Nmap.potosim

Transcript of Nmap.potosim

Presentación General

Downloads

SourceForge+

Imagen+CVS

70.000 año

OSSIM en la red

OSSIM es una herramienta de monitorización de seguridad para administradores de sistema. Agrupa 22 programas libres, como cortafuegos, detectores de intrusos o antivirus, algunos tan conocidos como Nessus, Nmap o Snort, todos en un mismo paquete, que puede bajarse gratuitamente de Internet. Pero la función de OSSIM no es sólo poner a trabajar juntos estos programas: recoge y ordena la información que generan y la cruza, para hacer valoraciones sobre el estado de la red o buscar patrones que sirvan para detectar si está siendo atacada….

… La gracia de OSSIM es que, al integrar programas libres, no tiene que encargarse del desarrollo de éstos, que ya tienen su propia comunidad que los perfecciona. Así, todos los esfuerzos van a mejorar el motor que los pone a trabajar juntos. "Es el "efecto red" en su estado más puro: todo se reutiliza y no se hacen las cosas veinte veces. En nuestro caso, heredamos el esfuerzo de 22 productos y simplemente los ponemos a hablar entre ellos", explica Julio Casal, director del Área de Seguridad de IT Deusto y uno de los protagonistas de este éxito.

… La utilizan empresas desde Sudáfrica a Singapur, incluidas corporaciones y bancos españoles. La aventura de estos hackers, cuya empresa compraba IT Deusto a principios de 2004, es un buen ejemplo de cómo hacer negocio con un producto que se

regala.

Seguridad Open Source

100% AuditableCualquiera puede auditar el código fuente OSSIM en cualquier momento.

Gobierno y organizaciones estratégicas no deberían confiar en software ajeno.

100% AdaptableTener acceso al código fuente nos ofrece adaptabilidad del sistema.

100%

Seguridad

Open Source

Evolución del mercado de la seguridad

Quién Revisa los Logs

1 Mill Eventos / Dia

500k Eventos / Dia

2 Mill Eventos / Dia

Mas de 5 Mill Eventos / diarios

http://images.google.es/imgres?imgurl=http://www.previewstoreroom.com/images/paper_pile.jpg&imgrefurl=http://www.previewstoreroom.com/&h=250&w=128&sz=11&hl=es&start=2&sig2=CbaJ4uTE7NdlWlmatPkjxg&um=1&tbnid=UAQOlfwggdciZM:&tbnh=111&tbnw=57&ei=EQaFR-XAEZW8gQP5p8TWBw&prev=/images?q=paper+pile&svnum=100&um=1&hl=es&rlz=1T4GGIH_esES228ES228

http://images.google.es/imgres?imgurl=http://www.allelectric-solarinstallations.com/paper-pile.jpg&imgrefurl=http://www.allelectric-solarinstallations.com/PaybackCalc-step1.html&h=500&w=379&sz=35&hl=es&start=19&sig2=yUusjQO37SQCaDld1q2Vhw&um=1&tbnid=5UQin6ITzzyr9M:&tbnh=130&tbnw=99&ei=QAeFR8LIDpW8gQP5p8TWBw&prev=/images?q=paper+pile&start=18&ndsp=18&svnum=100&um=1&hl=es&rlz=1T4GGIH_esES228ES228&sa=N

OSSIM Areas

OSSIM es una solución “end to end” de seguridad en modalidad open source. Incluye una consola de seguridad en conjunto con las 16 herramientas open source de seguridad mas conocidas del mercado mundial.

Agregación de logs

Integral Security System

http://images.google.es/imgres?imgurl=http://thegadget.wordpress.com/files/2006/02/egadget-Sun_Microsystems_logo.png&imgrefurl=http://reciclado100.blogspot.com/search/label/Otros%20S.O.&h=140&w=250&sz=19&hl=es&start=13&sig2=p7RT2xPpNPQUY3CT6uoR8g&um=1&tbnid=qGowrd-tLwdrbM:&tbnh=62&tbnw=111&ei=FiUnRpiOOJCw0wS_renADQ&prev=/images?q=solaris+logo&svnum=100&um=1&hl=es&rls=GGLJ,GGLJ:2006-04,GGLJ:en

Integral Security System

InteroperabilidadOSSIM puede recoger datos y enviarlos a través de múltiples protocolos..

