DESCRIPCIÓN GENERAL DE

Tamaño: px
Comenzar la demostración a partir de la página:

Download "DESCRIPCIÓN GENERAL DE"

Transcripción

1 DESCRIPCIÓN GENERAL DE

2 1. Introducción OSSIM (Open Source Security Information Management System) agrupa más de 15 programas de código abierto proporcionando todos los niveles tecnológicos necesarios para cubrir el ciclo completo de la gestión de seguridad y crear centros remotos de supervisión de seguridad (SOC). Esta característica lo hace un sistema complejo pero muy potente ya que añade las características de programas de seguridad y monitores de red muy consolidados, tales como Snort, Nessus, Nagios o Ntop. Conjuntamente estas herramientas hacen posible un estrecho control sobre grandes redes, desplegando sensores de bajo costo y controlando la información desde un punto central. Ya existen extensas redes, con cientos de sensores, desplegadas en organizaciones gubernamentales, financieras o de telecomunicaciones. Abstracción El propósito de OSSIM no es solo recolectar la información detallada y en profundidad que los IDS o los monitores pasivos pueden ofrecer, sino también implementar un proceso abstracto en el cual millones de eventos con un formato muy técnico y de bajo nivel, se convierten en unas docenas de alarmas de alto nivel mucho más comprensibles. Una parte principal de la abstracción está sobre todo producida por el Motor de Correlación, que permite al administrador crear Directivas de Correlación o patrones para relacionar diferentes eventos, generando conclusiones de más alto nivel. Un ejemplo típico de correlación podría ser Gusano Detectado después de encontrar un numero anormal de conexiones. También se podrían correlacionar algunas de estas Alarmas de Gusano Detectado para producir un nivel mas alto aún, Alarma de Plaga. También existe una abstracción hecha por las Métricas de Seguridad y los paneles de Riesgos; unos permiten a un administrador crear Métricas específicas (pensando normalmente en el objetivo de cumplir las normas de seguridad) y los otros proporcionan una visualización agregada de la situación de riesgo de cada equipo y red.

3 Filtrado de Falsos Positivos Un objetivo importante de correlacionar los eventos de seguridad es luchar contra el enorme volumen de falsos positivos creados por los IDS y por los dispositivos de seguridad en general. Las organizaciones reciben millones de ellos por día, haciendo imposible para un administrador comprobarlos todos. Las Directivas de Correlación de OSSIM revisan estos eventos buscando evidencias para asegurarse de si son o no ataques reales. Por defecto damos un valor bajo al parámetro Fiabilidad de la mayoría de eventos; solamente aumentará si las comprobaciones proporcionadas por el Motor de Correlación resultan positivas. Como ejemplo, una directiva de correlación comprobará, después de que se haya intentado ejecutar un troyano o exploit, si se produce cualquier respuesta desde el equipo atacado. También comprobará si el canal de comunicación persiste en cuanto a tiempo o datos transmitidos, o incluso si la máquina atacada se comporta de forma anómala durante las siguientes horas. Cada una de las comprobaciones que llegue a ser positiva nos llevará a creer más y más en que se está realizando un ataque real. Las directivas de correlación son administradas por lo que llamamos el proceso de Correlación Lógica, aunque hay otros dos métodos de correlación para eliminar eficazmente los falsos positivos: Correlación de Inventario y Correlación Cruzada. La correlación de inventario comprueba si el ataque afecta a un determinado servicio o sistema operativo, así como la versión de los mismos. Se asegura también de si el sistema atacado tiene ese S.O. y servicio activo, desestimando el evento si no es así. La correlación cruzada (y valga la redundancia) cruza información de los IDS s y los escáneres de vulnerabilidades, priorizando o despriorizando el evento en caso de ser vulnerable o no a ese ataque. Gestión del Riesgo OSSIM actúa, informa y lanza respuestas utilizando parámetros de riesgo. El riesgo se calcula y almacena para cada uno de los eventos recolectados. En el Proceso de Gestión de Seguridad se utiliza esta valoración; se desencadenan respuestas automáticas, se generan informes de alarmas y se toman medidas de la situación de riesgo de las redes. La administración, el ajuste y los procedimientos forenses deben ser guiados por estas medidas. 2. Recopilación de herramientas Herramientas de código abierto Algunos de los productos de código abierto utilizados son: Snort: IDS Nessus: Escáner de vulnerabilidades Ntop: Monitor de red Nagios: Monitor de disponibilidad

4 Osiris y Snare: IDS s de Host Spade y HW Aberant Behaviour: Detectores de anomalías Arpwatch, P0f, Pads, y Fprobe: Monitores pasivos Nmap: Escáner de red Acid/Base: Analizador Forense Otros pequeños programas como Oinkmaster, PHPAcl, fw1logcheck, ScanMap3D, etc OSVDB: Base de datos de vulnerabilidades Herramientas desarrolladas para OSSIM La lista de módulos creados por el equipo de OSSIM para conectar los programas anteriores es: Sistema Recolector. Motor de Correlación Lógica, Cruzada y de Inventario. Gestor de Inventario. Gestores para modificar prioridades, realizar ajustes, y crear Políticas de Recolección. Generador de informes de Seguridad. Gestor de Incidencias y Reacción a ellas. Cumplimiento de Normas de Seguridad y Paneles de Métricas y medidas de Riesgo. 3. Arquitectura Un despliegue típico de OSSIM consiste en 4 elementos: 1. Sensores 2. Servidor de Control 3. Base de Datos 4. Frontal Web A veces se utiliza un primer nivel instalando agentes en las máquinas monitorizadas, tal y como podemos ver. Una característica muy importante es que OSSIM también puede recibir eventos de dispositivos comerciales o aplicaciones personalizadas gracias a una serie de plugins configurables, tanto específicos como genéricos. También se pueden instalar motores de correlación en todos los Sensores, permitiendo correlación o filtrado a un bajo nivel, así como la implementación de políticas de Consolidación de eventos (para reducir drásticamente el ancho de banda).

5 Veamos que software se instala generalmente en cada elemento: Sensor Los sensores son desplegados en diferentes redes para monitorizar su actividad. Generalmente los sensores contienen: Detectores de bajo nivel y monitores que pasivamente (sin afectar al rendimiento de la red) recolectan datos buscando patrones. Escáneres que pueden buscar vulnerabilidades en la red activamente (realizando conexiones). También suelen incluir el Agente OSSIM que recibe datos de máquinas de la red, como por ejemplo un router o firewall, y se comunica con su servidor de gestión padre para enviarle eventos. En una configuración típica, un sensor de OSSIM podría realizar las siguientes funciones. 1. IDS (Snort). 2. Escáner de vulnerabilidades (Nessus). 3. Detección de anomalías (Spade, p0f, pads, arpwatch, RRD aberrant behaviour). 4. Análisis y Monitorización de la red (Ntop). 5. Recolección de datos de elementos locales; routers, firewalls, IDS s, etc. 6. Procesos reactivos, incluso como un Firewall. Servidor de Gestión El Servidor de gestión realiza al menos las siguientes funciones: Una serie de tareas principales tales como son Normalizar, Priorizar, Recolectar, Evaluar el Riesgo, y ejecutar el Motor de Correlación. El mantenimiento y las tareas externas, tales como backups, backups programados, inventario online o lanzamiento de escaneos. Base de Datos La BBDD almacena eventos e información útil para la gestión del sistema. Es una base de datos SQL. Frontal El Frontal o Consola es la aplicación de visualización y gestión de los datos, en este caso un frontal web.

