lunes, 19 de marzo de 2012




Funcionamiento Básico

Trataremos de mostrar, de forma simplificada, que procesos tienen lugar dentro de AlienVault:
  1. Las aplicaciones generan eventos de seguridad
  2. Los eventos son recogidos y normalizados
  3. Los eventos son enviados a un servidor central
  4. Valoración del riesgo de cada evento
  5. Correlación de eventos
  6. Almacenamiento de los eventos
  7. Acceso a los eventos almacenados
  8. Acceso a la configuración
  9. Acceso a métricas e informes
  10. Acceso a información en tiempo real del estado de nuestra red
Los eventos de seguridad son generados por las diferentes aplicaciones y/o dispositivos que dispongamos en nuestra red. Estos eventos son recogidos y normalizados por el Sensor de AlienVault, que se encarga además de enviarlos a un servidor central. En un despliegue de AlienVault podremos disponer de tantos Sensores como necesitemos. Como ejemplo, se puede situar un sensor dentro de la DMZ, un sensor en cada ciudad o dedicar un sensor para monitorizar cada una de las redes de la corporación.
El Sensor de AlienVault incluye una serie de herramientas (Snort, Ntop, Tcptrack, Arpwatch…) que permiten analizar todo el tráfico de red en busca de problemas de seguridad y anomalías. Para poder sacar provecho de esta funcionalidad de AlienVault es imprescindible que el Sensor de AlienVault sea capaz de ver todo el tráfico de la red, bien sea utilizando un concentrador, o configurando un port mirroring o port Span en la electrónica de red.
Todos los sensores de AlienVault envían sus eventos a un único servidor de AlienVault, que se encarga de efectuar una valoración del riesgo para cada evento, y en el que también tendrá lugar el proceso de correlación. Una vez estos dos procesos han tenido lugar, los eventos son almacenados en la base de datos de AlienVault.
Para tener acceso a toda esta información, así como a la configuración del sistema y a una serie de métricas e informes haremos uso de la Consola Web de AlienVault. Desde esta consola Web también tendremos acceso a información en tiempo real a una serie de aplicaciones que nos facilitarán el análisis del estado global de nuestra red.

Perfiles de Instalación

Dependiendo de la función del nuevo host en el despliegue de AlienVault es posible configurar el perfil en uso. Esto puede ser configurado durante la instalación o después de la instalación. Por defecto la instalación automatizada permitirá a todos los perfiles en el mismo equipo.

Sensor

El perfil del Sensor habilitará a ambos, los detectores de AlienVault y el Colector. Los detectores siguientes están activados por defecto:
  • Snort (IDS a nivel de Red)
  • Ntop (Monitor de red y uso)
  • Openvas (Gestión de Vulnerabilidad)
  • P0f (Sistema Operativo de Detección Pasiva)
  • Pads (Sistema Pasivo de Detección de Activos)
  • Arpwatch (Anomalías de cambios de mac)
  • OSSEC (IDS a nivel de Host)
  • Osiris (Monitor de integridad)
  • Nagios (Monitor de disponibilidad)
  • OCS (Inventario)
Una vez que el perfil de Sensor ha sido activado, usted puede desactivar el detector de manera que sólo se mantiene la funcionalidad de la colección.
Para obtener beneficio de las capacidades de detección de esas herramientas, tendremos que configurar la red en el sensor de AlienVault de modo que:
  • Tiene acceso a la red que se está supervisando:
    • Escáner de Vulnerabilidades, Control de Disponibilidad, WMI Agent-less collection, Colección Syslog
  • Recibe todo el tráfico de la red. Es necesario configurar un port mirroring/portspan o hacer uso de un concentrador (HUB) o Network tap.
    • Snort, Ntop, Arpwatch, Generación de Fujos, Pads, P0f…
El perfil del Sensor configura el sistema para que esté listo para recibir eventos de hosts remotos usando el protocolo Syslog. Cada aplicación o dispositivo tendrá un plugin asociado (conector DS) que define cómo recoger los sucesos de la aplicación o dispositivo, así como cómo los acontecimientos que deberían normalizarse antes de enviarlos al servidor central de AlienVault.
Un despliegue AlienVault puede tener tantos sensores como le sea necesario, básicamente en función de las redes que están siendo controladas y sobre la distribución geográfica de la organización que será objeto de seguimiento utilizando AlienVault. Por lo general, es necesario configurar un sensor por red, pero si instalamos más de un interfaz de red y enrutamos el trafíco ó configuramos un port-mirroring sobre el, podremos monitorizar más de una red en el mismo sensor.

