RAE 2. TITULO: INTEGRACIÓN Y EVALUACIÓN DEL PILOTO DE LA HERRAMIENTA DE MONITOREO ALIENVAULT EN LA PLATAFORMA TECNOLÓGICA DE TELEFONICA TELECOM

Transcripción

1 RAE 1. TIPO DE DOCUMENTO: Proyecto de grado presentado a manera de estudio de caso, en el que se logra la integración y aplicación de conocimientos adquiridos durante la carrera, para resolver problemas en un ambiente empresarial real; conducente a obtener el titulo de ingeniero electrónico. 2. TITULO: INTEGRACIÓN Y EVALUACIÓN DEL PILOTO DE LA HERRAMIENTA DE MONITOREO ALIENVAULT EN LA PLATAFORMA TECNOLÓGICA DE TELEFONICA TELECOM 3. AUTORES: Eduardo Hernán Amaya Guzmán, Laura Victoria Quiroga Martínez. 4. LUGAR: Bogotá D.C. 5. FECHA: Abril PALABRAS CLAVE: Redes, monitoreo, seguridad informática y transaccional, vulnerabilidad. 7. DESCRIPCIÓN DEL TRABAJO: El desarrollo del trabajo se fundamenta en un estudio de caso basado en la aplicación y evaluación de la herramienta de monitoreo AlienVault, en el Data Center de Telefónica Telecom; con el fin de determinar su efectividad en la garantía de la seguridad de sus redes. Se realiza por medio de pruebas y comparaciones de desempeño técnico y económico con lo que se pretende llegar, luego de un análisis a profundidad, a recomendaciones sobre que es lo más conveniente al momento de ofrecer el servicio de seguridad gestionada a sus clientes. 8. LÍNEA DE INVESTIGACIÓN: El trabajo se desarrolla en el marco de la línea institucional de la Facultad de Ingeniería: tecnologías actuales y sociedad; en la sub-línea sistemas de información y comunicación y el campo del programa en Ingeniería Electrónica: comunicaciones. 9. FUENTES CONSULTADAS: AlienVault Technical Documentation. Noviembre 24 del ISO e IEC, ISO Sistemas de gestión de la calidad, 2005, Norma internacional. Noviembre 16 del Microsoft, Protocolo de mensajes de control de Internet (ICMP, Internet Control Message Protocol), Articulo tecnológico.diciembre CONTENIDOS: Con base en la formulación del problema, se realiza una revisión teórica de temas tales como: herramientas de monitoreo, redes, seguridad de la información y una revisión de la normatividad vigente. A continuación se propone y realiza una prueba piloto con la herramienta AlienVault, que permite analizar su comportamiento y compararla con otras de su clase, usadas por la empresa, con el fin de llegar a unas conclusiones y recomendaciones sobre su uso. 11. METODOLOGÍA: Inicialmente se definieron los parámetros más importantes relacionados con desempeño de las herramientas de monitoreo usadas en la actualidad por la empresa, para de esa forma permitir la comparación entre las mismas incluida AlienVault. Luego se lleva a cabo la prueba piloto en tiempo real, precedida de la instalación del software y hardware que necesita la herramienta motivo de análisis, además de su configuración. Esto permitió, la obtención de resultados que se registraron y analizaron y que en conjunto con la herramienta de análisis económico, se plantean las conclusiones y recomendaciones. 12. CONCLUSIONES: Después de realizar los análisis comparativos entre las diferentes herramientas y la prueba piloto se obtuvo, como resultado final, que la herramienta de monitoreo AlienVault cumple los criterios de costo-beneficio para una empresa como telefónica. A pesar de lo anterior se recomendó su uso junto con otra herramienta, para de esta manera optimizar su funcionamiento. El trabajo finaliza con la propuesta de un plan de implementación que le permite a la empresa apropiar en el menor tiempo posible la herramienta.

2 INTEGRACIÓN Y EVALUACIÓN DEL PILOTO DE LA HERRAMIENTA DE MONITOREO ALIENVAULT EN LA PLATAFORMA TECNOLÓGICA DE TELEFONICA TELECOM EDUARDO HERNÁN AMAYA GUZMÁN LAURA VICTORIA QUIROGA MARTÍNEZ UNIVERSIDAD DE SAN BUENAVENTURA FACULTAD DE INGENIERÍA PROGRAMA DE INGENIERÍA ELECTRÓNICA BOGOTÁ 2012

3 INTEGRACIÓN Y EVALUACIÓN DEL PILOTO DE LA HERRAMIENTA DE MONITOREO ALIENVAULT EN LA PLATAFORMA TECNOLÓGICA DE TELEFONICA TELECOM EDUARDO HERNÁN AMAYA GUZMÁN eamaya@academia.usbbog.edu.co LAURA VICTORIA QUIROGA MARTÍNEZ lquiroga@academia.usbbog.edu.co Proyecto de grado Profesor: Jaime Ramírez Artunduaga UNIVERSIDAD DE SAN BUENAVENTURA FACULTAD DE INGENIERÍA PROGRAMA DE INGENIERÍA ELECTRÓNICA BOGOTÁ 2012

4 Nota de aceptación: Firma del presidente del jurado Firma del jurado Firma del jurado Bogotá (30, Marzo, 2012)

5 DEDICATORIA Dedicamos este trabajo de grado a nuestros padres que se esforzaron por llevarnos a culminar esta etapa de nuestras vidas. Sabemos que no es todo lo que se merecen pero es solo el principio de nuestra retribución.

6 AGRADECIMIENTO Agradecemos la deferencia de la empresa Telefónica Telecom por permitirnos realizar este proyecto dentro de sus instalaciones y el uso de su información, esperamos haber contribuido en algo con la toma de decisiones como contraprestación. De igual manera agradecemos a todas las personas que de manera desinteresada participaron con sus aportes para el desarrollo y culminación del presente trabajo.

7 TABLA DE CONTENIDO INTRODUCCIÓN PLANTEAMIENTO DEL PROBLEMA ANTECEDENTES Oferta de empresas que ofrecen seguridad gestionada de redes Oferta de productos comerciales en materia de seguridad de redes gestionadas: Las DESCRIPCIÓN Y FORMULACIÓN DEL PROBLEMA JUSTIFICACIÓN OBJETIVOS DE LA INVESTIGACIÓN Objetivo General: Objetivos Específicos ALCANCES Y LIMITACIONES DEL PROYECTO MARCO REFERENCIAL MARCO TEÓRICO - CONCEPTUAL Los riesgos informáticos Riesgo informáticos más significativos y su impacto en la empresa La gestión de los riesgos Ataques a la red Seguridad de la información Red informática Gestión de redes Pilares de la Seguridad Informática Importancia del monitoreo de la red Funcionalidades Importantes de las herramientas de Monitoreo Protocolos mas utilizados para el monitoreo de la red MARCO NORMATIVO METODOLOGÍA ANALIZAR EL FUNCIONAMIENTO DEL MONITOREO ACTUAL DE LA PLATAFORMA TECNOLÓGICA DE TELEFÓNICA TELECOM CON LA HERRAMIENTA O HERRAMIENTAS ACTUALES: INTEGRAR EL SOFTWARE Y HARDWARE DE LA HERRAMIENTA DE MONITOREO ALIENVAULT A LA PLATAFORMA TECNOLÓGICA DE TELEFÓNICA TELECOM DISEÑAR INSTRUMENTOS DE CAPTURA DE LA INFORMACIÓN Y RESULTADOS DE LA PRUEBA PILOTO: CONSOLIDAR Y ANALIZAR LOS RESULTADOS DE LA EVALUACIÓN TÉCNICA Y FUNCIONAL DE LA PRUEBA PILOTO: DISEÑAR LA HERRAMIENTA DE EVALUACIÓN ECONÓMICA DE LOS RESULTADOS DE LA PRUEBA PILOTO COMPARADOS CON LAS HERRAMIENTAS EXISTENTES REALIZAR LA EVALUACIÓN ECONÓMICA REALIZAR CONCLUSIONES Y RECOMENDACIONES, SI FURA PERTINENTE DE USO DE LA HERRAMIENTAS

8 3.8 PROPONES UN PLAN DE IMPLEMENTACIÓN DE LA HERRAMIENTA SI FUERA POSITIVA LA EVALUACIÓN ENTREGABLE ENFOQUE DE LA INVESTIGACIÓN LÍNEA DE INVESTIGACIÓN DE USB / SUB-LÍNEA DE FACULTAD / CAMPO TEMÁTICO DEL PROGRAMA DESARROLLO INGENIERIL ANÁLISIS DE LAS HERRAMIENTAS ACTUALES DE MONITOREO UTILIZADAS EN LA PLATAFORMA TECNOLÓGICA DE TELEFÓNICA TELECOM INTEGRACION DEL SOFTWARE Y HARDWARE DE LA HERRAMIENTA DE MONITOREO ALIENVAULT A LA PLATAFORMA TECNOLÓGICA DE TELEFÓNICA TELECOM Especificaciones técnicas del hardware donde se instalara la herramienta de monitoreo Preparación e Instalación del equipo donde se instalará la herramienta de monitoreo Configuración final del equipo CT1ALVSEGURSRV001 ( ): Instalación del Sensor AlienVault: Instalación de la Base de Datos: CONSOLIDACION Y ANALISIS DE LOS RESULTADOS DE LA EVALUACIÓN TÉCNICA Y FUNCIONAL DE LA PRUEBA PILOTO funcionalidades de la herramienta AlienVault CONSOLIDACION Y ANALISIS DE LOS RESULTADOS DE LA EVALUACIÓN TÉCNICA Y FUNCIONAL DE LA PRUEBA PILOTO: ANÁLISIS DE RESULTADOS CONCLUSIONES Y RECOMENDACIONES BIBLIOGRAFÍA GLOSARIO ANEXOS ANEXOS. 1 (PLAN DE IMPLEMENTACIÓN) ANEXOS. 2 (CERTIFICACIÓN DE TRABAJO DE GRADO POR TELEFÓNICA TELECOM)

9 LISTA DE ILUSTRACIONES Ilustración 1. Gestión de infraestructura (Telefónica Internacional) Ilustración 2. Monitorización de la seguridad (Vertical Telefónica) Ilustración 3. Interfaz de Applications Manager Ilustración 4. Interfaz web de Nagios Ilustración 5. Interfaz de OpManager Ilustración 6. The Complete RRDtool basado en la solución gráfica Ilustración 7. Interfaz de Firewall Analyzer Ilustración 8. FortiAnalYzer 400B Ilustración 9. FortiAnalyzer -1000B Ilustración 10. Formato del mensaje Ilustración 11. Mensajes más comunes Ilustración 12. Ejemplo de envio y recepción de un ping Ilustración 13. Formato de los paquetes Ilustración 14. Estructura de los mensajes Ilustración 15. Topología Instalación AlienVault Ilustración 16. Interfaz gráfica de SIEM Ilustración 17. Menú del software AlienVault Ilustración 18. Monitoreo de Servicios por Nagios Ilustración 19. Monitoreo de Temperatura y Humedad en un Aire Acondicionado Ilustración 20. Monitoreo de Ping a un equipo por Nagios Mensaje 0 y Ilustración 21. Monitoreo de Ping a un equipo por Nagios Mensaje Ilustración 22. Mensaje por Indisponibilidad de Equipos, OpManager Ilustración 23. Mensaje por Alto consumo de tráfico en una Interface, OpManager Ilustración 24. Mensaje por Disponibilidad de Interface, OpManager Ilustración 25. Reporte de estado de CPU y Memoria, OpManager Ilustración 26. Servidor Físicamente: Parte Frontal Ilustración 27. Servidor Físicamente: Parte Posterior Ilustración 28. Disco Duro HP SATA 160GB Ilustración 29. Servidor Físicamente: Parte Frontal Ilustración 30. Conjunto Redundante de Discos Independientes Ilustración 31. Vista instalación personalizada Ilustración 32. Perfil del equipo a instalar

10 Ilustración 33. Vista de la opción use entire disk Ilustración 34. Pag. 1 configuración final del equipo Ilustración 35. Pag. 2 configuración final del equipo Ilustración 36. Pag. 3 configuración final del equipo Ilustración 37. Pag. 4 configuración final del equipo Ilustración 38. Pag. 5 configuración final del equipo Ilustración 39. Pag. 6 configuración final del equipo Ilustración 40. Ventana final para ingresar a la herramienta de monitoreo Ilustración 41. Lista de plugins configurados en el sensor Ilustración 42. Vista del plugin para equipos Fortinet Ilustración 43. Vista del plugin para equipos Allot Ilustración 44. Configuración Final del Sensor Ilustración 45. Configuración Final de la Base de Datos Ilustración 46. Configuracion de la BD MySQL Ilustración 47. Características del sistema instalado Ilustración 48. Diagrama General Implementación Ilustración 49. Vista desde CLI del Servidor SIEM (Server Framework) Ilustración 50. Vista desde CLI del sensor de la implementación Ilustración 51. Vista desde CLI de la Base de Datos de la implementación Ilustración 52. AlienVault, Interfaz gráfica: Menú Dashboards Ilustración 53. Vista: Eventos de Seguridad SIEM vs. Eventos de Logger Ilustración 54. Vista: Eventos de Seguridad SIEM vs. Eventos de Logger con la relación de logs recolectados Ilustración 55. Vista de eventos recibido en el servidor (logs) Ilustración 56. Nivel de Amenaza en la Red Ilustración 57. Detalle del Nivel de Amenaza Ilustración 58. Convenciones de la Gráfica Nivel de Amenaza Ilustración 59. Relación de Nivel administrativo y Métricas Ilustración 60. Vista de eventos por sensor Ilustración 61. Gráficas Top 10 de Eventos de Seguridad Ilustración 62. Gráficas Eventos de Seguridad Ilustración 63. Gráficas Top 5 de Eventos de Seguridad Ilustración 64. Visualización Compliance por eventos registrados Ilustración 65. Gráfica Compliance por Nivel de ataques (internos y externos) Ilustración 66. Convenciones para los mapas de Riesgo Ilustración 67. Visualización por defecto de los Mapas de Riesgo

11 Ilustración 68. Configuración Mapas de Riesgo Ilustración 69. Edición de Vistas Pre- establecidas Ilustración 70. Opción Edit Ilustración 71. Pestaña configuración Ilustración 72. Edición de la configuración Ilustración 73. Cómo se visualizan las alarmas? Ilustración 74. Informacion de la alarma Ilustración 75. Detalle de la alarma Ilustración 76. Detalle del evento Ilustración 77. Información del sensor Ilustración 78. Detalles del sensor Ilustración 79. Visualización con Filtro (Ip Origen / Ip Destino) Ilustración 80. Visualización con Agrupación (Ip Origen / Ip Destino) Ilustración 81. Reportes top de ataques Ilustración 82. Ticket Ilustración 83. Informacion detallada del ticket Ilustración 84. Edición de un ticket Ilustración 85. Como general un ticket de forma manual Ilustración 86. Como generar un ticket de forma automática Ilustración 87. Base de conocimientos Ilustración 88. Ejemplo link: TituloAV Bruteforce, FTP authentication attack against SRC_IP (Cisco IPS) Links (3) Ilustración 89. Directiva Ilustración 90. Pantalla principal del menú Eventos de Seguridad SIEM Ilustración 91. Grafica tiempo real Eventos de Seguridad SIEM Ilustración 92. Eventos generados en tiempo real Ilustración 93. Eventos Eventos de Seguridad SIEM Ilustración 94. Detalle 1. Eventos Eventos de Seguridad SIEM Ilustración 95. Detalle 1. Eventos Eventos de Seguridad SIEM Ilustración 96. Política Configurada Ilustración 97. Linea de tiempo (Logger) Ilustración 98. Detalle de los eventos generados para el lapso de tiempo (Línea de tiempo) Ilustración 99. Evento ossec: Login session closed Ilustración 100. Validación interna del evento ossec: Login session closed Ilustración 101. Ayuda de búsqueda de la herramienta Alienvault Ilustración 102. Detalles de las vulnerabilidades

12 Ilustración 103. Ejemplo vulnerabilidad Denial of Service Ilustración 104. Detalle de la Vulnerabilidad Ilustración 105. Test configurados en el sistema Ilustración 106. Listado de Reportes por Defecto Ilustración 107. Edición de los reportes Ilustración 108. Reportes, Modificarlo y Generarlo Ilustración 109. Edición de los reporte - eventos Ilustración 110. Edición de los reportes - activos Ilustración 111. Informacion para la generación del reporte Ilustración 112. Top de las alarmas por riesgos Ilustración 113. Edición Layouts (Alienvault) Ilustración 114. Configuración scheduler Ilustración 115. Programación Structure (Alienvault) Ilustración 116. Edición de un activo (Alienvault) Ilustración 117. Detalles de la edicion de un activo (Alienvault) Ilustración 118. Relación del equipo dentro del árbol de inventario (Alientvault) Ilustración 119. Monitoreo protocolo (Alientvault) Ilustración 120. Equipos configurados en la herramienta (Alientvault) Ilustración 121. Ingreso de un nuevo activo en la red de monitoreo Ilustración 122. Informacion avanzada que compone el activo Ilustración 123. Informacion de Inventario Ilustración 124. Vista búsqueda Simple (Alienvault) Ilustración 125. Vista búsqueda avanzada (Alienvault) Ilustración 126. Condiciones de búsqueda Avanzasa Ilustración 127. Características búsqueda avanzada (Alientvaul) Ilustración 128. Políticas configuradas 1 (Alienvault) Ilustración 129. Políticas configuradas 2 (Alienvault) Ilustración 130. Detalles de las políticas 1 (Alienvault) Ilustración 131. Detalles de las políticas 2 (Alientvault) Ilustración 132. Fortigate ICMP, Relación de la Política con el Plugin ID y su descripción Ilustración 133. Fortigate ICMP, Relación de la Política, descripción, nivel de riesgo y fiabilidad. 125 Ilustración 134. Fortinet Drop, Relación de la Política con el Plugin ID y su descripción Ilustración 135. Fortinet Drop, Relación de la Política, descripción, nivel de riesgo y fiabilidad Ilustración 136. Directivas de correlación del sistema Ilustración 137. Vista del directorio desde CLI

13 Ilustración 138. Ossim management server Ilustración 139. Asignación de roles, tipos de roles Ilustración 140. Política de priorización, valores de prioridad Ilustración 141. Tipos de correlación Ilustración 142. Datos de los tipos de correlación Ilustración 143. Creación de una Nueva Directiva Ilustración 144. Creación de una Nueva Directiva Ilustración 145. Creación de una Nueva Directiva: Selección de Plugin Ilustración 146. Creación de una Nueva Directiva: Selección de Plugin Ilustración 147. Creación de una Nueva Directiva Ilustración 148. Creación de una Nueva Directiva -Protocolo Ilustración 149. Elección Valor de Fiabilidad Ilustración 150. Elección de Condición de Número de Eventos Ilustración 151. Visualización de una Nueva Directiva Ilustración 152. Visualización de una Nueva Directiva Ilustración 153. Vista de Directivas y propiedades Ilustración 154. Edición de las Propiedades Ilustración 155. Detalle de los Eventos Ilustración 156. Reglas de la Correlación Cruzada Ilustración 157. Edición de las Reglas de Correlación Cruzada Ilustración 158. Edición de las Reglas de Correlación Cruzada Ilustración 159. Visualización de Tráfico Ilustración 160. Visualización de Tráfico Ilustración 161. Configuración para la visualización Ilustración 162. Configuración para la visualización de gráficas de tráfico Ilustración 163. Vista Local del monitoreo de Nagios Vista Normal Ilustración 164. Vista Local del monitoreo de Nagios - Vista Crítica Ilustración 165. Vista de Activos por Servicios Ilustración 166. Vista de Activos por Equipos Ilustración 167. Vista de Reputación IP Eventos SIEM Ilustración 168. Vista de Reputación IP Ilustración 169. Menú de Configuración Simple Ilustración 170. Configuración Simple: Backup Ilustración 171. Configuración Simple: Tickets Ilustración 172. Configuración Simple: Lenguaje

14 Ilustración 173. Configuración Simple: Métodos de Ingreso e Inicio de Sesión en la Herramienta 143 Ilustración 174. Configuración Simple: Métricas Ilustración 175. Configuración Simple: Actualizaciones Ilustración 176. Menú Configuración Avanzada Ilustración 177. Configuración Avanzada:Configuracion PHP GACL Ilustración 178. Configuración Avanzada: Servidor AlienVault Ilustración 179. Configuración Avanzada: Backup Ilustración 180. Configuración Avanzada: Aplicaciones Externas Ilustración 181. Configuración Avanzada: Servidor de Ilustración 182. Configuración Avanzada: Interfaz web de OSSIM Ilustración 183. Configuración Avanzada: Demonio Interfaz Web OSSIM Ilustración 184. Configuración Avanzada: OSVDB Ilustración 185. Configuración Avanzada: Políticas de Contraseña Ilustración 186. Configuración Avanzada: RRD Ilustración 187. Configuración Avanzada: Snort Ilustración 188. Configuración Avanzada: Actividad de Usuario Ilustración 189. Configuración Avanzada: Escáner de Vulnerabilidades Ilustración 190. Vista de los usuarios configurados Ilustración 191. Vista de las Entidades Configuradas Ilustración 192. Vista para la creación de una nueva entidad Ilustración 193. Vista de las plantillas (Templates) Ilustración 194. Vista para ingresar un nuevo usuario Ilustración 195. Configuración de los ítems a permitir/ denegar Ilustración 196. Vista Sensores Ilustración 197. Configuración para el ingreso de un nuevo sensor Ilustración 198. Sensor Implementado Ilustración 199. Servidor de la Implementación Ilustración 200. Base de Datos configurada Ilustración 201. Características Base de Datos configurada Ilustración 202. Vista de Plugins Ilustración 203. Vista Plugin ID Ilustración 204. Vista Plugin ID Ilustración 205. Vista de Eventos por Grupo Ilustración 206. Detalle del Plugin Ilustración 207. Vista Taxonomía

15 Ilustración 208. Vista de Descargas de Plugins disponibles en la red Ilustración 209. Vista notificaciones disponibles en la red Ilustración 210. Vista Backup

16 LISTA DE TABLAS Tabla 1. Instrumento de captura comportamiento de los parámetros de comparación de las herramientas usadas Vs Alienvault Tabla 2. Instrumento de captura comportamiento de los atributos de comparación de las herramientas usadas Vs Alienvault Tabla 3. Comparativo del valor de adquisición de la herramientas Vs. evaluación técnica Tabla 4. Comparación de las 6 herramientas usadas actualmente en la plataforma tecnología de Telefónica - Telecom Tabla 5. Equipos y servicios monitoreados Actualmente por Nagios en la plataforma tecnología de Telefónica - Telecom Tabla 6. Equipos monitoreados Actualmente por OpManager. 11 en la plataforma tecnología de Telefónica - Telecom Tabla 7. Equipos monitoreados Actualmente por OpManager. 12 en la plataforma tecnología de Telefónica - Telecom Tabla 8. Distribución de los Menús / Submenús y Pestañas de la herramienta Tabla 9. Relación Pestaña vs. Información por Vista Tabla 10. Equipos incluidos en la implementación Tabla 11. Características para el ingreso de un activo Tabla 12. Características de la configuración avanzada que compone el activo Tabla 13. Informacion de Inventario Tabla 14. Características de la búsqueda simple Tabla 15. Tabla Relación de Riesgo Tabla 16. Consolidado de la valoración comparada de atributos de las herramientas usadas VS. Alienvault Tabla 17. Consolidado de costos de los diferentes aplicativos Vs. Alienvault

