Ossim

Tabla de contenidos
1 .Qu es OSSIM? 2 .Licencia 3 .Requerimientos mnimos de hardware y software 4 .Descarga 5 .Instalacin 6 Configuracin de Ossim 7 .Ejecucin 8 .Preguntas frecuentes 9 .Ayuda y documentacin

.Qu es OSSIM?
Es una coleccin de productos open source integrados para construir una infraestructura de monitorizacin de seguridad. Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de deteccin y visibilidad en la monitorizacin de eventos de seguridad de la organizacin de una sola herramienta. Nuestro sistema constar de las siguientes Herramientas de Monitorizacin: Cuadro de mandos para visibilidad a alto nivel. Monitores de Riesgo y comportamiento para la monitorizacin a nivel medio. Consola forense y monitores de red para el bajo nivel. As mismo constar de las siguientes capacidades para aumentar la fiabilidad y sensibilidad de detectores y monitores: Correlacin Priorizacin Valoracin de Riesgos

Por ltimo contamos con una herramienta de administracin, configuracin y organizacin para los diferentes mdulos tanto externos como propios que se integrar al OSSIM, esta herramienta ser el Framework y mediante ella podremos definir la topologa, inventariar activos, definir una poltica de seguridad, definir las reglas de correlacin y enlazar las diferentes herramientas integradas. Los usuarios y administradores de la organizacin, que en ese momento se encuentran trabajando en las mquinas nunca notan nada extrao en el momento, casi nunca localizan el posible ataque a posterior, all es donde entra ossim. En el xito de una intrusin, una vez franqueadas las defensas perimetrales se sucede el compromiso de decenas de mquinas. Existe un flujo de conexiones permanentes y duraderas durante varias horas, conexiones anmalas que dibujan un camino completamente contrario a lo que debera ser aceptable; Tabla de contenidos 1

Ossim procedentes desde el exterior crean un puente de entrada a la red interna donde una detrs de la otra van comprometiendo ms mquinas, trazando un camino cada vez ms anmalo y peligroso. Algo falla en la deteccin de ataques de las redes corporativas, aparentemente tenemos la tecnologa apropiada, a travs de sistemas sobre deteccin de intrusos, somos capaces de detectar los eventos ms concretos, sin embargo no somos capaces de revisar todas las alertas que estos nos envan debido a dos razones:la cantidad y la poca fiabilidad En otras palabras, obtenemos demasiadas alertas y estas no son fiables, obtenemos demasiados falsos positivos, en pocas palabras falsas alarmas. Obtenemos as mismo informacin muy detallada, pero atmica, parcial y sin capacidad de abstraccin, no somos capaces de detectar ataques definidos por comportamientos ms complejos, nuestro segundo problema son los falsos negativos. Solucin vs Producto OSSIM no quiere ser un producto, sino una solucin, un sistema personalizado para las necesidades de cada organizacin formado por la conexin e integracin de varios mdulos especialistas. En nuestra solucin tan importante como el cdigo son los conceptos o definiciones de: La arquitectura Los Modelos y Algoritmos de Correlacin La definicin del Entorno y el Framework El Modelo de Gestin de la Seguridad Perimetral El Mapa y los Procedimientos de Auditora de la Capacidad de Deteccin. Nuestro inters en este proyecto GPL es tanto ofrecer y contribuir para su mejora del cdigo como generar la discusin y el conocimiento de estos modelos y algoritmos. Arquitectura Abierta OSSIM es una arquitectura de monitorizacin abierta pues integra diversos productos del mundo libre, intentando seguir siempre los estndares y las tendencias del mundo open source (los cuales creemos que en soluciones de monitorizacin sern los estndares en todos los entornos). Solucin Integral Es una solucin integral pues es capaz de ofrecer las herramientas y funcionalidad para monitorizacin de todos los niveles desde el ms bajo (firmas detalladas de un IDS, dirigido al tcnico de seguridad), hasta el ms alto (El Cuadro de Mandos dirigido a la Direccin Estratgica), pasando por: consolas forenses, niveles de correlacin, inventariado de activos y amenazas, y monitores de riesgos. Software de Cdigo Libre OSSIM se propone como un proyecto de integracin, nuestra intencin no es desarrollar nuevas capacidades sino aprovecharnos de la riqueza de "joyas" del software libre, programas desarrollados por la inspiracin de .Qu es OSSIM? 2

Ossim los mejores especialistas del mundo (como pueden ser snort, rdd, nmap, nessus, o ntop...) integrndolas en una arquitectura abierta que heredar todo su valor y capacidades. Nuestro desarrollo ser el encargado de integrar y relacionar la informacin de estos productos. Estas herramientas de cdigo libre son, por la naturaleza de este, probadas y mejoradas por decenas o centenas de miles de instalaciones en el mundo convirtindose en elementos robustos y altamente probados o tanto fiables. Por el hecho de ser cdigo abierto son as mismo confiables y exentas de cualquier posible puertas traseras al ser auditables por cualquiera que lo desee. Proceso de detecciones Si tuviramos que resumir en una frase de que trata o qu se busca en nuestro proyecto esta sera la siguiente: ?Aumentar la Capacidad de Deteccin? Introduciremos en este apartado los conceptos relacionados con la deteccin de redes que se desarrollarn a lo largo del documento. Detectores Definiremos un detector como cualquier programa capaz de procesar informacin en tiempo real, informacin normalmente a bajo nivel como trfico o eventos de sistema y lanzar alertas ante la localizacin de situaciones previamente definidas. La definicin de estas situaciones se puede hacer de dos formas: A travs de patrones, o reglas definidas por el usuario A travs de grados de anomala La Capacidad de Deteccin La capacidad de deteccin ha aumentado enormemente en los ltimos aos, pensemos por ejemplo en su mximo exponente los IDS, capaces de detectar patrones al nivel ms bajo de detalle. Para discutir sobre la capacidad de un detector la definiremos mediante 2 variables: Sensibilidad, o la capacidad de anlisis, en profundidad y complejidad, que posee nuestro detector a la hora de localizar un posible ataque. Fiabilidad, como su nombre indica es el grado de certeza que nos ofrece nuestro detector ante el aviso de un posible evento. La Incapacidad de Deteccin Veremos a lo largo de este documento que pese al desarrollo ?en la profundidad de deteccin? de estos sistemas, nos encontramos muy lejos de que su capacidad sea aceptable. De la incapacidad de los detectores de afrontar estas dos propiedades nos encontramos con los dos principales problemas de la actualidad: Falsos Positivos. La falta de fiabilidad en nuestros detectores es el causante de los falsos positivos, es decir alertas que realmente no corresponden con ataques reales. Falsos Negativos. La incapacidad de deteccin implicara que un ataque es pasado por alto. Podemos resumir los anteriores puntos en la siguiente tabla: [Link] de los Detectores

.Qu es OSSIM?

