Manual de instalación de AlienVault Open Source SIM (OSSIM)

AlienVault Open Source SIM (OSSIM) es un sistema de seguridad integral en código abierto que cubre desde la detección hasta la generación de métricas e informes a un nivel ejecutivo. OSSIM se ofrece como un producto de seguridad que le permitirá integrar en una única consola todos los dispositivos y herramientas de seguridad que disponga en su red, así como la instalación de otras herramientas de código abierto y de reconocido prestigio como Snort, Openvas, Ntop y OSSEC.

Una vez los eventos generados por las diferentes herramientas y dispositivos han sido recogidos por el sistema AlienVault, el sistema realiza una valoración del riesgo para cada evento y tiene lugar la correlación. Durante el proceso de correlación, a partir de una serie de patrones, se generan nuevos eventos para detectar ataques o problemas en nuestra red.

Para acceder a toda la información recogida y generada por el sistema se hace uso de una consola Web que además nos permitirá configurar el sistema y ver el estado global de nuestra red en tiempo real. Desde esta consola Web también es posible acceder a un gran número de métricas e informes

OSSIM es un producto en constante evolución. Por esta razón es importante asegurarnos de que estamos utilizando la última versión del instalador de OSSIM y de esta guía de instalación. Las nuevas versiones siempre estarán disponibles en la Web del proyecto: http://www.AlienVault.com.

El objetivo de este documento es ofrecer al lector una guía que le permita disponer de una instalación de AlienVault Open Source SIM funcional. Para ello, el documento ofrece una serie de consideraciones previas en las que se explican los diferentes componentes integrados dentro del instalador, así como los diferentes perfiles que puede adoptar una instalación de OSSIM.

OSSIM es un producto que integra más de 30 herramientas Open Source. Tanto el sistema operativo como muchas de las herramientas integradas, han sido modificadas para mejorar su funcionamiento dentro del sistema. Es por ello que la instalación de OSSIM a partir del código fuente requiere de unos amplísimos conocimientos y de la compilación de más de 40 herramientas.

Para simplificar el complejo proceso de compilación, instalación y configuración de estas herramientas el equipo de desarrollo distribuye OSSIM dentro de un instalador en el que se incluye el sistema operativo, los componentes acompañados de un potente sistema de configuración y actualización. El instalador de OSSIM está basado en el sistema operativo Debian/GNU Linux y está disponible para arquitecturas de 32 y 64 bits.

En el instalador se incluyen un buen número de herramientas que servirán de apoyo para realizar un análisis forense de la información proporcionada por el sistema OSSIM.

Es de vital importancia comprobar si nuestro procesador es de arquitectura 64 Bits. En caso afirmativo podremos aprovecharnos de las ventajas que ofrece esta arquitectura en cuanto a rendimiento. En determinados perfiles de instalación y dependiendo del tráfico y del número de eventos a tratar es necesario disponer de un hardware capaz de gestionar grandes volúmenes de datos. La arquitectura de 64 Bits permite, además, el uso de una mayor cantidad de memoria física.

Trataremos de mostrar, de forma simplificada, que procesos tienen lugar dentro de OSSIM:

1. Las aplicaciones generan eventos de seguridad
2. Los eventos son recogidos y normalizados
3. Los eventos son enviados a un servidor central
4. Valoración del riesgo de cada evento
5. Correlación de eventos
6. Almacenamiento de los eventos
7. Acceso a los eventos almacenados
8. Acceso a la configuración
9. Acceso a métricas e informes
10. Acceso a información en tiempo real del estado de nuestra red

Los eventos de seguridad son generados por las diferentes aplicaciones y/o dispositivos que dispongamos en nuestra red. Estos eventos son recogidos y normalizados por el Sensor de OSSIM, que se encarga además de enviarlos a un servidor central. En un despliegue de OSSIM podremos disponer de tantos Sensores como necesitemos. Como ejemplo, se puede situar un sensor dentro de la DMZ, un sensor en cada ciudad o dedicar un sensor para monitorizar cada una de las redes de la corporación.

El Sensor de OSSIM incluye una serie de herramientas (Snort, Ntop, Tcptrack, Arpwatch…) que permiten analizar todo el tráfico de red en busca de problemas de seguridad y anomalías. Para poder sacar provecho de esta funcionalidad de OSSIM es imprescindible que el Sensor de OSSIM sea capaz de ver todo el tráfico de la red, bien sea utilizando un concentrador, o configurando un port mirroring o port Span en la electrónica de red.

