SOFTWARE DE MONITOREO

RICARDO CASTAÑEDA

ELIZABETH AGUIRRE

ANDRES CARVAJAL

JULIET MUÑOZ

SENA

GESTION DE REDES DE DATOS

FICHA 600088

NOVIEMBRE DE 2014

¿Cómo

aseguramos

nuestra empresa?

Buscamos actividad

que pueda ser

sospechosa

Unimos todas

las piezas

Determinamos que

tiene Valor

Identificamos como

pueden afectar lo que

es valioso

Identificamos

Amenazas

Recolección de Logs

Análisis de NetFlows

Monitorización Disponibilidad

Correlación de eventos

Respuesta a

Incidentes

Análisis de la Red

Inventario de Activos

escaneos

Vulnerabilidades

IDS de Red

IDS de Host

IDS Wireless

AlienVault Unified Security Management

5 Capacidades principales del USM

AlienVault’s Unified Security Management™ (USM™)

proporciona una forma rápida y rentable para las organizaciones

de hacer frente a las necesidades de gestión de amenazas y

cumplimento.

Con todos los controles de seguridad esenciales

incorporados, AlienVault USM provee una visibilidad completa de la

seguridad de la información.

Automatización de Inventario para los activos críticos

El descubrimiento de activos nos permite crear un

inventario de los activos desplegados, logrando con ello dar

un primer paso para la evaluación de vulnerabilidades,

detección de amenazas, apreciación del comportamiento de la

red y de los servicios para detectar violaciones en las políticas

corporativas.

Detecta que activos son vulnerables a los ataques

Mediante la combinación de la visibilidad completa y actualizada de los

sistemas a través de las herramientas de evaluación de vulnerabilidades,

AlienVault ha incorporado medidas preventivas de seguridad. La evaluación de

vulnerabilidades permite identificar posibles debilidades en los sistemas y así

priorizar las acciones para mejorar su nivel de seguridad.

Identifica exploits específicos utilizados en los ataques

Con una amplia base de conocimiento, el Sistema de Detección deIntrusiones en la red que AlienVault incorpora el análisis del tráfico de red paradetectar firmas de ataques conocidos, e identificar patrones de los métodos deataque conocidos. Esto proporciona una visibilidad inmediata de los ataques quese utilizan en contra de su sistema.

Identifica los comportamientos anormales

Los cambios en el comportamiento de las redes, sistemas y servicios pueden

indicar una defensa débil o violación de seguridad. Para ello se combina el

análisis del flujo de red para identificar los cambios sufridos, la captura de

paquetes completos para el análisis forense y el seguimiento de servicios

activos para verificar proactivamente cambios en los servicios

Inteligencia en la Seguridad de la Información en acción

Dar un valor añadido a la gran cantidad de información recogida es unos de

los grandes objetivos de la Inteligencia de seguridad. Así, mediante la

automatización de la correlación de eventos en tiempo real podemos hacer

que un trozo de información que por sí solo no significa nada, puede ser una

pieza muy importante de un conjunto global.

IDS de Red

IDS de Red-Snort

• Snort es un sistema de detección de intrusos a nivel de red.

• Dispone de un lenguaje de creación de reglas en el que se pueden definir los patrones (reglas) que se utilizarán a la hora de monitorizar el sistema.

• Snort es uno de los NIDS más utilizados en todo el mundo, su proyecto arranco en 1998 de la mano de Martin Roesch.

• Es bastante útil para identificar: Malware, Escáneo de Puertos, Violación de Políticas(P2P, IM, Porn, Games...).

IDS de Red-Suricata

• Suricata es un sistema de detección de intrusos de red de la Open

Information Security Foundation (OISF).

• Es multiproceso, lo que significa que puede ejecutar una instancia y va a

equilibrar la carga de procesamiento a través de cada procesador.

• Reconocimiento de los protocolos más comunes

automáticamente, permitiendo escribir reglas basadas en protocolos.

• Suricata es compatible con las reglas de Snort.

IDS de Red-Ossec

• OSSEC es un HIDS (Host-level Intrusion Detection System) que permite análisis de logs, detección de rootkit, chequeos de integridad del sistema y monitorización del registro de Windows.

• OSSEC requiere la instalacion de un agente de monitorizacion ( Excepto Sistemas con acceso SSH).

Sensor

Attempt To login Using non-existent user

Attempt To use mail server as relay ( client host

Rejected)

Logon Failure: Account currently disabled

IDS de Red-Ossec

• OSSEC se basa en una arquitectura cliente -> servidor.

• AlienVault colecta los eventos del servidor OSSEC (Instalado en el Sensor AlienVault).

• OSSEC provee un sistema de plugins propios usados para el análisis de plataformas Windows y UNIX.

