Correlacionador de Eventos OSSIM

2
Introducción 4
Capítulo 1 – Infraestructura de red 7
1.1 – Nuestra infraestructura de correlacionador de eventos 7
1.2 – Arquitectura de red 10
1.3 – Herramientas de Hardware 12
1.3.1 – Máquina Física del IDS (Smoothsec) 12
1.3.2 – Máquina Física del Firewall (Pfsense) 13
1.3.3 – Máquina Física de Ubuntu Mate 13
1.3.4 – Máquina Física Kali Linux 2.0 14
1.3.5 – Maquina Física de Windows Server y Active Directory 14
1.3.6 – Maquina Física del Correlacionador OSSIM 14
1.4 – Herramientas de Software 15
1.4.1 – SmoothSec 15
1.4.2 – Pfsense 15
1.4.3 – Windows Active Directory 16
1.4.4 – OwnCloud 16
1.4.5 – ModSecurity 17
1.4.6 – Kali Linux 2.0 17
1.4.7 – Apache 17
1.4.8 – MySQL 18
1.4.9 – OSSIM 18
Capítulo 2 – Instalación y configuración de activos 21
2.1 – Instalación IPS 21
2.2 – Configuración del IPS 24
2.3 – Instalación y Configuración del Firewall 30
2.4 – Instalación y configuración del Active Directory 43
2.5 – Instalación y configuración del Owncloud Web Service 48
Capítulo 3 – Instalación y configuración de OSSIM 64
3.1 – Instalación OSSIM 65
3.2 – Configuración OSSIM 73
3.3 – Interfaz Administración OSSIM 81
Capítulo 4 – Evaluación de criticidad de activos 90
Índice

3
4.1 – Inventario de activos 91
4.2 – Identificación de vulnerabilidades 91
4.3 – Categorización de incidentes 91
4.4 – Criticidad de incidentes 92
4.5 – Importancia de los recursos afectados 93
4.6 – Determinación del impacto de un incidente 93
Capítulo 5 – Reportes de incidentes 97
5.1 - Reporte ejecutivo 97
5.1.1 - Objetivos 97
5.1.2 - Alcance 97
5.1.3 - Resumen de hallazgos 97
5.1.4 - Recomendaciones 97
5.2 - Metodología 98
5.3 - Detalle de hallazgos 98
5.4 - Conclusiones 99
5.5 - Modelo de reporte Incidente de Seguridad 100
Conclusiones 108
Bibliografía 109

4
Hoy en día, organizaciones con distintos fines operativos cuentan como mínimo
con un sistema de redes interno, así sea solo una computadora con acceso a
internet. Estos equipos pueden contar con información valiosa o con un servicio
valioso para la organización
Estos activos o equipos valiosos pueden ser víctimas de distintas amenazas y el
impacto puede ser catastrófico de acuerdo al nivel de criticidad que representa el
activo. Para evitar que pase este tipo de eventos existen sistemas
correlacionador de eventos SIEM que busca notificar a los administradores de la
red entre otros monitores, los distintos eventos que están ocurriendo en la red.
Los eventos que pueden ocurrir varían entre el tipo de acción que se deba aplicar
al activo. Por ejemplo un virus informático puede estar recorriendo la red,
esperando que un equipo con información valiosa se conecte a red y así pueda
hacer diferentes cosas que tiene como objetivo tal virus. Otros ejemplos son las
notificaciones por actualización, puertos abiertos, contraseñas débiles, etc.
En el siguiente proyecto queremos mostrar cómo podemos implementar una de
estas herramientas de correlacionación con el fin de que sirva como buena
práctica al momento de querer monitorear los eventos que ocurren en la red.
Nuestro proyecto esta implementado de la siguiente manera:
Capítulo 1: este el capítulo de estructura de nuestra red y recursos disponibles
para los sistemas operativos que se necesitan poner a funcionar. En este capítulo
también se destacan las características de hardware y software de las máquinas
virtuales que tenemos de uso para nuestro servicio web.
Capítulo 2: aquí veremos las instalaciones y configuraciones que se hicieron
sobre los diferentes activos en el cual no incluimos el SIEM aquí. Los activos
que veremos aquí son el IPS, Firewall, Servicio Active Directory, Servicio de
Owncloud y algunas máquinas de sistemas operativos Linux para realizar pruebas
y monitoreo.
Capítulo 3: en este capítulo esta la configuración del correlacionador de eventos
OSSIM, el cual se le dedica este capítulo enteramente porque veremos diferentes
temas como la instalación, la configuración y la navegación por su portal de
monitorización de eventos.
Introducción

5
Capítulo 4: en esta sección está dedicada a los activos de la red, que aunque este
algo limitada, tiene los servicios de active directory y owncloud. Veremos algunos
diagramas de la criticidad de estos y las pérdidas que podrían significar estas de
forma ficticia ya que nuestra red es propiamente experimental.
Capítulo 5: en el último capítulo de este trabajo estaremos los reportes de Gestión
de incidentes que generó el OSSIM. Vamos a ver los detalles que tiene cada uno
y las incidencias y eventos colectados durante varias pruebas que hicimos con en
la red LAN que cuenta con el Active Directory y el servicio de OwnCloud.

7
En el día a día de las empresas muchas de estas en especial las pequeñas
empresas no tienen idea de que sus equipos están siendo explotados por
numerosos factores o amenazas que pueden tener diversos orígenes. Por
ejemplo en una red empresarial puede está circulando Virus, pueden estar puertos
abiertos del firewall, pueden haber aplicaciones desactualizadas. Todos
elementos que permiten romper el triángulo de la seguridad informática
(disponibilidad, confidencialidad, Integridad).
Para evitar esto el departamento de Tecnología de la información e Infraestructura
de las empresas deben contar con herramientas que le permitan ver de forma más
detallada los activos empresariales tecnológicos que requieren mantenimiento.
Esto se logra por medio del monitoreo constante, en especial de las aplicaciones y
activos tecnológicos más críticos de la organización.
Poder monitorear y tener conocimiento de las amenazas que circulan por nuestros
sistemas de redes es algo que puede marcar una diferencia entre la continuidad
del negocio y el desastre tecnológico. Por ello es recomendable armarse de
herramientas para asegurar que el flujo de información del sistema viaje protegido
por todas las protecciones de seguridad que vayamos a implementar y por medio
del monitoreo aprender los elementos que requieren mejora.
A continuación en el siguiente proyecto queremos mostrar la implementación de
una infraestructura de red en donde los servicios accesibles están siendo
monitoreados por un correlacionador de eventos llamado OSSIM, el cual es una
herramienta Privativa. Sin embargo, a pesar de esto posee una gran cantidad de
utilidades que nos ayudan a monitorear la infraestructura. Estos detalles los
vamos a estar viendo más adelante en un capítulo dedicado a la instalación,
configuración, monitorización con OSSIM.
1.1 – Nuestra Infraestructura de Correlacionador de eventos
El presente proyecto consiste en el seguimiento de eventos y registro de
incidencias que pueden tener una red. Es un proyecto donde se desarrolló una
infraestructura de red en donde interactúan 3 subredes con el Firewall, que es
pfsense, un sistema operativo basado en FreeBSD especializado para actuar
1

8
como Firewall Lógico.
Las subredes que interactuaban en ese proyecto son la WAN, LAN y DMZ;
Pfsense se encarga de administrar la comunicación entre estas redes, decidir qué
servicios, puertos y aplicaciones están disponibles entre las subredes. Hay que
agregar que este Firewall Lógico es de extrema utilidad puesto que guarda LOGS
de actividades que ocurren en la red exclusivamente las que pasan por sus
puertos de entrada y salida de subredes.
Otro elemento de gran importancia y control con el que contamos es el IPS, que
usa Smoothsec, un sistema operativo basado en Debian y que usa el motor Snort
y la base de datos de las reglas de emergingthreats.net. Smoothsec cuenta con
una interface web en el cual se plasma todo el monitoreo y clasifica el tráfico en
categorías: critica, media y baja. Esto lo hace por medio de sus sensores y la
base de datos de conocimientos mencionada anteriormente.
Estos son los elementos más importantes que mencionamos ya que contamos con
ellos en el presente proyecto. Pero, hay una novedad en nuestra implementación
que es el correlacionador de eventos OSSIM, el cual cuenta con censores de
monitoreo. Este elemento no está a full capacidad ya que la implementación
completa de monitorización de eventos requiere al menos 2 máquinas corriendo
OSSIM sobre una subred de la infraestructura.
Esto quiere decir que para implementar la monitorización en la redes LAN y DMZ
requiere al menos 4 máquinas corriendo OSSIM, lo cual puede resultar muy
costoso ya que OSSIM pide muchos requerimientos de hardware para poder
operar sin inconvenientes.
Tipos de equipos que podemos usar para esta implementación serian servidores
ya que las laptops actuales hasta con 12 GB de RAM les cuesta el arranque y
poder mantenerse andando por mucho tiempo. Un equipo ideal sería el de la
imagen que vemos a continuación.