Todos los sensores de OSSIM envían sus eventos a un único servidor de OSSIM, que se encarga de efectuar una valoración del riesgo para cada evento, y en el que también tendrá lugar el proceso de correlación. Una vez estos dos procesos han tenido lugar, los eventos son almacenados en la base de datos de OSSIM.

Para tener acceso a toda esta información, así como a la configuración del sistema y a una serie de métricas e informes haremos uso de la Consola Web de OSSIM. Desde esta consola Web también tendremos acceso a información en tiempo real a una serie de aplicaciones que nos facilitarán el análisis del estado global de nuestra red.

Es posible cambiar el perfil de nuestra máquina una vez ha finalizado el proceso de instalación. De este modo, el sistema habilitará o deshabilitará servicios que no se utilizan en todos los perfiles de instalación.

El perfil all-in-one es una combinación de todos los perfiles en una única máquina. Es el perfil de instalación por defecto. Incluye un Sensor, servidor, base de datos y consola web.

Dentro del sensor se incluyen también varias herramientas de código abierto como Snort, OpenVas, Ntop, Arpwatch, P0f, Pads y muchas otras que generarán un buen número de eventos para ayudarnos a conocer el estado en que se encuentran los activos de la red.

El perfil sensor se encarga de la collección y normalización de eventos. Para ello, es necesario que hagamos llegar todos los eventos generados por las herramientas de las que disponemos en nuestra red al sensor haciendo uso de Syslog, Ftp, Samba, Snare…

Cada herramienta tiene un plugin asociado que indica al sistema como ha de procesar la información recibida con el objeto de generar un evento normalizado e independiente de la herramienta que lo haya generado. Los eventos normalizados son enviados al servidor.

En el perfil sensor se instalan Snort, Ntop, Arpwatch, P0f y Pads. Estas herramientas se encargan de analizar el tráfico de red, por lo que, para que resulten de utilidad deberemos utilizar un concentrador o configurar un port mirroring en la electrónica de red.

El perfil server (servidor) preparará nuestro equipo para que se encargue de procesar todos los eventos enviados por los diferentes agentes o sensores. En cada despliegue de OSSIM es obligatorio disponer de un único servidor.

Una vez procesados los eventos, toda la información generada es almacenada en la base de datos. Dentro del perfil servidor también se incluye un sensor de OSSIM para monitorizar la seguridad del propio sistema (Pam Unix, SSH…)

El perfil Database base de datos hará que nuestra máquina se encargue del almacenamiento de los eventos, inventarios y configuraciones del sistema.

Para ello el perfil Base de datos dispondrá de un servidor de base de datos MySQL.

Los requisitos de hardware para instalar OSSIM dependerán en gran medida del número de eventos por segundo y del ancho de banda de la red que pretendamos analizar.

Como requisito mímimo siempre es recomendable disponer de al menos 2GB, cantidad que deberemos ir incrementando en función del tráfico que analicemos, del número de eventos que tenga que procesar el servidor o de la cantidad de datos que pretendamos almacenar en base de datos. Para optimizar el uso de recursos es imprescindible que utilicemos unicamente las aplicaciones y componentes que nos resultarán de utilidad en cada caso.

La diferencia de rendimiento entre 32 Bits y 64 Bits es más que considerable, por lo que siempre deberemos tratar de escoger esta arquitectura a la hora de escoger nuestro hardware. La mayoría de los componentes de OSSIM son multihilo, por lo que utilizando procesadores con varios cores obtendremos también una gran mejora en el rendimiento.

A la hora de seleccionar las tarjetas de red para realizar la captura del tráfico, deberemos procurar escoger aquellas soportadas por el driver e1000. El desarrollo Open Source de este driver garantiza una buena compatibilidad de estas tarjetas con Debian GNU/Linux.

Siempre deberemos dedicar las tarjetas de red con peores especificaciones, o aquellas que ofrezcan problemas de compatibilidad a la recogida de eventos de otros dispositivos o como interfaz de gestión.

Para poder llevar a cabo un buen despliegue de OSSIM es importante conocer bien la electrónica de red de la que disponemos para poder configurar un port mirroring en los dispositivos de red que lo soporten. Hay que tener un especial cuidado a la hora de configurar el port mirroring para evitar principalmente dos cosas:

• Tráfico duplicado : Se da en el caso en que estoy viendo el mismo tráfico en dos port mirroring configurados en diferentes dispositivos de la misma red.

