Ossim Ossec Instalacion y Funcionamiento
-
Upload
alejandro-rodriguez-rosal -
Category
Documents
-
view
563 -
download
18
Transcript of Ossim Ossec Instalacion y Funcionamiento
-
7/25/2019 Ossim Ossec Instalacion y Funcionamiento
1/7
OSSIM + OSSEC: Instalacin y funcionamiento.
Group Ratin
Gr2Dest - Grupo de estudio de
seguridad informtica
EST. Nov 05, 2013
954 estudiantes
Suggest new ideas for Meetups!JOIN
ADD THIS
TO YOUR
SITE
MARCOS
HOME SOBRE NOSOTROS EL EQUIPO INICIACIN AL HACKING MEETUP
A medida que las redes de equipos han ido expandindose y los ataques se han vuelto cada vez ms
sofisticados, ha surgido, en el campo de la seguridad informtica, la necesidad de poder dar una
respuesta avanzada, precisa, centralizada y de forma rpida ante cualquier amenaza sobre los activos
bajo el control de la organizacin. Gracias a los avances en la gestin de grandes volmenes de
informacin introducidos a raz de los sistemas de big data, la capacidad de utilizar mecanismos que a
partir de grandes volmenes de informacin en bruto consigan extraer la informacin esencial y
correlacionarla es hoy en da uno de los objetivos principales de los equipos de seguridad.
Aunque hay diversas herramientas que de una forma u otra logran esta funcin hoy me gustara hablar
de uno de los SIEM (Security Information and Event Management) ms famosos, OSSIM (Open Source
Security Information Management) y cmo puede combinarse con otras herramientas para conseguir
el control centralizado de un gran nmero de equipos.
DESCRIPCIN.OSSIM
Se trata de una herramienta de recoleccin de eventos de seguridad encargada de integrar y organizar
los eventos producidos por un gran nmero de herramientas, desde escneres de vulnerabilidades, a
WAFs o HIDSs.
Esta herramienta es tan compleja y son tantas las posibles configuraciones y la integracin de otras
herramientas que Alien Vault ofrece cursos de entrenamiento para aprender a utilizarla aprovechando
al mximo su potencial.
La funcin principal es la de detectar y prevenir intrusiones en cualquier equipo sobre el que est
desplegada la herramienta o algn agente (cualquier herramienta externa, generalmente y HIDS queenve informacin a OSSIM desde otra fuente).
Entre las herramientas que utiliza se encuentran: p0f, OpenVAS, Snort, Nagios, OSSEC
OSSEC
Se trata de un HIDS Open Source que lleva a cabo anlisis de logs, comprobaciones de integridad,
monitorizacin de registros, deteccin de rootkits y sistemas de alerta y respuesta a incidentes. La
razn principal por la que se utilizar dicha herramienta es que posee versiones para Linux y Windows,
adems es fcil de instalar y configurar y su integracin con OSSIM no genera ningn tipo de problema.
Esta herramienta ser, por tanto, la que proporcione a OSSIM la informacin relativa a los agentes
BUSCAR
SESIN 37
NETE AL MEETUP
EL EQUIPO
AGO
242014
M + OSSEC: Instalacin y funcionamiento. http://www.gr2dest.org/ossim-ossec-instalacion-y-funcion
7 15/12/2
-
7/25/2019 Ossim Ossec Instalacion y Funcionamiento
2/7
COTARD
R3D3N3MY
Mi Reino Por Una PS4 ift.tt/1P5jgF3
Gr2Dest
@Gr2Dest
Exploit RCE Joomla 1.5.0-3.4.5,
parchea o muere! ift.tt/1P5acQE
Gr2Dest
@Gr2Dest
Abrir
Vulnerabilidad 0-day crtica en
Joomla! ift.tt/1mlY5oV
Gr2Dest
@Gr2Dest
Gr2Dest
ahora
ahora
ahora
4h
Tweets Seguir
Twittear a @Gr2Dest
Linux Exploiting:
Parte III
2015-10-09
Linux Exploiting: Parte II
2015-07-20
Linux Exploiting: El tao del ...
2015-06-12
Iniciacin al Hacking.
Captulo 1.
2014-06-17
desplegados.
PROCESO DE INSTALACIN.
FASE 1: Instalacin OSSIM
Instalar OSSIM en VirtualBox (SO tipo Debian 64 bits) utilizando la imagen ISO descargada desde:
http://www.alienvault.com/open-threat-exchange/projects
Configurar la mquina para que utilice una conexin de tipo puente (por razones de visibilidad
entre MVs).
Instalar el sistema como haramos con la mayora de sistemas basados en Linux.
