“implementación de una herramienta sim en la red de la universidad técnica particular de loja”
DESCRIPTION
“Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”. Agenda. Problemática SIM SIM Software OSSIM Valoración de Riesgos Correlación Situación Actual Implementación. Problemática. Gestión de Seguridad: Personas, procesos y tecnologías - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/1.jpg)
“Implementación de una Herramienta SIM en la Red de
la Universidad Técnica Particular de Loja”
“Implementación de una Herramienta SIM en la Red de
la Universidad Técnica Particular de Loja”
![Page 2: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/2.jpg)
AgendaAgenda
◄ Problemática
◄ SIM
◄ SIM Software
◄ OSSIM
◄ Valoración de Riesgos
◄ Correlación
◄ Situación Actual
◄ Implementación
![Page 3: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/3.jpg)
ProblemáticaProblemática
◄ Gestión de Seguridad: Personas, procesos y
tecnologías
◄ Mecanismos y herramientas usadas por los
administradores
o Numerosas herramientas de seguridad: monitores de
tráficos, escáner de vulnerabilidades, detectores de
anomalías, IDS/IPS, Firewall, antivirus, etc.
o Diversos entornos, plataformas y formatos
o Saturación de eventos y falsas alarmas emitidas
o Dificultan tener una imagen clara de la seguridad de una
Red
![Page 4: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/4.jpg)
Security Information Management (SIM) (1/4)
Security Information Management (SIM) (1/4)
◄ Recoger, ordenar y correlacionar la información sobre el
estado de la red, comportamiento sistemas, información
de equipos , etc.
◄ Automatiza la colección de eventos de sistemas y
dispositivos de seguridad
◄ Centralización, correlación y priorización de eventos
o Estandariza eventos dando una visión clara de lo que ocurre
en la red
o Reducción de tiempo en la detección de ataques y
vulnerabilidades de la red
o Minimiza cantidad de información a procesar
![Page 5: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/5.jpg)
SIM (2/4)SIM (2/4)
◄Funcionalidad
o Administración de la infraestructura de red y de los
activos de la organización
o Configuración centralizada y monitoreo de los
componentes de la infraestructura de seguridad
o Análisis de la información reportada por los
componentes de seguridad
o Predicción y pronóstico de amenazas
o Colección y correlación de eventos
![Page 6: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/6.jpg)
SIM (3/4)SIM (3/4)
◄Funcionalidad
o Detecta, identifica y reporta eventos de seguridad
o Permite el análisis forense de los eventos
o Permite administrar y establecer políticas de
seguridad
o Monitoreo de ataques y respuestas en tiempo real
o Planificación de seguridad
![Page 7: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/7.jpg)
SIM (4/4)SIM (4/4)
Arquitectura
![Page 8: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/8.jpg)
SIM SoftwareSIM Software
◄Comercial
o ArcSight ESM
o Cisco Works SIM
o Cisco MARS
◄Open Source
oOSSIM
![Page 9: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/9.jpg)
Open Source Security Information Management (OSSIM) (1/3)
Open Source Security Information Management (OSSIM) (1/3)
Ofrece un marco para
centralizar, organizar y
mejorar la capacidad
de detección y
visibilidad en el
monitoreo de eventos
de seguridad de la
organización
(www.ossim.net)
![Page 10: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/10.jpg)
OSSIM (2/3)OSSIM (2/3)
outside
Web
DB OSSIM
OSSIM-Framework
OSSIM-Server
Administrador
Servidor Central
Agente_1Agente_2
Segmento 1Segmento 2
Segmento 3
Componentes
![Page 11: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/11.jpg)
OSSIM (3/3)OSSIM (3/3)Herramientas
![Page 12: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/12.jpg)
Valoración de RiesgosValoración de Riesgos
CALM (Monitor del Nivel de Compromiso y Ataque) es Algoritmo de Valoración por Acumulación de Eventos.
◄Nivel de Compromiso: posibilidad de que una máquina se
encuentre generando algún ataque o anomalía
◄Nivel de Ataque: posible riesgo debido a los ataques
recibidos
Risk = Metric/Threshold (Nivel A o C)
Nivel de Riesgo:
![Page 13: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/13.jpg)
CorrelaciónCorrelación
◄ Algoritmo que mediante una operación de eventos de
entrada (herramientas de seguridad) generan
información de mayor valor, disminuyendo el número
de falsos positivos y alertas, facilitando el análisis.