17 INTRODUCCIÓN Los desarrollos científicos y tecnológicos han hecho que el mundo haya cambiado en los últimos cincuenta años más que en toda su historia; esto ha hecho que las necesidades humanas sean hoy diferentes y se tenga una dependencia evidente de las Tecnologías de la Información y la Comunicación TICs. La gran mayoría de los humanos no concibe la existencia sin dispositivos tecnológicos que le faciliten la vida. Si se extrapola este concepto al área empresarial e industrial, la dependencia es aún mayor, pues independiente del tipo de actividad se pretende, con sobrada razón, tener el control de todos los procesos productivos y no productivos empresariales e industriales. En este campo las TICs tienen un muy buen nivel de desarrollo; es prácticamente absurdo pensar en una organización que no cuente con un Sistema de Información SI, que le permita el desarrollo y control óptimo de sus actividades, haciendo parte de la garantía de la supervivencia en un medio tan competitivo. La protección de su información ya hace parte del eje del negocio. La complejidad de la gestión de la información personal o empresarial y dentro de ella su protección, han requerido desarrollos de gran complejidad y la mayoría de las veces las soluciones son integradas y multidisciplinares, requiriendo el concurso de la electrónica, las telecomunicaciones, los sistemas, entre otras áreas del conocimiento, que trabajando mancomunadamente ha contribuido a la solución del problema. Esto por supuesto conduce a la conclusión de que el conocimiento aplicado es la razón de ser de la ciencia. De igual forma personas y organizaciones solucionan sus problemas de gestión de la información de varias maneras acordes a sus necesidades: Para las personas usualmente un ordenador es la solución; pero a nivel empresarial la soluciones son más complejas que van desde lo manual hasta el desarrollo de programas o paquetes informáticos (software) de gran complejidad hecho a la medida o adquirido de mera parametrizable; todo con un soporte de Infraestructura tecnológica y arquitectura informática (hardware), también de gran capacidad, acorde a los volúmenes de información. Las empresas optan en ocasiones por contratar servicios integrales de servicios informáticos que van desde soporte técnico, suministro de hardware y software, almacenamiento de la información y por supuesto implícitamente la protección y salvaguarda de la misma. Específicamente hablando de la protección de la información, entendida como seguridad informática, busca garantizar que la información de las organizaciones y/o personas tengan la certeza que su información más valiosa, la del eje de su negocio, se mantenga segura mediante la garantía de los tres piares básicos: confidencialidad, integridad y disponibilidad; asegurando así la continuidad del negocio. Esto se garantiza con sistemas internos de protección o mediante la contratación de empresas especializadas en telecomunicaciones. En este proyecto se pretende la realización de comparaciones de las diferentes herramientas de software de protección de información Seguridad informática, disponibles en el mercado y una herramienta de uso libre, la realización de una prueba piloto y recomendaciones de uso o no uso de la misma en la plataforma tecnológica de la empresa Telefónica - Telecom. Se plantea la posibilidad de la realización de una gestión centralizada de la infraestructura de seguridad por parte de la empresa. 16

18 Para la realización del proyecto se pretende el uso de herramientas de diversas disciplinas, de la manera más práctica, buscando optimizar sus aplicaciones, integrar sus propiedades, pero sobre todo demostrar que el buen uso y aprovechamiento de las herramientas ya existentes y sus beneficios técnicos y operacionales. 17

19 1. PLANTEAMIENTO DEL PROBLEMA 1.1 ANTECEDENTES Algo de Historia: La seguridad de la información es un tema que preocupa a todas las organizaciones, específicamente las que tienen que ver con sus procesos misionales. En el pasado, aún todavía en algunas empresas, la información se almacena en papel y el control del riesgo se orientaba hacia la gestión adecuada de los archivos físicos y las gestión documental dependía del trabajo eficiente de una buena secretaria. Poco a poco la empresas iniciaron procesos que les permitieran almacenar de forma masiva la información, inician con la microfilmación de archivos, proceso muy dispendioso y costoso que no dio los mejores resultados, aún algunas empresas conservan estos archivos fotográficos. Con la aparición de los computadores y posteriormente el escáner, algunas empresas decidieron digitalizar sus archivos pero el tipo de archivo consumía grandes cantidades de memoria de almacenamiento, por esta razón el proceso se suspendió. Posteriormente aparecen desarrollos muy locales y personalizados, que utilizan las tablas electrónicas incipientes y los archivos de procesador de palabra, que se almacenan en los discos duros de los computadores, pero sin ninguna integración. Luego llega el desarrollo de los Sistemas de Información y el máximo desarrollo de la Ingeniería de Sistemas que proponen a las empresas el manejo integrado de la información en línea y en tiempo real, se fundamenta la propuesta en el conocimiento detallado de los procesos empresariales y las relaciones que existen entre ellos, con esa base se desarrollan programas y paquetes informáticos que poco a poco van integrando la organización, haciéndola más eficiente. Esto implicó para las organizaciones integración en redes y los desarrollos han crecido hasta ahora de manera vertiginosa desde cableados estructurados, hasta redes inalámbricas, fibra óptica solo por nombrar algunos. Pero los volúmenes de información crecieron y las necesidades de almacenamiento de información lo hicieron de igual manera, se inician entonces desarrollos de hardware que buscan la optimización de los espacios de almacenamiento; aparecen las centrales de cómputo, con sus servidores, las copias, el almacenamiento externo de información, la nube y con todo esto nace la necesidad de dar seguridad a la información, puesto que se convierte en el activo más importante de la empresas, corresponde a su capital empresarial y a la diferenciación en el mercado que por ende optimiza la supervivencia y la continuidad del negocio. Nace entonces otra oportunidad de negocio, el negocio de proteger la información, es así como en el mercado aparecen empresas y productos que pretenden suplir esta necesidad y garantizar a las empresas que su información, el activo más valioso, esta cuidado, protegido y custodiado. Así pues muchas empresas a nivel nacional e internación debido al auge y el crecimiento de las redes informáticas empezaron a ofrecer este servicio, algunas de estas incluyendo las características específicas de su producto. 18

20 1.1.2 Oferta de empresas que ofrecen seguridad gestionada de redes. Verizon: Servicios de seguridad gestionados 1 : Un enfoque sofisticado para la seguridad gestionada, Nuevas tecnologías y prestaciones aumentan la agilidad y la eficiencia de una empresa. Pero también pueden aumentar la complejidad que conlleva mantener la confidencialidad, la integridad y la disponibilidad de las aplicaciones, dispositivos y demás recursos de la red empresarial. El riesgo reside en las operaciones mismas, en la existencia de vulnerabilidades y en la evolución de los ataques cibernéticos. Para reducir los riesgos de la empresa es vital contar con una plataforma de seguridad que le permita anticipar los problemas, tomar las medidas necesarias y conseguir resultados satisfactorios. El enfoque integral de este servicio se adelanta a las estrategias tradicionales para enfrentar desafíos tales como: o o o o o Irrupción de nuevas vulnerabilidades y métodos de ataque. Cambios en los requisitos empresariales. Gestión de varias plataformas. Multiplicación de los requisitos de conformidad. Falta de experiencia en temas de seguridad y de infraestructura. UNE Seguridad Gestionada 2 : Servicio administrado que protege de manera integral la información de nuestros clientes disminuyendo las probabilidades de sufrir incidentes de seguridad con el fin de preservar su integridad, confidencialidad y disponibilidad. o o o o o o o o Servicio integral completamente administrado. Detección temprana de incidentes de seguridad minimizando las interrupciones de servicio y el riesgo de pérdida de información. Disminución de brechas de seguridad en la red y minimización de pérdidas económicas. Control, optimización y eficiencias del ancho de banda mediante el establecimiento de políticas de protección para el tráfico entrante y saliente de la red privada. Múltiples servicios de seguridad con tecnologías de última generación. Monitoreo y gestión de la seguridad delegada en expertos. Servicios de asesoría y consultoría para una mejor administración del riesgo. Beneficios financieros al remplazar las inversiones en infraestructura por gastos operativos. Potosec Seguridad Gestionada 3 : Nuestros servicios de Seguridad Gestionada están basados en lo que se denomina "defense-in-depth" (defensa en profundidad), protegemos la infraestructura TI de manera global, desde las necesidades mas básicas de monitoreo de la seguridad de la información hasta la implantación de controles correctivos y preventivos. Todas estas soluciones se diseñan alrededor de unos componentes estándar como pueden ser: 1 Servicios de seguridad gestionados, Disponible en: Noviembre 12 del Seguridad gestionada, Disponible en: Noviembre 12 del Seguridad gestionada, Disponible en: Noviembre 12 del

21 o o o o o Gestión de la seguridad de redes y sistemas, Fortalecimiento de la red, los servidores y workstation, desde el mas básico antivirus hasta el mas complejo sistema de prevención de intrusos. Gestión de vulnerabilidades, es básico saber cuales son las vulnerabilidades de nuestra red y nuestros sistemas para poder defenderlos y proveer futuras debilidades. Monitoreo y gestión de dispositivos de seguridad, sistemas desarrollados para monitorear lo que está pasando realmente en los sistemas de seguridad implantados en la organización. Gestión de parches de seguridad, para mitigar vulnerabilidades tecnológicas de los sistemas y así cubrir uno de los aspectos más críticos de la seguridad. Gestión segura del correo electrónico, asegurando la confidencialidad en las comunicaciones así como el fastidioso SPAM. Ibermatica Seguridad gestionada 4 : El enfoque de la seguridad gestionada consiste en incorporar conceptos de instalación (incorporación de soluciones de seguridad, alta del servicio, configuraciones de inicio), administración (instalación de correcciones, mejoras, nuevos usuarios, reglas de acceso, etc.) y supervisión (análisis en tiempo real de alarmas y correlación de eventos de cada sistema), separadamente y en base a criterios de especialización. Todo ello, a partir de un enfoque integral y multidisciplinar de la seguridad; es decir, organizativo, tecnológico y en modalidad 24x7. Beneficios: o o o o o o o o o Mejora de la gestión de la seguridad. Consolidación de actividades de gestión, como servicio gestionable. Refuerzo de la fiabilidad de los sistemas y aumento de su disponibilidad. Reducción de los costes asociados a la gestión de la seguridad. Minimización de la complejidad de la gestión de la seguridad. Costes predecibles por el servicio, sin necesidad de invertir en sistemas. Economías de escala en recursos especializados. Garantías de seguridad y continuidad del negocio. Horario extendido, atención especializada. Telefónica Telecom Colombia, Servicio de Seguridad Gestionada: Permite confiar a un grupo de expertos la administración y gestión de los dispositivos de seguridad, garantizando así un estricto control en el tráfico de entrada y salida de la red; atención de indecencias y monitorización de la red y los equipos que la componen. Este servicio puede ser instalado en Centros de Datos con las condiciones óptimas de infraestructura y seguridad y/o en los domicilios escogidos por el cliente. Ventajas: o o o Permite un sistema de fácil administración, ya que se encuentra apoyado en un grupo de expertos capaz de detectar, atender y resolver cualquier incidente de seguridad, y gestionar cualquier cambio solicitado por el cliente. Conocimiento del funcionamiento de la red y equipos, con el envío periódico de informes y reportes con la actividad de Internet y la red interna, con detalles como las páginas visitadas, descargas de archivos y accesos no autorizados, entre otros. Evita a las empresas compradoras del servicio una inversión de capital por compra de equipos, licencias, etc. y entrenamiento de personal. 4 Servicios de seguridad gestionada, Disponible en: Noviembre 12 del

22 o Permite que las empresas compradoras del servicio se enfoquen y dediquen mayor tiempo y esfuerzo en su objeto de negocio. o Se garantiza un monitoreo de la red y sus componentes de forma permanente (7x24x365). Servicio de Seguridad de Telefónica Internacional : El grupo telefónica ha creado una estrategia de venta con la implementación de siete mercados verticales de servicios digitales que serán atendidos mundialmente, uno de ellos, es el servicio de seguridad (Vertical de Seguridad). Ofrece a través de un SOC (Centro de control de Operaciones de Seguridad Informática) un servicio de seguridad completo, desde donde se operan, monitorean y se prestan servicios y equipos de seguridad, minimizando el riesgo en las operaciones en tiempo real de cada uno de los clientes. Para lograr un excelente servicio comparten información entre los SOC alrededor del mundo, lo que permite mantener información actualizada y en tiempo real. Modelo para la prestación del servicio: Se tiene una jerarquía para la prestación del servicio de seguridad dividido en tres Niveles: 1. Service Desk: Es el primer nivel, se encarga del registro y control de incidencias y requerimientos (Interacción directa con los clientes). 2. Centro técnico de Seguridad: Este grupo se encarga de la solución básica de incidencias y requerimientos. 3. SOC: Grupo especializado de expertos (No tiene interacción directa con los clientes). Se puede realizar una división de los productos ofrecidos dentro del servicio de seguridad: 21

23 Ilustración 1. Gestión de infraestructura (Telefónica Internacional). Fuente: consolidación del equipo de trabajo 22

24 Funcionalidades del Servicio de Seguridad Vertical Telefónica Dentro de estos productos, la monitorización de la red y los equipos que la componen es uno de los servicios esenciales para garantizar la seguridad de los activos y la información: Ilustración 2. Monitorización de la seguridad (Vertical Telefónica). Fuente: consolidación del equipo de trabajo Producto Monitorización Como se puede observar, la seguridad gestionada es una nueva tendencia dentro de la externalización informática, y es fácilmente demostrable que corresponde a un servicio rentable y eficaz para cualquier organización. Así, permite el acceso a recursos y experiencia cualificada, y aporta disponibilidad y capacidad de reacción. En algunos casos, puede incluso plantearse, en interés mutuo, un traspaso de infraestructuras de seguridad entre el cliente y el proveedor. En cualquier caso, se requiere de una relación de confianza importante entre ambos, así como flexibilidad continua. La mayoría de organizaciones que delegan la monitorización y gestión de su seguridad perimetral, incrementarán su nivel de seguridad al mismo o menor coste que sus recursos internos. Por tanto, deberían focalizarse en gestionar los aspectos de arquitecturas y seguridad interna, externalizando las tareas de seguridad externa por medio de servicios de seguridad gestionada. 23

25 En definitiva, con la seguridad gestionada, garantizamos que siempre hay un grupo de expertos gestionando los equipos, monitoreando la red y evitándoles a los clientes la inversión continua. Cada vez son más los elementos a gestionar y monitorear, por ello una solución adecuada asegura al cliente que su plataforma se encuentra trabajando en condiciones óptimas; por ello es necesario que las empresas prestadoras de servicio cuenten con las herramientas necesarias para suplir dichas necesidades. En el caso puntual del servicio ofrecido por Telefónica, podemos concluir que a nivel nacional es necesario ajustar la infraestructura técnica para poder ofertar los servicios ya establecidos por la vertical de seguridad, para ello inicialmente es necesario realizar un análisis técnico y económico para validar que se necesita para poder ofertar estos nuevos servicios en el mercado nacional y si es productivo para la organización (Telefónica Telecom) invertir en ello Oferta de productos comerciales en materia de seguridad de redes gestionadas: Las herramientas de monitoreo se pueden clasificar según sus características por ejemplo, según protocolo utilizado, equipos monitoreados, características monitoreadas, en fin. En este caso se clasificarán las herramientas por características o funciones de monitorización: Herramientas para la monitorización de Equipos y características de IT: Applications Manager 5 : Es un software de disponibilidad y control del rendimiento que ayuda a las empresas a garantizar una alta disponibilidad y rendimiento para sus aplicaciones de negocio, garantizando la disponibilidad de los servidores y las aplicaciones. El rendimiento de las aplicaciones y la capacidad de gestión incluye la supervisión de servidores, monitoreo de aplicaciones, de bases de datos, de servicios web, maquinas virtuales entre otros que ayudarán a los administradores de TI gestionar sus recursos. Ilustración 3. Interfaz de Applications Manager. Fuente: 5 Applications Manager, Disponible en: Diciembre 17 del

26 Nagios: software de supervisión de red 6 Es el estándar de monitoreo de la infraestructura TI, lograr la conciencia inmediata de los problemas de infraestructura de TI, para que el tiempo de inactividad no afecte negativamente a su negocio, Nagios ofrece un seguimiento completo y de alerta para servidores, switches, aplicaciones y servicios. También permite controlar servicios, disponibilidad de servicios, tiempos de respuesta de un servicio y según los plugins que se le tengan cargados y/o configurados se pude incluso comprobar aspectos locales referidos por ejemplo a los procesos de las maquinas, la carga de la CPU, uso de la memoria entre otros. Ilustración 4. Interfaz web de Nagios Fuente: Herramientas para la monitorización de Equipos y características de RED: OpManager 7 : Es un completo software de monitoreo de red, ofrece funciones avanzadas gestión de fallos y funcionalidad a través de recursos críticos de TI, tales como routers, enlaces WAN, switches, cortafuegos, caminos de llamadas VoIP, servidores físicos, servidores virtuales, los controladores de dominio y otros dispositivos informáticos de infraestructura. Además el software de monitorización de red, combina una interfaz fácil de usar que le permite desplegar rápidamente el producto en un entorno de producción. Ilustración 5. Interfaz de OpManager Fuente: 6 Perfil técnico, Disponible en: agios.org/&usg=alkjrhhoajpbtmvijbzm_xi-rnkujadaig, Noviembre 12 del OpManager, Disponible en: Diciembre 16 del

27 Ntop: Básicamente da estadísticas de los protocolos que está utilizando cada máquina de la red, el ancho de banda que está consumiendo con cada uno de esos protocolos, las cesiones TCP Y UDP que tienen establecidas entre las maquinas, también ofrece información de inventario por ejemplo, sistema operativo y dirección física si acaso lo detecta, esta herramienta funciona en modo de sniffer, y es una de las mejoras a la hora de hacer monitorización. Fprobe: Es un Sniffer que al mismo tiempo es un generador de flujos (flows). Funciona analizando tráfico y en base a ese análisis genera flujos, estos flujos dan estadísticas del uso que se está haciendo de la red hasta el nivel 3, protocolos que se está utilizando, cesiones TCP y UDP que están activas e incluso anchos de banda. Nfsen: Es una interfaz gráfica y es también un colector de flujos, por esto se complementa muy bien con Fprobe. Utiliza los flujos para generar de forma gráfica este tipo de estadísticas que se pueden obtener con Fprobe. Cactus - Software de supervisión de red 8 : (Cacti) utiliza RRDtool para la solución de gráficos de red. Utilizando Cactus (Cacti) puede supervisar y graficar - carga de la CPU, la utilización de ancho de banda de red, monitor de tráfico de la red, etc., Cactus también es compatible con la arquitectura plugo-in. Algunos administradores como la característica de gráficos poderoso proporcionada por cactus, que utilizan tanto Nagios y Cactus (Cacti) en su entorno como las herramientas de monitoreo de red. Ilustración 6. The Complete RRDtool basado en la solución gráfica Fuente: slate.google.com.co&u= ALkJrhjVreWzSwKIKL1W4AnMnvz3qXqZxg 8 Acerca de cactus, Disponible en: acti.net/&usg=alkjrhi5yzxn7etcld644e0viohyyvemvg, Noviembre 14 del

28 Herramientas para la monitorización eventos de Seguridad: Pof: Es un Sniffer, que hace toma de huellas dactilares (Fingerprinting) de sistemas operativos, básicamente analiza las cabeceras de los paquetes buscando patrones que correspondan a determinados sistemas operativos, Pof es capaz de identificar de forma pasiva sistemas operativos (Windows, Unix, Mac OS X, etc.) según los campos o huellas que van dejando a la hora de generar sus paquetes. Arpwhatch: Es un Sniffer de nivel 2 que permite básicamente hacer un inventario de las direcciones MAC de manera que con esta herramienta se pueden detectar casi cualquier ataque a nivel 2 (ARP Spoofing o ARP Poisoning), de modo que cuando IP asociada a una dirección física o a una MAC cambia, esta herramienta genera un registro especificando el cambio que se detectó. Kismet: Tiene la capacidad de hacer Sniffing Wireless y también permite detectar puntos de acceso falsos. Ossec: Funciona como host basado en el sistema de detección de intrusos (host-based intrusion detection system - IDS) que permite controlar procesos locales, integridad de ficheros, detectar Troyanos y Rootkits. Ossec funciona a nivel local y requiere instalar un agente local en las maquinas que se están analizando. Snort: Es el sistema de detección de intrusos o IDS (intrusion detection system) de red que se basa en la detección de patrones, es decir, analiza el tráfico de red detectando patrones que puedan corresponder a un determinado ataque de un determinado gusano, de negación de servicio, shellcodes, etc. Pads: Es un Sniffer que hace toma de huellas dactilares (Fingerprinting) a nivel 7, es decir, es capaz de identificar las huellas que dejan las aplicaciones de red cuando generan un determinado paquete. Pads al igual que Arpwatch, Snort, Pof y Kismet, funciona de forma pasiva es decir que no influyen en el rendimiento que puede tener la red. Nmap 9 : Es uno de los escáner de puestos más utilizados en el mundo. Puede ser utilizada para realizar auditorías de seguridad en una red, pero también puede ser utilizada para fines delictivos, ya que esta herramienta pone al descubierto, puertos abiertos en las computadoras de una red, así como también es posible conocer cómo se encuentra organizada, y de cuantas computadoras consta una red. Nessus: es un escáner de vulnerabilidades muy famoso, además de los puertos también tiene su base de datos de ataque o Exploits utilizados para hacer provecho de vulnerabilidades ya publicadas y conocidas. Nessus diariamente publica plugins para explotar las vulnerabilidades basadas en nuevas amenazas, por esto es necesario actualizar constantemente esta herramienta. OpenVas: como Nessus a partir de la versión 3 cerro su código entonces se creó OpenVas. Esta herramienta utiliza el mismo sistema de plugins de Pruebas de vulnerabilidad Nessus (del ingles Nessus Vulnerability test - MVT) para detectar equipos vulnerables. OSVDB: base de datos de vulnerabilidades de código abierto (del inglés Open Source Vulnerability DataBase), esta base de datos se actualiza diariamente con todas las 9 Introducción a Nmap, Disponible en: Noviembre 14 del

29 amenazas que se van descubriendo y describe de cada una de ellas en que consiste la vulnerabilidad, como se puede solucionar, a que servicios afecta, etc Herramientas para generación de informes y visualización de vulnerabilidades: Firewall Analyzer: 10 es una herramienta basada en web para la gestión del cambio, el análisis de la configuración, auditoría de seguridad de los dispositivos de firewall, control de ancho de banda y la presentación de informes de seguridad. La aplicación de software de análisis de los dispositivos de firewall configuraciones, gestiona los cambios de configuración y auditorías de seguridad de los dispositivos. Se recoge, analiza, y los registros de archivos de red perimetral dispositivos de seguridad y genera informes. Los dispositivos son, firewalls, servidores proxy, Intrusion Detection System (IDS) / sistema de prevención de intrusiones (IPS), y redes privadas virtuales (VPN) (véase la lista completa de dispositivos compatibles ). Las características más destacadas de la aplicación son la gestión de firewall del dispositivo, el control de ancho de banda y los informes de seguridad. Ilustración 7. Interfaz de Firewall Analyzer Fuente: FortiAnalyzer 11 : Los sistemas de la familia FortiAnalyzer de red en tiempo real el registro, análisis y presentación de informes son una serie de aparatos que funcionan exclusivamente de hardware de red que con seguridad usa datos agregados de registro de los dispositivos de Fortinet y dispositivos de terceros. Una amplia gama de tipos de registro pueden ser archivados, se filtra, y minado por el cumplimiento o fines de análisis de históricos. Un completo conjunto de informes estándar de gráficos están incorporados al sistema, que también ofrece la flexibilidad de personalizar los informes a las necesidades específicas. Soluciones FortiAnalyzer también proporcionan funciones avanzadas de 10 Firewall Analyzer. Disponible en: diciembre 16 del FortiAnalyzer -1000B.Disponible en: Diciembre 16 del

30 gestión de la seguridad, tales como: archivo de cuarentena, la correlación de eventos, la vulnerabilidad. Ejemplos: FortiAnalyzer -400B y el FortiAnalyzer -1000B, que aparte de las diferencias en las características y capacidades del sus respectivos hardwares, en la parte operativa solo se diferencian en que mientras el FortiAnalizer 400B hace una estrecha integración para maximizar el rendimiento y permite que los recursos FortiAnalyzer sean gestionados desde Fortigate o FortiManager interfaces de usuario. El FortiAnalyzer -1000B hace una plena integración. Ilustración 8. FortiAnalyzer 400B Fuente: Ilustración 9. FortiAnalyzer -1000B Fuente: Herramientas que permiten realizar correlación de eventos: SolarWinds 12 : Potente rendimiento de la red monitoreo Software diseñado por los profesionales de TI. o o o Ofrece detallado monitoreo y análisis de los datos de rendimiento de enrutadores, switches, servidores y otros dispositivos SNMP habilitado Descubre los dispositivos de red y muestra las estadísticas de rendimiento en tiempo real a través de mapas de red dinámica Incluye paneles fuera de cuadro, alertas, informes, umbrales mejores prácticas y más Fácil de usar, rendimiento de la red, software que proporciona la información esencial que necesita para hacer su trabajo de supervisión. 12 SolarWinds,. Disponible en: enero 31 del