9
Figura #1.1 – Servidor DELL
A continuación presentamos el diagrama de la infraestructura de red utilizadas en
la implementación del correlacionador de eventos en el proyecto.
Figura #1.2 – Diagrama de infraestructura de óptimo
Este proyecto tiene otras aplicaciones que vamos a presentar, describir y mostrar

10
su funcionamiento y aplicaciones más adelante, pero primero veamos para que
sirve lo que estamos construyendo.
¿Cuál es la función de la infraestructura?
Este punto es importante para saber qué tan valioso es lo que protegemos, ya que
esto se mide por las ventajas que brinda tal servicio a los usuarios del mismo.
Para mencionarlo de una forma fácil, resumimos que tenemos 2 utilidades de gran
beneficio para los usuarios de nuestra red, que serían las siguientes:
 Servicio Active Directory: muchas organizaciones tienen que implementar
este tipo de servicios para llevar el control de acceso de usuarios a aplicacio-
nes y al sistema.
 Servicio de OwnCloud: se utiliza para almacenar archivos lo cual es bastante
importante para grupos de trabajo que resguarda su información y deja que
sea disponible para otros miembros de su equipo de trabajo con el fin de que
usen manuales, procedimientos e ideas propiamente documentadas.
Lo que queda por hacer luego de implementar estas nuevas ventajas para
nuestros usuarios de la organización y clientes, es vigilar, mantener el control y
verificar los puntos que sean vulnerable para añadirlo, como medida a verificar en
nuestra red.
Los elementos de protección y ensayo de vulnerabilidades (para tomar medidas
de protección de acuerdo a los resultados de monitoreo de comportamientos), los
veremos a continuación en el siguiente diagrama de red.
1.2 – Arquitectura de Red
La arquitectura de red está compuesta por los elementos que nos ayudan a
conectarnos con el servidor para poder acceder a los servicios que este provee.
Sin embargo hay que incluir elementos de protección en tal arquitectura que
garantice que el servicio esté disponible 24/7 mientras no se haya dado algún
anuncio de baja temporal ya sea por nuevas implementaciones, mantenimientos,
etc.
Para nuestro servicio de active directory y owncloud poseemos herramientas para
poder monitorear el tráfico hacia estas y poder hacer uso seguro de los mismos.
Este servicio está controlado para que los usuarios designados por el
administrador sean los únicos que puedan disfrutar de la navegación y el uso de
servicios a través de la red y a la vez administrado por el active directory con el
control y monitoreo de OSSIM.

11
A continuación presentamos el diagrama que contempla este proyecto y con ello
podrá ver una comparativa de lo implementado con lo que sería ideal. Claro que
por temas de practicidad y recursos disponibles esta fue la opción indicada ya que
es funcional para pruebas.
Figura #1.3 – Diagrama de Seguridad Móvil
Como se puede ver en la imagen anterior es la arquitectura simulada en nuestro

12
conjunto de máquinas virtuales entre las que podríamos clasificar como:
 Máquinas de servicio: hay 2 que se encuentran físicamente en la red LAN.
 Máquinas Físicas: Hay 4 máquinas físicas, que trabajan independientemente.
Una de ellas dedicada para el Firewall Pfsense, otra para el IPS Smoothsec,
otra para realizar pen-testting con KaLi Linux 2 y finalmente una máquina que
posee un IDS (maltrail). La otra es un server DELL donde esta instalados,
configurado e implementado el OSSIM.
 Máquinas virtuales de monitoreo: es una máquina que contiene los Ubuntu
14 para hacer monitoreo en la subred DMZ.
 Monitor (máquina física): contamos hasta con 2 laptops y 1 monitor que se
pega dependiendo de la necesidad de monitoreo a cualquier de sus máquinas.
El monitor es para las maquinas físicas que tienen una implementación de se-
guridad como las que tiene el smoothsec, el pfsense y el OSSIM. Las laptops
son para pegarse a un switch en alguno de los segmentos de la red para moni-
torear ingresando al portal web de cada herramienta de seguridad o para in-
gresar al owncloud y realizar operativas. En muchas ocasiones se crear má-
quinas virtuales y se levantan para realizar pruebas con ataques.
Algo a resaltar es la preferencia de máquinas físicas para que sirvan de equipos
de protección porque ofrecen mayor manipulación de las redes y permite una
interacción más directa del administrador de la seguridad con un escenario real
donde no existen mayormente, máquinas virtuales.
Los equipos físicos son más estables que los virtuales además que la contención
de servicios virtuales en una sola maquina física es un riesgo ya que la emulación
de estas se puede ver afectada por algún evento que ocurra en el sistema físico.
1.3 – Herramientas de Hardware
Entre las herramientas de hardware están las propias máquinas virtuales utilizadas
para el proyecto, de las cuales se quiere destacar el consumo de recursos de la
maquina física que se le asignó a cada una de estas.
A continuación mostramos características propias del equipo físico que usa el
simulador Virtual Box para los sistemas que componen el proyecto. Por una parte
está el que mostramos a continuación:
1.3.1 – Máquina Física del IDS/IPS (Smoothsec)
La máquina física del IPS, posee las siguientes características de hardware al
momento de haber hecho la instalación del sistema operativo.

13
Elementos principales de la máquina del IPS
Elemento Característica
Procesador 2.4 GHz 4 core
RAM 6 GB
HDD 750 GB
Equipo físico Laptop Acer Aspire
1.3.2 – Máquina Física del Firewall (Pfsense)
Es la máquina física que corre el sistema Operativo PFsense y que posee las
siguientes características físicas de hardware.
Elementos principales de la máquina Firewall
Procesador 2.16 GHz Quadcore
RAM 2 GB
HDD 250 GB
1.3.3 – Máquina Física de Ubuntu Mate
Consiste en la puesta en marcha de algunas aplicaciones que provocan eventos
como el zenmap. Esto es hecho en el Raspberry Pi3 con Ubuntu Mate 15.10
andando. Sus características son las siguientes.
Elementos principales de la máquina Raspberry pi3
RAM 1 GB
HDD 32 GB
Equipo físico Raspberry Pi3
1.3.4 – Máquina Física Kali Linux 2.0
Consiste en la puesta en marcha del Kali Linux light en el Raspberry Pi, el cual

14
cuenta con las especificaciones necesarias para ponerlo a andar. Sus
características son las siguientes.
Elementos principales de la máquina Raspberry pi2
RAM 1 GB
HDD 32 GB
Equipo físico HP
1.3.5 – Máquina Física de Windows Server y el Active Directory
Maquina con Windows server 2008 instalado, a la cual se le instalo el Windows
active directory. Aparte cuenta con la administración de algunos usuarios
creados.
Elementos principales de la máquina Windows Server 2008
Procesador Intel Core i5, 2.4 Ghz
RAM 8 GB
HDD 500 GB
Equipo físico HP Pavilion All in one 23-q21
1.3.6 – Máquina Física del correlacionador OSSIM
Máquina que contiene el correlacionador de eventos OSSIM el cual requiere de
una alta cantidad de requerimientos de hardware si se quiere implementar en
redes empresariales. Sin embargo por temas de que es solo para la simulación
de proyecto pudimos poner a funcionar correctamente OSSIM en el siguiente
equipo.
Elementos principales de la máquina OSSIM
Procesador Intel Xeon
RAM 8 GB
HDD 600 GB
Equipo físico Dell Server

15
1.4 – Herramientas Software
La mayoría del software que se utilizó en este proyecto es OpenSource y se
decide que sea de esta manera para la exploración de nuevas posibilidades y
soluciones, contra el día a día de ataques que recibimos desde la red Global. Por
parte del software privativo tenemos Windows Server 2008 y su servicio Active
directory con detalles que veremos más adelante.
Podemos hablar un poco de algunos de los software OpenSource y privativos
describiendo algunas características de ellos a continuación:
1.4.1 – SmoothSec
Es un sistema operativo basado en Debian, que tiene embebido el IPS, que
conjunto con Snort, Sagan y los HIDS son una barrera protectora contra ataques
externos. Este software protegerá el Router y a través de su monitor podemos
verificar el tráfico y las amenazas que este detecta.
Figura #1.4 - SmoothSec
1.4.2 – Pfsense
Es un sistema operativo también, que está basado en FreeBSD, y que posee una
amplia gama de funcionalidades que se pueden configurar. Se pueden descargar
paquetes que ayudan a la monitorización de múltiples elementos en el tráfico entre
las diferentes interfaces que este sistema puede manejar. Entre los más
destacados están el filtro de contenido, el control de acceso entre las subnets,
filtro de puertos, OpenVPN, el portal cautivo y el radius.