◄ Suplen la sensibilidad, fiabilidad y visibilidad limitada de
los detectores, monitores y escaners
◄ La correlación puede ser:
o Lógica: correlación de eventos
o Cruzada: correlación de eventos y vulnerabilidades
o Inventario: correlación de eventos, sistemas operativos y
servicios
![Page 14: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/14.jpg)
Análisis Situación Actual (1/3)
Análisis Situación Actual (1/3)
◄Políticas de seguridad
inside
Switch inside
INTERNET
Siwtch de Core
Cisco ASA
UsuarioFinal
Red LAN
SeguridadPerimetral
Proxy
◄Esquema de Seguridad
![Page 15: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/15.jpg)
◄ Priorización de los Servicios
o Tipos de datos
o Magnitud
o Impacto financiero
o Impacto a usuarios
Análisis Situación Actual (2/3)
Análisis Situación Actual (2/3)
◄Análisis de tráfico
0
1
2
3
4
5
6
7
8
Puerto
Nú
mero
de S
erv
idore
s
212225536780110111139, 445143389512152120493128338910000
![Page 16: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/16.jpg)
◄ Las herramientas de seguridad con las que cuenta no son suficientes para tener un control total debido a la amplitud de la red y diversidad de servicios
◄ Cuando se produce un incidente de seguridad, no se cuenta con información suficiente para determinar cómo, cuándo, de dónde y quién provocó dicho incidente.
◄ No se posee información clasificada de los eventos detectados por los IDS´s.
◄ No existe un método formal utilizado para detectar las vulnerabilidades que tienen los equipos.
Análisis Situación Actual (3/3)
Análisis Situación Actual (3/3)
![Page 17: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/17.jpg)
Implementación (1/2)Implementación (1/2)
Internos
Frontales
DNS Interno
DNS Caching
Proxy
Vlan 50
Asutpl
Pdcserver
NtsyslogOsiris
NtsyslogOsiris
SyslogOsiris
SyslogOsiris
SyslogOsiris
Servidores_GrupoVlan 52
CajanumaULoja
SyslogOsiris
SyslogOsiris
DB OSSIM
ServidorOSSIM
Agente_3
Servidor Central
SyslogOsiris
Agente_4
Internos
Wsutpl
NtsyslogOsiris
Agente_2
Intranetcittes
NtsyslogOsiris
Frontales
Web
SyslogOsiris
Sigserver
NtsyslogOsiris
Sunfire
SyslogOsiris
Agente_1
Agente_5
Calsever
NtsyslogOsiris
IVR
NtsyslogOsiris
ASA
Switch de core
Inside
Utplonline
SyslogOsiris
Outside
ISP-2
ISP-1
ROUTERDE BORDE
DNS Externo
Administrador
Utpl.net
SyslogOsiris
Outside
SyslogOsiris
Arquitectura de Monitoreo
![Page 18: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/18.jpg)
Implementación (2/2)Implementación (2/2)
Inventario de Activos
Inventario de Redes
![Page 19: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/19.jpg)
Resultados (1/2)Resultados (1/2)
![Page 20: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/20.jpg)
Resultados (2/2)Resultados (2/2)
Después de la implementación de OSSIM
OSSIM cuenta con varias herramientas de seguridad, que permite tener una mejor gestión de seguridad.
Con los eventos almacenados por las distintas herramientas, se puede realizar un análisis forense de algún incidente de seguridad ocurrido. Teniendo evidencia de quién lo hizo, cómo, cuándo y de dónde se lo realizó.
OSSIM centraliza, clasifica y prioriza los distintos eventos emitidos por las herramientas. Ayudando a realizar de forma ágil la administración de los eventos para la toma de decisiones.
OSSIM cuenta con una herramienta llamada Nessus, que se encarga de escanear las vulnerabilidades, y así determinar un reporte del estado de riesgo del equipo.
![Page 21: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/21.jpg)
ReferenciasReferencias
[1] Corletti Estrada, Alejandro, “Auditoria, Evaluación,Test de Seguridad → metodología abierta ¿OSSTMM…?[2] OSSIM. OSSIM – Descripción. [En línea a 20 de juniode 2007]. [3] Asensio, Gonzalo, “Gestión de la Seguridad conOSSIM”. [5] Cisco. “Introducing Cisco Intrusion Detection System,Configuration and Operations Guide Version 2.2.2”. [6] Demuth, Thomas and Leitner, Achim, “Arp Spoofingand poisoning TRAFFIC TRICKS”.
![Page 22: “Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”](https://reader036.vdocumento.com/reader036/viewer/2022062422/56813af5550346895da378a0/html5/thumbnails/22.jpg)
Gracias por su atenciónGracias por su atención
María Paula Espinosa:[email protected]
Julia Pineda: [email protected]
Marco Sinche: [email protected]