31 Monitor de rendimiento de red de SolarWinds permite detectar, diagnosticar y resolver problemas de rendimiento de red y las interrupciones rápidamente, antes de que usted comienza a recibir llamadas preguntando si la red está caída. Y MNP SolarWinds es el producto más fácil de su clase para implementar, utilizar y mantener. AlienVault. 13 : Es una herramienta de monitoreo de redes informáticas que se integra en una infraestructura común: o o o Sensores: Dispositivo, configurado para inspeccionar el tráfico cursante en la red y que está en la capacidad de detectar y monitorear actividades no autorizadas. Logger ó bases de datos: Permite almacenar los eventos detectados por el sensor y se utilizan en el SIEM para desarrollar por el administrador políticas de correlación de eventos. SIEM: Dispositivo que cuenta con una interfaz gráfica que permite administrar las políticas de correlación de eventos, valoración y métricas de riesgos, y visualizar la información del monitoreo de la red en tiempo real. Toda esta infraestructura integrada permite tener información segundo a segundo de lo que sucede a través de toda la red monitoreada y puede realizar una mejor administración de los dispositivos que la componen (Routers, switches, servidores, modeladores de tráfico, balanceadores de carga, IPS/IDS, y conectividad). Porqué utilizar AlienVault? 14 Esta es una herramienta que ha sido diseñada para realizar todas las tareas y otras adicionales que realizan otras herramientas de monitoreo (Application Manager, Nagios, Firewall Analyzer, FortiAnalyzer, Cisco MARS, OpManager), adicionalmente está basada en software libre lo que permite una administración más flexible. Sus funcionalidades además de realizar un monitoreo del estado de los dispositivos (CPU, Memoria, Sesiones concurrentes y Disponibilidad de interfaces), permite realizar correlación de eventos, escaneo de vulnerabilidades en la red, realizar métricas y valoraciones de riesgos entre otras. Lo que se desea demostrar es que además de la funcionalidad del AlienVault, se puede obtener una reducción de gastos operativos. Porque? Porque cuando manejamos más de una herramienta, tenemos que pagar a sus casas desarrolladoras por cada licencia es decir: Application Manager, Firewall Analyzer, FortiAnalyzer, Cisco MARS, OpManager, lo que indica el pago de alrededor de 5 licencias de funcionamiento, con el AlienVault integramos la funcionalidad de todas las herramientas mencionadas anteriormente y sólo se hace necesario el pago de una licencia. 13 AlienVault. Disponible en: Noviembre 15 del Ibíd. 30

32 1.2 DESCRIPCIÓN Y FORMULACIÓN DEL PROBLEMA Las empresas proveedoras de servicios de telecomunicaciones buscan principalmente responder la demanda de los clientes de manera integral en materia de manejo de información y de comunicaciones. Puntualmente con los temas de seguridad gestionada, lo que se busca es proveer un servicio de seguridad integrada desde las redes, aplicaciones y servicios, teniendo en cuenta la seguridad física y de los activos de la empresa; asegurando así que la infraestructura de sus clientes sea lo más confiable y segura. Para ello es necesario integrar tecnologías para aprovisionar estos servicios y gestionar sus recursos, contar con personal y herramientas especializadas que permitan la conservación de la infraestructura de los dispositivos de seguridad, los activos informáticos y el control o mitigación de riesgos y vulnerabilidades. El monitoreo del estado de la red se convierte en una necesidad para todos las empresas, ya que garantiza que los procesos de la empresa se mantengan estables, protegiendo la información vital para el desarrollo de las actividades propias del negocio, información como bases de datos, cuentas de nómina y planes estratégicos de la misma, por ello se torna importante centralizar la gestión y control de los dispositivos necesarios para proteger dichos activos y contar con personal capacitado para la administración de los mismos. Dentro del proceso de monitoreo se encuentra el uso de gran cantidad de herramientas, por lo general una herramienta diferente por cada uno de los proveedores de infraestructura de red, lo que genera un aumento en los costos operacionales y presenta inconvenientes y demoras en el diagnóstico y solución de incidentes. La pregunta que se plantea es la siguiente: Existen herramientas disponibles en el mercado que brinden beneficios técnicos, operacionales y económicos a las compañías a menores costos y con igual e incluso mayor efectividad técnica y funcional, que permitan la monitorización y correlación de eventos de la infraestructura de seguridad, como solución para la gestión de nuevos servicios de seguridad gestionada? 1.3 JUSTIFICACIÓN La evolución de la tecnología, puntualmente de las telecomunicaciones, así con el masivo uso de internet y las redes de comunicaciones alrededor del mundo, hacen que las empresas sean más vulnerables y estén expuestas a diferentes amenazas (denegación de servicio, intrusión en la red, suplantación de identidad, entre otros) que pone en riesgo sus activos informáticos, por ello la adecuada protección de los bienes de información ha dejado de ser un requisito operativo o tecnológico para convertirse en una necesidad y una garantía para la continuidad del negocio. Considerando la importancia que representa la información para las empresas que manejan activos informáticos, estas se ven en la necesidad de priorizar los recursos invertidos en un servicio de monitoreo y gestión de seguridad informática, delegando la gestión de dispositivos de seguridad, diagnóstico y atención de incidentes (preventivo y reactivo) de su organización en un equipo experto, quienes serán los encargados de optimizar los recursos para mitigar los riesgos existentes. Las empresas expertas en la prestación de servicios de seguridad gestionada, además de buscar la calidad de sus servicios deben de trabajar en aumentar su retorno económico disminuyendo los 31

33 costos de operación y capitalización. De esta forma, el centralizar la gestión y monitoreo en una sola herramienta que represente reducción en estos costos, además de un beneficio a nivel operativo, disminuyendo los tiempos de respuesta ante posibles incidentes, evitando penalizaciones establecidas en los acuerdos de nivel de servicio. En este proyecto se plantea la evaluación comparativa de las herramientas actuales que maneja la empresa Telefónica - Telecom y otras alternativa existentes, que permiten realizar una gestión centralizada, correlación de eventos y generación de reportes; dentro de la plataforma tecnológica de un Data Center que contribuya a disminuir el tiempo de diagnóstico, atención y solución de incidentes. 1.4 OBJETIVOS DE LA INVESTIGACIÓN Objetivo General: Implementar la herramienta de monitoreo AlienVault en la plataforma tecnológica del Datacenter de Telefónica Telecom y realizar pruebas para poder determinar su eficiencia técnica, económica y funcional Objetivos Específicos. Analizar el funcionamiento del monitoreo actual de la plataforma tecnológica de Telefónica Telecom con la herramienta o herramientas actuales. Integrar el software y hardware de la herramienta de monitoreo AlienVault a la plataforma tecnológica de Telefónica Telecom. Integrar un instrumento de captura de la información y resultados de la prueba piloto. Consolidar los resultados de la evaluación técnica y funcional de la prueba piloto. Diseñar la herramienta de evaluación económica de los resultados de la prueba piloto comparados con las herramientas existentes. Realizar la evaluación económica. Efectuar conclusiones y recomendaciones, si fura pertinente de uso de la herramientas. Proponer un plan de implementación de la herramienta si fuera positiva la evaluación. 32

34 1.5 ALCANCES Y LIMITACIONES DEL PROYECTO El Análisis y las comparaciones de las herramientas de monitoreo actual de la plataforma tecnológica de Telefónica - Telecom y otras alternativa existentes se hará en cuanto a la eficiencia en la operación. Se realizarán pruebas e implementación de la herramienta AlienVault. La integración del piloto se realizará sobre la infraestructura disponible en el Data Center de Telefónica Telecom. El proyecto finaliza con el diseño de un plan de implementación si el resultado fuera positivo, para la integración de la herramienta de monitoreo final dentro de la infraestructura del Data Center de Telefónica Telecom. Así mismo, se entregará la evaluación de la relación económica que representaría la implementación de la herramienta final. El documento escrito que se entregará al cumplir el objetivo tendrá una descripción de la instalación y el respectivo análisis (Incluye una evaluación técnica), sin embargo por políticas de seguridad de la información de Telefónica Telecom habrán datos técnicos que no se podrán entregar en el documento final. La realización del proyecto contará con el apoyo de ingenieros del área de seguridad y redes de Telefónica Telecom, sin embargo cabe aclarar que no existe ningún convenio establecido para dicho apoyo. 33

35 2. MARCO REFERENCIAL 2.1 MARCO TEÓRICO - CONCEPTUAL A continuación se describen los elementos fundamentales para el desarrollo del proyecto: Los riesgos informáticos 15 : Se refieren a la posibilidad que tiene toda empresa de perder la información del eje de su negocio y la importancia de contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático. Los sistemas de información computarizados son vulnerables a una diversidad de amenazas y atentados por parte de: Personas tanto internas como externas de la organización. Desastres naturales. Por servicios, suministros y trabajos no confiables e imperfectos. Por la incompetencia y las deficiencias cotidianas. Por el abuso en el manejo de los sistemas informáticos. Por el desastre a causa de intromisión, robo, fraude, sabotaje o interrupción de las actividades de cómputos Riesgo informáticos más significativos y su impacto en la empresa. 16 Según un estudio del IT Governance Institute los riesgos informáticos más significativos dado su impacto negativo en la operación y la productividad de la empresa son en su orden: Riesgo de acceso o seguridad (87%). Riesgo de disponibilidad (85%). Riesgo de infraestructura (81%). Riesgo de integridad (81%). Riesgo de proyectos de TI (72%). Riesgo de inversión o costo (71%). 15 Riesgos informáticos, Disponible en: Noviembre 14 del IT Governance Institute, Riesgos informaticos, Disponible en: Center/Research/Documents/ITGI-Global-Status-Report-2006.pdf. Noviembre 15 del

36 Así mimos dicho impacto se evidencia principalmente en: Pérdida de rentabilidad del negocio (34%). Pérdidas financieras (18%). Falta de capacidad para alcanzar los objetivos de negocio (18%). Pérdida de reputación (17%). Desventaja competitiva (8%). Problemas con los reguladores (2%) La gestión de los riesgos 17 : El principal objetivo de la administración de riesgos, como primera ley de la naturaleza, es garantizar la supervivencia de la organización, minimizando los costos asociados con los riesgos. Muchos de los defectos en la administración de riesgos radican en la ausencia de objetivos claros. La administración de riesgos es una aproximación científica del comportamiento de los riesgos, anticipando posibles pérdidas accidentales con el diseño e implementación de procedimientos que minimicen la ocurrencia de pérdidas o el impacto financiero de las pérdidas que puedan ocurrir Ataques a la red. 18 Se clasifican por generaciones: Primera generación: ataques físicos. Encontramos aquí ataques que se centran en componentes electrónicos, como podrían ser los propios ordenadores, los cables o los dispositivos de red. Actualmente se conocen soluciones para estos ataques, utilizando protocolos distribuidos y de redundancia para conseguir una tolerancia a fallos aceptable. Segunda generación: ataques sintácticos. Se trata de ataques contra la lógica operativa de los ordenadores y las redes, que quieren explotar vulnerabilidades existentes en el software, algoritmos de cifrado y en protocolos. Aunque no existen soluciones globales para contrarrestar de forma eficiente estos ataques, podemos encontrar soluciones cada vez más eficaces. Tercera generación: ataques semánticos. Finalmente, podemos hablar de aquellos ataques que se aprovechan de la confianza de los usuarios en la información. Este tipo de ataques pueden ir desde la colocación de información falsa en boletines informativos y correos electrónicos hasta la modificación del contenido de los datos en servicios de confianza, como, por ejemplo, la manipulación de bases de datos con información pública, sistemas de información bursátil, sistemas de control de tráfico aéreo, etc. 17 Identificacion y administracion de riesgos, Disponible en: Noviembre 15 del ATAQUES CONTRA REDES TCP/IP, pag. 10, Disponible en: Noviembre 15 del

37 2.1.5 Seguridad de la información 19 : Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas. Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros Red informática 20 : Una red es un sistema donde los elementos que lo componen (por lo general ordenadores) son autónomos y están conectados entre sí por medios físicos y/o lógicos y que pueden comunicarse para compartir recursos. Independientemente a esto, definir el concepto de red implica diferenciar entre el concepto de red física y red de comunicación Gestión de redes 21 : Consiste en monitorizar y controlar los recursos de una red con el fin de evitar que esta llegue a funcionar incorrectamente degradando sus prestaciones. La conforman los siguientes elementos: Gestor (Estación de gestión). Agente (Sistemas gestionados). Se trata de software que responde a solicitudes de información del gestor y que proporciona información no solicitada pero de vital importancia. MIB (Base de información de gestión del inglés Management Information Base). Objetos Variable que representa el aspecto de un agente. Protocolo Manera de hacerlo Pilares de la Seguridad Informática 22 : Integridad: Garantizar que la información no ha sido borrada, copiada o alterada. 19 SEGURIDAD INFORMÁTICA, Disponible en: Noviembre 15 del LAS REDES INFORMATICAS, Disponible en: Noviembre 15 del Ibíd. 22 SEGURIDAD INFORMÁTICA PILARES BÁSICOS, Disponible en: d=5&sqi=2&ved=0cdsqfjae&url=http%3a%2f%2ffiles.uladech.edu.pe%2fdocente%2f %2fs_i_03x.ppt&ei=kh bwttnvfmrvggfe_6cmaq&usg=afqjcnfgf74zhknnyjfl2s9mq_or05vs_g, Noviembre 15 del

38 Confidencialidad: La información únicamente puede ser accedida por las personas que tengan autorización, se pueden manejar diferentes perfiles de lectura y escritura para garantizar la integridad de la información. Disponibilidad: La información debe estar disponible siempre que se necesite, métodos para la precaución contra posibles daños tanto en la información como en el acceso a la misma. Estos tres pilares nos llevan a un cuarto punto que debe ser tenido en cuenta si se quieren garantizar el cumplimiento de los mismos: No repudio: Saber exactamente quien, y cuando modificó o elimino la información Importancia del monitoreo de la red 23 : El monitoreo del estado de la red se convierte en una necesidad para todos las empresas, ya que garantiza que los procesos de la empresa se mantengan estables, protegiendo la información vital para el desarrollo de las actividades propias del negocio, información como bases de datos, cuentas de nómina y planes estratégicos de la misma, por ello se torna importante centralizar la gestión y control de los dispositivos necesarios para proteger dichos activos y contar con personal capacitado para la administración de los mismos. Adicionalmente dentro de este proceso de monitoreo se destaca la importancia de la pro actividad, es decir el hecho de que un grupo experto este monitoreando los equipos y la red de forma permanente garantizando la continuidad de negocio, al reportar, y solucionar las posibles fallas e incidentes para los clientes e incluso para la red interna. Dentro del proceso de monitoreo se encuentra el uso de gran cantidad de herramientas, por lo general una herramienta diferente por cada uno de los proveedores de infraestructura de red, lo que genera un aumento en los costos operacionales y presenta inconvenientes y demoras en el diagnóstico y solución de incidentes Funcionalidades Importantes de las herramientas de Monitoreo 24 : Control y registro de los valores de utilización de CPU y memoria: Que permite realizar una mejor administración de los dispositivos electrónicos. Control de las Interfaces de los equipos: Permite visualizar cuando un equipo fue desconectado y/o apagado, lo que permite a su vez tomar medidas reactivas para evitar indisponibilidad de servicio. Monitoreo de PING a los equipos: Se envía cada cierto tiempo un ping a los equipos monitoreados, lo que nos permite saber si el ping no responde que el equipo se apagó o existen problemas en el canal de comunicación. 23 Ibíd. 24 HERRAMIENTAS DE ADMINISTRACION Y MONITOREO DE REDES, Disponible en: itoreo&source=web&cd=3&sqi=2&ved=0cfiqfjac&url=http%3a%2f%2fblogs.fruxant.com%2fsebas%2fciapem%2fmon ITOREOYADMINISTRACION.ppt&ei=JxfWTqOgJobWgQed04zGAQ&usg=AFQjCNETOFy_XNO8XSayG82kB4GaMnBmHQ Noviembre 15 del

39 Escaneo de vulnerabilidades: Permite conocer el grado de debilidad inherente a cada red y cada dispositivo. Esto incluye routers, switches, equipos de escritorio, servidores e, incluso, dispositivos de seguridad. Correlación de eventos: Se refiere a interpretar múltiples eventos como uno sólo, es decir cada evento no autorizado o de impacto en la red y sus dispositivos (consumo alto de CPU, Memoria, Desconexión de interfaces) se va almacenando en una base de datos, luego de tener gran cantidad de eventos recolectados, se puede realizar una análisis de las causas que han llevado a un evento desafortunado (Denegación de servicio, ingreso a la red y su información, virus, etc.), y cuáles de estos eventos han influido en el evento de impacto, pudiendo crear y programar un algoritmo de correlación de eventos que en un futuro, cuando se presenten los mismos eventos, esté nos indique que un posible impacto en la red está por suceder. Métricas y valoración de riesgos: Como ya se tiene una Base de Datos de los eventos que nos conducen a un riesgo, podemos categorizar y medir los riesgos en función a los servicios prestados, los riesgos se miden como críticos, altos, medios y bajos Protocolos mas utilizados para el monitoreo de la red: Protocolo de Mensajes de Control de Internet o ICMP (del inglés Internet Control Message Protocol) 25 : es el sub protocolo de control y notificación de errores del Protocolo de Internet (IP). Como tal, se usa para enviar mensajes de error, indicando por ejemplo que un servicio determinado no está disponible o que un router o host no puede ser localizado. ICMP difiere del propósito de TCP y UDP ya que generalmente no se utiliza directamente por las aplicaciones de usuario en la red. Los mensajes ICMP se suelen enviar automáticamente en una de las siguientes situaciones: 1. Un datagrama IP no puede llegar a su destino. 2. Un enrutador IP (puerta de enlace) no puede reenviar datagramas a la velocidad actual de transmisión. 3. Un enrutador IP redirige el host que realiza el envío para que utilice una ruta mejor para llegar al destino. Mensajes: Los mensajes ICMP están encapsulados y se envían dentro de datagramas IP, como se muestra en la siguiente ilustración. 25 Protocolo de mensajes de control de Internet (ICMP, Internet Control Message Protocol). Disponible en: Diciembre 15 del

40 Ilustración 10. Formato del mensaje Fuente: En el encabezado ICMP se identifican diferentes tipos de mensajes ICMP. Como los mensajes ICMP se transmiten en datagramas IP, no son confiables. En la siguiente Ilustración se enumeran y se describen los mensajes ICMP más comunes. Ilustración 11. Mensajes más comunes Mensaje ICMP Solicitud de eco Respuesta de eco Destino inaccesible Paquete de control de flujo Redirección Tiempo agotado Descripción Determina si está disponible un nodo IP (un host o un enrutador) en la red. Responde a una solicitud de eco ICMP. Informa al host de que no es posible entregar un datagrama. Informa al host de que disminuya la velocidad a la que envía los datagramas porque hay congestión. Informa al host de la existencia de una ruta preferida. Indica que ha caducado el tiempo de vida (TTL) de un datagrama IP. Fuente: Puede utilizar el comando ping para enviar mensajes de solicitud de eco ICMP y registrar la recepción de mensajes de respuesta de eco ICMP. Con estos mensajes, puede detectar errores de comunicación de los hosts y la red, así como solucionar problemas de conectividad TCP/IP comunes. Ilustración 12. Ejemplo de envío y recepción de un ping Fuente: 39

41 Protocolo Simple de Administración de Red o SNMP (del inglés Simple Network Management Protocol) 26 : es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Es parte de la familia de protocolos TCP/IP. SNMP permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento. Una red administrada a través de SNMP consiste de tres componentes claves: dispositivos administrados, agentes y sistemas administradores de red (Network Management Systems, NMS s). Los dispositivos administrados son supervisados y controlados usando cuatro comandos SNMP básicos: lectura, escritura, notificación y operaciones transversales. 1. El comando de lectura: es usado por un NMS para supervisar elementos de red. El NMS examina diferentes variables que son mantenidas por los dispositivos administrados. 2. El comando de escritura: es usado por un NMS para controlar elementos de red. El NMS cambia los valores de las variables almacenadas dentro de los dispositivos administrados. 3. El comando de notificación: es usado por los dispositivos administrados para reportar eventos en forma asíncrona a un NMS. Cuando cierto tipo de evento ocurre, un dispositivo administrado envía una notificación al NMS. 4. Las operaciones transversales: son usadas por el NMS para determinar qué variables soporta un dispositivo administrado y para recoger secuencialmente información en tablas de variables, como por ejemplo, una tabla de rutas. Paquetes: Los paquetes utilizados para enviar consultas y respuestas SNMP poseen el siguiente formato: Ilustración 13. Formato de los paquetes Versión Comunidad SNMP PDU Fuente: Versión: Número de versión de protocolo que se está utilizando (por ejemplo 1 para SNMPv1); Comunidad: Nombre o palabra clave que se usa para la autenticación. Generalmente existe una comunidad de lectura llamada "public" y una comunidad de escritura llamada "private"; 26 SNMP. Un protocolo simple de gestión, disponible en: Diciembre 15 del

42 SNMP PDU: Contenido de la unidad de datos del protocolo, el que depende de la operación que se ejecute. Mensajes: SNMP utiliza cinco mensajes básicos (Get, Get Next, Get Response, Set y Trap) para la comunicación entre el gestor y el agente. Los mensajes Get y Get Next permiten al administrador solicitar información a una variable específica. El agente, al recibir un mensaje Get o Get Next, emitirá un mensaje Get Response al administrador, ya sea con la información solicitada o una indicación de error en cuanto a porqué la petición no puede ser procesada. Un mensaje Set permite al administrador solicitar realizar un cambio en el valor de una variable específica en el caso de una alarma remota que operará un relé. Luego, el agente responderá con un mensaje Get Response que indica que el cambio se ha hecho o una indicación de error en cuanto a por qué el cambio no se puede hacer. El mensaje Trap permite que el agente informe de manera espontánea al administrador la detección de una condición predeterminada, como es la conexión/desconexión de una estación o una alarma. Como puede ver, la mayoría de los mensajes (Get, Get Next, y Set) sólo se emiten por el administrador SNMP. Debido a que el mensaje de alerta es el único mensaje capaz de ser iniciada por un agente, éste es el mensaje utilizado por las Unidades de DPS de Telemetría Remota (RTU) para reportar alarmas. Esto notifica al administrador SNMP, tan pronto como se produce una alarma, en lugar de esperar a que el administrador SNMP pregunte. Los mensajes Get Request, Get Next Request, Set Request y Get Response utilizan la siguiente estructura en el campo SNMP PDU: Ilustración 14. Estructura de los mensajes Tipo Identificador Estado de error Índice de error Enlazado de variables Fuente: Identificador: Es un número utilizado por el NMS y el agente para enviar solicitudes y respuesta diferentes en forma simultánea; Estado e índice de error: Sólo se usan en los mensajes GetResponse (en las consultas siempre se utiliza cero). El campo "índice de error" sólo se usa cuando "estado de error" es distinto de 0 y posee el objetivo de proporcionar información adicional sobre la causa del problema. El campo "estado de error" puede tener los siguientes valores: 0: No hay error; 1: Demasiado grande; 41

43 2: No existe esa variable; 3: Valor incorrecto; 4: El valor es de solo lectura; 5: Error genérico. Enlazado de variables: Es una serie de nombres de variables con sus valores correspondientes (codificados en ASN.1). Syslog 27 : OS-integrated logging: es un protocolo que permite a una máquina enviar mensajes de notificación de sucesos a través de redes IP a coleccionistas de mensaje de evento - también conocido como servidores Syslog o Syslog Daemons. En otras palabras, una máquina o un dispositivo puede configurarse de tal manera que genera un mensaje Syslog y lo reenvía a un servidor Syslog (Syslog Daemon) especifico. Aunque syslog tiene algunos problemas de seguridad, su sencillez ha hecho que muchos dispositivos lo implementen, tanto para enviar como para recibir. Eso hace posible integrar mensajes de varios tipos de sistemas en un solo repositorio central. Usos: o Es útil registrar, por ejemplo: o Un intento de acceso con contraseña equivocada o Un acceso correcto al sistema o Anomalías: variaciones en el funcionamiento normal del sistema o Alertas cuando ocurre alguna condición especial o Información sobre las actividades del sistema operativo o Errores del hardware o el software También es posible registrar el funcionamiento normal de los programas; por ejemplo, guardar cada acceso que se hace a un servidor web, aunque esto suele estar separado del resto de alertas. Estructura del mensaje El mensaje enviado se compone de tres campos: o o o Prioridad Cabecera Texto Entre todos no han de sumar más de 1024 bytes, pero no hay longitud mínima. Prioridad 27 Introduction to Syslog Protocol. Disponible en: enero 26 del

44 Es un número de 8 bits que indica tanto el recurso (tipo de aparato que ha generado el mensaje) como la severidad (importancia del mensaje), números de 5 y 3 bits respectivamente. Los códigos de recurso y severidad los decide libremente la aplicación, pero se suele seguir una convención para que clientes y servidores se entiendan. Cabecera El segundo campo de un mensaje syslog, la cabecera, indica tanto el tiempo como el nombre del ordenador que emite el mensaje. Esto se escribe en codificación ASCII (7 bits), por tanto es texto legible. El primer campo, tiempo, se escribe en formato Mmm dd hh:mm:ss, donde Mmm son las iniciales del nombre del mes en inglés, dd, es el día del mes, y el resto es la hora. No se indica el año. Justo después viene el nombre de ordenador (hostname), o la dirección IP si no se conoce el nombre. No puede contener espacios, ya que este campo acaba cuando se encuentra el siguiente espacio. Texto Lo que queda de paquete syslog al llenar la prioridad y la cabecera es el propio texto del mensaje. Éste incluirá información sobre el proceso que ha generado el aviso, normalmente al principio (en los primeros 32 caracteres) y acabado por un carácter no alfanumérico (como un espacio, ":" o "["). Después, viene el contenido real del mensaje, sin ningún carácter especial para marcar el final. 43

