Implementación de una herramienta SIM Security Information Management en la red de la UTPL

(1)

4'-2 3

() ____

-,o-1

(2)

UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

L h4 .4i

ESCUELA DE CIENCIAS DE LA COMPUTACIÓN

IMPLEMENTACIÓN DE UNA HERRAMIENTA SIM

(SECURITY INFORMATION MANAGEMET) EN LA

RED DE LA UNIVERSIDAD TÉCNICA PARTICULAR

DE LOJA

Tesis Grado previa a la obtención del

Título de Ingenieros en Sistemas

Informáticos y Computación.

AUTORES:

Ju,ia (eandra Pinedi )trévato

Marco X avierSincíie 'Pérez

DIRECTORA:

Ing. 7vtaría P. Espinoza 'T'

(3)

_i

OSSIM

Z11

,11

Universidad Técnica Particular de Loja

Ing. María P. Espinoza V.

DIRECTORA DE TESIS

CERTIFICA:

Que la Srta. Julia Alexandra Pineda Arévalo y el Sr. Marco Xavier Sinche Pérez, autores de la tesis IMPLEMENTACIÓN DE UNA HERRAMIENTA SIM (SECURITY INFORMATION MANAGEMENT) EN LA RED DE LA UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA, han cumplido con los requisitos estipulados en el Reglamento General de la Universidad Técnica Particular de Loja, la misma que ha sido coordinada y revisada durante todo el proceso de desarrollo desde su inicio hasta la culminación, por lo cual autorizo su presentación.

Loja, Agosto de 2007

ZL4

i g. Maiía P. Espinoza V.

(4)

CESIÓN DE DERECHOS

Nosotros, Julia Alexandra Pineda Arévalo y Marco Xavier Sinche Pérez, declaramos conocer y aceptar la disposición del Art. 67 del Estatuto Orgánico de la Universidad Técnica Particular de Loja, que en su parte pertinente textualmente dice: "Forman parte del patrimonio de la Universidad la propiedad intelectual de investigaciones, trabajos científicos o técnicos y tesis de grado que se realicen a través o con el apoyo financiero, académico o institucional (operativo) de la Universidad".

JuIiaA!eXandra Pineda Arévalo

0

Marco Xavier Sinche Pérez

(5)

9

OSSIM

AUTORÍA

Las ideas, opiniones, conclusiones, recomendaciones y más contenidos

expuestos en el presente informe de tesis son de absoluta responsabilidad de los

autores.

ç

Julia Al andra Pineda Arévalo

(6)

DEDICATORIAS

C

on toda la humildad que mí corazón puede emanar, dedico esta tesis con

mucho cariño.

A Dios, por permitirme llegar a este momento tan especial en mi vida. ror

darme la oportunidad de vivir j de regalarme una familia maravillosa.

A

mis padres Marco j 7oila, que me dieron la vida j han estado conmigo en

todo momento. Gracias por todo papá 9 mamá por darme una carrera para mí

futuro ,9 por creer en mí, a pesar de los momentos difíciles que hemos pasado

siempre me han apo9ado j me han brindado todo su amor. 5in ustedes J

enseñanzas no estaría aquí ni sería quien so j ahora.

A mis hermanos f'aúl, Karla, Adriana . Anita, que los quiero tanto.

Y

a mis

tíos Cheva Moca, que los c 1 uíero como a unos padres, siempre me han

apoado 9 han dado sus sabios consejos.

Xavíer

Con mucho amor

cariño dedico la

presente tesis

a los seres más

maravillosos que siempre han estado a mi lado.

A Dios, guíen es el ejemplo de mi vida, mi apoyo j por darme la dícha de

poder disfrutar de las cosas que me ofrecer la vida.

A

mi madre Julia, guíen con su amor j dulzura ha sabido estar a mí lado

apo jándome en los momentos más difíciles, por darme la oportunidad de

poder culminar mis estudios.

A

mí padre Kígoberto, que a pesar que no pude disfrutar de estos últimos

años con

¿1,

siempre ha esto en mi mente 9 en mí corazón, por ti papi he

luchado para no defraudarlo.

Y

a mis hermanos guíen los quiero mucho 9 siempre han sabido respetar mis

decisiones 9 estar a mí lado a pesar de todo.

Julia

(7)

OSSIM

AGRADECIMIENTO

Agradecemos primeramente a Dios, por darnos la fuerza y sabiduría para cumplir las metas y objetivos propuestas en nuestra tesis.

A nuestra directora de tesis la ing. Maria Paula Espinoza, quien por sus conocimientos, su orientación, su manera de trabajar, su paciencia y su motivación prestada en todo el periodo de tiempo del proyecto, nos permitió llegar a la finalización de nuestra tesis. Ella ha inculcado en nosotros un sentido de seriedad y responsabilidad, ganándose así nuestra lealtad y admiración.

A la comunidad de software libre, en especial a Dominique Karg, quien con su ayuda hemos podido salir de dudas e inquietudes acerca de la herramienta de seguridad OSSIM que se implementó en la Universidad Técnica Particular de Loja.

A nuestros compañeros de trabajo, que conforman el grupo de Telecomunicaciones, por el apoyo, motivación y optimismo que de ellos hemos

recibido.

(8)

ÍNDICE DE CONTENIDOS

Certificación...

Cesiónde derechos ...

Autoría...

Dedicatoria...

Agradecimiento...

Resumen... Introducción...

CAPÍTULO 1

1. ESTUDIO DE SIM Y DE LA HERRAMIENTA OSSIM ... . ... 3

1.1 SIM (SECURITY INFORMATION MANAGEMENT) ...3

1.1.1 Funcionalidad.... ... . ... . ... 4

1.1.2 Arquitectura ... . ... . .... . ... . ... . ... . ... 4

1.1.3 Herramientas SIM's ... . ... . ... . ... 6

1.1.4 Análisis comparativo de las herramientas SIM's ...8

1.2 OSSIM (Open Source Security Information Management)...10

1.2.1 Funcionamiento de OSSIM ...11

1.2.2 Componentes de OSSIM ...13

1.2.3 Ventajas de OSSIM ...15

1.2.4 Desventajas de OSSIM ...15

1.2.5 Análisis de las Herramientas que Integra OSSIM ... . ... 15

1.2.6 Inventario ... . ... ... ... ... . ... . ... . ... 21

1.2.7 Correlación ...24

1.2.7.1 Correlación Lógica ... ... . ... . ... . ... . ... 25

1.2.7.2 Correlación Cruzada... ... . .... . ... . ... .. ... . ... ..27

1.2.7.3 Correlación de Inventario ... .. ... ... ... .. ... . ... 28

1.3 Selección de Herramientas ...28 1

II

III

IV

V

(9)

8 OSSIM

CAPÍTULO II

2. ANÁLISIS DEL SISTEMA ACTUAL DE LA UTPL...30

2.1 Políticas de Seguridad ... . ... 30

2.2 Esquema de Seguridad... ... . ... . ... . ... . .... 31

2.2.1 Usuario Final ...32

2.2.2 Red LAN ...32

2.2.3 Seguridad Perimetral.. ... . ... . ... . ... . ... ... ... 32

2.3 Servicios de la UTPL ...33

2.4 Priorización de los Servicios ... ... . ... 34

2.4.1 Tipo de Datos ... . ... . ... ... . .... ... . .... ... 35

2.4.2 Magnitud ...35

2.4.3 Impacto Financiero ...36

2.4.4 Impacto a Usuarios ...36

2.5 Evaluación de los Servicios ... . ... . ... 37

2.6 Hardware y Software del Sistema Actual ...39

2.7 Análisis del Tráfico ...40

2.8 Análisis de Red de la UTPL ...41

2.9 Resultados del Análisis ... . ... . ... ... ... . ... . ... ...44

CAPÍTULO III

3. IMPLEMENTACIÓN DE LA HERRAMIENTA OSSIM ... .. ... 45

3.1 Requerimientos de Hardware... ... . ... . ... 45

3.2 Requerimientos de Software ... ... . ... ... ... . ... ... ... 46

3.3 Arquitectura de Monitoreo ...47

3.4 Instalación y Configuración ...49

3.5 Inventario ...50

3.5.1 Inventario de Activos ...50

3.5.2 Inventario de red ... . ... . .... ... ... . ... . ... . ... . ... 50

3.6 Afinamiento de OSSIM ...51

3.6.1 Rendimiento de Mysqi ...51

3.6.2 Firewall para el Servidor y los Agentes OSSIM ...53

(10)

