UNIVERSIDAD DE GUAYAQUIL -...

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

CARRERA DE INGENIERIA EN NETWORKING Y

TELECOMUNICACIONES

Monitoreo y gestión de seguridad sobre la infraestructura

de red mediante la implementación de una herramienta

OSSIM aplicando al sector de la mediana

empresa.

PROYECTO DE TITULACION

Previa a la obtención del título de:

INGENIERO EN NETWORKING Y TELECOMUNICACIONES.

AUTOR(ES):

Banchón Montaleza Joel Fernando.

Zalabarria Zamora Alexandra Mabel.

TUTOR:

Ing. Miguel Molina Villacis, Msc.

GUAYAQUIL-ECUADOR

2019

II

APROBACION DEL TUTOR

En mi calidad de Tutor del trabajo de investigación, ¨Monitoreo y gestión de

seguridad sobre la infraestructura de red mediante la implementación de

una herramienta OSSIM aplicando al sector de la mediana empresa¨

elaborado por la Srta. Alexandra Mabel Zalabarria Zamora y el sr Joel

Fernando Banchón Montaleza, Alumno no titulado de la Carrera de

Ingeniería en Networking y Telecomunicaciones, Facultad de Ciencias

Matemáticas y Físicas de la Universidad de Guayaquil, previo a la

obtención del Título de Ingeniero en Networking y Telecomunicaciones me

permito declarar que luego de haber orientado, estudiado y revisado, la

Apruebo en todas sus partes.

Atentamente,

Ing. Miguel Molina Villacis, Msc.

TUTOR

III

REPOSITORIO EN CIENCIAS Y TECNOLOGÍA

FICHA DE REGISTRO DE TESIS

TÍTULO

Monitoreo y gestión de seguridad sobre la infraestructura de red mediante la implementación de una

herramienta ossim aplicado en el sector de la mediana empresa

REVISORES:

INSTITUCIÓN: Universidad

de Guayaquil FACULTAD: Ciencias Matemáticas y Físicas

CARRERA: Ingeniería en Networking y Telecomunicaciones

FECHA DE PUBLICACIÓN: N° DE PÁGS: 89

ÁREA TEMÁTICA: Tecnologías de la información y Telecomunicaciones.

PALABRAS CLAVES:

Gestion, Seguridad, Herramienta OSSIM

RESUMEN: Este Proyecto de Titulación consiste en el análisis e implantación respectiva de la seguridad sobre una

infraestructura de red en distintos servidores físicos y virtuales, teniendo de forma centralizada los registro (logs) que son

creados por varios servidores y servicios dentro de la red, en dónde se realizará un análisis detallado de cada

acontecimiento y vulnerabilidad de este. La herramienta para utilizar va a ser OSSIM la cual es una aplicación Open Source,

la cual tiene una vista como administrador en varios aspectos relativos a la red y otras herramientas de monitoreo como es

SIEM la cual es complementada con diversas funcionabilidades de seguridad como son gestión de antivirus y la detección

de malware. La intención principal en el desarrollo de este proyecto es presentar un estudio general sobre esta herramienta,

un análisis de compatibilidad y requerimientos para proceder con la implementación y conocimiento general de la red la

configuración e instalación paso a paso resaltando lo más significativo de OSSIM que debe conocer el administrador de

red para una correcta implementación.

N° DE REGISTRO: N° DE CLASIFICACIÓN

DIRECCIÓN URL

ADJUNTO PDF SI NO

CONTACTO CON AUTOR:

Joel Fernando Banchon

Montaleza

Teléfono:

0968165461

E-mail:

[email protected]

CONTACTO CON AUTOR:

Alexandra Mabel Zalabarria

Zamora

Teléfono:

0967801066

E-mail:

[email protected]

CONTACTO DE LA

INSTITUCIÓN:

Nombre:

Teléfono:

x

mailto:[email protected]


IV

DEDICATORIA

Dedico este proyecto de

titulación a Dios por

haberme dado sabiduría, a

mi papá Clemente

Zalabarria por su apoyo

económico y darme

palabras de aliento cuando

sentía que ya no podía

más, a mi madre y

hermanas por los

consejos, paciencia e

infinito amor que han

tenido conmigo y a mi hija

Charlotte Ramírez por ser

mi motor para no darme

por rendida, te amo hija

Alexandra Zalabarría Z.

V

DEDICATORIA

El presente trabajo de

titulación tiene como

dedicación en principal

actor a Dios, quién me ha

guiado en la vida siempre,

de la mano de mis padres

Janeth Montaleza C. -

Oswaldo Banchón M. y mi

hermana Andrea Banchón

M. por su sacrificio y apoyo

incondicional en cada

decisión tomada a lo largo

del camino, por todas esas

personas que han estado

para mí sin pedir nada a

cambio, quiero dedicarles

todo mi esfuerzo y pasión

en el área que más amo

Telecomunciones y

Networking. - Gracias.

Joel Banchón M.

VI

AGRADECIMIENTO

Agradezco a mis padres, hermanas e hija por todo el apoyo incondicional

que me han brindado a lo largo de estos años de estudios.

A la Universidad de Guayaquil y a sus docentes por haberme permitido ser parte del alma mater

Alexandra Zalabarría Z.

VII

AGRADECIMIENTO

Gracias a Dios por permitirme culminar uno de mis mayores logros en mi vida profesional y darme fuerzas por ser el apoyo de mi familia con su inmensa bendición y al establecimiento de estudios, mi alma máter la Universidad de Guayaquil que me permitió desarrollar mis capacidades en conjunto con los profesionales que la integran.

Joel Banchón M.

VIII

TRIBUNAL DEL PROYECTO DE TITULACION

___________________ ____________________

Ing. Fausto Cabrera Molina, M Sc. Ing. Abel Alarcón Salvatierra M Sc.

DECANO DE LA FALCUTAD DIRECTOR DE LA CARRERA

MATEMATICAS Y FISICAS INGENIERIA EN NETWORKING Y

TELECOMUNICACIONES

_______________________ ________________________

Ing. Luis Espín Pazmiño, M Sc. Ing. Juan Manuel Chaw, M Sc.

PROFESOR DEL AREA PROFESOR DEL AREA

ASIGNADO EN EL TRIBUNAL DESIGNADO EN EL TRIBUNAL

________________________ ________________________

Ing. Ingrid Giraldo Martínez M Sc. Ing. Miguel Molina Villacis M Sc.

PROFESOR DEL AREA PROFESOR TUTOR DEL

DESIGNADO EN EL TRIBUNAL PROYECTO DE TITULACION

_____________________

Ab. Juan Chávez Atocha, Esp.

SECRETARIO DE LA FACULTAD.

IX

DECLARACION EXPRESA

¨La responsabilidad del contenido de

este Proyecto de Titulación, me

corresponden exclusivamente; y el

patrimonio intelectual de la misma a

la UNIVERSIDAD DE GUAYAQUIL¨

ALEXANDRA MABEL ZALABARRIA

ZAMORA.

JOEL FERNANDO BANCHON MONTALEZA

X


FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

CARRERA DE INGENIERIA EN NETWORKIING Y

TELECOMUNICACIONES

Monitoreo y gestión de seguridad sobre la infraestructura de red

mediante la implementación de una herramienta

OSSIM aplicando al sector de la media

empresa.

Proyecto de Titulación que se presenta como requisito para optar por el

título de INGENIERO EN NETWORKING Y TELECOMUNICACIONES.

Autor: Alexandra Mabel Zalabarría Zamora

C.I: 093120256-8

Autor: Joel Fernando Banchón Montaleza

C.I: 095067742-7

TUTOR: Miguel Molina Villacis, M Sc.

Guayaquil, 07 septiembre del 2019.

XI

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

En mi calidad de Tutor del proyecto de Titulación, nombrado por el consejo

Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de

Guayaquil.

CERTIFICO:

Que he analizado el Proyecto de Titulación presentado por estudiantes

la Srta. ALEXANDRA MABEL ZALABARRIA ZAMORA y el Sr JOEL

FERNANDO BANCHON MONTALEZA, como requisito previo para optar por el

título de Ingeniero en Networking y Telecomunicaciones cuyo título es:

Monitoreo y gestión de seguridad sobre la infraestructura de red mediante

la implementación de una herramienta OSSIM aplicando al sector de la media

empresa.

Considero aprobado el trabajo en su totalidad.

Presentado por:

ALEXANDRA MABEL ZALABARRIA ZAMORA

0931202568

JOEL FERNANDO BANCHON MONTALEZA

0950677427

TUTOR: Ing. Miguel Molina Villacis M Sc.

GUAYAQUIL, SEPTIEMBRE DEL 2019

XII


FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES

Autorización para Publicación de Proyecto de Titulación en Formato

Digital

1. Identificación del Proyecto de Titulación

Nombre del Alumno: Alexandra Mabel Zalabarria Zamora

Dirección: La Nueva Prosperina Mz 751 Sl 13

Teléfono: 0967801066 E-mail:

[email protected]

Nombre del Alumno: Joel Fernando Banchon Montaleza

Dirección: Cdla. Covivem

Teléfono: 0968165461 E-mail: [email protected]

Facultad: Ciencias Matemáticas y Físicas

Carrera: Ingeniería en Networking y Telecomunicaciones

Título que opta: Ingeniero en Networking y Telecomunicaciones

Profesor Tutor: Ing. Miguel Molina Villasis Mgs.

Título del Proyecto de Titulación:

“Monitoreo y gestión de seguridad sobre la infraestructura de red

mediante la implementación de una herramienta ossim aplicado en el

sector de la mediana empresa



XIII

Tema del Proyecto de Titulación:

Implementacion de la herramienta OSSIM sobre una infrestructura de red

2. Autorización de Publicación de Versión Electrónica del Proyecto de

Titulación

A través de este medio autorizo a la Biblioteca de la Universidad de

Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la

versión electrónica de este Proyecto de Titulación

Publicación electrónica:

Inmediata X Después de un año

Firma Alumno: ____________________________

Alexandra Mabel Zalabarria Zamora

C.I.: 0931202568

Firma Alumno: ____________________________

Joel Fernando Banchón Montaleza

C.I.: 0950677427

3. Forma de envió:

El texto del Proyecto de Titulación debe ser enviado en formato Word, como

archivo .Doc. O .RTF y Puf para PC. Las imágenes que la acompañen

pueden ser: .gif, jpg o .TIFF.

DVDROM CDROM

X

XIV

ÍNDICE GENERAL

APROBACION DEL TUTOR .................................................... II

DEDICATORIA ........................................................................ IV

DEDICATORIA ......................................................................... V

AGRADECIMIENTO ................................................................ VI

AGRADECIMIENTO ............................................................... VII

TRIBUNAL DEL PROYECTO DE TITULACION .................... VIII

DECLARACION EXPRESA ..................................................... IX

CERTIFICADO DE ACEPTACIÓN DEL TUTOR ..................... XI

RESUMEN .......................................................................... XXIII

ABSTRACT ........................................................................ XXIV

INTRODUCCIÓN................................................................. XXV

CAPITULO I ............................................................................. 1

DESCRIPCIÓN. ....................................................................... 2

ALCANCE. ............................................................................... 2

PROBLEMÁTICA ..................................................................... 2

OBJETIVO GENERAL. ............................................................. 3

OBJETIVOS ESPECÍFICOS. ................................................... 3

METODOLOGÍA DEL PROYECTO. ......................................... 3

CAPITULO II ............................................................................ 6

MARCO TEORICO ................................................................................. 6

OPEN SOURCE SECURITY INFORMATION MANAGER (OSSIM) ....................... 6

XV

DESCRIPCIÓN. .......................................................................................... 6

CARACTERÍSTICAS DE SEGURIDAD. ................................... 6

DETECCIÓN DE ACTIVOS (ASSET DISCOVERY). ................ 7

EVALUACIÓN DE VULNERABILIDADES........................................................... 7

DETECCIÓN DE VIOLACIONES DE SEGURIDAD .............................................. 7

MONITOREO DEL COMPORTAMIENTO. ......................................................... 8

GESTIÓN DE EVENTOS E INFORMACIÓN DE SEGURIDAD (SIEM). ................... 8

OSSIM VS OTRAS APLICACIONES. ....................................... 8

FUNCIONALIDADES DE ELEMENTOS DE LA ARQUITECTURA OSSIM9

OSSIM-SERVER .................................................................... 11

OSSIM- FRAMEWORK .......................................................... 12

OSSIM-AGENT ...................................................................... 12

VENTAJAS Y DESVENTAJAS DEL SOFTWARE A

IMPLEMENTAR. .................................................................... 12

VENTAJAS: ............................................................................................. 12

DESVENTAJAS: ....................................................................................... 12

ANTECEDENTES DEL ESTUDIO .......................................... 13

FUNDAMENTACIÓN TEÓRICA ............................................. 14

FUNDAMENTACIÓN LEGAL. ................................................ 14

CAPITULO III ......................................................................... 16

IMPLEMENTACIÓN ............................................................................. 16

¿QUÉ ES VIRTUALIZAR? ........................................................................... 16

¿QUÉ ES VMWARE VSPHERE? ................................................................ 17

¿QUÉ VIRTUALIZA VMWARE VSPHERE? .................................................... 17

¿CÓMO REALIZA LA VIRTUALIZACIÓN? ....................................................... 17

¿QUÉ ES VMWARE ESXI? ....................................................................... 17

¿QUÉ ES VMWARE VCENTER SERVER?.................................................... 18

FORTALEZAS Y DEBILIDADES: ALIENVAULT ..................... 20

XVI

FORTALEZAS Y DEBILIDADES: SPLUNK ............................ 20

VALORACIÓN: ALIENVAULT SOBRE SPLUNK .................... 21

ESTRUCTURA DE PRECIOS ................................................ 21

HERRAMIENTAS DE ADMINISTRACIÓN ALIENVAULT

(OSSIM) ................................................................................. 22

INSTALACIÓN DE SERVIDOR Y CLIENTES ........................ 23

SERVIDOR ESXI 6.7.0 VMWARE .......................................... 23

REQUERIMIENTOS DE HARDWARE: .................................. 23

REQUISITOS DE HARDWARE SERVIDOR OSSIM

(ALIENVAULT). ...................................................................... 26

REQUERIMIENTOS TÉCNICOS DEL PERSONAL

ADMINISTRADOR. ................................................................ 26

HERRAMIENTA GLOBAL OSSIM (ALIENVAULT) ................. 27

INSTALACIÓN ALIENVAULT (OSSIM) .................................. 27

PRUEBAS DE CONECTIVIDAD REMOTA ALIENVAULT

(OSSIM) ................................................................................. 43

MONITOREO DE ACTIVIDAD: .............................................. 44

REPORTES DE EVENTOS: ................................................... 44

ANALISIS Y RESULTADOS. .................................................. 46

CAPITULO Ⅳ ........................................................................ 47

VIABILIDAD DEL PROYECTO. .............................................. 47

VIABILIDAD TÉCNICA: .......................................................... 47

XVII

VIABILIDAD FINANCIERA: .................................................... 47

ESTUDIO DE FACTIBILIDAD: ............................................... 48

RECURSOS HUMANOS. ....................................................... 48

RECURSOS MATERIALES. ................................................... 48

RECURSOS FINANCIEROS. ................................................. 49

COSTO DE MANTENIMIENTO. ............................................. 49

RECURSOS LEGALES. ......................................................... 49

CONCLUSIONES ................................................................... 50

RECOMENDACIONES. ......................................................... 51

REFERENCIAS BIBLIOGRÁFICAS ....................................... 52

ANEXOS ................................................................................ 53

XVIII

TABLA DE ILUSTRACIONES

GRÁFICO N° 1 ......................................................................... 4

METODOLOGÍA HERRAMIENTA DE MONITOREO (OSSIM) . 4

GRÁFICO N° 2 ....................................................................... 18

VMWARE HYPERVISOR ....................................................... 18

GRÁFICO N° 3 ....................................................................... 19

VMWARE VCENTER SERVER .............................................. 19

GRÁFICO N° 4 ....................................................................... 22

FUNCIÓN Y BENEFICIO DE LA HERRAMIENTA ALIENVAULT

(OSSIM) ................................................................................. 22

REQUERIMIENTOS DE HARDWARE: .................................. 23

GRÁFICO N° 5 ....................................................................... 24

CONFIGURACION DEL SERVIDOR ESXI VMWARE ............ 24

GRÁFICO N° 6 ....................................................................... 25

INSTALACIÓN ALIENVAULT (OSSIM) .................................. 27

GRÁFICO N° 8 ....................................................................... 27

SELECCIÓN DEL SOFTWARE DE OSSIM: .......................... 28

GRÁFICO N° 9 ....................................................................... 28

SELECCIÓN DEL IDIOMA REGIONAL: ................................. 28

GRÁFICO N° 10 ..................................................................... 29

SELECCIÓN DEL IDIOMA (TECLADO) ................................. 29

XIX

GRÁFICO N° 11 ..................................................................... 29

SELECCIÓN DEL PAÍS O REGIÓN ....................................... 29

GRÁFICO N° 12 ..................................................................... 30

SELECCIÓN DE IP DEL SERVIDOR OSSIM. ........................ 30

GRÁFICO N° 13 ..................................................................... 30

CONFIGURACIÓN PUERTA DE ENLACE (GATEWAY). ....... 30

GRÁFICO N° 14 ..................................................................... 31

INGRESO DE CONTRASEÑA PARA EL SERVIDOR OSSIM.

............................................................................................... 31

GRÁFICO N° 15 ..................................................................... 31

FINALIZACIÓN DE INSTALACIÓN DEL SOFTWARE. .......... 31

GRÁFICO N° 16 ..................................................................... 32

USUARIO ATTACKER (UBUNTU) ......................................... 32

GRÁFICO N° 17 ..................................................................... 33

CONTRASEÑA VICTIM (UBUNTU) ....................................... 33

GRÁFICO N° 18 ..................................................................... 34

CONFIGURACIÓN DE IP ESTÁTICA .................................... 34

GRÁFICO N° 19 ..................................................................... 34

VISTA DE LA IP ESTÁTICA CONFIGURADA ........................ 34

GRAFICO N° 20 ..................................................................... 35

REINICIO INTERFAZ NIC ...................................................... 35

GRÁFICO N° 21 ..................................................................... 35

XX

INSTALACION DE LA PAQUETERÍA: NMAP ........................ 35

GRÁFICO N° 22 ..................................................................... 35

VISUALIZACIÓN DEL ARCHIVO OSSEC HIDS .................... 35

GRAFICO N° 23 ..................................................................... 36

EXTRACCIÓN DEL ARCHIVO .TAR.GZ ................................ 36

GRÁFICO N° 24 ..................................................................... 36

INGRESO INTERFAZ WEB ALIENTVAULT ........................... 36

GRÁFICO N° 25 ..................................................................... 37

ENVIRONMENT (ALIENVAULT) ............................................ 37

GRÁFICO N° 26 ..................................................................... 37

AGENTES (ALIENVAULT) ..................................................... 37

GRÁFICO N° 28 ..................................................................... 38

ESTACIONES REMOTAS ...................................................... 38

GRÁFICO N° 30 ..................................................................... 39

INSTALACIÓN REPOSITORIO ./ INSTALL.SH ...................... 39

GRÁFICO N° 31 ..................................................................... 40

IMPORTACIÓN DE LAS LLAVES .......................................... 40

GRÁFICO N° 33 ..................................................................... 41

SERVICIO OSSEC (STOP) .................................................... 41

GRÁFICO N° 34 ..................................................................... 41

SERVICIO OSSEC (START) .................................................. 41

XXI

GRÁFICO N° 35 ..................................................................... 42

SERVICIO HIDS (STOP) ........................................................ 42

GRÁFICO N° 36 ..................................................................... 42

SERVICIO HIDS (START) ...................................................... 42

GRÁFICO N° 37 ..................................................................... 43

ESTACIONES EN MODO (ACTIVE) ...................................... 43

MONITOREO DE ACTIVIDAD: .............................................. 44

GRÁFICA N° 39 ..................................................................... 44

MONITOREO DE EVENTOS ................................................. 44

REPORTES DE EVENTOS: ................................................... 44

GRÁFICA N° 40 ..................................................................... 45

REPORTE DE ALARMAS GENERADAS ............................... 45

GRÁFICA N° 41 ..................................................................... 45

XXII

INDICE DE CUADROS

CUADRO N 1 ………………………………………………………………… 10

CAPA SUPERIOR…………………………………………………………… 10

CUADRO N2………………………………………………………………….. 11

CAPA MEDIA…………………………………………………………………. 11

CAPA N 3……………………………………………………………………… 11

CAPA INFERIOR………………………………………………………………11

XXIII


FACULTAD DE CIENCIA MATEMATICAS Y FISICAS


TELECOMUNICACIONES

Monitoreo y gestión de seguridad sobre la infraestructura

de red mediante la implementación de una herramienta

OSSIM aplicando al sector de la mediana

empresa.

AUTORES: Alexandra Zalabarria Zamora

Joel Banchón Montaleza

TUTOR: Ing. Miguel Molina Villacis

RESUMEN

Este Proyecto de Titulación consiste en el análisis e implantación respectiva de la

seguridad sobre una infraestructura de red en distintos servidores físicos y

virtuales, teniendo de forma centralizada los registro (logs) que son creados por

varios servidores y servicios dentro de la red, en dónde se realizará un análisis

detallado de cada acontecimiento y vulnerabilidad de este. La herramienta a

utilizar va a ser OSSIM que es una aplicación Open Source, la cual tiene una vista

como administrador en varios aspectos relativos a la red y otras herramientas de

monitoreo como es SIEM la cual es complementada con diversas

funcionabilidades de seguridad como son gestión de antivirus y la detección de

malware. La intención principal en el desarrollo de este proyecto es presentar un

estudio general sobre esta herramienta, un análisis de compatibilidad y

requerimientos para proceder con la implementación y conocimiento general de la

red la configuración e instalación paso a paso resaltando lo más significativo de

OSSIM que debe conocer el administrador de red para una correcta

implementación.

XXIV


FACULTAD DE CIENCIA MATEMATICAS Y FISICAS


TELECOMUNICACIONES

Infrastructure security monitoring and management

network by implementing a tool

OSSIM applying to the median sector

company.

AUTHORS: Alexandra Zalabarria Zamora

Joel Banchón Montaleza

TUTOR: Ing. Miguel Molina Villacis

ABSTRACT

This Degree Project consists of the respective analysis and implementation of security over a network infrastructure in different physical and virtual servers, having centralized records (logs) that are created by several servers and services within the network, where A detailed analysis of each event and its vulnerability will be carried out. The tool to use will be OSSIM which is an Open Source application, which has a view as administrator in various aspects related to the network and other monitoring tools such as SIEM which is complemented with various security features such as management of antivirus and malware detection. The main intention in the development of this project is to present a general study on this tool, a compatibility analysis and requirements to proceed with the implementation and general knowledge of the network configuration and installation step by step highlighting the most significant OSSIM that should Meet the network administrator for proper implementation study on this tool, a compatibility analysis and requirements to proceed with the implementation and general knowledge of the network configuration and installation step by step highlighting the most significant OSSIM that should Meet the network administrator for proper implementation.

XXV

INTRODUCCIÓN

Los grandes avances de nuevas tecnologías e internet, el uso constante hace

que su crecimiento sea exponencial, el internet crea una necesidad y hace que

los seres humanos nos comuniquemos a través de ella con diferentes dispositivos

como son los teléfonos inteligentes (smartphones) y diferentes aplicaciones que

permiten navegar y acceder a varios servicios que esta ofrece.

Varias empresas basan sus comunicaciones en redes Voz IP (VoIP) lo cual la red

debe estar apta para soportar todo el tráfico de red que los usuarios requieren y

compartir sus recursos, para que esto se lleve a cabo es necesario implementar

varios equipos muy robustos que tengan toda la capacidad de almacenamiento e

interacción. Estos equipos son adquiridos con sistemas operativos

multiplataforma que están en toda la capacidad de brindar servicios un excelente

servicio a los usuarios internos o externos.

La seguridad informática como la conocemos es un conjunto de procedimientos

que garantizan en su gran parte la integridad de los datos para ello necesita

herramientas que ayuden a la protección de datos críticos y un correcto

funcionamiento de estas.

Los procedimientos para desarrollarse deben ser planificados para una

distribución adecuada y así prevenir vulnerabilidades en la seguridad de la

empresa. Por lo tanto, se debe explorar en diferentes alternativas y técnicas a

implementar en este caso la herramienta denominada OSSIM.

El propósito principal para el desarrollo de este proyecto es la mejorar la

seguridad de la red mediante la correlación o la oportunidad de tener una vista

amplia de los eventos ocurridos en la red, a través de esta situación privilegiada

se procede la información y a su vez permite aumentar la capacidad de detección

de anomalías y prioriza los eventos según el contexto de importancia que se le

dé.

La valoración de riesgos es una forma práctica de decidor en cada evento y la

ejecución de una acción a través de la valoración de la amenaza que

representaría el evento frente a un activo, teniendo en cuenta casos como la

factibilidad y probabilidad de ocurrencias del mismo evento, a partir de ahí nuestra

herramienta se vuelve más compleja ya que es capaz de activar la política de

XXVI

seguridad según el caso, el conocimiento de cada equipo de red ofrecerá

monitoreo de riesgos en tiempo real.

Ofrece un marco que centraliza, organiza y mejora las capacidades de detección

de intrusos con una visibilidad en el monitoreo de eventos en la seguridad de

empresas. OSSIM establece un fuerte motor de correlación la cual permite el

detalle de eventos y permite la visualización con la presentación de informes y

herramientas de gestión de seguridad gestionando los incidentes.

CAPITULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

Ubicación del Problema en un Contexto

ANÁLISIS CONTEXTUAL

“MONITOREO Y GESTIÓN DE SEGURIDAD SOBRE LA

INFRAESTRUCTURA DE RED MEDIANTE LA IMPLANTACIÓN DE

UNA HERRAMIENTA OSSIM APLICADO AL SECTOR DE LA

MEDIANA EMPRESA”

2

Descripción.

El Proyecto abarca análisis e implementación de la herramienta OSSIM, sobre

una infraestructura de red, en la cual tienen como existencia servidores tanto

físicos como virtuales, ejecutando sistemas operativos: Windows Y Linux ya

implantados, los mismos que proporcionan servicios de Active Directory (AD),

Reporting Services (SQL), Telefonía IP (Elastix), Servicios de plataforma Web con

protocolos de red debidamente estandarizados; el enfoque que se tiene es el

análisis detallado sobre el estado actual de la red, verificación de los errores

generados y advertencias o alarmas, llevando un mejor control de seguridad

sobre los distintos servicios actuales en la empresa Red de servicios Facilito.

Los administradores de red se ven en la necesidad de tener un monitoreo de

forma general sobre su propia infraestructura de red, visualizando en tiempo real

los distintos síntomas presentados, para la respectiva toma de decisiones cómo

acciones preventivas y correctivas del mismo.

Alcance.

El alcance de nuestro proyecto abarca los siguientes puntos específicos:

Instalación de la herramienta OSSIM en la empresa Red de Servicios Facilito.

Análisis y Monitoreo del tráfico interno de la red actual tanto en el enlace WAN

como Datos.

Análisis de errores generados en los distintos servidores ya implantados.

Análisis de vulnerabilidades presentadas en la red.

Monitoreo y restricciones de usuarios.

Análisis y segmentación del consumo de ancho de banda de la red.

Análisis y verificación de los servicios existentes dentro de la empresa.

Problemática

Es de común consenso que los indicadores de seguridad de un sistema

informático se incrementan favorablemente en la medida en que se implementan

controles y herramientas específicas para solucionar problemas relacionados a la

3

seguridad del sistema, la red y los usuarios. Sin embargo, la implementación de

una gran cantidad de soluciones de seguridad en una red con frecuencia conlleva

un aumento sustancial en la complejidad de administración de los dispositivos

instalados para tal fin, observándose al final resultados adversos en los

indicadores de gestión de la seguridad.

Justificación.

El proyecto consiste en el análisis de la seguridad de una infraestructura de red

y servidores, el enfoque principal es mantener centralizado todos los registros

(logs) que son generados por los diferentes servidores y equipos de red en una

sola consola de administración centralizada, realizando un análisis detallado de

cada evento, así mismo como obtener reportes personalizados de las

vulnerabilidades existentes en las estaciones de trabajo y la red en genera.

Objetivo General.

Implementar la herramienta OSSIM, en la empresa Red de Servicios Facilito,

en dónde el administrador podrá monitorizar cada una de las alertas o eventos de

seguridad sobre la infraestructura de la red.

Objetivos Específicos.

Analizar de la Red interna de la empresa y segmentación de ser necesaria.

Implementar e Integrar servicios y servidores virtuales actuales

Prevenir las vulnerabilidades, verificando las alarmas o eventos que se

presenten sobre la herramienta centralizada a implantar.

Metodología del Proyecto.

Para el desarrollo del presente proyecto se utilizará la Metodología PPDIOO,

revisando cada una de sus fases correspondientes: (Preparar, Planear, Diseñar,

Implementar, Operar, Optimizar), teniendo como objetivo final obtener la

4

información necesaria siguiendo un correcto orden del desarrollo y ejecución del

proyecto a realizar

GRÁFICO N° 1

Metodología Herramienta de Monitoreo (OSSIM)

Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza

Fuente: Datos tomados de la investigación

PREPARAR: En esta fase determinaremos si el proyecto es viable o no,

determinar los riesgos que puede haber en el mismo, determinar los objetivos

generales que sean medibles en tiempo y alcance.

PLANEAR: En esta etapa podemos definir el alcance del proyecto, es decir tener

un análisis de los recursos que vamos a utilizar para el monitoreo y control de red

sobre los registros (logs) de cada servidor físico y virtual, determinando el nivel de

riesgo o vulnerabilidad que se tienen sobre los diferentes productos que se tienen

trabajando actualmente sobre la plataforma dentro de la empresa una vez que

sean integrados a nuestro sistema de monitoreo.

DISEÑAR: Se lleva acabo el diseño detallado comprendiendo los requerimientos

técnicos obtenidos desde las fases anteriores, dónde se tendrá información

actualizada para la debida implantación del proyecto en cada una de sus fases.

5

IMPLEMENTAR: Aquí coordinamos todos los recursos que tenemos para la

implementación de nuestro proyecto, es decir se procederá a diseñar un plan

mejorado acorde el diseño inicial, que nos ofrece la herramienta OSSIM para la

mitigación y monitorización de problemas o incidencias dentro de nuestra

estructura de red.

OPERAR: Supervisar el avance de nuestro proyecto aplicando acciones

correctivas para evaluar la operación y funcionamiento de los servicios, servidores

y equipos de red, corrigiendo todos los problemas en la configuración de la

herramienta OSSIM para tener un panorama más claro de problemática y

soluciones por el administrador de red.

OPTIMIZAR: En esta última fase tendremos una mejor visión del panorama ya

implantado, de tal forma que podemos identificar y resolver novedades antes que

puedan afectar al rendimiento de nuestra red, también podremos realizar o crear

modificaciones de ser necesarias para tener un desempeño eficiente de la

herramienta implantada.

6

CAPITULO II

MARCO TEORICO

Open Source Security Information Manager (OSSIM)

Descripción.

El término OSSIM es derivado de las siglas (Open Source Security Information

Manager) traducido al español como “Herramienta de Código Abierto para la

Gestión de Seguridad de la Información”, la cual nos provee una interfaz de

administración sobre eventos de seguridad de forma detallada, en conjunto con

diversas aplicaciones o componentes Open Source incluidos en la herramienta,

siendo de gran ayuda a la gestión del administrador ya que puede visualizar de

forma centralizada los distintos eventos en la infraestructura de red de la empresa,

obteniendo una mayor eficacia al momento de encontrar vulnerabilidades sobre la

seguridad de la red a monitorear.

OSSIM como herramienta trae incorporadas algunos componentes adicionales

Open Source dentro de su software, que tienen la capacidad de correlacionarse

entre sí para llevar a cabo una mejor centralización de la infraestructura de red

dentro de la empresa.

Características de Seguridad.

OSSIM trae consigo varias características que permite al administrador de red

gestionar de forma más eficiente la seguridad interna de los servidores de la red

de voz y datos.

Se pueden mencionar las siguientes características.

• Es completamente gratuito.

7

• Cuenta con monitoreo centralizado.

• Analiza el comportamiento de red.

• Presenta informes técnicos detallados.

• Análisis de las posibles incidencias anómalas de la red.

• Control de ataques en la red.

• Monitorea el exceso de tráfico en la red.

• Recolecta los logs de los distintos servidores.

• Presenta una prueba de vulnerabilidades.

• Notificaciones automáticas mediante alertas que son.

• Alerta y detección de intrusos

• Posibles ataques

Detección de Activos (Asset Discovery).

Permite evaluar y detectar todos los activos dentro de la red como:

• Escaneo masivo de terminales (hosts).

• Monitoreo pasivo de la red.

• Inventario de activos y softwares.

Evaluación de Vulnerabilidades.

• Identifica las vulnerabilidades del sistema de red implantado.

• Ejecución o pruebas de seguridad de la red.

• Monitoreo continuo de vulnerabilidades presentadas.

Detección de Violaciones de Seguridad

• Identifica las vulnerabilidades del sistema de red implantado.

• Ejecución o pruebas de seguridad de la red.

• Monitoreo continuo de vulnerabilidades presentadas.

8

Monitoreo del Comportamiento.

• Detecta anomalías o comportamientos sospechosos.

• Análisis del flujo de la red.

• Disponibilidad del servicio de vigilancia sobre alarmas reportadas.

Gestión de Eventos e Información de Seguridad (SIEM).

• Analiza y relaciona datos de eventos sobre la seguridad de la red.

• Administración de Eventos (logs).

• Respuestas a incidentes y elaboración de informes detallados.

OSSIM vs Otras Aplicaciones.

OSSIM actualmente cuenta con diversas herramientas de libre distribución

embebidas, de tal forma que se puede obtener una mayor factibilidad al momento

de la detección de intrusos en la red, a través de la interfaz amigable que

poseedicha plataforma. Nos permite generar de forma automática notificaciones

de eventos o alarmas previamente programadas.

A continuación, se mostrará una tabla comparativa estableciendo como criterios;

el software libre y de pago, demostrando que la herramienta a implantar OSSIM

(AlientVault) siendo Open Source puede competir e incluso superar a una

herramienta de pago.

CUADRO N° 1

OSSIM vs OTRAS HERRAMIENTAS



9

Funcionalidades de elementos de la arquitectura ossim

Los elementos de la arquitectura OSSIM se basa en tres capas como son las

superior, media e inferior a continuación se detallará cada funcionabilidad.

CUADRO N° 2

CAPA SUPERIOR.

En esta capa permite la interacción con la herramienta tanto la visualización de

eventos ocurridos con en la configuración de las herramientas.

Cuadro de mandos. Permite la presentación de una manera que

permite la visualización de eventos y alertas

que son generadas en la red de una forma

comprensible para el administrador de red.

Consola forense.

Concede toda la información recopilada y

almacenada por un colector de eventos de

una manera ordenada y centralizada.

Características AlientVa

ult

LogRhyt

hm

Splu

nk

McAf ee IBM

Qradar

HP

ArcSight

SolarWi

nds

Tipo de Licencia Libre /

Pago Pago Pago Pago

Libre /

Pago Pago Pago

Monitoreo de Seguridad en

Tiempo Real ✅ ✅ ✅ ✅ ✅ ✅ ✅

Detección de Amenazas ✅ ✅ ✅ ✅ ✅ ✅ ✅

Análisis o Escaneo de Red ✅ ✅ ✅ ✅ ✅ ✅ ✅

Perfil de Comportamiento ✅ ✅

Administración de Eventos (logs) &

Reportes ✅ ✅ ✅ ✅ ✅ ✅ ✅

Aplicaciones de Monitoreo

Embebidas ✅ ✅ ✅ ✅

10

Monitores de procesos.

Delegados del monitoreo de los procesos que

se presentan en la red.

Correlación. Procesos de datos de entrada enviados por

los sensores y de entrega da datos de salida.



CUADRO N° 3


CAPA MEDIA

Permite la interpretación de cada evento enviado por cada uno de los agentes o

sensores y lo hace de forma comprensible al administrador, esto es manipulado por

el motor de correlación, es decir que relaciona los datos que entran y ofrece un dato

de salida legible creando los diferentes avisos o advertencias según el caso

Estimación de riesgos. Nos ayuda a la valoración de diferentes

eventos suscitados en la red justificándose

en varios factores como el tipo de

vulnerabilidades y el porcentaje de

probabilidad que ocurra.

Importancia de eventos. Es la priorización de los eventos ya que los

evalúa según su importancia para que sea

atendido de forma más rápida comparada a

otros.

Base de Datos:

Permite el almacenamiento de todos los

tipos de datos de la red.

11


CUADRO N° 4



OSSIM-SERVER

Es un demonio que se ejecuta en el background y tiene una conexión directa con

la base de datos para tener un ingreso u obtención de datos desde los agentes y

el framework.

Tiene como principal propósito:

• La recopilación de datos desde los agentes y varios servidores.

• Priorización de los eventos receptados.

• Colector de los eventos receptados de múltiples fuentes.

• Ejecutar las debidas evaluaciones de los diferentes tipos de riesgos y

activación de alarmas.

• Almacenamiento masivo de eventos en la base de datos.

• Reenviar acontecimientos.

CAPA INFERIOR.

Esta es la última capa de OSSIM donde permite la colección y correlaciona los eventos

los cuales son enviados hacia el sistema núcleo

Colector de eventos. Hace la recopilación de los eventos

desarrollados en la red para

consecutivamente sean procesados.

Generador de eventos. Cualquier equipo que esté conectado a la

red generara algún tipo de evento con

cada operación realizada en el mismo.

12

OSSIM- FRAMEWORK

Este es otro demonio que ejecuta varias tareas no realizadas por los agentes,

servidores o el front-end. Su acceso a la base de datos de OSSIM, como la base

de datos de eventos.

Tiene como propósito principal:

• Lectura/escritura archivos del filesystem obviando que el servidor web lo

haga de una forma más directa.

• Ejecución de comandos externos.

OSSIM-AGENT

Los agentes en OSSIM se encargan de la recolección de todos los datos enviados

por los dispositivos que se encuentran conectados en el entorno de red, estos

datos se estandarizan para la comprensión de OSSIM y después enviarlos a los

servidores.

Ventajas y desventajas del software a implementar.

Ventajas:

Disponibilidad de la información.

Mejora el rendimiento y la calidad de la red

Optimiza la producción y la disponibilidad del equipo

Escalable.

Se pueden adherir nuevos servicios

Gratuita.

Aumento de la seguridad en la información

Desventajas:

Existe una versión con plugins adicionales de esta herramienta, que

permite una más fácil e intuitiva administración del administrador, pero es con

costo de licenciamiento.

13

Antecedentes del estudio

Los ataques informáticos que se viven diariamente pueden presentar un riesgo

eminente por esta razón se deben reinventar las técnicas de seguridad para que

no exista una posible fuga de información lo cual es una gestión bastante compleja

ya que se debe saber cuáles son las vulnerabilidades que existen en la red para

poder mitigar los riesgos de esta.

El desarrollo de la Internet y como la mayoría de los avances tecnológicos han

sido pilares fundamentales para el desarrollo de la humanidad, pero como

desventaja tenemos el crecimiento de ataques informáticos que se han venido

desarrollando, para prevenir vulnerabilidades en la seguridad información

tenemos la seguridad informática que se encarga de reducir al mínimo el acceso

de forma maliciosa a la red.

“La globalización de la economía ha exigido que las empresas implementen

plataformas tecnológicas que soporten la nueva forma de hacer negocios.

El uso de Internet para este fin conlleva a que se desarrollen proyectos de

seguridad informática que garanticen la integridad, disponibilidad y

accesibilidad de la información” (Quiroz, Macías, 2017).

Los ataques informáticos que se viven diariamente pueden presentar un riesgo

eminente por esta razón se deben reinventar las técnicas de seguridad para que

no exista una posible fuga de información lo cual es una gestión bastante compleja

ya que se debe saber cuáles son las vulnerabilidades que existen en la red para

poder mitigar los riesgos de las misma.

“La seguridad informática actualmente forma parte de los grandes negocios

en materia de tecnología y seguridad en las empresas. Debido a que hoy en

día se reflejan distintos tipos de ataques y amenazas al acceso de la

información de las organizaciones, es necesario crear medidas y procesos

que contrarresten estos peligros que afectan los recursos funcionales de las

entidades”. (Suarez. Ávila, 2015)

OSSIM (Open Source Security Information Manager) es una herramienta de

seguridad que fue desarrollada por Julio Casal y Dominique Karg en el 2000, que

tiene como función principal la seguridad informática y a partir de ella funcionan

varias herramientas muy conocidas con grandes capacidades, alto grado de

14

beneficios y seguridad de código abierto (Open Source). Por estas ventajas se ha

convertido en una compañía grande en el área de seguridad informática,

aproximadamente se realizan descargas de 40.000 copias al año lo que este caso

representaría más del 50% de los despliegues de sistema de seguridad mundial,

poniéndose como competencia para marcas reconocidas en el medio como son

IBM o McAfee.

Fundamentación teórica

El desarrollo del internet ha sido eminente y pieza fundamental para casi todo

lo que quieran hacer los ser humanos ya que es un factor importante e

indispensable para la tecnología de hoy en día esto nos lleva a la seguridad

informática que trata de proteger y mitigar los riesgos en los datos, para que se

manipulen de forma correcta y así supervisar los diferentes inconvenientes y

vulnerabilidades en el funcionamiento de la organización.

Una herramienta que nos puede ayudar a la seguridad de red es OSSIM ya que

nos permite controlar algo sencillo como son los logs en una contraseña mal

digitada hasta un ataque que se esté dando en nuestra infraestructura.

OSSIM cuenta con aproximadamente 22 funciones, todas esta con código

abierto que son capaces de correlacionarse y así tener un control mucho más

centralizado.

Fundamentación legal.

Art.1. Establecer como política pública para las entidades de administración

Pública central la utilización del Software Libre en sus sistemas y equipamiento

informáticos.

Art. 2. Se entiende por software Libre, a los programas de computación que se

pueden utilizar y distribuir sin restricción alguna. Que permitan al acceso a los

códigos fuentes y que sus aplicaciones puedan ser mejoradas.

Estos programas de computación tienen las siguientes libertades:

Utilización de programas con cualquier propósito de uso común.

Distribución de copias sin restricción alguna.

Estudio y modificación de programas (Requisitos: código fuente disponible).

Publicación del programa mejorado (Requisito: código fuente disponible).

15

Art. 3. Las entidades de la administración pública central previa a la instalación

del software libre en sus equipos deberán verificar la existencia de capacidad

técnica que brinde el soporte necesario para este tipo de software.

Art. 4. Se faculta la utilización de software propietario (no libre) únicamente

cuando no exista una solución de software libre que supla las necesidades

requeridas, o cuando esté en riesgo de seguridad nacional, o cuando el proyecto

informático se encuentre en un punto de no retorno.

Art. 5. Tanto para software libre como software propietario, siempre y cuando

se satisfagan los requerimientos.

Art. 6. La subsecretaria de informática como órgano regulador y ejecutor de

las políticas y proyectos informáticos en las entidades de Gobierno Central deber

realizar el control y seguimiento de este decreto.

Art. 7. Encargue de la ejecución de este decreto de los señores ministros

coordinadores y el señor secretario General de la administración pública y

comunicación.

16

CAPITULO III

IMPLEMENTACIÓN

¿Qué es virtualizar? Es la emulación de un recurso, como puede ser un sistema operativo, mediante

software.

Podemos emular o ejecutar un sistema operativo como si estuviera instalado en

un servidor físico, incluso tener varios sistemas operativos corriendo a la vez

dentro de otro, que se conoce como el anfitrión, host o Hypervisor.

Ejemplo del Concepto Virtualización:

Una empresa tiene 15 servidores físicos con su CPU, memoria, su placa base, su

fuente de alimentación, entre otros.

Cada servidor tiene su gasto de luz, mantenimiento, piezas, adicional de lo que ha

costado comprar cada uno de ellos y de repente llega una empresa en la que te

dice que esos 15 servidores, los puedes tener corriendo a la vez en un solo

servidor físico.

No sólo tus 15 Windows Server, sino también 5 máquinas Linux con una

distribución distinta cada uno. La cantidad de dinero que ahorró a las empresas

fue de tal manera que generó un gran ahorro sustancial económico.

17

Aunque la virtualización ya existió durante los años 60, el auge real vino en 1998

cuando VMware fue capaz de virtualizar la infraestructura en arquitectura de x86.

¿Qué es VMware vSphere?

Es el paquete completo que facilita la administración total de todo nuestro entorno

virtual y para ello consta de 2 partes muy bien diferenciadas: Vmware y Vmware

vCenter Server.

¿Qué virtualiza VMware vSphere?

Básicamente sistemas operativos y hardware.

¿Cómo realiza la virtualización?

Mediante un servidor anfitrión al que desde ahora llamaremos hypervisor o host,

ejecutando una serie de máquinas virtuales (VM o virtual machines) que son las

que contienen los sistemas operativos instalar.

¿Qué es VMware ESXi?

Es el sistema operativo que lleva el servidor físico que va a ejecutar las máquinas

virtuales.

Esto también se conoce como hypervisor: VMware ESXi es el sistema operativo

que permite correr otros sistemas operativos dentro de él. No se debe confundir

con VMware Workstation que es una aplicación, no un sistema operativo como tal.

El ESXI no emula el hardware, entrega el hardware donde está instalado a las

máquinas virtuales con una serie de procesos complejos que hace que se pueda

compartir la memoria entre varias máquinas virtuales y la CPU, entre otras cosas.

Y además lo hace mejor que ningún otro hypervisor del mercado (KVM, QEMU,

HyperV…).

A continuación, el esquema sobre la infraestructura VMware ESXi:

18

GRÁFICO N° 2

VMware Hypervisor


Fuente: Datos tomados de: virtualizadesdezero.com

¿Qué es VMware vCenter Server?

Es la herramienta que permite manejar todos nuestros ESXi y nuestras máquinas

virtuales de la manera más eficiente.

No es necesario tenerlo para que nuestras máquinas virtuales se ejecuten, y de

hecho si solo tienes un ESXi, el vCenter no tiene ningún sentido.

Una vez que hayamos configurado los ESXi dentro de nuestro vCenter (por

ejemplo, creando Clusters de ESXi), podremos conectarnos a este vCenter Server

y tendremos la visibilidad de todo nuestro entorno virtual presentado de una

manera clara, sencilla e intuitiva.

https://virtualizadesdezero.com/wp-content/uploads/2017/01/ESXI.jpg



19

GRÁFICO N° 3

VMware vCenter Server


Fuente: Datos tomados de: virtualizadesdezero.com

Características y opciones: alienvault vs splunk AlienVault es una plataforma de respuesta a incidentes y detección de amenazas

basada en dispositivos virtuales o de hardware que combina la funcionalidad de

gestión de registros, como descubrimiento de activos, evaluación de

vulnerabilidad y detección de intrusos.

Aunque es ideal para equipos de seguridad de TI más pequeños (1-20), éste

también integra capacidades de seguridad esenciales en una única plataforma

unificada, ofreciendo un enfoque simplificado para la gestión de seguridad que

permite a las empresas mitigar amenazas de tal forma que se pueda monitorear

soluciones de puntos múltiples.

Splunk Enterprise Security (ES) proporciona monitoreo en tiempo real para brindar

a los usuarios una imagen visual clara de la postura de seguridad de su

organización, con vistas fácilmente personalizables y la capacidad de profundizar

en eventos sin procesar según sea necesario. El panel de control de Postura de

seguridad de la solución rastrea indicadores y métricas de seguridad clave, y el

https://translate.googleusercontent.com/translate_c?depth=2&hl=es&rurl=translate.google.com&sl=en&sp=nmt4&tl=es&u=https://www.esecurityplanet.com/products/alienvault-unified-security-management-siem.html&xid=17259,15700021,15700043,15700186,15700190,15700256,15700259,15700262,15700265&usg=ALkJrhj1YfWqO79sqjuA3y7DmHp4_H_29Q



https://translate.googleusercontent.com/translate_c?depth=2&hl=es&rurl=translate.google.com&sl=en&sp=nmt4&tl=es&u=https://www.esecurityplanet.com/network-security/incident-response.html&xid=17259,15700021,15700043,15700186,15700190,15700256,15700259,15700262,15700265&usg=ALkJrhixlED9nbWaunZAqA-HMd3CIUniCA

https://translate.googleusercontent.com/translate_c?depth=2&hl=es&rurl=translate.google.com&sl=en&sp=nmt4&tl=es&u=https://www.esecurityplanet.com/network-security/incident-response.html&xid=17259,15700021,15700043,15700186,15700190,15700256,15700259,15700262,15700265&usg=ALkJrhixlED9nbWaunZAqA-HMd3CIUniCA

https://translate.googleusercontent.com/translate_c?depth=2&hl=es&rurl=translate.google.com&sl=en&sp=nmt4&tl=es&u=https://www.esecurityplanet.com/network-security/intrusion-prevention-systems.html&xid=17259,15700021,15700043,15700186,15700190,15700256,15700259,15700262,15700265&usg=ALkJrhhmJXB93yDw4jWwaPLU86_yXuMw7w

https://translate.googleusercontent.com/translate_c?depth=2&hl=es&rurl=translate.google.com&sl=en&sp=nmt4&tl=es&u=https://www.esecurityplanet.com/network-security/intrusion-prevention-systems.html&xid=17259,15700021,15700043,15700186,15700190,15700256,15700259,15700262,15700265&usg=ALkJrhhmJXB93yDw4jWwaPLU86_yXuMw7w

https://translate.googleusercontent.com/translate_c?depth=2&hl=es&rurl=translate.google.com&sl=en&sp=nmt4&tl=es&u=https://www.esecurityplanet.com/products/splunk-enterprise-security-siem.html&xid=17259,15700021,15700043,15700186,15700190,15700256,15700259,15700262,15700265&usg=ALkJrhigQwWo4R92YaVMpv1dlkAoDXmKow

https://translate.googleusercontent.com/translate_c?depth=2&hl=es&rurl=translate.google.com&sl=en&sp=nmt4&tl=es&u=https://www.esecurityplanet.com/products/splunk-enterprise-security-siem.html&xid=17259,15700021,15700043,15700186,15700190,15700256,15700259,15700262,15700265&usg=ALkJrhigQwWo4R92YaVMpv1dlkAoDXmKow

https://translate.googleusercontent.com/translate_c?depth=2&hl=es&rurl=translate.google.com&sl=en&sp=nmt4&tl=es&u=https://www.esecurityplanet.com/network-security/optimal-security-posture.html&xid=17259,15700021,15700043,15700186,15700190,15700256,15700259,15700262,15700265&usg=ALkJrhiCpv4FUNX82H51FFyDkQSG3391Jg

https://translate.googleusercontent.com/translate_c?depth=2&hl=es&rurl=translate.google.com&sl=en&sp=nmt4&tl=es&u=https://www.esecurityplanet.com/network-security/optimal-security-posture.html&xid=17259,15700021,15700043,15700186,15700190,15700256,15700259,15700262,15700265&usg=ALkJrhiCpv4FUNX82H51FFyDkQSG3391Jg

https://virtualizadesdezero.com/wp-content/uploads/2017/01/VCENTER-SERVER.jpg








20

aprendizaje automático ayuda a determinar si Splunk puede manejar un incidente

por sí solo o si necesita ayuda humana.

