El documento describe diferentes herramientas de monitoreo de seguridad como AlienVault USM, Snort, Suricata, OSSEC y Kismet. Explica cómo estas herramientas proveen capacidades como detección de intrusos de red e host, análisis de vulnerabilidades, inventario de activos y monitoreo inalámbrico. También describe cómo estas herramientas se integran en la plataforma AlienVault para proveer visibilidad y protección de seguridad de la información.
1. SOFTWARE DE MONITOREO
RICARDO CASTAÑEDA
ELIZABETH AGUIRRE
ANDRES CARVAJAL
JULIET MUÑOZ
SENA
GESTION DE REDES DE DATOS
FICHA 600088
NOVIEMBRE DE 2014
2.
3. ¿Cómo
aseguramos
nuestra empresa?
Buscamos actividad
que pueda ser
sospechosa
Unimos todas
las piezas
Determinamos que
tiene Valor
Identificamos como
pueden afectar lo que
es valioso
Identificamos
Amenazas
4. AlienVault Unified Security Management
Recolección de Logs
Análisis de NetFlows
Monitorización Disponibilidad
Correlación de eventos
Respuesta a
Incidentes
Análisis de la Red
Inventario de Activos
escaneos
Vulnerabilidades
IDS de Red
IDS de Host
IDS Wireless
5. 5 Capacidades principales del USM
AlienVault’s Unified Security Management™ (USM™)
proporciona una forma rápida y rentable para las organizaciones
de hacer frente a las necesidades de gestión de amenazas y
cumplimento.
Con todos los controles de seguridad esenciales
incorporados, AlienVault USM provee una visibilidad completa de la
seguridad de la información.
6. Automatización de Inventario para los activos críticos
El descubrimiento de activos nos permite crear un
inventario de los activos desplegados, logrando con ello dar
un primer paso para la evaluación de vulnerabilidades,
detección de amenazas, apreciación del comportamiento de la
red y de los servicios para detectar violaciones en las políticas
corporativas.
7. Detecta que activos son vulnerables a los ataques
Mediante la combinación de la visibilidad completa y actualizada de los
sistemas a través de las herramientas de evaluación de vulnerabilidades,
AlienVault ha incorporado medidas preventivas de seguridad. La evaluación de
vulnerabilidades permite identificar posibles debilidades en los sistemas y así
priorizar las acciones para mejorar su nivel de seguridad.
8. Identifica exploits específicos utilizados en los ataques
Con una amplia base de conocimiento, el Sistema de Detección de
Intrusiones en la red que AlienVault incorpora el análisis del tráfico de red para
detectar firmas de ataques conocidos, e identificar patrones de los métodos de
ataque conocidos. Esto proporciona una visibilidad inmediata de los ataques que
se utilizan en contra de su sistema.
9. Identifica los comportamientos anormales
Los cambios en el comportamiento de las redes, sistemas y servicios pueden
indicar una defensa débil o violación de seguridad. Para ello se combina el
análisis del flujo de red para identificar los cambios sufridos, la captura de
paquetes completos para el análisis forense y el seguimiento de servicios
activos para verificar proactivamente cambios en los servicios
10. Inteligencia en la Seguridad de la Información en acción
Dar un valor añadido a la gran cantidad de información recogida es unos de
los grandes objetivos de la Inteligencia de seguridad. Así, mediante la
automatización de la correlación de eventos en tiempo real podemos hacer
que un trozo de información que por sí solo no significa nada, puede ser una
pieza muy importante de un conjunto global.
12. IDS de Red-Snort
• Snort es un sistema de detección de intrusos a nivel de red.
• Dispone de un lenguaje de creación de reglas en el que se pueden definir
los patrones (reglas) que se utilizarán a la hora de monitorizar el sistema.
• Snort es uno de los NIDS más utilizados en todo el mundo, su proyecto
arranco en 1998 de la mano de Martin Roesch.
• Es bastante útil para identificar: Malware, Escáneo de Puertos, Violación de
Políticas(P2P, IM, Porn, Games...).
13. IDS de Red-Suricata
• Suricata es un sistema de detección de intrusos de red de la Open
Information Security Foundation (OISF).
• Es multiproceso, lo que significa que puede ejecutar una instancia y va a
equilibrar la carga de procesamiento a través de cada procesador.
• Reconocimiento de los protocolos más comunes
automáticamente, permitiendo escribir reglas basadas en protocolos.
• Suricata es compatible con las reglas de Snort.
14. IDS de Red-Ossec
• OSSEC es un HIDS (Host-level Intrusion Detection System) que permite
análisis de logs, detección de rootkit, chequeos de integridad del sistema y
monitorización del registro de Windows.