45 2.2 MARCO NORMATIVO A continuación se enumeran y explican las normas que aplican al tema de seguridad informática y de la información: La norma UNE-EN ISO 9001: Sistemas de gestión de la calidad, Noviembre del Adoptada para la prestación de servicios de seguridad gestionada, consultoría y auditoría, integración de sistemas y diseño y ejecución de planes de formación, en el área de Seguridad de la Información. Esta norma es la versión oficial en español de la norma Europea EN ISO 9001:2008 que a su vez adopta la norma internacional ISO 9001:2008. ISO/IEC es un conjunto de estándares desarrollados o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información que se puede utilizar por cualquier tipo de organización, pública o privada, grande o pequeña. En este apartado se resumen las distintas normas que componen esta serie y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001: 29 Estándar internacional ISO/IEC , Tecnología de la información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos, Primera edición , Numero de referencia ISO/IEC 27001:2005. Contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS :2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros países donde también está publicada en español son, por ejemplo, Colombia Venezuela y Argentina. Estándar internacional ISO 27002:2005 (anterior ISO/IEC 17799:2005) 31 Tecnología de la Información Técnicas de seguridad Código para la práctica de la gestión de la seguridad de la información, Segunda Edición Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita). 28 Disponible en: Noviembre 15 del Disponible en: Noviembre 16 del Disponible en: Noviembre 16 del Disponible en: Noviembre 16 del

46 Estándar internacional ISO/IEC , Information technology - Security techniques - Information security management system implementation guidance, Primera edicion En fase de desarrollo. Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS y en la serie de documentos publicados. Estándar internacional ISO/IEC Information technology Security techniques Information security management Measurement. Primera edición En fase de desarrollo. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA. Estándar internacional ISO/IEC Information technology - Security techniques - Information security risk management, Primera edición Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y términos descritos en la norma ISO/IEC e ISO/IEC es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información. Su publicación revisa y retira las normas ISO/IEC TR :1998 y ISO/IEC TR :2000. Estándar internacional ISO/IEC 27006: , Information technology - Security techniques - Requirements for the accreditation of bodies providing audit and certification of information security management systems. Primera edición Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA- 7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. Estandar internacional ISO/IEC 27007: Information technology - Security techniques - Guidelines for information security management systems auditing. Publicada Es una guía de auditoría de un SGSI. Estandar internacional ISO/IEC 27011: Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC Publicada en julio de 2004 Esta Recomendación especifica los requisitos para establecer, implementar, 32 Disponible en: Noviembre 16 del Disponible en: Noviembre 16 del Disponible en: Noviembre 16 del Disponible en: Noviembre 18 del Ibíd. 37 Ibíd. 45

47 operar, supervisar, revisar, mantener y mejorar un sistema de seguridad de la información documentada de gestión de información (SGSI) en el contexto de los riesgos del negocio global de telecomunicaciones. Especifica los requisitos para la implementación de controles de seguridad adaptados a las necesidades individuales de las telecomunicaciones y sus partes. Estándar internacional ISO/IEC 27031: Information technology - Security techniques - Guidelines for information and communications technology readiness for business continuity. proporciona orientación sobre los conceptos y principios que sustentan el papel de la información y las comunicaciones para asegurar la continuidad del negocio. Estandar internacional ISO/IEC Information technology - Security techniques - Network security. Esta en fase de desarrollo. será un estándar multi-parte, derivados de los actuales cinco partes de la red de seguridad estándar ISO / IEC La primera parte ya ha sido publicada (ISO/IEC :2009: network security overview and concepts 40 ) El propósito de esta norma es proporcionar una guía detallada sobre los aspectos de seguridad de la administración, operación y uso de redes de sistemas de información, y sus interconexiones. Estandar internacional ISO/IEC Information technology - Security techniques - Application security. En fase de desarrollo; La primera parte ya ha sido publicada en noviembre del 2011 (ISO/IEC :2011 Information technology Security techniques Application security Overview and concepts 41 ). Consistirá en una guía de seguridad en aplicaciones. Norma PCI (PaymentCardIndustry Data Security Standard, significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago): Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) se desarrollaron para fomentar y mejorar la seguridad delos datos del titular de la tarjeta y para facilitar la adopción de medidas de seguridad consistentes a nivel mundial,utiliza como base los 12 requisitos de las DSS de la PCI y los combina con los procedimientos de evaluación pertinentes en una herramienta de evaluación de seguridad Ibíd. 39 Ibíd. 40 Ibíd. 41 Ibíd

48 3. METODOLOGÍA La metodología para la realización del trabajo será la siguiente: 3.1 ANALIZAR EL FUNCIONAMIENTO DEL MONITOREO ACTUAL DE LA PLATAFORMA TECNOLÓGICA DE TELEFÓNICA TELECOM CON LA HERRAMIENTA O HERRAMIENTAS ACTUALES. En conjunto con el área técnica de la empresa se determinaran los resultados de la utilización de las herramientas actuales de monitoreo disponibles, utilizadas y los resultados obtenidos hasta la fecha. Se utilizaran entrevistas semiestructuradas. 3.2 INTEGRAR EL SOFTWARE Y HARDWARE DE LA HERRAMIENTA DE MONITOREO ALIENVAULT A LA PLATAFORMA TECNOLÓGICA DE TELEFÓNICA TELECOM. Etapa de Implementación: El software AlienVault se va a instalar en un servidor físico alojado en el Data Center de Telefónica Telecom (SIEM), se instalarán también un servidor que sirva como sensor y otro servidor que va a servidor como Base de Datos SQL (Logger), estos tres dispositivos se conectarán consiguiendo la siguiente cadena de trabajo: Ilustración 15. Topología Instalación AlienVault Fuente: Lo que permite reconocer eventos en toda la red (sensor), almacenarlos (Logger) y mostrarlos en tiempo real (interfaz gráfica SIEM) y adicionalmente permite al administrador realizar políticas de correlación de eventos, métricas de riesgos y vulnerabilidades. 47

49 Ilustración 16. Interfaz gráfica de SIEM Fuente: Tareas de esta primera parte: 1. Instalar el SIEM. 2. Instalar el Sensor de la red. 3. Instalar y dejar operativa la BD MySQL. 4. Realizar la conectividad entre los tres dispositivos y verificar que los mismos estén operativos y se reconozcan. Luego de Tener la infraestructura inicial montada empezamos la etapa de integración: 1. Realizar la lista de dispositivos que se desean monitorear (Switches, routers, IPS/IDS, Modeladores de tráfico, balanceadores de Carga, Servidores). 2. Integrar estos dispositivos con sensor: Realizar las interconexiones físicas y virtuales que sean necesarias para que el sensor pueda descubrir el tráfico cursante entre estos dispositivos y empiece así a detectar eventos. Realizar las configuración en los routers, switches, firewall, que permitan el reconocimiento del protocolo SNMP para poder realizar el monitoreo basándonos en este protocolo, crear las comunidades y configurarlas en todos los equipos relacionados en el proceso de monitoreo. 3. Verificar que los eventos que están siendo detectados por el sensor, se almacenan correctamente y sin pérdidas de información en la Base de Datos. 48

50 3.3 DISEÑAR INSTRUMENTOS DE CAPTURA DE LA INFORMACIÓN Y RESULTADOS DE LA PRUEBA PILOTO: Diseño del formato de captura de información que debe ser aprobado por el área técnica de la empresa y la dirección del proyecto Tabla 1. Instrumento de captura comportamiento de los parámetros de comparación de las herramientas usadas Vs AlienVault. Variables Software Hardware GroundWor k:nagios OpManager Firewall Analyzer 7 Herramientas de monitoreo FortiAnalyz er 1000 B FortiAnalyz er 400 B Aplications Manager Alienvault Monitoreo de la disponibilidad y desempeño de redes Monitoreo del Trafico de redes Gestion de enrutadores Monitoreo de Servidores Monitoreo de la infraestructura TI Monitoreo de la Infraestructuras de otros dispositivos Alertas Evita alertas falsas Representacion grafica a tiempo real de redes Genera reportes integrales de redes Administracion de servicios Monitoreo de la web Correlacion de eventos Identifica patrones de ataque Extienda el poder de la herramienta Costo Fuente: consolidación del equipo de trabajo 49

51 Tabla 2. Instrumento de captura comportamiento de los atributos de comparación de las herramientas usadas Vs AlienVault. Variable Software Hardware Atributo Monitoreo de la Velocidad del monitoreo disponibilidad y Calidad del monitoreo desempeño de redes Desempeño de la herramienta GroundWor k:nagios OpManager Firewall Analyzer 7 Herramientas de monitoreo FortiAnalyz er 1000 B FortiAnalyz er 400 B Aplications Manager Alienvault Monitoreo del Trafico de redes Velocidad del monitoreo Calidad del monitoreo Desempeño de la herramienta Gestion de enrutadores Monitoreo de Servidores Monitoreo de la infraestructura TI Monitoreo de la Infraestructuras de otros dispositivos Alertas Evita alertas falsas Representacion grafica a tiempo real de redes Genera reportes integrales de redes Administracion de servicios Determinacion de rutas adecuadas Calidad de las alertas Oportunidad en el disparo de la alarma Seguridad transaccional Trafico de la informacion Eficiencia del monitoreo Seguridad transaccional Velocidad de la transaccion Velocidad Oportunidad velocidad de la deteccion Veracidad de la deteccion Oportunidad de la deteccion Calidad de control Calidad del graficador Velocidad del graficador Concordancia con la realidad Calidad del reporte Velocidad del report Concordancia con la realidad Efectividad Oportunidad del servicio Continuidad del servicio Seguridad Monitoreo de la web Continuidad del servicio Correlacion de eventos Calidad de la senal Velocidad de la deteccion concordancia de los eventos Oportunidad de la deteccion Identifica patrones Calidad de la deteccion de ataque Diferenciacion Extienda el poder de Calidad de la interface la herramienta Costo costo beneficio TOTAL % Fuente: consolidación del equipo de trabajo La cuantificación de cada uno de los atributos (contenidos en la taba.2), se llevaran acabo en una escala de 1 a 5, 1 para el menor resultado y 5 para el mejor resultado. El puntaje máximo para cada herramienta será 185 puntos que a su vez será igual al 100%. También se manejara un valor 0 (cero) para indicar que la variable no aplica para la herramienta correspondiente. 50

52 3.4 CONSOLIDAR Y ANALIZAR LOS RESULTADOS DE LA EVALUACIÓN TÉCNICA Y FUNCIONAL DE LA PRUEBA PILOTO: Etapa de evaluación técnica: Validar que los dispositivos configurados estén comunicándose por el protocolo establecido y validar que la información que se está almacenando es veraz. Estudiar y conocer las funcionalidades de cada una de las interfaces gráficas del SIEM, y configurarlas para que muestre lo que se desea ver (graficas top de consumo de BW, de hits de páginas y servidores más visitados, intentos de loggeo por usuarios no autorizados, etc.). Este punto lleva un desarrollo ingenieril muy importante ya que se hace necesario conocer el funcionamiento en capa 2 (enlace de datos) y 3 (red) del modelo OSI, de toda la red, saber cómo se comunican y como se interpretan los diferentes dispositivos y adicionalmente conocer, analizar y desarrollar dentro del software las políticas y algoritmos de correlación de eventos y métricas de riesgos necesarias para que la herramienta sea funcional dentro de una operación de seguridad gestionada. Ilustración 17. Menú del software AlienVault Fuente: Menú del software AlienVault, se debe conocer y aplicar todas las funcionalidades del menú. Realizar monitoreo, recolección de datos y efectividad de las políticas de correlación de eventos y métricas de riesgos. 51

53 3.5 DISEÑAR LA HERRAMIENTA DE EVALUACIÓN ECONÓMICA DE LOS RESULTADOS DE LA PRUEBA PILOTO COMPARADOS CON LAS HERRAMIENTAS EXISTENTES. Diseño de la herramienta de evaluación económica que debe ser aprobado por el área técnica de la empresa y la dirección del proyecto Tabla 3. Comparativo del valor de adquisición de la herramientas Vs. evaluación técnica. Herramientas Valor del aplicativo Soporte tecnico Actualizaciones Total Evaluacion Tecnica GroundWork:Nagios OpManager Firewall Analyzer 7 FortiAnalyzer 1000 B FortiAnalyzer 400 B Aplications Manager Alienvault Fuente: consolidación del equipo de trabajo 3.6 REALIZAR LA EVALUACIÓN ECONÓMICA. Se busca demostrar los beneficios económicos que trae la implementación de la herramienta reduciendo los costos operacionales, se realizará un análisis costo- beneficio. 3.7 REALIZAR CONCLUSIONES Y RECOMENDACIONES, SI FURA PERTINENTE DE USO DE LA HERRAMIENTAS. Se plantearán los resultados obtenidos debidamente justificados y referenciados. 3.8 PROPONES UN PLAN DE IMPLEMENTACIÓN DE LA HERRAMIENTA SI FUERA POSITIVA LA EVALUACIÓN. Se propondrá la realización de un pan de implementación en donde se especifique técnicamente los requerimientos que son necesarios para su desarrollo para luego integrar el sistema de monitoreo en una infraestructura real, si los resultados de la evaluación fueran positivos. Esta información saldrá de las etapas previas. 52

54 3.9 ENTREGABLE. Documento técnico que contiene todos los ítems planteados en el objetivo genera y los específicos (incluye una evaluación técnica). Incluye los anexos. El trabajo se realizará sobre un piloto, con la utilización de una licencia de tiempo limitado, y se realizará la integración en el Data Center de Telefónica Telecom ya que se necesita tener una infraestructura real y operativa para realizar pruebas en tiempo, con eventos y riesgos reales ENFOQUE DE LA INVESTIGACIÓN. El desarrollo de este tipo de proyectos y la vinculación directa de estudiantes en el área de Electrónica a ellos, propone una visión general de las tecnologías actuales y la sociedad, e invita a los estudiantes a afianzar no sólo los conocimientos adquiridos durante su preparación académica, sino también a cumplir con uno de los objetivos de la ingeniería Mejorar procesos productivos. Por lo cual este proyecto pretende realizar un análisis y un estudio de caso analítico y proponer e implementar de forma empírica un nuevo desarrollo tecnológico en un entorno productivo y de realidad nacional que permita obtener conclusiones reales y medibles. Enfoque de la Investigación: Empírico Analítica 53

55 4. LÍNEA DE INVESTIGACIÓN DE USB / SUB-LÍNEA DE FACULTAD / CAMPO TEMÁTICO DEL PROGRAMA. La línea de investigación de la Universidad es Tecnologías actuales y sociedad. La sub-línea de la facultad de ingeniería es Sistemas de Información y comunicación, y el campo del programa Ingeniería Electrónica es: Comunicaciones 54

56 5. DESARROLLO INGENIERIL 5.1 ANÁLISIS DE LAS HERRAMIENTAS ACTUALES DE MONITOREO UTILIZADAS EN LA PLATAFORMA TECNOLÓGICA DE TELEFÓNICA TELECOM. En conjunto con el área técnica de la empresa se construyó una tabla comparativa de las 6 herramientas de seguridad usadas actualmente. Determinando los resultados obtenidos hasta la fecha. Tabla 4. Comparación de las 6 herramientas usadas actualmente en la plataforma tecnología de Telefónica - Telecom. Herramientas de monitoreo Variables GroundWork: Firewall FortiAnalyzer FortiAnalyzer Aplications OpManager Nagios Analyzer B 400 B Manager Software x x x x x x Hardware x x Monitoreo de la disponibilidad y desempeño de x x x redes Monitoreo del Trafico de redes x x x x Gestion de enrutadores x x Monitoreo de Servidores x x x Monitoreo de la infraestructura TI x x x Monitoreo de la Infraestructuras de otros x dispositivos Alertas x x x x x Evita alertas falsas x Representacion grafica a tiempo x x real de redes Genera reportes integrales de x x x x x redes Administracion de servicios x x x Monitoreo de la web x x x x Correlacion de eventos x x Identifica patrones de x x x x x ataque Extienda el poder de la x x x x herramienta Costo x x x x x Fuente: consolidación del equipo de trabajo 55

57 A continuación se describe cada una de las herramientas anteriormente nombradas desde la parte operativa y técnica: Nagios en la Operación: Se maneja una vista de la herramienta que permite visualizar la disponibilidad de los equipos allí configurados, ver tabla 2. Tabla 5. Equipos y servicios monitoreados Actualmente por Nagios en la plataforma tecnología de Telefónica - Telecom. Equipo Monitoreo Protocolo Servidores Windows Disponibilidad (Ping) ICMP Tiempo de Disponibilidad SNMP Consumo de CPU SNMP Utilización de Disco SNMP Utilización de Memoria SNMP Procesos del Servidor SNMP Servidores Unix Disponibilidad (Ping) ICMP Tiempo de Disponibilidad SNMP Consumo de CPU SNMP Utilización de Disco SNMP Utilización de Memoria SNMP Particiones SNMP SSH SSH Servidor Proxy Disponibilidad (Ping) ICMP Servidor de Correo Protocolo POP3 POP3 Protocolo SMTP SMTP BlueCoat Disponibilidad (Ping) ICMP Navegación ICMP Aires Acondicionados Disponibilidad (Ping) ICMP Humedad SNMP Temperatura SNMP Switch SAN Disponibilidad (Ping) ICMP Cx Disponibilidad (Ping) ICMP Firewall Disponibilidad (Ping) ICMP Firewall CORE Disponibilidad (Ping) ICMP Consumo de CPU SNMP Utilización de Memoria SNMP FW - HSRP Disponibilidad (Ping) ICMP Consumo de CPU SNMP Utilización de Memoria SNMP 56

58 IRONPORT Disponibilidad (Ping) ICMP Ironport CONN IN Ironport CONN OUT Ironport MSGSXHOUR Ironport MSGS IN QUARANTINE Ironport STATUS Ironport WORKQUEQUE Consumo de CPU Utilización de Disco Utilización de Memoria SNMP SNMP SNMP SNMP SNMP SNMP SNMP SNMP SNMP Modelador de Tráfico Disponibilidad (Ping) ICMP Router Disponibilidad (Ping) ICMP SCE Disponibilidad (Ping) ICMP Librería SL 500 Disponibilidad (Ping) ICMP Switch LAN Disponibilidad (Ping) ICMP UPS Disponibilidad (Ping) ICMP Batería (Voltaje DC) Voltaje Entrada (Voltaje AC) Voltaje Salida (Voltaje AC) SNMP SNMP SNMP Dominios Web Protocolo HTTP HTTP Fuente: consolidación del equipo de trabajo. Esta herramienta reporta principalmente si los equipos monitoreados se encuentran respondiendo a ping y si la comunicación hacia ellos presenta tiempos altos de respuesta. En cuanto a equipos como servidores se monitorea estado de CPU y Memoria, en este caso se configuran unos umbrales de espacio y utilización de CPU, cuando estos umbrales son superados se genera una alarma. La mayoría de equipos monitoreados aquí se monitorean apuntando a la IP Pública. Ilustración 18. Monitoreo de Servicios por Nagios Fuente: pantallazo de la interfaz de Nagios. Ilustración 19. Monitoreo de Temperatura y Humedad en un Aire Acondicionado Fuente: pantallazo de la interfaz de Nagios. 57

59 Ilustración 20. Monitoreo de Ping a un equipo por Nagios Mensaje 0 y 8 Fuente: pantallazo de la interfaz de Nagios. Ilustración 21. Monitoreo de Ping a un equipo por Nagios Mensaje 11 Fuente: pantallazo de la interfaz de Nagios. Operación de Monitoreo y Pruebas de Primer Nivel: Se monitorean los equipos 7*24 y al momento de presentarse una alarma se realiza pruebas para asegurar que la falla es real y conocer donde radica el problema. Alarma en Firewalls ubicados en casa de Cliente: Se realiza una prueba de conectividad hacia el equipo, se tiene un archivo con las trazas de los clientes y su topología, se realizan pruebas de ping y tracert al firewall y al router del cliente, de allí se deduce si el problema es del equipo o de canal. De deducir que el problema se debe a la conectividad se escalará el tema al área encargada de la administración de los canales de comunicación para que se realice una revisión a fondo, de lo contrario se debe revisar en las demás herramientas de monitoreo si se presentan logs de la incidencia. Se deben descartar fallas eléctricas en la sede y/o posible apagado programado de los equipos. Alarma en Firewall ubicados en las instalaciones de Telefónica Telecom: Se realizan las mismas pruebas de conectividad, se revisan en las demás herramientas de monitoreo si existen más equipos alarmas y/o logs de equipos que puedan indicar que es una falla masiva. Se debe verificar el estado físico del equipo. Alarma en Servidores por espacio en Disco y umbrales superados en el uso de memoria, cpu y disco: Se ingresa al equipo y se revisa la cantidad de espacio disponible, se realiza un proceso de depuración de logs y archivos y se monitorea el estado del mismo. Alarma en Servidores Proxy o Equipos BlueCoat: Se realizan pruebas de conectividad y se revisan los logs y alarmas en las demás herramientas de monitoreo. Se debe realizar un cheklist de tiempos de carga para el servidor proxy afectado y concluir si es una falla real o un falso positivo. Se debe verificar el estado físico del equipo. Alarmas por disponibilidad (ICMP: Pérdida de Paquetes al 100%): Se debe realizar una validación física del equipo, si esta encendido y reporta alarmas, se debe revisar así mismo las demás herramientas de monitoreo para encontrar relación de las alarmas reportadas allí. 58

60 Se debe validar si la alarma se presenta efectivamente por que el equipo no se encuentra operativo o existe una falla en el enlace de comunicación. Alarma por Temperatura, Humedad, Voltaje o Ping a un equipo de Infraestructura: Se debe validar físicamente el estado del equipo. OpManager en la Operación: Esta herramienta de monitoreo se utiliza principalmente para monitorear equipos de seguridad. Se tienen dos OpManager: OpManager. 11 Monitoreo de Equipos de Cliente, ver tabla 3. OpManager.12 Monitoreo Infraestructura del Data Center, ver tabla 4. Tabla 6. Equipos monitoreados Actualmente por OpManager. 11 en la plataforma tecnología de Telefónica - Telecom. Equipo Monitoreo Protocolo IPS Disponibilidad ICMP Tiempo de Respuesta ICMP Pérdida de Paquetes ICMP Utilización de CPU SNMP Utilización de Memoria SNMP Utilización de Disco SNMP Interfaz - Tráfico Recepción SNMP Interfaz - Tráfico Transmisión SNMP Interfaz - Errores y Descartes SNMP Interfaz - Total bytes Transferidos SNMP Interfaz - Paquetes por segundo SNMP Switch SAN Disponibilidad ICMP Tiempo de Respuesta ICMP Interfaz - Tráfico Recepción SNMP Interfaz - Tráfico Transmisión SNMP Interfaz - Errores y Descartes SNMP Interfaz - Total bytes Transferidos SNMP Interfaz - Paquetes por segundo SNMP Firewall Disponibilidad ICMP Tiempo de Respuesta ICMP Pérdida de Paquetes ICMP Utilización de CPU SNMP Utilización de Memoria SNMP 59

61 Utilización de Disco Conexiones Activas Sesiones Activas Interfaz - Tráfico Recepción Interfaz - Tráfico Transmisión Interfaz - Errores y Descartes Interfaz - Total bytes Transferidos SNMP SNMP SNMP SNMP SNMP SNMP SNMP Interfaz - Paquetes por segundo SNMP Balanceador de Carga Disponibilidad ICMP Fuente: consolidación del equipo de trabajo. Tiempo de Respuesta Pérdida de Paquetes Utilización de CPU Utilización de Memoria Utilización de Disco Conexiones Activas Sesiones Activas Interfaz - Tráfico Recepción Interfaz - Tráfico Transmisión Interfaz - Errores y Descartes Interfaz - Total bytes Transferidos Interfaz - Paquetes por segundo ICMP ICMP SNMP SNMP SNMP SNMP SNMP SNMP SNMP SNMP SNMP SNMP Tabla 7. Equipos monitoreados Actualmente por OpManager. 12 en la plataforma tecnología de Telefónica - Telecom. Equipo Monitoreo Protocolo Switch LAN Disponibilidad ICMP Tiempo de Respuesta Pérdida de Paquetes Utilización de CPU Utilización de Memoria Utilización de Disco Interfaz - Tráfico Recepción Interfaz - Tráfico Transmisión Interfaz - Errores y Descartes Interfaz - Total bytes Transferidos Interfaz - Paquetes por segundo ICMP ICMP SNMP SNMP SNMP SNMP SNMP SNMP SNMP SNMP Switch SAN Disponibilidad ICMP Tiempo de Respuesta ICMP 60