6 4. Reportes OSSIM incluye una gran cantidad de reportes de seguridad para el análisis tanto en tiempo real como forense: Métricas a Medida. Métricas de Riesgo. Consola Forense. Reportes de Seguridad. Reportes de Anomalías. Reportes de Disponibilidad. Reportes de Uso y Perfiles de Red. Que pueden ser mostradas de muchas formas como se ve en los ejemplos: : 5. Funcionalidad El camino que recorren los paquetes consta de varias fases, pudiendo tener cada una de ellas diferentes sub-fases: 5.1. Detectores Detectores por Patrones Llamamos Detector a cualquier programa que escuche en la red, un socket o un fichero de log buscando patrones y produciendo eventos de seguridad cuando coincidan con dichos patrones. La funcionalidad de los detectores tradicionales está basada en patrones, y el mejor ejemplo es un IDS (Intrusion Detection System), que será capaz de detectar patrones definidos utilizando firmas o reglas.

7 Prácticamente cualquier elemento en la red, como por ejemplo un router, una máquina de usuario o un firewall, tiene alguna capacidad para detectar patrones de seguridad. Estos elementos generan logs con los eventos producidos (patrones coincidentes), y esa información se recolecta para los motores de correlación. Detectores por Patrones incluidos en OSSIM OSSIM incluye algunos detectores por patrones de código abierto que se instalan en los Sensores. El detector básico por patrones incluido dentro de OSSIM es el NIDS (Network Intrusion Detection System) Snort. El propio Snort incluye varios preprocesadores para la detección de ataques. Otros detectores incluidos son Snare y el HIDS (Host Intrusion Detection System) Osiris Detectores externos OSSIM también incluye un Sistema Recolector que permite la obtención de datos de otros muchos dispositivos externos. Este Sistema Recolector es alimentado por plugins que hacen posible que se reciban datos de elementos externos, como puedan ser sistemas operativos Windows, Linux y otros UNIX, firewalls como Checkpoint, o dispositivos de red como Cisco. Se incluye una arquitectura de plugins personalizables que hace muy fácil la creación de un plugin específico para cualquier aplicación o dispositivo Detectores por Anomalías La habilidad para detectar anomalías es mas reciente que las coincidencias por patrones. En este caso no tenemos que decir al sistema de detección lo que es bueno y lo que es malo; puede aprender por si mismo y alertarnos cuando estadísticamente el comportamiento se desvíe lo suficiente de lo que ha aprendido como normal. La Detección por Anomalías proporciona un punto de vista que es a la vez diferente y complementario a la Detección por Patrones. Esta técnica ofrece una solución para el control de acceso de usuarios privilegiados, como por ejemplo en los ataques internos realizados por empleados desleales, donde no

8 se viola ninguna política de seguridad y no se ejecuta ningún exploit. En cambio sí que representan una anomalía en el uso y la forma de usar un servicio. Veamos algunos ejemplos donde los detectores de anomalías pueden ser útiles: Un nuevo ataque para el cual todavía no existen firmas podría producir una anomalía obvia aunque sorteasen los sistemas de detección por patrones Un gusano que se haya introducido en la organización, malware, un ataque de spam o incluso el uso de programas P2P generarán un número de conexiones anómalas que serán fáciles de detectar Podemos asimismo detectar: o Uso de servicios poco habituales en los orígenes o destinos de las conexiones o Utilización de los recursos a horas extrañas o Exceso de tráfico o de número de conexiones o Cambios en el sistema operativo de una máquina, en la IP, la dirección MAC, o los servicios activos. Detectores por Anomalías incluidos en OSSIM OSSIM es diferente de la mayoría de los productos SIM en el amplio uso que hace de la detección por anomalías. Los siguientes productos de código abierto están compilados en OSSIM y son utilizados para la detección por anomalías: Spade detecta conexiones inusuales en los puertos y direccionamientos utilizados Plugin Aberrant behaviour (comportamiento aberrante) de Ntop aprende los parámetros de uso normales y alerta cuando no se comportan en la manera predicha. Arpwatch se utiliza para detectar cambios de MAC. P0f se usa para detectar cambios en el S.O. Pads y Nmap detectan nuevos servicios de red que puedan aparecer o cambiar Monitores Monitores de red Creemos que la monitorización es esencial para un sistema de seguridad, y en su ausencia los administradores de seguridad pueden estar ciegos ante eventos pasados ya que podrían no distinguir entre actividad normal y anormal siendo incapaces de ver el comportamiento de la red en su totalidad. OSSIM es diferente de la mayoría de los SIM s porque es capaz de correlacionar la información de cualquiera de los detectores o monitores, permitiéndonos crear Directivas de Correlación muy completas y útiles.

9 Perfiles de uso y Monitorización de Sesiones Los monitores de OSSIM crean un Perfil de uso para cada máquina en la red con la siguiente información: Información de uso de red de la máquina, tal como el número de bytes transmitidos a lo largo del tiempo. Información de actividad de los servicios, como por ejemplo el uso de mail o http La monitorización en tiempo real de las sesiones proporciona una instantánea de la situación de las sesiones en las que ha participado cada máquina OSSIM proporciona estas tres capacidades de monitorización utilizando el monitor pasivo de Ntop, que puede actuar como un sniffer y ver la situación de la red con el grado más alto de detalle. Flows (flujos). Los flujos proporcionan información de tráfico estadística tales como orígenes, destinos, puertos, tráfico y duración de las sesiones. Muchos dispositivos de red, como los routers Cisco, tienen agentes de flujo incluidos en sus sistemas operativos. Esto hace fácil el realizar un análisis de la red extenso y rápido. Los flujos dan una información menos detallada que los sniffers, pero permiten la monitorización distribuida sin tener que desplegar sensores en cada dominio de la red. OSSIM tiene un plugin que permite implementar flujos con fprobe en sus Sensores, siendo la información visualizada dentro de Ntop Monitores de Disponibilidad La disponibilidad de la información es importante para detectar ataques de Denegación de Servicio. OSSIM incluye el monitor de disponibilidad Nagios, capaz de comprobar, mostrar e información de máquinas y redes que no estén disponibles.

