Upload
patch
View
35
Download
0
Embed Size (px)
DESCRIPTION
“Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”. Agenda. Problemática SIM SIM Software OSSIM Valoración de Riesgos Correlación Situación Actual Implementación. Problemática. Gestión de Seguridad: Personas, procesos y tecnologías - PowerPoint PPT Presentation
Citation preview
“Implementación de una Herramienta SIM en la Red de
la Universidad Técnica Particular de Loja”
“Implementación de una Herramienta SIM en la Red de
la Universidad Técnica Particular de Loja”
AgendaAgenda
◄ Problemática
◄ SIM
◄ SIM Software
◄ OSSIM
◄ Valoración de Riesgos
◄ Correlación
◄ Situación Actual
◄ Implementación
ProblemáticaProblemática
◄ Gestión de Seguridad: Personas, procesos y
tecnologías
◄ Mecanismos y herramientas usadas por los
administradores
o Numerosas herramientas de seguridad: monitores de
tráficos, escáner de vulnerabilidades, detectores de
anomalías, IDS/IPS, Firewall, antivirus, etc.
o Diversos entornos, plataformas y formatos
o Saturación de eventos y falsas alarmas emitidas
o Dificultan tener una imagen clara de la seguridad de una
Red
Security Information Management (SIM) (1/4)
Security Information Management (SIM) (1/4)
◄ Recoger, ordenar y correlacionar la información sobre el
estado de la red, comportamiento sistemas, información
de equipos , etc.
◄ Automatiza la colección de eventos de sistemas y
dispositivos de seguridad
◄ Centralización, correlación y priorización de eventos
o Estandariza eventos dando una visión clara de lo que ocurre
en la red
o Reducción de tiempo en la detección de ataques y
vulnerabilidades de la red
o Minimiza cantidad de información a procesar
SIM (2/4)SIM (2/4)
◄Funcionalidad
o Administración de la infraestructura de red y de los
activos de la organización
o Configuración centralizada y monitoreo de los
componentes de la infraestructura de seguridad
o Análisis de la información reportada por los
componentes de seguridad
o Predicción y pronóstico de amenazas
o Colección y correlación de eventos
SIM (3/4)SIM (3/4)
◄Funcionalidad
o Detecta, identifica y reporta eventos de seguridad
o Permite el análisis forense de los eventos
o Permite administrar y establecer políticas de
seguridad
o Monitoreo de ataques y respuestas en tiempo real
o Planificación de seguridad
SIM (4/4)SIM (4/4)
Arquitectura
SIM SoftwareSIM Software
◄Comercial
o ArcSight ESM
o Cisco Works SIM
o Cisco MARS
◄Open Source
oOSSIM
Open Source Security Information Management (OSSIM) (1/3)
Open Source Security Information Management (OSSIM) (1/3)
Ofrece un marco para
centralizar, organizar y
mejorar la capacidad
de detección y
visibilidad en el
monitoreo de eventos
de seguridad de la
organización
(www.ossim.net)
OSSIM (2/3)OSSIM (2/3)
outside
Web
DB OSSIM
OSSIM-Framework
OSSIM-Server
Administrador
Servidor Central
Agente_1Agente_2
Segmento 1Segmento 2
Segmento 3
Componentes
OSSIM (3/3)OSSIM (3/3)Herramientas
Valoración de RiesgosValoración de Riesgos
CALM (Monitor del Nivel de Compromiso y Ataque) es Algoritmo de Valoración por Acumulación de Eventos.
◄Nivel de Compromiso: posibilidad de que una máquina se
encuentre generando algún ataque o anomalía
◄Nivel de Ataque: posible riesgo debido a los ataques
recibidos
Risk = Metric/Threshold (Nivel A o C)
Nivel de Riesgo:
CorrelaciónCorrelación
◄ Algoritmo que mediante una operación de eventos de
entrada (herramientas de seguridad) generan
información de mayor valor, disminuyendo el número
de falsos positivos y alertas, facilitando el análisis.
