayude a la administracin de

las redes de manera ms sencilla y eficiente, a travs de la conexin e integracin

de varios mdulos. Adems OSSIM es un SIEM de monitorizacin abierta pues

integra diversos productos del mundo libre, con lo anteriormente citado se

muestra las conclusiones del estudio realizado en la red de datos de la UTEG:

En el anlisis se reconocieron 10 diferentes riesgos de las cuales podran

afectar a 20 procesos crticos en la red de datos de la UTEG. Para cada riesgo

se seleccionaron los controles adecuados.

El riesgo ms alto que se encontr en el departamento de sistema de la UTEG

fue la alta temperatura a la que estn sometidos los equipos y que todos estn

en un solo cuarto debido a la falta de un sistema de control de Temperatura.

Tambin se observ que OSSIM provee un motor de correlacin de directivas

lgicas muy bueno que ayudan a determinar el riesgo de un ataque en la red

detallando en todos los niveles siendo estos visualizados en una sola interfaz.

139
Se dise un nuevo esquema de seguridad informtica en la red de datos de la

UTEG, en la cual se propone implementar servidores dedicados a detectar e

informar sobre posibles ataques y vulnerabilidades, empleando polticas de

seguridad que ayuden a notificar los incidentes de seguridad y tomar acciones

inmediatas.

Despus del estudio en la seguridad de los sistemas informticos de la UTEG

pasaron de un mbito reactivo, y sin ninguna planificacin en caso de

incidentes, a un mbito con un plan proactivo que resuelva posibles amenazas

antes de que ocurran.

La interfaz unificada de OSSIM reduce los tiempos de visualizacin

notificacin, cuando se produce un incidente en la red siendo estos de

hardware o servicios de red.

Con el estudio se dej un precedente de cmo reaccionar ante cualquier falla

de los componentes de red mediante las notificaciones que pueden ser

configuradas para que se enven por correo electrnico al administrador de

red.

140
Recomendaciones

Para tener una mejor seguridad de la informacin en el campus de la UTEG

deber aplicar las siguientes recomendaciones que se muestran a continuacin:

Se recomienda implementar el esquema de seguridad propuesto por el estudio

para mejorar la organizacin y seguridad en la red de datos de la UTEG.

Es importante realizar pruebas de penetracin en la red de datos de la UTEG

para tener un mejor reconocimiento de los bug que existen en la seguridad de

la red de datos, y que pueden ser utilizados para ataques.

Se recomienda instalar la herramienta open source security information

managent (OSSIM).

Es recomendable utilizar el manual de instalacin de OSSIM desarrollado en

ste trabajo de tesis.

Se recomienda implementar un sistema de control de la temperatura en los

servidores locales de la UTEG ya que la probabilidad de que ocurra un fallo

en algn equipo es alta.

Se recomienda segmentar la red de datos por facultad para mejorar el trfico

de red en caso de que se cambie de sitio el servidor de Post Grado o a su vez

el servidor de correo.

141
Un punto importante a recomendar es que se destinen ms recursos por parte

de las autoridades de la UTEG para logra optimizar y asegurar los activos

crticos como lo es la informacin en caso de incidentes que afecten el normal

funcionamiento de la institucin.

Es tambin muy recomendable desarrollar documentacin sobre

configuraciones que se realicen en la red de datos de la UTEG para evitar

fallas o mala configuracin por no saber de dichos cambios realizados

anteriormente.

Utilizar la informacin de los tickets sobre las incidencias para la toma de

decisiones.

142
BIBLIOBRAFA

Libros

Kimberly Kiefer et al. (2004). Information Security: A Legal, Business, and


Technical Handbook, LII. Chicago: EE. UU

General System Description. (2003). OSSIM Open Source Security Information


Management. Espaa: Madrid.

Wireless Networking. (2008). Wireless Sensor Networks. EE. UU

Mc.Graw-Hill. (2001). Wireless Crash Course. New York. Chicago.

