Nmap.potosim
Transcript of Nmap.potosim
![Page 1: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/1.jpg)
Presentación General
![Page 2: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/2.jpg)
Downloads
SourceForge+
Imagen+CVS
70.000 año
OSSIM en la red
OSSIM es una herramienta de monitorización de seguridad para administradores de sistema. Agrupa 22 programas libres, como cortafuegos, detectores de intrusos o antivirus, algunos tan conocidos como Nessus, Nmap o Snort, todos en un mismo paquete, que puede bajarse gratuitamente de Internet. Pero la función de OSSIM no es sólo poner a trabajar juntos estos programas: recoge y ordena la información que generan y la cruza, para hacer valoraciones sobre el estado de la red o buscar patrones que sirvan para detectar si está siendo atacada….
… La gracia de OSSIM es que, al integrar programas libres, no tiene que encargarse del desarrollo de éstos, que ya tienen su propia comunidad que los perfecciona. Así, todos los esfuerzos van a mejorar el motor que los pone a trabajar juntos. "Es el "efecto red" en su estado más puro: todo se reutiliza y no se hacen las cosas veinte veces. En nuestro caso, heredamos el esfuerzo de 22 productos y simplemente los ponemos a hablar entre ellos", explica Julio Casal, director del Área de Seguridad de IT Deusto y uno de los protagonistas de este éxito.
… La utilizan empresas desde Sudáfrica a Singapur, incluidas corporaciones y bancos españoles. La aventura de estos hackers, cuya empresa compraba IT Deusto a principios de 2004, es un buen ejemplo de cómo hacer negocio con un producto que se
regala.
![Page 3: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/3.jpg)
Seguridad Open Source
100% AuditableCualquiera puede auditar el código fuente OSSIM en cualquier momento.
Gobierno y organizaciones estratégicas no deberían confiar en software ajeno.
100% AdaptableTener acceso al código fuente nos ofrece adaptabilidad del sistema.
100%
Seguridad
Open Source
![Page 4: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/4.jpg)
Evolución del mercado de la seguridad
![Page 5: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/5.jpg)
Quién Revisa los Logs
1 Mill Eventos / Dia
500k Eventos / Dia
2 Mill Eventos / Dia
2 Mill Eventos / Dia
Mas de 5 Mill Eventos / diarios
![Page 6: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/6.jpg)
OSSIM Areas
![Page 7: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/7.jpg)
OSSIM es una solución “end to end” de seguridad en modalidad open source. Incluye una consola de seguridad en conjunto con las 16 herramientas open source de seguridad mas conocidas del mercado mundial.
![Page 8: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/8.jpg)
Agregación de logs
![Page 9: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/9.jpg)
Integral Security System
![Page 10: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/10.jpg)
Integral Security System
![Page 11: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/11.jpg)
InteroperabilidadOSSIM puede recoger datos y enviarlos a través de múltiples protocolos..
Plg Plg Plg
SensorAgent
Real Secure
Management Server
Plg
SyslogSyslogOPSECSNMP SNMP SNMP SyslogSyslogSNMP + SQL
Syslog
SNMP Syslog SMTP SQL
Syslog
A través de un agente genérico es inmediato crear un plugin nuevo. Ejemplo de plugin de pads:
[DEFAULT]plugin_id=1516[config]type=detectorenable=yessource=loglocation=/var/log/ossim/pads.csv# create log file if it does not exists,# otherwise stop processing this plugincreate_file=trueprocess=padsstart=yes ; launch plugin process when agent startsstop=no ; shutdown plugin process when agent stopsstartup=%(process)s -D -w %(location)sshutdown=killall %(process)s
[pads-service]event_type=host-service-eventregexp="^(\IPV4),([^,]*),([^,]*),([^,]*),([^,]*),(\d+)$"host={$1}port={$2}protocol={$3}service={$4}application={$5}plugin_sid=1
![Page 12: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/12.jpg)
Funcionalidad
![Page 13: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/13.jpg)
Detección de Red
P0f
pattern anomalies
Detección de ataques de red a través de patrones y anomalías
![Page 14: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/14.jpg)
Monitorización RedMonitorización y creación de perfiles de Red.
![Page 15: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/15.jpg)
Disponibilidad
![Page 16: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/16.jpg)
Vulnerabilidades
![Page 17: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/17.jpg)
Seguridad Host
• Accesos a ficheros y directorios, con usuario e ip origen• Creación, modificación, copia de ficheros• Inserción de dispositivos usb• Login / logoff• Ejecución/Instalación de programas
• Modificaciones de fichero por checksum• Modificaciones de puertos• Cambios de usuarios• Cambios Módulos de kernel
![Page 18: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/18.jpg)
Inventario
Pasivo – Sin Agente Activo – Sin Agente
Agente
p0f
![Page 19: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/19.jpg)
Reportes
![Page 20: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/20.jpg)
Cuadro de Mandos
Compliance
![Page 21: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/21.jpg)
Reportes a Medida
![Page 22: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/22.jpg)
Compliance FrameworkOSSIM Compliance Framework Solution, permite a las organizaciones medir sus niveles de seguridad de acuerdo a regulaciones como:
• ISO27001• SOX• PCI• HIIPA
![Page 23: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/23.jpg)
Servicios
![Page 24: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/24.jpg)
![Page 25: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/25.jpg)
Training
![Page 26: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/26.jpg)
OSSIM Appliances
OSSIM Boxes
OSSIM standard Appliances (Crossbeam)
OSSIM Boxes are Appliances with:• 64 bit OSSIM version• Tuned Operating System & Applications• Network card optimization for Network Capture• Professional Support• Next Business Day replacement
It is also possible to use standard Appliances such as Crossbeam
![Page 27: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/27.jpg)
Comparación Productos
![Page 28: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/28.jpg)
OSSIM ARCSIGHT RSA Net IQ IBM - ISS Symantec LogLogic General
License Cost No Cost Very High High High Very High High Normal
Functionality
Sim/SIEM Yes Yes Yes Yes No
Web Interface No (Win32) Yes Yes
Log storing Yes Yes Yes Yes Yes Yes
Log Correlation Yes Yes Yes Yes Yes Yes
Indicent Mng Yes Yes Yes Yes Yes No
DataMart Reporting Yes Only Reporting Only Reporting Yes Yes Yes
Compliance Yes Yes Yes Yes Yes Yes Yes
Tools
Network IDS Snort No No No Yes
Symantec IDS No
Vulnerability Nessus No No No Yes Symantec Vulnerability Assessment
No
Network Mon Ntop No No No No No.
Anomaly Detec Spade No No No Yes No
Host IDS Snare & Osiris No No No Yes Symantec IDS No
Inventory OCS No No No No No
Antivirus ClamAv No No No Norton No.
Hardware
Appliances Yes No No Yes Yes No
SIM Functionality Comparison
![Page 29: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/29.jpg)
Referencias de OSSIM
Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.
![Page 30: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/30.jpg)
Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.
![Page 31: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/31.jpg)
Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.
![Page 32: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/32.jpg)
Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.
![Page 33: Nmap.potosim](https://reader033.fdocuments.es/reader033/viewer/2022060115/55757a46d8b42adb7e8b4b41/html5/thumbnails/33.jpg)
Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.