16
Figura #1.5 – Pfsense logo
1.4.3 - Windows Active Directory:
Es un servicio de administración de usuarios, que tiene como objetivo el control de
ingreso a los sistemas de red que están asociados al servidor de Windows.
Utilidades que podemos encontrar son el control de acceso y privilegio, creación,
modificación y actualización de usuarios, entre otros elementos de seguridad.
Figura #1.6 – Windows Active Directory
1.4.4 – Owncloud
Es una aplicación web que se basa en el uso de 2 aplicaciones principalmente:
apache como interfaces y administración del recorrido por el sitio web y mysql
como base de datos de almacenamiento de usuarios y elementos que se guardan
en la nube.
Figura #1.7 – Servicio de almacenado Owncloud
1.4.5 - Mod Security
No es una gran aplicación sino 3 que incluye el mod evasive, el mod qos y el mod

17
security. Estos 3 elementos son instalados y configurados dentro del servidor del
servicio web (owncloud en nuestro caso), para actuar con WAF (Web Application
Firewall)
Figura #1.8 –Mod Security
1.4.6 - Kali Linux 2.0
Este sistema operativo es una suite de herramientas pentesting que en nuestro
proyecto se utiliza para hacer simulaciones y pruebas para captarlas con el
OSSIM.
Figura #1.9 – Kali Linux 2.0
1.4.7 – Apache
Es un servidor web HTTP de código abierto, para plataformas Unix (BSD,
GNU/Linux, etc.), Microsoft Windows, Macintosh y otras, que implementa el
protocolo HTTP/S.

18
Figura #1.10 – Apache HTTP Server
1.4.8 – MySql
Es un sistema de gestión de bases de datos relacional desarrollado bajo licencia
dual GPL/Licencia comercial por Oracle Corporation y está considerada como la
base datos open source más popular del mundo , y una de las más populares en
general junto a Oracle y Microsoft SQL Server, sobre todo para entornos de
desarrollo web.
Figura #1.11 – MySql
1.4.9 – Ossim
Es un sistema Open Source de seguridad y gestión de eventos, la integración de
una selección de herramientas diseñadas para ayudar a los administradores de
red en la seguridad informática, la detección y prevención de intrusiones. Está
destinado a dar los analistas de seguridad y los administradores una vista de
todos los aspectos relacionados con la seguridad de su sistema, mediante la
combinación de gestión de registro y gestión de activos y el descubrimiento con la
información de los controles de seguridad de la información dedicados y sistemas
de detección. Esta información se correlaciona entonces juntos para crear
contextos a la información visible en diferentes reportes y estadísticas.
Figura #1.12 – OSSIM

19
Por parte del software estos serían el conjunto de software utilizados durante la
construcción e implementación del proyecto. Se destaca que la mayoría
presentada es Open Source incluyendo el correlacionador OSSIM.
En los capítulos siguientes podremos ver la instalación y configuración de varios
equipos físicos y virtuales. También la puesta en marcha de servicios y sensores
de monitoreo de eventos.

20
Instalación y
configuración de
Activos
2

21
2.1 – Instalación IPS
Los pasos de instalación son parecidos a los de la instalación del sistema operati-
vo Debian. A continuación se aprecia dicho procedimiento:
A. Selección del Idioma
Figura #2.1 - Selección del Idioma Inglés para el Sistema
SmoothSec
B. Selección de la Región y el País
Figura #2.2 - Selección de la Locación
2

22
Figura #2.3 - Selección de la Región
Figura #2.4 - Selección del País

23
C. Selección del mapa del teclado
Figura #2.5 - Elección del Idioma del Teclado
D. Seleccionamos el tipo de partición que se desea. Para formatear el disco com-
pleto e instalar la nueva imagen, elegimos la última opción como se muestra a
continuación.
Figura #2.6 - Selección del tipo de partición de disco que
se desea

24
2.2 - Configuración del IPS
Como primer paso, accedemos a la cuenta de superusuario. Para esto, hacemos
login con root y el password toor. Luego, ejecutamos el script que nos
ayudará a establecer las configuraciones iniciales smothsec.first.setup,
seleccionando el deployment ips-standard.
Figura #2.7 - Elección de la opción IPS-standard para
primeras configuraciones del SmoothSec
A. A continuación, procederemos a ejemplificar la configuración de Smoothsec
en modo INLINE. Este modo, nos permitirá hacer uso de una base de datos
para llevar el registro de las ocurrencias.
Figura #2.8.1 - Configuración del modo INLINE (A)

25
Figura #2.8.2 - Configuración del modo INLINE (B)
En este caso utilizaremos como usuario seguridad2 y contraseña 123456.
B. Luego de haber configurado nuestro usuario y contraseña, procederemos a
ver la configuración de afpacket.cfg. Dentro de este archivo, estableceremos
los siguientes lineamientos:
1) IP de Consola de Mantenimiento.
2) Modo del Smoothsec (IPS o IDS).
3) El motor del IPS (Snort o Suricata).
4) Los tipos de reglas, en nuestro caso, usaremos Emerging Threats.
5) Configuraciones de red:
1.1. Interfaz 1.
1.2. Interfaz 2.
1.3. Gateway.
1.4. Home Network.
1.5. IP del Sensor.
1.6. IP de Mantenimiento.

26
Figura #2.9 - Configuración de las Interfaces de Red
C. Como mostraremos en la siguiente imagen, se podrá apreciar todas las confi-
guraciones mencionadas en el punto anterior. Según nuestro entorno de labo-
ratorio se hace uso de la red 192.168.1.0/24 y con Gateway 192.168.1.1,
además, nuestra interfaz de mantenimiento eth2: 192.168.1.180.
Figura # 2.10: Configuración de las Interfaces de Red
D. Como siguiente paso, procederemos a instalar nuestra cuenta de Snorby, el

27
cual es un monitor de suceso que utiliza Smoothsec. Luego de la instalación,
reiniciamos el equipo.
Figura #2.11 - Instalación del Snorby
E. Luego de haber instalado el Snorby en el Smoothsec, procedemos a ingresar
en otra máquina a la página www.snort.org para generar el oinkcode ingre-
sando nuestro usuario y contraseña.
Figura #2.12 - Generación del Oinkcode

28
Figura #2.13 - Regeneración del Oinkcode
F. También ingresamos a la página https://portal.emergingthreats.net para gene-
rar el código de la misma y ponerlo en nuestro smoothsec.
Figura #2.14 - Generación del código de Emerging
Threats

29
G. Luego de haber terminado todas nuestras configuraciones, incluyendo los có-
digos generados en la página de snort y emerging threats, procedemos a usar
otra máquina para verificar si tenemos acceso a internet.
Figura #2.15 - Prueba de Conexión a Internet
H. Al verificar que tenemos acceso a internet, procedemos a navegar por inter-
net, para luego revisar en otra computadora entrando por https://10.10.10.80,
monitorear los eventos que violaban las reglas que se han configurado para la
navegación en internet.
Figura #2.16 - Ingreso a Consola de Monitoreo

30
Figura #2.17 - Consola de Monitoreo
Figura #2.18 - Consola de Monitoreo en Ejecución
2.3 – Instalación y Configuración del Firewall
El firewall es el elemento que nos ayuda a establecer la comunicación entre las
diferentes zonas de la red. En nuestro proyecto utilizamos el firewall lógico
Pfsense, que está desarrollado en FreeBSD.
Esta es la forma en que ensamblamos los diferentes dispositivos para hacer una
instalación del Pfsense, y de la cual pudimos verificar la conectividad de los

31
equipos que están en la LAN y WAN.
Figura #2.19 – Esquema hardware para instalación de
Pfsense
Booteando el S.O. Pfsense desde el pendrive