62 Interfaz - Tráfico Recepción SNMP Interfaz - Tráfico Transmisión SNMP Interfaz - Errores y Descartes SNMP Interfaz - Total bytes Transferidos SNMP Interfaz - Paquetes por segundo SNMP Router Disponibilidad ICMP Tiempo de Respuesta ICMP Pérdida de Paquetes ICMP Utilización de CPU SNMP Utilización de Memoria SNMP Temperatura SNMP Accesos al Buffer SNMP Pérdidas de Buffer SNMP Fallas de Buffer SNMP Interfaz - Tráfico Recepción SNMP Interfaz - Tráfico Transmisión SNMP Interfaz - Errores y Descartes SNMP Interfaz - Total bytes Transferidos SNMP Interfaz - Paquetes por segundo SNMP Balanceadores de Carga Disponibilidad ICMP Tiempo de Respuesta ICMP Pérdida de Paquetes ICMP Interfaz - Tráfico Recepción SNMP Interfaz - Tráfico Transmisión SNMP Interfaz - Errores y Descartes SNMP Interfaz - Total bytes Transferidos SNMP Interfaz - Paquetes por segundo SNMP UPS Disponibilidad ICMP Tiempo de Respuesta ICMP Pérdida de Paquetes ICMP Carga de la UPS SNMP Estado de la UPS SNMP Interfaz - Tráfico Recepción SNMP Interfaz - Tráfico Transmisión SNMP Interfaz - Errores y Descartes SNMP Interfaz - Total bytes Transferidos SNMP Interfaz - Paquetes por segundo SNMP Aire Acondicionado Disponibilidad ICMP Tiempo de Respuesta ICMP 61

63 Pérdida de Paquetes Estado de los Aires Acondicionados ICMP SNMP Fuente: consolidación del equipo de trabajo. Se monitorea la disponibilidad de los equipos y se configuran los umbrales de espacio en disco, utilización de memoria y tráfico para las interfaces. Alarmas de Disponibilidad: Los equipos registrados en el OpManager se monitorean levantando una VPN, por lo cual la primera validación a realizar es comprobar si el equipo reporta alarma de indisponibilidad en Nagios (Ip Pública) si en Nagios no se reporta la indisponibilidad, se realizan pruebas de Ping y se verifica que sea la VPN la que esta generando indisponibilidad. Si se valida y en Nagios también existe la misma alarma de indisponibilidad se realizan las pruebas mencionadas anteriormente para validar si el problema es del equipo o es una falla en el canal de comunicaciones. Ilustración 22. Mensaje por Indisponibilidad de Equipos, OpManager Fuente: pantallazo de la interfaz de OpManager. Alarmas por Tráfico: Se debe revisar el umbral por el que está alarmada la interface y el umbral configurado, se hace seguimiento y si se encuentra que este tráfico no es constante y esta en aumento se procede a escalar, de lo contrario si ese aumento de trafico es constante se revisa la actividad que se esta ejecutando y la periodicidad de las alarmas, por lo general estas alarmas corresponden a los horarios de Backups de algunos servidores. Ilustración 23. Mensaje por Alto consumo de tráfico en una Interface, OpManager Fuente: pantallazo de la interfaz de OpManager. Alarmas por indisponibilidad de Interfaces: Ilustración 24. Mensaje por Disponibilidad de Interface, OpManager 62

64 Fuente: pantallazo de la interfaz de OpManager. Mensaje: Interfaz XX Está activo : significa que se presenta una desconexión física en la interfaz señalada. Cuándo la se hace un shutdown de la interfaz el mensaje que aparece es Interfaz XX Está apagada. Es necesario entonces confirmar porqué se presentó esta desconexión física y si es normal que ya no haya nada conectado a ese puerto. Se debe ingresar al Switch que reporta la interface alarmada y revisar el estado de la misma desde el Switch para descartar un falso positivo, revisar el log de eventos del mismo y verificar que no se esté presentando intermitencia en la misma. Cuando se confirme esto se debe colocar la interfaz en su estado por defecto (sin descripciones ni VLANs) y hacer un shutdown de la misma. Posterior a esto se puede proceder a borrar las alarmas generadas por estas acciones. Si la alarma es repetitiva y se detecta intermitencia en la interface se debe escalar y/o revisar conjuntamente con el administrador del equipo al que va conectado esa interface para descartar fallas de software y/o físicas. Alarmas por CPU, Memoria y/o Disco: Se debe ingresar al equipo que reporta la alarma y revisar el rendimiento del mismo. El uso de Nagios y OpManager se complementan en la operación, para realizar pruebas de falsos positivos y/o detectar posibles fallas e incidentes de forma mas rápida, sin embargo es necesario realizar validaciones por separado lo que genera perdida de tiempo al momento de escalar incidentes graves. 63

65 Ilustración 25. Reporte de estado de CPU y Memoria, OpManager Fuente: pantallazo de la interfaz de OpManager. FortiAnalyzer en la operación: Se tienen dos FortiAnalyzer, uno para cada segmento de negocios estructurado en Telefónica Telecom (FortiAnalyzer 1000B Segmento Empresas y FortiAnalyzer 400B Segmento Negocios), esta diferenciación se hace basándose en los ingresos generados por cada segmento. FortiAnalyzer 1000B Segmento Empresas: Se tienen 10 clientes registrados allí, se utiliza principalmente para la generación de Reportes de Seguridad Gestionada, se descargan dichos informes y se envían al cliente mensualmente. FortiAnalyzer 400B Segmento Negocios: Se tienen 28 clientes registrados allí, se utiliza principalmente para la generación de Reportes de Seguridad Gestionada, se descargan dichos informes y se envían al cliente mensualmente. Reportes Generados: Se genera una platilla con la información más relevante para el cliente: 1. Performance y Rendimiento del Equipo: Gráfica de Utilización de CPU. Grafica de Utilización de Memoria. Gráfica de Sesiones Activas vs Tiempo. 2. Reporte de Tráfico: Muestra las estadísticas de tráfico entrante y saliente que fue registrado por el firewall detallando el top por principales orígenes, destinos y principales servicios. Tabla Top por tráfico: Fuente - Destino (Usuario - Ip Destino Tráfico en MB Tráfico en Porcentaje). Tabla Top por tráfico: Destino Fuente (Destino Usuario Origen Tráfico en MB Tráfico en Porcentaje). 64

66 Tabla Top Servicios (Servicio o puerto Tráfico en MB Tráfico en Porcentaje). 3. Reporte de Seguridad: Muestra las estadísticas del top de políticas más usadas por número de sesiones de Firewall al igual que el top de los orígenes, destinos y servicios que más denegaciones han tenido. Tabla Top de Políticas Utilizadas (Número ID de la política Eventos (utilización) Porcentaje). Gráfica Top de Políticas Utilizadas. Tabla Top de Fuentes Denegadas (Fuentes con mas intentos de violación de políticas de seguridad) (Dispositivo Usuario/Fuente Evento (utilización) Porcentaje). Tabla Top de Destinos Denegados (Destinos con mas intentos de violación de políticas de seguridad) (Dispositivo Destino Evento (utilización) Porcentaje). Tabla Top de Servicios Denegados (Servicios de Internet con mas intento de violación de políticas de seguridad) (Servicio Evento (utilización) Porcentaje). Gráfica Top de Servicios Denegados. 4. Reporte de Filtrado de Contenido Web: Se muestran las estadísticas generales de los principales sitios web permitidos y bloqueados según las configuraciones de Web Filtre. Tabla Top de Sitios Web Permitidos (Destino Evento (utilización) Porcentaje). Gráfica Top de Sitios Web Permitidos. Tabla Top de Sitios Web Denegados (Destino Evento (utilización) Porcentaje). Gráfica Top de Sitios Web Denegados. Tabla Top de Categorías Web Permitidas (Grupo - Categoría Evento (utilización) Porcentaje). Gráfica Top de Categorías Web Permitidas. Tabla Top de Categorías Web Denegadas (Grupo - Categoría Evento (utilización) Porcentaje). Gráfica Top de Categorías Web Denegadas. Top de Usuarios Web Bloqueados (Usuario /Fuente - Evento (utilización) Porcentaje). Gráfica Top de Usuarios Web Bloqueados. 5. Reporte de Mensajes Instantáneos: Se muestran las estadísticas de los usuarios de mensajería instantánea local con el mayor volumen de tráfico. 65

67 Tabla Top de Fuentes de mayor tráfico por utilización de IM (Usuario / Fuente Tráfico Kb Porcentaje). Gráfico Top de Fuentes de mayor tráfico por utilización de IM. Tabla Top de Destinos de mayor tráfico por utilización de IM (Destino Tráfico Kb Porcentaje). Gráfico Top de Destinos de mayor tráfico por utilización de IM. Tabla Top de usuarios IM bloqueados por protocolo (Aplicación Fuente Eventos Porcentaje). Gráfica Top de usuarios IM bloqueados por protocolo. 6. Reporte de Control de Aplicaciones: Utilización y reporte de aplicaciones permitidas. Tabla Top de Aplicaciones Permitidas (Aplicación Eventos (utilización) Porcentaje). Gráfica Top de Aplicaciones Permitidas. Tabla Top de Aplicaciones Bloqueadas (Aplicación Eventos (utilización) Porcentaje). Gráfica Top de Aplicaciones Bloqueadas. Otra de las utilizaciones que se le da al FortiAnalyzer es la revisión de vulnerabilidades allí reportadas, para casos y/o solicitudes específicas. Applications Manager en la Operación: Se tienen configurados cinco Aplications Manager para el control y monitoreo de servidores, bases de datos, URL y aplicaciones propias de los servicios de Hosting Dedicado Linux, Windows y Almacenamiento y Backup. Se tiene una distribución específica para cada uno permitiendo así la rápida identificación del incidente reportado: Appm 1: Se utiliza para el monitoreo de un solo cliente, relacionando allí servidores, URLs y demás servicios. Appm2: Monitoreo de Servidores Windows y Bases de datos. Appm3: Monitoreo de Servidores Linux y Solaris. Appm 4: Monitoreo de Servidores que soportan la infraestructura de Monitoreo, Bases de Datos ORACLE. Appm5: Monitoreo de URLs. 66

68 Applications Manager reporta principalmente indisponibilidad de equipos y servicios. En el caso de los servidores, también es posible monitorear estado de CPU, Memoria y Disco. Cada vez que se reporte una nueva alarma, se realizan las pruebas ya mencionadas, que permiten conocer la veracidad de la misma. Adicionalmente y debido al enfoque que se tiene de esta herramienta (Monitorización de Plataformas y Servicios de Almacenamiento), se debe validar el estado físico de los equipos y el rendimiento de los mismos con los administradores del sistema. 67

69 5.2 INTEGRACION DEL SOFTWARE Y HARDWARE DE LA HERRAMIENTA DE MONITOREO ALIENVAULT A LA PLATAFORMA TECNOLÓGICA DE TELEFÓNICA TELECOM Especificaciones técnicas del hardware donde se instalara la herramienta de monitoreo Servidor HP Proliant DL 385 g6- Referencia Ilustración 26. Servidor Físicamente: Parte Frontal Fuente: Ilustración 27. Servidor Físicamente: Parte Posterior. Fuente: 43 Guía de usuario, Disponible en: Noviembre 22 del

70 Puertos Posteriores: Ranura PCI: Es también conocida como ranura de expansión, permite conectar a ésta una tarjeta adicional o de expansión, la cual suele realizar funciones de control de dispositivos periféricos adicionales. Conector ilo: Esta ranura nos permite conectarnos al servidor utilizando la tecnología ilo mediante la red de área local, y sin la necesidad de tener un KVM (infraestructura de virtualización en Linux). Nos permite conectar directamente el servidor switch y asignarle una dirección IP a este adaptador, permitiéndonos que desde cualquier PC se pueda acceder al servidor de forma local. Conector NIC: también conocido como conector RJ45 para realizar las conexiones de red del servidor. El servidor donde se va a instalar la herramienta cuenta con 5 Discos SATA físicos de 160 GB cada uno. Referencia de los Discos: SATA MD (160 GB) SPARE Disco Duro HP SATA 160GB. 44 SATA (acrónimo de Serial Advanced Technology Attachment) Es un sistema controlador de discos que proporciona mayor velocidad, mejora el rendimiento si hay varios discos rígidos conectados y permite conectar discos cuando el servidor está encendido (conexión en caliente). Su conexión es una conexión en serie, que crea una conexión punto a punto entre dos dispositivos. Ilustración 28. Disco Duro HP SATA 160GB Fuente: Una de las características principales de estos servidores es la posibilidad de configurar arreglos de discos, en este caso como se necesita tener el mayor espacio posible en Disco se configurara RAID 5. RAID (Conjunto Redundante de Discos Independientes): Este es un sistema de almacenamiento que utiliza discos duros para crear un arreglo lógico único con gran capacidad. Físicamente esta compuesto por varios discos pero lógicamente el servidor lo ve como uno o varios discos dependiendo la configuración asignada (RAID 0 5). 44 Ibíd. 69

71 Los beneficios de realizar este tipo de arreglos con respecto a manejar un solo disco físico es la tolerancia a fallos que ofrece al servicio instalado en el servidor, y mayor rendimiento al crear volúmenes de gran capacidad y velocidad. RAID 0 (volumen dividido): Permite repartir la información en los discos configurados en el arreglo de forma equitativa, no ofrece redundancia pero aumenta la velocidad de trabajo en el servidor. RAID 1 (Copia exacta o Espejo): Se realiza una copia exacta de los datos en uno o más discos este tipo de arreglos da redundancia de datos ya que la probabilidad de que los dos discos fallen al tiempo es mínima, adicionalmente aumenta la velocidad de lectura de los datos, ya que mientras se lee parte de la información en uno la otra parte se lee en el disco espejo. RAID 2: Este arreglo divide los datos en bits y no en bloques como los demás arreglos, lo que permite realizar detección y corrección de errores, este tipo de arreglos no se implementan actualmente ya que sería necesario utilizar como mínimo un arreglo de 39 discos físicos. RAID 3: Realiza un división a nivel de bytes y utiliza uno de los discos como disco de paridad dedicado, este tipo de arreglos no se usa en la vida práctica ya que no puede atender varias peticiones al tiempo ya que para operar necesita que todos los discos trabajen, generando congestión en el servidor (cuellos de botella), este arreglo se configura como discos paralelos pero no independientes por lo que no permite realizar operaciones por separado. RAID 4: Este arreglo es igual que el RAID 3 con la única diferencia que se divide a nivel de bloques y no de bytes. RAID 5: Realiza división a nivel de bloques, distribuye la información de paridad y los datos en todos los discos que hace parte del arreglo, para realizar esta implementación se necesitan como mínimo tres discos duros físicos, sin embargo si se implementa con un total de 3 discos se corre el riesgo de que con el fallo definitivo de un disco se pierda la totalidad de la información Preparación e Instalación del equipo donde se instalará la herramienta de monitoreo. Datos Técnicos del Equipo: Servidor HP Proliant DL 385 g6- Referencia Características del Equipo: El equipo HP Proliant DL 385 g6 está diseñado para implementaciones medianas y grandes que requieran capacidad de espacio en disco y memoria, esta especialmente diseñado para la virtualización pero cubre las especificaciones para proyectos diferentes. Dimensiones (Ancho x Profundidad x Altura): 44.5 cm x 70 cm x 8.6 cm. Peso kg. Procesador: 2 x AMD Opteron 2435 / 2.6 GHz (6 núcleos). Memoria caché: 12 MB L3. Caché por procesador. 70

72 Memoria RAM: 16 GB (instalados). Controlador de almacenamiento: RAID (Serial ATA-150 / SAS) - PCI Express x8 (Smart Array P410). Memoria de vídeo: 32 MB. Conexión de redes: Adaptador de red - Ethernet, Fast Ethernet, Gigabit Ethernet - Puertos Ethernet. :.4 x Gigabit Ethernet. Ilustración 29. Servidor Físicamente: Parte Frontal Fuente: html Basados en los análisis realizados anteriormente y como lo que se busca es obtener redundancia en los datos almacenados en el servidor y buena velocidad de trabajo se decide realizar el arreglo RAID 5 con 5 Discos físicos, lo que nos permitiría en caso de daño de algunos de los discos restaurar la información faltante con la que se encuentra disponible en los otros 4. Ilustración 30. Conjunto Redundante de Discos Independientes Fuente: Procedimiento para la creación del arreglo. Se enciende el servidor y en el momento que se encuentra cargando la configuración de la tarjeta madre se debe ingresas a la utilidad ORCA del servidor y desde allí configurar el arreglo, para ingresar se pulsa la tecla F8, allí aparecerá el menú principal. En el caso de esta implementación el servidor ya tenia un arreglo previamente definido por lo cual se debió eliminar las particiones ya creadas, se da en la opción Delete Logical Drive, allí se solicita confirmación de eliminación a la cual se pulsa enter y queda el servidor como se encontraba originalmente, es decir con 5 discos físicos separados. Se procede a seleccionar la opción Create New donde nos solicita seleccionar los discos a utilizar y el arreglo que se desea crear RAID 5, damos enter y el arreglo queda configurado. 71

73 El servidor queda con las siguientes características: Arreglo Lógico: 596 GB RAM: 8GB Instalación del software AlienVault. Se desea instalar el software de AlienVault, en este caso se instalará AlienVault Professional SIEM (Versión 3.0, después de la instalación se realiza una actualización en línea a la versión 3.1) se va a trabajar con una licencia temporal. Se puede trabajar con la versión gratis que ofrece OSSIM, sin embargo en este caso debido a las utilidades que ofrece la versión profesional se utilizará esta. Se inserta el cd en la unidad lectora del servidor y se le solicita al equipo iniciar desde el cd, se sigue el proceso de instalación, en este caso se realizara la instalación personalizada: Ilustración 31. Vista instalación personalizada Fuente: Para continuar la instalación se deben seguir los siguientes pasos: 1. Seleccionar el idioma, y la ciudad. 2. Seleccionar el perfil de configuración del equipo, existen 4 diferentes perfiles, es posible que en un solo equipo se tengan las cuatro funcionalidades, en este caso se configurara este servidor solamente como SERVER y FRAMEWORK. Descripción de los perfiles: Servidor: Esta configuración permite combinar los componentes SIEM y Logger, el SIEM esta encargado de procesar todos los eventos recolectados por los sensores y el Logger firma los eventos, permitiendo que estos puedan ser leído en texto plano. 72

74 Sensor: Se encarga de la recolección y normalización de eventos. En el caso de esta implementación el sensor esta configurado en otro equipo dentro de la red. Framework: Permite configurar la interface de gestión web, este perfil utiliza pocos recursos de maquina por lo cual se recomienda instalar en el mismo perfil Servidor. Base de Datos: Se encarga de almacenar eventos, inventarios y configuraciones del sistema. En el caso de esta implementación la Base de Datos se encuentra configurada en otro equipo (Base de Batos SQL). Ilustración 32. Perfil del equipo a instalar Fuente: 3. Se realiza la configuración de red con los siguientes datos: Dirección IP: Puerta de enlace (gateway): DNS: Se configuran las DNS establecidos para Telefónica Telecom. Hostname (Nombre del Host): CT1ALVSEGURSRV001 Dirección Ip de la Base de Datos: Contraseña de la Base Datos. 4. Se configura la zona horaria. 73

75 5. Se debe seleccionar la partición de disco que se desea utilizar para la instalación, en este caso y como se explico anteriormente se desea utilizar todos los recursos de disco disponibles, por ello se escoge la opción use entire disk Ilustración 33. Vista de la opción use entire disk Fuente: 6. Se configura la VPN que encriptara la comunicación entre los diferentes componentes de la solución de AlienVault Configuración final del equipo CT1ALVSEGURSRV001 ( ): Ilustración 34. Pag. 1 configuración final del equipo Fuente: pantallazo de la configuración final del equipo. 74

76 Ilustración 35. Pag. 2 configuración final del equipo Fuente: pantallazo de la configuración final del equipo Ilustración 36. Pag. 3 configuración final del equipo Fuente: pantallazo de la configuración final del equipo 75

77 Ilustración 37. Pag. 4 configuración final del equipo Fuente: pantallazo de la configuración final del equipo Ilustración 38. Pag. 5 configuración final del equipo Fuente: pantallazo de la configuración final del equipo 76

78 Ilustración 39. Pag. 6 configuración final del equipo Fuente: pantallazo de la configuración final del equipo Se puede gestionar el equipo por la interfaz web configurada: Ilustración 40. Ventana final para ingresar a la herramienta de monitoreo Fuente: pantallazo de la configuración final del equipo Instalación del Sensor AlienVault: Los sensores son los encargados analizar el tráfico que cursa por la red en tiempo real, recolecta los datos enviados por los dispositivos que conforman la red (realiza tareas de IDS, Escáner de Vulnerabilidades, detección de anormalidades, monitoreo 77

79 de red, recolección de datos de routers, firewalls, etc.) y los normaliza para luego enviarlos al servidor (SIEM quien se encargará de realizar la clasificación y correlación de eventos). Estos se encuentran instalados en servidores Linux, puntualmente en el caso del piloto estudiado se encuentra en un servidor físico con la misma versión de Linux que se ha instalado para el SIEM, para realizar la conexión entre el sensor y el servidor OSSIM debemos habilitar la comunicación por los puertos ya establecidos: Puerto Puerto al que está conectado el servidor OSSIM (SIEM). Puerto 3306 Puerto al que se encuentra conectado con la Base de Datos para atender las solicitudes hechas por el servidor OSSIM Para poder normalizar la información recibida, el sensor utiliza plugins (serie de expresiones regulares que permiten identificar y describir un evento), todos los datos recolectados deben estar en un mismos formato para que al ser enviados al servidor este pueda clasificarlos, analizarlos y correlacionarlos de la misma forma, para ello es necesario que cada herramienta utilizada en la red tenga su respectivo plugin configurado en OSSIM; existen dos tipos de plugin: Detectores: encargados de leer los logs creados por las diferentes herramientas y estandarizarlos para que el agente pueda enviarlos al servidor. o Ejemplos típicos de plugins detectores son Snort, p0f, Arpwatch, Pads, etc. Monitores: reciben pedidos del servidor OSSIM y los envían a la herramienta correspondiente, obtienen la respuesta y le avisan al servidor si la herramienta acepta lo que se le pide. Ejemplos de monitores son el Nmap y tcptrack. Por lo general los plugins utilizados son de tipo detector, los monitores se utilizan para información muy específica y detallada que sea requerida. Proceso de funcionamiento: Detectores: 1. El dispositivo a monitorear genera un evento y lo envía mediante protocolo (Syslog ó SNMP) al sensor. 2. El sensor lo recibe por el puerto 514 UDP si es Syslog o 161UDP si es SNMP. 3. La información recibida es almacenada en una ruta ya definida para el almacenamiento de eventos en el directorio etc. (en nuestro caso y para tenas de organización se ha decidido crear un fichero nuevo para el almacenamiento de los logs dependiendo del equipo que envía los logs: CISCO, Fortinet, CheckPoint, etc.)se crean dos archivos, un archivo.conf y u archivo sql. 4. El plugin de cada dispositivo leerá los datos recolectados en el archivo.conf. 5. Se normalizan los eventos con respecto a las reglas del plugin y se envía al servidor OSSIM con dos identificadores: Plugin_Id y Plugin_Sid (estos identificadores se asignan por el plugin). Para identificación del sistema y los eventos existen dos identificadores: Plugin_id: Identificador del Dispositivo específico. 78

80 Plugin_sid: Identificador del evento que pertenecen a ese plugin. Estos identificadores nos permiten conocer el origen y descripción de los eventos. Tipos de eventos: Existen cinco diferentes tipos de eventos: 1. Evento Nuevo: Eventos que nunca antes se habían visto en el servidor OSSIM. 2. Evento Cambiado : Son todos aquellos eventos que ya se había visto antes, pero que ahora llegan al motor de correlación con un nuevo valor en uno de sus campos (Ej: Cuando un evento se correlaciona utilizando correlación lógica lo que hace es ingresar un nuevo evento al motor de correlación pero incrementando su valor de riesgo). 3. Evento Eliminado ó Reservado: Eventos que traen información pero alguna de esta información ha sido reservada solo para el servidor OSSIM. 4. Evento Igual : Evento que ya se ha visto en el servidor OSSIM. 5. Evento Desconocido. Normalización de los eventos: Todo evento recibido debe ser normalizado para poder ser analizados todos dentro de un mismo contexto, para ello se utilizan los plugins, que por medio de expresiones regulares toman los datos interesantes del log y lo llevan a un archivo de texto plano. Todos los plugins los podemos encontrar en la siguiente ruta del sensor (en nuestro caso se tiene configurado como sensor el equipo con Ip ). /etc/ossim/agent/plugins/ Todos los plugins cuentan con dos archivos: -Archivo.conf: Este archivo contiene la información del log y de cómo interpretar el mismo. -Archivo sql: Este archivo contiene el tipo de evento, sirve para crear la estructura en la BD y construir la tabla de plugin_sid Lista de plugins por consola, Como se ve un plugin por consola? Cuando se desea monitorear un nuevo equipo en la red es necesario entonces cargar el plugin del equipo en el servidor para que este reciba los datos, los normalice y los clasifique, los plugins se pueden crear o bien se pueden descargar de diferentes páginas web, dado que OSSIM se basa en software libre, existe gran cantidad de documentación y/o desarrollos del mismo. En caso de que el fabricante del equipo o algún desarrollador no haya realizado un nuevo plugin este se puede crear. 79