Ossim I Fiabilidad Sensibilidad PROPIEDAD El grado de certeza que nos ofrece nuestro detector ante el aviso de un posible ataque La capacidad de analisis, en profundidad y complejidad, que posse nuestro detector a la hota de localizar un posible ataque EFECTO ANTE SU AUSENCIA Falso positivos Falsos negativos

El ?Proceso de Deteccin? Llamaremos al ?Proceso de Deteccin? al proceso global desarrollado por el OSSIM, incluyendo tanto los diferentes detectores y monitores de la organizacin como los realizados por el sistema para procesar esta informacin. El Proceso de Deteccin implica normalmente tres fases bien distinguidas: Preproceso: La deteccin en si misma, la generacin de alertas por los detectores y la consolidacin previa al envo de informacin. Coleccin: El envo y recepcin de toda la informacin de estos detectores en un punto central. Postproceso: El tratamiento que realizaremos una vez tenemos toda la informacin centralizada. Postproceso El preproceso y la coleccin son capacidades ya clsicas y no aportan nada nuevo, pero en el postproceso, una vez tenemos toda la informacin en un mismo punto, podemos implementar mecanismos para poder mejorar la sensibilidad y fiabilidad de la deteccin. Aumentaremos la complejidad del tratamiento incluyendo mtodos que se encargarn de descartar falsos positivos o al contrario priorizar o descubrir patrones ms complejos que nuestros detectores han pasado por alto. En OSSIM desarrollaremos 3 mtodos en el postproceso: Priorizacin: Donde priorizaremos las alertas recibidas mediante un proceso de contextualizacin desarrollado a travs de la definicin de una poltica topolgica de seguridad y el inventariado de nuestros sistemas. Valoracin de Riesgo: Cada evento ser valorado respecto del Riesgo que implica, es decir, de una forma proporcional entre el activo al que aplica, la amenaza que supone y la probabilidad del evento. [Link]: Donde analizaremos un conjunto de eventos para obtener una informacin de mayor valor. El siguiente cuadro muestra como afectan estos procesos a las anteriores propiedades: [Link] II Priorizacin Valoracin de Riesgo PROCESO Valoracin de la amenaza mediante contextualizacin de un evento Valoracin del Riesgo respecto del valor de activos EFECTO Aumenta Fialidad Aumenta la Fiabilidad

Nuestro sistema se alimentar por lo tanto de ?alertas? ofrecidas por los detectores y producir tras el tratamiento de las mismas lo que en este documento llamaremos ?alarmas?. Una alarma ser normalmente el resultado del proceso de varias alertas, tendr normalmente un mayor grado de abstraccin permitiendo localizar patrones ms complejos y ofrecer un mayor grado de fiabilidad. .Qu es OSSIM? 4

Ossim El Mapa de Deteccin Con el objeto de definir esta capacidad de deteccin desarrollaremos en este proyecto un Mapa de Deteccin, este incluir la categorizacin de las diferentes posibilidades en la deteccin de ataques y eventos de seguridad. La Auditora de la Capacidad de Deteccin A travs de este mapa podremos definir algo importante pues nos permitir medir la situacin y necesidades de las organizaciones respecto de la efectividad de sus sistemas a la hora de detectar ataques. El punto de vista es muy diferente de la auditora clsica o el test de intrusin, pues no nos interesa localizar los fallos de seguridad sino la capacidad de detectar el aprovechamiento de una utilizacin eventual de estos fallos. Desarrollaremos en este proyecto por lo tanto un Procedimiento de Auditora de la Capacidad de Deteccin. Funcionalidad

Comentaremos cada uno de estos niveles para ir introduciendo en los detalles de nuestro sistema: Detectores de Patrones La mayora de los detectores clsicos funcionan con patrones, el ejemplo ms claro es el IDS o sistema de deteccin de intrusos, sistema capaz de detectar patrones definidos a travs de firmas o reglas. Existen otra serie de detectores de red includos en la mayora de los dispositivos como routers o firewalls, capaces de detectar por ejemplo scaneo de puertos, intentos de spoofing, o posibles ataques por fragmentacin. Tenemos adems detectores para los eventos de seguridad de un sistema operativo, casi todos ellos incluyen su propio logger como el de Unix llamado syslog, siendo capaces de alertar posibles problemas de seguridad. En definitiva cualquier elemento de la red, como un router, un puesto de trabajo, el firewall, etc incluye la capacidad de deteccin en mayor o menor medida, en nuestro sistema nos interesa recibir los eventos de todos los sistemas crticos y de esta forma obtener uno de nuestros objetivos principales: la Visibilidad de la red. Detectores de Anomalas La capacidad de deteccin de anomalas es ms reciente que la de patrones. En este caso al sistema de deteccin no tenemos que decirle que es bueno o que es malo, l es capaz de ?aprender? por s solo y alertar cuando un comportamiento difiera los suficiente de lo que ha aprendido como normal. Esta nueva funcionalidad ofrece un punto de vista diferente y complementa la deteccin de patrones pues la naturaleza de los dos procesos es muy diferente sino opuesta. La deteccin de anomalas puede ser especialmente til para prevenir ataques perimetrales, estos son en s una anomala contnua, en la direccin, el sentido de las comunicaciones, y el camino que definen, en el flujo de datos, el tamao, el tiempo, el horario, el contenido, etc. Veamos otros ejemplos en los que estos detectores seran tiles:

.Qu es OSSIM?