10 Incluye también un plugin capaz de recolectar e incluir estos eventos en la correlación, los informes y los procesos de toma de decisiones Monitores personalizados Existe un plugin que hace posible el crear un Monitor Personalizado para extraer cada parámetro que queramos reunir, filtrar o consolidar, y enviar esta información al Servidor para que sea analizada por procesos de mas alto nivel. Esto podría ser útil para lanzar un escaneo de Nmap después de una posible intrusión en una máquina o para comprobar el estado de un SAI después de un apagón Escáneres de Vulnerabilidades Los escáneres de vulnerabilidades permiten auditar la red desde el punto de vista específico en el que están localizados. Buscan debilidades en los dispositivos de las redes analizadas, lanzando tests o simulaciones de ataques para comprobar si los niveles de red, servicio o aplicación son vulnerables desde esos puntos. OSSIM incluye el escáner de seguridad Nessus 2.X, el mas completo y ampliamente distribuido. Éste escáner puede ser instalado en cada uno de los sensores desplegados o en un servidor central, dependiendo de las necesidades de la auditoría. Los escaneos pueden ser lanzados automáticamente mediante un programador de tareas. Los informes individuales con recogidos desde el servidor central, manteniendo así OSSIM una lista de vulnerabilidades para cada máquina de manera que la Correlación Cruzada pueda ser llevada a cabo por el Motor de Correlación. La información histórica de cada vulnerabilidad para cada máquina o red escaneada también se almacena.

11 5.4. Inventariado Automático El inventariado automático se realiza a nivel de los sensores con los detectores pasivos que pueden ver todo el tráfico. Este mecanismo de inventariado está también implementado en el servidor gracias a los escáneres de red que pueden encontrar máquinas y servicios activamente desde un punto central. Ambos métodos alimentan automáticamente la base de datos de inventario con la siguiente información: Tipo de S.O. y Versión. Tipo de Servicio y Versión. Direcciones MAC e IP. OSSIM implementa inventariado automático usando los siguientes programas de código abierto: Nmap como un escáner de red (sin necesidad de instalar Agente). P0f como un detector de S.O. pasivo (sin necesidad de instalar Agente). Pads como un detector pasivo de servicios (sin necesidad de instalar Agente). Arpwatch como un detector pasivo de cambios ARP (sin necesidad de instalar Agente). OCS como un Agente. Es de resaltar que usando estas técnicas, sin instalar ningún Agente, el tipo de S.O. y la información de la versión detectada es únicamente aproximada debido a los métodos de suposición utilizados. Es en el lado del servidor donde la información puede ser insertada o cambiada manualmente Sistema de Colección. El proceso de recolección unifica los eventos de seguridad de todos los sistemas críticos de la organización en un único formato en una sola consola. Con esos eventos unificados seremos capaces de observar todo lo relacionado con el estado de la seguridad en un momento particular del tiempo vengan de donde vengan; un router un firewall, un IDS o un servidor UNIX- en la misma pantalla y con el mismo formato. La recolección de datos puede hacerse de dos formas en la parte del sensor: Enviando los datos desde la máquina a ser analizada, usando un protocolo nativo, al Sensor más cercano que actuará como concentrador. Instalando agentes en la máquina a ser analizada, los cuales enviarán información al sensor. Escoger un método u otro dependerá normalmente de la capacidad de las máquinas de enviar datos hacia el exterior y de lo que se quiera analizar.

12 Agentes y Plugins de OSSIM OSSIM tiene un proceso llamado agente instalado en todos sus sensores. El agente tiene una serie de plugins que permiten analizar sintácticamente todos los eventos específicos para un sistema. Un ejemplo de plugins típicos podrían ser los usados para Windows, Checkpoint o Cisco. La lista actual de plugins se puede consultar en Hay un plugin personalizable que hace más sencilla la recolección de información desde cualquier aplicación o dispositivo Recolección, Normalización y Política de Priorización Los plugins analizarán sintácticamente los logs y el agente los enviará por la red hacia el servidor. Cuando los eventos llegan al servidor, ocurre una normalización de los valores de prioridad. Esta normalización es necesaria ya que cada detector categoriza las prioridades o amenazas de una forma diferente. Por ejemplo, la máxima prioridad de Snort es 3, mientras que UNIX tiene 8 niveles. En OSSIM todos los eventos son normalizados utilizando valores de prioridad entre 0 y 5. Las tablas de normalización tienen una serie de valores por defecto que los administradores pueden cambiar individualmente para cada evento. Existe también un Panel de Política donde la prioridad o la amenaza puede ser contextualizada en la topología de red, asignando por ejemplo valores mas altos a los ataques externos que a los internos, y rebajando la prioridad de los falsos positivos detectados Recolección, Normalización y Política de Priorización. Es posible instalar una política de priorización y directivas de correlación en cada sensor para filtrar y controlar la cantidad y tipo de eventos que serán recogidos. Podemos por ejemplo consolidar un gran número de eventos similares y enviar únicamente uno. Podemos evaluar asimismo el riesgo instantáneo en el nivel del sensor y recoger solo los eventos más importantes. La política de priorización puede descargarse de un servidor padre, de forma que el sensor no necesita acceso directo a una base de datos, y se puede usar una política de priorización global en un servidor central para todos los sensores.

13 6. Correlación La correlación se realiza de 3 formas diferentes: Correlación de diferentes eventos (Correlación Lógica). Correlación de eventos y vulnerabilidades (Correlación Cruzada). Correlación de eventos y sistemas operativos servicios (Correlación de Inventario). La correlación puede reducir el número de eventos de un día de millones a menos de una docena, comprobando cada uno de ellos antes de alertar acerca suyo. Esto da información a la Consola con la que puede generar alarmas e informar de ellas en un formato abstracto mucho más comprensible y fácil de leer. La aproximación del motor de correlación lógica es comprobar todos los eventos. Ya que podemos tener millones de alertas en un día no podemos confiar en ellas a menos que las comprobemos antes. El motor de correlación buscará evidencias o síntomas para analizar si el ataque es real o es un falso positivo Correlación Lógica El principal propósito de la correlación lógica es buscar evidencias para comprobar si un evento de seguridad (o un conjunto de ellos) es verdad o es un falso positivo. Este es un tema importante en los sistemas de seguridad actuales. Podemos tener millones de eventos por día, pero la mayoría de ellos serán falsos positivos. Es necesario tener procesos automáticos para comprobar si un ataque se está llevando a cabo en realidad. El motor de correlación lógica de OSSIM tiene como características: Origen híbrido, aceptando información de entrada tanto de los patrones de los detectores como de los indicadores de los monitores. Arquitectura recursiva ya que la salida serán eventos que pueden ser correlacionados de nuevo por otras directivas de correlación. Arquitectura jerárquica distribuida, ya que podemos definir n niveles de correlación en una topología distribuida. Definiciones flexibles orientadas a objetos y a rangos de tiempo para el escenario de cada directiva. La correlación lógica se realiza mediante directivas de correlación que están implementadas como un árbol de nodos de condiciones lógicas. Este tipo de estructura es también conocido como árbol AND/OR, utilizado generalmente en sistemas de inteligencia artificial y del que OSSIM utiliza un tipo específico.

14 Cuando la condición de un nodo es satisfecha, el motor de correlación saltará al primer nodo hijo. Si no, saltará al siguiente hermano (nodo a la derecha al mismo nivel con el mismo padre). Esto implementa la operación AND en el eje Y y la operación OR en el eje X. La variable de fiabilidad crece según el motor de correlación avanza a través de los nodos comprobando las coincidencias de las condiciones: cuantas mas coincidencias en los nodos tengamos (evidencias), mas posibilidades habrá de que el ataque sea cierto. Cada directiva define un nuevo tipo de evento (heredando su nombre del de la directiva) y tiene una prioridad específica, ya que la mayor parte de las veces indica patrones más amplios que los eventos que lo han generado. Este nuevo evento se tratará como uno mas de los que analiza OSSIM (probablemente con una alta fiabilidad) y será reinsertado en la cola de ejecución tal y como si procediese de un agente externo. Creamos así un camino recursivo donde se pueden implementar diferentes niveles de correlación Correlación Cruzada La correlación cruzada permite priorizar o despriorizar eventos para los que sabemos que un activo determinado es (o no) vulnerable, cruzando la información de los detectores y los escáneres de vulnerabilidades. La correlación cruzada de OSSIM depende de bases de datos de vulnerabilidades y de tablas de correlación cruzada para cada detector. OSSIM utiliza la base de datos de vulnerabilidades de OSVDB y actualmente incluye tablas de correlación cruzada para el IDS Snort y para Nessus Correlación de Inventario. Los ataques que se lanzan son siempre contra objetivos con un S.O. y/o servicio específico. La correlación de inventario comprueba si la máquina atacada utiliza ese S.O. y/o servicio específico para el cual se está lanzando el ataque. Si lo utiliza estaremos seguros de que existe un riesgo, pero si no, podemos confirmar que el evento de ataque es un falso positivo. Este tipo de correlación depende de la precisión del inventario. OSSIM tiene capacidades de realizar inventarios manuales y automáticos para ajustar estos detalles. 7. Gestión del Riesgo Tal y como se ha explicado en la introducción, la arquitectura de OSSIM ha sido diseñada para la gestión del riesgo y la toma de decisiones. Esto significa que todas las decisiones son tomadas teniendo en cuenta la gestión del riesgo, con lo que es necesario comprender el proceso de cálculo del valor del Riesgo y lo que significa cada uno de los parámetros.

15 Solo a través de este conocimiento podrá un administrador conocer como aproximarse al proceso de ajuste y gestión de todo el sistema de seguridad. La importancia en términos de seguridad de un evento depende de los 3 factores siguientes: 1. El valor del activo que sea el destino del ataque, o cuanto dinero cuesta. 2. La amenaza representada por cada evento, o cuanto puede dañar nuestro activo. 3. La probabilidad de que el evento ocurra Visión tradicional: Riesgo Intrínseco. Estos tres factores mencionados son los bloques que construyen la definición tradicional de Riesgo: Una medida del Impacto potencial de una Amenaza en determinados Activos, teniendo en cuenta la probabilidad de que ocurra realmente. A la gestión del riesgo tradicional le afectan los riesgos intrínsecos, o riesgos latentes. En otras palabras, los riesgos que una organización asume tanto por los activos que necesita para su propósito de desarrollo de negocio, como por las amenazas circunstanciales para esos activos Riesgo en Tiempo Real. En nuestro caso, debido a las capacidades de tiempo real de OSSIM podemos medir el riesgo asociado con la situación actual en términos inmediatos. En este caso las medidas del riesgo son incrementadas dependiendo del daño que podrían producir y la probabilidad de que la amenaza esté realmente teniendo lugar en el presente. Esa probabilidad, que es una derivación de los falsos positivos producidos por nuestros detectores, se convierte en el grado de fiabilidad del evento. En otras palabras, una forma de medir cuán a menudo este evento es un falso positivo. Por riesgo inmediato queremos decir el estado del riesgo producido cuando se recibe un evento y es valorado instantáneamente como una medida del daño que el ataque podría producir, aumentado por la fiabilidad del evento que creó el informe. Una de las principales razones por las que los sistemas SIM se necesitan es para luchar contra los falsos positivos ya que una organización puede recibir millones en un día. El sistema OSSIM está completamente diseñado para manejar estos tres parámetros: Activos. Amenazas (que llamamos prioridades). Fiabilidad. Gracias a ello se producen parámetros de riesgo en tiempo real para cada evento.

16 8. Respuestas automáticas Una vez que recibimos una alarma de un ataque que está teniendo lugar, podemos desencadenar respuestas automáticas para llevar a cabo acciones relacionadas con este ataque. Este tipo de acciones, a través de las respuestas en tiempo real, permite a los administradores ahorrar tiempo. Las respuestas crean acciones predefinidas tales como enviar un , bloquear la conexión a nivel del firewall, o desactivar el puerto de un switch. Estas acciones utilizan una serie de variables como SRC_IP, DATE, etc.., que son sustituidas en tiempo real cuando alguna respuesta utiliza dicha acción. Después de definir un set de acciones genéricas estableceremos una política para dispararlas, muy similar a la política de priorización. 9. Gestión de Incidentes OSSIM incluye un Gestor de Incidencias que controla la asignación de tareas que se tienen que realizar debido a las acciones resultantes de los eventos de seguridad. El Gestor de Incidencias permite crear tickets de la mayor parte de las herramientas de informes de OSSIM, tales como el panel de alarmas, la consola forense, las métricas de riesgo, o las puntuaciones de los paneles informativos. Cada uno de los tickets generados se almacena en la BBDD y una herramienta de búsqueda los filtra. Procesando estos datos, se imprime un Informe de Explotación de forma automática y periódica. Es posible también mostrar las tendencias e implementar métricas para medir la situación en el momento actual, siguiendo la evolución a través del tiempo. 10. Informes de Seguridad y Análisis Forense Como parte de los Procedimientos de Gestión de Seguridad los administradores deben revisar periódicamente los Informes de Seguridad y efectuar un Análisis Forense Informes de Seguridad Los informes de seguridad se generan automáticamente usando información de diferentes bases de datos. Estos informes dan una visión general del estado de la seguridad, agregando datos desde diferentes puntos de vista: Eventos estadísticos de seguridad por origen, destino y tipo. Anomalías. Informes de IDS de host. Informes de Vulnerabilidades.

17 Análisis Forense La herramienta de análisis forense es un frontal que gestiona la base de datos de eventos almacenados con una gran cantidad de vistas, permitiendo filtrarlos utilizando cualquiera de los campos de dichos eventos. 11. Métricas y medidas Hay dos paneles de métricas implementados en OSSIM Panel de medidas de Cumplimiento de las Normas OSSIM permite medir, mostrar tendencias evolutivas y crear umbrales para los parámetros de seguridad creando paneles específicos para las normativas existentes. Estas métricas de objetos se muestran normalmente como gráficos que realizan un seguimiento a los parámetros monitorizados, permitiendo compararlos con periodos de tiempo anterior, ofreciendo una rápida visualización abstracta y medible de la situación de seguridad.

18 Métricas de Riesgo Acumulado El panel de puntuación de métricas de riesgo consolida el parámetro de riesgo para cada objeto, produciendo una visualización agregada de la situación de riesgo para cada máquina y red. Se definen umbrales para disparar alarmas en caso de que las métricas crezcan por encima de valores que no se consideren normales.

Gestión de la Seguridad con OSSIM

Gestión de la Seguridad con OSSIM Mayo del 2006 www.itdeusto.com Gestión de la Seguridad con OSSIM Gonzalo Asensio Asensio Jefe de Proyecto Seguridad Informática gasensio@itdeusto.com La Seguridad en IT-Deusto Área de Seguridad IT Deusto

Más detalles

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla Marco Teórico SIM/SIEM: Security Information and Event Management. Un Administrador de eventos de seguridad (SEM) (siglas SIEM y SIM) es una herramienta informática utilizada en la empresa de redes de

Más detalles

UNIVERSIDADES CATALANAS

UNIVERSIDADES CATALANAS UNIVERSIDADES CATALANAS Barcelona 26 de junio de 2012 Victorino Martin Jorcano vmartin@alienvault.com Federico II de Prusia El Grande Es perdonable ser vencido pero nunca ser sorprendido Información Comunicación

Más detalles

Análisis de la plataforma Ossim

Análisis de la plataforma Ossim Análisis de la plataforma Ossim Sistema de gestión de la información Open Source Autor: Adrián Puchades Olmos. Dirigido por: Lourdes Peñalver Herrero. Universidad Politécnica de Valencia Master en Ingeniería

Más detalles

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager IBM Security Systems QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar constituye una plataforma de inteligencia de seguridad líder en el mercado gracias a su enorme capacidad de aportar inteligencia

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

Autor: Angel Alonso Párrizas Director: Santiago Felici Castell. Ingeniería informática Universitat de València

Autor: Angel Alonso Párrizas Director: Santiago Felici Castell. Ingeniería informática Universitat de València Propuesta de una arquitectura de sistemas de detección de intrusos con correlación. Autor: Angel Alonso Párrizas Director: Santiago Felici Castell Noviembre 2005 Haga clic TABLA para cambiar DE CONTENIDOS

Más detalles

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU VIVIANA ISABEL ESPINOSA PEÑA 1150017 ANA KATERINE MONTESINOS GELVEZ 1150013 PROFESOR: JEAN POLO CEQUEDA MATERIA: SEGURIDAD INFORMATICA UNIVERSIDAD

Más detalles

Monitorización de sistemas y servicios

Monitorización de sistemas y servicios Monitorización de sistemas y servicios Contenidos Contenidos... 1 Resumen ejecutivo... 2 Arquitectura de la plataforma de monitorización... 2 Monitorización y alarmas... 3 Monitorización... 3 Servicios

Más detalles

Semana 3: Con Con r t o r l de Acceso

Semana 3: Con Con r t o r l de Acceso Semana 3: Control de Acceso Intrusiones Aprendizajes esperados Contenidos: Verificación de la seguridad Detección de Intrusiones Métodos de ataque Qué es una INTRUSIÓN? Vamos a dfii definir INTRUSIÓN como

Más detalles

Seguridad en Redes (Monitoreo y Control)

Seguridad en Redes (Monitoreo y Control) Seguridad en Redes (Monitoreo y Control) Problema Las Redes de computadores estan diseñadas para lograr el maximo de conectividad. Por lo generar una red corporativa provee un conjunto de servicios criticos

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

Inteligencia Artificial y Seguridad Informática. en plataformas Open Source

Inteligencia Artificial y Seguridad Informática. en plataformas Open Source Inteligencia Artificial y Seguridad Informática en plataformas Open Source Jornadas de Software Libre y Seguridad Informática Santa Rosa La Pampa 4 y 5 de Diciembre de 2009 AGENDA Primera Parte Definiciones

Más detalles

SAQQARA. Correlación avanzada y seguridad colaborativa_

SAQQARA. Correlación avanzada y seguridad colaborativa_ SAQQARA Correlación avanzada y seguridad colaborativa_ Tiene su seguridad 100% garantizada con su SIEM?_ Los SIEMs nos ayudan, pero su dependencia de los eventos y tecnologías, su reducida flexibilidad

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Leonardo Uzcátegui uzcategui@gmail.com

Leonardo Uzcátegui uzcategui@gmail.com Leonardo Uzcátegui uzcategui@gmail.com WALC 2012 Ciudad de Panamá 09/10/2012 1 Problemática Monitoreo, definición Clases de Monitoreo Monitoreo de Desempeño Indicadores de Desempeño Orientados al Servicio

Más detalles

Bluecoat Reporter Guía de Usuario

Bluecoat Reporter Guía de Usuario Bluecoat Reporter Guía de Usuario Índice 1. DESCRIPCIÓN... 2 2. ACCESO A LA CONSOLA DE MANAGEMENT REPORTER... 3 3. EL DASHBOARD... 4 3.1 VENTANAS DE REPORTES... 6 3.2 AGREGANDO REPORTES... 6 4. REPORTES...

Más detalles

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License. This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/ Hugo

Más detalles

Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente

Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente En este capítulo definimos los requisitos del modelo para un sistema centrado en la mejora de la calidad del código fuente.

Más detalles

Revisión práctica de IDS. por Sacha Fuentes

Revisión práctica de IDS. por Sacha Fuentes por Sacha Fuentes Análisis forense El objetivo es la reconstrucción de los hechos que tienen lugar desde que el sistema estaba íntegro hasta que se ha detectado el acceso no autorizado Deberemos intentar

Más detalles

Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL

Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL PUNTOS DESTACADOS Presentación de RSA Security Analytics, que proporciona: Monitoreo de seguridad Investigación de incidentes Creación

Más detalles

Identificar los problemas y las soluciones... 3. Tipos de registros de eventos... 4 Cómo ver los detalles de un evento... 5

Identificar los problemas y las soluciones... 3. Tipos de registros de eventos... 4 Cómo ver los detalles de un evento... 5 Tabla de Contenido 1. La administración de log de eventos... 1 2. Uso significativo de Event Logs... 3 Identificar los problemas y las soluciones... 3 3. Event Viewer... 4 Tipos de registros de eventos...

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles

Babel Enterprise 2.0. Gestión de la seguridad para entornos corporativos. Area de Sistemas y Seguridad

Babel Enterprise 2.0. Gestión de la seguridad para entornos corporativos. Area de Sistemas y Seguridad Babel Enterprise 2.0 Gestión de la seguridad para entornos corporativos Area de Sistemas y Seguridad Qué es Abartia Team? Consultoría tecnológica de Software Libre Especializada en Sistemas y Seguridad,

Más detalles

Kaspersky Anti-Virus 2012 Kaspersky Internet Security 2012

Kaspersky Anti-Virus 2012 Kaspersky Internet Security 2012 Kaspersky Anti-Virus 2012 Kaspersky Internet Security 2012 PAGE 2 Protección ante Nuevas Amenazas Escenario de las amenazas y respuestas Escenario de las amenazas: crecimiento del malware > 200,000,000

Más detalles

Implantación n de OSSIM en la Autoridad de Certificación n de la Comunidad Valenciana

Implantación n de OSSIM en la Autoridad de Certificación n de la Comunidad Valenciana Implantación n de OSSIM en la Autoridad de Certificación n de la Comunidad Valenciana Julio de 2.007 Angel Alonso Párrizas aalonso@accv.es CISSP, CCNA, SANS SSP-MPA, SANS SSP-CNSA Agenda Objetivos del

Más detalles

Control de Cambios y Audit Trail Rastreo de eventos críticos y cambios relevantes

Control de Cambios y Audit Trail Rastreo de eventos críticos y cambios relevantes 01/04/2013 Ingelan Control de Cambios y Audit Trail Rastreo de eventos críticos y cambios relevantes No es suficiente con cumplir la normativa GMP. Para que sea eficaz, debe ser creíble La normativa obliga

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Ing. Leonardo Uzcátegui luzcategui@idtic.com. WALC 2010 Santa Cruz de la Sierra /Bolivia

Ing. Leonardo Uzcátegui luzcategui@idtic.com. WALC 2010 Santa Cruz de la Sierra /Bolivia Ing. Leonardo Uzcátegui luzcategui@idtic.com WALC 2010 Santa Cruz de la Sierra /Bolivia 12/10/2010 1 Problemática Monitoreo, definición Clases de Monitoreo Monitoreo de Desempeño Indicadores de Desempeño

Más detalles

Arquitectura de sensores de seguridad para. la correlación de eventos

Arquitectura de sensores de seguridad para. la correlación de eventos Arquitectura de sensores de seguridad para la correlación de eventos Lic. Javier Diaz Lic. Nicolás Macia Lic. Paula Venosa Lic. Miguel Luengo Ms. Lía Molinari C.C. Viviana Ambrosi (*) { javierd, nmacia,

Más detalles

OSSIM. Descripción General del Sistema. Open Source Security Information Management. Martes, 21 de octubre de 2003 Versión: 0.17

OSSIM. Descripción General del Sistema. Open Source Security Information Management. Martes, 21 de octubre de 2003 Versión: 0.17 OSSIM Open Source Security Information Management Descripción General del Sistema Martes, 21 de octubre de 2003 Versión: 0.17 Equipo El equipo desarrollador del proyecto en la actualidad es: Dominique

Más detalles

Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal

Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal función la protección de toda la Red, ya sea LAN, WAN

Más detalles

Seguridad Informática con Software Libre

Seguridad Informática con Software Libre 1 Seguridad Informática con Software Libre Lic. Julio C. Ardita jardita@cybsec cybsec.comcom 1er Encuentro de Software Libre en el Estado 13 de Mayo de 2005 Santa Cruz - ARGENTINA 2 Temario La seguridad

Más detalles

NETFLOW Herramientas de análisis de tráfico

NETFLOW Herramientas de análisis de tráfico NETFLOW Herramientas de análisis de tráfico Humberto Rodríguez Jorge Agenda Introducción Características esenciales de Netflow Hardware y Configuración Herramientas de Análisis de Tráfico Conclusiones

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

Panda Managed Office Protection Visita a la Consola web de Administración

Panda Managed Office Protection Visita a la Consola web de Administración Panda Managed Office Protection Visita a la Consola web de Administración Panda Managed Office Protection Visita Guiada a la Consola Web de Administración Centralizada Marzo 2009 Tabla de contenidos 1.

Más detalles

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.es KASPERSKY FRAUD PREVENTION 1. Formas de atacar a la banca online El primer motivo del cibercrimen es hacer dinero y las sofisticadas bandas criminales

Más detalles

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad A la hora de monitorizar y validar la conformidad es necesaria

Más detalles

UNIVERSIDAD NACIONAL DE INGENIERIA FEC

UNIVERSIDAD NACIONAL DE INGENIERIA FEC Redes de Computadoras Manual de OSSIM UNIVERSIDAD NACIONAL DE INGENIERIA FEC MANUAL DE OSSIM (Open Source Security Information Management) Nombre: Mariana Mercedes Tenorio Martínez Carne: 2005-20583 Grupo:

Más detalles

Prácticas y Tecnologías de Seguridad Informática

Prácticas y Tecnologías de Seguridad Informática El estado del arte actual Iván Arce І ivan.arce@corest.com Prácticas y Tecnologías Agenda El estado actual: Prácticas Penetration Tests El estado actual: Herramientas Vulnerability Scanners Intrusion Detection

Más detalles

3. Acceso granular a su información. 4. Información no estructurada. 5. Privilegios de accesos granulares. 6. Almacenamiento de conocimiento

3. Acceso granular a su información. 4. Información no estructurada. 5. Privilegios de accesos granulares. 6. Almacenamiento de conocimiento ÍNDICE 1. Introducción 2. Análisis Forense 3. Acceso granular a su información 4. Información no estructurada 5. Privilegios de accesos granulares 6. Almacenamiento de conocimiento 7. Patrones de comportamiento

Más detalles

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. 1 Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. Descripción del problema. Generalmente las herramientas de seguridad como los antivirus, firewalls, IDS

Más detalles

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 16 CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC299_2 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

SIN CLASIFICAR SIN CLASIFICAR

SIN CLASIFICAR SIN CLASIFICAR Sistema de Alerta Temprana en Internet SAT / CCN-CERT LIMITACIÓN DE RESPONSABILIDAD El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente cualquier tipo

Más detalles

CL_55004 Installing and Configuring System Center 2012 Operations Manager

CL_55004 Installing and Configuring System Center 2012 Operations Manager Installing and Configuring System Center 2012 Operations Manager www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P. 03800, México, D.F. Tel/Fax: 52785560 Introducción Este curso proporciona

Más detalles

Redes Limpias. TELEFÓNICA GRANDES EMPRESAS A.N. Seguridad Fecha: 2010

Redes Limpias. TELEFÓNICA GRANDES EMPRESAS A.N. Seguridad Fecha: 2010 Redes Limpias A.N. Seguridad Fecha: 2010 Índice 01 Redes Limpias - Compromisos de la Red Activa - Beneficios del Servicio 02 Redes Limpias Internet 2 01 Redes Limpias Compromisos de la Red Activa y Beneficios

Más detalles

Actualmente, navegar por la Red y utilizar el correo electrónico son actividades cotidianas.

Actualmente, navegar por la Red y utilizar el correo electrónico son actividades cotidianas. Actualmente, navegar por la Red y utilizar el correo electrónico son actividades cotidianas. Los delincuentes aprovechan esta situación, y envían más de 100.000 ataques nuevos cada día a a través de Internet,

Más detalles

Técnico en Seguridad en Redes Locales

Técnico en Seguridad en Redes Locales Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico en Seguridad en Redes Locales Duración: 300 horas Precio: 200 * Modalidad: Online * Materiales didácticos, titulación y gastos de envío incluidos.

Más detalles

UD 4: Instalación y configuración de cortafuegos

UD 4: Instalación y configuración de cortafuegos UD 4: Instalación y configuración de cortafuegos Cortafuegos software y hardware Luis Alfonso Sánchez Brazales 1 Cortafuegos software integrados en los sistemas operativos Un firewall gratuito es un Software

Más detalles

DESAYUNOS DE TRABAJO 2008. Murcia, 5 de Marzo

DESAYUNOS DE TRABAJO 2008. Murcia, 5 de Marzo DESAYUNOS DE TRABAJO 2008 Murcia, 5 de Marzo Visión de ASM- El primer paso para mejorar la Productividad es identificar las pérdidas, el despilfarro. No se puede gestionar aquello que no se mide, es decir,

Más detalles

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope.

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope. DENOMINACIÓN: Código: IFCT0609 Familia profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC303_3

Más detalles

Tesina: Integración de herramientas de seguridad para redes informáticas

Tesina: Integración de herramientas de seguridad para redes informáticas Tesina: Integración de herramientas de seguridad para redes informáticas Autores: Matías Pagano y Einar Felipe Lanfranco Director: Francisco Javier Díaz Codirectora: Paula Venosa Resumen Componentes a

Más detalles

Guía de MANEJO SERVICIO WEBSEGURA. Pymes

Guía de MANEJO SERVICIO WEBSEGURA. Pymes Guía de MANEJO SERVICIO WEBSEGURA Definición de los servicios incluidos.» SISTEMA DE FILTRADO DE CONTENIDO WEB AVANZADO. El usuario tiene la opción de bloquear la navegación web de contenido de Internet

Más detalles

Arquitectura de Redes y Sistemas de Telecomunicación

Arquitectura de Redes y Sistemas de Telecomunicación Práctica 0 Arquitectura de Redes y Sistemas de Telecomunicación Introducción al Wireshark Fundamentos del analizador de protocolos Wireshark. Objetivos En esta introducción se pretenden adquirir las capacidades

Más detalles

Cuaderno de notas del OBSERVATORIO

Cuaderno de notas del OBSERVATORIO Cuaderno de notas del OBSERVATORIO Instituto Nacional de Tecnologías de la Comunicación CORTAFUEGOS (FIREWALLS): QUÉ SON Y PARA QUÉ SIRVEN Los firewalls o cortafuegos son una de las herramientas básicas

Más detalles

Bitácora del sistema - Introducción

Bitácora del sistema - Introducción Bitácora del sistema M A T E R I A : A R Q U I T E C T U R A A V A N Z A D A P R O F E S O R : J U A N J O S E M U Ñ O Z A L U M N O : F E D E R I C O D I B E N E D E T T O M A T R I C U L A : 7 6 5 6

Más detalles

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Índice de contenido Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts...1 Licencia...1 Cortafuegos...1 Sin estado...2 Con estado

Más detalles

Cortafuegos software y hardware. Gabriel Montañés León

Cortafuegos software y hardware. Gabriel Montañés León Cortafuegos software y hardware Gabriel Montañés León * Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal

Más detalles

INFORMATICA MARFER S.L

INFORMATICA MARFER S.L Solución para tus planes de contingencia y continuidad de negocio Copias de seguridad remotas vía Internet de grandes volúmenes de información Backup remoto es un software multiplataforma de alto rendimiento

Más detalles

MS_10747 Administering System Center 2012 Configuration Manager

MS_10747 Administering System Center 2012 Configuration Manager Administering System Center 2012 Configuration Manager www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P. 03800, México, D.F. Tel/Fax: 52785560 Introducción Este curso describe cómo

Más detalles

SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS

SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS Con los Servicios Gestionados se transfieren, parcial o totalmente, las responsabilidades y operaciones relacionadas con el área de seguridad a un tercero

Más detalles

Implementación, aprovisionamiento y actualización de Windows Server con System Center

Implementación, aprovisionamiento y actualización de Windows Server con System Center Implementación automatizada y centralizada, aprovisionamiento y actualización de Windows Server La implementación y el mantenimiento de Windows Server en sistemas operativos de centros de datos y entornos

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

SOLUCIONES PARA EMPRESA

SOLUCIONES PARA EMPRESA SOLUCIONES PARA EMPRESA 2 Soluciones para empresa Tanto si acabas de montar tu empresa como si ya lleva tiempo establecida, hay algunas cosas que deberías esperar del producto de seguridad que usas a diario.

Más detalles

Monitorización de red como elemento esencial en el concepto de seguridad de TI

Monitorización de red como elemento esencial en el concepto de seguridad de TI Monitorización de red como elemento esencial en el concepto de seguridad de TI White Paper Autor: Daniel Zobel, Head of Software Development, Paessler AG Publicación: julio 2013 PÁGINA 1 DE 8 Contenido

Más detalles

Monitorización y gestión de dispositivos, servicios y aplicaciones

Monitorización y gestión de dispositivos, servicios y aplicaciones Monitorización y gestión de dispositivos, servicios y aplicaciones Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefa del Servicio de Informática - Secretaría General Técnica

Más detalles

Título de la pista: Windows Server 2012 Detalles técnicos de redes

Título de la pista: Windows Server 2012 Detalles técnicos de redes Título de la pista: Windows Server 2012 Detalles técnicos de redes Módulo 2: Administración de la dirección IP Manual del módulo Autor: James Hamilton-Adams, Content Master Publicado: [introducir fecha]

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for SharePoint. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

Monitorización para redes, aplicaciones, servidores y entornos virtuales - 2 -

Monitorización para redes, aplicaciones, servidores y entornos virtuales - 2 - Junio 2014 Monitorización para redes, aplicaciones, servidores y entornos virtuales - 2 - 1 EL PORQUÉ DE LA MONITORIZACIÓN HOY Medir Controlar Rectificar Procesos de negocio Sistemas KPI s Outsourcing

Más detalles

SIS 301 Operación y mantenimiento 15 minutos

SIS 301 Operación y mantenimiento 15 minutos SIS 301 Operación y mantenimiento 15 minutos O Generalidades 1 Planificación 2 Procedimientos 3 Responsabilidades del personal de operación 4 Responsabilidades del personal de mantenimiento 5 Mantenimiento

Más detalles

Práctica de Seguridad en Redes

Práctica de Seguridad en Redes Práctica de Seguridad en Redes Juan Boubeta Puig y Antonio García Domínguez Seguridad y Competencias Profesionales Departamento de Ingenieria Informatica Universidad de Cadiz Curso 2012-2013 1. Descripción

Más detalles

Política de Continuidad del Negocio de BME Clearing

Política de Continuidad del Negocio de BME Clearing Política de Continuidad del Negocio de BME Clearing Contenido 1. Introducción 1 2. Objetivos globales de la Política de Continuidad 1 3. Alcance de la Política de Continuidad del Negocio de BME CLEARING

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

SEDA. Servicio Ejecución Distribuida de Aplicaciones. Dossier de Presentación. Versión 1.0

SEDA. Servicio Ejecución Distribuida de Aplicaciones. Dossier de Presentación. Versión 1.0 SEDA Servicio Ejecución Distribuida de Aplicaciones Dossier de Presentación Versión 1.0 2 SEDA Edificio RD Sistemas 1 ÍNDICE 1 ÍNDICE 3 2 EVOLUCIÓN TECNOLÓGICA DE RDSISTEMAS5 3 ARQUITECTURA SEDA 6 3.1

Más detalles

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e intercambian. En este último capítulo vamos a abordar los sistemas

Más detalles

BITDEFENDER GRAVITYZONE

BITDEFENDER GRAVITYZONE BITDEFENDER GRAVITYZONE Notas de prensa para la versión 5.0.5 Bitdefender GravityZone Notas de prensa para la versión 5.0.5 fecha de publicación 2013.07.10 Copyright 2013 Bitdefender Advertencia legal