CAPÍTULO IV

4. PRUEBAS ... . ... . ... ... ... . .... . ... . ... ....58

4.1 Pruebas de Funcionalidad... ... . ... . ... 58

4.1.1 Monitores...58

4.1.2 Escaners... . ... . ... . .... . ... 61

4.1.3 Syslogs...65

4.1.4 IDS's ... . ... ... ... . ... .. ... . ... .66

4.1.5 Firewalls...69

4.1.6 Resultados Obtenidos ... . ... . ... . ... 69

4.2 Prueba de Rendimiento de la Red... ... . .... ... ..70

4.3 Pruebas de Correlación ...71

4.4 Ataques Registrados ... ... ... ... 74

4.5 Resumen Consolidado de Pruebas.. ... . ... 77

FIGURAS

Figura 1-1 Arquitectura de SIM ...5

Figura 1-2 Funcionamiento ...11

Figura 1-3 Componentes de OSSIM ...14

Figura 1-4 Cambio de Nivel de Compromiso y de Ataque ...23

Figura 1-5 Árbol de reglas de condición lógica ... . ... . ... ... ... .. ... 25

Figura 1-6 Directiva "Posible troyano Doly". ... . ... ..26

Figura 2-1 Niveles de seguridad ...31

Figura 2-2 Tráfico de servicios ...41

Figura 2-3 Esquema de red de la UTPL.. ... . ... . ... .... ... 43

Figura 3-1 Arquitectura de Monitoreo Ideal .... . ... . ... . .... ..47

Figura 4-1 Sesiones Activas. ... . ... .... .... .... . ... . ... 59

Figura 4-2 Matriz de tráfico de la subred ...59

Figura 4-3 Cambio de sistema operativo ... . ... . ... . ... . ... . ... . ... 60

Figura 4-4 Tabla ARP del equipo víctima ... . ... . ... ... ... . ... 60

Figura 4-5 Tabla ARP envenenada ...61

Figura 4-6 Cambio de dirección MAC en el gateway ...61

Figura 4-7 Cambio de dirección MAC en la víctima ...61

Figura 4-8 Puertos encontrados por Nessus ...62

(11)

.

OSSIM

Figura 4-10 Informe del puerto 3389... ... . ... . ... . ... 64

Figura 4-11 Actualización de Servicios ...64

Figura 4-12 Eventos de Syslog ...65

Figura 4-13 Formato de Evento.. ... - ... ... . ... ..66

Figura 4-14 Eventos de Ntsyslog ...66

Figura 4-15 Porcentaje de cambios en los host ... . ... ... . ... . ... .68

Figura 4-16 Eventos de Snort ...69

Figura 4-17 Eventos de Cisco ASA ...69

Figura 4-18 Protocolos ...71

Figura 4-19 Alarma generada por la directiva ... . ... .... ... . ... 73

Figura 4-20 Reglas activadas de la directiva ...73

Figura 4-21 Correlación Cruzada Snort-Nessus ... . ... 74

Figura 4-22 Alarmas reportadas ...76

Figura 4-23 Alertas de la alarma Atentado por fuerza bruta al GDR2" ...76

Figura 4-24 Hosts atacados ...77

Figura 4-25 Hosts atacantes ...77

Figura 4-26 Cuadro estadístico de alarmas ...79

Figura 4-27 Cuadro estadístico de alarmas descartadas y atendidas ...80

TABLAS

Tabla 1-1 Análisis comparativo de las herramientas SIM's ...9

Tabla 1-2 Herramientas que integra OSSIM ...20

Tabla 1-3 Nivel de Riesgo.. ... . ... . ... . ... . .... . ... 22

Tabla 2-1 Servicios de la Universidad ...34

Tabla 2-2 Nivel de Datos ...35

Tabla 2-3 Servicios Afectados ...36

Tabla 2-4 Costo por hora... ... . ... ... . ... .. ... . ... ... ... 36

Tabla 2-5 Usuarios Afectados ... . ... . ... . ... ... ... 37

Tabla 2-6 Servicios de la Universidad ...38

Tabla 2-7 Niveles de criticidad ...38

Tabla 2-8 Plataformas de los servidores ...39

(12)

Tabla 3-1 Requerimientos de OSSIM ...45

Tabla 3-2 Requerimientos de Software ... .. ... . ... 46

Tabla 3-3 Herramientas de los agentes OSSIM ...48

Tabla 3-4 Inventario de Red ...50

Tabla 3-5 Permisos en el servidor OSSIM ...54

Tabla 4-1 Tráfico de Entrada y Salida .... . ... . ... 70

Tabla 4-2 Tráfico por protocolo ...71

Tabla 4-3 Prioridad de los eventos de SSH ... . ... . ... .... ... ...75

Tabla 4-4 Análisis Comparativo del Antes y Después de la Implementación de la

OSSIM...78

Tabla 4-5 Tabla de Eventos de Seguridad.. ... 79

CONCLUSIONES Y RECOMENDACIONES

Conclusiones... . ... . ... ..81

Recomendaciones .... . ... ... . ... . ... 84

ANEXOS

ANEXO 1-1 (Herramientas de OSSIM) ...98

ANEXO 1-2 (Directiva) ...136

ANEXO 2-1 (Entrevista) ... . ... . ... ... ... 139

ANEXO 2-2 (Priorización de los Servicios) ...141

ANEXO 2-3 (Inventario de Servidores) ...143

ANEXO 2-4 (Tráfico de los Servicios) ...147

ANEXO 3-1 (Especificaciones de hardware para OSSIM) ...156

ANEXO 3-2 (Descripción de paquetes requeridos)... ... ... 157

ANEXO 3-3 (Herramientas a instalar en los servidores) ...159

ANEXO 3-4 (Inventario de Activos) ...161

ANEXO 3-5 (Iptables) ...163

ANEXO 4-1 (Tráfico de entrada y salida) ...170

ANEXO 4-2 (Directiva de OSSIM) ...172

(13)

OSSIM

Introducción

Con el avance tecnológico y las amenazas latentes en las comunicaciones de red, la seguridad de la información se ha convertido en la principal preocupación de administradores de los servicios que se prestan sobre una plataforma de comunicación. Debido a estos peligros, las organizaciones han tenido que salvaguardar sus servicios mediante una adecuada Gestión de Seguridad, con la implementación de herramientas de seguridad. La Gestión de Seguridad involucra: personas, procesos y tecnología. No basta con tener un equipamiento o software adecuado, si no tienen procesos bien definidos o se conoce lo que las herramientas realizan y la información que se podría generar, como retroalimentación en la gestión de red.

Existe un sinnúmero de herramientas de seguridad, tales como: Herramientas de Monitoreo de tráfico de red, Escaners de Vulnerabilidades, Detectores de Anomalías, IDS/IPS (Sistema de Detección/Prevención de Intrusos), Firewall, ACL's, Antivirus, etc. Estas herramientas son de gran ayuda para la seguridad, pero se encuentra en diferentes lugares, múltiples formatos y no está clasificada.

Para aplacar estos problemas la solución SIM (Security Information Management) integra varias herramientas de seguridad, con el fin de recoger, ordenar y correlacionar la información sobre el estado de la red, los comportamientos de sistemas y usuarios, la información de estado de equipos. En definitiva, la información viva en la red, lo que sirve a los administradores de seguridad para encontrar los indicios de ataques informáticos que hayan ocurrido o que puedan suceder en un futuro.

(14)

motivos, para mejorar el nivel de seguridad de la plataforma de comunicación;

éste proyecto se orienta a la implementación de una herramienta SIM open

source: OSSIM (Open Source Security Information Management).

OSSIM es una herramienta de monitorización de seguridad. Tiene como objetivo

ofrecer un marco para centralizar, organizar y mejorar las capacidades de

detección y visibilidad de los eventos de seguridad de la organización. Está

compuesta por 22 herramientas líderes en el campo de la Seguridad Informática.