Ossim Un nuevo ataque del cual no existen todava firmas podra traspasar los sistemas de deteccin de patrones pero producir una anomala clara. Los ataques internos, de empleados desleales desde dentro de nuestra red, no implican la violacin de ninguna poltica ni la ejecucin de ningn exploit. Implican sin embargo una anomala en el uso y la forma de uso de un servicio. Un gusano que se ha introducido en la organizacin, un ataque de spamming, o el mismo uso de programas P2P, generaran un nmero de conexiones anmalas fcilmente detectable. Podremos detectar as mismo: Usos de servicios anormales por origen y destino. Usos en horario anormal. Exceso en el uso de trfico o conexiones. Copia anormal de ficheros en la red interna. Cambios en el sistema operativo de una mquina. Etc. Podemos pensar que como efecto negativo estos detectores generarn un nmero de nuevas alertas, amplificando nuestra seal y empeorando nuestro problema (nuestro objetivo es limitar el nmero de alertas), sin embargo s las tomamos como informacin adicional que acompaa a las clsicas alertas de patrones permitir cualificar y por lo tanto diferenciar aquellas que puedan implicar una situacin de mayor de riesgo. Centralizacin / Normalizacin La normalizacin y centralizacin tienen como objetivo unificar en nica consola y formato, los eventos de seguridad de todos los sistemas crticos de la organizacin. Todos los productos de seguridad poseen normalmente la capacidad de gestin centralizada a travs de protocolos estndar, la agregacin es por lo tanto sencilla utilizando estos protocolos. En futuras versiones de OSSIM se tendr en cuenta una arquitectura de cifrado e identificacin mediante firma la cual aumentar la confidencialidad y autenticacin para entornos que lo requieran. Por ahora nos tendremos que conformar con protocolos ms sencillos y garantizaremos la confidencialidad a travs de una topologa apropiada como se comentar en el captulo dedicado posteriormente. La normalizacin implica la existencia de un ?parser? o traductor que conozca los tipos y formatos de alertas de los diferentes detectores, necesitaremos desarrollar un trabajo de organizacin de la base de datos y adaptacin de la Consola Forense para homogeinizar el tratamiento y la visualizacin de todos estos eventos. De esta forma podremos observar en la misma pantalla y con un mismo formato los eventos de seguridad de un determinado momento, ya sean del Router, el Firewall, del IDS, o del servidor Unix. Al tener centralizados en la misma base de datos todos los eventos de la red obtendremos una gran ?visibilidad? de lo que ocurre en ella, a partir de ese momento podremos como veremos a continuacin desarrollar procesos que permitan detectar patrones ms complejos y distribuidos. Priorizacin La prioridad de una alerta debe ser dependiente de la topologa y el inventario de sistemas de la organizacin, las razones son bastante claras como muestran estos ejemplos: S una alerta que se refiere a un ataque al servicio IIS de Microsoft llega a una mquina con sistema .Qu es OSSIM? 6

Ossim operativo Unix y servidor Apache, la alerta debe ser despriorizada. S existe una conexin sospechosa de un usuario sobre un servidor, el sistema debe: Darle mxima prioridad s el usuario es externo y ataca a la base de datos de clientes. Darle prioridad baja s el usuario es interno y ataca a una impresora de red. Descartarla pues es un usuario que normalmente hace pruebas contra un servidor de desarrollo. Llamamos priorizacin al proceso de contextualizacin, es decir, la evaluacin de la importancia de una alerta respecto del escenario de nuestra organizacin. Este escenario est descrito en una base de conocimiento sobre la red del cliente formada por: Inventario de Mquinas y Redes (identificadores, s. operativo, servicios, etc). Poltica de Accesos (desde donde a donde est permitido o prohibido). Para realizar esta tareas (as como la valoracin de riesgos explicada en el siguiente apartado) disponemos de un framework donde podremos configurar: Poltica de Seguridad: valoracin de parejas activo-amenazas segn la topologa y flujo de los datos. Inventario Valoracin de activos Valoracin de amenazas (priorizacin de alertas) Valoracin de Fiabilidad de cada alerta Definicin de Alarmas. A travs de la cualificacin realizaremos una de las partes ms importante del filtrado de alertas recibidas por los detectores, la cual debe realizarse a travs del proceso contnuo de tunning y realimentacin de la situacin de nuestra organizacin. Valoracin del Riesgo La importancia que debemos dar a un evento debe ser dependiente de estos tres factores: El valor del Activo al que el evento se refiere. La Amenaza que representa el evento. La Probabilidad de que este evento ocurra. Riesgo Intrnseco Con ellos construimos la definicin clsica de riesgo: el valor del posible impacto de una amenaza sobre un activo ponderado con la probabilidad de que este ocurra. La valoracin de riesgos se ha referido clsicamente a riesgos intrnsecos, o riesgos latentes, es decir riesgos que soporta una organizacin derivados del hecho de ?ser? (los activos que posee para desarrollar su negocio) y ?estar? (las amenazas circunstanciales que existen .Qu es OSSIM? 7