32
Colocamos el Pfsense en un puerto USB del barebone y comenzamos a configu-
rar la instalación. Esperamos que cargue el programa hasta que despliegue el
siguiente menú de opciones:
Figura #2.20 - Menú de configuración del Pfsense
Se seleccionó la opción 99 la cual nos instala el sistema operativo Pfsense en el
barebone, para que luego de la instalación nos muestre el menú nuevamente.
Ahora lo que sigue es configurar las interfaces, por lo que seleccionamos la op-
ción #2 del menú.
Figura #2.21 - Configurando las Interfaces
Para nuestro Firewall lógico tenemos que configurar las interfaces para 2 áreas:
• WAN
• LAN
De momento solo configuramos la LAN y la WAN. Por lo que iniciamos con la
opción #1 (EM0) para la WAN con la configuración mostrada en el cuadro si-
guiente:

33
Parámetro Configuración
DHCP para WAN IPv4 si
DHCP para WAN IPv6 no
Dirección IPv6 (sin asignar)
HTTP no
Figura #2.22 - Asignación de IP a la WAN
A continuación, lo que sigue es la configuración de la LAN por lo que seleccio-
namos nuevamente la opción #2 del menú de la figura #3.2 y escogemos la op-
ción #2 (EM1) para la asignación de IP a la interface LAN. Esta configuración la
podemos ver en el siguiente cuadro.
Parámetro Configuración
Dirección IPv4 10.10.120.1
Subtnet bit count 24
LAN IPv4 gateway (sin asignar)
Dirección IPv6 (sin asignar)
DHCP para LAN no
Rango inicial 10.10.120.10
Rango final 10.10.120.252

34
Figura #2.23 - Asignando IP a la LAN
La configuración de la LAN la podemos ver en el cuadro de la figura #3.5.
Configuración de Pfsense en el Navegador
Teniendo en cuenta que la puerta de enlace de la interface LAN configurada es
10.10.120.1, colocamos este IP en el navegador, para encontrarnos con la pági-
na de inicio de sesión del Pfsense, como se muestra a continuación:
Figura #2.24 - Login de Pfsense
Por defecto, el usuario de pfsense es admin y la contraseña es pfsense. Al in-
gresar somos direccionados a la pantalla del menú Status-DashBoard, como
se ve a continuación.

35
Figura #2.25 - Ventana de inicio de Pfsense
Luego de esto, podemos ir navegando por los menús para ver las opciones que
deseamos configurar y aplicar. Empezamos con el menú system.
3.2 – Configuraciones del menú SYSTEM
Figura #2.26 - Menú system-advanced-AdminAccess

36
En esta pantalla cambiamos el protocolo seleccionado por HTTPS y habili-
tamos el login autocomplete, y a continuación guardamos.
Figura #2.27 – Menu System-General Setup
En la pantalla de la figura #3.9 nos fijamos en el nombre del firewall, host
y el dominio. Otro elemento a verificar aquí es la zona horaria, nosotros
seleccionamos América/Panamá.
Instalación de paquetes Squid, SquidGuard, Snort y Ntop
Dentro del menu system está la opción packages que nos proporciona
una lista de paquetes que puede tener nuestro Firewall con muchas utili-
dades tanto de seguridad, monitoreo, etc. El interés se centra en 4 paque-
tes por el momento: squid, squidGuard, Snort y Ntop.
Figura #2.28 – Paquetes Squid, SquidGuard y Snort instalados
La pestaña Available packages tiene una gran lista de paquetes útiles. Los
que se han instalado los podemos verificar en la pestaña Installed
packages.

37
Figura #2.29 – Administración de usuarios
Es importante resaltar esta opción, ya que el pfsense nos permite crear va-
rios usuarios que podrían enfocarse en tarea específicas de monitoreo del
sistema. Esta opción se encuentra en el menú system – User manager.
Configuraciones del menú Interfaces
El siguiente Menú nos permite configurar, agregar y eliminar interfaces según
la cantidad de puertos de red que disponga el equipo, en nuestro caso el ba-
rebone provee 5 puertos de red del cual estaremos usando 2 (LAN, WAN). A
continuación mostramos algunas imágenes de las opciones de cada interface
Figura #2.30 – Interface WAN

38
Esta interface tiene la misma configuración que dejamos al momento de instalar
el pfsense
Figura #2.31 – Interface LAN
Similar al caso de la Interface WAN, esta tiene la misma configuración que deja-
mos al momento de instalar el Pfsense
Configuraciones del menú Firewall
De momento las reglas que tenemos creadas de Firewall están para la In-
terface LAN, que es lo que mostramos en la figura a continuación:
Figura #2.32 - Reglas de Protocolos para la LAN

39
Configuraciones del Menú SERVICES
Figura #2.33 - Habilitar SquidGuard desde ProxyFilter
Lo que queremos hacer ahora es habilitar y configurar el filtro del contenido,
que se encuentra en el menú services-proxy filter.
El primer paso, es habilitar los elementos que vemos marcados en las figu-
ras a continuación, que son:
• Habilitar SquidGuard
• Habilitar GUI log

40
• Habilitar la opción BlackList.
Guardamos y ahora nos movemos a las siguientes pestañas para terminar
de configurar unas opciones que nos permite iniciar este servicio.
Figura #2.34- Pestaña de filtro de contenido
En la pestaña de Common ACL, presionar la flecha verde que dice Target
Rules para desplegar la lista de categorías de páginas web que se pueden
bloquear.
Figura #2.35 - Tipos de sitios bloqueables por el firewall
Para activar el squidGuard debemos bajar la base de datos de la lista ne-
gra. Esto lo podemos ver en la pestaña blacklist y colocamos la dirección
web.

41
Figura #2.36 - Descarga del BlackList
Hecho esto regresamos a la pestaña General Settings, y presionamos el
botón Apply, con lo que se inicia el SquidGuard.
Figura #2.37 - Access control, puertos seguros.
Lo próximo es la configuración de Proxy server donde configuraciones la
subnet permitidas y los puertos permitidos, como vemos en la figura #3.20.
Salimos de este menú, y vamos al menú Services-Snort y vamos a la
pestaña Global Settings, donde colocamos el oinkCode generado al
registrarnos en la web de Snort.

42
Figura #2.38 - Aplicación de Snort al Firewall
Para terminar en esta pestaña, marcamos todas las casillas a excepción de
ETPro.
La siguiente pestaña que vemos es Snort Interfaces, y nos fijamos que es-
te habilitado para todos.
Figura #2.39 - Interfaces sincronizadas con Snort

43
En la pestaña Updates podemos actualizar los paquetes de Snort descargados
Figura #2.40 - Paquetes de Snort instalados que se
pueden actualizar
Para finalizar, nos fijamos que todos los servicios estén corriendo para lo cual
nos vamos al menú Status-Services.
Configuraciones del menú STATUS
Figura #2.41 - Servicios del firewall en funcionamiento
2.4 – Instalación y Configuración del Active Directory
Para la instalación del servidor de Directorio Activo, utilizamos una máquina virtual
con las siguientes especificaciones:

44
Especificaciones
Sistema Operativo Windows Server 2008
Memoria RAM 4 GB
Disco Duro 25 GB
Tipo de Red Puente
Dirección IP 10.10.220.200
Como podemos ver en el cuadro utilizaremos el sistema operativo Windows
Server 2008 para el uso del directorio activo.
Figura #2.42 – Sistema Operativo para AD
Para la creación de los usuarios del AD, abrimos la consola del AD y como vemos
en la siguiente figura le damos click derecho en la opción User y escogemos la
opción New. En nuestro caso creamos el dominio grupoabc.local, ese dominio es
el que se usará para cada usuario que se cree dentro del directorio activo.

45
Figura #2.43 – Creación de usuario en AD
La nomenclatura usada para la creación del equipo es ABCnombre y en el
nombre se colocará el nombre completo del usuario.
Figura #2.44 – Creación de equipo en AD

46
Luego de haber creado el equipo y usuario en el directorio activo, abrimos una
nueva máquina virtual para levantar el dominio en otro equipo. Para este proyecto,
utilizamos el sistema operativo Windows XP.
Figura #2.45 – Sistema Operativo usado para los equipos
de los usuarios
Las especificaciones con las que cuenta esta máquina virtual son las siguientes:
Especificaciones
Sistema Operativo Windows XP
Memoria RAM 42GB
Disco Duro 25 GB
Tipo de Red Puente
Luego de hacer la instalación del sistema operativo, procedemos a irnos a la parte
de especificaciones de la máquina en las propiedades de sistema (ver figura #
2.46) y nos vamos a la pestaña Computer Name

47
Figura #2.46 – Levantar usuario a dominio
Cuando estamos en la pestaña computer name, vamos a la opción Change y nos
aparecerá una ventana donde colocaremos el nombre del equipo creado, en
nuestro caso ABCandrea, el dominio grupoabc.local y colocamos una contraseña
que puede ser cambiada por el usuario en el siguiente inicio de sesión. Hacemos
click en OK y reiniciamos la máquina virtual. Cuando está reinicie nos aparecerá la
siguiente ventana, donde con ella confirmamos que nuestro equipo ya está en
dominio.