Netgrafa

Pgina Oficial de OSSIM desde


http://www.ossim.net

Pgina del Proyecto desde


http://sourceforge.net/projects/os-sim/

Email de Contacto Disponible en


contact@ossim.net

Email de Soporte Disponible en


support@ossim.net

Releases Disponible en
http://freshmeat.net/projects/os-sim/

143
CVS Disponible en
http://cvs.sourceforge.net/cgi-bin/viewcvs.cgi/os-sim

Manual de ususario deSnort versin 2.8.5 - The Snort Project, 2010. desde:
http://www.snort.org/assets/125/snort_manual-2_8_5_1.pdf

NAGIOS. (2008). Service and Network Monitor Program Desde:


http://www.nagios.org/docs/GIOS

NTOP. (2008) Netowork Monitor Program. Desde:


http://www.ntop.org/documentation.html

Nagios Core Version 3.x (2010). Documentation. Desde:


http://nagios.sourceforge.net/docs/nagios-3.pdf

Enterasys Intrusion Defense. Desde:


http://www.enterasys.com/products/ids/

Cisco Intrusion Detection System. Desde:


http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz

NFR Network Intrusion Detection. Desde:


http://www.nfr.com/

Nmap. Desde:
http://www.insecure.org/nmap/

Nessus. Desde:
http://www.nessus.org/

Event Correlation. desde:

144
http://www.computerworld.com/networkingtopics/

TENABLE Network Security (2008). Nessus Vulnerability Scanner.


http://www.nessus.org/documentation/

145
ANEXOS

146
Formato de la Encuesta

Marque con una x la respuesta correcta:


Muy en En Muy de
Indeciso De acuerdo
desacuerdo desacuerdo acuerdo

Qu le parece que se implementen


sistemas de monitoreo de la red
1
informtica en la UTEG para prevenir O O O O O
ataques informticos?

Est de acuerdo usted que se deba


2 monitorear la red informtica de la UTEG O O O O O
para prevenir ataques?

Opina usted que la red WIFI de la UTEG


3 est monitoreada por seguridad de los O O O O O
usuarios al acceder a ella?

En su opinin, Le parece importante


implementar procesos de seguridad anti
4
intrusos en los sistemas informticos de la O O O O O
UTEG?

Qu le parece a usted la implementacin


5 de herramientas de software para obtener O O O O O
una red segura en la UTEG?

Qu le parece que al utilizar la red


informtica de la UTEG para navegar en
6
internet estn libres de posibles ataques O O O O O
informticos?

Le gustara que se utilice el software Open


Source (libre distribucin) para el
7
monitoreo de la red informtica en la O O O O O
UTEG?

Est de acuerdo en la utilizacin


8 metodologas para mejorar la seguridad de O O O O O
las redes informticas en la UTEG?

Las herramientas utilizadas en el


monitoreo de la red de la UTEG son
9
software libre, deberan implementarse O O O O O
herramientas pagadas?

Para concluir Cree que son de suma


10 importancia las preguntas planteadas en O O O O O
esta encuesta?

147
UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMTICAS Y FSICAS


CARRERA DE INGENIERA EN SISTEMAS
COMPUTACIONALES

ESTUDIO DE LA HERRAMIENTA DE SEGURIDAD OPEN


SOURCE SECURITY INFORMATION MANAGEMENT
(OSSIM) EN LA UNIVERSIDAD TECNOLGICA
EMPRESARIAL DE GUAYAQUIL (UTEG)

MANUAL TCNICO

AUTORA:

DIANA JOSELYN ESPINOZA VILLN

GUAYAQUIL ECUADOR
2015
NDICE GENERAL
Pg.

NDICE GENERAL 1
NDICE DE CUADROS 2
NDICE DE GRFICOS 3

INTRODUCCIN 6
El SIEM de OSSIM 8
Operaciones Bsicas 8

COMPONENTES 10
Detector 10
Colector 11
SIEM 12
El Logger 13
La interfaz web 13

ANTES DE INSTALAR OSSIM 15


Instalacin Pro archivos 15
Sensor 15
Completando la Instalacin 17

REQUERIMIENTOS 17
Requisitos de hardware 17
Requisitos de red 17
Completando la Instalacin 17

INSTALACION DE OSSIM 20

1
NDICE DE CUADROS
Pg.
CUADRO 1
Diagrama de red de la UTEG. 19

2
NDICE DE GRFICOS
Pg.
GRFICO 1
Arquitectura de OSSIM 7

GRFICO 2
Operaciones bsicas. 8

GRFICO 3
Pantalla de instalacin. 20

GRFICO 4
Seleccin de idioma. 21

GRFICO 5
Seleccin del teclado. 21

GRFICO 6
Cargando componentes de instalacin. 22

GRFICO 7
Cargando la direccin IP. 22

GRFICO 8
Configurando red. 23

GRFICO 9
Configurando la pasarela 23

GRFICO 10
Configurando la contrasea de root 24

GRFICO 11
Configurando el reloj 24

GRFICO 12
Instalando el sistema base. 25

GRFICO 13
Terminando de instalar el sistema base. 25

GRFICO 14
Actualizando el software. 26

3
GRFICO 15
Pantalla de inicio de sesin. 26

GRFICO 16
Men de configuracin. 27

GRFICO 17
Configurando el sensor. 27

GRFICO 18
Seleccin de interfaz. 28

GRFICO 19
Nombre de servidor 28

GRFICO 20
Red de dominio 29

GRFICO 21
Configuracin VPN del sensor 29

4
INTRODUCCIN

En la actualidad que siguen surgiendo estndares de facto en el mundo, existe una

gran comunidad de usuarios con experiencia en el uso de OSSIM que

prcticamente se puede contar con cualquier tipo de aplicacin para el

cumplimiento de las operaciones tanto que, el gobierno controla los sistemas de

finanzas, a la fabricacin. Esta comunidad de desarrolladores y usuarios

comunicarse a travs de los foros que se encuentran en el sitio web de OSSIM

(www.alienvault.com).

Inicialmente el SIEM OSSIM es un sistema de gestin de la seguridad unificado

plenamente donde se podr encontrar una gran cantidad de herramientas que los

usuarios ya estn familiarizados, estas aplicaciones vienen ya integrado en la

tecnologa de OSSIM. Estas herramientas no slo son manejables a travs de la

interfaz OSSIM estn tambin estrechamente integrado con los otros componentes

como los es OSSIM. La empresa OSSIM, adems, la integra herramientas de

seguridad externas de todo tipo que le permite crear una solucin unificada para

encajar sus necesidades especficas.

Este manual se va a exponer los pasos necesarios que se necesitan para la

implementacin de la herramienta OSSIM para el monitoreo de las red

informtica en al UTEG. En la Universidad Tecnolgica Empresarial de

5
Guayaquil existen varios servidores dedicados a diferentes funciones especficas

y en los cuales se va implementar la monitorizacin del trfico de sus nodos.

OSSIM

OSSIM ofrece una solucin de seguridad y gestin de eventos, y un marco que

permite un estricto control sobre las redes empresariales ampliamente distribuidas

desde un solo lugar.

GRFICO No. 1
ARQUITECTURA SIEM OSSIM.

Elaboracin: Diana Espinoza Villn


Fuente: www.ossec.net/fiels/OSSEC_and-OSSIM_Unified_Open_Security.pdf

Esta herramienta ofrece inteligencia avanzada, capaz de sintetizar los riesgos

subyacentes asociados con ataques distribuidos complejos en redes extensas.

6
El sistema tiene en cuenta el contexto de cada amenaza y la importancia de los

activos involucrados, evala el riesgo de la situacin, descubre, y distingue las

amenazas reales de los miles de falsos positivos que se producen cada da en cada

red.

Las caractersticas de la solucin:

Bajo nivel, deteccin en tiempo real de las amenazas conocidas y actividad

anmala (amenazas desconocidas)

Automatizacin de Cumplimiento

Red, anfitrin y auditora de directivas

Anlisis de comportamiento de la red y el comportamiento situacional.

Gestin de Log.

Inteligencia que mejora la precisin de la deteccin de amenazas.

Informes ejecutivos y tcnicos

Una arquitectura de alto rendimiento escalable

Operaciones Bsicas

Los siguientes procesos se llevan a cabo dentro de OSSIM:

Las aplicaciones y dispositivos externos generan eventos (detectores externos)

Las aplicaciones incluidas con OSSIM generan eventos (Detectores de OSSIM)

Los eventos se recogen y se normaliza antes de ser enviado a un servidor central.

El servidor de OSSIM hace la evaluacin de riesgos, la correlacin y el

almacenamiento de los eventos en una base de datos SQL (SIEM)

7
El servidor de OSSIM almacena los eventos (firmado digitalmente) en un

sistema de almacenamiento masivo, por lo general NAS o SAN (Logger)

Las interfaces web proporciona un sistema de presentacin de informes,

mtricas, informes, cuadros de mando, un sistema de venta de entradas, una

vulnerabilidad

Sistema de gestin y de informacin en tiempo real de la red. (Interfaz web)

GRFICO No. 2
BSICAS OPERACIONES.

Elaboracin: Diana Espinoza Villn


Fuente: dl.acm.org

8
Componentes

Detector

Cualquier aplicacin o dispositivo que genera eventos dentro de la red que se est

supervisando ser considerado un detector en el despliegue de OSSIM.

OSSIM incluye una serie de detectores usando conocidas herramientas de cdigo

abierto. A partir de este momento vamos a utilizar el sensor cuando se refiere a los

detectores incluidos por defecto al instalar OSSIM.

OSSIM sensores han sido diseados para la seguridad gestionada. Cuentan con un

arsenal de tecnologa en un solo dispositivo, y lo introducen en cada red remota

como si se tratara de un "ojo" detectar y vigilando la actividad a distancia, no

autorizado. El efecto combinado de numerosos puntos de deteccin y control es la

visibilidad global y la gestin del cumplimiento.

OSSIM sensores se instalan en cada segmento de la red e inspeccionar todo

trfico, detectar ataques a travs de diversos mtodos y recoger informacin sobre

el contexto ataque sin afectar el rendimiento.

Estos sensores utilizan ms de 10 sistemas expertos que identifican los ataques a

lo largo de 5 ejes diferentes:

Deteccin de Intrusos

Deteccin de anomalas

9
Deteccin de Vulnerabilidad

Descubrimiento, sistemas de aprendizaje descubrimiento de redes

Los sistemas de inventario

Los sistemas de deteccin localizar en tiempo casi real, ambos ataques conocidos

y desconocidos a travs del aprendizaje y la anomala de informes.

Sistemas de deteccin de la vulnerabilidad a descubrir e identificar las amenazas

de red latentes y pueden corregirlos antes de que ocurra un ataque. Esta

informacin, almacenada en el servidor de administracin, es de vital importancia

cuando un ataque est en curso. El conocimiento previo de las vulnerabilidades de

los sistemas es de vital importancia la hora de evaluar el riesgo asociado con un

ataque, priorizando, alertas, y el lanzamiento de contramedidas.

La informacin recogida por la red sondas OSSIM tambin proporciona

informacin detallada en tiempo real acerca del uso de la red de cada equipo, y

recoge estos datos para su anlisis. El sistema crea automticamente un uso muy

detallado perfil de cada elemento en la red.

Colector

Los coleccionistas se renen los eventos generados por los sensores OSSIM y

cualquier sistema externo. Colectores clasificar y normalizar los acontecimientos

antes de enviarlos al SIEM y Logger.

10
Con el fin de apoyar el mximo nmero posible de aplicaciones y dispositivos,

uso colector conectores de orgenes de datos (tambin llamada Coleccin

Plugins). Cada DS conectores (Anteriormente OSSIM Plugins) define la forma en

que los eventos generados por cada detector se deben recoger y normalizado.

Conectores DS pueden ser configurado fcilmente mediante un procedimiento

sencillo de configuracin, definir el formato de cada tipo de evento.