Ossim sobre estos activos). Riesgo Instantneo En nuestro caso, debido a la capacidad de medir en tiempo real, podremos medir el riesgo asociado a la situacin actual, en trminos instantneos. En este caso el riesgo ser medido como la medida ponderada del dao que producira y la probabilidad de que est ocurriendo en este momento la amenaza. Esta probabilidad, derivada de la imperfeccin de nuestros sensores, no ser ms que el grado de fiabilidad de estos en la deteccin de la posible intrusin en curso. Llamaremos Riesgo Instantneo a la situacin de riesgo producida por la recepcin de una alerta, valorada de forma instantnea como la medida ponderada entre el dao que producira el ataque y la fiabilidad del detector que lo reporta. OSSIM calcular el Riesgo Instantneo de cada evento recibido que ser la medida objetiva que utilizaremos para valorar la importancia que un evento puede implicar en trminos de seguridad, slo a travs de esta medida valoraremos la necesidad de actuar. Incluiremos en nuestro sistema as mismo un Monitor de Riesgos que valorar el riesgo acumulado en el tiempo de redes y grupos de mquinas relacionados en un evento. Correlacin Definimos una funcin de correlacin como un algoritmo que realiza una operacin a travs de unos datos de entrada y ofrece un dato de salida. Pensemos en la informacin recogida por nuestros detectores y monitores como informacin especfica pero parcial, dibujando pequeas zonas del espectro de toda la informacin que nos interesara tener. Podemos pensar en la capacidad de correlacin como la de aprovechar estos sistemas y a travs de una nueva capa de proceso llenar otras zonas de ese espectro infinito de toda la informacin que podra existir de una red. En contra de esta idea poda intentar instalarse un sistema nico con un detector capaz de localizar toda la informacin posible de la red, pero para ello necesitaramos una visibilidad total desde un punto nico, una capacidad de almacenamiento y de memoria casi ilimitada. Los sistemas de correlacin son por tanto artificios que suplen la falta de sensibilidad, fiabilidad y la visibilidad limitada de nuestros detectores. Entrada y Salida En nuestra arquitectura de una forma simplificada podemos decir que tenemos dos elementos claramente diferenciados para ofrecer informacin a nuestras funciones de correlacin: Los Monitores. Que nos ofrecern normalmente indicadores. Los Detectores. Que nos ofrecern normalmente alertas. Como salida obtendremos tambin uno de estos dos elementos: alertas o indicadores. Nuestras funciones se habrn convertido en nuevos detectores o monitores. Modelo de Correlacin OSSIM desarrolla un modelo de correlacin tan ambicioso como para poder: Desarrollar patrones especficos para detectar lo conocido y detectable. Desarrollar patrones ambiguos para detectar lo desconocido o no detectable Poseer una mquina de inferencia configurable a travs e reglas relacionadas entre s capaz de describir patrones ms complejos. Permitir enlazar Detectores y Monitores de forma recursiva para crear cada vez objetos ms abstractos y capaces .Qu es OSSIM? 8

Ossim Desarrollar algoritmos que ofrezcan una visin general de la Situacin de Seguridad. Mtodos de Correlacin Para lograr estos objetivos utilizaremos dos mtodos de correlacin muy diferentes que intentaremos describir mediante sus diferencias principales: Correlacin mediante Secuencias de Eventos. Focalizado en los ataques conocidos y detectables, relaciona a travs de reglas que implementarn una mquina de estados los patrones y comportamientos conocidos que definen un ataque. Correlacin mediante Algoritmos Heursticos. Tomando una aproximacin opuesta implementaremos algoritmos que mediante funciones heursticas intenten detectar situaciones de riesgo. Este mtodo detectar situaciones sin conocer ni ofrecer detalle de los mismos, intenta suplir pues la incapacidad de los anteriores mtodos y ser til para detectar ataques no conocidos. Mtodo 1: Correlacin mediante Algoritmos Heursticos En OSSIM implementaremos un sencillo algoritmo heurstico de correlacin por acumulacin de eventos con el objetivo de obtener un indicador o una fotografa general del estado de seguridad de la red. El primer objetivo de este es recibir lo que hemos definido previamente como ?riesgo instantneo? recibiendo como resultado un valor que podramos definir como el Nivel Acumulado de Riesgo. Obtendremos una monitorizacin a alto nivel que nos servir como ?termmetro? de situaciones de riesgo sin conocer en ningn momento, detalle de las caractersticas del problema. Por hacer un smil, construiremos un termmetro que ser sensible y sumar la cantidad de riesgo acumulado en una ventana de tiempo, el termmetro subir proporcionalmente la cantidad y lo ?calientes? que sean los ltimos eventos recibidos, y se enfriar con el paso del tiempo, en caso de no recibir nuevos eventos. Este mtodo de correlacin quiere suplir con un punto de vista opuesto a la correlacin mediante secuencias de eventos, donde intentaremos caracterizar al mximo nivel de detalle los posibles ataques. Su inters es pues doble: El de ofrecer una visin global de la situacin. Detectar posibles patrones, que al resto de sistemas de correlacin puedan pasar por alto, ya sea por tratarse de ataques desconocidos o por falta de capacidad. CALM CALM (Compromise Attack Level Monitor) es un algoritmo de valoracin por acumulacin de eventos con recuperacin en el tiempo. Recibe como entrada un alto volumen de eventos y como salida un nico indicador del estado general. La acumulacin se realiza para cualquier sujeto de la red, entendiendo como tal a cualquier mquina, grupo de mquinas, segmento de red, camino.. que nos interese monitorizar. Acumulacin de Eventos La acumulacin se realiza a travs de la simple suma del riesgo instantneo de cada evento en dos variables de estado: La "C" o el Nivel de Compromiso, que mide la posibilidad de que una mquina se encuentre comprometida. La "A" o el Nivel de Ataque al que est sometido un sistema, que mide el posible riesgo debido a los ataques recibidos. Por que separar estas dos variables en nuestra monitorizacin? En primer lugar porque caracterizan situaciones diferentes: el Nivel de Ataque indica la posibilidad de estar recibiendo un ataque, ataque que podr o no tener xito. El Nivel de Compromiso ofrece evidencia directa como su nombre indica de que ha habido un ataque y ha tenido xito. En segundo lugar la importancia de cada una de las dos variables ser dependiente de la situacin de la mquina. Principalmente debido a la exposicin de las redes perimetrales, expuestas a multitud de ataques, la mayora de ellos automatizados y para las cuales desgraciadamente un alto valor del Nivel de Ataque ha de ser una ?situacin normal?. Para estas redes sin embargo el indicador de Compromiso, o movimiento que pueda hacer pensar que hay un atacante alojado en ellas debe ser inmediatamente notificado y revisado. Al contrario, hay casos en los que una mquina que por su funcin genera anomalas en la red como un scanner de seguridad, un servicio con puertos pasivos aleatorios, desarrollo... tendr normalmente una C alta y una A baja.

.Qu es OSSIM?