Posee una arquitectura formada por cuatro componentes: servidor OSSIM

(Consola de Gestión), framework (Interacción entre Módulos), base de datos de

OSSIM (Eventos) y agentes (Sondas Colectoras).

De acuerdo a las fases planteadas en el proyecto, en el primer capítulo, se

realiza un estudio de las soluciones SIM's y la herramienta OSSIM, para conocer

sus características, funcionalidad, arquitectura y SIM. Describiendo el

funcionamiento y la estructura de cada una de las herramientas que integran

OSSIM.

En el segundo capítulo, se hace un análisis del sistema actual de la UTPL, para

conocer como está estructurada la seguridad de red, servicios que presta,

hardware y software con el que cuenta. Y así definir los servicios que van a ser

monitoreados por OSSIM.

En el tercer capítulo, se describen los requerimientos de hardware y software

que necesita OSSIM, la arquitectura de monitoreo adecuada, las herramientas

con las que trabajarán los agentes, y la instalación y configuración de OSSIM.

Todo esto acoplado a los servicios con los que cuenta la Universidad.

Y finalmente, en el cuarto capítulo se realiza pruebas de funcionalidad,

rendimiento y correlación, para demostrar la capacidad de OSSIM y de cada una

(15)

t'Ph!OLO 1

1tudo de I'M y de L J-eitett

(16)

1 ESTUDIO DE SIM Y DE LA HERRAMIENTA OSSIM

En este capítulo se analiza lo concerniente a la solución SIM (Security Information Management) y la herramienta OSSIM, lo que incluye algunas herramientas basadas en este tipo de solución, tanto comerciales como open source. Las ventajas y desventajas de la utilización de la herramienta OSSIM en la UTPL y la descripción de cada una de las diferentes herramientas que integran OSSIM.

1.1 SIM (Security Information Management)

SIM es una solución diseñada para automatizar la colección de eventos del sistema y de los dispositivos de seguridad. Esta solución nació a partir de la falta que tienen los sistemas de detección de intrusos (IDS's) de separar las alarmas reales de eventos inservibles para la gestión de seguridad. Por la saturación de eventos y de falsas alarmas emitidas por las diferentes herramientas de seguridad, SIM clasifica y verifica la criticidad de los eventos, para determinar si ocurrió un acontecimiento de seguridad. [1]

Desde un servidor central se distribuye las tareas a los diferentes agentes implementados por la organización.

Las principales tareas de SIM son: centralización, correlación y priorización de eventos de varios sistemas y dispositivos.

La utilización de esta solución es importante en una organización, ya que ayuda a los administradores de seguridad a tener una visión clara de los eventos ocurridos en la red de una forma centralizada y en un mismo formato, y así identificar de una mejor manera las vulnerabilidades de seguridad y los ataques realizados. Reduce el tiempo que los administradores de seguridad necesitan pasar para detectar ataques y vulnerabilidades en la red y minimiza la cantidad de información que necesita ser procesada. Y, como resultado los activos de la organización son protegidos de mejor manera contra las amenazas.

(17)

OSSIM

Permite además, realizar un análisis forense con los eventos ocurridos, y así poder dar un seguimiento a los distintos incidentes.

1.1.1 Funcionalidad

Algunas de las funcionalidades más importantes que prestan las soluciones SIM's son [2]:

•• Administración de la infraestructura de la red y de los activos de la organización.

•:• Configuración centralizada y monitoreo de los componentes de la infraestructura de seguridad.

+ Análisis de la información reportada por los componentes de seguridad.

•• Administración de las reglas que controlan las respuestas de eventos. + Detecta, identifica y reporta eventos de seguridad.

•. Predicción y pronóstico de amenazas. + Colección y correlación de eventos. + Registro de acciones administrativas. + Permite el análisis forense de los eventos.

• Comunicación en tiempo real con el control de los sistemas de protección de los activos.

•• Permite administrar y establecer políticas de seguridad. •. Monitoreo de ataques y de respuestas en tiempo real. •• Posee un framework para la creación de agentes. •: Integridad de datos internos de las aplicaciones. + Planificación de seguridad.

11.2 Arquitectura

Una SIM está formada por tres módulos [3]:

(18)

+ Motor de correlación •:. Interfaz de usuario

Interfaz de Usuario

Administrador

MOTOR DE CORRELACIÓN

Agregación Correlación Priorización

Pi.

Colector de Eventos

DETECTORES

A

_¿

:1

[image:18.572.203.407.128.385.2]

105 Firewall Linux Windows

Figura 1-1 Arquitectura de SIM

Colector de eventos. Interactúa con los elementos de monitoreo que están instalados en la organización, recolectando los eventos generados por ellos.

Motor de correlación. Procesa la información de los eventos y alarmas que son generadas por los dispositivos de seguridad, en una inteligente ¡nterrelación de formatos, para el análisis y la correlación apropiada. Luego de realizar el proceso de recolección de eventos, proporciona una respuesta según las reglas implementadas por la organización. El proceso de eventos incluye agregación, correlación y priorización.

+ Agregación. Con ello se recolecta los eventos similares y se lo combina en uno solo, ayudando así al sistema SIM evitar el envió y recepción de eventos duplicados.

(19)

OSSIM

+ Priorización. Determina el orden en el cual los administradores de seguridad deben manejar los eventos basados en la evaluación de la amenaza.

Interfaz de usuario. Describe cómo los usuarios interactúan con el sistema.

La interfaz es utilizada para monitorear las alertas de seguridad, así como para la ejecución de tareas de administración de seguridad.

1.13 Herramientas SIM's

En la actualidad con los avances tecnológicos, han surgido diferentes herramientas SIM que permite una adecuada correlación de eventos dentro de una red. A continuación se describe de forma general algunas herramientas, tanto comerciales como open source:

Herramientas Comerciales

•. ArcSight Enterprlse Security Management (ArcSight ESM)

Es una herramienta que realiza una correlación centralizada, así como el análisis de seguridad de datos por diferentes dispositivos. ArcSight ayuda a los usuarios a administrar el riesgo de información y a proteger los activos más críticos. [4]

ArcSight ESM está diseñado para:

Monitorear, normalizar y consolidar todos los datos de seguridad. Correlación de eventos por múltiples alertas, incluyendo valoración de riesgos y estado de vulnerabilidades.

(20)

ArcSight ESM trabaja en software estándares, como: Windows NT,

Unix, Solaris, Linux y MacOS, utilizando una robusta base de datos

como es Oracle.

•. Cisco Works SIMS

SIMS (CiscoWorks Security Information Management Solution) es una

herramienta que analiza eventos de seguridad de los sistemas de

detección de intrusos, firewalls, sistemas operativos, aplicaciones y

antivirus. Además incluye funciones de diversos proveedores para las

soluciones de seguridad de red, como por ejemplo: se basa en

tecnología netForensic. [5]

Trabaja como cliente/servidor que funciona en Microsoft Windows

2000, NT, XP, y Server 2003.

•• Cisco MARS

MARS (Security Monitoring, Analysis and Response System) es una

herramienta que permite controlar una instalación de seguridad

mediante la identificación y administración de los eventos de

seguridad. Además MARS capacita para poder enfrentarse a las

amenazas de seguridad que atacan las redes de los clientes de un

modo más cómodo gracias a la correlación lógica de los eventos que

los dispositivos de red envían. Pudiéndolos así utilizar de un modo

más inteligente. Y por medio de ello se podrá descubrir, mitigar e

informar sobre las amenazas de seguridad que se encuentran en la

red. [6]

Trabaja como cliente/servidor que funciona en Microsoft Windows

(21)

O

IM

OSSIM

Herramientas Open Source

•:• OSSIM

OSSIM es una herramienta de monitorización de seguridad, que

permite recoger, ordenar y correlacionar la información sobre el

estado de la red, los comportamientos del sistema, estado de los

equipos, y toda la información que sirve al administrador de seguridad

para poder enfrentar las amenazas que se den en la red de la

organización. [7]

Las principales funciones que presta OSSIM son:

> Administra infraestructura de la red y los activos de la organización.

