SoftwareLibreVenezuelaSoftwareLibreVenezuela

OSSIM Administra la Seguridad de su Informacion en Open Source

OSSIM es una suite que permiten al analista disponer de herramientas destinadas a la gestión de la seguridad de la información. Su objetivo es el proporcionar una compilación comprensiva de los instrumentos que, trabajando juntos, conceden a un administrador de red/seguridad una vista detallada sobre todo y cada aspecto de sus dispositivos, servidores de acceso de redes, etc.


Además de proveer de lo mejor de las herramientas mas conocidas de código abierto, algunos de las cuales mencionamos debajo de estas líneas, Ossim proporciona una correlacion de las interfaces de visualización  y herramientas de gestión de incidentes que facilitan la presentación de informes,trabajando con un conjunto de activos que se define como anfitriones, redes,grupos y servicios.


Toda esta información puede ser limitada por el administrador de la red con el fin de permitir que solo determinados usuarios la visualicen. Además posee la capacidad de actuar como un IPS (IntrusionPrevention System) basado en información correlacionada desde prácticamente cualquier fuente.


Permite habilitar un cuadro de mandos que gobierna un colector de datos. Una vez tomados esos datos, se procesan según los requisitos y se pueden elaborar análisis forenses, monitorizar el uso de un activo de la información o bien gestionar y valorar el riesgo inherente a un activo determinado.

Todos estos datos, en la arquitectura OSSIM, se almacenan en tres bases de datos, según lo que queramos gestionar:
  • EDB, la base de datos eventos, la más voluminosa pues alojará todos los eventos individuales recibidos de nuestros detectores
  • KDB, la base de datos del Framework, en la cual parametrizaremos el sistema para que conozca nuestra red y definiremos nuestra política de seguridad
  • UDB, la base de datos de perfiles, que almacenará todos los datos aprendidos por el Monitor de Perfiles
Ossim contiene los siguientes componentes de software:

     * Arpwatch, utilizados para la detección de anomalías en mac.
     * P0f, utilizadas para la detección de sistemas operativos y análisis de cambios.
     * Pads, utilizado para el servicio de detección de anomalías.
     * Nessus, utilizada para la evaluación de la vulnerabilidad y de correlación cruzada (IDS vs Security Scanner).
     * Snort, el IDS, utilizados para cruzar la correlación con Nessus.
    * Spade, Motor de estadística de paquetes para detección de anomalías. Se usa para obtener conocimientos sobre los ataques sin firma.
    * Tcptrack, utilizado para analizar datos de la sesión de información útiles en la deteccion de ataques.
     *Ntop, que permite monotorizar en tiempo real los usuarios y aplicaciones que estan consumiendo recursos de red.
     * Nagios. Que alimentandose de la base de datos de activos, supervisa la disponibilidad delservicio.
     * Osiris, Es un sistema de Deteccion de Intrusos basado en Host. HIDS 
     * OCS-NG, Plataforma de Inventario
   
Por lo general, una instalación típica de Ossim consta de:

     * Las bases de datos antes mencionadas (EDB, KDB y UDB)
     * Un servidor que alberga la correlación, la calificación y la evaluación de riesgos.
    * N agentes que hacen tareas de recopilación de información de una serie de dispositivos. Para obtener una lista de los plugins, por favor referirse a: http://www.alienvault.com/home.php?id=plugins
     *Un demonio que hace el control de algunos trabajos de mantenimiento y de sus vínculos.
     * Una interfaz  basada en  Web, que permite visualizar toda la información recogida y la capacidad de controlar cada uno de los componentes analizados.


Comentarios

Exelente tu aporte

Añadir un Comentario: