OSSIM

19
OPEN SOURCE SECURITY INFORMATION MANAGEMENT

description

Descripcion sobre el OSSIM y sus herramientas

Transcript of OSSIM

  • 1. OPEN SOURCE SECURITYINFORMATION MANAGEMENT

2. ANLISIS ACTUAL Las herramientas de seguridad con lasque cuenta las empresas no sonsuficientes para tener un control totaldebido a la amplitud de la red ydiversidad de servicios. Cuando se produce un incidente deseguridad, no se cuenta con informacinsuficiente paradeterminarcmo, cundo, de dnde y quin provocdicho incidente. No se posee informacin clasificada delos eventos detectados por los IDSs. No existe un mtodo formal utilizadopara detectar las vulnerabilidades quetienen los equipos. 3. DESPUS DE LA IMPLEMENTACIN DE OSSIM OSSIM cuenta con varias herramientasde seguridad, que permite tener unamejor gestin de seguridad. Con los eventos almacenados por lasdistintas herramientas, se puede realizarun anlisis forense de algn incidente deseguridad ocurrido. Teniendo evidenciade quin lo hizo, cmo, cundo y dednde se lo realiz. OSSIM centraliza, clasifica y prioriza losdistintos eventos emitidos por lasherramientas. Ayudando a realizar deforma gil la administracin deloseventos para la toma de decisiones. 4. EVOLUCIN TECNOLGICA 5. OSSIM: La solucin para Gestionarla Seguridad Nace como un proyecto Open-Source, desarrolladoporespecialistasenseguridadinformtica, para garantizar aladministrador una vista de todos losaspectos relativos a la seguridad delsistema. Consola de Gestin de Seguridad. 6. La fuerza principal de ossimradica en su motor decorrelacin, ya que nos permitedetectar anomalas en elfuncionamiento de lasmquinas por nuevos virus quean no han sido identificadospor nadie, adems nos ofreceinterfaces de visualizacin yherramientas de manejo deincidentes. 7. Funcionalidades de OSSIM Cules son las principales funcionalidades? 8. OSSIM/Herramientas Compuesta por ms de 22 Herramientas lideres en el campo de laSeguridad Informtica:Sistema de deteccin de FuncionalidadintrusosSnort Utilizado como sistema dedeteccin de intrusos (IDS)OsirisSistema de deteccin de intrusosbasado en host (HIDS).SysLogFuncionalidadSnare Windows Colecciona los logs de sistemasWindows. 9. Detectores FuncionalidadArpwatch Utilizado para deteccin de anomalas en direcciones MAC.P0fUtilizado para la identificacin pasiva de OS.Pads Utilizado para detectar anomalas en serviciosSpadeDeteccin de anomalas en paquetes. Es un sistema de deteccin de intrusos basado enOSSEChosts 10. Monitores FuncionalidadNtopMonitorizacin de Trafico de red.TcpTrackUtilizado para conocer la informacin de lassesiones.NagiosUtilizado para monitorear la disponibilidad delos hosts y servicios.Scanner FuncionalidadNessusUtilizado para la evaluacin y correlacincruzada (Sistema de deteccin de intrusos vsEscner de Vulnerabilidad)NmapInventariado de servicios activo. 11. OSSIM/Herramientas/Ejemplo 12. NMap: Inventariado de servicios activo. Es probablemente una de las herramientas mscompletas para escanear redes. Se basa en el intercambio y anlisis de paquetes TCPcon las mquinas objetivo. Es capaz de reconocer el Sistema Operativo de unamquina, los servicios que estn activos y lasversiones de los mismos. Es muy sigiloso y difcil de detectar. Como herramienta de administracin, permiteencontrar vulnerabilidades antes que los atacantes. Usa una base de datos de huellas (OSfingerprint)para identificar remotamente el Sistema Operativo. 13. NMap: Escaneado de puertosSYN Synchronize. Inicializa una conexin entre 2 hosts. ACK Acknowledge. Establece una conexin entre 2 hosts.PSH Push. El sistema est forwardeando data de buffer. URG Urgent. La data en los paquetes debe ser procesada rpido.FIN Finish. No ms transmisiones. RST Restet. Resetea la conexin. 14. NMap: Escaneado de puertosSYN Synchronize. Inicializa una conexin entre 2 hosts. ACK Acknowledge. Establece una conexin entre 2 hosts.PSH Push. El sistema est forwardeando data de buffer. URG Urgent. La data en los paquetes debe ser procesada rpido.FIN Finish. No ms transmisiones. RST Restet. Resetea la conexin. 15. NMap: Escaneado de puertosSYN Synchronize. Inicializa una conexin entre 2 hosts. ACK Acknowledge. Establece una conexin entre 2 hosts.PSH Push. El sistema est forwardeando data de buffer. URG Urgent. La data en los paquetes debe ser procesada rpido.FIN Finish. No ms transmisiones. RST Restet. Resetea la conexin. 16. NMap: Escaneado de puertosSYN Synchronize. Inicializa una conexin entre 2 hosts. ACK Acknowledge. Establece una conexin entre 2 hosts.PSH Push. El sistema est forwardeando data de buffer. URG Urgent. La data en los paquetes debe ser procesada rpido.FIN Finish. No ms transmisiones. RST Restet. Resetea la conexin. 17. NMap: Escaneado de puertosSYN Synchronize. Inicializa una conexin entre 2 hosts. ACK Acknowledge. Establece una conexin entre 2 hosts.PSH Push. El sistema est forwardeando data de buffer. URG Urgent. La data en los paquetes debe ser procesada rpido.FIN Finish. No ms transmisiones. RST Restet. Resetea la conexin. 18. CONCLUSIONESOSSIM, mas que un producto, es una solucin para las necesidadesde cada organizacin. Gracias a la integracin de sus herramientas.Con OSSIM ahorramos dinero, ya que no necesitamos de licencias nihardware.Actualmente es conocido como una de las mejores plataformas deseguridad.Nmap tiene una gran utilidad por ejemplo para la auditora deredes, rpidamente se puede identificar los servicios y versiones queestn levantados en la red, los hosts activos y muchas otras cosas. 19. Utilizacin del NMAP