81 Ilustración 41. Lista de plugins configurados en el sensor Fuente: pantallazo de la configuración final del equipo Ilustración 42. Vista del plugin para equipos Fortinet Fuente: pantallazo de la configuración final del equipo 80

82 Ilustración 43. Vista del plugin para equipos Allot Fuente: pantallazo de la configuración final del equipo Formas de recolección de información: Para recolectar los logs de eventos de los diferentes equipos monitoreados en la red, se utilizan diferentes protocolos como lo son syslog, SNMP entre otros que han sido explicados con anterioridad en el marco teórico. El sensor que hace parte de la solución de AlienVault tiene integrada gran cantidad de herramientas libres, que ayudan a recolectar eventos y así mismo para su análisis y correlación. Snort: Es un N-IDS (Network IDS: Sistema detector de intrusos de Red), se encarga de analizar el tráfico que cursa por la red, los paquetes y su contenido, está en capacidad de generar alarmas en caso de encontrar patrones sospechosos en el tráfico analizado. Está en capacidad de detectar e incluso tomar acciones preventivas frente a diferentes ataques, para ello se configuran reglas con la información que debería contener un paquete sospechoso (IPs origen, IPs destino, Puertos origen y destino y datos del paquete), estas reglas se componen por expresiones regulares e incluye un campo con la información de lo que detecto. OSSEC: Es un H-IDS (Host-IDS: Sistema detector de intrusos de Host), se encarga de analizar datos del servidor (host) como logs, registros de Windows, rootkits entre otros y detectar si el servidor está siendo víctima de un ataque. OSSEC funciona en casi todos los sistemas operativos y el análisis lo realiza creando reglas en lenguajes XML. Orisis: Es un H-IDS, al igual que OSSEC se encarga de analizar datos de servidores, pero lo hace de forma diferente a OSSEC, Osiris toma periódicamente imágenes del servidor monitoreado, la almacena y la compara con la imagen tomada anteriormente (imagen de SO donde no se evidenciaron ataques y/o vulnerabilidades explotadas), en caso de encontrar algún patrón anormal alerta sobre el cambio. Osisris está en capacidad de monitorear listas de usuarios, de grupos y módulos de kernel. Nessus: Es un programa de escaneo de vulnerabilidades, escanea los servidores buscando inicialmente puertos abiertos y enviando un tests de vulnerabilidades a los servidores, genera informes detallados con las vulnerabilidades encontradas, el nivel del riesgo y la posible forma de mitigarlas, AlienVault trabaja sobre l aversión free de Nesus creando sus propios plugins (OpenVAS). Nagios: Catalogada como una de las herramientas mas complejas y completas para la monitorización de redes, permite conocer y alertar en caso de presentarse una falla en 81

83 alguno de los equipos monitoreados, recibe los datos de los plugins, los almacena en una base de datos y los procesa para ejecutar las acciones que sean necesarias. Actualmente existen plugins para monitorear varios dispositivos y servicios incluyendo: HTTP, POP3, IMAP, FTP, SSH, DHCP, Carga de CPU, Uso de Disco, Uso de Memoria, Usuarios Actuales, Unix/Linux, Windows, y servidores Netwar, Routers y Switch. La principal función de Nagios es alertar sobre la falla, pero se puede configurara para que tome acciones ante las posibles alarmas (reinicio de servicios, creación de tickets, entre otros). NFSen: Permite generar graficas, estadísticas con relación a los flujos, paquete y bytes transmitidos por la red. Ntop: Realiza la misma labor de NFSen con la diferencia que adicionalmente distingue protocolos de aplicación (HTTP, SNMP, SSH, etc). Pads (Sistema de Detección Pasiva de Activos): Es un sniffer, mapea la red y detecta servicios y servidores en ella. Pof: Al igual que Pads es un sniffer que permite de forma pasiva obtener la huella digitales de los sistema operativos. Arpwatch: Observa y recolecta en una tabla las direcciones MAC existentes en la red y las relaciona con su IP, esta herramienta se encarga de generar notificaciones cuando esta tabla es alterada, permitiendo así detectar posibles intrusos en la red. -Teptrack: Es un sniffer que se encarga de mostrar las conexiones TCP vistas en las interfaces. Configuración Final del Sensor: Versión del sistema operativo: Debian Servidor Físico HP Proliant. 82

84 Ilustración 44. Configuración Final del Sensor Fuente: pantallazo de la configuración final del equipo Instalación de la Base de Datos: Ilustración 45. Configuración Final de la Base de Datos Fuente: pantallazo de la configuración final del equipo Ilustración 46. Configuracion de la BD MySQL Fuente: pantallazo de la configuración final del equipo 83

85 5.3 CONSOLIDACION Y ANALISIS DE LOS RESULTADOS DE LA EVALUACIÓN TÉCNICA Y FUNCIONAL DE LA PRUEBA PILOTO funcionalidades de la herramienta AlienVault. Configuración del AlienVault desde la interfaz gráfica Características del Sistema: Ilustración 47. Características del sistema instalado Fuente: pantallazo de la configuración final de la herramienta Diagrama de la Implementación En el siguiente diagrama se puede visualizar la forma en que quedó implantada la solución de AlienVault en el Datacenter, La implementación cuenta con un servidor físico HP con sistema operativo Linux-Debian con IP como servidor SIEM, conectado a él se encuentra un servidor físico HP con sistema operativo Linux-Debian con IP configurado como Sensor y a otro lado de la red se encuentra un servidor HP con varias máquinas virtuales, entre ellas una de las máquinas virtuales funciona como la Base de Datos de la solución con IP Se desea dar una idea general de la red que se está monitoreando, esta cuenta con equipos de diferentes fabricantes, sistemas operativos y equipos de red (Switch, firewall, router, balanceadores de carga, físicos y virtuales) y aplicaciones (Bases de Datos, Servidores FTP, etc). AlienVault permite la configuración de la solución en forma jerárquica, es decir tener varios servidores SIEM y sensores a lo largo de la red. Si embargo y dado a que la implementación en este proyecto es como una prueba piloto, se configuró con un único servidor SIEM y un único sensor. 84

86 Ilustración 48. Diagrama General de la Implementación Fuente: consolidación del equipo de trabajo Para la integración de la herramienta se tienen los siguientes activos dentro de la Red: Servidor SIEM (Servidor Físico) IP: Sistema Operativo: Linux Debian Ilustración 49. Vista desde CLI del Servidor SIEM (Server Framework) Fuente: pantallazo de la configuración final de la herramienta 85

87 Sensor (Servidor físico configurado como sensor) IP: Sistema Operativo: Linux Debian Ilustración 50. Vista desde CLI del sensor de la implementación Fuente: pantallazo de la configuración final de la herramienta Base de Datos MySQL (Servidor Virtual) IP: Sistema Operativo: Linux Debian Ilustración 51. Vista desde CLI de la Base de Datos de la implementación Fuente: pantallazo de la configuración final de la herramienta La configuración de la herramienta se realizó por la interfaz gráfica sobre el servidor configurado como servidor SIEM (Server Framework), a continuación se explica paso a paso la configuración de la misma y el detalle de la información que esta nos permite visualizar. Dado que es una herramienta con gran contenido se torna importante conocer su manejo en forma detallada para poder realizar así un mejor análisis de su funcionamiento y alcance, para mayor entendimiento se ha estructurado la herramienta de la siguiente forma: 86

88 Tabla 8. Distribución de los Menús / Submenús y Pestañas de la herramienta Fuente: consolidación del equipo de trabajo Descripción de la configuración y visualización detallada de la herramienta: Menú: Tableros (Dashboards) Permite visualizar de forma práctica y fácil la información recolectada por el servidor SIEM, permite configurar las vistas de forma personalizada por usuarios o por redes de activos. Ilustración 52. AlienVault, Interfaz gráfica: Menú Dashboards Fuente: pantallazo de la herramienta (AlienVault) 87

89 Como se puede ver el Menú Dashboards cuenta con varias pestañas dentro de él que permiten visualizar la información de forma más detallada: Tabla 9. Relación Pestaña vs. Información por Vista PESTAÑA Ejecutivo (Executive) Seguridad (Security) Taxonomía (Taxonomy) Tickets Vulnerabilidades (Vulnerabilities) Cumplimiento (Compliance) Red (Network) VISTA Permite ver de forma general las métricas de eventos recolectados y procesados por AlienVault y estado general de la red. Estadísticas y reportes de los eventos de seguridad. Permite diferenciar los eventos según su clasificación (Ej: Clasificación por Malvare, por Virus etc). Tickets generados para la atención de alarmas en el sistema Informes y gráficas de la explotación de vulnerabilidades. Gráficas y reportes de cumplimiento de reglas establecidas en AlienVault. Estadísticas y gráficas del comportamiento de la red. Fuente: consolidación del equipo de trabajo 1. Vistas en Detalle Tableros: Ejecutivo ( Dashboard Executive): En esta vista se tiene configuradas tres gráficas: Gráfica Número 1: Eventos de Seguridad SIEM vs. Eventos de Logger (Last SIEM vs Logger Events) Ilustración 53. Vista: Eventos de Seguridad SIEM vs. Eventos de Logger Fuente: pantallazo de la herramienta (AlienVault) 88

90 Ilustración 54. Vista: Eventos de Seguridad SIEM vs. Eventos de Logger con la relación de logs recolectados Fuente: pantallazo de la herramienta (AlienVault) Al dar click sobre la imagen nos lleva al menú: Análisis: Eventos de Seguridad (SIEM): Donde podremos ver la información exacta de los eventos que se están reportándose en las gráficas: Ilustración 55. Vista de eventos recibido en el servidor (logs). Fuente: pantallazo de la herramienta (AlienVault) Gráfica Número 2: Nivel de Amenaza (Threat Level) Permite ver a nivel general el estado de la red en cuanto a topología, vulnerabilidades y seguridad de la red. Ilustración 56. Nivel de Amenaza en la Red Fuente: pantallazo de la herramienta (AlienVault) 89

91 Al dar click sobre la gráfica anterior nos permitirá ver el nivel de riesgo del sistema: Ilustración 57. Detalle del Nivel de Amenaza Fuente: pantallazo de la herramienta (AlienVault) Ilustración 58. Convenciones de la Gráfica Nivel de Amenaza Fuente: pantallazo de la herramienta (AlienVault) Al dar click en esta grafica nos envía al submenú Risk: Ilustración 59. Relación de Nivel administrativo y Métricas Fuente: pantallazo de la herramienta (AlienVault) 90

92 Gráfica Número 3: SIEM: Events by sensor: Data Source (Eventos SIEM por sensor) Ilustración 60. Vista de eventos por sensor Fuente: pantallazo de la herramienta (AlienVault) 1.1 Pestaña Seguridad (Security): Ilustración 61. Gráficas Top 10 de Eventos de Seguridad Fuente: pantallazo de la herramienta (AlienVault) Ilustración 62. Gráficas Eventos de Seguridad Fuente: pantallazo de la herramienta (AlienVault) 91

93 Ilustración 63. Gráficas Top 5 de Eventos de Seguridad Fuente: pantallazo de la herramienta (AlienVault) 1.2 Pestaña Cumplimiento (Compliance): Ilustración 64. Visualización Compliance por eventos registrados Fuente: pantallazo de la herramienta (Alientvault) Ilustración 65. Gráfica Compliance por Nivel de ataques (internos y externos) Fuente: pantallazo de la herramienta (Alientvault) 92

94 2. Submenú: Tablero Riesgo (Dashboards Riks) 2.1 Pestaña: Mapa de Riesgo: Permite organizar y visualizar los ataques y la red en un mapa, en este caso está el mapamundi, sin embargo se pueden cargar gráficas de un centro de datos y allí estructurar la red, os indicadores muestran: R Riesgo: Muestra el valor de riesgo del objeto en relación a los valores compromiso y el umbral de ataques que define en el inventario de AlienVault para ese activo. V Vulnerabilidad: El indicador del nivel de vulnerabilidad se calcula sobre la base de los resultados de los análisis de vulnerabilidad realizados por el vulnerabilityscanner (OpenVAS ó Nessus) utilizando la interfaz de AlienVault. El sistema obtiene el valor del riesgo de las vulnerabilidades más graves del activo, el estado de vulnerabilidad será de color amarillo cada vez que hay una vulnerabilidad a un riesgo mayor de 3, y en rojo cuando el riesgo es mayor que 7. Si el riesgo de las vulnerabilidades es inferior a 3, el estado de vulnerabilidad se muestra con un icono verde. Este indicador sólo será útil siempre que los activos y la red están siendo analizados por el Vulnerability Scanner(Nessus ó OpenVAS). A Disponibilidad: El indicador de disponibilidad se calcula utilizando la información obtenida de Nagios (el monitor de disponibilidad en AlienVault). Este indicador sólo será útil siempre que el host y redes que estén siendo monitoreados por Nagios. Ilustración 66. Convenciones para los mapas de Riesgo Fuente: Ilustración 67. Visualización por defecto de los Mapas de Riesgo Fuente: pantallazo de la herramienta (AlienVault) 93

95 Podemos modificar el mapa y sus componentes, dando click en configuración: Ilustración 68. Configuración Mapas de Riesgo Fuente: pantallazo de la herramienta (AlienVault) Allí podemos escoger el equipo que se desea ubicar en el mapa y configurar la visualización del mismo. Edición y configuración de los tableros desde la interfaz gráfica: Para editar los tableros o deshabilitarlos solo es necesario dar click en el icono configuración del extremo derecho de la pantalla, allí nos dará la opción de escoger la vista que se desea modificar. Las vistas que vienen por defecto en AlienVault no es posible eliminarlas, pero permite sea deshabilitadas para no visualizarlas. Ilustración 69. Edición de Vistas Pre- establecidas Fuente: pantallazo de la herramienta (AlienVault) 94

96 Crear una nueva Vista: Para crear una nueva vista, se debe escribir el nombre de la nueva vista, y hacer click en Insertar nuevo. Si se desea utilizar uno de los paneles por defecto como plantilla, se debe seleccionar el que se desea tomar como base y hacer click en Clonar. Eliminar una Vista: Se debe seleccionar la vista y dar click en el icono Eliminar. Modificar una vista: Para modificar la geometría de cada vista solo es necesario dar click en la opción Edit Ilustración 70. Opción Edit Fuente: pantallazo de la herramienta (AlienVault) Para finalizar solo se debe dar click en aplicar. Editar las ventanas: Para personalizar la información de cada vista damos click en el icono config, allí nos salen las opciones de las tablas y gráficos que se pueden incluir en la vista. Ilustración 71. Pestaña configuración Fuente: pantallazo de la herramienta (AlienVault) 95

97 Ilustración 72. Edición de la configuración Fuente: pantallazo de la herramienta (AlienVault) Menú: Incidentes 1. Submenú Alarmas 1.1 Pestaña Alarmas: permite visualizar las alarmas generadas por la herramienta, las alarmas son aquellos eventos que tienen un riesgo superior a 1. Las alarmas también se pueden generar como consecuencia de una política de correlación de eventos, para generar las alarmas se debe tener en cuenta una seria de parámetros establecidos como lo son: si el evento tiene una alta prioridad y los valores de la fiabilidad y el valor de las máquinas implicadas Ilustración 73. Cómo se visualizan las alarmas? Fuente: pantallazo de la interfaz grafica (Alienvault) 96

98 Ilustración 74. Información de la alarma Fuente: pantallazo de la interfaz grafica (Alienvault) Alarma: Es posible en cada alerta conocer de forma más detallada la información, para ello damos click en el símbolo +: Ilustración 75. Detalle de la alarma Fuente: pantallazo de la interfaz grafica (Alienvault) Ilustración 76. Detalle del evento Fuente: pantallazo de la interfaz grafica (Alienvault) Riesgo: Qué significa Normalizar? La normalización de eventos permite consolidar el tratamiento de la información, cada uno de los componentes que hacen parte de la red tiene una forma diferente de categorizar las prioridades, en AlienVault se utiliza el valor de riesgo para normalizar la información y su valor se mide del 0 al 5, siendo el 0 el de menor valor y el 5 de mayor valor. 97

99 Valor de Riesgo: El valor del riesgo nos permite no sólo la normalización de los eventos, sino también permite determinar los valores a utilizar y que nos ayudaran a tomar decisiones en el momento que se presente un evento crítico. Ossim utiliza dos valores de riesgo: 1. Valor de Riesgo Origen: Dirección IP de dónde se originó en evento - Se relaciona con el dispositivo de origen. 2. Valor de Riesgo Destino: Dirección IP de destino del evento - Se relaciona con el dispositivo de destino. La formula que se utiliza para la normalización del Riesgo es la siguiente: Riesgo = (Prioridad * Confiabilidad * Activo) / 25 Basándose en los siguientes parámetros: Prioridad Valor Máximo 5 - Valor Mínimo 0 Confiabilidad Valor Máximo 10 - Valor Mínimo 0 Activo Valor Máximo 5 - Valor Mínimo 0 Sensor: La información relacionada al sensor se puede visualizar en el Menú Configuration, en el submenú AlienVault Components. Por ser esta una implementación piloto, sólo se tiene un sensor configurado en la red, con Ip está IP corresponde a la VPN creada para comunicar el sensor con el servidor OSSIM, la Ip publica del servidor del sensor es la Ilustración 77. Información del sensor Fuente: pantallazo de la interfaz grafica (AlienVault) 98

100 Ilustración 78. Detalles del sensor Fuente: pantallazo de la interfaz grafica (Alienvault) La visualización de las alarmas se puede filtrar y organizar por Origen, Destino, Fecha, y contenido de la alarma, lo que nos permite organizar de forma practica las alarmas reportadas por un mismo evento o una misma política de correlación. Ilustración 79. Visualización con Filtro (Ip Origen / Ip Destino) Fuente: pantallazo de la interfaz grafica (Alienvault) Otra de las opciones gráficas para visualizar las alarmas es por grupos, permite agrupar por nombre, eventos similares, fechas y por origen. 99

101 Ilustración 80. Visualización con Agrupación (Ip Origen / Ip Destino) Fuente: pantallazo de la interfaz grafica (Alienvault) Cuando se presentan alarmas relacionadas por una misma directiva de correlación, estas se agrupan para facilidad de análisis, adicionalmente es recomendado no eliminar ninguna alarma excepto aquellas que después de confirmación sean reportadas como falsos positivos, de lo contrario se perderá información para próximas correlaciones de eventos y generaciones de alarmas. 1.2 Pestaña Reporte: Se tiene por defecto cinco gráficas de reportes Top, se puede escoger el período de tiempo a mostrar. Ilustración 81. Reportes top de ataques Fuente: pantallazo de la interfaz grafica (Alienvault) 100

102 2. Submenú Tickets: Es la forma de controlar el estado de las alarmas, es posible generar los casos de forma manual y/o es posible también que la herramienta los genere de forma automática con relación a las alarmas registradas. Ilustración 82. Ticket Fuente: pantallazo de la interfaz grafica (Alienvault) Es posible desplegar información del ticket dando click en el nombre del mismo o en el Id: Ilustración 83. Información detallada del ticket Fuente: pantallazo de la interfaz grafica (Alienvault) 101

103 Así mismo permite editar el ticket con nueva información: Ilustración 84. Edición de un ticket Fuente: pantallazo de la interfaz grafica (Alienvault) Para generar un ticket de forma manual, solamente debemos elegir la categoría del ticket a crear y dar click en créate: Ilustración 85. Como general un ticket de forma manual Fuente: pantallazo de la interfaz grafica (Alienvault) Los tickets automáticos se generan de los resultados de las alarmas y los escaneos de vulnerabilidades. Configuración para la generación de tickets de forma automática: Se debe configurar si se desean generar tickets por todas las alertas o por cada escaneo de vulnerabilidades, esto se hace en el menú: Configuration Main Tickets Ilustración 86. Como generar un ticket de forma automática Fuente: pantallazo de la interfaz grafica (Alienvault) 102

104 2.1 Pestaña Reporte: Muestra gráficas de tickets por tiempo, por tipo y por estado. 3. Submenú Base de Conocimientos: Como su nombre lo indica es la base de conocimientos que permite validar información relacionada a un ticket, una alarma, o directiva. Permite buscar por algún evento o tipo específico. Ilustración 87. Base de conocimientos Fuente: pantallazo de la interfaz grafica (Alienvault) Permite ver los casos y/o eventos con los que esta relacionado, para ver en detalle esta información podemos dar click en el icono de la columna Links: Ilustración 88. Ejemplo link: TituloAV Bruteforce, FTP authentication attack against SRC_IP (Cisco IPS) Links (3) Fuente: pantallazo de la interfaz grafica (Alienvault) Nos permite ver la directiva a la que se encuentra asociada dicha documentación: 50036: ectives:directives 103

105 Ilustración 89. Directiva Fuente: pantallazo de la interfaz grafica (Alienvault) Menú: Análisis 1. Submenú: Eventos de Seguridad (SIEM). Permite ver y procesar (calificar y correlacionar) los eventos generados y guardados en la base de datos, cada vez que un evento es correlacionado genera un nuevo evento que se almacenará en la Base de datos. Todos los eventos que tengas un valor de riesgo mayor a uno se convertirán en alarmas. Ilustración 90. Pantalla principal del menú Eventos de Seguridad SIEM Fuente: pantallazo de la interfaz grafica (Alienvault) La pantalla principal nos da una vista general de los eventos de seguridad que se han recibido en el servidor SIEM, se puede dividir en tres parte principales: Gráfica Tiempo Real: Nos permite ver la cantidad de eventos que se han generado en una línea de tiempo. 104

106 Ilustración 91. Grafica tiempo real Eventos de Seguridad SIEM Fuente: pantallazo de la interfaz grafica (Alienvault) Al dar click en Real Time podemos visualizar los eventos generados en el momento e incluso una hora antes: Ilustración 92. Eventos generados en tiempo real Fuente: pantallazo de la interfaz grafica (Alienvault) Filtro: Nos permite realizar filtros para encontrar y mostrar sólo la información relacionada a equipos y/o eventos específicos, este filtro es muy útil al momento de buscar eventos o coincidencias por fechas o por orígenes en caso de algún incidente. El filtro que allí podemos realizar es acumulable, lo que quiere decir que el filtro no se va borrando sino que acumula la información lo que nos permite realizar una búsqueda muy puntual Eventos: Esta vista es quizá de las vistas más importantes que podemos tener en la herramienta, nos permite ver todos los eventos de seguridad con la información al detalle y el valor de riesgo que tiene cada evento. 105

107 Ilustración 93. Eventos Eventos de Seguridad SIEM Fuente: pantallazo de la interfaz grafica (Alienvault) o Detalle 1: Ilustración 94. Detalle 1. Eventos Eventos de Seguridad SIEM Fuente: pantallazo de la interfaz grafica (Alienvault) o Detalle 2: Ilustración 95. Detalle 1. Eventos Eventos de Seguridad SIEM Fuente: pantallazo de la interfaz grafica (Alienvault) La cantidad de eventos generados por día puede ser demasiado grande lo que genera lentitud en el procesamiento de la información y el manejo de la herramienta, para evitar que el servidor se sature con esta información, se configuran políticas de almacenamiento. 106

108 La política puede ser configurada por tiempo o por cantidad de eventos, o para mejor control del almacenamiento de los mismos se pueden configurar ambas políticas, lo que nos permite tener almacenamiento de eventos flexibles. Política Configurada: Eventos activos por ventana (por tiempo): Eventos hasta de 5 días. Eventos activos por ventana (por número de eventos): Eventos hasta de eventos. Ilustración 96. Política Configurada Fuente: pantallazo de la interfaz grafica (Alienvault) En este caso la flexibilidad de la configuración nos permite mostrar en la interfaz gráfica hasta eventos (puede que estos se generen en menos tiempo que los 5 día configurados dependiendo de la utilización y tráfico de la red) ó hasta 5 días (se pueden tener poca cantidad de eventos, sin embargo para visualizar los eventos mas recientes y darle un mejor manejo a la información se almacenarán los datos pasados 5 días así estos no superen los eventos). 2. Submenú: Raw Logs (Logger) Logger: Está diseñado para almacenar los logs en su estado original (es decir sin normalizar); se utiliza principalmente para la recolección de evidencia forense en caso de generarse un ataque en contra de la red monitoreada. La forma más fácil de visualizar y/o buscar y recopilar la información en el Logger es buscar con la ayuda de la línea de tiempo, se presenta una gráfica donde se puede observar: Cantidad de Eventos (eje x) vs. Lapso de tiempo en que se generaron los mismos (en este ejemplo la toma es de 10 eventos para el día 07 a las 02 hrs). 107

