“Implementación de una Herramienta SIM en la Red de

la Universidad Técnica Particular de Loja”

“Implementación de una Herramienta SIM en la Red de

la Universidad Técnica Particular de Loja”

AgendaAgenda

◄ Problemática

◄ SIM

◄ SIM Software

◄ OSSIM

◄ Valoración de Riesgos

◄ Correlación

◄ Situación Actual

◄ Implementación

ProblemáticaProblemática

◄ Gestión de Seguridad: Personas, procesos y

tecnologías

◄ Mecanismos y herramientas usadas por los

administradores

o Numerosas herramientas de seguridad: monitores de

tráficos, escáner de vulnerabilidades, detectores de

anomalías, IDS/IPS, Firewall, antivirus, etc.

o Diversos entornos, plataformas y formatos

o Saturación de eventos y falsas alarmas emitidas

o Dificultan tener una imagen clara de la seguridad de una

Red

Security Information Management (SIM) (1/4)

Security Information Management (SIM) (1/4)

◄ Recoger, ordenar y correlacionar la información sobre el

estado de la red, comportamiento sistemas, información

de equipos , etc.

◄ Automatiza la colección de eventos de sistemas y

dispositivos de seguridad

◄ Centralización, correlación y priorización de eventos

o Estandariza eventos dando una visión clara de lo que ocurre

en la red

o Reducción de tiempo en la detección de ataques y

vulnerabilidades de la red

o Minimiza cantidad de información a procesar

SIM (2/4)SIM (2/4)

◄Funcionalidad

o Administración de la infraestructura de red y de los

activos de la organización

o Configuración centralizada y monitoreo de los

componentes de la infraestructura de seguridad

o Análisis de la información reportada por los

componentes de seguridad

o Predicción y pronóstico de amenazas

o Colección y correlación de eventos

SIM (3/4)SIM (3/4)

◄Funcionalidad

o Detecta, identifica y reporta eventos de seguridad

o Permite el análisis forense de los eventos

o Permite administrar y establecer políticas de

seguridad

o Monitoreo de ataques y respuestas en tiempo real

o Planificación de seguridad

SIM (4/4)SIM (4/4)

Arquitectura

SIM SoftwareSIM Software

◄Comercial

o ArcSight ESM

o Cisco Works SIM

o Cisco MARS

◄Open Source

oOSSIM

Open Source Security Information Management (OSSIM) (1/3)

Open Source Security Information Management (OSSIM) (1/3)

Ofrece un marco para

centralizar, organizar y

mejorar la capacidad

de detección y

visibilidad en el

monitoreo de eventos

de seguridad de la

organización

(www.ossim.net)

OSSIM (2/3)OSSIM (2/3)

outside

Web

Mail

DB OSSIM

OSSIM-Framework

OSSIM-Server

Administrador

Servidor Central

Agente_1Agente_2

Segmento 1Segmento 2

Segmento 3

Componentes

OSSIM (3/3)OSSIM (3/3)Herramientas

Valoración de RiesgosValoración de Riesgos

CALM (Monitor del Nivel de Compromiso y Ataque) es Algoritmo de Valoración por Acumulación de Eventos.

◄Nivel de Compromiso: posibilidad de que una máquina se

encuentre generando algún ataque o anomalía

◄Nivel de Ataque: posible riesgo debido a los ataques

recibidos

Risk = Metric/Threshold (Nivel A o C)

Nivel de Riesgo:

CorrelaciónCorrelación

◄ Algoritmo que mediante una operación de eventos de

entrada (herramientas de seguridad) generan

información de mayor valor, disminuyendo el número

de falsos positivos y alertas, facilitando el análisis.

