Você está na página 1de 5

Implementacin y mejora de la consola de

seguridad informtica OSSIM en el entorno


colombiano
Juan Manuel Madrid Molina, Carlos Andrey Montoya Gonzlez, Juan David Osorio
Betancur, Andrs Vsquez, Luis Eduardo Crdenas, Luis Eduardo Mnera Salazar, Rodrigo
Bedoya, Cristian Latorre.

creacin automtica de directivas de correlacin, y la


Resumen Una de las herramientas ms usadas hoy en mejora de la confiabilidad de la captura de datos en
da para la gestin de la seguridad informtica en las redes con alto trfico.
empresas es la consola de seguridad. Este artculo resume el
trabajo efectuado por nuestro equipo de investigacin para
integrar una serie de mejoras a la consola de seguridad
informtica OSSIM para adaptarla al entorno colombiano. II. PROBLEMTICA DE GESTIN DE LA SEGURIDAD
Dichas mejoras incluyen la interconexin con dispositivos de INFORMTICA
seguridad fsica, la creacin automtica de directivas de
correlacin para el motor de la herramienta y la mejora Para que un sistema informtico se considere como
significativa de la confiabilidad de captura de informacin en seguro, debe cumplir con cuatro premisas bsicas [6]:
redes con alto trfico.
La informacin que contiene debe ser confidencial, es
I. INTRODUCCIN decir, no debe poder ser consultada por terceros que

L A gestin de la seguridad informtica se ha convertido no deberan tener en principio acceso a ella.


en una necesidad para las organizaciones de hoy, debido De igual manera, dicha informacin debe conservar su
a exigencias legales [1, 2] y de cumplimiento con integridad, o sea no daarse o alterarse a medida que
estndares internacionales [3, 4]. se mueve por el sistema
Una de las herramientas ms tiles en dicha labor es la El sistema debe ser capaz de autenticar a sus usuarios
consola de gestin, que recoge informacin de los diferentes y a la informacin que recibe, de tal manera que la
equipos y redes que conforman la plataforma informtica de fuente de la informacin siempre sea verificable, y que
la organizacin, con el fin de detectar configuraciones y/o solamente los usuarios autorizados puedan acceder al
eventos que podran considerarse como una amenaza o una sistema.
evidencia de ataque informtico, y de esa manera poder El sistema debe estar disponible cuando se lo necesite.
reaccionar oportunamente y mantener la informacin en un
estado seguro. La consola de gestin tambin permite Un ataque informtico atenta contra una o varias de
obtener estadsticas e informes acerca del estado de estas premisas. Como se puede ver, la labor del oficial
seguridad de los sistemas de la organizacin, que se pueden de seguridad de un sistema informtico no es nada fcil,
emplear para verificar el cumplimiento de indicadores de ya que continuamente se pueden presentar ataques que
gestin. aprovechen vulnerabilidades existentes o nuevas. La
Una de las consolas de gestin de cdigo abierto ms seguridad absoluta no existe, porque a medida que se
populares en la actualidad es OSSIM [5]. Esta consola, descubren nuevas vulnerabilidades y se solucionan,
adems de recolectar y uniformizar los eventos de los dichas soluciones pueden introducir otras
diferentes sistemas, correlaciona los eventos que ocurren en vulnerabilidades, o el avance de la tecnologa hace que
el sistema bajo anlisis, con el fin de minimizar el nmero sistemas que antes se consideraban como seguros