• OSSEC requiere la instalacion de un agente de monitorizacion ( Excepto
Sistemas con acceso SSH).
Sensor
Attempt To login Using non-existent user
Attempt To use mail server as relay ( client host
Rejected)
Logon Failure: Account currently disabled
15. IDS de Red-Ossec
• OSSEC se basa en una arquitectura cliente -> servidor.
• AlienVault colecta los eventos del servidor OSSEC (Instalado en el Sensor
AlienVault).
• OSSEC provee un sistema de plugins propios usados para el análisis de
plataformas Windows y UNIX.
Utilidad dentro de la plataforma AlienVault:
• Colección de logs de Windows y Unix
• Colección de logs de aplicaciones
• Monitorización de registro, archivos y directorios (DLP)
17. IDS de Wireless-Kismet
• Kismet es un sistema detector de red Wireless en capa 2 (802.11), con
funcionalidades de sniffer y detector de intrusos.
• Kismet funciona con cualquier tarjeta inalámbrica con soporte para
monitorización en bruto (rfmon), y (con hardware apropiado) puede
monitorizar tráfico 802.11b, 802.11a, 802.11g y 802.11n.
Utilidad dentro de la plataforma AlienVault:
• Aseguramiento de redes WIFI.
• Detección de AP falsos.
• Cumplimiento (Requerimientos PCI Wireless).
19. IDS de Red - Snort & Suricata
Por defecto en una instalación de AlienVault USM viene activado el NIDS
Suricata.
Tener las interfaces recibiendo el trafico de los port mirroring.
Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina,
DMZ…) No utilizar aquellas reglas que no resultan interesantes para el
tráfico que se va a recibir por cada interfaz.
20. IDS de Host - OSSEC
Por defecto en una instalación de AlienVault AIO o Sensor viene activado
el HIDS OSSEC con un agente desplegado para el proprio AlienVault.
Tener las interfaces recibiendo el trafico de los port mirroring.
Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina,
DMZ…) No utilizar aquellas reglas que no resultan interesantes para el
tráfico que se va a recibir por cada interfaz.
21. IDS de Wireless- Kismet
Tener configurado el Sensor Kistmet (howto en AlienVault Bloomfire)
Por defecto en una instalación de AlienVault, Kismet no viene activado
por ello es necesario habilitar el plugin de Kismet (AlienVault Center).
23. Recolección de Eventos IDS
Puerto MIRRORING
Colección de Logs
Comunica ción
Interna iAlienVault
24. Recolección de Eventos IDS
El término IDS (Sistema de detección de intrusiones) hace referencia a un
mecanismo que, sigilosamente, escucha el tráfico en la red para detectar
actividades anormales o sospechosas, y de este modo, reducir el riesgo de
intrusión.
Existen dos claras familias importantes de IDS:
Puerto MIRRORING
El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la
Colección de Logs
seguridad dentro de la red.
El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza
la seguridad en el host.
26. Recolección de Eventos IDS
El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una
amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix,
Puerto MIRRORING
Colección de Logs
etc.
El H-IDS actúa como un daemon o servicio estándar en el sistema de un host.
Técnicas de detección
El tráfico en la red (en todo caso, en Internet) generalmente está compuesto
por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos
viajan a través de las conexiones físicas a las que está sujeto. Un N-IDS
contiene una lista TCP/IP que se asemeja a los datagramas de IP y a las
conexiones TCP. Puede aplicar las siguientes técnicas para detectar
intrusiones:
• Verificación de la lista de protocolos
• Verificación de los protocolos de la capa de aplicación.
• Reconocimiento de ataques de "comparación de patrones"
27. Qué hacen los IDS
Los principales métodos utilizados por N-IDS para informar y bloquear
intrusiones son:
Reconfiguración de dispositivos externos (firewalls o ACL en
routers): Comando enviado por el N-IDS a un dispositivo externo (como un filtro de
paquetes o un firewall) para que se reconfigure inmediatamente y así poder
bloquear una intrusión.
Envío de una trampa SNMP a un hipervisor externo: Envío de una alerta (y
detalles de los datos involucrados) en forma de un datagrama SNMP a una consola
externa como HP Open View Tivoli, Cabletron, Spectrum, etc
Almacenamiento de paquetes sospechosos: Se guardan todos los paquetes
originales capturados y/o los paquetes que dispararon la alerta.
Envío de un "ResetKill": Se construye un paquete de alerta TCP para forzar la
finalización de una conexión (sólo válido para técnicas de intrusión que utilizan el
protocolo de transporte TCP).
Apertura de una aplicación: Se lanza un programa externo que realice una acción
específica (envío de un mensaje de texto SMS o la emisión de una alarma sonora).