Ossim: Instalación y configuración

OSSIM (Open Source Security Information Management), es una colección de herramientas bajo la licencia GPL. Es la versión community de AlienValut, una de las grandes empresas de ciberseguridad del mercado. OSSIM está diseñado para ayudar a los administradores de red en la seguridad de dispositivos, detección de intrusos y prevención. Es muy útil para tener controlada los equipos críticos de la red. Es capaz de correlacionar los datos de todas las herramientas para poder identificar patrones y poder actuar en base a ellos.

Componentes que integra:

Arpwatch, utilizado para detección de anomalías en direcciones MAC.

P0f, utilizado para la identificación pasiva de OS.

Pads, utilizado para detectar anomalías en servicios.

Openvas, utilizado para la evaluación y correlación cruzada (Sistema de detección de intrusos vs Escaner de Vulnerabilidad)

Snort, utilizado como sistema de detección de intrusos (IDS) como también para la correlación cruzada con Nessus.

Spade, es un motor de detección de anomalías en paquetes. Utilizado para obtener conocimiento de ataques sin firma.

Tcptrack, utilizado para conocer la información de las sesiones, lo cual puede conceder información útil relativa a los ataques.

Ntop, el mismo construye una impresionante base de datos con la información de la red, para la detección de anomalías en el comportamiento.

Nagios, utilizado para monitorizar la disponibilidad de los hosts y servicios.

nfSen, visor de flujos de red para la detección de anomalías de red

Osiris, es un sistema de detección de intrusos basado en host (HIDS).

Snare, colecciona los logs de sistemas Windows.

OSSEC, es un sistema de detección de intrusos basado en hosts

Descargar

http://downloads.alienvault.com/c/download?version=current_ossim_iso

Una vez descargada, grabarla en un CD, en un USB o cargarla en una máquina virtual.

Instalación

Nota: Ossim en la versión 5.3.6 no da soporte a controladores de disco VirtIO. Por lo tanto si se monta en un máquina virtual con un disco de esté tipo, fallará la instalación.

 Elegir la primera opción

 Elegir el idioma deseado. En este caso “Spanish

Seleccionar una ubicación. En este caso “España


Seleccionar una distribución para el teclado. En este caso “Español

 Darle una IP fija (a partir de aquí, es preferible darle a continuar con el ratón que al intro porque sino se bloquea)

   Indicar la máscara deseada

  Indicar el gateway por el que se va a salir

   Indicar el servidor DNS que se va a utilizar

Elegir la contraseña de administrador

Elegir la zona horaria en la que se está. Una vez terminados los pasos tardará un rato en configurar todo.

Selección_031
Una vez terminada la configuración, nos saldrá un mensaje así. Lo que hay que hacer es acceder mediante el navegador web a la dirección IP que nos da, en este caso https://192.168.0.241

Configuración

Selección_032Una vez accedido vía web lo primero que nos preguntará es que rellenemos nuestros datos

Selección_033Para logearnos el usuario por defecto es admin y la contraseña la indicada anteriormente

Selección_034Vamos a empezar con el wizard para ello clicar en START

Selección_035
El primer paso, es configurar la interfaz de red en este caso solo hay una

Selección_038Ahora toca elegir que dispositivos se quieren añadir. Se pueden añadir desde uno en uno hasta una red entera. Mi consejo es que no se añada la red entera ya que generará demasiada información. Es mejor limitarse a los equipos críticos, Servers, equipos de networking..

Selección_039

Para administrar los equipos correctamente es preferible añadir los usuarios y contraseñas. 1- Elegir el sistema Windows/Linux 2- Desplegar la lista de host agregados de la derecha y elegir a los que se quiere aplicar las credenciales 3- Escribir las credenciales y darle a “Deploy”

Selección_040Configurar los datos de los dispositivos de red para los logs

Selección_041Para finalizar, si se desea crear una cuenta OTX para disponer de mas información sobre ataques que están sucediendo (opcional)

Hasta aquí el manual de los primeros pasos con OSSIM.

Post relacionados:

To be continued…

Ref.

http://es.wikipedia.org/wiki/Open_Source_Security_Information_Management

http://kinomakino.blogspot.com.es/2014/03/ossim-monitorizacion-de-eventos-de.html

14 comments

    1. De nada, mi intención es ir completando información y trucos de ossim según vaya aprendiendo cosas. Si encuentras algo interesante y quieres compartirlo sería perfecto. Un saludo.

      1. Esos no son los requisitos mínimos, es el hardware con el que viene el appliance de OSSIM, dependiendo del que se desea adquirir.

        A mi me funciona bien con una Core i3 con 8 gigas en ram y 500 de disco duro, tomando en cuenta que mi infraestructura cuenta con 450 equipos. si vas a administrar más pues más o menos calcúlale.

      2. No creo que con esas prestaciones lances un escáner de vulnerabilidades por ejemplo y te vaya bien 😉
        Solo OpenVas consume casi el doble de tus recursos. Si quieres usar Ossim solo de SIEM te podría valer pero si quieres exprimir todas sus opciones con tus requisitos mínimos no da.

        Un saludo.

  1. Hola, como hago para que al ingresar mal la contrasenia de mi router reguistre en OSSIM, ya que solo reguistra los succesos del mismo OSSIM, tengo que agregar un plugin o algo asi? disculpa mi ignorancia, mi router es de la marca tplink y al revisar en modelo no hay para esa marca, no se que deba hacer, gracias de antemano

    1. Buenas,

      no creo que esto sea posible ya que que yo conozca no exite ningún agente que te revise estos sucesos en ese tipo de routers. Lo que podrías revisar es si desde el router se pueden enviar logs a un sistema y recogerlos en OSSIM. De este modo podrías generar alertas en base autenticaciones incorrectas.

      Un saludo

  2. Hola, soy nuevo en este tema, tengo un problema. Les comento eh instalado OSSIM en hyper-v, configurado la ip que si entan el el rango de mi red, se instala correctamente pero a la hora de acceder con la ip en el navegador me sale que no puedo acceder a ese sitio. De antemano gracias.

    1. Buen Día;

      Lo primero que tienes que validar que tanto el servidor del ossim y la maquina donde quiere abrir la interfaz, estén dentro el mismo segmento de red. realice una prueba haciendo ping desde las dos maquinas.

      Si no le funciona des-habilite el antivirus y el firewall entre el ossim y firewall de windows

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *