ossim ossec instalacion y funcionamiento

7/25/2019 Ossim Ossec Instalacion y Funcionamiento

1/7

OSSIM + OSSEC: Instalacin y funcionamiento.

Group Ratin

Gr2Dest - Grupo de estudio de

seguridad informtica

EST. Nov 05, 2013

954 estudiantes

Suggest new ideas for Meetups!JOIN

ADD THIS

TO YOUR

SITE

MARCOS

HOME SOBRE NOSOTROS EL EQUIPO INICIACIN AL HACKING MEETUP

A medida que las redes de equipos han ido expandindose y los ataques se han vuelto cada vez ms

sofisticados, ha surgido, en el campo de la seguridad informtica, la necesidad de poder dar una

respuesta avanzada, precisa, centralizada y de forma rpida ante cualquier amenaza sobre los activos

bajo el control de la organizacin. Gracias a los avances en la gestin de grandes volmenes de

informacin introducidos a raz de los sistemas de big data, la capacidad de utilizar mecanismos que a

partir de grandes volmenes de informacin en bruto consigan extraer la informacin esencial y

correlacionarla es hoy en da uno de los objetivos principales de los equipos de seguridad.

Aunque hay diversas herramientas que de una forma u otra logran esta funcin hoy me gustara hablar

de uno de los SIEM (Security Information and Event Management) ms famosos, OSSIM (Open Source

Security Information Management) y cmo puede combinarse con otras herramientas para conseguir

el control centralizado de un gran nmero de equipos.

DESCRIPCIN.OSSIM

Se trata de una herramienta de recoleccin de eventos de seguridad encargada de integrar y organizar

los eventos producidos por un gran nmero de herramientas, desde escneres de vulnerabilidades, a

WAFs o HIDSs.

Esta herramienta es tan compleja y son tantas las posibles configuraciones y la integracin de otras

herramientas que Alien Vault ofrece cursos de entrenamiento para aprender a utilizarla aprovechando

al mximo su potencial.

La funcin principal es la de detectar y prevenir intrusiones en cualquier equipo sobre el que est

desplegada la herramienta o algn agente (cualquier herramienta externa, generalmente y HIDS queenve informacin a OSSIM desde otra fuente).

Entre las herramientas que utiliza se encuentran: p0f, OpenVAS, Snort, Nagios, OSSEC

OSSEC

Se trata de un HIDS Open Source que lleva a cabo anlisis de logs, comprobaciones de integridad,

monitorizacin de registros, deteccin de rootkits y sistemas de alerta y respuesta a incidentes. La

razn principal por la que se utilizar dicha herramienta es que posee versiones para Linux y Windows,

adems es fcil de instalar y configurar y su integracin con OSSIM no genera ningn tipo de problema.

Esta herramienta ser, por tanto, la que proporcione a OSSIM la informacin relativa a los agentes

BUSCAR

SESIN 37

NETE AL MEETUP

EL EQUIPO

AGO

242014

M + OSSEC: Instalacin y funcionamiento. http://www.gr2dest.org/ossim-ossec-instalacion-y-funcion

7 15/12/2


2/7

COTARD

R3D3N3MY

Mi Reino Por Una PS4 ift.tt/1P5jgF3

Gr2Dest

@Gr2Dest

Exploit RCE Joomla 1.5.0-3.4.5,

parchea o muere! ift.tt/1P5acQE

Gr2Dest

@Gr2Dest

Abrir

Vulnerabilidad 0-day crtica en

Joomla! ift.tt/1mlY5oV

Gr2Dest

@Gr2Dest

Gr2Dest

ahora

ahora

ahora

4h

Tweets Seguir

Twittear a @Gr2Dest

Linux Exploiting:

Parte III

2015-10-09

Linux Exploiting: Parte II

2015-07-20

Linux Exploiting: El tao del ...

2015-06-12

Iniciacin al Hacking.

Captulo 1.

2014-06-17

desplegados.

PROCESO DE INSTALACIN.

FASE 1: Instalacin OSSIM

Instalar OSSIM en VirtualBox (SO tipo Debian 64 bits) utilizando la imagen ISO descargada desde:

http://www.alienvault.com/open-threat-exchange/projects

Configurar la mquina para que utilice una conexin de tipo puente (por razones de visibilidad

entre MVs).

