Instalación de AlienVault Open Source SIM (OSSIM)

Introducción

AlienVault Open Source SIM (OSSIM) es un sistema de seguridad integral en código abierto que cubre desde la detección hasta la generación de métricas e informes a un nivel ejecutivo. OSSIM se ofrece como un producto de seguridad que le permitirá integrar en una única consola todos los dispositivos y herramientas de seguridad que disponga en su red, así como la instalación de otras herramientas de código abierto y de reconocido prestigio como Snort, Openvas, Ntop y OSSEC.

Una vez los eventos generados por las diferentes herramientas y dispositivos han sido recogidos por el sistema AlienVault, el sistema realiza una valoración del riesgo para cada evento y tiene lugar la correlación. Durante el proceso de correlación, a partir de una serie de patrones, se generan nuevos eventos para detectar ataques o problemas en nuestra red.

Para acceder a toda la información recogida y generada por el sistema se hace uso de una consola Web que además nos permitirá configurar el sistema y ver el estado global de nuestra red en tiempo real. Desde esta consola Web también es posible acceder a un gran número de métricas e informes

Consideraciones Previas

OSSIM es un producto en constante evolución. Por esta razón es importante asegurarnos de que estamos utilizando la última versión del instalador de OSSIM y de esta guía de instalación. Las nuevas versiones siempre estarán disponibles en la Web del proyecto: http://www.AlienVault.com.



Descargar ISO

AlienVault OSSIM Installer
The standalone installer, use this if you're installing a system from scratch. Burn it and boot into the installer.
Size: 670MB aprox.

v2.2.1 (64bit edition)

MD5: 268e53057e329a927bb8c7889d1b761e
Architecture: amd64 (valid for intel 64 processors except Itanium)
Released: 2010/03/11

* http://data.alienvault.com/alienvault-ossim-installer-2.2.1.amd64.iso (Main Site)

OSSIM Installation Guide (English - Spanish)

v2.2.1 (32bit edition)

MD5: 59056dea7636f6637cd57198241b80b3
Architecture: i386
Released: 2010/03/11

* http://data.alienvault.com/alienvault-ossim-installer-2.2.1.x86.iso (Main Site)

OSSIM Installation Guide (English - Spanish)


Objetivo del documento

El objetivo de este documento es ofrecer al lector una guía que le permita disponer de una instalación de AlienVault Open Source SIM funcional. Para ello, el documento ofrece una serie de consideraciones previas en las que se explican los diferentes componentes integrados dentro del instalador, así como los diferentes perfiles que puede adoptar una instalación de OSSIM.

¿Por qué un instalador?

OSSIM es un producto que integra más de 30 herramientas Open Source. Tanto el sistema operativo como muchas de las herramientas integradas, han sido modificadas para mejorar su funcionamiento dentro del sistema. Es por ello que la instalación de OSSIM a partir del código fuente requiere de unos amplísimos conocimientos y de la compilación de más de 40 herramientas.

Para simplificar el complejo proceso de compilación, instalación y configuración de estas herramientas el equipo de desarrollo distribuye OSSIM dentro de un instalador en el que se incluye el sistema operativo, los componentes acompañados de un potente sistema de configuración y actualización. El instalador de OSSIM está basado en el sistema operativo Debian/GNU Linux y está disponible para arquitecturas de 32 y 64 bits.

En el instalador se incluyen un buen número de herramientas que servirán de apoyo para realizar un análisis forense de la información proporcionada por el sistema OSSIM.

¿32 Bits o 64 Bits?

Es de vital importancia comprobar si nuestro procesador es de arquitectura 64 Bits. En caso afirmativo podremos aprovecharnos de las ventajas que ofrece esta arquitectura en cuanto a rendimiento. En determinados perfiles de instalación y dependiendo del tráfico y del número de eventos a tratar es necesario disponer de un hardware capaz de gestionar grandes volúmenes de datos. La arquitectura de 64 Bits permite, además, el uso de una mayor cantidad de memoria física.

