Este documento resume las principales herramientas integradas en OCSA (Open Computer Security Alliance), clasificándolas como activas o pasivas. Entre las herramientas pasivas se encuentran Snort, Ntop, Nfsen/Nfdump, Kismet, P0f, Pads, Arpwatch y Tcptrack, las cuales analizan el tráfico de red sin generar tráfico. Las herramientas activas incluyen OCS, Nagios, OpenVas y OSSEC, las cuales requieren agentes instalados o realizan escaneos que generan
2. Activas / Pasivas Es posibleclasificarlasherramientasque se incluyen en OSSIM entre: Activas: Generantráficodentro de la red en que se encuentran. Pasivas: Analizan el tráfico de la red sin generar nada de tráficodentro de ella. Para quelasherramientaspasivasfuncionencorrectamenteesimprescindibleconfigurar un port mirroring o port span en la electrónica de red, obiendisponer de un hub o un network tap quepermita al sensor de OSSIM analizartodo el tráficoque se generedentro de la red 2
3. Snort NIDS (Detección de intrusos a nivel de red) http://www.snort.org Snort analizatodo el tráfico de red Mediante el uso de firmas genera eventos de seguridad Utilidad en OSSIM: Escaneos de puertos Gusanos Malware Violaciones de política (P2P, Mensajería, pornografía…) PASIVA 3
5. Snort PASIVA Virus ytroyanos alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:"ET VIRUS Bugbear@MM virus via SMTP"; flow: established; content:"uv+LRCQID7dIDFEECggDSLm9df8C/zSNKDBBAAoGA0AEUQ+FEN23f7doqAT/dCQk/xWcEQmDxCTD"; reference:url,www.symantec.com/avcenter/venc/data/w32.bugbear@mm.html; classtype: misc-activity; reference:url,doc.emergingthreats.net/2001764; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/VIRUS_BugBear; sid: 2001764; rev:6;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"ET WORM UPX encrypted file download - possible worm"; flow: established; content:"MZ"; isdataat: 76,relative; content:"This program cannot be run in DOS mode."; distance: 0; isdataat: 10,relative; content:"PE"; distance: 0; content:"|00|code|00|"; content:"|00 C0|text|00|"; classtype: misc-activity; reference:url,doc.emergingthreats.net/2001047; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/WORM_Suspicious_Extensions; sid: 2001047; rev:6;) Escaneos alert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ET SCAN Unusually Fast 403 Error Messages, Possible Web Application Scan"; flow:from_server,established; content:"HTTP/1.1 403"; depth:13; threshold: type threshold, track by_dst, count 35, seconds 60; classtype:attempted-recon; reference:url,www.checkupdown.com/status/E403.html; reference:url,doc.emergingthreats.net/2009749; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_403; sid:2009749; rev:2;) alert tcp $EXTERNAL_NET any -> $HOME_NET 110 (msg:"ET SCAN Rapid POP3 Connections - Possible Brute Force Attack"; flags: S,12; threshold: type both, track by_src, count 10, seconds 120; classtype: misc-activity; reference:url,doc.emergingthreats.net/2002992; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_General_Services; sid: 2002992; rev:5;) 5
6. Ntop Monitor de red y de uso http://www.ntop.org Ntopanalizatodo el tráfico de red Ntopofrecedatos (En tiempo real ehistórico) del usoqueestamosdando a nuestra red Utilidad en OSSIM: Estadísticas de uso de red Informaciónsobreactivos Matrices de tiempoy de actividad Informaciónsobresesionesactivas en la red Detección de abuso de la red PASIVA 6
10. Ntop – RRD Aberrant Behaviour A partir de los datoshistóricos, Ntophaceuso del algoritmo RRD Aberrant Behaviour pararealizarpredicciones del comportamiento de nuestra red y de los activosque la componen Si la realidad no se corresponde con la predicción, el sistema genera un evento PASIVA 10
11. NFSen /NFdump Nfdumprecogeyprocesanetflowsdesde la línea de comandos. http://nfdump.sourceforge.net/ NFSenesunainterfazgráficaquepermitegestionarymostrar la informaciónrecogidaporNfdump http://nfsen.sourceforge.net/ PASIVA 11
12. NFSen /NFdump Netflowes un protocólo de red desarrolladopor Cisco quepermiterecogerinformaciónreferida al tráficoanalizado Un grannúmero de dispositivossoportanhoydíaNetflow PASIVA 12
13. OCS Gestión de inventario http://www.ocsinventory-ng.org Mediante un sistema de agentesdistribuidos, se recogeinformaciónpara el inventario de cadamáquina OCS requiere de un agenteinstalado en cadamáquina a inventariar Utilidad en OSSIM Gestión de inventario (Software y Hardware) Gestión de vulnerabilidades Violaciones de política Control del hardware ACTIVA (AGENTES) 13