El componente del colector se puede implementar como un sistema independiente

o incluido en el sensor o SIEM aparato en funcin de la necesidad de desempeo.

SIEM

El componente SIEM dota al sistema de inteligencia de seguridad de datos y

capacidades de minera, que incluye:

Evaluacin de riesgos

Correlacin

Mtricas de Riesgo

Anlisis de vulnerabilidad

La minera de datos para eventos

Monitoreo en tiempo real

11
El OSSIM utiliza una base de datos SQL y almacena informacin normalizada

que permite fuertes capacidades de anlisis y minera de datos.

OSSIM est sintonizado para el alto rendimiento y la escalabilidad de millones de

eventos por da.

El Logger

Las tiendas de componentes Logger eventos en formato crudo en el expediente

sistema. Los eventos se firmaron y se almacenan en masa asegurar su

admisibilidad como prueba en un tribunal de justicia digitalmente.

El componente registrador permite el almacenamiento de un nmero ilimitado de

eventos con fines forenses. Para ello, el registrador suele ser configurado para que

los eventos se almacenan en un sistema de almacenamiento en red NAS / SAN.

La Interfaz Web

La interfaz web permite el acceso a toda la informacin recopilada y generada por

el sistema, as como el acceso a los parmetros de configuracin.

Las siguientes tareas se pueden realizar mediante la interfaz web:

Configuracin cambios

Acceso a los cuadros de mando y mtricas

Multi-propiedad y de uso mltiple de gestin

Acceso a la informacin en tiempo real

12
Generacin de informes

El sistema de venta de entradas

Gestin de Vulnerabilidades

Red de Flujos de Gestin

Respuestas configuracin

Antes de instalar OSSIM

Instalacin Profiles

Dependiendo de la funcin del nuevo husped en el despliegue de OSSIM es

posible configurar el Profile en uso. Esto puede ser configurado durante el

proceso de instalacin o despus de la instalacin. Por defecto la instalacin

automatizada permitir que todos los Profile esten en la misma caja.

Sensor

El sensor de Profile permitir tanto a los detectores de OSSIM y el Colector.

Los siguientes detectores estn habilitadas por defecto:

Snort (Red del sistema de deteccin de intrusiones)

Ntop (red y el uso del monitor)

OpenVAS (Anlisis de vulnerabilidades)

P0f (deteccin pasiva del sistema operativo)

Pads (Pasivo Activo Sistema de Deteccin)

(monitor EtherNet / IP recortes de direcciones) arpwatch

OSSEC (Host Intrusion Detection System)

Osiris (de supervisin del sistema de integridad)

13
Nagios (supervisin de disponibilidad)

OCS (Inventario)

Una vez que el sensor de profile se ha habilitado puede desactivar los detectores

de manera que slo la funcionalidad coleccin permanece habilitada.

Para obtener beneficio de las capacidades de deteccin de esas herramientas que

tendremos configurado el sensor de OSSIM para que:

Tiene acceso a la red que se est supervisando:

Exploracin de vulnerabilidades, el monitoreo de disponibilidad, recogida sin

agentes WMI, coleccin Syslog

Recibe toda la red de trfico. Una copia de puertos, lapso puerto debe ser

configurado en los dispositivos de red, o una red grifo podra utilizar:

Snort, Ntop, Arpwatch, Flujos generacin, Pads, P0f ...

El sensor de perfil de configuras del sistema de modo que est listo para recibir

eventos de hosts remotos utilizando el protocolo Syslog.

Cada aplicacin o dispositivo tendr un plugin asociado (conector DS) que define

cmo recoger los sucesos de la aplicacin o dispositivo, as como cmo los

eventos deben ser normalizados antes de enviarlos a la central de OSSIM Server.

Un despliegue de OSSIM puede tener tantos sensores como se requiere,

bsicamente, en funcin de las redes que se estn supervisando y sobre la

distribucin geogrfica de la organizacin que se vigila por medio de OSSIM. Por

lo general, se requiere un sensor por la red, pero la instalacin de ms tarjetas de

14
red en una red de enrutamiento PUERTO MIRROR podra reducir el nmero de

sensores de monitoreo requerido ms redes desde un nico sensor.