Más detalles

La seguridad informática en las empresas. El reto y su solución

La seguridad informática en las empresas. El reto y su solución Sage Security Center Seguridad SaaS para todos tus PCs, portátiles y servidores: La solución ligera, segura y fácil. La seguridad informática en las empresas. El reto y su solución Los delitos informáticos,

Más detalles

Novedades en Pandora FMS 4.0

Novedades en Pandora FMS 4.0 Novedades en Pandora FMS 4.0 Notas para la versión 4.0 de Pandora FMS Versiones OpenOffice/PDF 1º Edición, 10 Agosto de 2011 Artica Soluciones Tecnológicas 2005-2011 1 PANDORA FMS 4.0 Esta nueva versión,

Más detalles

Implantación y Aceptación del Sistema

Implantación y Aceptación del Sistema y Aceptación del Sistema 1 y Aceptación del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD IAS 1: ESTABLECIMIENTO DEL PLAN DE IMPLANTACIÓN...5 Tarea IAS 1.1: De finición del Plan de... 5 Tarea IAS

Más detalles

Guía de Instalación para clientes de WebAdmin

Guía de Instalación para clientes de WebAdmin Panda Managed Office Protection Guía de Instalación para clientes de WebAdmin Tabla de contenidos 1. Introducción... 4 2. Instalación de Panda Managed Office Protection a partir de una instalación de Panda

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

Transformación de las Operaciones de Seguridad

Transformación de las Operaciones de Seguridad Transformación de las Operaciones de Seguridad Douglas Casas Regional Sales Manager douglas.casas@rsa.com 1 Agenda Administración de información sobre seguridad Detección de incidentes de alto riesgo Optimización

Más detalles

Audit for Printers. www.intellidata.com.ar www.facebook.com/intellidata

Audit for Printers. www.intellidata.com.ar www.facebook.com/intellidata www.intellidata.com.ar www.facebook.com/intellidata Lixian Audit es una aplicación para registrar todas las impresoras que hay en una red y luego auditar todas las impresiones que se realicen en ellas.

Más detalles

Escogiendo un sistema host

Escogiendo un sistema host 2002 Emerson Process Management. Todos los derechos reservados. Vea este y otros cursos en línea en www.plantwebuniversity.com. Fieldbus 402 Escogiendo un sistema host Generalidades Experiencia del proveedor

Más detalles

ALIENVAULT TECHNICAL WHITE PAPER. Guía Del Técnico Para Establecer Un Centro De Operaciones De Seguridad

ALIENVAULT TECHNICAL WHITE PAPER. Guía Del Técnico Para Establecer Un Centro De Operaciones De Seguridad Guía Del Técnico Para Establecer Un Centro De Operaciones De Seguridad Esta guía pretende ofrecer a la audiencia técnica la información fundamental necesaria para evaluar los controles de seguridad esenciales

Más detalles

Implantación de un Sistema de Gestión de Seguridad de la Información según la

Implantación de un Sistema de Gestión de Seguridad de la Información según la Implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502 Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefe de Sistemas de Información - Secretaría

Más detalles

WatchGuard Technologies

WatchGuard Technologies WatchGuard Technologies 2012 Acerca de WatchGuard > Fundada en 1996 en Seattle, privada en 2006 > Pioneros de Firewall como appliance > Más de 1 000.000 de dispositivos operando en todo el mundo Accolades

Más detalles

Lección 5: Seguridad Perimetral

Lección 5: Seguridad Perimetral Lección 5: Seguridad Perimetral Alejandro Ramos Fraile aramosf@sia.es Tiger Team Manager (SIA company) Security Consulting (CISSP, CISA) Madrid, España, febrero 2011 Video intypedia005es intypedia 2011

Más detalles

Presentación Corporativa. Área de Sistemas y Seguridad 2008

Presentación Corporativa. Área de Sistemas y Seguridad 2008 Presentación Corporativa Área de Sistemas y Seguridad 2008 Qué es Abartia Team? Consultoría tecnológica especializada en: Soluciones Libres para Desarrollo Web Avanzado (Ingeniería y Posicionamiento Web).

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for Mail Servers. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

MANUAL DE USUARIO Cloud Email Firewall 4.3.1-3 1. Cloud Email & Web Security

MANUAL DE USUARIO Cloud Email Firewall 4.3.1-3 1. Cloud Email & Web Security MANUAL DE USUARIO Cloud Email Firewall 4.3.1-3 1 Contenido 1 INTRODUCCIÓN A CLOUD EMAIL FIREWALL... 4 1.1 QUÉ ES CLOUD EMAIL FIREWALL?... 4 1.1.1 Por qué Cloud Email Firewall es diferente?... 4 1.1.2 Es

Más detalles

Product Description. Control de tráfico para redes empresariales y Service Providers

Product Description. Control de tráfico para redes empresariales y Service Providers Product Description Control de tráfico para redes empresariales y Service Providers Contents 1 DESCRIPCIÓN DE LOS SERVICIOS DE CONTROL QUE PROPORCIONA ALLOT...1 2 CARACTERÍSTICAS TÉCNICAS DE LOS PRODUCTOS

Más detalles

Actualidad de la tecnología de detección de intrusos en las redes

Actualidad de la tecnología de detección de intrusos en las redes VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003 Actualidad de la tecnología de detección de intrusos en las redes MSc. Walter Baluja García walter@tesla.cujae.edu.cu Dpto. Telemática

Más detalles

Monitorización de red

Monitorización de red Gestión y Planificación de Redes y Servicios Monitorización de red Area de Ingeniería Telemática http://www.tlm.unavarra.es Grado en Ingeniería en Tecnologías de Telecomunicación, 4º Monitorización de

Más detalles

SEGURIDAD PERIMETRAL

SEGURIDAD PERIMETRAL SEGURIDAD PERIMETRAL MONITOREO DE RECURSOS DE RED Dirección General de Servicios de Cómputo Académico MONITOREO DE RECURSOS DE RED Primera Edición ING. CARLOS ALBERTO VICENTE ALTAMIRANO UNIVERSIDAD NACIONAL

Más detalles

Solución para tus planes de contingencia y continuidad de negocio

Solución para tus planes de contingencia y continuidad de negocio Solución para tus planes de contingencia y continuidad de negocio Copias de seguridad remotas vía Internet de grandes volúmenes de información ε-indi backup remoto es un software multiplataforma de alto

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

NEXT GENERATION FIREWALL

NEXT GENERATION FIREWALL NEXT GENERATION FIREWALL Los modelos NG1000-A y NG5000-A han sido diseñados para proteger servidores de comercio electrónico de alto tráfico, redes universitarias dinámicas o cualquier otro entorno en

Más detalles

PRTG NETWORK MONITOR. Instalado en segundos. Configurado en minutos. Domine su red por los próximos años.

PRTG NETWORK MONITOR. Instalado en segundos. Configurado en minutos. Domine su red por los próximos años. PRTG NETWORK MONITOR Instalado en segundos. Configurado en minutos. Domine su red por los próximos años. PRTG Network Monitor es... MONITORIZACIÓN DE RED La monitorización de red continuamente recauda

Más detalles