> Analiza la información reportada por los componentes de seguridad.

Detecta, identifica y reporta eventos de seguridad.

> Centraliza y correlaciona eventos.

> Permite el análisis forense de los eventos.

> Permite administrar y establecer políticas de seguridad.

> Realiza monitoreo de ataques y de respuestas en tiempo real.

Realiza valoración de riesgos y priorización de eventos.

Trabaja como cliente/servidor que funciona en plataforma Linux.

1.1.4 Análisis comparativo de las herramientas SIM's

Para el análisis de las herramientas SIM's, se ha tomado en cuenta algunos

aspectos, con el objetivo de poder determinar cuál de ellas es la que

conviene implementar en la Universidad Técnica Particular de Loja. Estas

herramientas son las más utilizadas por las organizaciones, con respecto al

ámbito de seguridad de la información. En la siguiente tabla se describe un

(22)

ArcSight NT, Unix, herramientas

ESM 50000.00 Solaris, Cliente/Servidor definidas por el valoración de riesgos y estado de vulnerabilidades. Linux y _proveedor. - Reporta al administrador de seguridad sobre el estado de

MacOS. la seguridad de la red.

Windows Cisco Works 2000, NT,

Integra

herramientas - Analiza eventos de seguridad de los sistemas de SIMS 31488.15 XP, y Cliente/Servidor definidas por el detección de intrusos, firewalls, sistemas operativos,

Server _proveedor. aplicaciones y antivirus.

2003.

Windows _Integra

2000, NT, _herramientas _{- Identifica y administra los eventos de seguridad.} Cisco MARS 75459.99 XP, y Cliente/Servidor _{definidas por el - Emplea una correlación lógica de eventos.}

Server

proveedor. 2003.

- Administra infraestructura de la red y los activos de la Integra organización.

herramientas - Analiza la información reportada por los componentes de comerciales y seguridad.

open source, y - Detecta, identifica y reporta eventos de seguridad. Open

OSSIM

Source Linux Cliente/Servidor permite al_{administrador - Permite el análisis forense de los eventos.}- Centraliza y correlaciona eventos.

de seguridad - Permite administrar y establecer políticas de seguridad. integrar nuevas - Realiza monitoreo de ataques y de respuestas en tiempo herramientas. real.

[image:22.833.108.778.74.427.2]

- Realiza valoración de riesgos y priorización de eventos.

(23)

9

OSSIM

De acuerdo al análisis comparativo sobre las herramientas SIM's, se

determinó que la mejor opción a implementar en la Universidad es OSSIM,

puesto que tiene las mismas funcionalidades que las demás herramientas y

otras adicionales. Y, la Universidad como entidad educativa, lo que pretende

es promover la investigación y desarrollo de nuevas tecnologías, y una de la

forma de hacerlo es mediante la implementación de una herramienta open

source.

Además, OSSIM es un producto que ha sido probado por más de 22000

usuarios a nivel mundial, entre ellas se encuentran algunas organizaciones

conocidas a nivel internacional, tales como:

+ Navy (EEUU)

•• Nasa (EEUU)

•. Mm. Defensa (Australia)

'• Mm. Economía (Francia)

+ Dep. del Gobierno (México)

•• Philipps (Holanda)

•• BellSouth (EEUU)

• Universidad de Pekín (China)

•• Universidad de los Andes (Venezuela).

En el siguiente punto se hará una descripción de la herramienta seleccionada.

12 OSSIM (Open Source Security Information Management)

OSSIM es una herramienta open source para el monitoreo de seguridad. Tiene

como objetivo ofrecer un marco para centralizar, organizar y mejorar las

capacidades de detección y visibilidad en el monitoreo de eventos de seguridad

(24)

Además, puede ser personalizada de acuerdo con las políticas de cada organización, y por medio de la correlación ayuda a minimizar los "falsos positivos"' y "falsos negativos"2.

1.2.1 Funcionamiento de OSSIM

OSSIM realiza un monitoreo de todos los niveles, desde el más bajo (firmas detalladas de un IDS) hasta el más alto (Cuadro de Mandos), pasando por: Consolas Forenses, Niveles de Correlación, Inventariados de Activos y Monitores de Riesgo [9]. En la siguiente figura se presenta un diagrama del funcionamiento de OSSIM.

Cuadro Mandos

Monitores Cons. Forense

Correlación

Val. Riesgo

Prioriz ación

r

Normalización

Det. Det.

Patrones Anomalías

Figura 1-2 Funcionamiento

Detectores de Patrones. En este nivel se encuentran herramientas que son

capaces de detectar patrones ya definidos, como son los IOS's.

Detectores de Anomalías. Son sistemas que no se les necesita especificar

que es bueno o que es malo, aprenden por si solas y son capaces de alertar cuando un comportamiento difiere de lo aprendido como normal.

1 _{Son patrones normales que son tomados como ataques.} 2 _{Son patrones de ataque que son tomados como normales.}

(25)

- OSSIM

Normalización. El objetivo de este nivel es unificar en una única consola y

formato los eventos de seguridad de los sistemas críticos de la organización.

Priorización. La priorización de las alertas depende de la topología y del

inventario de los sistemas de la organización. Por ejemplo:

+ Si una alerta que se refiere a un ataque al servicio liS de Microsoft llega a un equipo con sistema operativo Linux y servidor Apache, la alerta debe ser despreciable.

•. Si existe una conexión sospechosa de un usuario sobre un servidor, el sistema debe:

Darle máxima prioridad si el usuario es externo y ataca a la base de datos de clientes.

> Darle prioridad baja si el usuario es interno y ataca a una impresora de red.

Descartarla si es un usuario que normalmente hace pruebas contra un servidor de desarrollo.

En definitiva, es un proceso de contextualización, es decir, la evaluación de la importancia de una alerta respecto del escenario de la organización. Este escenario está descrito en una base de conocimiento sobre la red, como: Inventario equipos y redes (sistemas operativos, servicios, etc.), y Políticas de Acceso (desde dónde a dónde está permitido o prohibido).

Valor de Riesgo. Es la importancia que se le debe dar a una alerta

dependiendo de tres factores: el valor del activo al que el evento se refiere, la amenaza que representa el evento y la probabilidad de que este evento ocurra.

Correlación. Es la relación de varios eventos, y funciona como un algoritmo

que ejecuta una operación con eventos de entrada emitidos por los detectores y monitores de OSSIM, y ofrece eventos de salida. Para mayor detalle acerca del tema de correlación ver la sección 1.2.7.

(26)

•. Monitores de Riesgo. Llamada RiskMeter que dibuja los valores

producidos por el algoritmo CALM 3 , valores que miden el nivel de Ataque (A) o Compromiso (C).

+ Monitor de Uso Datos generales de un equipo como el número de bytes transferidos.

+ Monitor de perfil. Establece perfiles como uso de correo, POP, H1TP, etc.

•• Monitor de Sesión. Permite ver en tiempo real las sesiones realizadas por el usuario.

+ Monitor de Caminos. Dibuja en tiempo real los caminos trazados en la red entre los diferentes equipos que realizan comunicaciones.

Consola Forense. Permite acceder a toda la información recogida y

almacenada por los colectores. Permite al administrador analizar a posteriori y de una forma centralizada los eventos de seguridad de todos los elementos críticos de la red.

Cuadro de Mandos. Ofrece una visión de alto nivel de la situación de la red

con respecto a la seguridad.

1.2.2 Componentes de OSSIM

Los componentes de OSSIM son cuatro [10]:

+ Servidor OSSIM (Consola de Gestión) + Framework (Interacción entre Módulos) •. Base de datos de OSSIM (Eventos) + Agentes (Sondas Colectoras)

Compromise Attack Leve¡ Monitor.

(27)

1,111/

OSSIM

Agente_2I _{lA' r-.)}Agente

oUtslde

tServidor _..

í1

3Centra' DB _{1-^ í^} 0SM

OSSIM OSSIM _{Administrador} _.. _.

[image:27.572.145.462.97.347.2]

Framework Server

Figura 1-3 Componentes de OSSIM

Servidor. Es el componente principal de OSSIM. Se encarga de recibir los eventos enviados por los distintos agentes, también realiza las funciones de priorización y correlación.