109 Ilustración 97. Linea de tiempo (Logger) Fuente: pantallazo de la interfaz grafica (Alienvault) Al dar click sobre la gráfica podemos observar el detalle de los eventos generados para este lapso de tiempo (como se puede observar en la gráfica sólo permite visualizar los 10 eventos generados y muestra con exactitud la fecha y hora de la generación de los mismos). Ilustración 98. Detalle de los eventos generados para el lapso de tiempo (Línea de tiempo) Fuente: pantallazo de la interfaz grafica (Alienvault) En este caso veremos el evento #9: Tipo de Evento: ossec: Login session closed. (Evento que indica autenticación cerrada en el servidor OSSEC). Detalle del evento: ** Alert pam syslog 2012 Mar CT1ALVSEGURSRV001->/var/log/auth.log Rule 5502 (level 3) -> Login session closed. Src IP (none) User (none) Mar CT1ALVSEGURSRV001 su[14977] pam_unix(su session) session closed for user daemon Permite visualizer el log sin ningún tratamiento. 108

110 Ilustración 99. Evento ossec: Login session closed Fuente: pantallazo de la interfaz grafica (Alienvault) Así mismo podemos solicitarle la validación interna que realizo el servidor y el lugar exacto donde ha quedado guardado el mismo: En este caso se ha configurado la siguiente ruta en el servidor para el almacenamiento de los logs: /var/ossim/logs/. Se ha guardado el log como un archivo de texto plano con el siguiente nombre: 2012/03/07/07/ / T Z.log Ilustración 100. Validación interna del evento ossec: Login session closed Fuente: pantallazo de la interfaz grafica (Alienvault) Si se desea realizar una búsqueda exacta o puntual, se puede utilizar la ayuda de búsqueda que viene por defecto configurada en la herramienta, entre más precisa sea la información que se ingresé mejor será el resultado de la misma. Ilustración 101. Ayuda de búsqueda de la herramienta Alienvault Fuente: pantallazo de la interfaz grafica (Alienvault) 3. Submenú Vulnerabilidades: Como se ha explicando anteriormente, AlienVault trae integrado herramientas gratis que permite el escaneo y detección de vulnerabilidades en la red y sus componentes, en este sección podremos ver las reglas que trae por defecto configuradas el sistema (es una compilación de reglas entre las herramientas OpenVAS y Nessu). 109

111 Las reglas se organizan dependiendo la familia y nivel de riesgo, lo que nos permite realizar una totalización de las vulnerabilidades encontradas y poder entrar a realizar un análisis de estas para poder mitigarlas. Esta información funciona como una base de datos con la información detallada de la vulnerabilidad y la posible solución a la misma. Lo que se hace con esto es realizar un escaneo de la red monitoreada y mostrar las vulnerabilidades que podrían llegar a explotarse. Ilustración 102. Detalles de las vulnerabilidades Fuente: pantallazo de la interfaz grafica (Alienvault) En este caso se va a estudiar la vulnerabilidad nombrada como: Denial of Service (Denegación de Servicio): Factor de Riesgo: Serio: Ilustración 103. Ejemplo vulnerabilidad Denial of Service Fuente: pantallazo de la interfaz grafica (Alienvault) 110

112 Para obtener información de la vulnerabilidad se da click en el ID: Ilustración 104. Detalle de la Vulnerabilidad Fuente: pantallazo de la interfaz grafica (Alienvault) En este caso se han configurado los siguientes perfiles para el escaneo de la red: Ilustración 105. Test configurados en el sistema Fuente: pantallazo de la interfaz grafica (Alienvault 111

113 Menú Reportes: La herramienta trae cargado por defecto alrededor de 400 reportes ya predefinidos, que lo que hacen básicamente es organizar y gráficar la información recolectada por el equipo, se puede ver la lista de los reportes por defecto en el menú Reports. Ilustración 106. Listado de Reportes por Defecto Fuente: pantallazo de la interfaz grafica (Alienvault) De la lista de posibles reportes tenemos la opción de escoger el reporte a generar y generarlo por defecto o configurarlo que se desea ver en el mismo. Herramientas para la generación de los reportes predeterminados: Las opciones se encuentran al final del nombre del reporte: Ilustración 107. Edición de los reportes Fuente: pantallazo de la interfaz grafica (Alienvault) 112

114 Generarlo por defecto: Genera el reporte con la plantilla que viene por defecto en la herramienta. Modificarlo y Generarlo: Da la opción de modificar parte de la información que se va a mostrar en el reporte y lo genera luego de ingresar los datos a modificar (Rango de Tiempo, Equipos de los cuales extraer la información y aplicación de filtros). Ilustración 108. Reportes, Modificarlo y Generarlo. Fuente: pantallazo de la interfaz grafica (Alienvault) Editar: Permite modificar la información a mostrar sin embargo no lo genera hasta que no se le indique. Clonar: Permite clonar la información del reporte y utilizarla varias veces, por ejemplo si dese obtener varios reportes de alarmas generadas por tipo de equipo, sólo se debe crear un tipo de informe, clonarlo y modificar la información deseada. Eliminar: Permite eliminar los reportes que no deseamos visualizar en la herramienta. Si por el contrario lo que se desea es generar un reporte personalizado, lo podemos hacer dando click en el link New Custom Report. Allí se puede modificar campos como: Nombre del Reporte, Rango de Tiempo para la toma de datos del reporte, y la disponibilidad de visualización para todos los usuarios o de forma limitada. Luego de modificar la información básica se debe elegir de qué parte del servidor se desea obtener la información para la generación del reporte, Ver Ilustración 77 se escogió la recolección de datos para equipos FORTINET en la vista de Eventos de Seguridad. Ilustración 109. Edición de los reporte - eventos Fuente: pantallazo de la interfaz grafica (Alienvault) 113

115 Nos permite elegir la red de la cual se desea generar el reporte (permite escoger todos los equipos y/o equipos específicos): Ilustración 110. Edición de los reportes - activos Fuente: pantallazo de la interfaz grafica (Alienvault) Permite escoger la cantidad de eventos (información y datos) para la generación del reporte: Ilustración 111. Información para la generación del reporte Fuente: pantallazo de la interfaz grafica (Alienvault) El siguiente paso es dar click en Update & Run, esto carga el nuevo reporte a la herramienta. 1. Pestaña Módulos: Permite visualizar los reportes organizados por categoría, por ejemplo una categoría puede ser alarmas y de allí puede desprenderse varias categorías como: Top 10 de los equipos con más generación de alarmas Top 10 de los hots más atacados Top de Alarmas por riesgos Ilustración 112. Top de las alarmas por riesgos Fuente: pantallazo de la interfaz grafica (AlienVault) 114

116 2. Pestaña Layouts: Permite modificar colores y tipo de letra para la generación del reporte. Ilustración 113. Edición Layouts (AlienVault) Fuente: pantallazo de la interfaz grafica (AlienVault) 3. Pestaña Scheduler (Programador): Permite programar la generación de los reporte, de forma mensual o según sea requerido. Permite programar que tipo de reporte se desea, para que equipos de la red y la fecha y/o periodicidad de la generación de los mismos. Ilustración 114. Configuración scheduler Fuente: pantallazo de la interfaz grafica (AlienVault) Menú: Activos (Assets) Para la implementación del piloto se integraron los siguientes equipos: Este listado de equipos se estableció en conjunto con el grupo de seguridad y redes del Datacenter, la idea principal es monitorear equipos que sean importantes en la gestión y prestación de servicios y adicionalmente que sean de diferentes fabricantes para poder integrar diferentes plugins y ver como se comporta la herramienta. 115

117 Tabla 10. Equipos incluidos en la implementación Sistema Operativo y Versión Marca y Modelo Método de Conexión IOS 3.2 Cisco FWSM Syslog, SNMP FortiOS 4.3 Fortinet Syslog, SNMP IOS 8.2 Cisco ASA 5520 Syslog, SNMP IOS 7.3 Cisco ISDM Syslog, SNMP IOS 12.3 Cisco 7206 Syslog, SNMP IOS 12.1(12r)EX1 Cisco 7304 Syslog, SNMP IOS 12.2(17r)S4 IOS 12.2(18)SXF6 IOS 12.2(18)EW IOS 12.2(20)EWA4 IOS 12.2(35)SE5 IOS Cisco Catalyst 6513 Syslog, SNMP Cisco Catalyst 6509 Syslog, SNMP Cisco Catalyst 4506 Syslog, SNMP Cisco Catalyst 4948 Syslog, SNMP Cisco Catalyst 3750 Syslog, SNMP Cisco Catalyst 2960 Syslog, SNMP 5.0 Bluecoat SG Syslog, SNMP N/A F5 Syslog, SNMP A2(1.1) Cisco ACE Syslog, SNMP Fuente: consolidación del equipo de trabajo Pestaña Structure (Estructura): Permite visualizar los equipos que tiene relacionados la herramienta, AlienVault organizar las vistas en forma estructura de árbol y relaciona los activos dependiendo de características como: Sistema Operativo, Servicios, Hardware y Software. Ilustración 115. Programación Structure (Alienvault) Fuente: pantallazo de la interfaz grafica (AlienVault) 116

118 Al desplegar cada uno de las ramas de la estructura se encuentra el detalle de los equipo como dirección Ip y puerto (servicio mas utilizado), adicionalmente se puede tener una organización de la red por segmentos de red y/o grupos de servicios. Para tener un mayor control sobre la información de los activos de la red configurados en la herramienta, podemos ingresar a cada uno de ellos y configurarle algunos datos adicionales, para ello sólo debemos escoger la IP del equipo a complementar y dar sobre click en ella. Ilustración 116. Edición de un activo (AlienVault) Fuente: pantallazo de la interfaz grafica (AlienVault) Se puede dar una mayor descripción a cada uno de los activos, Ip, Tipo de Equipo, Marca del equipo, ubicación entre otras. Ilustración 117. Detalles de la edición de un activo (AlienVault) Fuente: pantallazo de la interfaz grafica (AlienVault) 117

119 Ilustración 118. Relación del equipo dentro del árbol de inventario (AlienVault) Fuente: pantallazo de la interfaz grafica (AlienVault) Adicionalmente se puede agregar un monitoreo específico a alguno de los servicios que corren en el activo, para ello es necesario editar el activo, indicar el puerto por donde se ejecuta el servicio y habilitar el monitoreo con la herramienta Nagios. Ilustración 119. Monitoreo protocolo (AlienVault) Fuente: pantallazo de la interfaz grafica (Alienvault) Pestaña Host (Equipos): Permite conocer el detalle de los equipos configurados en la herramienta. Ilustración 120. Equipos configurados en la herramienta (AlienVault) Fuente: pantallazo de la interfaz grafica (AlienVault) 118

120 Esta vista nos permite ver de forma generalizada los equipos que se están monitoreando dentro de la red y datos del mismo como: Hostname, Ip, Alias, Descripción, Valor del equipo dentro de la estructura de red, sensor, Base de conocimientos (podemos editar la información o adicionar información nueva para la KDB). La interfaz gráfica del servidor OSSIM nos permite configurar y editar configuraciones existentes, desde aquí se ingresan los equipos que se desean monitorear. o Ingreso de Activos a monitorear: Para adicionar un nuevo activo en la red de monitoreo desde la interfaz gráfica se debe dar click en el icono nombrado como New Ilustración 121. Ingreso de un nuevo activo en la red de monitoreo. Fuente: pantallazo de la interfaz grafica (AlienVault) Tabla 11. Características para el ingreso de un activo HOSTNAME Puede empezar o terminar con letra o número (válidos a-z A-Z 0-9). No puede empezar ni terminar con símbolos (-). No puede contener sólo valores numéricos. IP FQDN DESCRIPCIÓN Ip del equipo a monitorear. Fully Qualified Domain Name: Nombre o Alias que incluye el nombre del equipo a monitorear y el dominio asociado a este, La longitud máxima permitida para un FQDN es 255 caracteres (bytes). Puede incluir letras y/o caracteres propios de l código ACSII, no distingue entre minúsculas y mayúsculas. Descripción importante relacionada al activo (Ej: DB, FW Core, Servidor FT, etc.) VALOR DEL ACTIVO Valor del activo en relación a su nivel de prioridad dentro de la red (valor de 0 a 5). Sensor que realizará la recolección de datos (en este caso como se ha explicado anteriormente solo estamos utilizando un sensor con IP , aparece la IP del SENSOR servidor OSSIM ya que éste también puede ser instalado como sensor, en nuestro caso sólo esta instalado como servidor). Se puede asociar al equipo un icono representativo (Ej: Icono de CISCO para equipos ICONO de esta marca). Fuente: consolidación del equipo de trabajo. 119

121 Opción 1 Información Avanzada Ilustración 122. Información avanzada que compone el activo Fuente: pantallazo de la interfaz grafica (AlienVault) Tabla 12. Características de la configuración avanzada que compone el activo OPCIONES DE ESCANEO PERFIL UMBRAL "C" Como Alien Vault trae integrada la herramienta Nagios, podemos habilitar o no el monitoreo en ella. Perfil que se desea dar al activo. Para ello podemos asociar un perfil dando click en "Insert New Profile" o dejarlo sin ningún perfil, este perfil modificara las configuraciones de alarmas y creación de tickets, por ello en este caso lo hemos dejado en "None". Nivel de Ataque (Mide el riesgo potencial de los ataques realizados a este activo en caso de que un ataque haya sido exitoso - valor relacionado con el valor del activo). UMBRAL "A" Nivel de Compromiso (Mide el nivel de probabilidad de que un equipo este comprometido - valor relacionado con el valor del activo). Fuente: consolidación del equipo de trabajo Opción 2 Información de Inventario Ilustración 123. Información de Inventario Fuente: pantallazo de la interfaz grafica (Alienvault) Tabla 13. Información de Inventario OS (SISTEMA OPERATIVO) MAC ADDRESS MAC VENDOR Sistema operativo del activo. Dirección MAC del activo Nombre del Fabricante de la Tarjeta de Red del activo. Fuente: consolidación del equipo de trabajo 120

122 Para cargar el nuevo equipo a monitorear sólo se debe dar click en Update y este cargará la información al servidor. Adicionalmente se debe garantizar que el activo que se desea monitorear tenga conectividad hacia el sensor que recopilará los datos y tenga permitidos los puertos de comunicación necesarios. Adicionalmente la herramienta nos da la posibilidad de agrupar los activos monitoreados por red (segmentos de red), por grupos (ej: Grupo de Activos de firewalls), y por servicios (por puertos TCP /UDP). 1. Submenú Búsqueda de Activos: Para realizar búsquedas de activos con características específicas (los equipos deben estar ya ingresados en el servidor OSSIM) podemos utilizar la opcion de búsqueda símple o la opción de búsqueda avanzada. Para realizar la búsqueda, el servidor puede recoelctar datos del Logger o de la Base de Datos. Cabe aclarar que esta búsqueda hace referencia a una búsqueda de activos en la red relacionados a un evento, vulnerabilidad, inventario y o ticket. Búsqueda Simple: Ilustración 124. Vista búsqueda Simple (AlienVault) Fuente: pantallazo de la interfaz grafica (AlienVault) Tabla 14. Características de la búsqueda simple INFORMACIÓN ACTIVO Nombre del Activo Activos (Assets) INVENTARIO Características específicas del activos y/o servicios que se ejecutan en el Activos (Assets) VULNERABILIDAD Cadena de texto (descripción) de la vulnerabilidad relacionada al activo. Análisis Vulnerabilidades TICKETS Nombre del ticket relacionado. Incidentes Tickets EVENTO Análisis SIEM / Análisis Nombre del evento relacionado. Logger Fuente: consolidación del equipo de trabajo 121

123 Se realiza una búsqueda en el servidor, la BD y el Logger y arroja los resultados que hayan tenido coincidencia con la información introducida. Búsqueda Avanzada: Nos permite crear premisas lógicas para obtener una búsqueda más detallada, se debe introducir una pequeña descripción del activo relacionado y construir la premisa lógica: Ilustración 125. Vista búsqueda avanzada (AlienVault) Fuente: pantallazo de la interfaz grafica (AlienVault) Si TODAS/NINGUNA de las condiciones seleccionadas se cumplen Ilustración 126. Condiciones de búsqueda Avanzada Fuente: pantallazo de la interfaz grafica (AlienVault) 2. Submenú Descubrir Activos : Permite realizar análisis del sistema de AlienVault con el fin de descubrir los activos en la red y garantizar que no se han producido cambios en los servicios, sistemas operativos, y las direcciones MAC que utilizan cada una de las direcciones IP de la red. 122

124 Ilustración 127. Características búsqueda avanzada (AlienVault) Fuente: pantallazo de la interfaz grafica (AlienVault) Se debe escoger el perfil con el que se desea raizar el escaneo, estos perfiles son perfiles propios asociados a nmap. Menú Inteligencia (Intelligence) 1. Submenú Políticas y Acciones (Policy & Actions): Esta sección nos permite configurar las políticas y reglas para que el sistema procese los eventos una vez lleguen al servidor; todos los eventos deben ser procesados por el SIEM y el Logger. SIEM: Se proporciona un análisis de los eventos, mediante tareas como: Evaluación de Riesgo: El riesgo que se asigna a cada caso teniendo en cuenta el tipo de evento y de los activos involucrados en la generación del evento. Correlación: Se puede definir también como el proceso de transformación de datos de entrada en la salida de nuevo elementos de datos, esto significa que toma los datos entrantes y les realiza algún algoritmo lógico de correlación convirtiéndolos en un nuevo elemento para el análisis de los eventos. Estos eventos se transforman convirtiéndose en elementos más fiables. Desvío: Se pude configurar para enviar las alarmas y eventos a otro servidor (modelo jerárquico, en el caso de esta implementación el modelo es único no tiene niveles de operación). Almacenamiento SQL: Todos los eventos procesados por el SIEM se almacenan en la base de datos MySQL. Logger: El Logger firma los datos para asegurar la integridad de los mismos en caso de ser necesarios como prueba en algún proceso judicial. Las políticas y reglas, definen características propias del comportamiento del SIEM y el Logger y así mismo como interpretara algunos eventos. Las políticas se revisan en orden de menor ha mayor, si un evento coincide con la política no seguirá revisando las políticas inferiores, si por el contrario no coincide seguirá con la siguiente política hasta coincidir con alguna. 123

125 1.1 Pestaña: Políticas Ilustración 128. Políticas configuradas 1 (AlienVault) Fuente: pantallazo de la interfaz grafica (AlienVault) Ilustración 129. Políticas configuradas 2 (AlienVault) Fuente: pantallazo de la interfaz grafica (AlienVault) Para ver el detalle de la configuración de estas políticas, basta con dar click sobre la política y allí se desplegara el cuadro con sus respectivas características: Ilustración 130. Detalles de las políticas 1 (AlienVault) Fuente: pantallazo de la interfaz grafica (AlienVault) 124

126 Ilustración 131. Detalles de las políticas 2 (AlienVault) Fuente: pantallazo de la interfaz grafica (AlienVault) En nuestro caso hemos activado dos políticas: Ambos eventos son muy recurrentes en la red por la forma de operar de los equipos Fortinet, por ello se ha hecho necesario configurar para estos eventos un nivel de prioridad y de confiabilidad de 1, de lo contrario el servidor se saturaría de este tipo de eventos y su procesamiento se vería seriamente afectado. Fortigate ICMP Ilustración 132. Fortigate ICMP, Relación de la Política con el Plugin ID y su descripción Fuente: pantallazo de la interfaz grafica (AlienVault) Ilustración 133. Fortigate ICMP, Relación de la Política, descripción, nivel de riesgo y fiabilidad Fuente: pantallazo de la interfaz grafica (AlienVault) Fortinet Drop Ilustración 134. Fortinet Drop, Relación de la Política con el Plugin ID y su descripción Fuente: pantallazo de la interfaz grafica (AlienVault) 125

127 Ilustración 135. Fortinet Drop, Relación de la Política, descripción, nivel de riesgo y fiabilidad Fuente: pantallazo de la interfaz grafica (AlienVault) 1.2 Pestaña Acciones: Permite definir las respuestas a los ataques o problemas que ocurren en la red. Las acciones están relacionadas con las reglas de política, AlienVault es compatible con tres tipos de acciones, el envío de un correo electrónico, ejecutar un comando de Linux (detener algún servicio por ejemplo), o abrir un ticket en el Sistema de AlienVault venta de entradas (incidentes Entradas). En el caso de nuestra implementación no incluimos el servidor de correo por lo cual la opción de habilitar alarmas vía está descartada, como el objetivo es realizar una prueba piloto para analizar el comportamiento de la herramienta no hemos configurado ninguna acción, todos los eventos deben quedar guardados y registrados. 2. Submenú Directivas de Correlación: Correlación: La correlación permite relacionar eventos con respecto a su prioridad e importancia, es posible correlacionar todo tipo de eventos ya que antes de esto los eventos se normalizan en el sistema. AlienVault implementa directivas de correlación y/o reglas de correlación; estas definen las condiciones que deben reunir los eventos para así generar un nuevo evento. Directivas de Correlación: Ilustración 136. Directivas de correlación del sistema Fuente: pantallazo de la interfaz grafica (AlienVault) 126

128 Las directivas de asocian con respecto al comportamiento del evento. AlienVault en la versión profesional trae alrededor de 600 directivas de correlación ya integradas, cuando un nuevo archivo de directivas de correlación es desarrollado, se debe cargar en la siguiente ruta, en un archivo.xml. /etc/ossim/server/ : Ilustración 137. Vista del directorio desde CLI Fuente: pantallazo de la interfaz grafica En esta ruta se almacenan las directivas de correlación por defecto, las directivas de correlación que son creadas por los usuarios del sistema deberían quedar almacenadas en la siguiente ruta: /etc/ossim/server/user.xml Existen dos tipos de información entrantes al motor de correlación: Información del Detector: Ofrece eventos (snort, firewalls, antivirus, servidores web, eventos de SO). Información de Monitor: Ofrece indicadores (ntop, nmap, compromiso y ataque). Reglas de Correlación: Las directivas de correlación se pueden organizar por niveles, cada nivel contiene palabras claves y específicas. Cada directiva de correlación está en al menos una regla de correlación. Cada nivel de correlación tiene tantas reglas como sea necesario, el único nivel de correlación que sólo contiene una regla de correlación es el primer nivel. Funcionamiento: Un nuevo evento llega al motor de correlación y valida (compara) si existe algún evento previo, si existe, se crea el nuevo evento de entrada y se asocia con la información ya registrada. Si el evento entrante no coincide: 1. Primera Regla de Directiva: Se almacena la información con palabras clave (Origen, Destino, Puerto Origen, Puerto Destino, Protocolo, Plugin SID, Sensor, Nombre de Archivo, Nombre de Usuario). Estas palabras claves se utilizan por los demás niveles de correlación. 2. Se almacena el evento. 3. Se inserta en la tabla denominada Ossim event ; como este evento puede volverse una alarma en el sistema debe contener los siguientes campos de información: o Time: Fecha exacta de la generación del evento. 127

129 o o o o o o o Backlog ID: Id de la directiva de correlación existente con la que se puede relacionar el evento. Plugin ID: Identificador del plugin que generó el evento. Plugin SID: Tipo de evento específico (dentro de los tipos de plugins). Ip/Puertos: IPs origen/ destino y puertos origen/destino, en este caso cuando el puerto y/o la IP esta marcada como ANY, el SIEM remplazará la palabra ANY con las IP/puerto que coincidan con la regla. Datos: Información de la directiva. Nivel: Directiva con la que coincide. Fiabilidad: la fiabilidad se puede clasificar en: Fiabilidad Absoluta: La fiabilidad del evento = Fiabilidad de la Directiva Fiabilidad Relativa: Fiabilidad= Suma de las fiabilidades (evento + directivo). Se le da un nuevo ID y se incluye en la tabla. 4. Se debe adicionar el nuevo evento en las tablas Ossim Backlog y Ossim Backlogevent. 5. Se comprueba el nivel de la regla (si es nula o no). Ilustración 138. Ossim management server Fuente: consolidación del equipo de trabajo 128

130 Ilustración 139. Asignación de roles, tipos de roles Fuente Ilustración 140. Política de priorización, valores de prioridad Fuente Ilustración 141. Tipos de correlación Fuente Ilustración 142. Datos de los tipos de correlación Fuente Crear una nueva política de correlación: Nueva Directiva de Correlación: Para simplificar la creación de las directivas de correlación se puede utilizar la interfaz gráfica. Escoger el nombre de la nueva directiva de correlación: Este será el nombre que tendrán todos los eventos generados como consecuencia de esta directiva. 129