de alertas que el administrador recibe y eliminar falsos pasen a ser vulnerables, debido al descubrimiento de
positivos. nuevos mtodos de ataque.
Este artculo describe el trabajo realizado por nuestro Por otro lado, la legislacin de los diferentes pases se
equipo investigador, para mejorar la funcionalidad de la ha ido actualizando con el fin de castigar el delito
consola OSSIM. Particularmente, se resean el desarrollo de informtico, pero a la vez exige que se disponga de un
interfaces para capturar informacin desde dispositivos de nivel adecuado de proteccin en los sistemas de
seguridad fsica, la creacin de un mdulo de software para informacin [1, 2]. La seguridad de la informacin
tambin se ha convertido en asunto crtico para
procesos de calidad total de las empresas y estrategias
de gobierno de tecnologas de informacin. En todos estos En un escenario como este, se hace necesario contar
procesos no solamente se exige que existan mecanismos con una herramienta que permita unificar y centralizar
que garanticen la seguridad [3], sino que se requiere la gestin de las alertas de seguridad. Las herramientas
cuantificar su impacto mediante el uso de indicadores [4]. de esta naturaleza se denominan consolas de seguridad.
Existen diversas herramientas que pueden ayudar al A continuacin, se har una breve descripcin de
administrador en la tarea de mantener seguro un sistema OSSIM, que es la consola de seguridad empleada en
informtico. Dichas herramientas se pueden clasificar en los nuestro proyecto de investigacin.
siguientes grupos:
III. GENERALIDADES Y ARQUITECTURA DE OSSIM
Antivirus: Se encargan de detectar y eliminar software La plataforma OSSIM (Open System Security
maligno de un sistema informtico. Dependiendo de su Information Management) [5] es una consola de
funcionalidad, tambin pueden controlar los diferentes seguridad de cdigo abierto, de amplio uso en la
vectores de infeccin (correo electrnico, medios de actualidad. Tiene la capacidad de consolidar alertas de
almacenamiento removibles, etc.). una gran cantidad de sistemas de seguridad basados en
Detectores de intrusos basados en host (HIDS, Host-based cdigo abierto, y es altamente configurable, de tal
Intrusion Detection Systems): Este tipo de software manera que permite procesar informacin de programas
monitorea procesos y archivos crticos del sistema bajo y dispositivos de seguridad. La arquitectura de OSSIM
anlisis, y reporta cuando se producen cambios que es distribuida y comprende cuatro elementos bsicos
puedan considerarse como evidencia de un ataque [7]:
informtico.
Detectores de intrusos basados en red (NIDS, Network-
based Intrusion Detection Systems): Los NIDS revisan
continuamente los datos que circulan por la red, y avisan
cuando observan trfico que evidencia un ataque o una
tentativa de ataque informtico.
Firewalls: Un firewall acta como aislador entre el trfico
de la Internet y el trfico interno de la red corporativa.
Mediante un conjunto de reglas determina qu paquetes
pueden pasar o no a travs de l, y registra las violaciones
a dicha poltica.
Detectores de vulnerabilidades: Estos programas hacen un
anlisis detallado de un sistema de cmputo, y arrojan
como resultado las vulnerabilidades que existen en el
sistema operativo y el software instalado.