Agente. Son hosts distribuidos en diferentes segmentos de red, para monitorear los distintos eventos. Esta distribución es en base a los servicios que se va a monitorear. Cada agente o sensor tendrá configurado un conjunto de detectores o monitores, que generan eventos para que el agente los recolecte y reporte al servidor central.

Framework. Es el intermediario entre el servidor central y el usuario. Es la herramienta de administración utilizada para configurar y organizar los diferentes módulos tanto externos como propios que integra OSSIM. Mediante éste se puede definir una topología, inventariar activos, definir políticas de seguridad, definir reglas de correlación y unir las diferentes herramientas integradas.

(28)

Los componentes: Servidor, Framework y Base de Datos se encuentran

ubicados en un equipo que se desempaña como servidor central de OSSIM y

los agentes pueden estar distribuidos en los distintos equipos.

1.23 Ventajas de OSSIM

+ Integra diferentes aplicaciones para seguridad.

+ Centraliza los eventos de la red en un solo punto.

•. Disminuye los falsos positivos y falsos negativos con la ayuda de la

correlación.

+ Permite realizar análisis forense con los eventos almacenados.

+ Tiene soporte de una comunidad abierta mundial que se encuentra en

crecimiento constante.

•. Ahorro en licencias, por que es una herramienta libre.

1.2.4 Desventajas de OSSIM

•• No existe documentación detallada del funcionamiento de OSSIM.

•: Se necesita parchar algunos programas para la integración con

OSSIM.

1.2.5 Análisis de las Herramientas que Integra OSSIM

OSSIM está conformada por 22 herramientas líderes en el campo de la

Seguridad Informática. Para ello, es necesario conocer el funcionamiento de

ellas. En la siguiente tabla se describe a todas las herramientas que

conforman OSSIM. Para mayor detalle de las herramientas ver Anexo 1-1.

(29)

• OSSIM

Herramienta Función Puerto Tráfico Relación con OSSIM

Administra los servicios que presta 161 en el cliente Tipo: UDP Actúa como un monitor dentro de OSSIM, Forma: Bidireccional, entre el permite ver estadísticas del estado de los

Opennms [h1'

la red y recoge la información de los Opennms.

hosts remotos usando SN MP4. • 162 en el servidor cliente y el servidor Opennms. servidores, a fin de determinar si se Opennms. encuentran activos.

Sniffer que despliega información sobre las conexiones TCP

observadas en la interfaz de red, • No usa ningún Es un sniffer, por tanto no Esta información es utilizada para la

Tcptrack (12]

como: dirección origen/destino, puerto. genera tráfico, correlación.

u,

puerto origen/destino y estado de la o _conexión.

OSSIM utiliza Ntop para dar estadísticas del

E

_{Colector de información, permite}

tráfico y algunos otros detalles, tales como: monitorear la actividad de la red, Dirección MAC, Localización del host, Datos como: protocolos utilizados, host enviados y recibidos, entre otros. Además,

•

Ntop [13] presentes en la red, direcciones IP, 3000 en el servicio Sniffer. trabaja conjuntamente con Rrd 5 para la Ntop.

tráfico que genera cada equipo, realización de gráficos y establecer perfiles de porcentaje de saturación de la red, comportamientos en los diferentes hosts o datos enviados y recibidos. redes, determinando anomalías que se puedan

presentar. Herramienta utilizada para detectar

vulnerabilidades existentes en la

OSSIM muestra la información de los escaneos red, como por ejemplo: errores de

1241 en el Tipo: TCP realizados por Nessus acerca de los hosts, •

Forma: Bidireccional, tiene una

Nessus [14] software, puertas traseras, entre

servidor Nessus. como: posibles vulnerabilidades, soluciones y otros, generando así los reportes y arquitectura cliente/servidor,

nivel de criticidad. e las posibles soluciones a

c

implementar.

UI

Efectúa escaneos de puertos, para Es utilizada para actualizar el inventario de identificar servicios abiertos , Tipo: TCP y UDP OSSIM, y poder establecer los servicios, la

No usa ningún Forma: Bidireccional, Nmap envía

Nmap [15] sistema operativo utilizado por una versión y el sistema operativo de un host. determinada computadora, esto lo puerto. paquetes al escaneado y éste También ayuda a determinar los hosts activos hace de una forma activa, responde a los mimos. en la red.

(30)

Si al momento de realizar el inventario, el Sniffer que averigua los sistemas • No usa ningún sistema operativo de un host es desconocido Sniffer. OSSIM utiliza POf para determinar el mismo.

POf [16]

operativos de una forma pasiva, puerto.

Además, POf actualiza el sistema operativo en el inventario, en caso de que éste cambie. Arpwatch emite alertas cuando existe un Mantiene una tabla MAC/IP, para cambio de dirección MAC, estas alertas son tener así un control de quién es cada • No usa ningún

Sniffer. tomadas por OSSIM y la presenta como

Arpwatch [17]

uno en la red. Esto ayuda a evitar puerto. anomalía, con el nombre del host, la dirección ataques de envenenamiento. MAC actual y anterior, y la fecha de cuando se

realizó el cambio. Motor de detección basado en

Pads6 [18] firmas, usado para detectar • No usa ningún Sniffer. Mantiene actualizado el inventario de los puerto. activos de la red.

pasivamente los activos de la red.

• El router no usa

Dispositivo que interconecta ningún puerto para OSSIM recolecta la información que le

Router Cisco segmentos de red. Tiene la enviar los logs. Tipo: UDP proporcione Router Cisco, como: conexiones [19] capacidad de enviar mensajes a un • 514 en el servidor Forma: Unidireccional, del Router fallidas, errores de configuración. Luego

servidor Syslog, para reportar los Syslog, para Cisco al servidor Syslog. analiza esta información y presenta un eventos que observa el router. recibir los logs del reporte.

router.

Preprocesador de datos, permite la Spade está siempre revisando los paquetes detección de paquetes sospechosos • No usa ningún Trabaja conjuntamente con recibidos por Snort, en busca de anomalías, si

Spade7 [20]

utilizando técnicas de detección de puerto. Snort, sin generar tráfico. encuentra alguna la presenta en el framework

anomalías. de OSSIM.

6 _{Passive Asset Detection System.}

' Statistical Packet Anomaly Detection Engine.

(31)

• _OSSIM

Syslog ayuda a OSSIM a centralizar los Analizador de logs para Linux, eventos, para analizarlos.

utilizado para la transferencia de _{OSSLM analiza los siguientes} _{eventos de} mensajes de eventos y alertas. Los • Cliente Syslog no

SysIog [21] mensajes son enviados por el usa ningún puerto. Tipo: UDP

autentificación:

Forma: Unidireccional, del cliente • authentication failure sistema operativo, al inicio o fin de • 514 en el servidor al servidor Syslog.

• 2 more authentication failures una aplicación, o reporte actual de Syslog. _{• SSHd: Failed password} un proceso.

• SSRd: Invalid user • session opened • SSHd: Accepted login

OSSM utiliza esta herramienta para poder centralizar los eventos de las computadoras W _{Analizador de logs para Windows. • Ntsyslog no usa} _{Windows, así mismo se utiliza el Syslog para} o

Recoge información sobre el ningún puerto. Tipo: UDP Linux.

Ntsyslog [22] sistema, la seguridad y los eventos • 514 en el servidor Forma: Unidireccional, del cliente

de las aplicaciones. Para luego Syslog. Ntsyslog al servidor Syslog. Ntsyslog registra los EventLog de Seguridad, enviar a un servidor Syslog. para recolectar los eventos Warning, Error, Audit Failure, Facility Security/auth y Severity Error.

• Como cliente no Trabaja como una manejador de usa ningún puerto.

Snarewindows8 logs y reporte de incidentes. • 6161, si actúa Tipo: UDP Los eventos que son recolectados por los

[23] Compatible con Windows NT, 2000, como servidor Forma: Unidireccional, del cliente agentes de OSSIM son los de autentificación. XP y 2003. Syslog en al servidor Syslog.

(32)

Comprueba la integridad del sistema de • 2265 en

los Tipo: TCP

Osiris [24] ficheros. Si existe algún cambio en los agentes Osiris.

Forma: Bidirecciona, entre el

(HIDS°) ficheros es reportado al administrador del • 2266 en

el agente y el servidor Osiris. sistema. servidor Osiris.

Implementa un motor de detección de

Snort [25] ataques y barrido de puertos que permite • No usa ningún

(N10510) registrar y alertar ante cualquier anomalía puerto. Sniffer. Los IDS's ayudan a observar la red en previamente definida por medio de

busca de eventos que puedan ser ataques. patrones.

OSSIM puede trabajar con dos tipos de IDS:

IDS de la familia Cisco, esta basado en • 514

en el Tipo: TCP y UDP

Cisco lOS [26]

un ataque, como bloquear la IP

agente al director

- IDS de Host (Osiris) firmas. Puede tomar una respuesta contra

servidor. Forma: Unidireccional,

del - IDS de Red (Snort, Cisco IDS, Prelude y

comprometida. Realsecure)

Las alertas recolectadas por los IDS's son IDS Híbrido, esto significa que no sólo presentadas en el framework de OSSIM y almacenadas en una base de datos, para realiza la funcionalidad de un NIDS, Sino

Tipo: TCP luego realizar la correlación de las alertas que es un framework que unifica la • 4690 en

el Forma: Bidireccional, entre el y analizar el riesgo, de acuerdo al número

Prelude [27]

información y centraliza los eventos servidor Prelude.

proporcionados por los diversos sistemas cliente y servidor Prelude. de alertas del mismo evento. IDS.

Sistema de detección de intrusos • 2998

en el Tipo: TCP

comercial. Analiza la entrada 'i salida de _servidor. _{Forma: Bidireccional, entre el}

Realsecure

la actividad de la red y los sistemas •

[28]

informáticos, a fin de evitar que actividad 901 en el detector y el servidor detector. Realsecure.

malévola daPie los activos. Host-based Intrusion Detection System.

'° Network-based Intrusion Detection System.

(33)

SIM

1

Solución de seguridad ofrecida por Cisco Systems, permite controlar el

tráfico entre la red interna y • Cisco PIX no usa

Tipo: UDP Es recomendable que estas herramientas

Cisco PIX [29] externa. Integra un syslog para ningún puerto. Forma: Unidireccional, del ASA envíen los logs de nivel de error al servidor

registrar eventos como conexiones • 514 en el servidor syslog. al servidor Syslog.

1

establecidas, conexiones fallidas, Syslog.

errores en las configuraciones, Los logs de Cisco PIX, las Iptables y las

tu entre otros. alertas recogidas por otros sensores son

procesadas por OSSIM, para luego establecer I-1

U.

Filtra el tráfico utilizando reglas que • Iptables no usa estadísticas de las alertas más generadas y

Iptables [30] examinan el origen/destino de los ningún puerto. Tipo: UDP en base al número de las mismas determinar

paquetes y el protocolo. Recolecta • 514 en el servidor Forma: Unidireccional, de las un nivel de riesgo. los eventos de las Iptables. Syslog. Iptables al servidor Syslog.

Servidor de páginas Web de

[31] Microsoft, tiene la capacidad de • 80 en el JIS.

Tipo: UDP

• 514 en el servidor Forma: Unidireccional, del JIS al

tu registrar los eventos del servidor,

peticiones y errores. Syslog. servidor Syslog. OSSIM centraliza los eventos de seguridad de

(1) la red, es por ello que toma los logs de lIS y

Apache para analizar lo que está ocurriendo o _{Servidor HTTP de código abierto,} con el servidor Web, como por ejemplo:

92

puede ser utilizado en plataformas • 80 en el servidor Tipo: UDP accesos no autorizados, errores, entre otros.

Apache [32]

Apache y Windows. En los Log File se Apache. Forma: Unidireccional, del

registra: la actividad, rendimiento y • 514 en el servidor servidor Apache al servidor los problemas que puedan ocurrir Syslog. Syslog.

[image:33.835.75.789.101.418.2]

en el servidor FITTP.

(34)

En la tabla anterior se describió a los monitores, detectores, escaners y firewall que conforman OSSIM, así como su funcionamiento, el puerto por el que escuchan, el tráfico que generan y la relación con OSSIM.

Además, OSSIM se integra con algunas herramientas comerciales, con el fin de que si la organización cuenta con dichas herramientas sean también incorporadas a él.

Para tener un monitoreo global de red de la organización, las herramientas que se recomiendan son: IDS, HIDS, Monitores, Detectores, Escaners, Syslogs y Firewall.

12.6 Inventario

El inventario es utilizado con el objetivo de conocer los activos y las redes de la organización que van a ser monitoreados por la herramienta OSSIM.

Dentro de OSSIM, se registran dos tipos de inventarios: de activos y de redes.

Para realizar el inventario de activos y de redes se debe especificar algunos parámetros definidos por OSSIM, como son:

•. Hostname o Name, nombre del activo o nombre de la red. + IP o IPs, dirección IP interna del activo o segmento de red.

•. Asset, grado de importancia que tiene el activo o red dentro de la organización. El nivel de prioridad puede variar entre O a S. El análisis de la prioridad de los activos se lo realizó en la sección 1.4.

+ Threshold_C, umbral del Nivel de Compromiso12. + Threshold_A, umbral del Nivel de Ataque13. •. RRD Profile, perfil del activo o red.

12 _{Mide la posibilidad de que una máquina se encuentre generando algún ataque o anomalía.} 13 _{Mide el posible riesgo debido a tos ataques recibidos.}

(35)

__1W41

u

OSSIM

+ Sensors, se especifica el agente que va a vigilar el tráfico del activo o

red.

•. Scan options, habilita el escaneo mediante la herramienta Nessus o

Nagios.

•. Description, espacio para describir la función del activo o red.

Los siguientes parámetros sólo se deben especificar en el inventario de los

activos.

+ NAT, dirección IP nateada.

•. OS, sistema operativo que esta utilizando el activo.

•. Mac, dirección física de la tarjeta de red.

+ Mac Vendor, fabricante de la tarjeta de red.

Los parámetros Threshold_C y Threshold_A son utilizados por el algoritmo

CALM en la Correlación. Estos parámetros ayudan a definir los valores

aceptables que puede tener el Nivel de Compromiso y Ataque, si se pasa los

umbrales definidos, el riesgo variará dependiendo del porcentaje en el que se

incrementen. El riego de Ataque y Compromiso se los evalúa por separado.

La siguiente fórmula determina el nivel de riesgo. [33]

Risk=Metric/ threshold

+ Metric, valor actual en el que se encuentra Threshold_C o

Threshold_A.

+ Threshold, valor que se asignó a Threshold_A o Threshold_C.

En la siguiente tabla se muestra los niveles de riesgo, definidos por defecto

en la herramienta OSSIM:

- No se aprecia riesgo

Métrica sobre 100% del umbral

Med Métrica sobre 300% del umbral

Iligh Métrica sobre 500% del umbral

(36)

La variación de los valores del Nivel de Ataque y Compromiso depende de la

situación de la máquina, ya que un equipo produce un ataque

(comprometido) y otro es el atacado.

Los servidores que se encuentran expuestas a multitud de incidentes tendrán

un alto nivel de ataque (Threshold_A), debido a que estos servidores se

encuentran en zonas de alto riesgo, como son las redes perimetrales. En

cambio, hay casos donde equipos generan anomalías en la red, como un

escaner de seguridad que puede producir diferentes falsas alarmas, en este

caso el nivel de compromiso (Threshold_C) será alto.

La asignación del valor a las variables Threshold_C o Threshold_A de un

equipo de la red se produce a través de tres reglas [34]:

1) Cualquier posible ataque que se produzca desde el equipo 1 al equipo 2

aumentará Threshold_A (Nivel de Ataques recibidos) de 2 y Threshold_C (Nivel de Compromiso o acciones sospechosas que normalmente realiza un

hacker) de 1.

A\ 1 I-S 1)1-. it

1 \QLI-ThresholclA -

O Threshold_A -

O

ThresholdC - O

ThteshaldC -

O

4:Z^5a

<:514

Equipo 1

Equipo 2

DESPUES DE ATAQUE

ThrhcId A - O

Thrrshid C - O

[image:36.572.201.423.458.684.2]

Equipo 1

Equipo 2

Figura 1-4 Cambio de Nivel de Compromiso y de Ataque

(37)

OSSIM

2) En caso de tratarse de una respuesta de ataque "attack responses"14,

aumentará Threshold_C tanto en 1 como en 2.

3) Por último existe una excepción, en caso de ser eventos internos en el

equipo aumentará únicamente Threshold_C de la máquina originaria.

1.2.7 Correlación

La correlación es un proceso que se realiza internamente en el servidor

OSSIM. Funciona como un algoritmo que realiza una operación a través de

unos eventos de entrada que son entregados por las herramientas que

integran OSSIM (monitores, detectores, escaners), y luego ofrecer una

información de mayor valor. [35]

Los sistemas de correlación son artificios que suplen la falta de sensibilidad,

fiabilidad y la visibilidad limitada de los detectores, monitores y escaners.

El desarrollo de la correlación en OSSIM se realizó con el objetivo de:

•) Desarrollar patrones específicos para detectar lo conocido.

+ Desarrollar patrones ambiguos para detectar lo desconocido.

•:• Poseer una máquina de inferencia configurable a través de reglas

relacionadas entre sí capaz de describir patrones más complejos.

•. Permitir enlazar detectores y monitores.

El proceso de correlación se realiza de tres maneras [36]:

•:. Correlación de diferentes eventos (Correlación lógica)

•• Correlación de eventos y vulnerabilidades (Correlación cruzada)

+ Correlación de eventos, sistemas operativos y servicios (Correlación

de inventario)

(38)

1.2.71 Correlación Lógica

El propósito principal de la correlación lógica es buscar evidencia para

comprobar si un acontecimiento de seguridad es verídico o sólo una falsa

alarma, ya que se puede tener millones de eventos al día en donde casi

todos sean falsas alarmas. Para ello se necesita procesos automáticos

que verifiquen si un evento es realmente un ataque.

La correlación lógica es implementada por las directivas de correlación,

que implementan un árbol de reglas de condición lógica, conocidos como

árbol AND/OR. En la siguiente figura se describe un ejemplo de un árbol

de reglas de condición lógica.

tventa1 Nivel 1 Base.

¡'Evento tvento 'Evento')Nivel 2

1 ) 2 3

(Evento ventc\ jveritd'

4 11 1 5 6 Nivel 3

• \__•//

Figura 1-5 Árbol de reglas de condición lógica

Una directiva funciona como una cláusula, en donde cada una define un

tipo de evento diferente y tiene una prioridad específica. Estas cláusulas

son incorporadas por defecto en OSSIM, y el administrador de seguridad

puede modificarlas o crear nuevas, basándose en eventos que se

generen y sean tomados como incidentes para la organización. Para

mayor detalle acerca de las directivas ver Anexo 1-2.

Basándose en la figura 1-5, cuando la condición del primer nodo es

encontrada, en este caso el Evento Base en el Nivel 1, el motor de

correlación salta al primer hijo (Evento 1) del Nivel 2, si no empareja con

(39)

OSSIM

él, salta al nodo hermano que se encuentra en el mismo nivel (Evento 2), si empareja pasa al Evento 4 del Nivel 3, si no sigue al Evento 3 del Nivel 2, y así sucesivamente de acuerdo a los eventos. Esto implementa la operación "AND" en el eje "Y", y la operación "OR" en el eje "X".

Para mayor detalle se presenta como se puede detectar la actividad de un "Posible Doly Trojan" mediante el uso de una directiva, para lo cual está formado por tres niveles para la correlación. A continuación se describe la directiva para el "Posible Troyano Doly", en donde el Nivel 1 se lo representa de color verde, el Nivel 2 de anaranjado y el Nivel 3 de azúl.

Nivel i_C_INTRUSION

ji

_{\ :liability"2" occurrence="1" from=NY to='NY"}le type=detector' name=Intrusion rule matched" RU

MATCHED ) port from="ANY" port to='ANY' pluginid='lOOl'

pluginsid="119,1985'>

1re but open dest port used"

Rarebut

.Ly

cu xe= 1' from="1:SRCIP"

opendest 1:DSI' IP port from=l:SRC PORT" port to=l:DST PORT'

\portused1 _{ginid='1104" piuginsid='101">} _— _—

<rule type=monitor" name="More than 30 secs persistence" reliability="+2" from="l :SRC_IP" to="l :DST_IP"

portfrom="l:SRCPORT" portto="l:DSTPORT" pluginid="2005" pluginsid="008" condition="ge'

/

Morethan\ / \ value= 11 30" interval= 11 15" time out= 11 30" absolute="true"/>

30 secs _j Attacked

-ost's raised/

ers en

\ / <rule type="monitor" naine="Attacked host s C raised'

reliability="+l' from="l:DST IP" pluginid="2001" pluginsid="l' condition="ge value=1200"

interval='lO" tixneout=" 600" absolute=" false"!>

Figura 1-6 Directiva "Posible troyano Doly"

De acuerdo a la directiva anterior, el Evento Base (Nivel 1) es la regla de intrusión que puede detectar Snort (plugín_id="1001"), el que utiliza dos tipos de alertas: "backdoor Doly 2.0 access (plugin_sid="119")" o "backdoor Doly 1.5 server response (plugin_sid="1985")" con una fiabilidad del 20% de que no sea una falsa alarma (reliability="2").

(40)

(plugin_id="1104") que utiliza una alerta "rare but open dest port used (pluginsid="101")" con una fiabilidad del 60% de que no sea una falsa alarma (reliabillty="+4"). Si no coincide con las alertas del Evento Base, la directiva no será activada.

Si coincide con la alerta del Nivel 2 pasaría al 3, que contiene dos reglas, de las cuales una se podría dar. La primera es "Más de 30 segundos de persistencia" monitoreada por Ntop (plugin_id="2005"), comparando que la variable "ipBytesRcvd (plugin_sid="8")" sea mayor o igual a 30 segundo de recepción de bytes, con una fiabilidad del 80% de que no sea una falsa alarma (reliability="+2"), la segunda es "Monitor de Ataque y Compromiso de OSSIM (pluginjd="2001")" monitoreada por OSSIM, comparando que la variable "compromise value (pluginsid="1")" sea mayor o igual a 200% del nivel de compromiso del equipo atacante, con una fiabilidad del 70% de que no sea una falsa alarma (reliability="+1"). Si no coincide con la alerta del nivel 2, la directiva sería presentada como una alarma con la fiabilidad del Evento Base del 20%.

Finalmente, si coincide una de las dos reglas del Nivel 3, la directiva sería presentada como alarma con la fiabilidad de la regla que coincidió, si no coincide con una de ellas, sería presentada con la fiabilidad de la regla del Nivel 2.

La fiabilidad crece según el motor de correlación avance a través de los Niveles, cumpliendo las condiciones de cada uno de ellos, y así cuanto más evidencias se tenga, más posibilidades hay de que el ataque sea real.

1.2.7.2 Correlación Cruzada

La correlación cruzada permite priorizar o despreciar eventos a los que se sabe que son o no vulnerables mediante la información cruzada de detectores y escaners de vulnerabilidades.

(41)

1;

OSSIM

La correlación cruzada de OSSIM depende de una base de datos de vulnerabilidades específicas y de tablas de correlación cruzada de detectores.

OSSIM utiliza la base de datos OSVDB 15 que almacene las vulnerabilidades de seguridad que han sido encontradas, e incluye la tabla de correlación cruzada entre Snort y Nessus.

1.2.7.3 Correlación de Inventario

Los ataques recibidos tienen como objetivos sistemas operativos o servicios específicos. Es por ello que, la correlación de inventario comprueba si el equipo atacado usa el sistema operativo o servicio para el cual fue creado el ataque. Si utiliza estos, se puede determinar que existe un riesgo, pero si no, se confirma que el evento es un falsa alarma.

