Herramientas Integradas en OSSIM

10,483 views

Published on

Herramientas integradas en OSSIM.

Published in: Technology, Design
2 Comments
7 Likes
Statistics
Notes
No Downloads
Views
Total views
10,483
On SlideShare
0
From Embeds
0
Number of Embeds
223
Actions
Shares
0
Downloads
0
Comments
2
Likes
7
Embeds 0
No embeds

No notes for slide

Herramientas Integradas en OSSIM

  1. 1. Herramientasintegradas<br />OCSA<br />Juan Manuel Lorenzo (jmlorenzo@alienvault.com)<br />
  2. 2. Activas / Pasivas<br />Es posibleclasificarlasherramientasque se incluyen en OSSIM entre:<br />Activas: Generantráficodentro de la red en que se encuentran.<br />Pasivas: Analizan el tráfico de la red sin generar nada de tráficodentro de ella.<br />Para quelasherramientaspasivasfuncionencorrectamenteesimprescindibleconfigurar un port mirroring o port span en la electrónica de red, obiendisponer de un hub o un network tap quepermita al sensor de OSSIM analizartodo el tráficoque se generedentro de la red<br />2<br />
  3. 3. Snort<br />NIDS (Detección de intrusos a nivel de red)<br />http://www.snort.org<br />Snort analizatodo el tráfico de red<br />Mediante el uso de firmas genera eventos de seguridad<br />Utilidad en OSSIM:<br />Escaneos de puertos<br />Gusanos<br />Malware<br />Violaciones de política (P2P, Mensajería, pornografía…)<br />PASIVA<br />3<br />
  4. 4. Snort<br />PASIVA<br />Violaciones de política<br />alert tcp $HOME_NET any -&gt; $EXTERNAL_NET $HTTP_PORTS (msg:&quot;ET POLICY Megaupload file download service access&quot;; flow:to_server,established; content:&quot;GET &quot;; depth: 4; uricontent:&quot;/?d=&quot;; content:&quot;|0d 0a|Host: &quot;; content:&quot;megaupload.com&quot;; within:25; nocase; classtype:policy-violation; reference:url,doc.emergingthreats.net/2009301; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/POLICY/POLICY_Download_Services; sid:2009301; rev:2;)<br />alert tcp $HOME_NET any -&gt; $EXTERNAL_NET $HTTP_PORTS (msg:&quot;ET POLICY Porn-Sports-Gambling site designed to bypass restrictions&quot;; flow:to_server,established; content:&quot;Host:&quot;; nocase; pcre:&quot;/Host:[^ ]+.(bodog|bodogbeat|bodognation|bodogmusic|bodogconference|bodogpokerchampionships).com/i&quot;; reference:url,www.bodog.com; classtype:policy-violation; reference:url,doc.emergingthreats.net/2003100; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/POLICY/POLICY_bodog.com; sid:2003100; rev:4;)<br />Malware<br />alert tcp $HOME_NET any -&gt; $EXTERNAL_NET $HTTP_PORTS (msg:&quot;ET CURRENT_EVENTS MALWARE Potential Malware Download, rogue antivirus (IAInstall.exe)&quot;; flow:established,to_server; uricontent:&quot;/download/IAInstall.exe&quot;; nocase; classtype:bad-unknown; reference:url,malwareurl.com; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT_EVENTS/CURRENT_Malwareurl_top_downloads; reference:url,doc.emergingthreats.net/2010447; sid:2010447; rev:2;)<br />alert tcp $EXTERNAL_NET $HTTP_PORTS -&gt; $HOME_NET 1024: (msg:&quot;ET MALWARE 404 Response with an EXE Attached - Likely Malware Drop&quot;; flow:established,from_server; content:&quot;HTTP/1.1 404 Not Found|0d 0a|&quot;; depth:24; content:&quot;|0d 0a 0d 0a|MZ&quot;; distance:0; classtype:attempted-admin; reference:url,doc.emergingthreats.net/bin/view/Main/2009028; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/POLICY/POLICY_404_EXE; sid:2009028; rev:2;)<br />4<br />