◄ Suplen la sensibilidad, fiabilidad y visibilidad limitada de

los detectores, monitores y escaners

◄ La correlación puede ser:

o Lógica: correlación de eventos

o Cruzada: correlación de eventos y vulnerabilidades

o Inventario: correlación de eventos, sistemas operativos y

servicios

Análisis Situación Actual (1/3)

Análisis Situación Actual (1/3)

◄Políticas de seguridad

inside

Switch inside

INTERNET

Siwtch de Core

Cisco ASA

UsuarioFinal

Red LAN

SeguridadPerimetral

Proxy

◄Esquema de Seguridad

◄ Priorización de los Servicios

o Tipos de datos

o Magnitud

o Impacto financiero

o Impacto a usuarios

Análisis Situación Actual (2/3)

Análisis Situación Actual (2/3)

◄Análisis de tráfico

0

1

2

3

4

5

6

7

8

Puerto

Nú

mero

de S

erv

idore

s

212225536780110111139, 445143389512152120493128338910000

◄ Las herramientas de seguridad con las que cuenta no son suficientes para tener un control total debido a la amplitud de la red y diversidad de servicios

◄ Cuando se produce un incidente de seguridad, no se cuenta con información suficiente para determinar cómo, cuándo, de dónde y quién provocó dicho incidente.

◄ No se posee información clasificada de los eventos detectados por los IDS´s.

◄ No existe un método formal utilizado para detectar las vulnerabilidades que tienen los equipos.

Análisis Situación Actual (3/3)

Análisis Situación Actual (3/3)

Implementación (1/2)Implementación (1/2)

Internos

Frontales

DNS Interno

DNS Caching

Proxy

Vlan 50

Asutpl

Pdcserver

NtsyslogOsiris

NtsyslogOsiris

SyslogOsiris

SyslogOsiris

SyslogOsiris

Servidores_GrupoVlan 52

CajanumaULoja

SyslogOsiris

SyslogOsiris

DB OSSIM

ServidorOSSIM

Agente_3

Servidor Central

Mail

SyslogOsiris

Agente_4

Internos

Wsutpl

NtsyslogOsiris

Agente_2

Intranetcittes

NtsyslogOsiris

Frontales

Web

SyslogOsiris

Sigserver

NtsyslogOsiris

Sunfire

SyslogOsiris

Agente_1

Agente_5

Calsever

NtsyslogOsiris

IVR

NtsyslogOsiris

ASA

Switch de core

Inside

Utplonline

SyslogOsiris

Outside

ISP-2

ISP-1

ROUTERDE BORDE

DNS Externo

Administrador

Utpl.net

SyslogOsiris

Outside

SyslogOsiris

Arquitectura de Monitoreo

Implementación (2/2)Implementación (2/2)

Inventario de Activos

Inventario de Redes

Resultados (1/2)Resultados (1/2)

Resultados (2/2)Resultados (2/2)

Después de la implementación de OSSIM

OSSIM cuenta con varias herramientas de seguridad, que permite tener una mejor gestión de seguridad.

Con los eventos almacenados por las distintas herramientas, se puede realizar un análisis forense de algún incidente de seguridad ocurrido. Teniendo evidencia de quién lo hizo, cómo, cuándo y de dónde se lo realizó.

OSSIM centraliza, clasifica y prioriza los distintos eventos emitidos por las herramientas. Ayudando a realizar de forma ágil la administración de los eventos para la toma de decisiones.

OSSIM cuenta con una herramienta llamada Nessus, que se encarga de escanear las vulnerabilidades, y así determinar un reporte del estado de riesgo del equipo.

ReferenciasReferencias

[1] Corletti Estrada, Alejandro, “Auditoria, Evaluación,Test de Seguridad → metodología abierta ¿OSSTMM…?[2] OSSIM. OSSIM – Descripción. [En línea a 20 de juniode 2007]. [3] Asensio, Gonzalo, “Gestión de la Seguridad conOSSIM”. [5] Cisco. “Introducing Cisco Intrusion Detection System,Configuration and Operations Guide Version 2.2.2”. [6] Demuth, Thomas and Leitner, Achim, “Arp Spoofingand poisoning TRAFFIC TRICKS”.

Gracias por su atenciónGracias por su atención

María Paula Espinosa:mpespinoza@utpl.edu.ec

Julia Pineda: japineda@utpl.edu.ec

Marco Sinche: mxsinche@utpl.edu.ec