Plg Plg Plg

SensorAgent

Real Secure

Management Server

Plg

SyslogSyslogOPSECSNMP SNMP SNMP SyslogSyslogSNMP + SQL

Syslog

SNMP Syslog SMTP SQL

Syslog

A través de un agente genérico es inmediato crear un plugin nuevo. Ejemplo de plugin de pads:

[DEFAULT]plugin_id=1516[config]type=detectorenable=yessource=loglocation=/var/log/ossim/pads.csv# create log file if it does not exists,# otherwise stop processing this plugincreate_file=trueprocess=padsstart=yes ; launch plugin process when agent startsstop=no ; shutdown plugin process when agent stopsstartup=%(process)s -D -w %(location)sshutdown=killall %(process)s

[pads-service]event_type=host-service-eventregexp="^(\IPV4),([^,]*),([^,]*),([^,]*),([^,]*),(\d+)$"host={$1}port={$2}protocol={$3}service={$4}application={$5}plugin_sid=1

http://images.google.es/imgres?imgurl=http://www.trendmicro.com/NR/rdonlyres/3A5E8B24-80FF-4ED0-8910-5499BD235A36/8574/netscreen.jpg&imgrefurl=http://www.trendmicro.com/la/partners/alliances/netscreen/&h=145&w=259&sz=13&hl=es&start=1&sig2=ZZ016bH3bR5quMpu1yc6Bw&um=1&tbnid=NvzzmP170DLrLM:&tbnh=63&tbnw=112&ei=B6osRs7PM5WK-gKQxvSUCA&prev=/images?q=netscreen&svnum=100&um=1&hl=es&rls=GGLJ,GGLJ:2006-04,GGLJ:en&sa=N

http://images.google.es/imgres?imgurl=http://thegadget.wordpress.com/files/2006/02/egadget-Sun_Microsystems_logo.png&imgrefurl=http://reciclado100.blogspot.com/search/label/Otros%20S.O.&h=140&w=250&sz=19&hl=es&start=13&sig2=p7RT2xPpNPQUY3CT6uoR8g&um=1&tbnid=qGowrd-tLwdrbM:&tbnh=62&tbnw=111&ei=FiUnRpiOOJCw0wS_renADQ&prev=/images?q=solaris+logo&svnum=100&um=1&hl=es&rls=GGLJ,GGLJ:2006-04,GGLJ:en

http://images.google.es/imgres?imgurl=http://www.pergaminovirtual.com.ar/revista/cgi-bin/hoy/archivos/2006/Mcaffe-scanner-virus.JPG&imgrefurl=http://www.pergaminovirtual.com.ar/revista/cgi-bin/hoy/archivos/2006/00001018.shtml&h=110&w=110&sz=7&hl=es&start=2&sig2=cllBMaFexgVYyFkVzEztAQ&um=1&tbnid=L4XZKmyUCtWT7M:&tbnh=85&tbnw=85&ei=eiYnRoyyN5Km0gT6_tXDDQ&prev=/images?q=mcaffe&svnum=100&um=1&hl=es&rls=GGLJ,GGLJ:2006-04,GGLJ:en&sa=N

http://images.google.es/imgres?imgurl=http://www.logincomputer.pl/images/symantec-logo.gif&imgrefurl=http://adartenews.blogspot.com/2007_03_01_archive.html&h=200&w=200&sz=6&hl=es&start=1&sig2=uOeFIwVYVJK4DGDzKtR8vw&um=1&tbnid=0ZuJfZuPPOn8gM:&tbnh=104&tbnw=104&ei=aawsRuntB5j--wLkzbmoCA&prev=/images?q=symantec&svnum=100&um=1&hl=es&rls=GGLJ,GGLJ:2006-04,GGLJ:en&sa=N

http://images.google.es/imgres?imgurl=http://www.afina.es/logos/formacion_logo_trendmicro.gif&imgrefurl=http://www.afina.es/formacion/seguridad.htm&h=221&w=441&sz=14&hl=es&start=1&sig2=LejnqVsnax24k3Z30XN2Dg&um=1&tbnid=gKnghUx1QW9uNM:&tbnh=64&tbnw=127&ei=HqosRu-gBpqC-gLq-6DXCA&prev=/images?q=trendmicro&svnum=100&um=1&hl=es&rls=GGLJ,GGLJ:2006-04,GGLJ:en

Funcionalidad

Detección de Red

P0f

pattern anomalies

Detección de ataques de red a través de patrones y anomalías

http://www.ossim.net/screenshots/ntop_rrd.png

http://www.ossim.net/screenshots/acid_detail.png

Monitorización RedMonitorización y creación de perfiles de Red.

http://www.ossim.net/screenshots/ntop_global2.png

http://www.ossim.net/screenshots/ntop_traffic_matrix.png

http://www.ossim.net/screenshots/ntop_sessions.png

Disponibilidad

Vulnerabilidades

Seguridad Host

• Accesos a ficheros y directorios, con usuario e ip origen• Creación, modificación, copia de ficheros• Inserción de dispositivos usb• Login / logoff• Ejecución/Instalación de programas

• Modificaciones de fichero por checksum• Modificaciones de puertos• Cambios de usuarios• Cambios Módulos de kernel

Inventario

Pasivo – Sin Agente Activo – Sin Agente

Agente

p0f

Reportes

Cuadro de Mandos

Compliance

Reportes a Medida

Compliance FrameworkOSSIM Compliance Framework Solution, permite a las organizaciones medir sus niveles de seguridad de acuerdo a regulaciones como:

• ISO27001• SOX• PCI• HIIPA

Servicios

Training

OSSIM Appliances

OSSIM Boxes

OSSIM standard Appliances (Crossbeam)

OSSIM Boxes are Appliances with:• 64 bit OSSIM version• Tuned Operating System & Applications• Network card optimization for Network Capture• Professional Support• Next Business Day replacement

It is also possible to use standard Appliances such as Crossbeam

Comparación Productos

OSSIM ARCSIGHT RSA Net IQ IBM - ISS Symantec LogLogic General

License Cost No Cost Very High High High Very High High Normal

Functionality

Sim/SIEM Yes Yes Yes Yes No

Web Interface No (Win32) Yes Yes

Log storing Yes Yes Yes Yes Yes Yes

Log Correlation Yes Yes Yes Yes Yes Yes

Indicent Mng Yes Yes Yes Yes Yes No

DataMart Reporting Yes Only Reporting Only Reporting Yes Yes Yes

Compliance Yes Yes Yes Yes Yes Yes Yes

Tools

Network IDS Snort No No No Yes

Symantec IDS No

Vulnerability Nessus No No No Yes Symantec Vulnerability Assessment

No

Network Mon Ntop No No No No No.

Anomaly Detec Spade No No No Yes No

Host IDS Snare & Osiris No No No Yes Symantec IDS No

Inventory OCS No No No No No

Antivirus ClamAv No No No Norton No.

Hardware

Appliances Yes No No Yes Yes No

SIM Functionality Comparison

Referencias de OSSIM

Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.

http://www.navy.mil/

http://images.google.com/imgres?imgurl=http://www.promo94-casj.com/logo_philips.jpg&imgrefurl=http://www.promo94-casj.com/amonestadosa2007.htm&h=558&w=2161&sz=82&hl=es&start=2&sig2=ThI1C6P11rUj3HosCajIjQ&um=1&tbnid=30hzOVc5MZPL2M:&tbnh=39&tbnw=150&ei=8KSMR8bMDJuEes-Zrd4O&prev=/images?q=philips&svnum=10&um=1&hl=es&rls=com.microsoft:es:IE-SearchBox&rlz=1I7GGLJ&sa=N

http://images.google.com/imgres?imgurl=http://www.migom.by/files/Image/brands_logo/siemens_logo.jpg&imgrefurl=http://www.migom.by/siemens/&h=120&w=150&sz=5&hl=es&start=1&sig2=wmoMnMU9UQQHudhnH3_ZXw&um=1&tbnid=GKUugoYdjIo9sM:&tbnh=77&tbnw=96&ei=IaWMR4T3HqfEep6rjNgO&prev=/images?q=simens+logo&svnum=10&um=1&hl=es&rls=com.microsoft:es:IE-SearchBox&rlz=1I7GGLJ

http://images.google.com/imgres?imgurl=http://www.armytenmiler.com/Upload/images/Army-Logo.gif&imgrefurl=http://www.armytenmiler.com/&h=469&w=350&sz=10&hl=es&start=1&sig2=OUQeQVmB5kNFBKTpIREUkQ&um=1&tbnid=jT6ofvhscjmuFM:&tbnh=128&tbnw=96&ei=XKWMR_28NoOkeNjO7dEO&prev=/images?q=us+army+logo&svnum=10&um=1&hl=es&rls=com.microsoft:es:IE-SearchBox&rlz=1I7GGLJ

http://images.google.com/imgres?imgurl=http://www.winnebagoschools.org/robotics/images/nasa.gif&imgrefurl=http://www.winnebagoschools.org/robotics/&h=270&w=334&sz=30&hl=es&start=3&sig2=W9N61-X31lL0580TN9t4eQ&um=1&tbnid=lfgMO39E-xwcmM:&tbnh=96&tbnw=119&ei=QKWMR8vWIJKUedbNiNIO&prev=/images?q=nasa+logo&svnum=10&um=1&hl=es&rls=com.microsoft:es:IE-SearchBox&rlz=1I7GGLJ

http://images.google.com/imgres?imgurl=http://www.cmeal.org/images/logo_gobierno_documentos_000.jpg&imgrefurl=http://www.cmeal.org/colaboradores-del-foro-de-biarritz.php&h=214&w=219&sz=33&hl=es&start=9&sig2=2MVIzE8Dt720brmep2a1LQ&um=1&tbnid=xjuRHBRkSFwKHM:&tbnh=105&tbnw=107&ei=PaaMR_WaD5-4epbHmdcO&prev=/images?q=%22gobierno+de+chile%22+logo&svnum=10&um=1&hl=es&rls=com.microsoft:es:IE-SearchBox&rlz=1I7GGLJ

http://images.google.es/imgres?imgurl=http://www.speedcomm.es/img/1UnidadesNegocio/vodafone.jpg&imgrefurl=http://www.speedcomm.es/1UnidadesNegocio/2Entretenimiento/confVodafone.html&h=599&w=599&sz=24&hl=es&start=1&sig2=Vtnvb6OMRFsOsvEv1YsiyQ&um=1&tbnid=_6On9wU7tqXqyM:&tbnh=135&tbnw=135&eid=4W5hR4jFMYqOwQGesfj0Cg&prev=/images?q=vodafone&svnum=100&um=1&hl=es&rlz=1T4GGIH_esES228ES228&sa=N

http://images.google.com/imgres?imgurl=http://www.fscp.org/upload/pictures/ATT%20logo%202.jpg&imgrefurl=http://www.fscp.org/&h=520&w=900&sz=125&hl=es&start=3&sig2=NgbQxgNVKY7p6E5NRhCaPg&um=1&tbnid=DIdBYZi1xmcSNM:&tbnh=84&tbnw=146&ei=dKuQR9yxO4ys0gSrh3E&prev=/images?q=at&t+logo&svnum=10&um=1&hl=es&lr=&rls=com.microsoft:es:IE-SearchBox&rlz=1I7GGLJ

http://www.total.com/en/home_page/

http://images.google.com/imgres?imgurl=http://www.virus-evolution.org/UniversityLogo.jpg&imgrefurl=http://www.virus-evolution.org/SeminarProgramme2006B.html&h=278&w=274&sz=24&hl=es&start=1&sig2=YS6T4I8zYJ70sjaRjHX78w&um=1&tbnid=hjKWd5e2fF76rM:&tbnh=114&tbnw=112&ei=k86MR6W_Fpnkeank2NUO&prev=/images?q=university+logo&svnum=10&um=1&hl=es&rls=com.microsoft:es:IE-SearchBox&rlz=1I7GGLJ&sa=N

http://images.google.com/imgres?imgurl=http://www.lancs.ac.uk/depts/security/Images/Logo_tr.gif&imgrefurl=http://www.lancs.ac.uk/depts/security/newsflash.htm&h=264&w=461&sz=5&hl=es&start=50&sig2=jXw5HPp-pSAxuiduBd6RVw&um=1&tbnid=Dg48VciVdfmONM:&tbnh=73&tbnw=128&ei=xc6MR67qKY32edSWpOAO&prev=/images?q=university+logo&start=36&ndsp=18&svnum=10&um=1&hl=es&rls=com.microsoft:es:IE-SearchBox&rlz=1I7GGLJ&sa=N