La búsqueda ad hoc y las correlaciones estáticas, dinámicas y visuales ayudan a

detectar actividades maliciosas, y la solución admite investigaciones de varios

pasos para rastrear actividades dinámicas asociadas con amenazas avanzadas.

La tienda de aplicaciones Splunkbase proporciona acceso a más de 1,000

aplicaciones que se pueden usar con Splunk ES, incluida la actualización de

contenido de Splunk ES, Splunk Security Essentials para ransomware, Splunk

Security Essentials para detección de fraude y otras.

Fortalezas y Debilidades: AlienVault

AlienVault OSSIM ofrece una amplia gama de funcionalidades de seguridad

integradas, que incluyen descubrimiento de activos, gestión de vulnerabilidades y

detección de intrusos. Los clientes dicen que las tecnologías de monitoreo de

seguridad incluidas ofrecen más funcionalidades sin costo alguno que la de los

competidores.

"El mercado objetivo de AlienVault son las medianas empresas y las

organizaciones más pequeñas", señala Gartner. "Como resultado, las

características orientadas a la empresa, como el flujo de trabajo basado en roles,

las integraciones de tickets, el soporte para múltiples fuentes de inteligencia de

amenazas y las capacidades analíticas avanzadas, van a la zaga de las de los

competidores que se centran en los clientes empresariales".

Fortalezas y Debilidades: Splunk

Splunk ofrece una gama de soluciones de gestión de eventos de seguridad que

permiten a los usuarios crecer en la plataforma con el tiempo, y la funcionalidad

de análisis avanzado está disponible en todo el ecosistema: como parte de las

capacidades de búsqueda principales, con Machine Learning Toolkit,

preempaquetado en UBA y a través de terceros -proveedores de aplicaciones de

fiesta.

Aún así, Gartner señala que Splunk no ofrece una versión de dispositivo de la

solución, y los clientes han expresado su preocupación sobre el modelo de licencia

21

y el costo general para implementar la solución. En respuesta, Splunk ha agregado

nuevas opciones de licencia, como el Acuerdo de Adopción Empresarial (EAA).

"Muchas organizaciones comienzan a implementar Splunk para otros casos de

uso, facilitando el camino para los equipos de seguridad que buscan agregar una

solución SIEM a su entorno ya que la infraestructura central y las fuentes de

registro de eventos ya están en su lugar", dijo Gartner.

Valoración: AlienVault sobre Splunk

Los usuarios de la estación central de TI otorgan a AlienVault un 8,4 sobre 10, y

Splunk lo sigue de cerca de 8,0 sobre 10. Los usuarios de Gartner Peer Insights

otorgan a ambas soluciones un 4,3 sobre 5.

Los revisores de AlienVault dijeron que la solución les permitió "crear un SOC con

un presupuesto con requisitos de personal más pequeños de lo habitual", y que

mientras "algunos de los eventos de correlación son falsos positivos", la solución

ofrece "detección de amenazas poderosas, respuesta a incidentes y gestión de

cumplimiento."

Los usuarios de Splunk dijeron que les brinda "la capacidad de reunir múltiples

tipos de datos dispares, luego correlacionarlos e informar sobre ellos", y que

mientras que la "GUI se puede mejorar" y "necesita alguna actualización", el

producto hace posible nuevos tipos de correlaciones que antes eran imposibles

con los SIEM tradicionales".

Estructura de precios

El precio de Splunk se basa en la cantidad de usuarios y la cantidad de datos

ingeridos por día. Una versión gratuita está disponible para un solo usuario y hasta

500 MB de datos por día. Splunk Light, para hasta cinco usuarios y hasta 20 GB

de datos por día, comienza en $ 75 al mes, facturado anualmente. Splunk

Enterprise, para usuarios ilimitados y hasta cantidades ilimitadas de datos por día,

comienza en $ 150 por mes por 1 GB de datos por día, con descuentos por GB a

medida que aumenta el volumen: 10 GB de datos por día cuesta $ 83 por GB por

mes, por ejemplo, mientras que 100 GB de datos por día cuestan $ 50 por GB por

mes, mientras que la herramienta AlienVault OSSIM es de libre licenciamiento.

https://translate.googleusercontent.com/translate_c?depth=2&hl=es&rurl=translate.google.com&sl=en&sp=nmt4&tl=es&u=https://o1.qnsr.com/cgi/r%3FWT.qs_dlk%3DXYDxkwrIhEQAAHdzxsMAAAAI%3BWT.qs_dlk%3DWrjiFwrIhEMAAAasFYUAAAJY%3BWT.qs_dlk%3DWp2IJArIhEMAABSXQNoAAAGf%3B%3Bn%3D203%3Bc%3D1650425%3Bs%3D26782%3Bx%3D7936%3Bf%3D201801171844570%3Bu%3Dj%3Bz%3DTIMESTAMP%3Bk%3Dhttps%253A%252F%252Fassetform.esecurityplanet.com%252Fcontroller%253Fasset%253D236278010%2526srvid%253D95980%2526vkey%253D4190310%2526io%253D11111%2526qset%253DCONTACTFORM_HQB%2526formHQB%253Dy%2526domain%253Dwww.esecurityplanet.com%2526typage%253Dhttps%253A%252F%252Fitbusinessedge.itcentralstation.com%252Fcategories%252Fsecurity-information-and-event-management-siem%2523top_rated&xid=17259,15700021,15700043,15700186,15700190,15700256,15700259,15700262,15700265&usg=ALkJrhiShOEzBkEaEyXm-4nfnH61eU2ajA




https://translate.googleusercontent.com/translate_c?depth=2&hl=es&rurl=translate.google.com&sl=en&sp=nmt4&tl=es&u=https://www.gartner.com/reviews/market/security-information-event-management/compare/alienvault-vs-splunk&xid=17259,15700021,15700043,15700186,15700190,15700256,15700259,15700262,15700265&usg=ALkJrhjtgW6ObEBgnS6tjBX2WJokmYIYsg




22

GRÁFICO N° 4

FUNCIÓN Y BENEFICIO DE LA HERRAMIENTA

ALIENVAULT (OSSIM)



Herramientas de administración ALIENVAULT (OSSIM)

• P0f, Utilizado para la identificación pasiva del OS.

• Pads, utilizado para detectar anomalías en servicios.

• Openvas, utilizado para la evaluación y correlación cruzada (Sistema de

detección de intrusos vs Escáner de Vulnerabilidad)

• Snort, utilizado como sistema de detección de intrusos (IDS) como

también para la correlación cruzada con Nessus.

• Spade, es un motor de detección de anomalías en paquetes. Utilizado para

obtener conocimiento de ataques sin firma.

https://es.wikipedia.org/wiki/Openvas

https://es.wikipedia.org/wiki/Openvas

https://es.wikipedia.org/wiki/Snort

https://es.wikipedia.org/wiki/Snort

23

• Tcptrack, utilizado para conocer la información de las sesiones, lo cual

puede conceder información útil relativa a los ataques.

• Ntop, el mismo construye una impresionante base de datos con la

información de la red, para la detección de anomalías en el comportamiento.

• Nagios, utilizado para monitorear la disponibilidad de los hosts y servicios.

• nfSen, visor de flujos de red para la detección de anomalías de red

• Snare, colecciona los logs de sistemas Windows.

• OSSEC, es un sistema de detección de intrusos basado en hosts.

• OSSIM también incluye herramientas desarrolladas específicamente para

él, siendo el más importante un motor de correlación con soporte de directivas

lógicas e integridad de logs con plugins.

Instalación de servidor y clientes

Servidor ESXi 6.7.0 VMware

Debido a la demanda y la escalabilidad que hay en la actualidad sobre los distintos

servicios en la infraestructura de una empresa, se configurará la imagen .iso

VMware ESXi 6.7.0 sobre nuestro servidor físico, ya que nos permitirá verificar los

recursos y la cantidad de procesamiento que actualmente se encuentren

virtualizados sobre nuestra infraestructura.

Requerimientos de Hardware:

Los requerimientos mínimos de hardware para la instalación del equipo físico

deberán contener las siguientes características:

La imagen .iso correspondiente se la puede obtener desde la página web

oficial VMware.

Quemar la imagen obtenida anteriormente sobre algún dispositivo boot o CD

sobre el equipo a instalar.

Procesador: Sólo CPUs de 64-bit x86, Intel o AMD, máximo 160 CPUs (cores

o hyperthreads).

Memoria: 2GB de RAM mínimo, 1TB máximo.

https://es.wikipedia.org/wiki/Ntop

https://es.wikipedia.org/wiki/Ntop

https://es.wikipedia.org/wiki/Nagios

https://es.wikipedia.org/wiki/Nagios

https://es.wikipedia.org/w/index.php?title=OSSEC&action=edit&redlink=1

https://es.wikipedia.org/w/index.php?title=OSSEC&action=edit&redlink=1

24

Red: Una o más tarjetas Gigabit Ethernet. Las tarjetas Ethernet de 10Gbps

también están soportadas. El número máximo de tarjetas de 1Gbps Ethernet

por servidor es de 32

Disco Duro: Capacidad mínima de 40GB o de mayor almacenamiento.

Controladora de disco: Controladora SCSI, controladora FC (Fibre Channel),

controladora iSCSI, controladora RAID interna, SAS y SATA.

Almacenamiento: Disco SCSI, LUN (Logical Unit Number) FC, disco iSCSI o

RAID LUN con espacio disponible sin particionar.

Configuración del Servidor ESXi 6.7.0

Para la configuración de nuestro servidor ESXi (VMware), se debe tener en cuenta

las siguiente direcciones IP a utilizar:

IP del Servidor.

IP Puerta de Enlace (Gateway).

IP DNS del servidor.

GRÁFICO N° 5

CONFIGURACION DEL SERVIDOR ESXi VMware

Configuración Servidor E



25

Ingresamos a nuestra interfaz web desde cualquier navegador de preferencia

para el administrador e ingresamos las credenciales, sobre el siguiente enlace:

https://192.168.251.13/ui/#/login

GRÁFICO N° 6

Ingreso: Nombre de Usuario y Contraseña del servidor.



Se visualizan todos los datos previamente configurados en nuestro servidor físico,

en dónde se podrá realizar el monitoreo de cada máquina virtual dentro de nuestra

infraestructura VMware:

26

GRÁFICO N° 7

Interfaz Gráfica del Servidor.



Requisitos de Hardware Servidor OSSIM (AlienVault).

El hardware requerido para instalar: OSSIM (AlienVault), depende en su mayoría

al número de eventos correlacionados que el servidor deba procesar

simultáneamente, teniendo en cuenta la cantidad de datos que vamos a

almacenar dentro de su misma base sobre el software OSSIM, y los dispositivos

o hosts que se encuentren disponibles a monitorear dentro de la red a analizar.

Los requisitos mínimos recomendables de hardware para la instalación del equipo

físico contienen las siguientes características:

Procesador de 1.5 GHz con doble núcleo o de mayor capacidad.

Memoria RAM de 2GB o de mayor capacidad.

Tarjeta de Red 100/1000 Mbps.

Disco Duro con capacidad mínima de 40GB o de mayor almacenamiento.

Requerimientos Técnicos del Personal Administrador.

Con el uso de la herramienta OSSIM (AlienVault) y el poder operar sus distintas

funciones es importante que el administrador cumpla con ciertos conocimientos

mínimos:

Conocimientos básicos en Sistemas Operativos sobre plataforma Linux.

Conocimientos en Sistemas Operativos sobre Windows Server.

Conocimientos fundamentales en el ámbito de la Seguridad Informática.

Interpretación sobre logs generados sobre plataforma Linux y Windows.

27

Conocimientos básicos de Redes: LAN/WAN.

Análisis e Interpretación de gráficos estadísticos sobre reportes obtenidos.

Herramienta global OSSIM (AlienVault)

Instalación AlienVault (OSSIM)

Para realizar una instalación de forma óptima, se deberá tomar en cuenta las

siguientes recomendaciones:

Se deberá descargar la imagen .iso correspondiente desde el sitio web

oficial OSSIM AlienVault.

Quemar la imagen obtenida anteriormente sobre algún dispositivo boot o

CD sobre el equipo a instalar.

Iniciar la imagen del software obtenido en nuestro servidor ESXi 6.70

VMware, siguiendo los pasos indicados en la plataforma.

Pasos de la instalación:

Seleccionamos la primera opción para comenzar con la instalación del

software OSSIM (AlienVault) con la arquitectura x64, basado en la distribución

Debian - Linux

GRÁFICO N° 8

Selección del software de OSSIM:

28



Se procede a seleccionar el idioma de la instalación de preferencia para el

administrador de red, según los requerimientos necesarios para el

monitoreo de servicios a integrar.

GRÁFICO N° 9

Selección del Idioma Regional:



29

Seleccionar el país, territorio o área, en nuestro caso: Ecuador.

GRÁFICO N° 10

Selección del Idioma (teclado)



GRÁFICO N° 11

SELECCIÓN DEL PAÍS O REGIÓN



30

Configuración IP del servidor OSSIM para administración futura del sistema de

monitoreo según el segmento de red escogido previamente

GRÁFICO N° 12

Selección de IP del servidor OSSIM.



GRÁFICO N° 13

Configuración Puerta de Enlace (Gateway).



31

Ingreso de clave y contraseña (AlienVault), se recomienda una clave que contenga

cómo requisitos mínimos, letras mayúsculas y caracteres especiales:

GRÁFICO N° 14

Ingreso de contraseña para el servidor OSSIM.



Finalización de nuestra plataforma OSSIM (AlienVault), previo a las

configuraciones realizadas:

GRÁFICO N° 15

Finalización de Instalación del Software.

32



Configuración de Ambiente Test.

Configuración de máquinas clientes “hosts”

Es necesario tener un ambiente de prueba para realizar una correcta

implementación al momento de que los servicios a monitorear pasen al Dpto. de

Producción, por este motivo se realizará configuraciones en máquinas virtuales

verificando su funcionalidad.

MÁQUINA CLIENTES: “PC: ATTACKER” – “PC: VICTIM” LINUX (UBUNTU)

Para la demostración a realizar se levantaron 2 equipos virtuales, cada uno de

ellos con sus respectivos nombres de usuarios y configuraciones similares en

ambas estaciones de trabajo cómo se aprecia a continuación:

GRÁFICO N° 16

Usuario Attacker (Ubuntu)


Fuente: Datos tomados de la investigacióN

33

GRÁFICO N° 17

Contraseña Victim (Ubuntu)



Configuración IP Estática Linux (Ubuntu)Se procede a configurar una

dirección IP estática en la máquina por motivos de que cualquier evento

que surja un cambio en el equipo, siempre asigne dicha dirección IP.

34

GRÁFICO N° 18

Configuración de IP estática



GRÁFICO N° 19

Vista de la IP Estática Configurada



Reinicio de la tarjeta de red (NIC) para refrescar la dirección IP anteriormente

configurada.

35

GRAFICO N° 20

Reinicio Interfaz NIC



Instalación de la paquetería nmap (Ubuntu)

GRÁFICO N° 21

Instalacion de la paquetería: nmap



Descargar desde el navegador de nuestras estaciones de trabajo el archivo

o plugin OSSEC HIDS mediante el siguiente enlace:

https://github.com/ossec/ossec-hids/archive/3.3.0.tar.gz

Para mejor visualización podemos copiar nuestro archivo de descarga en

nuestro escritorio.

GRÁFICO N° 22

Visualización del archivo OSSEC HIDS



Mediante el siguiente comando extraemos el archivo.tar.gz:

36

GRAFICO N° 23

Extracción del archivo .tar.gz



Interfaz Web AlientVault

Ingresamos a nuestra interfaz de monitoreo gráfica AlienVault OSSIM.

GRÁFICO N° 24

Ingreso Interfaz Web AlientVault



Se procede a seleccionar el panel: Environment – Detection:

37

GRÁFICO N° 25

Environment (AlienVault)



Seleccionamos la opción: AGENTS.

GRÁFICO N° 26

Agentes (AlienVault)



Se visualizan los agentes actualmente instalados y se procede agregar nuevos

para el monitoreo de las máquinas virtuales respectivas.

38

GRÁFICO N° 27

Agregación Agentes



Procedemos agregar nuestras máquinas virtuales detectadas por el sistema

para la instalación de los agentes.

GRÁFICO N° 28

Estaciones Remotas



Se verifican que se hayan agregado correctamente nuestras 2 estaciones de

trabajo.

39

GRÁFICO N° 29

Estaciones de agentes instalados



Procedimiento de instalación de Agentes en Ubuntu

(Linux).

A continuación, el sistema le indicará varias preguntas sobre el tipo de instalación

de agente que se quiere tener en las

Configuración de Agente OSSEC.

Se procede con la instalación de la paquetería sobre la carpeta

anteriormente extraída en el Escritorio (Ubuntu), de ambas estaciones de

trabajo.

GRÁFICO N° 30

Instalación Repositorio ./ install.sh

40



Instalación de Agentes en Ubuntu (Linux).

A continuación, el sistema le indicará varias preguntas sobre el tipo de instalación

de agente que se quiere tener en las estaciones de trabajo (hosts).

Tipo de Instalación: Cliente.

Dónde se desea instalar el Agente: Usar por defecto (Presionar-> Enter)

Notificación E-mail: Ingresar dirección e-mail and y detalles del servidor

SMTP, si se desean recibir correos. (Presionar-> Enter)

Run Integrity Check – (Presionar tecla-> y)

Run Rootkit Detection – (Presionar tecla-> y)

Enable Firewall Drop – Se puede agregar la dirección IP del firewall en caso

de disponer uno e ingresarlo hacia una Lista Blanca. - (Presionar tecla-> y)

Importación de llaves para Agentes en Ubuntu (Linux).

Se procede con la importación de llaves desde la interfaz web de AlienVault

(OSSIM) de cada estación de trabajo virtual.

GRÁFICO N° 31

IMPORTACIÓN DE LAS LLAVES



41

Información de la llave del Agente a importar de cada usuario:

GRÁFICO N° 32

Usuario - Agente Lla



Se detiene el servicio ossec mediante el siguiente comando:

GRÁFICO N° 33

Servicio OSSEC (Stop)



Se inicializa nuevamente el servicio OSSEC mediante el siguiente comando:

GRÁFICO N° 34

Servicio OSSEC (Start)



• Procedemos a iniciar el servicio HIDS desde el panel:

- Environment – Detection – HIDS – HIDS Control: Star

42

Procedemos a detener el servicio HIDS desde el panel: - Environment – Detection

– HIDS – HIDS Control: Stop

GRÁFICO N° 35

Servicio HIDS (STOP)



GRÁFICO N° 36

Servicio HIDS (Start)



Se verifican que las estaciones de trabajo se encuentren en estado: Active

43

GRÁFICO N° 37

Estaciones en modo (Active)



Pruebas de conectividad remota AlienVault (OSSIM)

Ingreso remoto al servidor vía SSH.

Ingresamos a nuestra máquina virtual “Attacker” para realizar las pruebas

de conexión remota con nuestro sistema de monitoreo OSSIM (AlienVault).

GRÁFICO N° 38

Conexión Remota vía SSH



44

Monitoreo de actividad:

Se visualizan las actividades o eventos registrados por la herramienta

implementada desde la máquina virtual “Attacker”

GRÁFICA N° 39

Monitoreo de Eventos



Reportes de Eventos:

Se visualizan los reportes de las alarmas generadas en formato .pdf o .html

45

GRÁFICA N° 40

Reporte de Alarmas Generadas



Dentro de la página principal de la herramienta implementada se puede

visualizar un resumen de las actividades reportadas por los distintos agentes

previamente instalados y actividades adicionales con respecto a nuestro

servidor AlienVault (OSSIM).

GRÁFICA N° 41

Resumen de Eventos Registrados

Elaborado por: Alexandra Zalabarria Zamora - Joel Banchón Montaleza Fuente: Datos tomados de la investigación

46

Análisis y resultados.

Al no utilizar un modelo de encuestas o valores cuantitativos no podemos dar un

análisis en base al entorno de estos datos, los parámetros que si se podrán

analizar son en el entorno OSSIM (Alient Valunt), el funcionamiento con la

activación de los distintos plugins y los resultados arrojados por los informes que

genera la herramienta OSSIM nos presenta las principales áreas de seguridad en

los gráficos estadísticos las cuales presentan un reporte de los hots que están

dentro de nuestra infraestructura de red y un informe personalizado, dentro de su

producción.

El análisis e interpretación de los resultados se muestran según la etapa de

investigación e implementación realizada en entorno a la herramienta OSSIM y

orientándonos en el cumplimiento de los objetivos planteados inicialmente en

nuestro proyecto.

La implementación de la herramienta OSSIM se realizó con éxito en un servidor

virtual que cumple con todos los requerimientos de instalación que exige la

herramienta.

Los plugin utilizados dentro de nuestra herramienta es Syslog genera y almacena

los logs que funciona a cabalidad para el uso de la empresa, cabe recordar que

OSSIM a ser una herramienta de seguridad completa cuenta con varios plugins

adicionales que no están implementados ni mencionados dentro de este proyecto,

pero resaltamos la eficiencia de cada uno de ellos en la parte de los anexos.

47

CAPITULO Ⅳ

Viabilidad del proyecto.

Al momento del análisis y planteamiento de los objetivos sobre la viabilidad del

proyecto, nos encontramos con un panorama un poco complicado al momento de

la implementación, por tal razón el análisis de los diferentes factores para la

viabilidad de nuestro proyecto se concentró en la parte técnica.

Viabilidad Técnica:

Este punto comprende respectivamente en el conocimiento profesional de la

correcta instalación y configuración de la herramienta OSSIM , se basa en la

capacidad analítica que debe tener el profesional del área de seguridades

informáticas para llevar a cabo la configuración de los clientes recolectores de logs

que se encuentran distribuidos de manera estratégica en diferentes puntos de la

red y el distintos servidores de la empresa, mientras más conocimientos tenga el

profesional será más factible para una mejor experiencia y garantizar que todo

esté en un correcto funcionamiento

Viabilidad Financiera:

OSSIM, que es la herramienta fundamentales para el desarrollo de este proyecto

requiere de una inversión por dos partes: la parte profesional y hardware, esta

última donde se procederá la instalación física del servidor, en la parte financiera

se considera de gran importancia ya que se podrá medir el grado de viabilidad del

proyecto, porque la empresa gozara de este beneficio y se reflejara en los activos

de la empresa, como es una empresa privada si se pudo concretar ya que cuenta

48

con los insumos necesarios y podemos enfatizar que el proyecto se pudo llevar a

cabo ya que si se cuenta con los recursos profesionales y financieros, se puede

decir que si es factible la viabilidad del proyecto.

Estudio de Factibilidad:

Cuando se habla de factibilidad en OSSIM sobresalta la amplia gama de recursos

que posee y podemos utilizar y cubrir con mayor control, apegándose a lo

analizado anteriormente en la configuración, instalación y funcionabilidad de esta

herramienta. Recalcando la factibilidad de la instalación y la puesta en

funcionamiento de OSSIM en cualquier tipo de empresa ya sea esta privada o

pública ya que no representaría una carga adicional al administrador de red y al

contar que es una herramienta libre tampoco cuenta con una carga económica

adicional para la empresa.

Recursos Humanos.

Cuando se habla del personal involucrado en la implementación de OSSIM,

sacamos a relucir una de nuestras ventajas, ya que no necesita la contratación de

personal especializado en la herramienta, descartamos un peso para la empresa

a la hora de la contratación del personal nuevo. Los recursos humanos

fundamentales que son necesarios para la implementación son:

Consultor externo en seguridad informática.

Profesionales en la implementación de OSSIM.

Administrador de red.

Administrador de servidores Linux y Windows.

Capacitar al personal de Infraestructura.

Recursos Materiales.

Los diferentes materiales mencionados anteriormente adicionalmente

necesitaremos recursos que son indispensables que ayudaran en el proceso de

instalación, dado que sin estos materiales no se llevaría con manera exitosa la

instalación.

Los materiales son:

49

Laptops.

Esferos, lápices.

Libretas de apuntes.

Hojas.

Disco duro externo.

Driver’s.

Recursos Financieros.

Con relación a lo antes mencionado con referencia a las licencias de OSSIM,

nos referimos a que no tiene ningún costo con el licenciamiento, pero si es

estrictamente necesario un servidor físico para su respectiva instalación

cumpliendo con los requerimientos mínimos en el hardware.

Costo de Mantenimiento.

Analizando que OSSIM es una herramienta no compleja y acotando que existe

material en la web que ayuda a su mantenimiento, podemos concluir que el costo

de mantenimiento es de cero, ya que el mantenimiento lo realizara el administrador

de red de la empresa.

Recursos Legales.

Analizando que la herramienta que usamos en este proyecto es de libre

comercialización y se distribuye bajo una licencia libre de usar, no es necesario la

compra de otra licencia o pagos mensuales y anuales, OSSIM se la puede adquirir

desde la página oficial sin ningún costo o problema A raíz de que es un software

libre está totalmente prohibida la venta de esta herramienta, pero si está permitido

la comercialización o vender los servicios profesionales de las respectivas

configuraciones y la implementación a terceros.Es muy importante recalcar que

en la página oficial de OSSIM es preferible el registro para pertenecer a la

comunidad de Alienvault-OSSIM y así tener actividad referente a las nuevas

mejoras, como punto importante es que Alienvault periódicamente realiza mejoras

a OSSIM.

50

Conclusiones

Se concluyo que en nuestro estudio investigativo podemos resaltar que OSSIM

(AlienVault), no solo es una herramienta que tiene como función la recolección

de logs de los diferentes equipos, sino que también trae incorporado múltiples

funciones para la gestión de seguridad como un antivirus que se encarga de

eliminar y detectar malware de un sistema informático.

Nuestra herramienta cuenta con HIDS (Host-based Intrusion Detection Systems)

encargado del monitoreo de los procesos y archivos críticos del sistema bajo

análisis, NIDS (Network-based Intrusion Detection System) su función es revisar

los datos que circulan por la red y el aviso del tráfico que evidencia un ataque,

detecta las vulnerabilidades que realizan un análisis detallado y dan como

resultado las vulnerabilidades que se encuentran en el sistema operativo y en el

software instalado. Tenemos como conclusión que OSSIM es una herramienta

bastante fuerte al momento de visualizar los recursos de los servidores y distintos

dispositivos de red ya que es de gran ayuda al momento de detectar y mitigar los

riesgos y vulnerabilidades generadas en la red interna de la empresa por los

diferentes hosts, al mismo tiempo representa una cantidad considerable de

información crítica y que puede ser analizada de manera detallada.

El trabajo se concluyó como una representación de aportación profesional para

el desarrollo de seguridades informáticas dentro de la empresa Red de Servicios

Facilito empleando herramientas de código abierto y así mitigar vulnerabilidades

dentro de la infraestructura de red para optimizar su gestión y el control de exceso

de tráfico previo a esto se recomienda contar con una administración organizada,

detallada de equipos de red, servidores, para establecer parámetros de cada

usuario previo a la instalación de la herramienta ya que se convierte en un claro

ejemplo de colaboración en la comunidad de OSSIM.

51

Recomendaciones.

Se recomienda al administrador de red investigar e indagar en el tema para

ampliar sus conocimientos en el campo de la seguridad informática y

administración de Linux para así tener el dominio total de esta herramienta y

aprovechar todo el potencial que nos ofrece OSSIM.

También tenemos como recomendación que OSSIM sea implementado en

empresas medianas para tener una gestión más optimizada y el dominio de una

cantidad considerable de hosts, previo a esto se debe tener una administración

establecida de equipos de red y servidores con su respectivo direccionamiento IP

para tener establecidos los parámetros de cada usuario al momento de la

instalación de la herramienta.

52

Referencias Bibliográficas

Asensio Asensio G. (2006). Gestión de la Seguridad con OSSIM.

Abril Ana, Pulido Jarol, Bohada John. (2013). Análisis de riesgos en

seguridad de la información, Colombia: Fundación Universitaria Juan de

Castellano.

Dussan Clavijo C. (2006). Políticas de la seguridad informática. Colombia:

Universidad Libre de Colombia.

Balbuja Garcia W, Caro Reina C, Cancio Bello F (2012). OSSIM una alternativa

para la integración de la gestión de seguridad en la red, Revista Telematica.

Suarez Diana, Avila Fontalvo A, (2013). Una Forma de interpretar la seguridad

informática. Universidad Simón Bolivar.

Alegre Ramos M, (2011). Sistemas operativos en red. Madrid, España:

Paraninfo.

Stallings W, (2007). Fundamentos de seguridad en redes, aplicaciones y

estándares.

Madrid, España: Pearson Educación.

Quiroz Zambrano S, Macias Valencia D, (2017). Seguridad en informática:

Consideraciones. Ecuador: Universidad Eloy Alfaro de Manabí.

Tenorio Martinez M, (2005). Manual de OSSIM. Universidad Nacional de

Ingeniería.

53

ANEXOS

55

DIRECCIONAMIENTO LÓGICO

Se detalla a continuación el esquema direccionamiento:

56

Guayaquil, 5 de agosto del 2019

CERTIFICADO DE APROBACIÓN

Estimado(s)

A petición del Sr. Joel Fernando Banchón Montaleza, con cédula de

identidad N° 0950677427, desempeñando el cargo Infraestructura; nos

permitimos certificar que actualmente se encuentra realizando su

Proyecto de Titulación previo a la obtención del título Ing. Networking

y Telecomunicaciones, dentro de su Área de trabajo respectiva,

cumpliendo así sus horas de labores respectivas, adicionando las

horas empleadas en el proyecto a realizar.

Agradecemos su gentil atención y aprovechamos para reiterarles

nuestra especial consideración.

Atentamente,

57

DIAGRAMA DE RED INTERNO

58

SIEM Events

59

SIEM Events - Top 10 Attacker Host from: 2019-09-06 to: 2019-10-06

Host Occurrences

192.168.100.42 190

Attacker 13

Victim 11

192.168.100.42 1

60

SIEM Events - Top 10 Attacked Host from: 2019-09-06 to: 2019-10-06

Host Occurrences

Attacker 58

Victim 16

255.255.255.255 1

61

SIEM Events - Top 10 Used Ports from: 2019-09-06 to: 2019-10-06

Port Service Occurrences

22 ssh 88

67 dhcpserver 1

62

SIEM Events - Top 15 Events from: 2019-09-06 to: 2019-10-06

63

SIEM Events - Top 15 Events by Risk from: 2019-09-06 to: 2019-10-06

UNIVERSIDAD DE GUAYAQUIL -...

Documents

Transcript of UNIVERSIDAD DE GUAYAQUIL -...