Introducir la informacin de idioma, teclado y red.
Seleccionar por ltimo una contrasea y dejamos que la instalacin contine hasta completarse.
Tras la instalacin, la mquina se reinicia y despus de cargar todos los servicios de OSSIM ya
est lista para usar introduciendo el usuario y la contrasea especificados en la instalacin.
Acceder a su interfaz web utilizando la IP que se especific en la instalacin (192.168.1.100 para
el ejemplo) con las credenciales utilizadas para arrancar OSSIM.
NOTA:A veces hay problemas de conexin con MySQL, para solucionar esta eventualidad hay que ir a
la opcin 2 del men Maintenance & Troubleshooting y una vez ah a la opcin 1 Repair Database.
TWITTER
LO MS RECIENTE
LO MS POPULAR
M + OSSEC: Instalacin y funcionamiento. http://www.gr2dest.org/ossim-ossec-instalacion-y-funcion
7 15/12/2
-
7/25/2019 Ossim Ossec Instalacion y Funcionamiento
3/7
Excel
Troyanizado
2014-11-05
Eugenia Bahit en Gr2Dest
2014-07-12
AARR Acunetix AndroidAnonimato
anti-malware avanzado Anlisis de riesgos
Apache2 APTs ataque basado en buscador
auditora auditora web backdoorBeEF XSS contraseas crack
definicin deteccin de ataques
eventos Exploit firewall
gnu/linux hack hackerhacking hacking webhardening honeypot kali Kernel
linux metasploit netcat nmappentesting pentesting web
Python que esseguridad sistemasoperativos SQLi SQL InjectionTOR Vulnerabilidades
Wordpress xss
Auditora(11)
Biblioteca(2)
Consultora(4)
Curso Hacking Bsico(11)
Documentos(3)
Eventos(6)
Exploits(1)Gr2Dest(21)
Hack-Hardware(2)
Historias(1)
Linux(1)
Noticias(7)
Pentesting(25)
programacin(7)
Redes(8)
robots(1)
Seguridad(46)
Sesiones(13)
SGSI(6)
Uncategorized(9)
octubre 2015(1)
julio 2015(1)
junio 2015(1)
mayo 2015(1)
abril 2015(1)
marzo 2015(2)
febrero 2015(2)
enero 2015(5)
diciembre 2014(5)
noviembre 2014(7)
octubre 2014(6)
Fase 2: Configuracin OSSIM Aadir los agentes
Conectar con la MV de OSSIM
En OSSIM pulsar sobre Jailbreak System para tener acceso a una shell
Ir a /var/ossec/bin
Gestionar los agentes:
Introducir la informacin del primer agente (Linux).
Introducir la informacin del segundo agente (Windows).
Arrancar el servidor OSSEC:
/etc/init.d/ossec start
Fase 3: Instalacin OSSEC Ubuntu
Descargar la ltima versin de ossec para Linux desde: www.ossec.net/?page_id=19
Proceder con la instalacin
cd /home//Downloads
tar xvzf ossec-hids-2.8.tar.gz
cd ossec-hids-2.8
sudo ./install.sh
Escoger el idioma de instalacin y pulsamos ENTER cuando nos lo pida para continuar con la
instalacin.
Seleccionar instalacin de agente.
El resto de variables se dejan por defecto salvo el servidor OSSIM, en este caso 192.168.1.110 y
la respuesta activa, que se deshabilitar (por ser una configuracin ms avanzada que requiere de
scripts y herramientas adicionales).
ETIQUETAS
CATEGORAS
ARCHIVO
M + OSSEC: Instalacin y funcionamiento. http://www.gr2dest.org/ossim-ossec-instalacion-y-funcion
7 15/12/2
-
7/25/2019 Ossim Ossec Instalacion y Funcionamiento
4/7
septiembre 2014(8)
agosto 2014(7)
julio 2014(15)
junio 2014(12)
mayo 2014(1)
abril 2014(3)
marzo 2014(5)
Seguridad LibreEl Lado del Mal
The Hacker Way
Security Art Work
Security By Default
HackPlayers
Last Dragon
Hacker Ops
1GB de Informacin
The Hacker Way
Ensalada de Bits
Samiux Blog
Ole Aass
G0tm1lk
El Lado del Mal
The Hacker Way
HighSec
1GB de Informacin
Cacera de Spammers
Osi Securite
Jsitech
SniferL4bs
RegistroAcceder
Fase 4: Configuracin OSSEC Ubuntu
Extraer la clave desde la sesin ssh con OSSIM
Importar esa misma clave en el cliente de la mquina Ubuntu:
Iniciar el cliente:
Fase 5: Instalacin OSSEC Windows
Descargar el cliente para Windows de la misma pgina utilizada para descargar el de Linux.