  5. 5. Snort<br />PASIVA<br />Virus ytroyanos<br />alert tcp $HOME_NET any -&gt; $EXTERNAL_NET 25 (msg:&quot;ET VIRUS Bugbear@MM virus via SMTP&quot;; flow: established; content:&quot;uv+LRCQID7dIDFEECggDSLm9df8C/zSNKDBBAAoGA0AEUQ+FEN23f7doqAT/dCQk/xWcEQmDxCTD&quot;; reference:url,www.symantec.com/avcenter/venc/data/w32.bugbear@mm.html; classtype: misc-activity; reference:url,doc.emergingthreats.net/2001764; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/VIRUS_BugBear; sid: 2001764; rev:6;)<br />alert tcp $EXTERNAL_NET any -&gt; $HOME_NET any (msg:&quot;ET WORM UPX encrypted file download - possible worm&quot;; flow: established; content:&quot;MZ&quot;; isdataat: 76,relative; content:&quot;This program cannot be run in DOS mode.&quot;; distance: 0; isdataat: 10,relative; content:&quot;PE&quot;; distance: 0; content:&quot;|00|code|00|&quot;; content:&quot;|00 C0|text|00|&quot;; classtype: misc-activity; reference:url,doc.emergingthreats.net/2001047; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/WORM_Suspicious_Extensions; sid: 2001047; rev:6;)<br />Escaneos<br />alert tcp $HTTP_SERVERS $HTTP_PORTS -&gt; $EXTERNAL_NET any (msg:&quot;ET SCAN Unusually Fast 403 Error Messages, Possible Web Application Scan&quot;; flow:from_server,established; content:&quot;HTTP/1.1 403&quot;; depth:13; threshold: type threshold, track by_dst, count 35, seconds 60; classtype:attempted-recon; reference:url,www.checkupdown.com/status/E403.html; reference:url,doc.emergingthreats.net/2009749; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_403; sid:2009749; rev:2;)<br />alert tcp $EXTERNAL_NET any -&gt; $HOME_NET 110 (msg:&quot;ET SCAN Rapid POP3 Connections - Possible Brute Force Attack&quot;; flags: S,12; threshold: type both, track by_src, count 10, seconds 120; classtype: misc-activity; reference:url,doc.emergingthreats.net/2002992; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_General_Services; sid: 2002992; rev:5;)<br />5<br />
  6. 6. Ntop<br />Monitor de red y de uso<br />http://www.ntop.org<br />Ntopanalizatodo el tráfico de red<br />Ntopofrecedatos (En tiempo real ehistórico) del usoqueestamosdando a nuestra red <br />Utilidad en OSSIM:<br />Estadísticas de uso de red<br />Informaciónsobreactivos<br />Matrices de tiempoy de actividad<br />Informaciónsobresesionesactivas en la red<br />Detección de abuso de la red<br />PASIVA<br />6<br />
  7. 7. Ntop<br />PASIVA<br />7<br />
  8. 8. Ntop<br />En modopasivoNtopvacreando un perfilparacadaactivo de nuestra red a partir del tráficoqueestegenere en la red<br />PASIVA<br />8<br />
  9. 9. Ntop<br />Matrices de datosytiempo<br />PASIVA<br />9<br />
  10. 10. Ntop – RRD Aberrant Behaviour<br />A partir de los datoshistóricos, Ntophaceuso del algoritmo RRD Aberrant Behaviour pararealizarpredicciones del comportamiento de nuestra red y de los activosque la componen<br />Si la realidad no se corresponde con la predicción, el sistema genera un evento<br />PASIVA<br />10<br />
  11. 11. NFSen /NFdump<br />Nfdumprecogeyprocesanetflowsdesde la línea de comandos.<br />http://nfdump.sourceforge.net/<br />NFSenesunainterfazgráficaquepermitegestionarymostrar la informaciónrecogidaporNfdump<br />http://nfsen.sourceforge.net/<br />PASIVA<br />11<br />
  12. 12. NFSen /NFdump<br />Netflowes un protocólo de red desarrolladopor Cisco quepermiterecogerinformaciónreferida al tráficoanalizado<br />Un grannúmero de dispositivossoportanhoydíaNetflow<br />PASIVA<br />12<br />
