nmap.potosim
TRANSCRIPT
Presentación General
Downloads
SourceForge+
Imagen+CVS
70.000 año
OSSIM en la red
OSSIM es una herramienta de monitorización de seguridad para administradores de sistema. Agrupa 22 programas libres, como cortafuegos, detectores de intrusos o antivirus, algunos tan conocidos como Nessus, Nmap o Snort, todos en un mismo paquete, que puede bajarse gratuitamente de Internet. Pero la función de OSSIM no es sólo poner a trabajar juntos estos programas: recoge y ordena la información que generan y la cruza, para hacer valoraciones sobre el estado de la red o buscar patrones que sirvan para detectar si está siendo atacada….
… La gracia de OSSIM es que, al integrar programas libres, no tiene que encargarse del desarrollo de éstos, que ya tienen su propia comunidad que los perfecciona. Así, todos los esfuerzos van a mejorar el motor que los pone a trabajar juntos. "Es el "efecto red" en su estado más puro: todo se reutiliza y no se hacen las cosas veinte veces. En nuestro caso, heredamos el esfuerzo de 22 productos y simplemente los ponemos a hablar entre ellos", explica Julio Casal, director del Área de Seguridad de IT Deusto y uno de los protagonistas de este éxito.
… La utilizan empresas desde Sudáfrica a Singapur, incluidas corporaciones y bancos españoles. La aventura de estos hackers, cuya empresa compraba IT Deusto a principios de 2004, es un buen ejemplo de cómo hacer negocio con un producto que se
regala.
Seguridad Open Source
100% AuditableCualquiera puede auditar el código fuente OSSIM en cualquier momento.
Gobierno y organizaciones estratégicas no deberían confiar en software ajeno.
100% AdaptableTener acceso al código fuente nos ofrece adaptabilidad del sistema.
100%
Seguridad
Open Source
Evolución del mercado de la seguridad
Quién Revisa los Logs
1 Mill Eventos / Dia
500k Eventos / Dia
2 Mill Eventos / Dia
2 Mill Eventos / Dia
Mas de 5 Mill Eventos / diarios
OSSIM Areas
OSSIM es una solución “end to end” de seguridad en modalidad open source. Incluye una consola de seguridad en conjunto con las 16 herramientas open source de seguridad mas conocidas del mercado mundial.
Agregación de logs
Integral Security System
Integral Security System
InteroperabilidadOSSIM puede recoger datos y enviarlos a través de múltiples protocolos..
Plg Plg Plg
SensorAgent
Real Secure
Management Server
Plg
SyslogSyslogOPSECSNMP SNMP SNMP SyslogSyslogSNMP + SQL
Syslog
SNMP Syslog SMTP SQL
Syslog
A través de un agente genérico es inmediato crear un plugin nuevo. Ejemplo de plugin de pads:
[DEFAULT]plugin_id=1516[config]type=detectorenable=yessource=loglocation=/var/log/ossim/pads.csv# create log file if it does not exists,# otherwise stop processing this plugincreate_file=trueprocess=padsstart=yes ; launch plugin process when agent startsstop=no ; shutdown plugin process when agent stopsstartup=%(process)s -D -w %(location)sshutdown=killall %(process)s
[pads-service]event_type=host-service-eventregexp="^(\IPV4),([^,]*),([^,]*),([^,]*),([^,]*),(\d+)$"host={$1}port={$2}protocol={$3}service={$4}application={$5}plugin_sid=1
Funcionalidad
Detección de Red
P0f
pattern anomalies
Detección de ataques de red a través de patrones y anomalías
Monitorización RedMonitorización y creación de perfiles de Red.
Disponibilidad
Vulnerabilidades
Seguridad Host
• Accesos a ficheros y directorios, con usuario e ip origen• Creación, modificación, copia de ficheros• Inserción de dispositivos usb• Login / logoff• Ejecución/Instalación de programas
• Modificaciones de fichero por checksum• Modificaciones de puertos• Cambios de usuarios• Cambios Módulos de kernel
Inventario
Pasivo – Sin Agente Activo – Sin Agente
Agente
p0f
Reportes
Cuadro de Mandos
Compliance
Reportes a Medida
Compliance FrameworkOSSIM Compliance Framework Solution, permite a las organizaciones medir sus niveles de seguridad de acuerdo a regulaciones como:
• ISO27001• SOX• PCI• HIIPA
Servicios
Training
OSSIM Appliances
OSSIM Boxes
OSSIM standard Appliances (Crossbeam)
OSSIM Boxes are Appliances with:• 64 bit OSSIM version• Tuned Operating System & Applications• Network card optimization for Network Capture• Professional Support• Next Business Day replacement
It is also possible to use standard Appliances such as Crossbeam
Comparación Productos
OSSIM ARCSIGHT RSA Net IQ IBM - ISS Symantec LogLogic General
License Cost No Cost Very High High High Very High High Normal
Functionality
Sim/SIEM Yes Yes Yes Yes No
Web Interface No (Win32) Yes Yes
Log storing Yes Yes Yes Yes Yes Yes
Log Correlation Yes Yes Yes Yes Yes Yes
Indicent Mng Yes Yes Yes Yes Yes No
DataMart Reporting Yes Only Reporting Only Reporting Yes Yes Yes
Compliance Yes Yes Yes Yes Yes Yes Yes
Tools
Network IDS Snort No No No Yes
Symantec IDS No
Vulnerability Nessus No No No Yes Symantec Vulnerability Assessment
No
Network Mon Ntop No No No No No.
Anomaly Detec Spade No No No Yes No
Host IDS Snare & Osiris No No No Yes Symantec IDS No
Inventory OCS No No No No No
Antivirus ClamAv No No No Norton No.
Hardware
Appliances Yes No No Yes Yes No
SIM Functionality Comparison
Referencias de OSSIM
Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.
Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.
Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.
Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.
Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.