Utilidad dentro de la plataforma AlienVault:

• Colección de logs de Windows y Unix

• Colección de logs de aplicaciones

• Monitorización de registro, archivos y directorios (DLP)

IDS de Wireless

IDS de Wireless-Kismet• Kismet es un sistema detector de red Wireless en capa 2 (802.11), con

funcionalidades de sniffer y detector de intrusos.

• Kismet funciona con cualquier tarjeta inalámbrica con soporte para

monitorización en bruto (rfmon), y (con hardware apropiado) puede

monitorizar tráfico 802.11b, 802.11a, 802.11g y 802.11n.

Utilidad dentro de la plataforma AlienVault:

• Aseguramiento de redes WIFI.

• Detección de AP falsos.

• Cumplimiento (Requerimientos PCI Wireless).

Configuración de IDS

IDS de Red - Snort & Suricata

Por defecto en una instalación de AlienVault USM viene activado el NIDS

Suricata.

Tener las interfaces recibiendo el trafico de los port mirroring.

Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina,

DMZ…) No utilizar aquellas reglas que no resultan interesantes para el

tráfico que se va a recibir por cada interfaz.

IDS de Host - OSSEC

Por defecto en una instalación de AlienVault AIO o Sensor viene activado

el HIDS OSSEC con un agente desplegado para el proprio AlienVault.

Tener las interfaces recibiendo el trafico de los port mirroring.

Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina,

DMZ…) No utilizar aquellas reglas que no resultan interesantes para el

tráfico que se va a recibir por cada interfaz.

IDS de Wireless- Kismet

Tener configurado el Sensor Kistmet (howto en AlienVault Bloomfire)

Por defecto en una instalación de AlienVault, Kismet no viene activado

por ello es necesario habilitar el plugin de Kismet (AlienVault Center).

Recolección de eventos IDS

Recolección de Eventos IDS

Puerto MIRRORING

Colección de Logs

Comunica ción

Interna iAlienVault

Puerto MIRRORING

Colección de Logs

Recolección de Eventos IDS

El término IDS (Sistema de detección de intrusiones) hace referencia a un

mecanismo que, sigilosamente, escucha el tráfico en la red para detectar

actividades anormales o sospechosas, y de este modo, reducir el riesgo de

intrusión.

Existen dos claras familias importantes de IDS:

El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la

seguridad dentro de la red.

El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza

la seguridad en el host.

Puerto MIRRORING

Colección de Logs

Recolección de Eventos IDS

Puerto MIRRORING

Colección de Logs

Recolección de Eventos IDSEl H-IDS se encuentra en un host particular. Por lo tanto, su software cubre unaamplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix,

etc.El H-IDS actúa como un daemon o servicio estándar en el sistema de un host.

Técnicas de detección

El tráfico en la red (en todo caso, en Internet) generalmente está compuestopor datagramas de IP. Un N-IDS puede capturar paquetes mientras estosviajan a través de las conexiones físicas a las que está sujeto. Un N-IDScontiene una lista TCP/IP que se asemeja a los datagramas de IP y a lasconexiones TCP. Puede aplicar las siguientes técnicas para detectarintrusiones:

• Verificación de la lista de protocolos

• Verificación de los protocolos de la capa de aplicación.

• Reconocimiento de ataques de "comparación de patrones"

Qué hacen los IDS

Los principales métodos utilizados por N-IDS para informar y bloquear

intrusiones son:

Reconfiguración de dispositivos externos (firewalls o ACL en routers): Comando enviado por el N-IDS a un dispositivo externo (como un filtro de

paquetes o un firewall) para que se reconfigure inmediatamente y así poder

bloquear una intrusión.

Envío de una trampa SNMP a un hipervisor externo: Envío de una alerta (y

detalles de los datos involucrados) en forma de un datagrama SNMP a una consola

externa como HP Open View Tivoli, Cabletron, Spectrum, etc

Almacenamiento de paquetes sospechosos: Se guardan todos los paquetes originales capturados y/o los paquetes que dispararon la alerta.

Envío de un "ResetKill": Se construye un paquete de alerta TCP para forzar la

finalización de una conexión (sólo válido para técnicas de intrusión que utilizan el

protocolo de transporte TCP).

Apertura de una aplicación: Se lanza un programa externo que realice una acción

específica (envío de un mensaje de texto SMS o la emisión de una alarma sonora).

Ciber grafía

http://es.slideshare.net/a3sec/a3sec-webinar-alienvault-usm-sistemas-de-

deteccin-de-ataques-en-tiempo-real

http://www.belt.es/noticias/2005/abril/05/osimm.htm

https://www.youtube.com/watch?v=WC4fg1lDjIg