PROYECTO OSSIM

OSSIM
Open Source Security Information Management

Una de las tareas más árduas que puede llevar a cabo un administrador de redes tiene que ver con la auditoría y control de seguridad de una red, esto es, ser capaces de ver qué está ocurriendo en una red, a ser posible en tiempo real, y si hay alguna anomalía en la misma intentar entender a qué se debe: ataques, fallos, desde fuera, desde la propia red, qué usuarios, quién consume ancho de banda y en qué servicios,....

Hasta ahora, existen "multitud" de programas, algunos de ellos comerciales que nos permiten realizar estas tareas, por ejemplo para auditar, comercialmente de modo activo la red tendríamos GFI Languard, o Network Probe en modo pasivo,... IDS como el incluido por el propio ISA Server,...

Todas ellas constituyen herramientas que, de modo aislado -cada una serviría para realizar una tarea-, nos permiten detectar intrusiones en nuestra red, auditar los protocolos existentes y el tráfico,...

Los problemas a los que nos enfrentamos cuando somos los encargados de una red se derivan, fundamentalmente de los siguientes aspectos: en primer lugar todas estas herramientas generan gran cantidad de ficheros de registro (logs) que deberemos auditar por separado, en segundo lugar la complejidad de estas herramientas y su configuración, y por último y no menos significativo, la gran cantidad de falsos positivos que suelen generar.

Para paliar el resultado de todos estos factores cuyo sentimiento sobre los administradores de red se puede resumir, usando palabras de los diseñadores de ossim, en el siguiente párrafo: "Nos sorprende que con el fuerte desarrollo tecnológico producido en los últimos años que nos ha provisto de herramientas de con capacidades como la de los IDS, sea tan complejo desde el punto de vista de seguridad obtener una foto de una red y obtener una información con un grado de abstracción que permita una revisión práctica y asumible." han desarrollado, básicamente, un entorno común e interrelacionado, usando herramientas libres ya disponibles, de reconocido prestigio para sistemas Linux, integrándolas en un interfaz en el que además se relaciona la información proveniente de distintas fuentes para así tener una información mucho más fiable.

Básicamente esta plataforma agrupa bajo una interfaz web, las siguientes herramientas:

• Snort IDS (detección de intrusiones)
  
• Nessus Vulnerability Scanner (escáner de vulnerabilidades)
  
• Ntop Network Monitor (monitor de red)
  
• Nagios Availability Monitor (monitor de disponibilidad)
  
• Osiris and Snare Host IDS’s (detección a nivel de host)
  
• Spade and HW Aberant Behaviour anomaly detectors (detectores de anomalías)
  
• Arpwatch, P0f, Pads, and Fprobe passive monitors (monitores pasivos: mac,...)
  
• Nmap network scanner (escáner de red)
  
• Acid/Base Foresinc Analyzer (análisis forense)
  
• Some smaller programs such as Oinkmaster, PHPAcl, fw1logcheck, ScanMap3D, etc
• OSVDB vulnerability database (vulnerabilidad de bases de datos)

Otra de las ventajas de este proyecto es que se encuentran disponibles para distribuciones basadas en Debian y Fedora. Pero además nos podemos bajar una ISO que nos instalará en un equipo una distribución basada en Debian con todos los paquetes necesarios, facilitando de este modo la instalación de un equipo para monitorizar nuestra red.

Para mayor informacion http://www.ossim.net/whatis_es.php

Por viafarajw