Instalar el sistema como haramos con la mayora de sistemas basados en Linux.

Introducir la informacin de idioma, teclado y red.

Seleccionar por ltimo una contrasea y dejamos que la instalacin contine hasta completarse.

Tras la instalacin, la mquina se reinicia y despus de cargar todos los servicios de OSSIM ya

est lista para usar introduciendo el usuario y la contrasea especificados en la instalacin.

Acceder a su interfaz web utilizando la IP que se especific en la instalacin (192.168.1.100 para

el ejemplo) con las credenciales utilizadas para arrancar OSSIM.

NOTA:A veces hay problemas de conexin con MySQL, para solucionar esta eventualidad hay que ir a

la opcin 2 del men Maintenance & Troubleshooting y una vez ah a la opcin 1 Repair Database.

TWITTER

LO MS RECIENTE

LO MS POPULAR


7 15/12/2


3/7

Excel

Troyanizado

2014-11-05

Eugenia Bahit en Gr2Dest

2014-07-12

AARR Acunetix AndroidAnonimato

anti-malware avanzado Anlisis de riesgos

Apache2 APTs ataque basado en buscador

auditora auditora web backdoorBeEF XSS contraseas crack

definicin deteccin de ataques

eventos Exploit firewall

gnu/linux hack hackerhacking hacking webhardening honeypot kali Kernel

linux metasploit netcat nmappentesting pentesting web

Python que esseguridad sistemasoperativos SQLi SQL InjectionTOR Vulnerabilidades

Wordpress xss

Auditora(11)

Biblioteca(2)

Consultora(4)

Curso Hacking Bsico(11)

Documentos(3)

Eventos(6)

Exploits(1)Gr2Dest(21)

Hack-Hardware(2)

Historias(1)

Linux(1)

Noticias(7)

Pentesting(25)

programacin(7)

Redes(8)

robots(1)

Seguridad(46)

Sesiones(13)

SGSI(6)

Uncategorized(9)

octubre 2015(1)

julio 2015(1)

junio 2015(1)

mayo 2015(1)

abril 2015(1)

marzo 2015(2)

febrero 2015(2)

enero 2015(5)

diciembre 2014(5)

noviembre 2014(7)

octubre 2014(6)

Fase 2: Configuracin OSSIM Aadir los agentes

Conectar con la MV de OSSIM

ssh [email protected]

En OSSIM pulsar sobre Jailbreak System para tener acceso a una shell

Ir a /var/ossec/bin

Gestionar los agentes:

Introducir la informacin del primer agente (Linux).

Introducir la informacin del segundo agente (Windows).

Arrancar el servidor OSSEC:

/etc/init.d/ossec start

Fase 3: Instalacin OSSEC Ubuntu

Descargar la ltima versin de ossec para Linux desde: www.ossec.net/?page_id=19

Proceder con la instalacin

cd /home//Downloads

tar xvzf ossec-hids-2.8.tar.gz

cd ossec-hids-2.8

sudo ./install.sh

Escoger el idioma de instalacin y pulsamos ENTER cuando nos lo pida para continuar con la

instalacin.

Seleccionar instalacin de agente.

El resto de variables se dejan por defecto salvo el servidor OSSIM, en este caso 192.168.1.110 y

la respuesta activa, que se deshabilitar (por ser una configuracin ms avanzada que requiere de

scripts y herramientas adicionales).

ETIQUETAS

CATEGORAS

ARCHIVO


7 15/12/2


4/7

septiembre 2014(8)

agosto 2014(7)

julio 2014(15)

junio 2014(12)

mayo 2014(1)

abril 2014(3)

marzo 2014(5)

Seguridad LibreEl Lado del Mal

The Hacker Way

Security Art Work

Security By Default

HackPlayers

Last Dragon

Hacker Ops

1GB de Informacin

The Hacker Way

Ensalada de Bits

Samiux Blog

Ole Aass

G0tm1lk

El Lado del Mal

The Hacker Way

HighSec

1GB de Informacin

Cacera de Spammers

Osi Securite

Jsitech

SniferL4bs

RegistroAcceder

Fase 4: Configuracin OSSEC Ubuntu

Extraer la clave desde la sesin ssh con OSSIM

Importar esa misma clave en el cliente de la mquina Ubuntu:

Iniciar el cliente:

Fase 5: Instalacin OSSEC Windows

Descargar el cliente para Windows de la misma pgina utilizada para descargar el de Linux.

Ejecutar el instalador (es un instalador bastante simple en el que simplemente habr que ir

pulsando siguiente hasta finalizar).

Fase 6: Configuracin de OSSEC Windows

Antes de ejecutar el agente se extrae su clave asociada en OSSIM de la misma manera que

para Linux, pero seleccionando el cdigo de agente de Windows

SITIOS RECOMENDADOS

MS SOBRE NOSOTROS

INGRESO REGISTRO


7 15/12/2


5/7

Insertar la informacin de configuracin para el agente Windows.

Arrancar el agente en: Manage/Start OSSEC

NOTA: Se puede ver el funcionamiento correcto de los HIDSs accediendo a la seccin

Environment/Detection.

OSSIM EN FUNCIONAMIENTO.Una vez instalado todo se analizar la informacin que aportan las herramienta. Partiendo de un estado

inicial en el que las mquinas ya han sido configuradas y aun no se ha producido ninguna alerta de

seguridad se llevan a cabo distintas acciones intrusivas:

Respuesta a instalacin de paquetes

Respuesta a apertura de un puerto

Para ver de qu puerto se trata es necesario analizar la informacin del evento:


7 15/12/2


6/7

Respuesta a intento de conexin SSH

Respuesta a anlisis con Nessus

Respuesta a explotacin con Metasploit (SSH brute force attack)

Visto desde la seccin Analysis/Alarms:

La ltima funcionalidad que me gustara comentar me result bastante interesante, ya que OSSIM

permite realizar anlisis de vulnerabilidades desde la propia herramienta.

Para configurar el escner basta con ir a Configuration/Administration/Main/Vulnerability Scanner

Introducir despus toda la informacin necesaria para acceder al escner (esto depender del tipo

de scanner y de las opciones de instalacin y configuracin del mismo).

Empezar un nuevo escner en: Environment/Vulnerabilities/New Scan Job

Seleccionar el tipo de anlisis, el servidor desde el que se realizar y por ltimo los elementos a

analizar.

NOTA:el anlisis de vulnerabilidades no requiere, como es lgico, que la mquina objetivo tenga un


7 15/12/2


7/7

Alemania Espaa Colombia -> Hacking sin Fronteras Home Sobre Nosotros El Equipo Iniciacin al Hacking Meetup

0

agente instalado.

Puesto que el anlisis de vulnerabilidades ya se trat en un post anterior no me voy a extender sobre

este tema. S me gustara destacar que OSSIM dej de dar soporte para Nessus y actualmente la

mejor opcin para el tratamiento de vulnerabilidades es a travs de OpenVAS.

VENTAJAS DE OSSIM.Fcil de instalar.

Gran cantidad de informacin suministrada.Posibilidad de centralizar informes producidos por gran cantidad de herramientas de diverso

propsito.

Muy cmodo.

Es relativamente fcil resolver los incidentes en la instalacin y durante el uso gracias a la

comunidad de usuarios de OSSIM y a los foros de ayuda.

Es de gran ayuda para aquellos con poca experiencia en la deteccin y anlisis de incidentes.

DESVENTAJAS DE OSSIM.Pueden producirse problemas de conectividad en diversos puntos y la tarea de comprobar el punto

de fallo puede resultar algo tediosa.

OSSIM, la versin gratuita de Alien Vault (frente a USM, su versin de pago) ofrece poca

informacin sobre los eventos identificados por las herramientas y muchas veces hay que recurrir

al anlisis de la alerta sin procesar producida por la herramienta, lo cual requiere un mayor

conocimiento de todas las herramientas integradas.

La correlacin de eventos no es todo lo precisa que cabra esperar.

A veces resulta difcil trabajar debido al gran volumen de informacin que se procesa.

El soporte oficial es bastante escaso.

Prevencin de APTs NETCAT: Comandos tiles.


ossim ossec instalacion y funcionamiento

Documents