15. Nagios Monitor de disponibilidad http://www.nagios.org Nagiosmonitoriza la disponibilidad de los activosyservicios Podemosmonitorizar un servicio de diferentesmodos (Ejemplo: Servidor MySQL) Comprobarque el equipoestálevantado Comprobarque el puerto de MySQL estálevantado Comprobarsi en el puertorealmenteescucha un servidor MySQL Realizarunaconsulta al servidorycomprobar el resultado ACTIVA 15
16. Nagios Utilidad en OSSIM: Disponibilidad de los activos Nagiospuederealizarcomprobaciones en remotoodisponiendo de un agente en la máquinamonitorizada Nagiosdispone de un grannúmero de plugins paradiferentesentornosyherramientas ACTIVA 16
17. OpenVas Escaneo de vulnerabilidades http://www.openvas.org OpenVasrealizaescaneos de vulnerabilidades en utilizandounaserie de firmas Utilidad en OSSIM Prevención de ataques (Sabemosquees vulnerable) ¿Se cumple la política de la organización? ACTIVA 17
18. OpenVas Algunasvulnerabilidadessólopueden ser probadasexplotando la vulnerabilidad (Ej: DOS) OpenVaspermitedefinir la agresividad de los escaneosquerealiza Un escaneo mal configuradopuedeacarrearcaidas en servicios de nuestra red. Los primerosescaneossiempredeberánsupervisarse con atención. ACTIVA 18
19. OpenVas OpenVastiene la capacidad de realizarescaneos en remotoconectándose a la máquinaescanedasi le facilitamoslascredencialesparaello. De estemodoOpenVasconoceexactamente el software instalado en cadamáquinaysiestetienealgunavulnerabilidado no OpenVasdispone de un lenguajepropio de escritura de firmas ACTIVA 19
20. OSVDB Base de datos de vulnerabilidades http://www.osvdb.org OSVDB esuna base recopilainformaciónsobrelasvulnerabilidades. Utilidad en OSSIM Creación de reglas de correlación Relacionaidentificadores de cadavulnerabilidad Complementa la informaciónofrecidaporOpenVas 20
23. OSSEC HIDS (IDS a nivel de host) http://www.ossec.org OSSEC requiere de un agenteinstalado en cadamáquina a monitorizar. (Exceptosistemas UNIX) OSSEC realiza análisis de logs, comprueba la integridad del sistema, monitoriza el registro de Windows e incluye un sistema de detección de sistemas rootkit. ACTIVA (AGENTES) 23
24. OSSEC OSSEC utilizaunaarquitecturaagentes -> servidor, en OSSIM recogeremos los eventosrecolectados en el servidor de OSSEC. OSSEC dispone de supropiosistema de plugins paraanalizar los eventos de herramientas en Windows y UNIX Utilidad en OSSIM: Recogida de eventos de sistemas Windows y UNIX Recogida de eventos de aplicaciones Monitorizaciónficheros, carpetasyregistro (DLP) ACTIVA (AGENTES) 24
25. Kismet Sniffer y detector de intrusos en redes Wireless http://www.kismetwireless.net Kismet requiere de unatarjetawifiquesoporte el modo de monitorización raw y puede rastrear tráfico 802.11b, 802.11a y 802.11g Utilidad en OSSIM: Securización de redesinalámbricas Detectión de rogue AP Cumplimiento de normativa (PCI) PASIVA 25
26. Nmap Escaner de puertos http://www.insecure.org Nmapescanearedesyequiposmediante un escaneo configurable (Precisión, velocidad, grado de intrusión…) Utilidad en OSSIM: Descubrimiento de activos Identifica puertosabiertos Determina qué servicios se están ejecutando Determinar qué sistema operativo y versión se utiliza Obtiene algunas características del hardware de red de los activos escaneados ACTIVA 26
27. P0f Detección de anomalías en sistemaoperativo http://lcamtuf.coredump.cx/p0f.shtml A partir del análisis del tráficogeneradopor los activos de la red, P0f identifica el sistemaoperativoqueestánutilizando. Utilidad en OSSIM: Cambios de sistemaoperativo Gestión del inventario Accesos no autorizados a la red PASIVA 27
28. Pads Deteccción de anomalías en servicios http://passive.sourceforge.net/ A partir del análisis del tráficogeneradopor los activos de la red, Pads identifica los serviciosqueestáejecutandocadaactivo. Utilidad en OSSIM: Gestión del inventario Cambios en los servicios Violaciones de política Correlación de inventario PASIVA 28
29. Arpwatch Deteccción de anomalías en lasdirecciones MAC http://ee.lbl.gov/ A partir del análisis del tráficogeneradopor los activos de la red, Arpwatchidentificacambios en lasdirecciones MAC asociadas a cadadirección IP. Utilidad en OSSIM: Gestión del inventario Cambios de dirección IP ARPSpoofing PASIVA 29
30. Tcptrack Monitor de sesiones (red) http://www.rhythm.cx/~steve/devel/tcptrack/ Tcptrackmuestrainformaciónacerca de lasconexiones TCP activas en la red (Duración, datostransferidos…) Utilidad en OSSIM: Información de sesionesdurante la correlación PASIVA 30
31. Nepenthes Honeypot http://nepenthes.mwcollect.org Nepenthes emula servicios y vulnerabilidades conocidas con el objeto de recoger información de los atacantes (Patrones de ataque, ficheros…) Utilidad en OSSIM Conocer que equipos están infectados (Atacan al honeypot) Creación de firmas y directivas en base a los ataques identificados Colección de malware PASIVA 31