Ossim La asignacin del valor a las variable C o A de una mquina de la red se produce a travs de 3 reglas: Cualquier posible ataque que se produzca desde una mquina 1 a una mquina 2 aumentar la A (el nivel de ataques recibidos) de 2 y la C (el nivel de compromiso o acciones sospechosas que normalmente hara un hacker) de 1. El caso de tratarse de una respuesta de ataque los ya comentados "attack responses" (respuestas que pueden implicar que el ataque a tenido xito), en este caso aumentar el nivel de C tanto en 1 como en 2. En caso de ser eventos internos aumentar nicamente la C de la mquina originaria. Acumulacin en el Tiempo CALM est pensado para la monitorizacin en tiempo real, por lo que nuestro inters es una ventana de tiempo en el corto plazo, es decir nos interesa la valoracin de eventos de un espacio de tiempo cercano, el algoritmo debe tener una memoria en el corto plazo primando los eventos ms recientes y caducando los ms antiguos. La implementacin actual es a travs una simple variable de recuperacin en el tiempo. El sistema ir rebajando con un valor constante de forma peridica los niveles de C y A de cada mquina. Mtodo 2: Correlacin mediante Secuencias de Eventos -El Panel de Secuencias La idea inicial de la deteccin de una secuencia de patrones es sencilla pues sera simplemente realizar una lista de reglas ?si ocurre el evento A y luego B y luego C, haz la accin D?. Esto lo realizaremos a travs del Panel de Secuencias, donde definiremos listas de reglas para cada secuencia de eventos que queramos definir. La complejidad del panel depender de la capacidad de abstraccin que permitan sus reglas y la posibilidad de analizar diferentes entradas en nuestras funciones. En OSSIM nuestro panel ser capaz de realizar secuencias con las siguientes caractersticas: Posibilidad de definir orgenes y destinos variables Tomar como entrada tanto patrones procedentes de detectores como indicadores procedentes de monitores Definir el nivel de prioridad y fiabilidad de las nuevas alertas Utilizar variables "elasticas" o capaces de medir el grado para definir la prioridad o fiabilidad (ej. Denegacin de servicio: total -> prioridad grave, 50% -> prioridad media, 15% prioridad baja). Arquitectura recursiva, podremos crear objetos a travs de la correlacin de reglas que se podrn incluir en nuevas reglas como detectores o monitores Niveles de Correlacin Debido a la recursividad de nuestro modelo se podr crear una jerarqua de niveles casi infinita, para poder centrar nuestro estudio definiremos una jerarqua de 3 niveles tal y como se muestra en el siguiente grfico:

Recorreremos cada uno de estos niveles desordenadamente para su mejor entendimiento:

.Qu es OSSIM?

10

Ossim Ataque Especfico Este nivel trata directamente con los detectores y monitores, intentaremos relacionar tanto las firmas como la actividad que se refiera a un ataque concreto, un ataque con nombre y apellidos tal y como lo conocen los detectores (por ejemplo: ?compromiso mediante ftp cwd overflow?). El principal objetivo del nivel de ataque especfico es el de aumentar la fiabilidad de las detecciones, esto es, no nos bastar con la firma de la posibilidad de un ataque, sino que buscaremos ms evidencias que nos demuestren que se est produciendo el ataque o clarifiquen que es nicamente un intento fallido. Esta cualificacin es la que har la diferencia a la hora de limitar falsos positivos y priorizar ataques reales en un sistema de deteccin de seguridad, ya que como hemos visto la fiabilidad de un evento afecta directamente al clculo del riesgo. Pensemos en un ejemplo sencillo de correlacin de un detector de patrones y un monitor: El IDS detecta mediante una firma un posible ataque de denegacin de servicio mediante ?synflood?, la alerta de este arrancar una pregunta al Monitor de Servicio para ver si este ha sufrido un decremento de indisponibilidad y en que grado. De esta forma podremos aadir un grado de fiabilidad mayor a nuestra alerta ?Denegacin de servicio por Synflood?. Normalmente tendremos secuencias ms complejas, donde correlacionaremos las alertas producidas por firmas con los comportamientos especficos que caracterizan un ataque. Pensemos en la deteccin de un Caballo de Troya, las operaciones que somos capaces de detectar a travs de firmas de IDS son varias: Connect, active, get info, access, server2client_flow, client2server_flow, response, traffic_detect La deteccin de una operacin connect probablemente no es una informacin de gran valor, en entornos perimetrales se reciben decenas al da, pero si detectamos cualquier otra operacin y en especial de respuesta al intento de conexin deberemos enviar una alerta con prioridad alta. Deteccin por Actividad Especfica Aprovecharemos el ejemplo del Caballo de Troya para explicar el concepto de ?actividad especfica?, pensemos en un caso simple: tras un intento de conexin, si el Caballo de Troya opera a travs del puerto P, fijmonos simplemente si este puerto tiene actividad, es decir transmite datos. Si esto ocurre tendremos como antes una confirmacin de que el intento de conexin probablemente ha tenido xito, pero esta vez en vez de ser una firma de un IDS lo hemos localizado monitorizando la actividad propia del Troyano. La Actividad Especfica implica la utilizacin de los monitores para atender una pregunta concreta sobre la actividad asociada a un posible Ataque Especfico, sern consultas que arrancar y matar el motor de correlacin para un caso concreto. Deteccin Mediante Patrones Este nivel ya se ha comentado y nos viene proporcionado directamente por los detectores de patrones, nuestro sistema de correlacin ser capaz de procesar cualquier alerta detectada por estos. ?Respuestas de Ataque? Haremos un alto para sacar una conclusin de los dos puntos anteriores: la importancia de las repuestas de ataque (?attack responses? en los IDS) como comprobacin de la existencia de un evento, o lo que es lo mismo aumento de la fiabilidad de una alerta. Nuestro motor de correlacin est diseado para buscar continuamente estas respuesta de ataque, tras recibir la primera informacin de un posible ataque pondremos todo nuestro sistema a localizar evidencias de que el ataque realmente se est produciendo. Esto nos permitir diferenciar ataques fallidos de los que realmente han tenido xito. Deteccin por Actividad General Llamaremos deteccin por Actividad General a las reglas destinadas a localizar ataques no conocidos o no detectables pues no conocemos los patrones que caracterizan este ataque. La localizacin de estos ataques ser gracias a la generacin de actividad anmala por parte del atacante, para ello monitorizaremos parmetros generales de cada usuario tales como los puertos o servicios, el trfico, el horario, etc. Mediante esta tcnica podremos caracterizar ataques con cierto detalle en algunos casos, pero generalmente detectaremos comportamientos sospechosos, con un nivel menor de precisin que en la .Qu es OSSIM? 11

Ossim deteccin de Ataques Especficos y nos moveremos muchas veces en la frontera entre lo que es un ataque, un problema de red o el mal uso por parte de los usuarios. Ejemplos de esta deteccin seran: Deteccin de un gusano desconocido. Que generar un trfico anormal, un nmero de conexiones atpico con puertos y destinos que hasta ahora no haban sido usados. Deteccin de acceso sospechoso. Al localizar un usuario conectado de forma persistente a un puerto de administracin, que hasta ahora no lo haba hecho. Exceso de uso de trfico. A travs de anomalas de destinos y utilizacin.

Comportamiento de Ataque Este tercer nivel de correlacin se alimenta y es principalmente la correlacin de varios Ataques Especficos o Comportamientos Generales localizados en el primer nivel. Recordemos que la arquitectura de nuestro sistema de correlacin es recursiva y en nuestras reglas podremos incluir nuevos objetos que funcionarn como detectores (enviando alertas) o monitores (ofreciendo un valor) que estn formados por un conjunto de reglas del nivel inferior. Pero la caracterizacin de los nuevos niveles no debemos hacerla el hecho de que los objetos de entrada sean procedentes del nivel inferior, de hecho esto no ser as siempre y podremos mezclarlos segn nos convenga. La caracterizacin de cada nivel debe ser debida al nivel de abstraccin al que se refiera, y en este caso intentaremos localizar patrones de comportamiento que nos caractericen cual es el objetivo, el camino trazado, el comportamiento del atacante, el mtodo del mismo del usuario atacante. Para ello definiremos Comportamientos de Ataque o la secuencia de ataques y comportamientos desarrollada por el usuario sobre una o varias mquinas comprometidas. Ejemplos de estos comportamientos podran ser: Ataque distribuido. Al encontrar relacin de varios atacantes y ataques recibidos. Acceso a red crtica desde Internet. Siguiendo el flujo de un ataque perimetral que desde Internet llega en varios saltos a una red crtica. Compromiso usuario Interno Malicioso. A travs de la localizacin de varios comportamientos anormales de un usuario interno. Monitores Aunque son simples monitores de procesos realizados anteriormente, como tal son funcionalidades que vale la pena destacar: Monitor de Riesgos OSSIM posee un monitor de riesgos que hemos llamado RiskMeter y que dibujar los valores producidos por el algoritmo CALM, valores que miden el nivel de riesgo de compromiso (C) y de ataque (A) derivados de la recepcin de alertas que indican la posibilidad de que una mquina ha sido comprometida, o est siendo atacada. Monitor de Uso, Sesiones y Perfiles En OSSIM le damos mucha importancia como se explica en el apartado de anomalas a la monitorizacin detallada de cada mquina y perfil. Podemos diferenciar 3 tipos de monitorizacin para ello:

Monitor de Uso: Nos ofrece datos generales de la mquina como el nmero de bytes que transmite al da. Monitor de Perfiles. Nos ofrece datos especficos del uso realizado por el usuario y permite establecer un perfil, por ejemplo: usa correo, pop, y http, es un perfil de usuario normal. Monitor de Sesiones. Nos permite ver en tiempo real las sesiones que est realizando el usuario. Nos .Qu es OSSIM? 12

Ossim ofrece una foto instantnea de la actividad de esta mquina en la red. Creemos que cualquiera de estos 3 son imprescindibles para un sistema de seguridad, en caso contrario, el administrador de seguridad estar ciego ante eventos pasados, no podr valorar lo normal de lo anormal y no ser capaz de ver su red, sera semejante a un guarda de trfico en una carretera completamente oscura. Aqu la frontera de seguridad se confunde con la administracin de redes, pero este solape es inevitable pues la saturacin de una red o el comportamiento anmalo de una mquina puede significar tanto un problema de red como un problema de seguridad. Incluiremos en OSSIM las 3 capacidades de monitorizacin anteriormente expuestas a travs de productos capaces de actuar como ?sniffers? y ver al mximo nivel de detalle la situacin de la red Monitor de Caminos Este monitor es capaz de dibujar en tiempo real los caminos trazados en nuestra red entre las diferentes mquinas que realizan conversaciones o enlaces entre ellas. El dibujo se realiza en un intervalo de tiempo creando un grafo cuyas ramas irn caducando en el tiempo. El monitor obtiene sus datos de otros dos monitores: el de sesiones donde estn localizados cada uno de los enlaces del momento, y del monitor de riesgo de donde obtiene el nivel de riesgo de cada mquina para dibujar cada una con un color diferente y calcular el riesgo agregado de cada uno de estos grafos. La monitorizacin de enlaces tiene a su vez dos mtodos: Hard Link Analysis (TCP Link Analysis) Mediante el cual dibujaremos nicamente sesiones TCP persistentes. Mtodo desarrollado con la intencin de localizar ataques de red que implican la intrusin de varias mquinas de forma continuada, situacin tpica de una intrusin perimetral. Soft Link Analysis Mediante el cual dibujaremos todos los enlaces percibidos en la red, tanto udp como tcp como icmp lo cual puede implicar en muchos casos un mapa de red catico. Consola Forense La Consola Forense permite acceder a toda la informacin recogida y almacenada por el colector. Esta consola es un buscador que ataca a la base de batos de eventos, y permite al administrador analizar a posteriori y de una forma centralizada los eventos de seguridad de todos los elementos crticos de la red. Al contrario que el Monitor de Riesgos referido en el apartado anterior, esta consola nos permitir profundizar al mximo detalle sobre cada uno de los eventos ocurridos en el sistema. Cuadro de Mandos La ltima de las funcionalidades es el Cuadro de Mandos, mediante l podremos ofrecer una visin de alto nivel de la situacin de nuestra red respecto a seguridad. El cuadro de mandos monitoriza una serie de indicadores que miden el estado de la organizacin respecto de seguridad. Nos permitir definir una serie de umbrales u objetivos que debe cumplir nuestra organizacin. Estos umbrales sern definidos de forma absoluta o relativa como un grado de anomala. Podremos asignar el envo de alarmas cuando se superen estos umbrales o la ejecucin de cualquier procedimiento automtico. Es importante as mismo la forma de .Qu es OSSIM? 13

Ossim visualizacin de la informacin en este cuadro de mandos pues debe ser lo ms concisa y simple posible. Para ello necesitaremos una configuracin verstil que muestre nicamente la informacin relevante en ese momento. El cuadro de mandos debe ser nuestro termmetro general de todo lo que ocurre en la red. A travs de l enlazaremos con cada una de las herramientas de monitorizacin para profundizar sobre cualquier problema localizado. Como ejemplo podramos visualizar los siguientes datos: Monitorizacin permanente de los niveles de riesgo de las principales redes de la organizacin. Monitorizacin de las mquinas o subredes que superan el umbral de seguridad. Monitorizacin permanente de parmetros generales de red, sistema y niveles de servicio: Throughput y Trfico de principales redes Recursos de la base de datos principal Latencia de Servicios crticos Nmero de transacciones de servicios crticos Monitorizacin de aquellos parmetros de red o niveles de servicio que superen el umbral establecido: Nmero de correos, virus, accesos externos Latencia de servicios, uso de trfico por servicios Monitorizacin de perfiles que superen los umbrales por: Uso de trfico Uso de servicios crticos Uso de servicios anmalos Cambios en configuracin Cualquier otra anomala de comportamiento El cuadro de mandos debe ser bajo nuestro punto de vista algo completamente personalizado y hecho a medida. Al contrario que para el resto de funcionalidades, OSSIM slo incluir un ejemplo base sobre el cual trabajar. Arquitectura Arquitectura General El sistema contar como es comn con dos partes diferenciadas, en ellas se desarrollan dos momentos diferentes del proceso: Preproceso: que se realizar en los propios monitores y detectores Postproceso: que se realizar en una consola centralizada El dibujo general de la arquitectura segn los procesos realizados es el siguiente:

.Qu es OSSIM?

14

Ossim

En ella se perciben cada una de las funcionalidades anteriormente descritas. As mismo vemos 3 bases de datos: EDB, la base de datos eventos, la ms voluminosa pues alojar todos los eventos individuales recibidos de nuestros detectores.

KDB, la base de datos del Framework, en la cual parametrizaremos el sistema para que conozca nuestra red y definiremos nuestra poltica de seguridad.

UDB, la base de datos de perfiles, que almacenar todos los datos aprendidos por el Monitor de Perfiles

Flujo de los datos Para entender la integracin de cada uno de los productos haremos un recorrido del flujo desde la generacin de un evento: Los eventos son procesados por los detectores hasta que bien por la localizacin de un patrn o una anomalas se produce una alerta. Las alertas son procesadas en caso de ser necesario por los consolidadores antes de ser enviadas. Estos se encargarn de enviar la informacin agrupada para ocupar el mnimo ancho de banda. Las alertas son recibidas por el colector a travs de diferentes protocolos abiertos de comunicacin. El parser se encarga de normalizarlas y guardarlas si procede en base de datos de eventos. El parser se encarga as mismo de cualificarlas determinando su prioridad segn la poltica de seguridad definida en el framework y los datos sobre el sistema atacado localizados en el Inventario de Sistemas. .Qu es OSSIM? 15

Ossim El parser valora el riesgo instantneo que implica la alerta y en caso de ser necesario enva una alarma al Cuadro de Mandos. Las alertas cualificadas son enviadas a cada uno de los procesos de correlacin que actualizarn sus variables de estado y eventualmente lanzarn nuevas alertas con una informacin ms completa o fiable. Estas alertas son enviadas de nuevo al parser para su almacenamiento, priorizacin, valoracin del riesgo, etc. El monitor de riesgos visualizar peridicamente la situacin de cada uno de los ndices de riesgo segn han sido calculados por CALM. El cuadro de mandos mostrar las alarmas recientes, actualizar el estado de cada uno de los ndices los comparar respecto de los umbrales, y lanzar nuevas alarmas o realizar las acciones correspondientes en caso de ser necesario. El administrador podr desde el cuadro de mandos enlazar y visualizar a travs de la consola forense todos los eventos ocurridos en el momento de la alerta. Podr adems comprobar el estado instantneo de la mquina a travs de los monitores de uso, perfiles, y sesiones. Podr adems comprobar el estado instantneo de la mquina a travs de los monitores de uso, perfiles, y sesiones. El siguiente grfico muestra el flujo de los datos:

Arquitectura de la Distribucin OSSIM se define as mismo como una ?distribucin? en vez de un producto, esto significa que su objetivo es integrar antes que desarrollar. Nuestro desarrollo ir siempre encaminado a poder ?pegar? o hacer que estos .Qu es OSSIM? 16

Ossim productos se hablen entre ellos. Sin embargo este desarrollo cada da es ms complicado y por ello se han definido dos niveles: El Ncleo Lo que una distribucin tpica llamara el Ncleo, desarrollado en el proyecto GNU de OSSIM y donde se desarrollan las siguiente tareas: Se define la estructura de datos Se ofrece los interfaces para hablar con los diferentes productos Se realiza lo que anteriormente hemos llamado como "postproceso" Se ofrece el la primera capa de administracin a travs de un Framework, que enlaza con los diferentes sistemas de administracin Se implementa el Cuadro de Mandos Productos Terceros Productos terceros no desarrollados en nuestro proyecto pero integrados en la solucin. De este tipo de productos hay dos posibilidades: Productos Open Source. Que dependiendo de los casos sern modificados y/o parcheados y la mayora de las veces irn incluidos en la distribucin. Productos de pago. Que lgicamente no irn en la distribucin ni sern parcheados ni modificados.

.Licencia
Ossim se distribuye bajo la licencia BSD. La licencia BSD es la licencia de software otorgada principalmente para los sistemas BSD (Berkeley Software Distribution). Pertenece al grupo de licencias de software libre.