  13. 13. OCS<br />Gestión de inventario<br />http://www.ocsinventory-ng.org<br />Mediante un sistema de agentesdistribuidos, se recogeinformaciónpara el inventario de cadamáquina<br />OCS requiere de un agenteinstalado en cadamáquina a inventariar<br />Utilidad en OSSIM<br />Gestión de inventario (Software y Hardware)<br />Gestión de vulnerabilidades<br />Violaciones de política<br />Control del hardware<br />ACTIVA (AGENTES)<br />13<br />
  14. 14. OCS<br />ACTIVA (AGENTES)<br />14<br />
  15. 15. Nagios<br />Monitor de disponibilidad<br />http://www.nagios.org<br />Nagiosmonitoriza la disponibilidad de los activosyservicios<br />Podemosmonitorizar un servicio de diferentesmodos (Ejemplo: Servidor MySQL)<br />Comprobarque el equipoestálevantado<br />Comprobarque el puerto de MySQL estálevantado<br />Comprobarsi en el puertorealmenteescucha un servidor MySQL<br />Realizarunaconsulta al servidorycomprobar el resultado<br />ACTIVA <br />15<br />
  16. 16. Nagios<br />Utilidad en OSSIM:<br />Disponibilidad de los activos<br />Nagiospuederealizarcomprobaciones en remotoodisponiendo de un agente en la máquinamonitorizada<br />Nagiosdispone de un grannúmero de plugins paradiferentesentornosyherramientas<br />ACTIVA <br />16<br />
  17. 17. OpenVas<br />Escaneo de vulnerabilidades<br />http://www.openvas.org<br />OpenVasrealizaescaneos de vulnerabilidades en utilizandounaserie de firmas<br />Utilidad en OSSIM<br />Prevención de ataques (Sabemosquees vulnerable)<br />¿Se cumple la política de la organización?<br />ACTIVA <br />17<br />
  18. 18. OpenVas<br />Algunasvulnerabilidadessólopueden ser probadasexplotando la vulnerabilidad (Ej: DOS)<br />OpenVaspermitedefinir la agresividad de los escaneosquerealiza<br />Un escaneo mal configuradopuedeacarrearcaidas en servicios de nuestra red. Los primerosescaneossiempredeberánsupervisarse con atención.<br />ACTIVA <br />18<br />
  19. 19. OpenVas<br />OpenVastiene la capacidad de realizarescaneos en remotoconectándose a la máquinaescanedasi le facilitamoslascredencialesparaello.<br />De estemodoOpenVasconoceexactamente el software instalado en cadamáquinaysiestetienealgunavulnerabilidado no<br />OpenVasdispone de un lenguajepropio de escritura de firmas<br />ACTIVA <br />19<br />
  20. 20. OSVDB<br />Base de datos de vulnerabilidades<br />http://www.osvdb.org<br />OSVDB esuna base recopilainformaciónsobrelasvulnerabilidades. <br />Utilidad en OSSIM<br />Creación de reglas de correlación<br />Relacionaidentificadores de cadavulnerabilidad<br />Complementa la informaciónofrecidaporOpenVas<br />20<br />
  21. 21. OSVDB<br />Descripción de la vulnerabilidad:<br />Referenciaseidentificadores:<br />21<br />
  22. 22. OSVDB<br />Relaciones entre herramientas:<br />Puntuación CVSSv2 (Common Vulnerability Scoring System):<br />22<br />
  23. 23. OSSEC<br />HIDS (IDS a nivel de host)<br />http://www.ossec.org<br />OSSEC requiere de un agenteinstalado en cadamáquina a monitorizar. (Exceptosistemas UNIX)<br />OSSEC realiza análisis de logs, comprueba la integridad del sistema, monitoriza el registro de Windows e incluye un sistema de detección de sistemas rootkit.<br />ACTIVA (AGENTES) <br />23<br />
  24. 24. OSSEC<br />OSSEC utilizaunaarquitecturaagentes -&gt; servidor, en OSSIM recogeremos los eventosrecolectados en el servidor de OSSEC.<br />OSSEC dispone de supropiosistema de plugins paraanalizar los eventos de herramientas en Windows y UNIX<br />Utilidad en OSSIM:<br />Recogida de eventos de sistemas Windows y UNIX<br />Recogida de eventos de aplicaciones<br />Monitorizaciónficheros, carpetasyregistro (DLP)<br />ACTIVA (AGENTES) <br />24<br />
