1

Índice
Introducción 4
Capítulo 1 – Infraestructura de red 7
1.1 – Nuestra infraestructura de correlacionador de eventos 7
1.2 – Arquitectura de red 10
1.3 – Herramientas de Hardware 12
1.3.1 – Máquina Física del IDS (Smoothsec) 12
1.3.2 – Máquina Física del Firewall (Pfsense) 13
1.3.3 – Máquina Física de Ubuntu Mate 13
1.3.4 – Máquina Física Kali Linux 2.0 14
1.3.5 – Maquina Física de Windows Server y Active Directory 14
1.3.6 – Maquina Física del Correlacionador OSSIM 14
1.4 – Herramientas de Software 15
1.4.1 – SmoothSec 15
1.4.2 – Pfsense 15
1.4.3 – Windows Active Directory 16
1.4.4 – OwnCloud 16
1.4.5 – ModSecurity 17
1.4.6 – Kali Linux 2.0 17
1.4.7 – Apache 17
1.4.8 – MySQL 18
1.4.9 – OSSIM 18

Capítulo 2 – Instalación y configuración de activos 21

2.1 – Instalación IPS 21
2.2 – Configuración del IPS 24
2.3 – Instalación y Configuración del Firewall 30
2.4 – Instalación y configuración del Active Directory 43
2.5 – Instalación y configuración del Owncloud Web Service 48

Capítulo 3 – Instalación y configuración de OSSIM 64

3.1 – Instalación OSSIM 65
3.2 – Configuración OSSIM 73
3.3 – Interfaz Administración OSSIM 81

Capítulo 4 – Evaluación de criticidad de activos 90

2
4.1 – Inventario de activos 91
4.2 – Identificación de vulnerabilidades 91
4.3 – Categorización de incidentes 91
4.4 – Criticidad de incidentes 92
4.5 – Importancia de los recursos afectados 93
4.6 – Determinación del impacto de un incidente 93

Capítulo 5 – Reportes de incidentes 97

5.1 - Reporte ejecutivo 97
5.1.1 - Objetivos 97
5.1.2 - Alcance 97
5.1.3 - Resumen de hallazgos 97
5.1.4 - Recomendaciones 97
5.2 - Metodología 98
5.3 - Detalle de hallazgos 98
5.4 - Conclusiones 99
5.5 - Modelo de reporte Incidente de Seguridad 100

Conclusiones 108
Bibliografía 109

3
 Introducción
Hoy en día, organizaciones con distintos fines operativos cuentan como mínimo
con un sistema de redes interno, así sea solo una computadora con acceso a
internet. Estos equipos pueden contar con información valiosa o con un servicio
valioso para la organización

Estos activos o equipos valiosos pueden ser víctimas de distintas amenazas y el

impacto puede ser catastrófico de acuerdo al nivel de criticidad que representa el
activo. Para evitar que pase este tipo de eventos existen sistemas
correlacionador de eventos SIEM que busca notificar a los administradores de la
red entre otros monitores, los distintos eventos que están ocurriendo en la red.

Los eventos que pueden ocurrir varían entre el tipo de acción que se deba aplicar
al activo. Por ejemplo un virus informático puede estar recorriendo la red,
esperando que un equipo con información valiosa se conecte a red y así pueda
hacer diferentes cosas que tiene como objetivo tal virus. Otros ejemplos son las
notificaciones por actualización, puertos abiertos, contraseñas débiles, etc.

En el siguiente proyecto queremos mostrar cómo podemos implementar una de

estas herramientas de correlacionación con el fin de que sirva como buena
práctica al momento de querer monitorear los eventos que ocurren en la red.
Nuestro proyecto esta implementado de la siguiente manera:

Capítulo 1: este el capítulo de estructura de nuestra red y recursos disponibles

para los sistemas operativos que se necesitan poner a funcionar. En este capítulo
también se destacan las características de hardware y software de las máquinas
virtuales que tenemos de uso para nuestro servicio web.

Capítulo 2: aquí veremos las instalaciones y configuraciones que se hicieron

sobre los diferentes activos en el cual no incluimos el SIEM aquí. Los activos
que veremos aquí son el IPS, Firewall, Servicio Active Directory, Servicio de
Owncloud y algunas máquinas de sistemas operativos Linux para realizar pruebas
y monitoreo.

Capítulo 3: en este capítulo esta la configuración del correlacionador de eventos

OSSIM, el cual se le dedica este capítulo enteramente porque veremos diferentes
temas como la instalación, la configuración y la navegación por su portal de
monitorización de eventos.

4
Capítulo 4: en esta sección está dedicada a los activos de la red, que aunque este
algo limitada, tiene los servicios de active directory y owncloud. Veremos algunos
diagramas de la criticidad de estos y las pérdidas que podrían significar estas de
forma ficticia ya que nuestra red es propiamente experimental.

Capítulo 5: en el último capítulo de este trabajo estaremos los reportes de Gestión

de incidentes que generó el OSSIM. Vamos a ver los detalles que tiene cada uno
y las incidencias y eventos colectados durante varias pruebas que hicimos con en
la red LAN que cuenta con el Active Directory y el servicio de OwnCloud.

5
Infraestructura de
Red 1

6
 1
En el día a día de las empresas muchas de estas en especial las pequeñas
empresas no tienen idea de que sus equipos están siendo explotados por
numerosos factores o amenazas que pueden tener diversos orígenes. Por
ejemplo en una red empresarial puede está circulando Virus, pueden estar puertos
abiertos del firewall, pueden haber aplicaciones desactualizadas. Todos
elementos que permiten romper el triángulo de la seguridad informática
(disponibilidad, confidencialidad, Integridad).

Para evitar esto el departamento de Tecnología de la información e Infraestructura

de las empresas deben contar con herramientas que le permitan ver de forma más
detallada los activos empresariales tecnológicos que requieren mantenimiento.
Esto se logra por medio del monitoreo constante, en especial de las aplicaciones y
activos tecnológicos más críticos de la organización.

Poder monitorear y tener conocimiento de las amenazas que circulan por nuestros
sistemas de redes es algo que puede marcar una diferencia entre la continuidad
del negocio y el desastre tecnológico. Por ello es recomendable armarse de
herramientas para asegurar que el flujo de información del sistema viaje protegido
por todas las protecciones de seguridad que vayamos a implementar y por medio
del monitoreo aprender los elementos que requieren mejora.

A continuación en el siguiente proyecto queremos mostrar la implementación de

una infraestructura de red en donde los servicios accesibles están siendo
monitoreados por un correlacionador de eventos llamado OSSIM, el cual es una
herramienta Privativa. Sin embargo, a pesar de esto posee una gran cantidad de
utilidades que nos ayudan a monitorear la infraestructura. Estos detalles los
vamos a estar viendo más adelante en un capítulo dedicado a la instalación,
configuración, monitorización con OSSIM.

1.1 – Nuestra Infraestructura de Correlacionador de eventos

El presente proyecto consiste en el seguimiento de eventos y registro de

incidencias que pueden tener una red. Es un proyecto donde se desarrolló una
infraestructura de red en donde interactúan 3 subredes con el Firewall, que es
pfsense, un sistema operativo basado en FreeBSD especializado para actuar

7
como Firewall Lógico.

Las subredes que interactuaban en ese proyecto son la WAN, LAN y DMZ;
Pfsense se encarga de administrar la comunicación entre estas redes, decidir qué
servicios, puertos y aplicaciones están disponibles entre las subredes. Hay que
agregar que este Firewall Lógico es de extrema utilidad puesto que guarda LOGS
de actividades que ocurren en la red exclusivamente las que pasan por sus
puertos de entrada y salida de subredes.

Otro elemento de gran importancia y control con el que contamos es el IPS, que
usa Smoothsec, un sistema operativo basado en Debian y que usa el motor Snort
y la base de datos de las reglas de emergingthreats.net. Smoothsec cuenta con
una interface web en el cual se plasma todo el monitoreo y clasifica el tráfico en
categorías: critica, media y baja. Esto lo hace por medio de sus sensores y la
base de datos de conocimientos mencionada anteriormente.

Estos son los elementos más importantes que mencionamos ya que contamos con
ellos en el presente proyecto. Pero, hay una novedad en nuestra implementación
que es el correlacionador de eventos OSSIM, el cual cuenta con censores de
monitoreo. Este elemento no está a full capacidad ya que la implementación
completa de monitorización de eventos requiere al menos 2 máquinas corriendo
OSSIM sobre una subred de la infraestructura.

Esto quiere decir que para implementar la monitorización en la redes LAN y DMZ
requiere al menos 4 máquinas corriendo OSSIM, lo cual puede resultar muy
costoso ya que OSSIM pide muchos requerimientos de hardware para poder
operar sin inconvenientes.

Tipos de equipos que podemos usar para esta implementación serian servidores
ya que las laptops actuales hasta con 12 GB de RAM les cuesta el arranque y
poder mantenerse andando por mucho tiempo. Un equipo ideal sería el de la
imagen que vemos a continuación.

8
 Figura #1.1 – Servidor DELL
A continuación presentamos el diagrama de la infraestructura de red utilizadas en
la implementación del correlacionador de eventos en el proyecto.

Figura #1.2 – Diagrama de infraestructura de óptimo

Este proyecto tiene otras aplicaciones que vamos a presentar, describir y mostrar

9
su funcionamiento y aplicaciones más adelante, pero primero veamos para que
sirve lo que estamos construyendo.

¿Cuál es la función de la infraestructura?

Este punto es importante para saber qué tan valioso es lo que protegemos, ya que
esto se mide por las ventajas que brinda tal servicio a los usuarios del mismo.

Para mencionarlo de una forma fácil, resumimos que tenemos 2 utilidades de gran
beneficio para los usuarios de nuestra red, que serían las siguientes:

 Servicio Active Directory: muchas organizaciones tienen que implementar

este tipo de servicios para llevar el control de acceso de usuarios a aplicacio-
nes y al sistema.

 Servicio de OwnCloud: se utiliza para almacenar archivos lo cual es bastante

importante para grupos de trabajo que resguarda su información y deja que
sea disponible para otros miembros de su equipo de trabajo con el fin de que
usen manuales, procedimientos e ideas propiamente documentadas.

Lo que queda por hacer luego de implementar estas nuevas ventajas para
nuestros usuarios de la organización y clientes, es vigilar, mantener el control y
verificar los puntos que sean vulnerable para añadirlo, como medida a verificar en
nuestra red.

Los elementos de protección y ensayo de vulnerabilidades (para tomar medidas

de protección de acuerdo a los resultados de monitoreo de comportamientos), los
veremos a continuación en el siguiente diagrama de red.

1.2 – Arquitectura de Red

La arquitectura de red está compuesta por los elementos que nos ayudan a
conectarnos con el servidor para poder acceder a los servicios que este provee.
Sin embargo hay que incluir elementos de protección en tal arquitectura que
garantice que el servicio esté disponible 24/7 mientras no se haya dado algún
anuncio de baja temporal ya sea por nuevas implementaciones, mantenimientos,
etc.

Para nuestro servicio de active directory y owncloud poseemos herramientas para

poder monitorear el tráfico hacia estas y poder hacer uso seguro de los mismos.
Este servicio está controlado para que los usuarios designados por el
administrador sean los únicos que puedan disfrutar de la navegación y el uso de
servicios a través de la red y a la vez administrado por el active directory con el
control y monitoreo de OSSIM.

10
A continuación presentamos el diagrama que contempla este proyecto y con ello
podrá ver una comparativa de lo implementado con lo que sería ideal. Claro que
por temas de practicidad y recursos disponibles esta fue la opción indicada ya que
es funcional para pruebas.

Figura #1.3 – Diagrama de Seguridad Móvil

Como se puede ver en la imagen anterior es la arquitectura simulada en nuestro

11
conjunto de máquinas virtuales entre las que podríamos clasificar como:

 Máquinas de servicio: hay 2 que se encuentran físicamente en la red LAN.

 Máquinas Físicas: Hay 4 máquinas físicas, que trabajan independientemente.

Una de ellas dedicada para el Firewall Pfsense, otra para el IPS Smoothsec,
otra para realizar pen-testting con KaLi Linux 2 y finalmente una máquina que
posee un IDS (maltrail). La otra es un server DELL donde esta instalados,
configurado e implementado el OSSIM.

 Máquinas virtuales de monitoreo: es una máquina que contiene los Ubuntu

14 para hacer monitoreo en la subred DMZ.

 Monitor (máquina física): contamos hasta con 2 laptops y 1 monitor que se

pega dependiendo de la necesidad de monitoreo a cualquier de sus máquinas.
El monitor es para las maquinas físicas que tienen una implementación de se-
guridad como las que tiene el smoothsec, el pfsense y el OSSIM. Las laptops
son para pegarse a un switch en alguno de los segmentos de la red para moni-
torear ingresando al portal web de cada herramienta de seguridad o para in-
gresar al owncloud y realizar operativas. En muchas ocasiones se crear má-
quinas virtuales y se levantan para realizar pruebas con ataques.

Algo a resaltar es la preferencia de máquinas físicas para que sirvan de equipos

de protección porque ofrecen mayor manipulación de las redes y permite una
interacción más directa del administrador de la seguridad con un escenario real
donde no existen mayormente, máquinas virtuales.

Los equipos físicos son más estables que los virtuales además que la contención
de servicios virtuales en una sola maquina física es un riesgo ya que la emulación
de estas se puede ver afectada por algún evento que ocurra en el sistema físico.

1.3 – Herramientas de Hardware

Entre las herramientas de hardware están las propias máquinas virtuales utilizadas
para el proyecto, de las cuales se quiere destacar el consumo de recursos de la
maquina física que se le asignó a cada una de estas.

A continuación mostramos características propias del equipo físico que usa el

simulador Virtual Box para los sistemas que componen el proyecto. Por una parte
está el que mostramos a continuación:

1.3.1 – Máquina Física del IDS/IPS (Smoothsec)

La máquina física del IPS, posee las siguientes características de hardware al
momento de haber hecho la instalación del sistema operativo.

12
 Elementos principales de la máquina del IPS
Elemento Característica
Procesador 2.4 GHz 4 core
RAM 6 GB
HDD 750 GB
Equipo físico Laptop Acer Aspire

1.3.2 – Máquina Física del Firewall (Pfsense)

Es la máquina física que corre el sistema Operativo PFsense y que posee las
siguientes características físicas de hardware.

Elementos principales de la máquina Firewall

Elemento Característica
Procesador 2.16 GHz Quadcore
RAM 2 GB
HDD 250 GB

1.3.3 – Máquina Física de Ubuntu Mate

Consiste en la puesta en marcha de algunas aplicaciones que provocan eventos

como el zenmap. Esto es hecho en el Raspberry Pi3 con Ubuntu Mate 15.10
andando. Sus características son las siguientes.

Elementos principales de la máquina Raspberry pi3

Elemento Característica
Procesador 1.2 GHz Quadcore
RAM 1 GB
HDD 32 GB
Equipo físico Raspberry Pi3

1.3.4 – Máquina Física Kali Linux 2.0

Consiste en la puesta en marcha del Kali Linux light en el Raspberry Pi, el cual

13
cuenta con las especificaciones necesarias para ponerlo a andar. Sus
características son las siguientes.

Elementos principales de la máquina Raspberry pi2

Elemento Característica
Procesador 1.2 GHz Quadcore
RAM 1 GB
HDD 32 GB
Equipo físico HP

1.3.5 – Máquina Física de Windows Server y el Active Directory

Maquina con Windows server 2008 instalado, a la cual se le instalo el Windows

active directory. Aparte cuenta con la administración de algunos usuarios
creados.

Elementos principales de la máquina Windows Server 2008

Elemento Característica
Procesador Intel Core i5, 2.4 Ghz
RAM 8 GB
HDD 500 GB
Equipo físico HP Pavilion All in one 23-q21

1.3.6 – Máquina Física del correlacionador OSSIM

Máquina que contiene el correlacionador de eventos OSSIM el cual requiere de
una alta cantidad de requerimientos de hardware si se quiere implementar en
redes empresariales. Sin embargo por temas de que es solo para la simulación
de proyecto pudimos poner a funcionar correctamente OSSIM en el siguiente
equipo.

Elementos principales de la máquina OSSIM

Elemento Característica
Procesador Intel Xeon
RAM 8 GB
HDD 600 GB
Equipo físico Dell Server

14
1.4 – Herramientas Software
La mayoría del software que se utilizó en este proyecto es OpenSource y se
decide que sea de esta manera para la exploración de nuevas posibilidades y
soluciones, contra el día a día de ataques que recibimos desde la red Global. Por
parte del software privativo tenemos Windows Server 2008 y su servicio Active
directory con detalles que veremos más adelante.

Podemos hablar un poco de algunos de los software OpenSource y privativos

describiendo algunas características de ellos a continuación:

1.4.1 – SmoothSec
Es un sistema operativo basado en Debian, que tiene embebido el IPS, que
conjunto con Snort, Sagan y los HIDS son una barrera protectora contra ataques
externos. Este software protegerá el Router y a través de su monitor podemos
verificar el tráfico y las amenazas que este detecta.

Figura #1.4 - SmoothSec

1.4.2 – Pfsense

Es un sistema operativo también, que está basado en FreeBSD, y que posee una
amplia gama de funcionalidades que se pueden configurar. Se pueden descargar
paquetes que ayudan a la monitorización de múltiples elementos en el tráfico entre
las diferentes interfaces que este sistema puede manejar. Entre los más
destacados están el filtro de contenido, el control de acceso entre las subnets,
filtro de puertos, OpenVPN, el portal cautivo y el radius.

15
 Figura #1.5 – Pfsense logo

1.4.3 - Windows Active Directory:

Es un servicio de administración de usuarios, que tiene como objetivo el control de

ingreso a los sistemas de red que están asociados al servidor de Windows.
Utilidades que podemos encontrar son el control de acceso y privilegio, creación,
modificación y actualización de usuarios, entre otros elementos de seguridad.

Figura #1.6 – Windows Active Directory

1.4.4 – Owncloud

Es una aplicación web que se basa en el uso de 2 aplicaciones principalmente:

apache como interfaces y administración del recorrido por el sitio web y mysql
como base de datos de almacenamiento de usuarios y elementos que se guardan
en la nube.

Figura #1.7 – Servicio de almacenado Owncloud

1.4.5 - Mod Security

No es una gran aplicación sino 3 que incluye el mod evasive, el mod qos y el mod

16
security. Estos 3 elementos son instalados y configurados dentro del servidor del
servicio web (owncloud en nuestro caso), para actuar con WAF (Web Application
Firewall)

Figura #1.8 –Mod Security

1.4.6 - Kali Linux 2.0

Este sistema operativo es una suite de herramientas pentesting que en nuestro

proyecto se utiliza para hacer simulaciones y pruebas para captarlas con el
OSSIM.

Figura #1.9 – Kali Linux 2.0

1.4.7 – Apache

Es un servidor web HTTP de código abierto, para plataformas Unix (BSD,

GNU/Linux, etc.), Microsoft Windows, Macintosh y otras, que implementa el
protocolo HTTP/S.

17
 Figura #1.10 – Apache HTTP Server

1.4.8 – MySql

Es un sistema de gestión de bases de datos relacional desarrollado bajo licencia

dual GPL/Licencia comercial por Oracle Corporation y está considerada como la
base datos open source más popular del mundo , y una de las más populares en
general junto a Oracle y Microsoft SQL Server, sobre todo para entornos de
desarrollo web.

Figura #1.11 – MySql

1.4.9 – Ossim

Es un sistema Open Source de seguridad y gestión de eventos, la integración de

una selección de herramientas diseñadas para ayudar a los administradores de
red en la seguridad informática, la detección y prevención de intrusiones. Está
destinado a dar los analistas de seguridad y los administradores una vista de
todos los aspectos relacionados con la seguridad de su sistema, mediante la
combinación de gestión de registro y gestión de activos y el descubrimiento con la
información de los controles de seguridad de la información dedicados y sistemas
de detección. Esta información se correlaciona entonces juntos para crear
contextos a la información visible en diferentes reportes y estadísticas.

Figura #1.12 – OSSIM

18
Por parte del software estos serían el conjunto de software utilizados durante la
construcción e implementación del proyecto. Se destaca que la mayoría
presentada es Open Source incluyendo el correlacionador OSSIM.

En los capítulos siguientes podremos ver la instalación y configuración de varios

equipos físicos y virtuales. También la puesta en marcha de servicios y sensores
de monitoreo de eventos.

19
Instalación y
configuración de
Activos
2

20
 2
2.1 – Instalación IPS

Los pasos de instalación son parecidos a los de la instalación del sistema operati-
vo Debian. A continuación se aprecia dicho procedimiento:

A. Selección del Idioma

Figura #2.1 - Selección del Idioma Inglés para el Sistema

SmoothSec
B. Selección de la Región y el País

Figura #2.2 - Selección de la Locación

21
Figura #2.3 - Selección de la Región

Figura #2.4 - Selección del País

22
C. Selección del mapa del teclado

Figura #2.5 - Elección del Idioma del Teclado

D. Seleccionamos el tipo de partición que se desea. Para formatear el disco com-

pleto e instalar la nueva imagen, elegimos la última opción como se muestra a
continuación.

Figura #2.6 - Selección del tipo de partición de disco que

se desea

23
2.2 - Configuración del IPS
Como primer paso, accedemos a la cuenta de superusuario. Para esto, hacemos
login con root y el password toor. Luego, ejecutamos el script que nos
ayudará a establecer las configuraciones iniciales smothsec.first.setup,
seleccionando el deployment ips-standard.

Figura #2.7 - Elección de la opción IPS-standard para

primeras configuraciones del SmoothSec
A. A continuación, procederemos a ejemplificar la configuración de Smoothsec
en modo INLINE. Este modo, nos permitirá hacer uso de una base de datos
para llevar el registro de las ocurrencias.

Figura #2.8.1 - Configuración del modo INLINE (A)

24
 Figura #2.8.2 - Configuración del modo INLINE (B)
En este caso utilizaremos como usuario seguridad2 y contraseña 123456.

B. Luego de haber configurado nuestro usuario y contraseña, procederemos a

ver la configuración de afpacket.cfg. Dentro de este archivo, estableceremos
los siguientes lineamientos:
1) IP de Consola de Mantenimiento.
2) Modo del Smoothsec (IPS o IDS).
3) El motor del IPS (Snort o Suricata).
4) Los tipos de reglas, en nuestro caso, usaremos Emerging Threats.
5) Configuraciones de red:
1.1. Interfaz 1.
1.2. Interfaz 2.
1.3. Gateway.
1.4. Home Network.
1.5. IP del Sensor.
1.6. IP de Mantenimiento.

25
 Figura #2.9 - Configuración de las Interfaces de Red
C. Como mostraremos en la siguiente imagen, se podrá apreciar todas las confi-
guraciones mencionadas en el punto anterior. Según nuestro entorno de labo-
ratorio se hace uso de la red 192.168.1.0/24 y con Gateway 192.168.1.1,
además, nuestra interfaz de mantenimiento eth2: 192.168.1.180.

Figura # 2.10: Configuración de las Interfaces de Red

D. Como siguiente paso, procederemos a instalar nuestra cuenta de Snorby, el

26
 cual es un monitor de suceso que utiliza Smoothsec. Luego de la instalación,
reiniciamos el equipo.

Figura #2.11 - Instalación del Snorby

E. Luego de haber instalado el Snorby en el Smoothsec, procedemos a ingresar
en otra máquina a la página www.snort.org para generar el oinkcode ingre-
sando nuestro usuario y contraseña.

Figura #2.12 - Generación del Oinkcode

27
 Figura #2.13 - Regeneración del Oinkcode
F. También ingresamos a la página https://portal.emergingthreats.net para gene-
rar el código de la misma y ponerlo en nuestro smoothsec.

Figura #2.14 - Generación del código de Emerging

Threats

28
G. Luego de haber terminado todas nuestras configuraciones, incluyendo los có-
digos generados en la página de snort y emerging threats, procedemos a usar
otra máquina para verificar si tenemos acceso a internet.

Figura #2.15 - Prueba de Conexión a Internet

H. Al verificar que tenemos acceso a internet, procedemos a navegar por inter-
net, para luego revisar en otra computadora entrando por https://10.10.10.80,
monitorear los eventos que violaban las reglas que se han configurado para la
navegación en internet.

Figura #2.16 - Ingreso a Consola de Monitoreo

29
 Figura #2.17 - Consola de Monitoreo

Figura #2.18 - Consola de Monitoreo en Ejecución

2.3 – Instalación y Configuración del Firewall

El firewall es el elemento que nos ayuda a establecer la comunicación entre las

diferentes zonas de la red. En nuestro proyecto utilizamos el firewall lógico
Pfsense, que está desarrollado en FreeBSD.

Esta es la forma en que ensamblamos los diferentes dispositivos para hacer una
instalación del Pfsense, y de la cual pudimos verificar la conectividad de los

30
equipos que están en la LAN y WAN.

Figura #2.19 – Esquema hardware para instalación de

Pfsense
Booteando el S.O. Pfsense desde el pendrive

31
Colocamos el Pfsense en un puerto USB del barebone y comenzamos a configu-
rar la instalación. Esperamos que cargue el programa hasta que despliegue el
siguiente menú de opciones:

Figura #2.20 - Menú de configuración del Pfsense

Se seleccionó la opción 99 la cual nos instala el sistema operativo Pfsense en el
barebone, para que luego de la instalación nos muestre el menú nuevamente.
Ahora lo que sigue es configurar las interfaces, por lo que seleccionamos la op-
ción #2 del menú.

Figura #2.21 - Configurando las Interfaces

Para nuestro Firewall lógico tenemos que configurar las interfaces para 2 áreas:
• WAN
• LAN

De momento solo configuramos la LAN y la WAN. Por lo que iniciamos con la

opción #1 (EM0) para la WAN con la configuración mostrada en el cuadro si-
guiente:

32
 Parámetro Configuración
DHCP para WAN IPv4 si
DHCP para WAN IPv6 no
Dirección IPv6 (sin asignar)
HTTP no

Figura #2.22 - Asignación de IP a la WAN

A continuación, lo que sigue es la configuración de la LAN por lo que seleccio-
namos nuevamente la opción #2 del menú de la figura #3.2 y escogemos la op-
ción #2 (EM1) para la asignación de IP a la interface LAN. Esta configuración la
podemos ver en el siguiente cuadro.

Parámetro Configuración
Dirección IPv4 10.10.120.1
Subtnet bit count 24
LAN IPv4 gateway (sin asignar)
Dirección IPv6 (sin asignar)
DHCP para LAN no
Rango inicial 10.10.120.10
Rango final 10.10.120.252

33
 Figura #2.23 - Asignando IP a la LAN
La configuración de la LAN la podemos ver en el cuadro de la figura #3.5.

Configuración de Pfsense en el Navegador

Teniendo en cuenta que la puerta de enlace de la interface LAN configurada es

10.10.120.1, colocamos este IP en el navegador, para encontrarnos con la pági-
na de inicio de sesión del Pfsense, como se muestra a continuación:

Figura #2.24 - Login de Pfsense

Por defecto, el usuario de pfsense es admin y la contraseña es pfsense. Al in-
gresar somos direccionados a la pantalla del menú Status-DashBoard, como
se ve a continuación.

34
 Figura #2.25 - Ventana de inicio de Pfsense
Luego de esto, podemos ir navegando por los menús para ver las opciones que
deseamos configurar y aplicar. Empezamos con el menú system.

3.2 – Configuraciones del menú SYSTEM

Figura #2.26 - Menú system-advanced-AdminAccess

35
En esta pantalla cambiamos el protocolo seleccionado por HTTPS y habili-
tamos el login autocomplete, y a continuación guardamos.

Figura #2.27 – Menu System-General Setup

En la pantalla de la figura #3.9 nos fijamos en el nombre del firewall, host
y el dominio. Otro elemento a verificar aquí es la zona horaria, nosotros
seleccionamos América/Panamá.

Instalación de paquetes Squid, SquidGuard, Snort y Ntop

Dentro del menu system está la opción packages que nos proporciona
una lista de paquetes que puede tener nuestro Firewall con muchas utili-
dades tanto de seguridad, monitoreo, etc. El interés se centra en 4 paque-
tes por el momento: squid, squidGuard, Snort y Ntop.

Figura #2.28 – Paquetes Squid, SquidGuard y Snort instalados

La pestaña Available packages tiene una gran lista de paquetes útiles. Los
que se han instalado los podemos verificar en la pestaña Installed
packages.

36
 Figura #2.29 – Administración de usuarios
Es importante resaltar esta opción, ya que el pfsense nos permite crear va-
rios usuarios que podrían enfocarse en tarea específicas de monitoreo del
sistema. Esta opción se encuentra en el menú system – User manager.

Configuraciones del menú Interfaces

El siguiente Menú nos permite configurar, agregar y eliminar interfaces según

la cantidad de puertos de red que disponga el equipo, en nuestro caso el ba-
rebone provee 5 puertos de red del cual estaremos usando 2 (LAN, WAN). A
continuación mostramos algunas imágenes de las opciones de cada interface

Figura #2.30 – Interface WAN

37
Esta interface tiene la misma configuración que dejamos al momento de instalar
el pfsense

Figura #2.31 – Interface LAN

Similar al caso de la Interface WAN, esta tiene la misma configuración que deja-
mos al momento de instalar el Pfsense

Configuraciones del menú Firewall

De momento las reglas que tenemos creadas de Firewall están para la In-
terface LAN, que es lo que mostramos en la figura a continuación:

Figura #2.32 - Reglas de Protocolos para la LAN

38
Configuraciones del Menú SERVICES

Figura #2.33 - Habilitar SquidGuard desde ProxyFilter

Lo que queremos hacer ahora es habilitar y configurar el filtro del contenido,
que se encuentra en el menú services-proxy filter.
El primer paso, es habilitar los elementos que vemos marcados en las figu-
ras a continuación, que son:
• Habilitar SquidGuard
• Habilitar GUI log

39
 • Habilitar la opción BlackList.

Guardamos y ahora nos movemos a las siguientes pestañas para terminar

de configurar unas opciones que nos permite iniciar este servicio.

Figura #2.34- Pestaña de filtro de contenido

En la pestaña de Common ACL, presionar la flecha verde que dice Target
Rules para desplegar la lista de categorías de páginas web que se pueden
bloquear.

Figura #2.35 - Tipos de sitios bloqueables por el firewall

Para activar el squidGuard debemos bajar la base de datos de la lista ne-
gra. Esto lo podemos ver en la pestaña blacklist y colocamos la dirección
web.

40
 Figura #2.36 - Descarga del BlackList
Hecho esto regresamos a la pestaña General Settings, y presionamos el
botón Apply, con lo que se inicia el SquidGuard.

Figura #2.37 - Access control, puertos seguros.

Lo próximo es la configuración de Proxy server donde configuraciones la
subnet permitidas y los puertos permitidos, como vemos en la figura #3.20.
Salimos de este menú, y vamos al menú Services-Snort y vamos a la
pestaña Global Settings, donde colocamos el oinkCode generado al
registrarnos en la web de Snort.

41
 Figura #2.38 - Aplicación de Snort al Firewall
Para terminar en esta pestaña, marcamos todas las casillas a excepción de
ETPro.
La siguiente pestaña que vemos es Snort Interfaces, y nos fijamos que es-
te habilitado para todos.

Figura #2.39 - Interfaces sincronizadas con Snort

42
 En la pestaña Updates podemos actualizar los paquetes de Snort descargados

Figura #2.40 - Paquetes de Snort instalados que se

pueden actualizar
Para finalizar, nos fijamos que todos los servicios estén corriendo para lo cual
nos vamos al menú Status-Services.

Configuraciones del menú STATUS

Figura #2.41 - Servicios del firewall en funcionamiento

2.4 – Instalación y Configuración del Active Directory

Para la instalación del servidor de Directorio Activo, utilizamos una máquina virtual
con las siguientes especificaciones:

43
 Especificaciones
Sistema Operativo Windows Server 2008
Memoria RAM 4 GB
Disco Duro 25 GB
Tipo de Red Puente
Dirección IP 10.10.220.200

Como podemos ver en el cuadro utilizaremos el sistema operativo Windows

Server 2008 para el uso del directorio activo.

Figura #2.42 – Sistema Operativo para AD

Para la creación de los usuarios del AD, abrimos la consola del AD y como vemos
en la siguiente figura le damos click derecho en la opción User y escogemos la
opción New. En nuestro caso creamos el dominio grupoabc.local, ese dominio es
el que se usará para cada usuario que se cree dentro del directorio activo.

44
 Figura #2.43 – Creación de usuario en AD

La nomenclatura usada para la creación del equipo es ABCnombre y en el

nombre se colocará el nombre completo del usuario.

Figura #2.44 – Creación de equipo en AD

45
Luego de haber creado el equipo y usuario en el directorio activo, abrimos una
nueva máquina virtual para levantar el dominio en otro equipo. Para este proyecto,
utilizamos el sistema operativo Windows XP.

Figura #2.45 – Sistema Operativo usado para los equipos

de los usuarios

Las especificaciones con las que cuenta esta máquina virtual son las siguientes:

Especificaciones
Sistema Operativo Windows XP
Memoria RAM 42GB
Disco Duro 25 GB
Tipo de Red Puente

Luego de hacer la instalación del sistema operativo, procedemos a irnos a la parte

de especificaciones de la máquina en las propiedades de sistema (ver figura #
2.46) y nos vamos a la pestaña Computer Name

46
 Figura #2.46 – Levantar usuario a dominio
Cuando estamos en la pestaña computer name, vamos a la opción Change y nos
aparecerá una ventana donde colocaremos el nombre del equipo creado, en
nuestro caso ABCandrea, el dominio grupoabc.local y colocamos una contraseña
que puede ser cambiada por el usuario en el siguiente inicio de sesión. Hacemos
click en OK y reiniciamos la máquina virtual. Cuando está reinicie nos aparecerá la
siguiente ventana, donde con ella confirmamos que nuestro equipo ya está en
dominio.

47
 Figura #2.47 – Pantalla de login del usuario luego de
estar en dominio

2.5 – Instalación y Configuración del Servidor Apache

Con la aparición de la Web 2.0, el intercambio de información a través de redes

sociales y el crecimiento de los negocios en la adopción de la Web como un medio
para hacer negocios y ofrecer servicios, los sitios web son constantemente ataca-
dos. Los hackers buscan, ya sea comprometer la red de la corporación o a los
usuarios finales, accediendo al sitio web.

Como resultado, la industria está prestando mayor atención a la seguridad de apli-

caciones web, así como a la seguridad de las redes computacionales y sistemas
operativos.

48
La mayoría de los ataques a aplicaciones web ocurren a través del cross-site
scripting (XSS) e inyección SQL el cual comúnmente resulta de una codificación
deficiente y la falta de desinfección de las entradas y salidas de la aplicación web.

Figura #2.48 - Gráfico Cenzic muestra el informe de

tendencias de la vulnerabilidad de 2013

Remover la versión del banner

Abrimos el archivo security.conf

/etc/apache2/conf-availables/security.conf

Habilitamos o agregamos de ser necesario las siguientes líneas:

ServerTokens Prod
ServerSignature Off

49
 Figura #2.49 – Remover versión del banner.

Deshabilitar el listado de directorios.

Para evitar que un atacante pueda ver el listado de archivos y carpetas de nuestro
servidor Web.

Abrimos el siguiente archivo apache2.conf

vi /etc/apache2/apache2.conf

Dentro del directorio agregamos la siguiente línea:

Options –Indexes

50
 Figura #2.50 – Deshabilitar el listado del directorio.

Ejecutar apache desde una cuenta sin privilegios.

En caso de que un atacante logre obtener el usuario y contraseña del apache, es

importante que esta cuenta no posea permisos para iniciar sesión como root y
poder hacer otras cosas en nuestro servidor Web.

Para esto debemos crear un grupo y posteriormente un usuario, con el nombre de

apache.

groupadd apache
useradd –G apache apache

Luego cambiamos el propietario de la carpeta de instalación del Apache, con el

nuevo usuario sin privilegios que acabamos de crear.

chown –R apache:apache /opt/apache

51
 Figura #2.51 – Cambiar propietario del apache.
Protegernos de ataques Clickjacking

Clickjacking o secuestro de clic, es una técnica maliciosa para engañar a

usuarios de Internet con el fin de que revelen información confidencial o tomar
control de su computadora cuando hacen clic en páginas web aparentemente
inocentes.

En uno de los muchos navegadores o plataformas con alguna vulnerabilidad, un

ataque de clickjacking puede tomar la forma de código embebido o script que se
ejecuta sin el conocimiento del usuario; por ejemplo, aparentando ser un botón
para realizar otra función.

Editar el siguiente archivo default-ssl.conf, ubicado en /etc/apache2/sites-

available/

nano /etc/apache2/sites-available/default-ssl.conf

Agregar la siguiente línea:

Header always append X-Frame-Options SAMEORIGIN

52
 Figura #2.52 – Protección contra el Clickjacking.

Proteger la cookie con Secure cookie

La cookie es una pequeña información enviada por un sitio web y almacenado en

el navegador del usuario, de manera que el sitio web puede consultar la actividad
previa del usuario. Pero dicha información puede ser manipulada por terceros sin
no controlamos esto.

Agregamos la siguiente línea dentro del archivo default-ssl.conf:

Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

Figura #2.53 – Protección contra manipulación de cache.

53
XSS (Cross Site Scripting)

Cross-site scripting es un tipo de inseguridad informática o agujero de

seguridad típico de las aplicaciones Web, que permite a una tercera persona
inyectar en páginas web visitadas por el usuario código JavaScript o en otro
lenguaje similar (ej: VBScript), evitando medidas de control como la Política del
mismo origen.

XSS es un vector de ataque que puede ser utilizado para robar información
delicada, secuestrar sesiones de usuario, y comprometer el navegador,
subyugando la integridad del sistema.

Para solucionar esta vulnerabilidad agregamos dentro del archivo default-ssl.conf

la siguiente línea.

Header set X-XSS-Protection: "1; mode=block"

Figura #2.54 - Cross site Scripting.

Luego de haber agregado estas tres últimas líneas al archivo default-ssl.conf,

54
nos debe quedar el IfModule mod_header.c así:

<IfModule mod_headers.c>

Header always append X-Frame-Options SAMEORIGIN

Header set X-XSS-Protection: "1; mode=block"

Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

</IfModule>

Reiniciamos apache2

/etc/init.d/apache2 restart

Eliminar el historial de la consola de intérprete

Ejecutamos el siguiente comando:

history -c && history –w

Figura #2.55 – Eliminación del Historial.

Configuración seguridad de Openssl y suites de protocolos seguros.

55
Primero vamos a crear un certificado con una cifrado RSA de 4096, y su
respectiva firma.
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout localhost.key -
out localhost.crt

Ahora vamos a generar nuestras llaves

openssl req -out localhost.csr -new -newkey rsa:2048 -nodes -keyout

localhost.key

Agregamos nuestro certificado, copiamos nuestro certificado, y llave dentro del

siguiente archivo: default-ssl.conf.

SSLCertificateFile # Personal Certificate

SSLCertificateKeyFile # Key File
SSLCACertificateFile # Signer Cert file

Ahora vamos a configurar el OpenSSL con los protocolos de cifrados seguros,

eliminando protocolos obsoletos como el sslv2 y sslv3, además de la
renegociación de protocolos débiles aprovechados por vulnerabilidades como
Poodle, the beast, heartbleed, entre otras. Procedemos a abrir el archivo ssl.conf

nano /etc/apache2/mods-available/ssl.conf

Figura #2.56 – Configuración del Open SSL - 1.

La siguiente opción permite el uso de suite de cifrados altas y medios, y anula los

56
cifrados débiles y hash como MD5, MD4, entre otros obsoletos.

Figura #2.57 – Configuración del open SSL - 2.

El parámetro SSLHonorCipherOrder On, habilita o permite solamente el uso de
los cifrados Fuertes que mostramos abajo: Curvas elípticas + diffie healman,
curvas elípticas + dsa,, entro otros cifrados en dicho orden.

La siguiente configuración elimina los protocolos obsoletos de SSLv2 y SSLv3

Figura #2.58 – Configuración del Open SSL - 3.

En la siguiente opción comentamos el parámetro que por defecto permite la
renegociación de insegura de cifrados.

57
 Figura #2.59 – Configuración del Open SSL - 4.
Habilitamos el uso de HSTS que nos permite el uso de forward secrecy con https

Figura #2.60 – Habilitamos el uso de HSTS.

Configuración del WAF

Estará formado por tres mod (mod security, mod evasive, mod qos).

58
Nota: La dirección IP y nombre de la máquina que veremos a continuación es
diferente, pues es de un informe anterior.

A continuación detallamos los pasos para la instalación y configuración del Mod

Security (nuestro WAF), luego continuamos con el Mod Evasive (nuestro IPS) y
por último el Mod Qos (Nuestra protección contra ataques de denegación de
servicios o Slow Loris).

Instalamos las dependencias con el siguiente comando:

apt-get install libxml2 libxml2-dev libxml2-utils

Figura #2.61 – Instalación de dependencias.

59
apt-get install libaprutil1 libaprutil1-dev

Figura #2.62 – Instalación de dependencias.

Nos preguntará si deseamos continuar, le decimos que sí, osea presionamos la

letra Y luego la tecla Enter.

Ahora que ya hemos instalado las dependencias necesarias, podemos iniciar la

instalación del Mod Security.

Instalación del mod_Security:

60
Mod security cambio a la versión dos por eso utilizamos este comando

apt-get install libapache2-mod-security2 -y

Figura #2.63 – Instalación del mod Security.

61
Configuración del ModSecurity

Vamos a copiar la configuración recomendada a su correspondiente archivo en la

ubicación

cp /etc/modsecurity/modsecurity.conf-recommended
/etc/modsecurity/modsecurity.conf

Figura #2.64 – Configuración del mod Security.

62
Ahora procedemos a activar las reglas en el archivo de configuración
usamos el siguiente comando:

nano /etc/modsecurity/modsecurity.conf

Figura #2.65 – Activación de reglas del mod security.

63
Instalación y
configuración de
OSSIM 3

64
 3
3.1 – Instalación OSSIM
El siguiente capítulo veremos la instalación del OSSIM y la configuración de las
diferentes áreas de la herramienta.

NOTA
! La instalación del OSSIM es igual a cualquier instalación de Distribuciones
GNU/Linux

Figura #3.1 – Selección del Idioma durante la instalación

65
 Gestión de Incidentes de Seguridad

Figura #3.2 – Configuración del Idioma del teclado

66
 Gestión de Incidentes de Seguridad

Figura #3.3 – Selección de la ubicación vamos a seleccionar

Otros

Figura #3.4 – Seleccionamos Centro América

67
 Gestión de Incidentes de Seguridad

Figura #3.5 – Seleccionamos Panamá

Figura #3.6 – Idioma de codificación

68
 Gestión de Incidentes de Seguridad

Figura #3.6 – Instalación de componentes

Figura #3.7 – Nombre de host del OSSIM

69
 Gestión de Incidentes de Seguridad

Figura #3.8 – Contraseña del usuario root

Figura #3.9 – Particionado del disco

70
 Gestión de Incidentes de Seguridad

Figura #3.10 – Particionado del disco en una sola partición

Figura #3.11 – Terminamos el Particionado del disco

71
 Gestión de Incidentes de Seguridad

Figura #3.12 – Se escriben los cambios al disco

Figura #3.13 – Instalación del Grub

72
 Gestión de Incidentes de Seguridad

3.2 – Configuración OSSIM

Lo primero que hacemos es acceder a la dirección configurada la cual es la
siguiente:
10.10.120.20

Figura #3.14 – Creación de cuenta de administración

Vamos a llenar la información del usuario administrador

Figura #3.15 – Información de Usuario administración

73
 Gestión de Incidentes de Seguridad
Una ve configurada la cuenta del usuario administrador procedemos a la
configuración de la red, el descubrimiento de activos y el registro de los logs.

Figura #3.16 – Wizard de Configuración Inicial

Primero vamos a configurar la interfaz de administración, en la interfaz eth1
vamos a configurarla como Network Monitor y por último la interfaz eth2 la
colocamos como log collector.

Figura #3.17 – Wizard de Configuración Inicial

74
 Gestión de Incidentes de Seguridad

Figura #3.18 – Wizard de Configuración Inicial, con las interfaces

configuradas
El siguiente paso es la configuración de los activos de la red, vamos a escanear
en este caso la zona LAN.

Figura #3.19 – Escaneo de la red

75
 Gestión de Incidentes de Seguridad

Figura #3.20 – Escaneo de la red

Podemos observar que los activos conectados a la red.

Figura #3.21 – Activos encontrados durante el escaneo

76
 Gestión de Incidentes de Seguridad

Durante el escaneo podemos ver el firewall que en nuestro caso tiene el ip

10.10.120.21. Vamos a dar siguiente

Figura #3.22 – Activos encontrados durante el escaneo, firewall

Pfsense
El siguiente paso del wizard es el deployment o instalación de los agentes en los
diferentes activos de la red:

1) Debemos poner las credenciales de acceso usuario y contraseña.

2) Podemos definir los activos de la red y los diferentes SO a los que vamos a
proceder a instalarle los agentes.
3) El siguiente muestra el listado de todos los activos que deseamos hacerle la
instalación de agentes.

Una vez instalado los agentes en los activos que deseamos damos click en
siguiente

77
 Gestión de Incidentes de Seguridad

Figura #3.23 – Configuración del Deployment

Figura #3.24 – HIDS Deployment

78
 Gestión de Incidentes de Seguridad

Figura #3.25 – HIDS Deployment, Agente en Servidor Linux

Figura #3.26 – Agente instalado correctamente

79
 Gestión de Incidentes de Seguridad

Configuración de las interfaz del log collector y los equipos como el firewall y el ids
en la dmz y lan.

Figura #3.27 – Configuración de las interfaces de administración

de logs

Podemos observar la configuración es correcta cuando el plugin está habilitado

nos muestra un indicador en color verde. Vamos a dar siguiente

Figura #3.28 – Configuración de los activos o network device

80
 Gestión de Incidentes de Seguridad

NOTA
! Para que el OSSIM reciba los registros del pfsense debemos habilitar la opción
Remote Login

Habilitamos la opción de enviar a servidor remoto e indicamos el servidor en este

caso es el IP de administración del OSSIM.

Figura #3.29 – Configuración Servidor de Logs remotos en el

Pfsense

3.3 – Interfaz de Administración OSSIM

Primer acceso a la interfaz de administración del OSSIM luego de completar la

instalación

81
 Gestión de Incidentes de Seguridad

Figura #3.30 – Acceso a la administración del OSSIM

Primeros eventos registrados luego de la instalación podemos observar en la
siguiente imagen que la mayoría son eventos de Autenticación los cuales registra
los accesos a los activos durante la instalación de los agentes.

Figura #3.31 – SIEM TOP Eventos

82
 Gestión de Incidentes de Seguridad
La sección de filtros podemos hacer las búsquedas por sensores, por riesgo de
eventos, por fecha. Además el listado nos indica el tipo de eventos el registro la
fecha, la fuente de donde proviene en nuestro caso son registro del sistema
provenientes del firewall.

Figura #3.32 – Registros en la sección de Análisis

La siguiente imagen encontramos los registros de acceso por ssh a los agentes
Linux y los registros del IDS

Figura #3.33 – Registros en la sección de Análisis

83
 Gestión de Incidentes de Seguridad
Detalles de los eventos registrados:

1) Tipo de evento en este caso un evento recolectado por el IDS.

2) El sensor que detecto el evento.
3) El tipo de categoría IDS.

Figura #3.34 – Detalles de los eventos

Descripción de la regla activada, por el snort en el firewall.

Figura #3.34 – Detalles de la regla activada por los eventos

84
 Gestión de Incidentes de Seguridad
Luego del análisis de los eventos, podemos ir a la sección de Tickets, podemos
observar las vulnerabilidades, la prioridad asignada al activo e información del
personal asignado.

Figura #3.35 – Vulnerabilidad en activos encontradas y los tickets

La sección de Análisis encontramos adicionalmente las Alarmas, la cual nos

indican los eventos de mayor riesgo en los activos mayor criticidad para la
organización.

Figura #3.36 – Alarma en un escaneo al Servidor AD

85
 Gestión de Incidentes de Seguridad
Procedemos a realizar un escaneo nuevamente en la sección de Enviroment,
para añadir nuevos activos que no fueron escaneados durante el proceso de
instalación

Figura #3.37 – Escaneo de activos

Podemos verificar los activos una vez se encuentren dentro de los activos de la
organización, los eventos registrados, programas instalados o servicios activos.

Figura #3.38 – Análisis de los activos de la Organización

86
 Gestión de Incidentes de Seguridad

Descripción de vulnerabilidades por criticidad del activo encontrado, listado

de escaneo de las vulnerabilidades a los diferentes host.

Figura #3.39 – Escaneo de vulnerabilidades

Vista ejecutiva de resumen de servicios vulnerables del análisis de activos
escaneados

Figura #3.40 – Escaneo de vulnerabilidades

87
 Gestión de Incidentes de Seguridad
Otra sección importante de la administración es el Dashboard que nos muestra
una vista general de los eventos, activos y vulnerabilidades.

Figura #3.41 – Tablero de eventos, por host, por vulnerabilidades

Resumen de tickets abiertos por tipos, por vulnerabilidades o por anomalías.

Figura #3.42 – Tablero de tickets

88
 Gestión de Incidentes de Seguridad

Evaluación de
criticidad de
activos 4

89
 Gestión de Incidentes de Seguridad

4
Tener todos nuestros activos correctamente definidos en nuestro SIEM, es parte
fundamental para poder sacarle el máximo provecho a nuestro correlacionador de
eventos, lo que nos va a permitir que tengamos una visión completa, ordenada y
segmentada de toda nuestra infraestructura, de esa forma vamos a poder
monitorear y proteger nuestra red de forma más completa, puesto que todos los
eventos captados por los distintos dispositivos de seguridad e inclusos por los
HIDS que tengamos instalados en cada equipo que consideremos importante y
sensitivos para nuestra organización, nos va permitir prestar especial atención a
estos equipos, pero obviamente sin descuidar los equipos de menor criticidad, ya
que desde un equipo de poca criticidad se puede tener acceso a un equipos de
mayor criticidad, si las vulnerabilidades de cualquier equipo es dejada a un lado y
no es atendida.

Primero que nada debemos tener escaneada y actualizada nuestra red, para así
podamos tener una visión de toda nuestra infraestructura en nuestro
correlacionador de eventos.

Una vez tenemos un inventario de todos los dispositivos que están en nuestra red,
debemos determinar la criticidad o jerarquía de cada dispositivo, pues cuando
recibamos desde nuestro OSSIM miles de eventos, o vulnerabilidades y no
sepamos la criticidad de cada dispositivo o el impacto que pueda tener el incidente
detectado, y no tengamos ni idea de que necesitamos monitorear en cada equipo.
Es por todo lo anteriormente mencionado que debemos tener definido la jerarquía
de nuestros activos.

A continuación en base a todo lo anteriormente mencionado, veremos un estudio

de criticidad e impacto de nuestra empresa ficticia, Grupo ABC, la cual se dedica a
ventas comerciales de productos y servicios varios.

4.1 – Inventario de activos

Debemos tener un inventario de todos nuestros activos, y así poder saber que
forma parte de nuestra infraestructura, a continuación detallamos todos los
dispositivos que forman parte de la infraestructura de la empresa Grupo ABC.

 8 Computadoras
 25 Puntos de red
 1 Router

90
 Gestión de Incidentes de Seguridad
 3 Switches
 1 IPS
 1 Firewall
 1 Servidor de aplicación de gestión de archivos
 1 Servidor de aplicación de gestión de ventas
 1 Servidor de AD
 1 Servidor para manejo de inventarios, gestión de solicitudes, monitoreo de
aplicaciones, almacenamiento de log

4.2 – Identificación de Vulnerabilidades

Una vez tengamos definido el inventario de todos los dispositivos que forman parte
de nuestra infraestructura, debemos establecer los criterios fundamentales por los
cuales identificaremos las vulnerabilidades a las que pueda estar expuesto cada
dispositivo.

Seguridad Física.
 Monitoreo ambiental
 Control de acceso
 Desastres naturales
 Control de incendios
 Inundaciones

Seguridad en las conexiones a Internet.

 Políticas en el Firewall
 VPN
 Detección de intrusos

Seguridad en la infraestructura de comunicaciones.

 Routers
 Switches
 Firewall
 Hubs
 RAS (Servidor de Acceso Remoto)

Seguridad en Sistema Operacionales (Unix, Windows)

 Correo Electrónico
 AD

4.3 – Categorización de incidentes

Debemos categorizar todos los incidentes ya sea por el tipo de incidente, y
adicionalmente también pudiéramos hacerlo por el grupo de trabajo que puede
solucionar dicho incidente, pero tendríamos que tener definido estos grupos de
trabajos por el tipo de incidente que puede resolver cada grupo, para nuestro
análisis de criticidad solo haremos la categorización por el tipo de incidente, pues

91
 Gestión de Incidentes de Seguridad
la empresa solo cuenta con un único grupo de trabajo para resolver incidentes.

Acceso no autorizado
 Acceso no autorizado con éxito.
 Robo de Información.
 Alteración de la información.
 Borrado de información.
 Intentos de accesos no autorizados recurrentes y no recurrentes.
 Mal uso o abuso de los servicios informáticos que necesitan autenticación.

Código malicioso
 Virus.
 Troyanos.
 Malware en general.

Denegación de Servicio DoS

 Ataques para saturar sistemas, páginas, servicios y provocar su caída y por
ende indisponibilidad.
 Tiempos de respuesta no aceptables o no cumplimiento de Acuerdos de
Niveles de Servicio existentes de determinado servicio.

Mal uso de recursos

 Correo electrónico.
 Violación a la política de Seguridad de Información.
 Violación de normativa de acceso a internet, abuso o mal uso de este.
 Abuso o mal uso de servicios informáticos en general.

Intentos de obtención de información

 Detección de vulnerabilidades.
 Sniffers.
 Ataques de phishing.
 Prácticas de Ingeniería Social.

4.4 – Criticidad de los incidentes

Ahora que tenemos el inventario de los recursos y la categorización de los

incidentes a los que dichos recursos están expuestos, vamos a realizar un cuadro
donde determinaremos el nivel de criticidad de cada incidente.

92
 Gestión de Incidentes de Seguridad

Figura #4.1 – Cuadro de criticidad de incidentes del Grupo ABC.

Con este cuadro podemos aplicar la siguiente formula fórmula para poder
determinar la criticidad de cada incidente.

Efectos negativos producidos por el incidente + Criticidad de los recursos

afectados = Criticidad del incidente

4.5 – Importancia de los recursos afectados

Es importante tener claro la importancia de los recursos que para nuestra empresa
Grupo ABC, son de mayor impacto, ya sea por la actividad de misma, o por la
importancia que el recurso pueda tener para que el negocio se mantenga activo.

 Firewall: como uno de los dispositivos de Seguridad en la infraestructura de

comunicaciones, un acceso no autorizado o una denegación de este servicio,
causaría una vulnerabilidad importante en toda la infraestructura, puesto que
sin este equipo funcionando correctamente, dependeríamos de la seguridad en
cada equipo y si un atacante pudo causar un daño al Firewall, entonces muy
posiblemente podrá hacerlo también con el resto de la seguridad en poco
tiempo.

 Servidor de aplicación de gestión de ventas: Si este servidor sufre un

93
 Gestión de Incidentes de Seguridad
ataque de denegación de servicio, o intentos de obtención de información que
obligue a la empresa a desconectar al servidor de la red, esto dejaría a la
empresa sin poder hacer la actividad más importante para este negocio
“VENDER”.

 Servidor de AD: si nuestro directorio activo sufre un acceso no autorizado, o

es infectado por un código malicioso, o sufre una denegación de servicio DoS,
o intentos de obtención de información, cualquiera de estos ataques dejarían
inoperante nuestro servidor AD, y por lo tanto un ataque directo a todas las
computadoras de la empresa, pues los computadores y usuarios no podrían
autenticarse y por ende no tendría acceso al sistema, además dejaría de estar
bajo las políticas de seguridad que se tenga configurada.

4.6 – Determinación del impacto de un incidente

También es importante cuando evaluemos la criticidad de un incidente, determinar

el impacto que un incidente pueda generar en nuestro negocio, para ellos
podemos utilizar los siguientes criterios:

 Frecuencia de falla: son las veces que falla cualquier componente del
sistema.

 Impacto operacional: es el porcentaje de producción que se afecta cuando

ocurre la falla.

 Nivel de producción manejado: es la capacidad que se deja de producir

cuando ocurre la falla.

 Tiempo promedio para reparar: es el tiempo para reparar la falla.

 Costo de reparación: costo de la falla

 Impacto en seguridad: posibilidad de ocurrencia de eventos no deseados con

daños a personas.

 Impacto ambiental: posibilidad de ocurrencia de eventos no deseados con

daños al ambiente.

Por ejemplo podemos suponer que la empresa Grupo ABC, sufrió un ataque de
denegación de servicio DoS, en el servidor de aplicación de gestión de ventas.

94
 Gestión de Incidentes de Seguridad

Impacto en el servidor de aplicación de gestión de ventas

Tipo de incidente: Denegación de Servicio (DoS)
Frecuencia de falla 1
Impacto operacional 100
Nivel de producción manejado 100
Tiempo promedio para reparar 4 (Horas)
Costo de reparación 1.500 (dólares)
Impacto en seguridad
Impacto ambiental
Total 1,705

En base al número que obtuvimos en el total, determinamos la jerarquía del

recurso, podemos hacer lo mismo con el resto de los recursos, igualmente con el
mismo recurso pero con diferente incidente.

95
 Gestión de Incidentes de Seguridad

Reportes de
Incidentes 5

96
 Gestión de Incidentes de Seguridad

5
5.1 – RESUMEN EJECUTIVO
Grupo ABC realizó pruebas de pentesting para su servidor de aplicaciones inter-
nas.

5.1.1 – Objetivos
 Identificar vulnerabilidades.
 Validar la seguridad.
 Proveer soluciones.

5.1.2 – Alcance
El servidor con 10.10.120.31 fue el único equipo computacional evaluado para es-
te reporte de incidencia. Es importante aclarar que las bases de datos están
fuera del alcance de esta evaluación.

5.1.3 – Resumen de Hallazgos

 Vulnerabilidad CrossSite Scripting XSS.
 SQL injection.
 Divulgación de ruta completa.
 Vulnerabilidad de DOS en el Servidor MYSQL.
 Protocolo de Certificados digitales débiles.

5.1.4 – Recomendaciones
Debido a las vulnerabilidades encontradas en las aplicaciones permiten el acceso
a páginas con información crítica para la organización, y que las funciones que se
realizan en dicho servidor son cruciales para el normal desempeño de las opera-
ciones que se realizan en el Grupo ABC, sugerimos lo siguiente:

 Creación de una línea base que sirva de plantilla para los diversos servidores y
sus aplicaciones.
 Implementación de WAF embebidos en el servidor web.
 Hacer un hardening a las aplicaciones internas desarrolladas o implementadas
en el servidor.
 Cambiar información por defecto de la configuración de los servicios utilizados
en las aplicaciones.
 Verificación y adopción de las mejoras prácticas de configuración del sistema
operativo, recomendado por la comunidad.
97
 Gestión de Incidentes de Seguridad
 Eliminación de los protocolos de cifrado débiles.

5.2 – METODOLOGÍA
Para el análisis de los servicios se efectuó un escaneo de puertos al servidor de
aplicaciones. Se utilizaron herramientas de escucha de servicios como NMAP para
la identificación de los servicios usados en el servidor, se encontraron los siguien-
tes servicios:
 Servidor de DNS
 Servidor Web (Apache)
 Servidor FTP
 Servidor Mysql
 Servidor Postgres
 Servidor SSH

5.3 – DETALLE DE HALLAZGOS

El informe de hallazgos a continuación muestra las vulnerabilidades encontradas
en el servidor de aplicaciones:

Figura #5.1 – Informe de vulnerabilidades

Otro hallazgo es el registro de eventos por riesgos, detectando los intentos de ata-
ques al servidor de aplicaciones.

98
 Gestión de Incidentes de Seguridad

Figura #5.2 – Eventos registrados por el OSSIM

Del análisis realizado podemos observar que dentro de los host más atacados se
encuentra el servidor de aplicaciones.

Figura #5.3 – Host más atacados

99
 Gestión de Incidentes de Seguridad
5.4 – CONCLUSIONES

Basados en las evidencias obtenidas del análisis realizado podemos percatarnos

de muchas vulnerabilidades existentes en el servidor de aplicaciones interna.
A pesar de la aplicación medida de seguridad como son los IDS, IPS, Firewall, es
imprescindible corregir las vulnerabilidades encontradas en los servicios para las
diversas aplicaciones interna.

100
 Gestión de Incidentes de Seguridad
5.5 – Modelo Reporte de Incidente de Seguridad

NOTA
! La siguiente sección es un modelo del reporte de incidentes usad por el
grupo ABC.

Reporte de incidente de seguridad informática.

Un incidente de seguridad se define como el acontecimiento de un suceso

inesperado que pretende obtener, dañar, destruir, o realizar cualquier tipo
de modificación a un bien o activo de una organización, siendo éste
exitoso o no, para la obtención de un beneficio de manera ilícita; así como
cualquier violación a las políticas de seguridad establecidas.

El objetivo de la realización de un reporte es permitir una respuesta

apropiada para la solución y corrección de cualquier tipo de incidente que
se presente con la finalidad de evitar que se vuelva a presentar, con esto
se busca el minimizar la ocurrencia de incidentes que interrumpan
servicios, trabajos y actividades que se desempeñan en la Facultad de
Ingeniería. De esta misma forma se quiere dar un seguimiento y un
manejo apropiado a los diversos incidentes que se presenten.

Por lo anterior se requiere el llenado del formato anexo con la mayor

seriedad y de la mejor manera posible el cual deberá presentar a la
brevedad posible con el administrador o responsable inmediato. En caso
de no conocer algunos términos o requerir asistencia para el llenado de
este formato el administrador de red le ayudará a llenar dicho formato, o
escriba un correo electrónico al Departamento de Seguridad en Cómputo
(DSC).

Responsable: Andrea Muñoz

Teléfonos: 6677-8899
Correo electrónico: Andrea.munoz@grupoabc

101
 Gestión de Incidentes de Seguridad

Reporte de incidente de seguridad informática

Fecha y hora del llenado del reporte: 23/5/2016 9:19am

Datos personales

Llene esta parte con los datos personales de la persona que está llenando
el reporte.

Nombre Completo: Jesús Montenegro

Departamento: IT

Correo electrónico:jesus.montenegro@grupoabc

Teléfono interno:3661 Teléfono particular:6555-9999

Información sobre el incidente

La información que usted proporcione acerca del incidente ayudará a dar

solución de una mejor y más rápida forma.

Fecha y hora en que se suscitó el incidente:17/5/2016 7pm

102
 Gestión de Incidentes de Seguridad

Marque con una cruz las opciones aplicables al incidente

Uso indebido de información. Cambio en la configuración en

Uso inadecuado de recursos X equipo. o infección de malware, o
Ataque
informáticos. código malicioso (virus, gusanos,
Divulgación no autorizada de troyanos,
Acceso oetc.)
intento de acceso a un
información personal. sistema informático.
Acceso o intrusión física. Pérdida o destrucción no autorizada
de información.
Ingeniería social. Interrupción en los servicios de red.
Uso indebido de correo X Anomalía o vulnerabilidad técnica
electrónico institucional. del software.
Modificación de información de un Robo o pérdida de equipo.
sitio o página.
Robo o pérdida de información. Amenaza o acoso por medio
Modificación, instalación o electrónico
Otro no contenido:
eliminación de software.

103
 Gestión de Incidentes de Seguridad
Descripción del incidente

Brevemente describa y proporcione información acerca del incidente

Se encontraron vulnerabilidades en el servidor de aplicaciones internas con
ip: 10.10.120.31

Detección del incidente

Describa brevemente como se detecto el incidente

Se realizó una prueba de vulnerabilidades arrojando como resultado algunas

configuraciones inadecuadas en el servidor de aplicaciones internas

El incidente aun esta en progreso Sí X No

Tiempo aproximado de duración del incidente:
El incidente no ha sido solucionado,

104
 Gestión de Incidentes de Seguridad

Información sobre el activo o bien afectado

Si conoce la información, llene los campos acerca de la información

concerniente al bien afectado.

Número de inventario: 8098

Descripción del activo o bien: Servidor de aplicaciones interna

Localización física: Se encuentra localizado en el data center

Descripción breve de la información en cuestión:

¿Existe una copia o respaldo de la información? Sí X No

¿El recurso afectado tiene conexión con la Sí X No
organización?
¿El recurso afectado tiene conexión a internet? Sí No X
Sistema Operativo: Ubuntu Server 14.04 LTS

105
 Gestión de Incidentes de Seguridad
En caso de intrusión llene esta parte.

Nombre(s) de la maquina(s) comprometida(s).

No cuenta con máquinas comprometidas debido a que la máquina
comprometida era una máquina de pruebas.

Sistema operativo indicando versiones:

No Aplica

Indique las acciones que se tomaron antes o después de la intrusión:

No Aplica

Usuarios comprometidos:
No Aplica

Existen otras máquinas afectadas por la intrusión. Especifique.

No Aplica

¿Se ha contactado a otras organizaciones? Especifique.

No

Si se autoriza o no al DSC para suministrar información a

otras organizaciones que colaboren para la solución e Sí No
investigación del incidente.
Nombre completo y firma del responsable que autoriza.

106
 Gestión de Incidentes de Seguridad
Otros contactos

Nombres e información de contacto de otras personas que pueden tener

información para asistir en la investigación del incidente:

Nombre: Carlos Rodríguez

Correo electrónico: Teléfono:6444-3333

carlos.rodriguez@grupoabc
Nombre: José Moreno
Correo electrónico: jose.moreno@grupopabc Teléfono: 6777-0000

107
 Gestión de Incidentes de Seguridad

Conclusión
No se puede estar esperando que ocurran incidentes graves ni perder dinero por
el hecho de que alguna amenaza no se ha materializado en un negocio.
En tecnología de información siempre se debe estar preparado para cubrir
cualquier requerimiento que demande el sistema, en este caso las redes de
computadores y servicios.

OSSIM ha demostrado ser una de las herramientas más importantes con las que
cualquiera persona de tecnología que administre un centro de información deba
contar. Ya que ofrece, a pesar de ser privativa, varias funcionalidades útiles para
la detección de eventos, amenazas e incidentes en nuestra red.

OSSIM también ofrece dos tipos de gráficas para representar el resultado del
análisis de los equipos de la red en diferentes periodos de tiempo, una de tipo
ejecutiva y otra con más detalle. En trabajos anteriores debemos recordar que al
detectar alguna anomalía en el sistema esto se debe reportar para saber cómo
resolver dicha necesidad. Este escalamiento se hace a nivel de TI y a nivel
ejecutivo ya que entre ambos deciden que será la acciona tomar, el reporte de TI
es más detallado y muy técnico, mientras que el ejecutivo es más gráfico y enfoca
las perdidas en activos importantes de la empresa. OSSIM nos ayuda con la
realización de la reportería de eventos.

Simplemente OSSIM ha sido una de las mejores herramientas implementadas y

que esto solo ha sido un poco de la amplia gama de utilidades que le podemos dar
a este sistema, por lo que sería bueno seguir explorando todas las posibilidades
que ofrece su versión gratuita.

108
 Gestión de Incidentes de Seguridad

Bibliografía
1. Escribir reporte de incidentes
Consultado el 20 de mayo de 2016. Disponible en:
https://sysadmincasts.com/.../20-how-to-write-an-incident-report

2. Gestión de activos
Consultado el 20 de mayo de 2016. Disponible en:
https://en.wikipedia.org/wiki/Asset_management

3. Algunos elementos de lo que es OSSIM

Consultado el 20 de mayo de 2016. Disponible en:
https://es.wikipedia.org/wiki/Open_Source_Security_Information_Management

4. Active Directory
Consultado el 20 de mayo de 2016. Disponible en:
https://es.wikipedia.org/wiki/Active_Directory

5. Definiciones riesgo, emergencia y desastre

Consultado el 7 de mayo de 2016. Disponible en:
https://riesgosbiron.wordpress.com/definiciones-de-gestion-de-riesgo/

6. Como Instalar y Configurar AlienVaultSiem

Consultado el 9 de mayo de 2016. Disponible en:
http://linoxide.com/security/install-configure-alienvault-siem-ossim/

7. Instalación y Configuración AlienvaultOSSIM

Consultado el 10 de mayo de 2016. Disponible en:
http://blog.muhammadattique.com/installing-configuring-alienvault-ossim-
opensource-siem/

8. Configurando OSSIM Server

Consultado el 14 de mayo de 2016. Disponible en:
https://sathisharthars.wordpress.com/2014/01/19/configuring-ossim-server/

9. Pfsense + OSSIM
Consultado el 14 de mayo de 2016. Disponible en:
https://forum.pfsense.org/index.php?topic=77958.0

109