* Tráfico que no se puede analizar : En ocasiones puede no tener sentido configurar un port mirroring en un punto de la red en el que todo el tráfico es canalizado utilizando una VPN o demás protocolos que envían los datos cifrados.

Además del port mirroring, es necesario preparar con anterioridad las diferentes direcciones IP que vamos asignar a los componentes de AlienVault, teniendo en cuenta que muchos de estos componentes deberán tener acceso a la red que estén monitorizando.

Como ejemplo, si decidimos hacer uso de OpenVas para realizar escaneos de vulnerabilidades a nuestra red deberemos asegurarnos de que la máquina en que se está ejecutando OpenVas tiene permisos en el Firewall para acceder a los equipos que se dispone a analizar.

Para poder normalizar los diferentes eventos, el Sensor de AlienVault también deberá tener acceso al DNS de la organización, pudiendo de este modo obtener las direcciones IP a partir de los nombres de las máquinas.

Una vez encendemos el equipo nos encontraremos con esta pantalla de bienvenida. Esto nos indica que el cd se ha cargado correctamente. Para comenzar el proceso de instalación simplemente pulsaremos la tecla intro ↵ El instalador borrará cualquier dato del disco duro en que se instalará el sistema.

A continuación el instalador nos preguntará acerca del idioma que queremos utilizar durante el proceso de instalación. Este idioma también será utilizado como idioma por defecto para el sistema instalado.

En el siguiente paso, el instalador nos pregunta acerca de la localización geográfica de la máquina, con objeto de configurar la fecha y la hora adecuada para nuestra zona horaria.

En este paso el sistema pregunta acerca de la configuración del teclado que utilizaremos para administrar el sistema.

El siguiente paso en el proceso de instalación consiste en configurar la red. En caso de disponer de varias interfaces de red, el instalador preguntará que interfaz de red queremos utilizar durante el proceso de instalación y como interfaz de gestión. Es importante que en este paso hagamos uso de aquellas interfaces de red que no vayan a utilizarse para el modo promiscuo, normalmente aquellas que vienen integradas en la placa base o aquellas con peores especificaciones.

Estas tarjetas de red tendrán un uso mucho menor que aquellas que se utilicen para la realizar la captura de tráfico.

Introduciremos la dirección IP de la máquina, asegurándonos de que desde esta dirección tengamos acceso a Internet y de que el cable de red se encuentre conectado a la interfaz en cuestión.

A continuación deberemos introducir la máscara de red.

En el siguiente paso de la instalación, deberemos introducir la dirección de la puerta de enlace, a través de la cual, el instalador tendrá conexión a Internet.

En este paso deberemos introducir los datos de los servidores DNS. En este paso es muy importante escribir en primer lugar los datos del DNS interno de nuestra red, en caso de que exista, para que los sensores puedan resolver los nombres de máquina antes de enviar los eventos al servidor de correlación.

Podemos introducir tantos servidores de resolución de nombres como queramos separados por comas.

En este paso deberemos escribir el nombre que le vamos a dar a la máquina una vez se haya instalado el sistema.

En caso de que estemos utilizando un nombre de dominio dentro de nuestra red, podremos incluirlo en la configuración de red de la máquina. En caso de no estar utilizando podemos dejar los valores por defecto.

En este momento, el instalador, en caso de disponer de conexión a Internet conectará con un servidor de tiempo en Internet para establecer la hora correcta en el sistema. Para realizar esta configuración correctamente, dependiendo de la localización geográfica preguntará sobre la zona horaria.

Seleccionaremos la primera opción, que comenzará el particionado del disco sin usar LVM ni cifrar ninguna partición.

En este punto podemos escoger entre realizar un particionado guiado o un particionado manual (Recomendado para usuarios expertos).

En este paso seleccionaremos el disco que queramos particionar, en caso de disponer de un único disco simplemente deberemos pulsar la tecla intro ↵

Seleccionar la primera opción (Todos los ficheros en una única partición)

Una vez guardemos los cambios, el instalador mostrará como ha quedado definido el esquema de particionado para nuestra instalación y nos preguntará si queremos crear las particiones en el disco.

En este punto de la instalación, se instalan los diferentes paquetes de Software y se configuran, dentro de esta configuración, a la hora de configurar Postfix se pregunta al usuario que tipo de uso se dará al servidor de correo Postfix.

En caso de no disponer de servidor de correo corporativo o si no queremos dar acceso a la máquina de AlienVault a este servidor deberemos escoger Internet Site, de modo que los correos se envíen desde la propia máquina.

Si disponemos de un servidor de correo podremos escoger la opción Satellite System para que los correos se envíen utilizando otro servidor de correo ajeno a la máquina de AlienVault.

También deberemos aceptar los términos de la licencia de uso de Java. Simplemente deberemos pulsar la tecla intro ↵

Una vez finalizada la instalación de los diferentes paquetes (esto puede llevar unos minutos) el sistema preguntará acerca de la contraseña del usuario root, el cual tendrá permisos de superusuario dentro de la máquina. Deberemos introducir la contraseña dos veces.

En la última fase de la instalación el sistema procede a actualizarse con las últimas versiones del software disponibles en los repositorios de software de AlienVault. Por esta razón es importante que la instalación se lleve a cabo con conexión a Internet en las máquinas.

Para finalizar el proceso de instalación se reiniciará la máquina de forma automática. Una vez se termine el proceso de arranque se procederá a configurar todas las aplicaciones de acuerdo a la configuración por defecto.

Para simplificar la configuración del gran número de herramientas que se incluyen dentro de la instalación de OSSIM la configuración está centralizada en un único fichero. Cada vez que se modifique este fichero se deberá ejecutar un comando que será el encargado de aplicar esta configuración centralizada a cada una de las herramientas incluidas dentro de OSSIM.

El fichero en que se centraliza la configuración es el siguiente:

/etc/ossim/ossim_setup.conf

Podemos editar el fichero con cualquier editor de texto (vim, nano, pico…) o bien utilizar una interfaz que permite gestionar la configuración del fichero. Para arrancar esta interfaz utilizaremos el siguiente comando:

ossim-setup

Para aplicar los cambios realizados en el fichero de configuración y generar los ficheros de configuración para todas las herramientas instaladas deberemos ejecutar el siguiente comando:

ossim-reconfig

Por defecto la instalación habilita todos los perfiles en la máquina instalada. Para cambiar el perfil de la máquina deberemos ejecutar el script ossim-setup y escoger la segunda opción (Change Profile Settings)

Dependiendo del perfil que escojamos deberemos configurar unos parámetros u otros:

• Choose interfaces: Deberemos marcar aquellas interfaces que vayan a utilizarse como interfaces de monitorización o escucha, es decir, aquellas que hayamos conectado al port mirroring de nuestra red.

• Profile Networks: Deberemos introducir las redes que vayamos a monitorizar con esta máquina, en formato CIDR, y separadas por comas, por ejemplo 192.168.0.0/24, 10.0.0.0/8.

• OSSIM Sensor Name: Deberemos introducir el nombre que le vamos a dar al sensor instalado en esta máquina (El perfil all-in-one incluye también el sensor).

• Choose the plugins: Deberemos seleccionar los plugins que queremos habilitar en este sensor, tanto los que son de tipo monitor (Gestionan peticiones de información durante la correlación) como los de tipo detector (Recogida de eventos).

• OSSIM Sensor Name: Deberemos introducir el nombre que le vamos a dar al sensor instalado en esta máquina (El perfil all-in-one incluye también el sensor).

• Choose interfaces: Deberemos marcar aquellas interfaces que vayan a utilizarse como interfaces de monitorización o escucha, es decir, aquellas que hayamos conectado al port mirroring de nuestra red.

• Profile Networks: Deberemos introducir las redes que vayamos a monitorizar con esta máquina, en formato CIDR, y separadas por comas, por ejemplo 192.168.0.0/24, 10.0.0.0/8.

• OSSIM Server Ip Address: Deberemos introducir la dirección IP en que se encuentra escuchando el Servidor del despliegue en cuestión.

• Choose the plugins: Deberemos seleccionar los plugins que queremos habilitar en este sensor, tanto los que son de tipo monitor (Gestionan peticiones de información durante la correlación) como los de tipo detector (Recogida de eventos).

• OSSIM Mysql Server IP Address: Deberemos introducir la dirección IP en que se encuentra instalado el perfil Base de datos. En ese perfil deberemos haber dado permisos para que se puedan realizar conexiones desde esta máquina a la base de datos en cuestión.

• OSSIM Mysql Server Port: Puerto de escucha del servidor Mysql, por defecto 3306.