◄ Suplen la sensibilidad, fiabilidad y visibilidad limitada de
los detectores, monitores y escaners
◄ La correlación puede ser:
o Lógica: correlación de eventos
o Cruzada: correlación de eventos y vulnerabilidades
o Inventario: correlación de eventos, sistemas operativos y
servicios
Análisis Situación Actual (1/3)
Análisis Situación Actual (1/3)
◄Políticas de seguridad
inside
Switch inside
INTERNET
Siwtch de Core
Cisco ASA
UsuarioFinal
Red LAN
SeguridadPerimetral
Proxy
◄Esquema de Seguridad
◄ Priorización de los Servicios
o Tipos de datos
o Magnitud
o Impacto financiero
o Impacto a usuarios
Análisis Situación Actual (2/3)
Análisis Situación Actual (2/3)
◄Análisis de tráfico
0
1
2
3
4
5
6
7
8
Puerto
Nú
mero
de S
erv
idore
s
212225536780110111139, 445143389512152120493128338910000
◄ Las herramientas de seguridad con las que cuenta no son suficientes para tener un control total debido a la amplitud de la red y diversidad de servicios
◄ Cuando se produce un incidente de seguridad, no se cuenta con información suficiente para determinar cómo, cuándo, de dónde y quién provocó dicho incidente.
◄ No se posee información clasificada de los eventos detectados por los IDS´s.
◄ No existe un método formal utilizado para detectar las vulnerabilidades que tienen los equipos.
Análisis Situación Actual (3/3)
Análisis Situación Actual (3/3)
Implementación (1/2)Implementación (1/2)
Internos
Frontales
DNS Interno
DNS Caching
Proxy
Vlan 50
Asutpl
Pdcserver
NtsyslogOsiris
NtsyslogOsiris
SyslogOsiris
SyslogOsiris
SyslogOsiris
Servidores_GrupoVlan 52
CajanumaULoja
SyslogOsiris
SyslogOsiris
DB OSSIM
ServidorOSSIM
Agente_3
Servidor Central
SyslogOsiris
Agente_4
Internos
Wsutpl
NtsyslogOsiris
Agente_2
Intranetcittes
NtsyslogOsiris
Frontales
Web
SyslogOsiris
Sigserver
NtsyslogOsiris
Sunfire
SyslogOsiris
Agente_1
Agente_5
Calsever
NtsyslogOsiris
IVR
NtsyslogOsiris
ASA
Switch de core
Inside
Utplonline
SyslogOsiris
Outside
ISP-2
ISP-1
ROUTERDE BORDE
DNS Externo
Administrador
Utpl.net
SyslogOsiris
Outside
SyslogOsiris
Arquitectura de Monitoreo
Implementación (2/2)Implementación (2/2)
Inventario de Activos
Inventario de Redes
Resultados (1/2)Resultados (1/2)
Resultados (2/2)Resultados (2/2)
Después de la implementación de OSSIM
OSSIM cuenta con varias herramientas de seguridad, que permite tener una mejor gestión de seguridad.
Con los eventos almacenados por las distintas herramientas, se puede realizar un análisis forense de algún incidente de seguridad ocurrido. Teniendo evidencia de quién lo hizo, cómo, cuándo y de dónde se lo realizó.
OSSIM centraliza, clasifica y prioriza los distintos eventos emitidos por las herramientas. Ayudando a realizar de forma ágil la administración de los eventos para la toma de decisiones.
OSSIM cuenta con una herramienta llamada Nessus, que se encarga de escanear las vulnerabilidades, y así determinar un reporte del estado de riesgo del equipo.
ReferenciasReferencias
[1] Corletti Estrada, Alejandro, “Auditoria, Evaluación,Test de Seguridad → metodología abierta ¿OSSTMM…?[2] OSSIM. OSSIM – Descripción. [En línea a 20 de juniode 2007]. [3] Asensio, Gonzalo, “Gestión de la Seguridad conOSSIM”. [5] Cisco. “Introducing Cisco Intrusion Detection System,Configuration and Operations Guide Version 2.2.2”. [6] Demuth, Thomas and Leitner, Achim, “Arp Spoofingand poisoning TRAFFIC TRICKS”.
Gracias por su atenciónGracias por su atención
María Paula Espinosa:[email protected]
Julia Pineda: [email protected]
Marco Sinche: [email protected]