La abundancia de herramientas, y el hecho de que deban Figura 1. Arquitectura de OSSIM


emplearse varias de ellas en conjunto para monitorear los
diferentes frentes del sistema informtico, trae consigo Elementos de captura de informacin: Recolectan la
varios problemas graves: informacin requerida por OSSIM, en los diferentes
sitios del sistema informtico en donde se desea hacer
Falta de uniformidad en el formato de los registros de control.
actividad. Base de datos: Almacena todos los eventos recibidos
Exceso de alertas. En sistemas grandes, o con actividad de los diferentes elementos de captura de informacin,
alta, el nmero de alertas que se genera en un as como las alarmas generadas por el motor de
determinado perodo de tiempo puede exceder la correlacin del servidor.
capacidad de trabajo del administrador. Servidor: El servidor correlaciona los eventos
Manejo de falsos positivos. Dependiendo de la registrados en la base de datos, con el fin de detectar
configuracin de las herramientas, pueden reportarse patrones que evidencien una vulnerabilidad en el
como alertas de seguridad eventos que son, en realidad, sistema o un ataque informtico, y a la vez acta
parte del funcionamiento habitual del sistema. como filtro para tratar de eliminar la mayor cantidad
posible de falsos positivos. Adems, con base en las
alarmas que se presenten y en el valor de importancia La salida telefnica del panel de alarma se conect a
relativa que el administrador haya asignado a cada uno de un servidor Linux, dotado con una tarjeta FXO/FXS para
los activos informticos de la empresa, OSSIM es capaz de manejo de voz sobre IP, y el software Asterisk, que
calcular tambin el nivel de riesgo informtico del negocio. implementa un PBX IP [9]. Seguidamente, se configur
Consola de gestin: La consola es el front-end grfico del bajo Asterisk el puerto FXS de la tarjeta con un nmero
sistema. Funciona va web, y permite al administrador del de extensin, y se configur el panel de alarma para
sistema consultar las alarmas, reportes y estadsticas que que marcara dicho nmero de extensin en el momento
genera el sistema. en que requiera reportar algn evento.
La extensin se configura en Asterisk para que
IV. MEJORAS IMPLEMENTADAS SOBRE OSSIM EN EL MARCO DEL conteste automticamente despus de un cierto nmero
PROYECTO DE INVESTIGACIN de timbres, y para que ejecute la funcin
AlarmReceiver() una vez conteste. AlarmReceiver() [10]
En el desarrollo del proyecto de investigacin Adaptacin es una rutina incluida con la distribucin de Asterisk,
y mejoras al motor de correlacin y sensores remotos del que se encarga de recibir la secuencia de tonos DTMF
sistema OSSIM para un centro de seguridad informtica, enviada por el panel de alarma, decodificarla, y escribir
acometido por la Universidad Icesi y Sistemas TGR, S.A., se el registro de la alarma en un archivo de log.
propusieron los siguientes objetivos: Se procedi entonces a disear un archivo para
Montaje y documentacin total del sistema. configuracin del plugin genrico de OSSIM. El plugin
Integracin con dispositivos de seguridad fsica convierte cada registro del archivo de log al formato
Produccin automtica de directivas de correlacin estndar empleado por OSSIM, y registra la informacin
en la base de datos.
A continuacin se explica la manera cmo se lograron B. Integracin de OSSIM con cmaras IP de vigilancia
estos objetivos. La mejora de la confiabilidad en la captura
De acuerdo con la norma ISO 17799:2005, debe
de informacin en redes de alto trfico fue un resultado
existir un permetro de seguridad fsica en toda
adicional no considerado en los objetivos iniciales, pero que
instalacin que contenga equipos de procesamiento de
igual se describe por la importancia que reviste.
datos, y deben existir sistemas que detecten la
A. Integracin con un panel de alarma de incendio presencia de intrusos dentro de dicho permetro. Los
La mayora de los paneles de alarma de incendio sistemas de circuito cerrado de televisin (CCTV) han
existentes en el mercado tienen la posibilidad de conectarse sido empleados por muchos aos para este propsito en
a una central de monitoreo remoto, empleando una lnea reas que as lo requieren, tales como bancos,
telefnica. Una vez conectado, el panel transmite los datos almacenes, centros comerciales, viviendas, etc.
de la alerta a la central, empleando una secuencia de tonos ZoneMinder [11] es una solucin de cdigo abierto,
DTMF. El protocolo ms usado para este propsito se conoce que permite implementar un sistema de monitoreo de
como Contact ID [8]. cmaras de vigilancia con funciones de deteccin de
La solucin concebida para integrar un panel de alarma al movimiento bajo el sistema operativo Linux. Se decidi
sistema OSSIM se ilustra a continuacin. emplear este software debido a la gran variedad de
cmaras que soporta.
La siguiente figura ilustra la integracin de
ZoneMinder con el sistema OSSIM.