OSSIM

Funcionamiento

Trataremos de mostrar, de forma simplificada, que procesos tienen lugar dentro de OSSIM:

1.
Las aplicaciones generan eventos de seguridad
2.
Los eventos son recogidos y normalizados
3.
Los eventos son enviados a un servidor central
4.
Valoración del riesgo de cada evento
5.
Correlación de eventos
6.
Almacenamiento de los eventos
7.
Acceso a los eventos almacenados
8.
Acceso a la configuración
9.
Acceso a métricas e informes
10.
Acceso a información en tiempo real del estado de nuestra red

Los eventos de seguridad son generados por las diferentes aplicaciones y/o dispositivos que dispongamos en nuestra red. Estos eventos son recogidos y normalizados por el Sensor de OSSIM, que se encarga además de enviarlos a un servidor central. En un despliegue de OSSIM podremos disponer de tantos Sensores como necesitemos. Como ejemplo, se puede situar un sensor dentro de la DMZ, un sensor en cada ciudad o dedicar un sensor para monitorizar cada una de las redes de la corporación.

El Sensor de OSSIM incluye una serie de herramientas (Snort, Ntop, Tcptrack, Arpwatch…) que permiten analizar todo el tráfico de red en busca de problemas de seguridad y anomalías. Para poder sacar provecho de esta funcionalidad de OSSIM es imprescindible que el Sensor de OSSIM sea capaz de ver todo el tráfico de la red, bien sea utilizando un concentrador, o configurando un port mirroring o port Span en la electrónica de red.

Todos los sensores de OSSIM envían sus eventos a un único servidor de OSSIM, que se encarga de efectuar una valoración del riesgo para cada evento, y en el que también tendrá lugar el proceso de correlación. Una vez estos dos procesos han tenido lugar, los eventos son almacenados en la base de datos de OSSIM.

Para tener acceso a toda esta información, así como a la configuración del sistema y a una serie de métricas e informes haremos uso de la Consola Web de OSSIM. Desde esta consola Web también tendremos acceso a información en tiempo real a una serie de aplicaciones que nos facilitarán el análisis del estado global de nuestra red.

Perfiles

Es posible cambiar el perfil de nuestra máquina una vez ha finalizado el proceso de instalación. De este modo, el sistema habilitará o deshabilitará servicios que no se utilizan en todos los perfiles de instalación.

all-in-one

El perfil all-in-one es una combinación de todos los perfiles en una única máquina. Es el perfil de instalación por defecto. Incluye un Sensor, servidor, base de datos y consola web.

Dentro del sensor se incluyen también varias herramientas de código abierto como Snort, OpenVas, Ntop, Arpwatch, P0f, Pads y muchas otras que generarán un buen número de eventos para ayudarnos a conocer el estado en que se encuentran los activos de la red.

Sensor

El perfil sensor se encarga de la collección y normalización de eventos. Para ello, es necesario que hagamos llegar todos los eventos generados por las herramientas de las que disponemos en nuestra red al sensor haciendo uso de Syslog, Ftp, Samba, Snare…

Cada herramienta tiene un plugin asociado que indica al sistema como ha de procesar la información recibida con el objeto de generar un evento normalizado e independiente de la herramienta que lo haya generado. Los eventos normalizados son enviados al servidor.

En el perfil sensor se instalan Snort, Ntop, Arpwatch, P0f y Pads. Estas herramientas se encargan de analizar el tráfico de red, por lo que, para que resulten de utilidad deberemos utilizar un concentrador o configurar un port mirroring en la electrónica de red.

Server

El perfil server (servidor) preparará nuestro equipo para que se encargue de procesar todos los eventos enviados por los diferentes agentes o sensores. En cada despliegue de OSSIM es obligatorio disponer de un único servidor.

Una vez procesados los eventos, toda la información generada es almacenada en la base de datos. Dentro del perfil servidor también se incluye un sensor de OSSIM para monitorizar la seguridad del propio sistema (Pam Unix, SSH…)

Database

El perfil Database base de datos hará que nuestra máquina se encargue del almacenamiento de los eventos, inventarios y configuraciones del sistema.

Para ello el perfil Base de datos dispondrá de un servidor de base de datos MySQL.

Requisitos

Requisitos de Hardware

Los requisitos de hardware para instalar OSSIM dependerán en gran medida del número de eventos por segundo y del ancho de banda de la red que pretendamos analizar.

Como requisito mímimo siempre es recomendable disponer de al menos 2GB, cantidad que deberemos ir incrementando en función del tráfico que analicemos, del número de eventos que tenga que procesar el servidor o de la cantidad de datos que pretendamos almacenar en base de datos. Para optimizar el uso de recursos es imprescindible que utilicemos unicamente las aplicaciones y componentes que nos resultarán de utilidad en cada caso.

La diferencia de rendimiento entre 32 Bits y 64 Bits es más que considerable, por lo que siempre deberemos tratar de escoger esta arquitectura a la hora de escoger nuestro hardware. La mayoría de los componentes de OSSIM son multihilo, por lo que utilizando procesadores con varios cores obtendremos también una gran mejora en el rendimiento.

A la hora de seleccionar las tarjetas de red para realizar la captura del tráfico, deberemos procurar escoger aquellas soportadas por el driver e1000. El desarrollo Open Source de este driver garantiza una buena compatibilidad de estas tarjetas con Debian GNU/Linux.

Siempre deberemos dedicar las tarjetas de red con peores especificaciones, o aquellas que ofrezcan problemas de compatibilidad a la recogida de eventos de otros dispositivos o como interfaz de gestión.

Requisitos de red

Para poder llevar a cabo un buen despliegue de OSSIM es importante conocer bien la electrónica de red de la que disponemos para poder configurar un port mirroring en los dispositivos de red que lo soporten. Hay que tener un especial cuidado a la hora de configurar el port mirroring para evitar principalmente dos cosas:

*
Tráfico duplicado : Se da en el caso en que estoy viendo el mismo tráfico en dos port mirroring configurados en diferentes dispositivos de la misma red.

* Tráfico que no se puede analizar : En ocasiones puede no tener sentido configurar un port mirroring en un punto de la red en el que todo el tráfico es canalizado utilizando una VPN o demás protocolos que envían los datos cifrados.

Además del port mirroring, es necesario preparar con anterioridad las diferentes direcciones IP que vamos asignar a los componentes de AlienVault, teniendo en cuenta que muchos de estos componentes deberán tener acceso a la red que estén monitorizando.

Como ejemplo, si decidimos hacer uso de OpenVas para realizar escaneos de vulnerabilidades a nuestra red deberemos asegurarnos de que la máquina en que se está ejecutando OpenVas tiene permisos en el Firewall para acceder a los equipos que se dispone a analizar.

Para poder normalizar los diferentes eventos, el Sensor de AlienVault también deberá tener acceso al DNS de la organización, pudiendo de este modo obtener las direcciones IP a partir de los nombres de las máquinas.

Instalación paso a paso

Instalación Automática

La instalación automática instalará la versión Open Source de AlienVault con el perfil de todo-en-uno habilitado. Una vez completada la instalación, el usuario la actualizá de forma manual para obtener los beneficios de la versión Profesional de AlienVault. La instalación se lleva a cabo casi sin intervención del usuario. La instalación automática se configura con el mapa de teclado de EE.UU. y todos los textos serán en Inglés.

Configuración de Red

En este punto, tendrá que configurar su tarjeta de red de gestión. Debe usar una dirección IP con acceso a internet durante el proceso de instalación. Esta dirección IP se utilizará en la interfaz de gestión.

Introduzca la dirección IP y haga click en “ Continue ”.



La máscara de red a usar en su red. Introduzca la máscara de red y haga click en “ Continue ”.


La dirección IP de la puerta de enlace predeterminada debe enrutar, si tu red tiene una puerta de enlace. Introduzca la dirección IP de la puerta de enlace predeterminada y haga click en “ Continue ”.


Debe utilizar en el sistema en de su red un servidor DNS (Domain Name Service). Si usted tiene un servidor con nombre local en su red debería ser el primero en esta configuración. Puede introducir tantos nombres de servidores como desee. Introduzca la dirección IP del DNS (separado por espacios) y haga click en “ Continue ”.




Partición del disco

Ahora es el momento para hacer una partición. Tenga en cuenta que esto borrará los datos almacenados en su disco duro.


Seleccione “Guided: Use entire disk” y haga click en “ Continue ”.

Si el equipo tiene varios discos, seleccione el disco en el que se instalará AlienVault y haga clic en Continuar. En caso de que el equipo tenga un único disco simplemente haga click en “Continue”.


Configurar usuarios y contraseñas

Después de que el sistema base se haya instalado, el instalador le permitirá configurar la cuenta “root”. Otras cuentas de usuario se pueden crear después de que la instalación se haya completado. Cualquier contraseña que cree debería tener al menos 6 caracteres, y deberá contener tanto caracteres en mayúsculas como minúsculas, así como caracteres de puntuacion. Tenga mucho cuidado cuando decida su contraseña de root, ya que es la cuenta más poderosa. Evite palabras de diccionario o uso de cualquier información personal que pudiera ser fácilmente adivinada.


Introduzca la contraseña de root y haga click en “ Continue ”.


Actualización de la instalación

La instalación se puede conectar al sitio web de AlienVault para descargar la última versión disponible de cada paquete de software incluido en AlienVault Profesional SIEM. Este proceso puede tardar hasta una hora (dependiendo de tu conexión a Internet). Sea paciente y no cancele este proceso.



Seleccione “Yes” y haga click en “ Continue ”. Una vez finalizada la instalación del sistema será reiniciado en el nuevo sistema de AlienVault.



Configuración

Configuración del sistema


Para simplificar la configuración del gran número de herramientas que se incluyen dentro de la instalación de OSSIM la configuración está centralizada en un único fichero. Cada vez que se modifique este fichero se deberá ejecutar un comando que será el encargado de aplicar esta configuración centralizada a cada una de las herramientas incluidas dentro de OSSIM.

El fichero en que se centraliza la configuración es el siguiente:

/etc/ossim/ossim_setup.conf

Podemos editar el fichero con cualquier editor de texto (vim, nano, pico…) o bien utilizar una interfaz que permite gestionar la configuración del fichero. Para arrancar esta interfaz utilizaremos el siguiente comando:

ossim-setup

Para aplicar los cambios realizados en el fichero de configuración y generar los ficheros de configuración para todas las herramientas instaladas deberemos ejecutar el siguiente comando:

ossim-reconfig


Cambio de Perfil

Por defecto la instalación habilita todos los perfiles en la máquina instalada. Para cambiar el perfil de la máquina deberemos ejecutar el script ossim-setup y escoger la segunda opción (Change Profile Settings)

Dependiendo del perfil que escojamos deberemos configurar unos parámetros u otros:

all-in-one (Todo en uno)

*
Choose interfaces: Deberemos marcar aquellas interfaces que vayan a utilizarse como interfaces de monitorización o escucha, es decir, aquellas que hayamos conectado al port mirroring de nuestra red.

*
Profile Networks: Deberemos introducir las redes que vayamos a monitorizar con esta máquina, en formato CIDR, y separadas por comas, por ejemplo 192.168.0.0/24, 10.0.0.0/8.

*
OSSIM Sensor Name: Deberemos introducir el nombre que le vamos a dar al sensor instalado en esta máquina (El perfil all-in-one incluye también el sensor).

*
Choose the plugins: Deberemos seleccionar los plugins que queremos habilitar en este sensor, tanto los que son de tipo monitor (Gestionan peticiones de información durante la correlación) como los de tipo detector (Recogida de eventos).

sensor

*
OSSIM Sensor Name: Deberemos introducir el nombre que le vamos a dar al sensor instalado en esta máquina (El perfil all-in-one incluye también el sensor).

*
Choose interfaces: Deberemos marcar aquellas interfaces que vayan a utilizarse como interfaces de monitorización o escucha, es decir, aquellas que hayamos conectado al port mirroring de nuestra red.

*
Profile Networks: Deberemos introducir las redes que vayamos a monitorizar con esta máquina, en formato CIDR, y separadas por comas, por ejemplo 192.168.0.0/24, 10.0.0.0/8.

*
OSSIM Server Ip Address: Deberemos introducir la dirección IP en que se encuentra escuchando el Servidor del despliegue en cuestión.

*
Choose the plugins: Deberemos seleccionar los plugins que queremos habilitar en este sensor, tanto los que son de tipo monitor (Gestionan peticiones de información durante la correlación) como los de tipo detector (Recogida de eventos).

server (Servidor)

*
OSSIM Mysql Server IP Address: Deberemos introducir la dirección IP en que se encuentra instalado el perfil Base de datos. En ese perfil deberemos haber dado permisos para que se puedan realizar conexiones desde esta máquina a la base de datos en cuestión.

*
OSSIM Mysql Server Port: Puerto de escucha del servidor Mysql, por defecto 3306.

*
OSSIM Mysql Password: Contraseña de la base de datos para el usuario root.

database (Base de datos)

*
OSSIM Mysql Password: Contraseña de la base de datos para el usuario root.

Si únicamente queremos reconfigurar el sistema para cambiar, por ejemplo, los plugins que estamos utilizando deberemos seleccionar el perfil en uso.

Para terminar de configurar el sistema no debemos olvidar seleccionar la 5ª opción desde el menú principal (Apply and save all changes) o bien ejecutar el comando ossim-reconfig.

Configuración de red

Las máquinas en que instalamos AlienVault Open Source SIM, especialmente en caso de que estemos utilizando el perfil Sensor, requieren de una buena configuración de red.

La configuración de red se define en el siguiente fichero:

/etc/network/interfaces

Para aplicar los cambios de configuración realizados en el fichero es necesario reiniciar el servicio de red con el siguiente comando:

/etc/init.d/networking restart

Una instalación de OSSIM deberá disponer de una dirección IP estática para que los diferentes componentes de OSSIM puedan comunicarse entre sí y para realizar tareas de administración en la máquina.

Cada interfaz con dirección ip deberá ser configurada en el fichero /etc/network/interfaces como el siguiente esquema:

allow-hotplug eth0
iface eth0 inet static
address 192.168.1.133
netmask 255.255.0.0
network 192.168.0.0
broadcast 192.168.255.255
gateway 192.168.1.1
dns-nameservers 192.168.1.100

Los parámetros son los siguientes:

*
address: Es la dirección IP de la máquina en la interfaz que estemos configurando, en este caso eth0.
*
netmask: Máscara de red de la LAN
*
network: Es la parte de la IP de la máquina común a todas las máquinas de la red.
*
broadcast: Es la IP a la que se mandan los paquetes que deben recibir todas las máquinas de la LAN.
*
gateway: Dirección de pasarela o puerta de enlace. Se trata de la dirección IP de la máquina de nuestra LAN a través de la cual salimos hacia el exterior.
*
dns-nameservers: Dirección IP de los DNS que utilizará la máquina para traducir los nombres de máquina a direcciones IP. Se puede colocar más de un servidor DNS separándolos por coma. Es importante que el DNS en primera posición sea el DNS interno, en caso de disponer de uno, para que el sistema sea capaz de resolver los nombres de las máquinas de nuestra red antes de enviar los eventos al servidor.

Aquellas interfaces en modo promiscuo no requieren de ninguna configuración especial.

Actualización de OSSIM

Para actualizar el sistema simplemente deberemos utilizar los siguientes comandos:

apt-get update; apt-get dist-upgrade;


El sistema de actualización permite al equipo de desarrollo controlar que dependencias se van a instalar e incluso bloquear versiones de software incompatibles con el sistema. Por esta razón es importante que nunca se modifiquen o alteren los repositorios de software del sistema Debian.

Versión profesional

Además de desarrollar OSSIM, AlienVault desarrolla una versión profesional que tiene como nombre AlienVault Professional SIEM. Esta versión presenta una serie de mejoras en cuanto a funcionalidad y rendimiento:

*
SEM: Almacenamiento masivo. Los logs son firmados digitalmente para que puedan ser utilizados como prueba pericial.

*
Escalabilidad: Despliegues de multijerarquía.

* Rendimiento: Multiplica por 30 el rendimiento de la versión Open Source.

*
Fiabilidad: Redundancia y alta disponibilidad.

Recomendaciones generales

*
En entornos de producción siempre está recomendado el uso de arquitecturas de 64 bits, ya que existe una gran diferencia de rendimiento comparado con la versión de 32 bits.
*
Debemos procurar no instalar nunca un Sensor en un entorno virtualizado debido al modo en que estas herramientas de virtualización gestionan las interfaces de red, que provoca que una gran cantidad del tráfico de red se pierda sin haber sido analizado.
*
Nunca se debe instalar software que obligue a modificar o incluir nuevas entradas en el fichero en que se almacenan los repositorios del software ( /etc/apt/sources.list)
*
La instalación de AlienVault siempre deberá permanecer en la versión estable de Debian, en caso de que salga una nueva versión estable, el equipo de desarrollo avisará con antelación para proporcionar las indicaciones e instrucciones necesarias para actualizar el sistema.
*
No existe ninguna limitación en cuanto al software a instalar en las máquinas pero debemos tener en mente el alto consumo de algunas aplicaciones a la hora de instalar nuevo software. Como ejemplo, nunca se deberá instalar ningún sistema de escritorio en las máquinas.

Fuente: OSSIM y walox.bligoo.cl