48
Figura #2.47 – Pantalla de login del usuario luego de
estar en dominio
2.5 – Instalación y Configuración del Servidor Apache
Con la aparición de la Web 2.0, el intercambio de información a través de redes
sociales y el crecimiento de los negocios en la adopción de la Web como un medio
para hacer negocios y ofrecer servicios, los sitios web son constantemente ataca-
dos. Los hackers buscan, ya sea comprometer la red de la corporación o a los
usuarios finales, accediendo al sitio web.
Como resultado, la industria está prestando mayor atención a la seguridad de apli-
caciones web, así como a la seguridad de las redes computacionales y sistemas
operativos.

49
La mayoría de los ataques a aplicaciones web ocurren a través del cross-site
scripting (XSS) e inyección SQL el cual comúnmente resulta de una codificación
deficiente y la falta de desinfección de las entradas y salidas de la aplicación web.
Figura #2.48 - Gráfico Cenzic muestra el informe de
tendencias de la vulnerabilidad de 2013
Remover la versión del banner
Abrimos el archivo security.conf
/etc/apache2/conf-availables/security.conf
Habilitamos o agregamos de ser necesario las siguientes líneas:
ServerTokens Prod
ServerSignature Off

50
Figura #2.49 – Remover versión del banner.
Deshabilitar el listado de directorios.
Para evitar que un atacante pueda ver el listado de archivos y carpetas de nuestro
servidor Web.
Abrimos el siguiente archivo apache2.conf
vi /etc/apache2/apache2.conf
Dentro del directorio agregamos la siguiente línea:
Options –Indexes

51
Figura #2.50 – Deshabilitar el listado del directorio.
Ejecutar apache desde una cuenta sin privilegios.
En caso de que un atacante logre obtener el usuario y contraseña del apache, es
importante que esta cuenta no posea permisos para iniciar sesión como root y
poder hacer otras cosas en nuestro servidor Web.
Para esto debemos crear un grupo y posteriormente un usuario, con el nombre de
apache.
groupadd apache
useradd –G apache apache
Luego cambiamos el propietario de la carpeta de instalación del Apache, con el
nuevo usuario sin privilegios que acabamos de crear.
chown –R apache:apache /opt/apache

52
Figura #2.51 – Cambiar propietario del apache.
Protegernos de ataques Clickjacking
Clickjacking o secuestro de clic, es una técnica maliciosa para engañar a
usuarios de Internet con el fin de que revelen información confidencial o tomar
control de su computadora cuando hacen clic en páginas web aparentemente
inocentes.
En uno de los muchos navegadores o plataformas con alguna vulnerabilidad, un
ataque de clickjacking puede tomar la forma de código embebido o script que se
ejecuta sin el conocimiento del usuario; por ejemplo, aparentando ser un botón
para realizar otra función.
Editar el siguiente archivo default-ssl.conf, ubicado en /etc/apache2/sites-
available/
nano /etc/apache2/sites-available/default-ssl.conf
Agregar la siguiente línea:
Header always append X-Frame-Options SAMEORIGIN

53
Figura #2.52 – Protección contra el Clickjacking.
Proteger la cookie con Secure cookie
La cookie es una pequeña información enviada por un sitio web y almacenado en
el navegador del usuario, de manera que el sitio web puede consultar la actividad
previa del usuario. Pero dicha información puede ser manipulada por terceros sin
no controlamos esto.
Agregamos la siguiente línea dentro del archivo default-ssl.conf:
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Figura #2.53 – Protección contra manipulación de cache.

54
XSS (Cross Site Scripting)
Cross-site scripting es un tipo de inseguridad informática o agujero de
seguridad típico de las aplicaciones Web, que permite a una tercera persona
inyectar en páginas web visitadas por el usuario código JavaScript o en otro
lenguaje similar (ej: VBScript), evitando medidas de control como la Política del
mismo origen.
XSS es un vector de ataque que puede ser utilizado para robar información
delicada, secuestrar sesiones de usuario, y comprometer el navegador,
subyugando la integridad del sistema.
Para solucionar esta vulnerabilidad agregamos dentro del archivo default-ssl.conf
la siguiente línea.
Header set X-XSS-Protection: "1; mode=block"
Figura #2.54 - Cross site Scripting.
Luego de haber agregado estas tres últimas líneas al archivo default-ssl.conf,

55
nos debe quedar el IfModule mod_header.c así:
<IfModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
Header set X-XSS-Protection: "1; mode=block"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
</IfModule>
Reiniciamos apache2
/etc/init.d/apache2 restart
Eliminar el historial de la consola de intérprete
Ejecutamos el siguiente comando:
history -c && history –w
Figura #2.55 – Eliminación del Historial.
Configuración seguridad de Openssl y suites de protocolos seguros.

56
Primero vamos a crear un certificado con una cifrado RSA de 4096, y su
respectiva firma.
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout localhost.key -
out localhost.crt
Ahora vamos a generar nuestras llaves
openssl req -out localhost.csr -new -newkey rsa:2048 -nodes -keyout
localhost.key
Agregamos nuestro certificado, copiamos nuestro certificado, y llave dentro del
siguiente archivo: default-ssl.conf.
SSLCertificateFile # Personal Certificate
SSLCertificateKeyFile # Key File
SSLCACertificateFile # Signer Cert file
Ahora vamos a configurar el OpenSSL con los protocolos de cifrados seguros,
eliminando protocolos obsoletos como el sslv2 y sslv3, además de la
renegociación de protocolos débiles aprovechados por vulnerabilidades como
Poodle, the beast, heartbleed, entre otras. Procedemos a abrir el archivo ssl.conf
nano /etc/apache2/mods-available/ssl.conf
Figura #2.56 – Configuración del Open SSL - 1.
La siguiente opción permite el uso de suite de cifrados altas y medios, y anula los

57
cifrados débiles y hash como MD5, MD4, entre otros obsoletos.
Figura #2.57 – Configuración del open SSL - 2.
El parámetro SSLHonorCipherOrder On, habilita o permite solamente el uso de
los cifrados Fuertes que mostramos abajo: Curvas elípticas + diffie healman,
curvas elípticas + dsa,, entro otros cifrados en dicho orden.
La siguiente configuración elimina los protocolos obsoletos de SSLv2 y SSLv3
En la siguiente opción comentamos el parámetro que por defecto permite la
renegociación de insegura de cifrados.

58
Habilitamos el uso de HSTS que nos permite el uso de forward secrecy con https
Figura #2.60 – Habilitamos el uso de HSTS.
Configuración del WAF
Estará formado por tres mod (mod security, mod evasive, mod qos).

59
Nota: La dirección IP y nombre de la máquina que veremos a continuación es
diferente, pues es de un informe anterior.
A continuación detallamos los pasos para la instalación y configuración del Mod
Security (nuestro WAF), luego continuamos con el Mod Evasive (nuestro IPS) y
por último el Mod Qos (Nuestra protección contra ataques de denegación de
servicios o Slow Loris).
Instalamos las dependencias con el siguiente comando:
apt-get install libxml2 libxml2-dev libxml2-utils
Figura #2.61 – Instalación de dependencias.

60
apt-get install libaprutil1 libaprutil1-dev
Figura #2.62 – Instalación de dependencias.
Nos preguntará si deseamos continuar, le decimos que sí, osea presionamos la
letra Y luego la tecla Enter.
Ahora que ya hemos instalado las dependencias necesarias, podemos iniciar la
instalación del Mod Security.
Instalación del mod_Security:

61
Mod security cambio a la versión dos por eso utilizamos este comando
apt-get install libapache2-mod-security2 -y
Figura #2.63 – Instalación del mod Security.

62
Configuración del ModSecurity
Vamos a copiar la configuración recomendada a su correspondiente archivo en la
ubicación
cp /etc/modsecurity/modsecurity.conf-recommended
/etc/modsecurity/modsecurity.conf
Figura #2.64 – Configuración del mod Security.

63
Ahora procedemos a activar las reglas en el archivo de configuración
usamos el siguiente comando:
nano /etc/modsecurity/modsecurity.conf
Figura #2.65 – Activación de reglas del mod security.