Server

Esta instalación combina los perfiles SIEM y el componente Logger. Los sensores se conectarán al servidor de AlienVault para enviar los eventos normalizados. Los despliegues simples incluirán un Servidor único en el despliegue. Más despliegues complejos podrían tener más de un Servidor con diferentes roles, o en caso de que sea necesario para implementar el Servidor de AlienVault con alta disponibilidad.

Framework

El perfil de Framework instalará y configurará el componente de la interfaz de Gestión Web. Una única interfaz de Gestión Web serán desplegada en cada instalación AlienVault. Más despliegues complejos con múltiples Servidores AlienVault pueden tener más de un equipo con el perfil de Marco habilitado. El Framework es el perfil de instalación que utiliza la menor cantidad de memoria y CPU. Por esta razón, el Framework se suele instalar con el perfil de Servidor.

Database

El perfil Database permitirá a una base de datos MySQL almacenar la configuración y eventos (Si la funcionalidad SIEM está en uso). Por lo menos una base de datos se requiere en cada despliegue. Incluso si sólo el perfil SIEM es habilitado, una base de datos será necesaria para almacenar la información de los inventarios y los parámetros de configuración.

All-in-one

El perfil all-in-one habilitará a todos los perfiles en un solo equipo. Este es el perfil de instalación por defecto y se activa si el usuario realiza una instalación automatizada.

Requisitos

Requisitos de Hardware

Los requisitos de hardware para instalar AlienVault dependerán en gran medida del número de eventos por segundo y del ancho de banda de la red que pretendamos analizar.
Como requisito mímimo siempre es recomendable disponer de al menos 2GB, cantidad que deberemos ir incrementando en función del tráfico que analicemos, del número de eventos que tenga que procesar el servidor o de la cantidad de datos que pretendamos almacenar en base de datos. Para optimizar el uso de recursos es imprescindible que utilicemos unicamente las aplicaciones y componentes que nos resultarán de utilidad en cada caso.
La diferencia de rendimiento entre 32 Bits y 64 Bits es más que considerable, por lo que siempre deberemos tratar de escoger esta arquitectura a la hora de escoger nuestro hardware. La mayoría de los componentes de AlienVault son multihilo, por lo que utilizando procesadores con varios cores obtendremos también una gran mejora en el rendimiento.
A la hora de seleccionar las tarjetas de red para realizar la captura del tráfico, deberemos procurar escoger aquellas soportadas por el driver e1000. El desarrollo Open Source de este driver garantiza una buena compatibilidad de estas tarjetas con Debian GNU/Linux.
Siempre deberemos dedicar las tarjetas de red con peores especificaciones, o aquellas que ofrezcan problemas de compatibilidad a la recogida de eventos de otros dispositivos o como interfaz de gestión.

Requisitos de red

Para poder llevar a cabo un buen despliegue de AlienVault es importante conocer bien la electrónica de red de la que disponemos para poder configurar un port mirroring en los dispositivos de red que lo soporten. Hay que tener un especial cuidado a la hora de configurar el port mirroring para evitar principalmente dos cosas:
  • Tráfico duplicado : Se da en el caso en que estoy viendo el mismo tráfico en dos port mirroring configurados en diferentes dispositivos de la misma red.
  • Tráfico que no se puede analizar : En ocasiones puede no tener sentido configurar un port mirroring en un punto de la red en el que todo el tráfico es canalizado utilizando una VPN o demás protocolos que envían los datos cifrados.
Además del port mirroring, es necesario preparar con anterioridad las diferentes direcciones IP que vamos asignar a los componentes de AlienVault, teniendo en cuenta que muchos de estos componentes deberán tener acceso a la red que estén monitorizando.
Como ejemplo, si decidimos hacer uso de OpenVas para realizar escaneos de vulnerabilidades a nuestra red deberemos asegurarnos de que la máquina en que se está ejecutando OpenVas tiene permisos en el Firewall para acceder a los equipos que se dispone a analizar.
Para poder normalizar los diferentes eventos, el Sensor de AlienVault también deberá tener acceso al DNS de la organización, pudiendo de este modo obtener las direcciones IP a partir de los nombres de las máquinas.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)