• OSSIM Mysql Password: Contraseña de la base de datos para el usuario root.

• OSSIM Mysql Password: Contraseña de la base de datos para el usuario root.

Si únicamente queremos reconfigurar el sistema para cambiar, por ejemplo, los plugins que estamos utilizando deberemos seleccionar el perfil en uso.

Para terminar de configurar el sistema no debemos olvidar seleccionar la 5ª opción desde el menú principal (Apply and save all changes) o bien ejecutar el comando ossim-reconfig.

Las máquinas en que instalamos AlienVault Open Source SIM, especialmente en caso de que estemos utilizando el perfil Sensor, requieren de una buena configuración de red.

La configuración de red se define en el siguiente fichero:

/etc/network/interfaces

Para aplicar los cambios de configuración realizados en el fichero es necesario reiniciar el servicio de red con el siguiente comando:

/etc/init.d/networking restart

Una instalación de OSSIM deberá disponer de una dirección IP estática para que los diferentes componentes de OSSIM puedan comunicarse entre sí y para realizar tareas de administración en la máquina.

Cada interfaz con dirección ip deberá ser configurada en el fichero /etc/network/interfaces como el siguiente esquema:

allow-hotplug eth0
iface eth0 inet static
	address 192.168.1.133
	netmask 255.255.0.0
	network 192.168.0.0
	broadcast 192.168.255.255
	gateway 192.168.1.1
	dns-nameservers 192.168.1.100

Los parámetros son los siguientes:

• address: Es la dirección IP de la máquina en la interfaz que estemos configurando, en este caso eth0.
• netmask: Máscara de red de la LAN
• network: Es la parte de la IP de la máquina común a todas las máquinas de la red.
• broadcast: Es la IP a la que se mandan los paquetes que deben recibir todas las máquinas de la LAN.
• gateway: Dirección de pasarela o puerta de enlace. Se trata de la dirección IP de la máquina de nuestra LAN a través de la cual salimos hacia el exterior.
• dns-nameservers: Dirección IP de los DNS que utilizará la máquina para traducir los nombres de máquina a direcciones IP. Se puede colocar más de un servidor DNS separándolos por coma. Es importante que el DNS en primera posición sea el DNS interno, en caso de disponer de uno, para que el sistema sea capaz de resolver los nombres de las máquinas de nuestra red antes de enviar los eventos al servidor.

Aquellas interfaces en modo promiscuo no requieren de ninguna configuración especial.

Para actualizar el sistema simplemente deberemos utilizar los siguientes comandos:

apt-get update; apt-get dist-upgrade;

El sistema de actualización permite al equipo de desarrollo controlar que dependencias se van a instalar e incluso bloquear versiones de software incompatibles con el sistema. Por esta razón es importante que nunca se modifiquen o alteren los repositorios de software del sistema Debian.

Además de desarrollar OSSIM, AlienVault desarrolla una versión profesional que tiene como nombre AlienVault Professional SIEM. Esta versión presenta una serie de mejoras en cuanto a funcionalidad y rendimiento:

• SEM: Almacenamiento masivo. Los logs son firmados digitalmente para que puedan ser utilizados como prueba pericial.

• Escalabilidad: Despliegues de multijerarquía.

* Rendimiento: Multiplica por 30 el rendimiento de la versión Open Source.

• Fiabilidad: Redundancia y alta disponibilidad.

• En entornos de producción siempre está recomendado el uso de arquitecturas de 64 bits, ya que existe una gran diferencia de rendimiento comparado con la versión de 32 bits.
  
• Debemos procurar no instalar nunca un Sensor en un entorno virtualizado debido al modo en que estas herramientas de virtualización gestionan las interfaces de red, que provoca que una gran cantidad del tráfico de red se pierda sin haber sido analizado.
  
• Nunca se debe instalar software que obligue a modificar o incluir nuevas entradas en el fichero en que se almacenan los repositorios del software ( /etc/apt/sources.list)
  
• La instalación de AlienVault siempre deberá permanecer en la versión estable de Debian, en caso de que salga una nueva versión estable, el equipo de desarrollo avisará con antelación para proporcionar las indicaciones e instrucciones necesarias para actualizar el sistema.
  
• No existe ninguna limitación en cuanto al software a instalar en las máquinas pero debemos tener en mente el alto consumo de algunas aplicaciones a la hora de instalar nuevo software. Como ejemplo, nunca se deberá instalar ningún sistema de escritorio en las máquinas.