Esta correlación depende mucho de la fiabilidad del inventario, y en OSSIM se puede realizar el inventario de forma manual y automática. En la forma manual el administrador es el que ingrese los datos del equipo, mientras que para la forma automática se lo realiza en los agentes mediante detectores que de forma pasiva ven todo el tráfico de red y detectores que de forma activa encuentran hosts y servicios, logrando así completar automáticamente la base de datos del inventario.

1.3 Selección de Herramientas

Para la selección de las herramientas a implementar, primero se debe realizar un estudio del sistema actual de la organización, con el objetivo de conocer los servicios que presta, la infraestructura de red, servidores con los que cuenta, hardware y software que utiliza y políticas de seguridad en las que se basa.

(42)

De acuerdo a esto, para que una organización pueda tener información de lo que

ocurre en la red, es conveniente que utilice las siguientes herramientas:

+

Snort.

Debido a que es un IDS que ha tenido gran acogida por las

organizaciones para la seguridad de la red y es indispensable para la

correlación que realiza OSSIM.

+

Osiris.

Las organizaciones prestan diferentes servicios, es por ello;

que se necesita llevar un control de la integridad de los directorios y

en especial de los archivos de configuración.

+

Monitores: Ntop, Tcptrack.

Son utilizados para monitorear el estado

de red.

+

Detectores: Spade y Pads, Arpwatch y

M. Son empleados para

la detección de los activos de la red, paquetes sospechosos, servicios,

sistemas operativos y anomalías que se puedan dar.

+

Escaners: Nessus y Nmap.

Ayudan a realizar una auditoria de los

equipos, y en el caso de Nessus es también utilizado para la

correlación de OSSIM.

+

Syslogs: Syslog y Ntsyslog.

En una organización es necesario tener

un registro de lo que ocurre en cada equipo de forma centralizada. Es

por ello que Syslog es empleado para Linux y Ntsyslog para Windows.

••

Firewall.

La de las organizaciones cuenta con un firewall para

proteger su red interna.

En el caso de la UTPL, se trabajará con las herramientas seleccionadas que se

mencionó anteriormente, debido a que son primordiales para toda organización.

Además será incorporado el dispositivo Cisco ASA 16 que es una versión mayor a

Cisco PIX.

Las demás herramientas también son importantes pero no se las ha incluido en

este proyecto, debido a que tienen las mismas funcionalidades de las descritas

anteriormente y algunas de ellas son comerciales y la Universidad no cuenta con

estas.

16 _{Adaptive Security Appliance.}

(43)

CA V

rfeLo ii

del Zisteme ítctuL

(44)

2. ANÁLISIS DEL SISTEMA ACTUAL DE LA UTPL

El objetivo de este capítulo es tener un conocimiento sobre cómo está estructurada la red de la Universidad, servidores que se encuentran en producción, hardware y software que se utiliza, esquemas de seguridad y, así determinar cuales son los servicios más críticos. Para ello se realizaron actividades como:

•. Entrevista al administrador de seguridad de la red. + Entrevistas a los administradores de los servicios. + Análisis del esquema de red de la Universidad.

Realizar un análisis del sistema actual es un punto clave en la implementación de SIM, ya que se llega a conocer como se encuentra la organización en cuanto a la seguridad. Además se tiene una visión global de la infraestructura en la que se trabajará y se podrá determinar cuáles son los recursos primordiales para la organización, a los cuales se deberá monitorear.

2.1 Políticas de Seguridad

Las políticas son importantes en la gestión de seguridad, ya que éstas definen los procedimientos a seguir para el manejo de los recursos de la organización. Las políticas de seguridad establecen lo que se debe hacer y lo que no se debe hacer en materia de seguridad de la información.

Para la implementación de una solución SIM, es importante la revisión de las políticas de seguridad que se utiliza, ya que SIM trabaja en función de éstas para determinar cuáles son los procedimientos correctos dentro de la organización.

De acuerdo a la entrevista realizada al administrador de seguridad de la red de la Universidad, se pudo determinar que anteriormente no se contaba con dispositivos de seguridad ni con una topología de red apropiada, pero con el tiempo se vio la necesidad de adquirir equipos y cambiar el esquema de red, con

(45)

OSSIM

el fin de prevenir que los servicios sean vulnerables a incidentes de seguridad,

como por ejemplo: accesos no autorizados.

Las políticas de seguridad que se tiene en la Universidad no han sido aprobadas

en su totalidad, por lo cual en su mayoría no se han difundido al personal. Sin

embargo, las políticas orientadas a los servidores están siendo parcialmente

aplicadas, como son: políticas de usuarios, contraseñas y respaldos. Para mayor

detalle acerca de la entrevista realizada al administrador de seguridad ver Anexo

2-1.

2.2 Esquema de Seguridad

A nivel de red existen tres niveles de seguridad considerados en la Universidad,

como son: de usuario final, red LAN y seguridad perimetral. La figura 2-1

describe estos niveles.

rel

[image:45.569.105.512.409.695.2]

ITERNET

(46)

2.2.1 Usuario Final

En este nivel se encuentra el antivirus (F-Secure), el cual a través de un

servidor controla remotamente los antivirus instalados en la red LAN, y

además realiza una actualización del software periódicamente. Así mismo, el

antivirus tiene la funcionalidad de un Firewall de PC, lo que ayuda a los

usuarios finales a aceptar o rechazar conexiones, dependiendo de la

aplicación a utilizar.

2.2.2 Red LAN

En este nivel se encuentra el Switch de Core. Debido a que la red de la

Universidad está segmentada en varias Vlan's, el Switch de Core utiliza

ACL's 17 para controlar el tráfico entre Vlan's, asignar permisos o restringir.

Así cada VIan tiene diferentes políticas de seguridad dependiendo de su

criticidad.

Para controlar el tráfico las ACl1s analizan los siguientes parámetros:

•• Origen del tráfico

•. Destino del tráfico

•• Protocolo utilizado

2.2.3 Seguridad Perimetral

Aquí se encuentra el Firewall Cisco ASA. Este hardware filtra las conexiones

que van del Internet (red insegura) a la red LAN o viceversa. Para ello,

evalúa las políticas de seguridad implementadas y analiza las direcciones,

puertos y protocolos de capa de transporte. Además tiene la funcionalidad de

IDS para prevenir intrusos en la red.

(47)

OSSIM

2.3 Servicios de la UTPL

La Universidad presta una diversidad de servicios tanto a usuarios internos como externos. En la tabla 2-1 se describe los servicios con los que cuenta la Universidad.

Servicio Función Servidores Involucrados

Nombre Servicios

Servicios en línea: centros universitarios, estudiantes y Wsutpl _profesores.

Realiza matrículas, presta información Interfaz con Produbanco Gestión sobre pensum académico de las _Danta

Académica` carreras, expedientes académicos de Asutpl _{Servicio en línea profesor} estudiantes, becas asignadas, etc.

Pdcserver Active Directory

Calserver Calificación de pruebas de Modalidad a Distancia

Gestión de activos fijos Gestión de inventarios Presupuestos

Registra todos los datos y transacciones Finanzas

Financiero referentes a la contabilidad y finanzas Uloja Conciliaciones bancarias de la Universidad. Manufacturación

Ordenes de compra

Control de servicios y comercio electrónico

World Wide Web Gdrl FTP

(Principal Base de Datos

servidor Web) Correo Electrónico Modalidad a Distancia

World Wide Web

Diseñado para transferir hipervínculos, Grupos GESE, SIG, Web páginas Web o páginas HTML, como: Sigserver Laboratorio de Física.

textos con enlaces, figuras, formularios, Mapas georeferenciados botones, etc. Información de proyectos

Servicio Web

Utpl. Net Correo Electrónico para clientes ISP19.

Servidor de información de los Intranetcittes Cittes, proyectos, becas,

pagos, viáticos.

Correo Permite la comunicación y transmisión

Electrónico de información para las personas que Gdr3 Correo electrónico conforman la Universidad.

Gdr5 DNS Interno DNS Utilizado para resolución de nombres de Gdr2

dominio. ____________ DNS Externo Gdr7 DNS Caching

18 _{El servicio de Gestión Académica sólo constará con los servidores de producción.}