2. ANÁLISIS ACTUAL
Las herramientas de seguridad con las
que cuenta las empresas no son
suficientes para tener un control total
debido a la amplitud de la red y
diversidad de servicios.
Cuando se produce un incidente de
seguridad, no se cuenta con información
suficiente para determinar
cómo, cuándo, de dónde y quién provocó
dicho incidente.
No se posee información clasificada de
los eventos detectados por los IDS´s.
No existe un método formal utilizado
para detectar las vulnerabilidades que
tienen los equipos.
3. DESPUÉS DE LA IMPLEMENTACIÓN DE
OSSIM
OSSIM cuenta con varias herramientas
de seguridad, que permite tener una
mejor gestión de seguridad.
Con los eventos almacenados por las
distintas herramientas, se puede realizar
un análisis forense de algún incidente de
seguridad ocurrido. Teniendo evidencia
de quién lo hizo, cómo, cuándo y de
dónde se lo realizó.
OSSIM centraliza, clasifica y prioriza los
distintos eventos emitidos por las
herramientas. Ayudando a realizar de
forma ágil la administración de los
eventos para la toma de decisiones.
5. OSSIM: La solución para Gestionar
la Seguridad
Nace como un proyecto Open-
Source, desarrollado por
especialistas en seguridad
informática, para garantizar al
administrador una vista de todos los
aspectos relativos a la seguridad del
sistema.
Consola de Gestión de Seguridad.
6. …
La fuerza principal de ossim
radica en su motor de
correlación, ya que nos permite
detectar anomalías en el
funcionamiento de las
máquinas por nuevos virus que
aún no han sido identificados
por nadie, además nos ofrece
interfaces de visualización y
herramientas de manejo de
incidentes.
8. OSSIM/Herramientas
Compuesta por más de 22 Herramientas lideres en el campo de la
Seguridad Informática:
Sistema de detección de Funcionalidad
intrusos
Snort Utilizado como sistema de
detección de intrusos (IDS)
Osiris Sistema de detección de intrusos
basado en host (HIDS).
SysLog Funcionalidad
Snare Windows Colecciona los logs de sistemas
Windows.
9. …
Detectores Funcionalidad
Arpwatch Utilizado para detección de anomalías en
direcciones MAC.
P0f Utilizado para la identificación pasiva de OS.
Pads Utilizado para detectar anomalías en servicios
Spade Detección de anomalías en paquetes.
Es un sistema de detección de intrusos basado en
OSSEC hosts
10. …
Monitores Funcionalidad
Ntop Monitorización de Trafico de red.
TcpTrack Utilizado para conocer la información de las
sesiones.
Nagios Utilizado para monitorear la disponibilidad de
los hosts y servicios.
Scanner Funcionalidad
Nessus Utilizado para la evaluación y correlación
cruzada (Sistema de detección de intrusos vs
Escáner de Vulnerabilidad)
Nmap Inventariado de servicios activo.
12. NMap: Inventariado de servicios activo.
Es probablemente una de las herramientas más
completas para escanear redes.
Se basa en el intercambio y análisis de paquetes TCP
con las máquinas objetivo.
Es capaz de reconocer el Sistema Operativo de una
máquina, los servicios que están activos y las
versiones de los mismos.
Es muy sigiloso y difícil de detectar.
Como herramienta de administración, permite
encontrar vulnerabilidades antes que los atacantes.
Usa una base de datos de ‘huellas’ (OSfingerprint)
para identificar remotamente el Sistema Operativo.
13. NMap: Escaneado de puertos
SYN – Synchronize. Inicializa una conexión entre 2 hosts. ACK– Acknowledge. Establece una conexión entre 2 hosts.
PSH – Push. El sistema está forwardeando data de buffer. URG – Urgent. La data en los paquetes debe ser procesada rápido.
FIN – Finish. No más transmisiones. RST Restet. Resetea la conexión.
14. NMap: Escaneado de puertos
SYN – Synchronize. Inicializa una conexión entre 2 hosts. ACK– Acknowledge. Establece una conexión entre 2 hosts.
PSH – Push. El sistema está forwardeando data de buffer. URG – Urgent. La data en los paquetes debe ser procesada rápido.
FIN – Finish. No más transmisiones. RST Restet. Resetea la conexión.
15. NMap: Escaneado de puertos
SYN – Synchronize. Inicializa una conexión entre 2 hosts. ACK– Acknowledge. Establece una conexión entre 2 hosts.
PSH – Push. El sistema está forwardeando data de buffer. URG – Urgent. La data en los paquetes debe ser procesada rápido.
FIN – Finish. No más transmisiones. RST Restet. Resetea la conexión.
16. NMap: Escaneado de puertos
SYN – Synchronize. Inicializa una conexión entre 2 hosts. ACK– Acknowledge. Establece una conexión entre 2 hosts.
PSH – Push. El sistema está forwardeando data de buffer. URG – Urgent. La data en los paquetes debe ser procesada rápido.
FIN – Finish. No más transmisiones. RST Restet. Resetea la conexión.
17. NMap: Escaneado de puertos
SYN – Synchronize. Inicializa una conexión entre 2 hosts. ACK– Acknowledge. Establece una conexión entre 2 hosts.
PSH – Push. El sistema está forwardeando data de buffer. URG – Urgent. La data en los paquetes debe ser procesada rápido.
FIN – Finish. No más transmisiones. RST Restet. Resetea la conexión.
18. CONCLUSIONES
OSSIM, mas que un producto, es una solución para las necesidades
de cada organización. Gracias a la integración de sus herramientas.
Con OSSIM ahorramos dinero, ya que no necesitamos de licencias ni
hardware.
Actualmente es conocido como una de las mejores plataformas de
seguridad.
Nmap tiene una gran utilidad por ejemplo para la auditoría de
redes, rápidamente se puede identificar los servicios y versiones que
están levantados en la red, los hosts activos y muchas otras cosas.