64
Instalación y
configuración de
OSSIM 3

65
3.1 – Instalación OSSIM
El siguiente capítulo veremos la instalación del OSSIM y la configuración de las
diferentes áreas de la herramienta.
!
NOTA
La instalación del OSSIM es igual a cualquier instalación de Distribuciones
GNU/Linux
Figura #3.1 – Selección del Idioma durante la instalación
3

Gestión de Incidentes de Seguridad
66
Figura #3.2 – Configuración del Idioma del teclado

67
Figura #3.3 – Selección de la ubicación vamos a seleccionar
Otros
Figura #3.4 – Seleccionamos Centro América

68
Figura #3.5 – Seleccionamos Panamá
Figura #3.6 – Idioma de codificación

69
Figura #3.6 – Instalación de componentes
Figura #3.7 – Nombre de host del OSSIM

70
Figura #3.8 – Contraseña del usuario root
Figura #3.9 – Particionado del disco

71
Figura #3.10 – Particionado del disco en una sola partición
Figura #3.11 – Terminamos el Particionado del disco

72
Figura #3.12 – Se escriben los cambios al disco
Figura #3.13 – Instalación del Grub

73
3.2 – Configuración OSSIM
Lo primero que hacemos es acceder a la dirección configurada la cual es la
siguiente:
10.10.120.20
Figura #3.14 – Creación de cuenta de administración
Vamos a llenar la información del usuario administrador
Figura #3.15 – Información de Usuario administración

74
Una ve configurada la cuenta del usuario administrador procedemos a la
configuración de la red, el descubrimiento de activos y el registro de los logs.
Figura #3.16 – Wizard de Configuración Inicial
Primero vamos a configurar la interfaz de administración, en la interfaz eth1
vamos a configurarla como Network Monitor y por último la interfaz eth2 la
colocamos como log collector.
Figura #3.17 – Wizard de Configuración Inicial

75
Figura #3.18 – Wizard de Configuración Inicial, con las interfaces
configuradas
El siguiente paso es la configuración de los activos de la red, vamos a escanear
en este caso la zona LAN.
Figura #3.19 – Escaneo de la red

76
Figura #3.20 – Escaneo de la red
Podemos observar que los activos conectados a la red.
Figura #3.21 – Activos encontrados durante el escaneo

77
Durante el escaneo podemos ver el firewall que en nuestro caso tiene el ip
10.10.120.21. Vamos a dar siguiente
Figura #3.22 – Activos encontrados durante el escaneo, firewall
Pfsense
El siguiente paso del wizard es el deployment o instalación de los agentes en los
diferentes activos de la red:
1) Debemos poner las credenciales de acceso usuario y contraseña.
2) Podemos definir los activos de la red y los diferentes SO a los que vamos a
proceder a instalarle los agentes.
3) El siguiente muestra el listado de todos los activos que deseamos hacerle la
instalación de agentes.
Una vez instalado los agentes en los activos que deseamos damos click en
siguiente

78
Figura #3.23 – Configuración del Deployment
Figura #3.24 – HIDS Deployment

79
Figura #3.25 – HIDS Deployment, Agente en Servidor Linux
Figura #3.26 – Agente instalado correctamente

80
Configuración de las interfaz del log collector y los equipos como el firewall y el ids
en la dmz y lan.
Figura #3.27 – Configuración de las interfaces de administración
de logs
Podemos observar la configuración es correcta cuando el plugin está habilitado
nos muestra un indicador en color verde. Vamos a dar siguiente
Figura #3.28 – Configuración de los activos o network device

81
!
NOTA
Para que el OSSIM reciba los registros del pfsense debemos habilitar la opción
Remote Login
Habilitamos la opción de enviar a servidor remoto e indicamos el servidor en este
caso es el IP de administración del OSSIM.
Figura #3.29 – Configuración Servidor de Logs remotos en el
Pfsense
3.3 – Interfaz de Administración OSSIM
Primer acceso a la interfaz de administración del OSSIM luego de completar la
instalación

82
Figura #3.30 – Acceso a la administración del OSSIM
Primeros eventos registrados luego de la instalación podemos observar en la
siguiente imagen que la mayoría son eventos de Autenticación los cuales registra
los accesos a los activos durante la instalación de los agentes.
Figura #3.31 – SIEM TOP Eventos

83
La sección de filtros podemos hacer las búsquedas por sensores, por riesgo de
eventos, por fecha. Además el listado nos indica el tipo de eventos el registro la
fecha, la fuente de donde proviene en nuestro caso son registro del sistema
provenientes del firewall.
Figura #3.32 – Registros en la sección de Análisis
La siguiente imagen encontramos los registros de acceso por ssh a los agentes
Linux y los registros del IDS
Figura #3.33 – Registros en la sección de Análisis

84
Detalles de los eventos registrados:
1) Tipo de evento en este caso un evento recolectado por el IDS.
2) El sensor que detecto el evento.
3) El tipo de categoría IDS.
Figura #3.34 – Detalles de los eventos
Descripción de la regla activada, por el snort en el firewall.
Figura #3.34 – Detalles de la regla activada por los eventos

85
Luego del análisis de los eventos, podemos ir a la sección de Tickets, podemos
observar las vulnerabilidades, la prioridad asignada al activo e información del
personal asignado.
Figura #3.35 – Vulnerabilidad en activos encontradas y los tickets
La sección de Análisis encontramos adicionalmente las Alarmas, la cual nos
indican los eventos de mayor riesgo en los activos mayor criticidad para la
organización.
Figura #3.36 – Alarma en un escaneo al Servidor AD

86
Procedemos a realizar un escaneo nuevamente en la sección de Enviroment,
para añadir nuevos activos que no fueron escaneados durante el proceso de
instalación
Figura #3.37 – Escaneo de activos
Podemos verificar los activos una vez se encuentren dentro de los activos de la
organización, los eventos registrados, programas instalados o servicios activos.
Figura #3.38 – Análisis de los activos de la Organización

87
Descripción de vulnerabilidades por criticidad del activo encontrado, listado
de escaneo de las vulnerabilidades a los diferentes host.
Figura #3.39 – Escaneo de vulnerabilidades
Vista ejecutiva de resumen de servicios vulnerables del análisis de activos
escaneados
Figura #3.40 – Escaneo de vulnerabilidades

88
Otra sección importante de la administración es el Dashboard que nos muestra
una vista general de los eventos, activos y vulnerabilidades.
Figura #3.41 – Tablero de eventos, por host, por vulnerabilidades
Resumen de tickets abiertos por tipos, por vulnerabilidades o por anomalías.
Figura #3.42 – Tablero de tickets

89
Evaluación de
criticidad de
activos 4

90
Tener todos nuestros activos correctamente definidos en nuestro SIEM, es parte
fundamental para poder sacarle el máximo provecho a nuestro correlacionador de
eventos, lo que nos va a permitir que tengamos una visión completa, ordenada y
segmentada de toda nuestra infraestructura, de esa forma vamos a poder
monitorear y proteger nuestra red de forma más completa, puesto que todos los
eventos captados por los distintos dispositivos de seguridad e inclusos por los
HIDS que tengamos instalados en cada equipo que consideremos importante y
sensitivos para nuestra organización, nos va permitir prestar especial atención a
estos equipos, pero obviamente sin descuidar los equipos de menor criticidad, ya
que desde un equipo de poca criticidad se puede tener acceso a un equipos de
mayor criticidad, si las vulnerabilidades de cualquier equipo es dejada a un lado y
no es atendida.
Primero que nada debemos tener escaneada y actualizada nuestra red, para así
podamos tener una visión de toda nuestra infraestructura en nuestro
correlacionador de eventos.
Una vez tenemos un inventario de todos los dispositivos que están en nuestra red,
debemos determinar la criticidad o jerarquía de cada dispositivo, pues cuando
recibamos desde nuestro OSSIM miles de eventos, o vulnerabilidades y no
sepamos la criticidad de cada dispositivo o el impacto que pueda tener el incidente
detectado, y no tengamos ni idea de que necesitamos monitorear en cada equipo.
Es por todo lo anteriormente mencionado que debemos tener definido la jerarquía
de nuestros activos.
A continuación en base a todo lo anteriormente mencionado, veremos un estudio
de criticidad e impacto de nuestra empresa ficticia, Grupo ABC, la cual se dedica a
ventas comerciales de productos y servicios varios.
4.1 – Inventario de activos
Debemos tener un inventario de todos nuestros activos, y así poder saber que
forma parte de nuestra infraestructura, a continuación detallamos todos los
dispositivos que forman parte de la infraestructura de la empresa Grupo ABC.
 8 Computadoras
 25 Puntos de red
 1 Router
4

91
 3 Switches
 1 IPS
 1 Firewall
 1 Servidor de aplicación de gestión de archivos
 1 Servidor de aplicación de gestión de ventas
 1 Servidor de AD
 1 Servidor para manejo de inventarios, gestión de solicitudes, monitoreo de
aplicaciones, almacenamiento de log
4.2 – Identificación de Vulnerabilidades
Una vez tengamos definido el inventario de todos los dispositivos que forman parte
de nuestra infraestructura, debemos establecer los criterios fundamentales por los
cuales identificaremos las vulnerabilidades a las que pueda estar expuesto cada
dispositivo.
Seguridad Física.
 Monitoreo ambiental
 Control de acceso
 Desastres naturales
 Control de incendios
 Inundaciones
Seguridad en las conexiones a Internet.
 Políticas en el Firewall
 VPN
 Detección de intrusos
Seguridad en la infraestructura de comunicaciones.
 Routers
 Switches
 Firewall
 Hubs
 RAS (Servidor de Acceso Remoto)
Seguridad en Sistema Operacionales (Unix, Windows)
 Correo Electrónico
 AD
4.3 – Categorización de incidentes
Debemos categorizar todos los incidentes ya sea por el tipo de incidente, y
adicionalmente también pudiéramos hacerlo por el grupo de trabajo que puede
solucionar dicho incidente, pero tendríamos que tener definido estos grupos de
trabajos por el tipo de incidente que puede resolver cada grupo, para nuestro
análisis de criticidad solo haremos la categorización por el tipo de incidente, pues

92
la empresa solo cuenta con un único grupo de trabajo para resolver incidentes.
Acceso no autorizado
 Acceso no autorizado con éxito.
 Robo de Información.
 Alteración de la información.
 Borrado de información.
 Intentos de accesos no autorizados recurrentes y no recurrentes.
 Mal uso o abuso de los servicios informáticos que necesitan autenticación.
Código malicioso
 Virus.
 Troyanos.
 Malware en general.
Denegación de Servicio DoS
 Ataques para saturar sistemas, páginas, servicios y provocar su caída y por
ende indisponibilidad.
 Tiempos de respuesta no aceptables o no cumplimiento de Acuerdos de
Niveles de Servicio existentes de determinado servicio.
Mal uso de recursos
 Correo electrónico.
 Violación a la política de Seguridad de Información.
 Violación de normativa de acceso a internet, abuso o mal uso de este.
 Abuso o mal uso de servicios informáticos en general.
Intentos de obtención de información
 Detección de vulnerabilidades.
 Sniffers.
 Ataques de phishing.
 Prácticas de Ingeniería Social.
4.4 – Criticidad de los incidentes
Ahora que tenemos el inventario de los recursos y la categorización de los
incidentes a los que dichos recursos están expuestos, vamos a realizar un cuadro
donde determinaremos el nivel de criticidad de cada incidente.

93
Figura #4.1 – Cuadro de criticidad de incidentes del Grupo ABC.
Con este cuadro podemos aplicar la siguiente formula fórmula para poder
determinar la criticidad de cada incidente.
Efectos negativos producidos por el incidente + Criticidad de los recursos
afectados = Criticidad del incidente
4.5 – Importancia de los recursos afectados
Es importante tener claro la importancia de los recursos que para nuestra empresa
Grupo ABC, son de mayor impacto, ya sea por la actividad de misma, o por la
importancia que el recurso pueda tener para que el negocio se mantenga activo.
 Firewall: como uno de los dispositivos de Seguridad en la infraestructura de
comunicaciones, un acceso no autorizado o una denegación de este servicio,
causaría una vulnerabilidad importante en toda la infraestructura, puesto que
sin este equipo funcionando correctamente, dependeríamos de la seguridad en
cada equipo y si un atacante pudo causar un daño al Firewall, entonces muy
posiblemente podrá hacerlo también con el resto de la seguridad en poco
tiempo.
 Servidor de aplicación de gestión de ventas: Si este servidor sufre un

94
ataque de denegación de servicio, o intentos de obtención de información que
obligue a la empresa a desconectar al servidor de la red, esto dejaría a la
empresa sin poder hacer la actividad más importante para este negocio
“VENDER”.
 Servidor de AD: si nuestro directorio activo sufre un acceso no autorizado, o
es infectado por un código malicioso, o sufre una denegación de servicio DoS,
o intentos de obtención de información, cualquiera de estos ataques dejarían
inoperante nuestro servidor AD, y por lo tanto un ataque directo a todas las
computadoras de la empresa, pues los computadores y usuarios no podrían
autenticarse y por ende no tendría acceso al sistema, además dejaría de estar
bajo las políticas de seguridad que se tenga configurada.
4.6 – Determinación del impacto de un incidente
También es importante cuando evaluemos la criticidad de un incidente, determinar
el impacto que un incidente pueda generar en nuestro negocio, para ellos
podemos utilizar los siguientes criterios:
 Frecuencia de falla: son las veces que falla cualquier componente del
sistema.
 Impacto operacional: es el porcentaje de producción que se afecta cuando
ocurre la falla.
 Nivel de producción manejado: es la capacidad que se deja de producir
cuando ocurre la falla.
 Tiempo promedio para reparar: es el tiempo para reparar la falla.
 Costo de reparación: costo de la falla
 Impacto en seguridad: posibilidad de ocurrencia de eventos no deseados con
daños a personas.
 Impacto ambiental: posibilidad de ocurrencia de eventos no deseados con
daños al ambiente.
Por ejemplo podemos suponer que la empresa Grupo ABC, sufrió un ataque de
denegación de servicio DoS, en el servidor de aplicación de gestión de ventas.

95
Impacto en el servidor de aplicación de gestión de ventas
Tipo de incidente: Denegación de Servicio (DoS)
Frecuencia de falla 1
Impacto operacional 100
Nivel de producción manejado 100
Tiempo promedio para reparar 4 (Horas)
Costo de reparación 1.500 (dólares)
Impacto en seguridad
Impacto ambiental
Total 1,705
En base al número que obtuvimos en el total, determinamos la jerarquía del
recurso, podemos hacer lo mismo con el resto de los recursos, igualmente con el
mismo recurso pero con diferente incidente.

96
Reportes de
Incidentes 5

97
5.1 – RESUMEN EJECUTIVO
Grupo ABC realizó pruebas de pentesting para su servidor de aplicaciones inter-
nas.
5.1.1 – Objetivos
 Identificar vulnerabilidades.
 Validar la seguridad.
 Proveer soluciones.
5.1.2 – Alcance
El servidor con 10.10.120.31 fue el único equipo computacional evaluado para es-
te reporte de incidencia. Es importante aclarar que las bases de datos están
fuera del alcance de esta evaluación.
5.1.3 – Resumen de Hallazgos
 Vulnerabilidad CrossSite Scripting XSS.
 SQL injection.
 Divulgación de ruta completa.
 Vulnerabilidad de DOS en el Servidor MYSQL.
 Protocolo de Certificados digitales débiles.
5.1.4 – Recomendaciones
Debido a las vulnerabilidades encontradas en las aplicaciones permiten el acceso
a páginas con información crítica para la organización, y que las funciones que se
realizan en dicho servidor son cruciales para el normal desempeño de las opera-
ciones que se realizan en el Grupo ABC, sugerimos lo siguiente:
 Creación de una línea base que sirva de plantilla para los diversos servidores y
sus aplicaciones.
 Implementación de WAF embebidos en el servidor web.
 Hacer un hardening a las aplicaciones internas desarrolladas o implementadas
en el servidor.
 Cambiar información por defecto de la configuración de los servicios utilizados
en las aplicaciones.
 Verificación y adopción de las mejoras prácticas de configuración del sistema
operativo, recomendado por la comunidad.
5

98
 Eliminación de los protocolos de cifrado débiles.
5.2 – METODOLOGÍA
Para el análisis de los servicios se efectuó un escaneo de puertos al servidor de
aplicaciones. Se utilizaron herramientas de escucha de servicios como NMAP para
la identificación de los servicios usados en el servidor, se encontraron los siguien-
tes servicios:
 Servidor de DNS
 Servidor Web (Apache)
 Servidor FTP
 Servidor Mysql
 Servidor Postgres
 Servidor SSH
5.3 – DETALLE DE HALLAZGOS
El informe de hallazgos a continuación muestra las vulnerabilidades encontradas
en el servidor de aplicaciones:
Figura #5.1 – Informe de vulnerabilidades
Otro hallazgo es el registro de eventos por riesgos, detectando los intentos de ata-
ques al servidor de aplicaciones.

99
Figura #5.2 – Eventos registrados por el OSSIM
Del análisis realizado podemos observar que dentro de los host más atacados se
encuentra el servidor de aplicaciones.
Figura #5.3 – Host más atacados

100
5.4 – CONCLUSIONES
Basados en las evidencias obtenidas del análisis realizado podemos percatarnos
de muchas vulnerabilidades existentes en el servidor de aplicaciones interna.
A pesar de la aplicación medida de seguridad como son los IDS, IPS, Firewall, es
imprescindible corregir las vulnerabilidades encontradas en los servicios para las
diversas aplicaciones interna.

101
5.5 – Modelo Reporte de Incidente de Seguridad
!
NOTA
La siguiente sección es un modelo del reporte de incidentes usad por el
grupo ABC.
Reporte de incidente de seguridad informática.
Un incidente de seguridad se define como el acontecimiento de un suceso
inesperado que pretende obtener, dañar, destruir, o realizar cualquier tipo
de modificación a un bien o activo de una organización, siendo éste
exitoso o no, para la obtención de un beneficio de manera ilícita; así como
cualquier violación a las políticas de seguridad establecidas.
El objetivo de la realización de un reporte es permitir una respuesta
apropiada para la solución y corrección de cualquier tipo de incidente que
se presente con la finalidad de evitar que se vuelva a presentar, con esto
se busca el minimizar la ocurrencia de incidentes que interrumpan
servicios, trabajos y actividades que se desempeñan en la Facultad de
Ingeniería. De esta misma forma se quiere dar un seguimiento y un
manejo apropiado a los diversos incidentes que se presenten.
Por lo anterior se requiere el llenado del formato anexo con la mayor
seriedad y de la mejor manera posible el cual deberá presentar a la
brevedad posible con el administrador o responsable inmediato. En caso
de no conocer algunos términos o requerir asistencia para el llenado de
este formato el administrador de red le ayudará a llenar dicho formato, o
escriba un correo electrónico al Departamento de Seguridad en Cómputo
(DSC).
Responsable: Andrea Muñoz
Teléfonos: 6677-8899
Correo electrónico: Andrea.munoz@grupoabc

102
Reporte de incidente de seguridad informática
Datos personales
Llene esta parte con los datos personales de la persona que está llenando
el reporte.
Nombre Completo: Jesús Montenegro
Departamento: IT
Correo electrónico:jesus.montenegro@grupoabc
Teléfono interno:3661 Teléfono particular:6555-9999
Información sobre el incidente
La información que usted proporcione acerca del incidente ayudará a dar
solución de una mejor y más rápida forma.
Fecha y hora del llenado del reporte: 23/5/2016 9:19am
Fecha y hora en que se suscitó el incidente:17/5/2016 7pm

103
Marque con una cruz las opciones aplicables al incidente
Uso indebido de información. Cambio en la configuración en
equipo.Uso inadecuado de recursos
informáticos.
X Ataque o infección de malware, o
código malicioso (virus, gusanos,
troyanos, etc.)Divulgación no autorizada de
información personal.
Acceso o intento de acceso a un
sistema informático.
Acceso o intrusión física. Pérdida o destrucción no autorizada
de información.
Ingeniería social. Interrupción en los servicios de red.
Uso indebido de correo
electrónico institucional.
X Anomalía o vulnerabilidad técnica
del software.
Modificación de información de un
sitio o página.
Robo o pérdida de equipo.
Robo o pérdida de información. Amenaza o acoso por medio
electrónicoModificación, instalación o
eliminación de software.
Otro no contenido:

104
Descripción del incidente
Brevemente describa y proporcione información acerca del incidente
Se encontraron vulnerabilidades en el servidor de aplicaciones internas con
ip: 10.10.120.31
Detección del incidente
Describa brevemente como se detecto el incidente
Se realizó una prueba de vulnerabilidades arrojando como resultado algunas
configuraciones inadecuadas en el servidor de aplicaciones internas
El incidente aun esta en progreso Sí X No
Tiempo aproximado de duración del incidente:
El incidente no ha sido solucionado,

105
Información sobre el activo o bien afectado
Si conoce la información, llene los campos acerca de la información
concerniente al bien afectado.
Número de inventario: 8098
Descripción del activo o bien: Servidor de aplicaciones interna
Localización física: Se encuentra localizado en el data center
Descripción breve de la información en cuestión:
¿Existe una copia o respaldo de la información? Sí X No
¿El recurso afectado tiene conexión con la
organización?
Sí X No
¿El recurso afectado tiene conexión a internet? Sí No X
Sistema Operativo: Ubuntu Server 14.04 LTS

106
En caso de intrusión llene esta parte.
Nombre(s) de la maquina(s) comprometida(s).
No cuenta con máquinas comprometidas debido a que la máquina
comprometida era una máquina de pruebas.
Sistema operativo indicando versiones:
No Aplica
Indique las acciones que se tomaron antes o después de la intrusión:
No Aplica
Usuarios comprometidos:
No Aplica
Existen otras máquinas afectadas por la intrusión. Especifique.
No Aplica
¿Se ha contactado a otras organizaciones? Especifique.
No
Si se autoriza o no al DSC para suministrar información a
otras organizaciones que colaboren para la solución e
investigación del incidente.
Sí No
Nombre completo y firma del responsable que autoriza.

107
Otros contactos
Nombres e información de contacto de otras personas que pueden tener
información para asistir en la investigación del incidente:
Nombre: Carlos Rodríguez
Correo electrónico:
carlos.rodriguez@grupoabc
Teléfono:6444-3333
Nombre: José Moreno
Correo electrónico: jose.moreno@grupopabc Teléfono: 6777-0000

108
No se puede estar esperando que ocurran incidentes graves ni perder dinero por
el hecho de que alguna amenaza no se ha materializado en un negocio.
En tecnología de información siempre se debe estar preparado para cubrir
cualquier requerimiento que demande el sistema, en este caso las redes de
computadores y servicios.
OSSIM ha demostrado ser una de las herramientas más importantes con las que
cualquiera persona de tecnología que administre un centro de información deba
contar. Ya que ofrece, a pesar de ser privativa, varias funcionalidades útiles para
la detección de eventos, amenazas e incidentes en nuestra red.
OSSIM también ofrece dos tipos de gráficas para representar el resultado del
análisis de los equipos de la red en diferentes periodos de tiempo, una de tipo
ejecutiva y otra con más detalle. En trabajos anteriores debemos recordar que al
detectar alguna anomalía en el sistema esto se debe reportar para saber cómo
resolver dicha necesidad. Este escalamiento se hace a nivel de TI y a nivel
ejecutivo ya que entre ambos deciden que será la acciona tomar, el reporte de TI
es más detallado y muy técnico, mientras que el ejecutivo es más gráfico y enfoca
las perdidas en activos importantes de la empresa. OSSIM nos ayuda con la
realización de la reportería de eventos.
Simplemente OSSIM ha sido una de las mejores herramientas implementadas y
que esto solo ha sido un poco de la amplia gama de utilidades que le podemos dar
a este sistema, por lo que sería bueno seguir explorando todas las posibilidades
que ofrece su versión gratuita.
Conclusión

109
1. Escribir reporte de incidentes
Consultado el 20 de mayo de 2016. Disponible en:
https://sysadmincasts.com/.../20-how-to-write-an-incident-report
2. Gestión de activos
https://en.wikipedia.org/wiki/Asset_management
3. Algunos elementos de lo que es OSSIM
https://es.wikipedia.org/wiki/Open_Source_Security_Information_Management
4. Active Directory
https://es.wikipedia.org/wiki/Active_Directory
5. Definiciones riesgo, emergencia y desastre
https://riesgosbiron.wordpress.com/definiciones-de-gestion-de-riesgo/
6. Como Instalar y Configurar AlienVaultSiem
http://linoxide.com/security/install-configure-alienvault-siem-ossim/
7. Instalación y Configuración AlienvaultOSSIM
http://blog.muhammadattique.com/installing-configuring-alienvault-ossim-
opensource-siem/
8. Configurando OSSIM Server
https://sathisharthars.wordpress.com/2014/01/19/configuring-ossim-server/
9. Pfsense + OSSIM
https://forum.pfsense.org/index.php?topic=77958.0
Bibliografía

Correlacionador de Eventos OSSIM

Más contenido relacionado

La actualidad más candente

Similar a Correlacionador de Eventos OSSIM

Más de José Moreno

Correlacionador de Eventos OSSIM