.Requerimientos mnimos de hardware y software

Software: Distribuccion linux Apache2 php4 o php5 Hardware: Computador tipo PC con procesador Pentuim 1GB de memoria RAM .Licencia 17

Ossim Particionado El particionado del equipo esta de esta forma /boot 100mb ext3 / 1 GB ext3 con lvm /var 4 GB ext3 con lvm /usr 2 GB ext3 con lvm /home 140 GB ext3 con lvm swap 1 GB

.Descarga
Repositorios Oficiales
[Link]

.Instalacin
Sistema operativo GNU/Linux Desde paquetes binarios Modo 1: Ingresar en el archivo [Link] ubicado en "/etc/apt/[Link]" y adicionar el listado de repositorios de donde desea descargar el software quedando el archivo de la siguiente forma.
deb [Link] etch main contrib non-free deb [Link] etch/updates main contrib non-free deb [Link] debian/ Condifguracion de debconf dpkg-reconfigure -plow debconf y seleccionar dentro el menu dialogos

Configuracin de Ossim
dpkg-reconfigure -plow ossim-server Por consola y como superusuario ingresar los siguientes comandos: aptitude update aptitude search ossim p ossim - Open Source Security Information Managemen

.Requerimientos mnimos de hardware y software

18

Ossim
p p p p p p p ossim-agent ossim-contrib ossim-framework ossim-framework-daemon ossim-mysql ossim-server ossim-utils Open Open Open Open Open Open Open Source Source Source Source Source Source Source Security Security Security Security Security Security Security Information Information Information Information Information Information Information Managemen Managemen Managemen Managemen Managemen Managemen Managemen

#apt-get install ossim-mysql

Los siquientes paquetes se instalaran automticamente:

acidbase apache-common apache2-mpm-prefork apache2-utils apache2.2-common ca-certificates cpp cpp-4.1 dbconfig-common defoma fontconfig-config gda2-mysql libapache-mod-php5 libapache2-mod-php4 libapr1 libaprutil1 libart-2.0-2 libcompress-zlib-perl libct3 libcurl3-gnutls libdbd-mysql-perl libdbi-perl libexpat1 libfont-afm-perl libfontconfig1 libfontenc1 libfreetype6 libfs6 libft-perl libgd2-xpm libgda2-3 li libglib2.0-0 libglib2.0-data libgnet2.0-0 libhtml-format-perl libhtml-parser-perl libhtml-tagset-p libmailtools-perl libmysqlclient15off libnet-daemon-perl libphp-adodb libphp-jpgraph libphp-phplot librrdp-perl librrds-perl libsablot0 libsqlite3-0 libt1-5 libtimedate-perl libttf2 liburi-perl lib libxfont1 libxml2 libxpm4 libxslt1.1 libzzip-0-12 mysql-client mysql-client-5.0 mysql-common mysq ossim-agent ossim-contrib ossim-framework ossim-framework-daemon ossim-mysql ossim-server ossim-u php4-common php4-domxml php4-gd php4-mysql php4-xslt php5-common php5-mysql php5-odbc php5-pgsql postgresql-client-7.4 postgresql-client-common psmisc python-adodb python-egenix-mxdatetime pytho python-pycurl python-pysqlite2 python-rrd rrdtool sgml-base smarty ttf-bitstream-vera ttf-dejavu xfonts-utils xml-core xutils xutils-d

==Continuacin de la configuracin de Ossim==

Creacin de bases datos, primero procedemos a crear el usuario para la base de datos, con el siguiente comando:
#mysqladmin -u root password ossim

Esto crea el usuario root para mysql con la clave ossim

Configuracin de Ossim

19

Ossim Luego entramos a la consola mysql colocando como clave ossim

#mysql -u root -p Enter password:

Luego de colocar la clave debe salir el prompt de mysql

Type 'help;' or '\h' for help. Type '\c' to clear the buffer. mysql>

Ahora creamos la bases datos para ossim: mysql> create database ossim; mysql> create database ossim_acl; mysql> create database snort; mysql> create database osvdb; mysql> exit; mysql> create database ossim; Query OK, 1 row affected (0.00 sec)

Ahora creamos las estructura de la bases de datos, cuando pida la clave se colocar ossim:
#zcat /usr/share/doc/ossim-mysql/contrib/create_mysql.[Link] \ /usr/share/doc/ossim-mysql/contrib/ossim_config.[Link] \ /usr/share/doc/ossim-mysql/contrib/ossim_data.[Link] | \ mysql -u root ossim -p #zcat /usr/share/doc/ossim-mysql/contrib/create_snort_tbls_mysql.[Link] \ /usr/share/doc/ossim-mysql/contrib/create_acid_tbls_mysql.[Link] | \ mysql -u root snort -p #zcat /usr/share/doc/ossim-mysql/contrib/[Link] | \ mysql -u root osvdb -p #zcat /usr/share/doc/ossim-mysql/contrib/plugins/[Link] | mysql -u root ossim -p

Instalacin y configuracin del agente de ossim

#apt-get install ossim-agent

Editamos los archivos de configuracin

#vi /etc/ossim/agent/[Link] sensor = [Link] interface = eth0 # interface from where the event has come date_format = %Y-%m-%d %H:%M:%S ; format, not date itself ossim_dsn=mysql:localhost:ossim:root:ossim

Instalacinn y configuracin de phpagcl

#apt-get install phpgacl

En la configuracion del phpacl colocamos como base de datos mysql, usuario de base de datos root y password ossim Instalamos snort-mysql
#aptitude install snort-mysql snort-rules

Configuracin de Ossim

20

Ossim Instalamos nagios2

#aptitude install nagios2

Luego, guarde y cierre el archivo.

.Ejecucin
Una vez que edite los archivos de configuracin, debe reiniciar el servicio para que tome las directivas aadidas. Puede iniciar el servicio de la siguiente manera:
# /etc/init.d/ossim-framework start; /etc/init.d/ossim-server start # /etc/init.d/ossim-framwork stop; /etc/init.d/ossim-server stop

.Preguntas frecuentes
[Link]

.Ayuda y documentacin
[Link]

[subir]

Volver

.Ejecucin

21