Ejecutar el instalador (es un instalador bastante simple en el que simplemente habr que ir
pulsando siguiente hasta finalizar).
Fase 6: Configuracin de OSSEC Windows
Antes de ejecutar el agente se extrae su clave asociada en OSSIM de la misma manera que
para Linux, pero seleccionando el cdigo de agente de Windows
SITIOS RECOMENDADOS
MS SOBRE NOSOTROS
INGRESO REGISTRO
M + OSSEC: Instalacin y funcionamiento. http://www.gr2dest.org/ossim-ossec-instalacion-y-funcion
7 15/12/2
-
7/25/2019 Ossim Ossec Instalacion y Funcionamiento
5/7
Insertar la informacin de configuracin para el agente Windows.
Arrancar el agente en: Manage/Start OSSEC
NOTA: Se puede ver el funcionamiento correcto de los HIDSs accediendo a la seccin
Environment/Detection.
OSSIM EN FUNCIONAMIENTO.Una vez instalado todo se analizar la informacin que aportan las herramienta. Partiendo de un estado
inicial en el que las mquinas ya han sido configuradas y aun no se ha producido ninguna alerta de
seguridad se llevan a cabo distintas acciones intrusivas:
Respuesta a instalacin de paquetes
Respuesta a apertura de un puerto
Para ver de qu puerto se trata es necesario analizar la informacin del evento:
M + OSSEC: Instalacin y funcionamiento. http://www.gr2dest.org/ossim-ossec-instalacion-y-funcion
7 15/12/2
-
7/25/2019 Ossim Ossec Instalacion y Funcionamiento
6/7
Respuesta a intento de conexin SSH
Respuesta a anlisis con Nessus
Respuesta a explotacin con Metasploit (SSH brute force attack)
Visto desde la seccin Analysis/Alarms:
La ltima funcionalidad que me gustara comentar me result bastante interesante, ya que OSSIM
permite realizar anlisis de vulnerabilidades desde la propia herramienta.
Para configurar el escner basta con ir a Configuration/Administration/Main/Vulnerability Scanner
Introducir despus toda la informacin necesaria para acceder al escner (esto depender del tipo
de scanner y de las opciones de instalacin y configuracin del mismo).
Empezar un nuevo escner en: Environment/Vulnerabilities/New Scan Job
Seleccionar el tipo de anlisis, el servidor desde el que se realizar y por ltimo los elementos a
analizar.
NOTA:el anlisis de vulnerabilidades no requiere, como es lgico, que la mquina objetivo tenga un
M + OSSEC: Instalacin y funcionamiento. http://www.gr2dest.org/ossim-ossec-instalacion-y-funcion
7 15/12/2
-
7/25/2019 Ossim Ossec Instalacion y Funcionamiento
7/7
Alemania Espaa Colombia -> Hacking sin Fronteras Home Sobre Nosotros El Equipo Iniciacin al Hacking Meetup
0
agente instalado.
Puesto que el anlisis de vulnerabilidades ya se trat en un post anterior no me voy a extender sobre
este tema. S me gustara destacar que OSSIM dej de dar soporte para Nessus y actualmente la
mejor opcin para el tratamiento de vulnerabilidades es a travs de OpenVAS.
VENTAJAS DE OSSIM.Fcil de instalar.
Gran cantidad de informacin suministrada.Posibilidad de centralizar informes producidos por gran cantidad de herramientas de diverso
propsito.
Muy cmodo.
Es relativamente fcil resolver los incidentes en la instalacin y durante el uso gracias a la
comunidad de usuarios de OSSIM y a los foros de ayuda.
Es de gran ayuda para aquellos con poca experiencia en la deteccin y anlisis de incidentes.
DESVENTAJAS DE OSSIM.Pueden producirse problemas de conectividad en diversos puntos y la tarea de comprobar el punto
de fallo puede resultar algo tediosa.
OSSIM, la versin gratuita de Alien Vault (frente a USM, su versin de pago) ofrece poca
informacin sobre los eventos identificados por las herramientas y muchas veces hay que recurrir
al anlisis de la alerta sin procesar producida por la herramienta, lo cual requiere un mayor
conocimiento de todas las herramientas integradas.
La correlacin de eventos no es todo lo precisa que cabra esperar.
A veces resulta difcil trabajar debido al gran volumen de informacin que se procesa.
El soporte oficial es bastante escaso.
Prevencin de APTs NETCAT: Comandos tiles.
M + OSSEC: Instalacin y funcionamiento. http://www.gr2dest.org/ossim-ossec-instalacion-y-funcion