  25. 25. Kismet<br />Sniffer y detector de intrusos en redes Wireless<br />http://www.kismetwireless.net<br />Kismet requiere de unatarjetawifiquesoporte el modo de monitorización raw y puede rastrear tráfico 802.11b, 802.11a y 802.11g<br />Utilidad en OSSIM:<br />Securización de redesinalámbricas<br />Detectión de rogue AP<br />Cumplimiento de normativa (PCI)<br />PASIVA<br />25<br />
  26. 26. Nmap<br />Escaner de puertos<br />http://www.insecure.org<br />Nmapescanearedesyequiposmediante un escaneo configurable (Precisión, velocidad, grado de intrusión…)<br />Utilidad en OSSIM:<br />Descubrimiento de activos<br />Identifica puertosabiertos <br />Determina qué servicios se están ejecutando <br />Determinar qué sistema operativo y versión se utiliza<br />Obtiene algunas características del hardware de red de los activos escaneados<br />ACTIVA <br />26<br />
  27. 27. P0f<br />Detección de anomalías en sistemaoperativo<br />http://lcamtuf.coredump.cx/p0f.shtml<br />A partir del análisis del tráficogeneradopor los activos de la red, P0f identifica el sistemaoperativoqueestánutilizando.<br />Utilidad en OSSIM:<br />Cambios de sistemaoperativo<br />Gestión del inventario<br />Accesos no autorizados a la red<br />PASIVA<br />27<br />
  28. 28. Pads<br />Deteccción de anomalías en servicios<br />http://passive.sourceforge.net/<br />A partir del análisis del tráficogeneradopor los activos de la red, Pads identifica los serviciosqueestáejecutandocadaactivo.<br />Utilidad en OSSIM:<br />Gestión del inventario<br />Cambios en los servicios<br />Violaciones de política<br />Correlación de inventario<br />PASIVA<br />28<br />
  29. 29. Arpwatch<br />Deteccción de anomalías en lasdirecciones MAC<br />http://ee.lbl.gov/<br />A partir del análisis del tráficogeneradopor los activos de la red, Arpwatchidentificacambios en lasdirecciones MAC asociadas a cadadirección IP.<br />Utilidad en OSSIM:<br />Gestión del inventario<br />Cambios de dirección IP<br />ARPSpoofing<br />PASIVA<br />29<br />
  30. 30. Tcptrack<br />Monitor de sesiones (red)<br />http://www.rhythm.cx/~steve/devel/tcptrack/<br />Tcptrackmuestrainformaciónacerca de lasconexiones TCP activas en la red (Duración, datostransferidos…)<br />Utilidad en OSSIM:<br />Información de sesionesdurante la correlación<br />PASIVA<br />30<br />
  31. 31. Nepenthes<br />Honeypot<br />http://nepenthes.mwcollect.org<br />Nepenthes emula servicios y vulnerabilidades conocidas con el objeto de recoger información de los atacantes (Patrones de ataque, ficheros…)<br />Utilidad en OSSIM<br />Conocer que equipos están infectados (Atacan al honeypot)<br />Creación de firmas y directivas en base a los ataques identificados<br />Colección de malware<br />PASIVA<br />31<br />
  32. 32. About this document<br />This Document is part of the OCSA Training Material (OSSIM Certified Security Analyst)<br />Author: Juan Manuel Lorenzo (jmlorenzo@alienvault.com)<br />Copyright © Alienvault 2010<br />All rights reserved. No part of this work may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording, or by any information storage or retrieval system, without the prior written permission of the copyright owner and publisher.<br />Any trademarks referenced herein are the property of their respectiveholders.<br />32<br />

×