131 Ilustración 143. Creación de una Nueva Directiva Fuente: pantallazo de la interfaz grafica Escogemos el nivel de prioridad: Se dá un valor numérico de 0 a 5 (siendo 0 el menor y 5 el mayor), todos los eventos generados en la misma directiva, podrán tener un valor diferente de fiabilidad, dependiendo del nivel de correlación en el que se haya generado el evento. Si se establece la prioridad a los eventos generados dentro de la directiva nunca se convertirán en una alarma. Sise establece un valor de alta prioridad, la directiva puede generar alarmas después de agrupar a sólo unos pocos eventos. Ilustración 144. Creación de una Nueva Directiva Fuente: pantallazo de la interfaz grafica Como se explicó en el proceso de funcionamiento todos los eventos al ingresar al servidor van a buscar coincidir con alguna de las directivas de correlación ya creadas, este comportamiento se puede modificar o delimitar con la creación de políticas (como se explico en el capitulo anterior). Estas reglas tienen características especiales como: Debe venir siempre de un detector. No tiene tiempo de espera, se activa con tan sólo un evento. Se debe procurar cubrir todas las variantes posibles de un evento o ataque Teniendo en cuenta esto, cuando se desea crear una nueva directiva de correlación, se deben tener en cuenta todos los posibles eventos, para tener una idea podemos revisar el lista de Plugins y los eventos que reconoce cada uno. Luego de seleccionar el valor de prioridad es necesario entonces escoger el plugin que incluya el evento de la directiva que se va a crear: 130

132 Ilustración 145. Creación de una Nueva Directiva: Selección de Plugin Fuente: pantallazo de la interfaz grafica Cada plugin tiene asociado un ID (Identificador de Plugin), y a este hay asociados gran cantidad de eventos (identificados como Plugin SID), ahora es necesario seleccionar los eventos que coincidan con la directiva de correlación: Ilustración 146. Creación de una Nueva Directiva: Selección de Plugin Fuente: pantallazo de la interfaz grafica Se pueden seleccionar y adicionar los eventos que sean necesarios y de la misma forma eliminar los que no se necesiten. Luego de elegir los eventos de la directiva se debe escoger los activos origen y destino de la mismo (por defecto, todos los orígenes y destinos tanto internos o externos cumplirían la directiva, por ellos es necesario delimitarlo). En esta pantalla también puede definirlos puertos de origen y destino del os eventos que coincidan con la regla de correlación. Por defecto cualquier puerto coincida con las condiciones definidas por la regla de correlación. 131

133 Ilustración 147. Creación de una Nueva Directiva Fuente: pantallazo de la interfaz grafica Se pueden seleccionar varios activos, y puertos (cuantos como sean necesarios), en la parte de puertos, se pueden definir estos de forma numérica, si son varios, seguidos de una coma (,) y sin espacio ó se pueden realizar excepciones ANY: Todos los puertos ó ANY!80: Todos exceptuando el puerto 80. Algunos eventos tienen un campo que indica el protocolo de red que se estaba utilizando en el momento en que el evento fue generado. Esta condición puede ser utilizada en la directiva de correlación, de modo que la directiva sólo funciona cuando el evento tiene un protocolo en particular: Ilustración 148. Creación de una Nueva Directiva -Protocolo Fuente: pantallazo de la interfaz grafica Si no se desea limitar la directiva, se escoge la opción ANY. La regla de correlación trabajará con los acontecimientos recogidos por todos y cada uno de sensor de AlienVault. Cada vez quela condición establecida por la regla de correlación es igual, un nuevo evento se genera con un valor de fiabilidad de nuevo. Este evento se vuelve a inyectaren el servidor de correlación como si viniera de otro sensor de AlienVault. 132

134 Este evento tendrá el valor de prioridad asignado previamente como una prioridad global de la directiva de correlación, el valor de la fiabilidad se define en la regla de correlación y el valor de los activos que cumplan las condiciones de la regla de correlación (En caso de que tengan un valor de activos diferente del más alto será utilizado). El riesgo de que el evento se calcula utilizando la siguiente fórmula: RIESGO= (Valor del activo * Prioridad*Fiabilidad) / 25 Tabla 15. Tabla Relación de Riesgo Característica Valor Mínimo Valor Máximo Prioridad 0 5 Fiabilidad 0 10 Valor del Activo 0 5 Fuente: consolidación del equipo de trabajo Prioridad: Su valor pretende analizar el daño que podría ocasionar un ataque que se realiza de forma exitosa, para los eventos en tiempo real responde a la pregunta Qué tan importante es el evento o ataque que está ocurriendo en ese momento? Fiabilidad: Que tan fiable es que un ataque tenga éxito. Valor del activo: Valor o importancia de este activo para el correcto funcionamiento de la red. Ilustración 149. Elección Valor de Fiabilidad Fuente: pantallazo de la interfaz grafica Se debe también elegir el número de eventos que es necesario que lleguen al servidor para correlacionar de forma exitosa la directiva, es necesario indicarle un valor numérico (puede ser cualquier valor mayor de 1): 133

135 Ilustración 150. Elección de Condición de Número de Eventos Fuente: pantallazo de la interfaz grafica Cómo se visualizan las nuevas directivas de correlación? : En este caso hemos creado la directiva prueba Ilustración 151. Visualización de una Nueva Directiva Fuente: pantallazo de la interfaz grafica Ilustración 152. Visualización de una Nueva Directiva Fuente: pantallazo de la interfaz grafica 134

136 2.1 Pestaña Propiedades (Properties): Esta pestaña nos permite visualizar de forma detallada las directivas de correlación creadas y sus propiedades: Ilustración 153. Vista de Directivas y propiedades Fuente: pantallazo de la interfaz grafica Si se desea modificar alguna de las propiedades solo se debe dar click sobre la directiva, allí aparecerá una lista de propiedades que pueden ser modificadas según las necesidades del sistema. Ilustración 154. Edición de las Propiedades Fuente: pantallazo de la interfaz grafica 2.2 Pestaña Backlog: Esta pestaña nos permite ver detalles de los eventos que han coincidido con alguna directiva de correlación, e información de origen, destino y nombre del plug con el cual está relacionado. 135

137 Ilustración 155. Detalle de los Eventos Fuente: pantallazo de la interfaz grafica 3. Submenú: Cumplimiento de Cartografía (Compliance Mapping): Table ISO27001An.A05_Security_Policy' doesn't exist AlienVault permite configurar la herramienta para detector y analizar eventos de seguridad rigiéndose en la norma PCI y la norma ISO27001, para ello es necesario contar con personal experto en la norma para realizar las configuraciones que sean pertinentes, en este caso se omitió esta funcionalidad de la herramienta. 4. Submenú: Correlación Cruzada (Cross Correlation) Realiza un análisis de los Eventos Físicos vs. Vulnerabilidades, esta correlación se utiliza para modificar la fiabilidad de un evento. La modificación de este valor tiene un efecto sobre el riesgo y, como consecuencia, la generación de alarma. Esta se lleva a cabo con los eventos que tienen una dirección IP de destino definida. La razón es que en este tipo de correlación, que se va a comprobar si el destino de los eventos tiene algún tipo de vulnerabilidad que pueda ser explotada (definida en la base de datos). La regla básica para la correlación de la Cruz es la siguiente: si el IDS (Snort), ha descubierto un ataque a una IP, y se sabe que la IP tiene que la vulnerabilidad, la fiabilidad se incrementará de forma inmediata a 10. Ilustración 156. Reglas de la Correlación Cruzada Fuente: pantallazo de la interfaz grafica Para editar una regla o directiva de correlación cruzada, solo es necesario dar click en el icono modificar, allí nos abrirá una nueva ventana la cual nos permite modificar todos sus campos según sea necesario. 136

138 Ilustración 157. Edición de las Reglas de Correlación Cruzada Fuente: pantallazo de la interfaz grafica Algunas de las posibles opciones que se pueden escoger para la modificación son: Ilustración 158. Edición de las Reglas de Correlación Cruzada Fuente: pantallazo de la interfaz grafica 5. Submenú: Percepción de la Situación de la Red (Situational Awareness) Permite controlar y trabajar con los datos de Netflow, además de la inclusión de esta interfaz web, AlienVault también se complementa con Nfdump(instalado por defecto), recoge datos de NetFlow generados por los dispositivos de red y permite graficarlos. NetFlow es un protocolo de red desarrollado por Cisco Systems para correr en Cisco IOS habilitado para equipos de recolección de información de tráfico IP. Es propietario, pero con el apoyo de otras plataformas de IOS, tales como routers Juniper, Linux Free BSD y OpenBSD. 5.1 Pestaña: Tráfico (Traffic) La página está dividida en dos partes: La parte superior le permite navegar a través de los datos de NetFlow, así como la selección de un intervalo de tiempo. La parte inferior contiene todos los controles para procesar los datos de NetFlow. 137

139 Ilustración 159. Visualización de Tráfico Fuente: pantallazo de la interfaz grafica Ilustración 160. Visualización de Tráfico Fuente: pantallazo de la interfaz grafica Ilustración 161. Configuración para la visualización Fuente: pantallazo de la interfaz grafica El resumen estadístico ofrece una visión general del tráfico, paquetes en la ranura de tiempo seleccionado de tiempo. 138

140 5.2 Pestaña Perfil: There are not sensors with NTOP enabled : Las gráficas generadas en esta pestaña no están habilitadas en esta implementación ya que se decidió no instalar NTOP de forma predeterminada en el sistema. 5.3 Pestaña Captura de Tráfico: Permite escoger el (los) activos de los cuales se desea generar la gráfica y el período de tiempo deseado. Ilustración 162. Configuración para la visualización de gráficas de tráfico Fuente: pantallazo de la interfaz grafica 6. Submenú Disponibilidad (Availability): The requested URL /nagios3//cgi-bin/status.cgiwasnotfoundonthis server, en este caso permite ver la disponibilidad de los equipos registrada en Nagios, como se explico anteriormente en el desarrollo ingenieril la herramienta de monitoreo Nagios ya se encuentra instalada y funcionando en el Data Center, por esta razón no se utilizó para esta implementación. Sin embargo podemos visualizar el estado del servidor y los servicios activos en él. Ilustración 163. Vista Local del monitoreo de Nagios Vista Normal Fuente: pantallazo de la interfaz grafica 139

141 Ilustración 164. Vista Local del monitoreo de Nagios - Vista Crítica Fuente: pantallazo de la interfaz grafica 7. Submenú Inventario (Inventory) Permite visualizar por grupos los activos de la red, bien sea por servicio, por IOS por segmento entre otros. Ilustración 165. Vista de Activos por Servicios Fuente: pantallazo de la interfaz grafica Ilustración 166. Vista de Activos por Equipos Fuente: pantallazo de la interfaz grafica 8. Submenú Reputación Ip (IP Reputation): AlienVault permite integrar el servicio de reputación, este servicio consiste en una base de datos accesible vía DNS que contiene millones de IPs con una reputación negativa debido a que son máquinas comprometidas distribuyendo spam sin control por parte del usuario o 140

142 IPs utilizadas para ataques de seguridad. Adicionalmente permite visualizar dichas IPs con respecto a su origen en el mapa. Ilustración 167. Vista de Reputación IP Eventos SIEM Fuente: consolidación del equipo de trabajo Ilustración 168. Vista de Reputación IP Fuente: pantallazo de la interfaz grafica 141

143 Menú Configuración (Configuration) Permite configurar de forma general las características y funcionamiento del sistema desde la interfaz gráfica, las opciones de configuración se han clasificado en la configuración simple y avanzada. 1. Submenú: Configuración Simple (Main Simple): Para cambiar el valor de uno de los parámetros de configuración, solo se debe hacer click en la categoría, introducir el valor de a nueva configuración y hacer click en Actualizar la Configuración. Ilustración 169. Menú de Configuración Simple Fuente: pantallazo de la interfaz grafica 1.1 Pestaña Backup: Permite configurar el número de días almacenado en la base de datos SIEM. La ventana de eventos de seguridad SIEM en este caso esta configurada para visualizar eventos hasta de 5 días, pasado este tiempo se envían a la Base de Datos. Ilustración 170. Configuración Simple: Backup Fuente: pantallazo de la interfaz grafica 1.2 Pestaña Tickets: Permite configurar la apertura de tickets de forma automática por cada alarma generada. También nos da la opción de configurar un servidor. 142

144 Ilustración 171. Configuración Simple: Tickets Fuente: pantallazo de la interfaz grafica 1.3 Pestaña Lenguaje (Language): Permite seleccionar el idioma a utilizar en la interfaz gráfica, por defecto: Inglés. Ilustración 172. Configuración Simple: Lenguaje Fuente: pantallazo de la interfaz grafica Opciones y métodos de inicio de sesión (Loginmethods/options): (LDAP CN, O, OU: Parámetros de LDAP). Ilustración 173. Configuración Simple: Métodos de Ingreso e Inicio de Sesión en la Herramienta Fuente: pantallazo de la interfaz grafica 143

145 1.4 Pestaña Métricas (Metrics): Ilustración 174. Configuración Simple: Métricas Fuente: pantallazo de la interfaz grafica 1.5 Pestaña Actualizaciones (Updates): El sistema realiza una revisión diaria de las actualizaciones disponibles del sistema. Ilustración 175. Configuración Simple: Actualizaciones Fuente: pantallazo de la interfaz grafica Adicionalmente a las opciones básicas de configuración existen varios menús más para la configuración más detallada del sistema, en este apartado se pretenden mostrar los menús adicionales para la configuración. 2. Submenú: Main Advanced Ilustración 176. Menú Configuración Avanzada Fuente: pantallazo de la interfaz grafica 144

146 Configuracion PHP GACL (ACL phpgaclconfiguration): Ilustración 177. Configuración Avanzada:Configuracion PHP GACL Fuente: pantallazo de la interfaz grafica Servidor AlienVault (AlienVault Server): Configuración del servidor AlienVault. Ilustración 178. Configuración Avanzada: Servidor AlienVault Fuente: pantallazo de la interfaz grafica 2.1 Pestaña Backup: Adicional a las opciones básicas de configuración de Backup existen otras adicionales como IP de la Base de Datos, puerto, etc. 145

147 Ilustración 179. Configuración Avanzada: Backup Fuente: pantallazo de la interfaz grafica 2.2 Pestaña Aplicaciones Externas (External Applications): Permite la integración de la herramienta NMap con AlienVault. Ilustración 180. Configuración Avanzada: Aplicaciones Externas Fuente: pantallazo de la interfaz grafica Configuración del Servidor de correo para el envío de Alarmas (Mail Server Configuration): Ilustración 181. Configuración Avanzada: Servidor de Fuente: pantallazo de la interfaz grafica 2.3 Pestaña Marco OSSIM (Ossim Framework): Configuración de la interfaz gráfica del servidor OSSIM. (Configuración de PHPy enlaces aotras aplicaciones). 146

148 Ilustración 182. Configuración Avanzada: Interfaz web de OSSIM Fuente: pantallazo de la interfaz grafica 2.4 Pestaña Demonio Marco OSSIM (Ossim Framework Daemon): Configuración del demonio (s un tipo especial de proceso informático no interactivo, es decir, que se ejecuta en segundo plano en vez de ser controlado directamente por el usuario, se ejecutan de forma continua) que permite la integración de la interfaz web del servidor AlienVault. Ilustración 183. Configuración Avanzada: Demonio Interfaz Web OSSIM Fuente: pantallazo de la interfaz grafica Frameworkd Directory /usr/share/ossim-framework/ossimframework 147

149 OSVDB (Configuración de la Base de Datos de Vulnerabilidades): Ilustración 184. Configuración Avanzada: OSVDB Fuente: pantallazo de la interfaz grafica 2.5 Pestaña Políticas de Contraseñas (Passwordpolicy): Ilustración 185. Configuración Avanzada: Políticas de Contraseña Fuente: pantallazo de la interfaz grafica Configuración de la herramienta para graficar RRD (RRD): Tiene como objetivo gestionar de datos (ancho de banda, temperaturas, la CPU de carga, etc), los datos se almacenan en un round-robin(base de datos), también incluye herramientas para extraer RRD datos en un formato gráfico. En este apartado se configuran los directorios en el servidor donde se almacenará la información. 148

150 Ilustración 186. Configuración Avanzada: RRD Fuente: pantallazo de la interfaz grafica 2.6 Pestaña Snort: Configuración para la integración de Snort en AlienVault (Dirección Ip de la Base de Datos, Usuario y Contraseña y puerto). Ilustración 187. Configuración Avanzada: Snort Fuente: pantallazo de la interfaz grafica Snort location /etc/snort/ Snort rule location /etc/snort/rules/ Snort DB Host Snort DB Port

151 2.7 Pestaña Actividad de Usuario (Useractivity): Permite configurar el tiempo de duración de la sesión de cada usuario y habilitar el log de eventos de los mismos. Ilustración 188. Configuración Avanzada: Actividad de Usuario Fuente: pantallazo de la interfaz grafica 2.8 Pestaña Configuración Escáner de Vulnerabilidades (Vulnerability Scanner): Ilustración 189. Configuración Avanzada: Escáner de Vulnerabilidades Fuente: pantallazo de la interfaz grafica 3. Submenú: Usuarios: Para acceder a la información recopilada y generada por AlienVault, debe tener un usuario en la interfaz web de AlienVault. La instalación crea un usuario por defecto que permite el acceso a la interfaz web por primera vez para crear y establecer permisos para otros usuarios. Cada usuario puede tener privilegios de lectura y escritura diferentes, así como activar o desactivar ciertas características de la interfaz web de AlienVault. Por defecto el primer usuario creado para el ingreso a la interfaz gráfica es el usuario admin con contraseña admin, luego de acceder por primera vez con estas credenciales de ingreso se solicita el cambio de la contraseña, este usuario sólo debe ser utilizado por la persona encargada del afinamiento de la herramienta y configuración de la misma ya que posee privilegios totales de escritura y lectura. 3.1 Pestaña Configuración: Para configurar correctamente los usuarios dentro de la interfaz web de AlienVault es importante tener el inventario de las redes y activos bien organizados y de forma detallada. 150

152 Ilustración 190. Vista de los usuarios configurados Fuente: pantallazo de la interfaz grafica Entidades (Entities): Es una funcionalidad que ofrece la versión Profesional de AlienVault que permite la creación de entidades para simplificar la gestión de los permisos de usuario en entornos complejos (gran cantidad de activos y grupos diferentes de administradores para cada grupo de activos). Una entidad es una agrupación virtual de objetos dentro del inventario de AlienVault (hosts, grupos de hosts, redes y grupos de red, etc.). Ilustración 191. Vista de las Entidades Configuradas Fuente: pantallazo de la interfaz grafica Las opciones seleccionadas son las que permite visualizar: Company Sensores /Activos /Menús / Políticas Departamento Sensores /Activos /Menús Grupo Sensores //Menús / Políticas Para ingresar una nueva entidad sólo se debe dar click en Nueva Entidad New Entity. Ilustración 192. Vista para la creación de una nueva entidad Fuente: pantallazo de la interfaz grafica 151

153 o o o o o o Nombre: Nombre de la entidad. Dirección: Dirección física en la que los activos que pertenecen a esta entidad. Tipo: Tipo de entidad. Usuario Administrador: Usuario de administrador de esta entidad. Padres: En caso de que esta entidad haga parte de una entidad más grande se debe relacionar la otra entidad en este campo. Sensores: Sensores que los usuarios dentro de esta entidad puede controlar. Activos: Los activos que los usuarios dentro de esta entidad puede controlar. Menú: Opciones de menú dentro de la Interfaz Web de AlienVault que los usuarios dentro de esta entidad tienen acceso. Template (Plantillas): Para poder crear una nueva entidad es necesario tener configurada una platilla previamente. Configuración de Plantillas: Se debe introducir el nombre de la plantilla y las entidades que se desean relacionar a la misma (pueden no relacionarse ninguna entidad), se deben seleccionar las redes que los usuarios seleccionados para esta plantilla será capaz de controlar, así como sensores, que recogerá los eventos que los usuarios verán en la interfaz Web de AlienVault. Las opciones de menú que aparecen en la interfaz web de AlienVault puede ser limitado en cada plantilla de usuario, para limitar la lectura y escritura se deben marcar las casillas correspondientes a las secciones que desea dar acceso a los usuarios. Ilustración 193. Vista de las plantillas (Templates) Fuente: pantallazo de la interfaz grafica 152

154 Para crear un nuevo usuario, sólo se debe dar click en New User e ingresar los datos solicitados. Ilustración 194. Vista para ingresar un nuevo usuario Fuente: pantallazo de la interfaz grafica 3.2 Pestaña: Actividad de Usuario: Permite configurar las actividades de los usuarios dentro de la interfaz Web de AlienVault que estar conectado. Sólo es necesario arrastrar los ítems a los cuales se desea dar ingreso y remover los que no. Ilustración 195. Configuración de los ítems a permitir/ denegar Fuente: pantallazo de la interfaz grafica 153

155 4. Submenú: Componentes AlienVault (AlienVault Components): 4.1 Pestaña: Sensor: El Sensor de AlienVault es el componente encargado de la recolección y normalización de los eventos generados porl os diferentes activos de la red. El número de sensores dependerá fundamentalmente del número de redes que necesitan ser monitoreadas yen la distribución geográfica de la corporación. En el caso de nuestra implementación solo se tiene un sensor encargado de la recolección de datos (dado a que la cantidad de equipos a integrar es mínima). Ilustración 196. Vista Sensores Fuente: pantallazo de la interfaz grafica Para ingresar un nuevo sensor al sistema solo es necesario dar click en New y completar los datos solicitados por el sistema. Ilustración 197. Configuración para el ingreso de un nuevo sensor Fuente: pantallazo de la interfaz grafica Nombre del sensor: Hostname, se permiten caracteres alfanuméricos y espacios. Algunos símbolos tales como "-" "_" también se utiliza en este campo. IP: Dirección IP del sensor en formato IPv4. En caso de que el sensor tiene varias direcciones IP que debe introducir la dirección IP que se utiliza para enviar los eventos al servidor de AlienVault. Prioridad: Esta opción se utiliza para mostrar el sensor de forma predeterminada. Descripción: Descripción corta del sensor. El campo de descripción es opcional 154

156 Características del sensor de la implementación: Ilustración 198. Sensor Implementado Fuente: pantallazo de la interfaz grafica 4.2 Pestaña Servidor (Servers): En nuestra implementación de AlienVault se tiene un único servidor que trabaja como SIEM y Logger. En otro tipo de diseños para la implementación de AlienVault se puede realizar una jerarquía de red Multi-nivel que permite la correlación de múltiples servidores en diferentes niveles. En esta sección que, básicamente, se tendrán que insertar todos los servidores de AlienVault que forman parte de la implementación, y las características que se habilitará en cada servidor. En el caso de nuestra implementación sólo tenemos un servidor: Características del servidor de la implementación: Ilustración 199. Servidor de la Implementación Fuente: pantallazo de la interfaz grafica 155

157 4.3 Pestaña Base de Datos (Databases): Como ya se ha explicando anteriormente se tiene una Base de Datos MySQL que nos permite almacenar todos los datos recibidos y procesados por el servidor SIEM. Ilustración 200. Base de Datos configurada Fuente: pantallazo de la interfaz grafica Ilustración 201. Características Base de Datos configurada Fuente: pantallazo de la interfaz grafica Nombre: Nombre dado a la base de datos. IP: Dirección IP del host que ejecuta la base de datos MySQL. Puerto: Puerto de escucha de MySQL( por defecto3306). Usuario: Nombre de usuario en el servidor de MySQL. Contraseña: Contraseña para el nombre de usuario en el servidor MySQL. Repetir Contraseña: Repetir el nombre de usuario en el servidor MySQL. 5. Submenú: Colección / Plugins (Collection): Los pluginscomo se explico anteriormente, son utilizados por AlienVault para mejorar las capacidades de recolección de los sensores de AlienVault, diciéndole al sistema la manera de entender, y recoger los eventos generados por cada aplicación y el dispositivo (ayuda con la recolección y la normalización de los eventos). Con el fin de calcular el riesgo para cada caso que llega al servidor de AlienVault, el sistema necesita saber todos los tipos 156

158 posibles de eventos que pueden ser recogidos por el sistema. En la siguiente imagen podemos ver todos los eventos que el servidor de AlienVault está listo para procesar. 5.1 Pestaña Data Source: Ilustración 202. Vista de Plugins Fuente: pantallazo de la interfaz grafica Ejemplo de la visualización de uno de los plugins Plugin ID EVENT TYPES (1102, http_decode) Ilustración 203. Vista Plugin ID 1102 Fuente: pantallazo de la interfaz grafica 157