Requerimientos

Requisitos de hardware

Los requisitos de hardware de OSSIM, bsicamente, depende del nmero de

eventos por segundo y el rendimiento de la red que desea proteger.

Como requisito mnimo es siempre recomendable tener al menos 4 GB de RAM.

Puede que tenga que aumentar la memoria RAM disponible basado en el

rendimiento de la red, el nmero de eventos que el servidor de OSSIM es el

procesamiento y la cantidad de datos que necesita ser almacenada en la base de

datos. Con el fin de lograr el mximo rendimiento, es esencial utilizar slo las

aplicaciones y componentes que sern de utilidad para usted en cada caso.

La versin OSSIM slo se ejecutar en procesadores de 64 bits, por lo que

siempre debe tratar de elegir 64-Bits arquitectura en la compra de nuevo

hardware. La mayora de los componentes de OSSIM multithreading apoyo, por

lo que aquellos que utilizan 64-Bits procesadores tambin obtendrn una gran

mejora en el rendimiento.

Requisitos de red

Con el fin de implementar Detectores OSSIM correctamente es necesario tener un

gran conocimiento de los dispositivos de red. Hay que configurar un puerto

mirror, hay que tener en cuenta lo siguiente para evitar estas dos situaciones:
15
Red de duplicado de trfico: Esto ocurre cuando se est reenviando el mismo

trfico de la red ms de una vez en diferentes dispositivos de red.

Red cifrada trfico: En algunos casos, no tiene configurado el puerto mirror, ya

que este trfico no se puede analizar fcilmente por algunas aplicaciones.

Adems del puerto mirror, es necesario tener direcciones IP para cada cuadro de

OSSIM. Al usar OpenVAS, Nagios o Nmap tambin hay que asegurarse de que

sus firewalls son configurado correctamente permitiendo el acceso de sus sensores

a las redes de destino o hosts.

A medida que los eventos tienen que ser normalizados antes de ser procesados por

el servidor de OSSIM, el Sensor de OSSIM requerir acceso al DNS en su red

local.

16
CUADRO No. 1
DIAGRAMA DE RED DE LA UTEG OSSIM

192.168.0.130
Port Mirroring

OSSIM

Elaboracin: Diana Espinoza Villn


Fuente: UTEG

17
Instalacin de OSSIM 4.15

Para la instalacin del servidor de OSSIM USM 4.15 se detallan a continuacin:

GRFICO No. 3
PANTALLA DE INSTALACIN.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

18
GRFICO No. 4
SELECCIN DEL IDIOMA.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 5
SELECCIN DEL TECLADO.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

19
GRFICO No. 6
CARGANDO COMPONETES DE INSTALACIN.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 7
CONFIGURANDO LA DIRECCIN IP.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

20
GRFICO No. 8
CONFIGURANDO LA RED

+Q RECCIN DE RED.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 9
CONFIGURANDO LA PASARELA.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

21
GRFICO No. 10
CONFIGURANDO LA CONTRASEA ROOT.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 11
CONFIGURANDO EL RELOJ.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

22
GRFICO No. 12
INSTALANDO EL SISTEMA BASE.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 13
TERMINANDO DE INSTALAR EL SISTEMA BASE.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

23
GRFICO No. 14
ACTUALIZANDO EL SOFTWARE.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 15
PANTALLA DE INICIO DE SESION.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

24
GRFICO No. 16
MEN DE CONFIGURACIN.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 17
CCONFIGURACION DE SENSOR

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

25
GRFICO No.18
SELECCIN DE INTERFAZ.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 19
NOMBRE DE SERVIDOR.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

26
GRFICO No. 20
RED DE DOMINIO.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

GRFICO No. 21
CONFIGURACION VPN DEL SENSOR.

Elaboracin: Diana Espinoza Villn


Fuente: Diana Espinoza Villn

27