Figura 3. Integracin de ZoneMinder con el sistema OSSIM


Figura 2. Integracin de un panel de alarma de incendio con el sistema
OSSIM
Como fuente de video se emple una cmara IP. Se Correlacin por inventario: Determina si un ataque en
configur a ZoneMinder sobre esta cmara; de tal manera particular puede tener xito en una determinada
que se generase un registro en el archivo de log cada vez plataforma. Se emplea para descartar falsos positivos.
que ocurriese movimiento en alguna de las zonas definidas Correlacin cruzada: Valida la informacin detectada
en el cuadro de imagen. Igual que en el caso anterior, se por un sensor con los datos obtenidos por otros
escribi un archivo de configuracin para el plugin genrico sensores de la red. Permite descartar falsos positivos o
de OSSIM, quien se encarga de registrar el evento en la elevar la categora de una alarma.
base de datos de OSSIM. A futuro, se desea modificar la Nuestro equipo de trabajo decidi implementar un
consola forense de OSSIM, de tal manera que al seleccionar sistema de generacin automtica de directivas de
el evento generado por ZoneMinder, se abra la consola de correlacin, debido a que OSSIM viene por omisin con
ZoneMinder y se pueda ver el segmento de video que caus un conjunto limitado de directivas. El administrador de
la alerta. la red debe afinar dicho conjunto de reglas de acuerdo
con las caractersticas de dicha red, proceso que es
C. Mejora de la confiabilidad de la captura de paquetes en
largo y engorroso.
redes de alto trfico
Las directivas se generan a travs de un algoritmo de
Algunos de los sensores ms importantes de OSSIM, tales clustering [16] que se corre sobre la base de datos de
como Ntop [12] y Snort [13], emplean captura de paquetes eventos. De este modo, dichas directivas se adaptan en
para recolectar estadsticas y detectar anomalas en la red. alto grado a las condiciones particulares de la red bajo
El ncleo de Linux no viene afinado en su configuracin por anlisis. Las reglas as creadas son validadas entonces
omisin para soportar captura de paquetes en redes de alto por un experto humano, antes de implementarlas en el
trfico; esto puede ocasionar la prdida de hasta el 55% de ambiente de produccin.
los paquetes en una red Ethernet de 100 Mbps operada al
90% de su capacidad. Se implementaron entonces los
siguientes afinamientos en el kernel Linux de las mquinas
dedicadas a captura:
Habilitacin de sockets tipo PF_RING [14] para la captura.
Este tipo de socket minimiza el tiempo de trnsito de los
paquetes por el kernel de Linux, mediante el uso de
memoria compartida y de un buffer de anillo.
Habilitacin de la NAPI (New Network API) [15] en el
kernel de Linux. NAPI permite que el kernel de Linux
maneje los paquetes entrantes con un esquema hbrido
entre interrupciones y polling, que, comparado con el
esquema de slo interrupciones (habilitado en Linux por
omisin), procesa ms rpidamente la llegada de mltiples
paquetes a una misma interfaz, con menor consumo de
procesador.
En los experimentos realizados por nosotros, se encontr
que este afinamiento disminuy sustancialmente las
estadsticas de prdida de paquetes, llegando a ser dicha
prdida del 5.6% a lo sumo, en condiciones de carga de la
red similares a las del experimento con kernel sin modificar.
D. Produccin automtica de directivas de correlacin
El motor de correlacin de OSSIM efecta tres tipos de
correlacin sobre los eventos que se registran en la base de
datos [7]:
Correlacin lgica: Trabaja con base en una serie de reglas
llamadas directivas de correlacin, que especifican las
condiciones que se deben cumplir para que un evento o
una serie de eventos registrados en la base de datos
puedan generar una alarma.
V. CONCLUSIONES REFERENCIAS
La consola OSSIM presta un invaluable servicio al [1] Unin Europea. Proteccin de datos en la Unin Europea. 2000.
http://ec.europa.eu/justice_home/fsj/privacy/docs/guide/guide-
administrador de un sistema informtico, brindndole spain_es.pdf .
informacin til para la toma de decisiones en el campo de [2] United Status Congress. Sarbanes-Oxley Act of 2002. 23 de enero
la seguridad informtica. Con la intencin de mejorar una de 2002.
http://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302
herramienta de muy buena calidad, nuestro equipo .pdf .
investigador logr desarrollar las interfaces necesarias para [3] International Standards Organization (ISO). Information technology
integrar un panel de alarma de incendios y un sistema de Security techniques Code of practice for information security
management (Norma ISO/IEC 17799:2005). Junio de 2005. 115
cmaras de vigilancia IP a la consola OSSIM, mejorar la pp.
confiabilidad de sus sistemas de captura de trfico, y crear [4] International Standards Organization (ISO). Information technology
un mdulo de generacin automtica de directivas de Security techniques Information security management systems
Requirements (Norma ISO/IEC 27001:2005). Noviembre de
correlacin. 2005. 34 pp.
La solucin implementada emplea en su totalidad [5] OSSIM (Open System Security Information Management).
http://www.ossim.net
software libre de cdigo abierto, por lo cual preserva la
[6] Carracedo Gallardo, Justo. Seguridad en redes Telemticas.
filosofa original de OSSIM, y permite su implementacin a McGraw-Hill, Espaa, 2004. Captulo 1, 1-32 pp.
un costo relativamente bajo. [7] Casal, Julio. OSSIM: General Description Guide.
http://www.ossim.net/dokuwiki/doku.php?id=documentation:gener
Este desarrollo ha permitido a la empresa Sistemas TGR, al_description .
S.A., de la ciudad de Cali, ofrecer a las empresas de la [8] Security Industry Association. Digital Communication Standard -
regin los servicios de montaje y configuracin de consolas Ademco Contact ID Protocol - for Alarm System
Communications. http://www.smartelectron.ru/files/DC-
de seguridad informtica, y el monitoreo centralizado de las 05_Contact_ID.pdf .
mismas, mediante la implementacin de un centro de [9] Asterisk The Open Source PBX & Telephony Platform.
gestin de seguridad informtica (SOC Colombia). http://www.asterisk.org
[10] Asterisk Alarmreceiver - SIA (Ademco) Contact ID Alarm Receiver
Este trabajo muestra el enorme potencial que existe en Application. http://www.voip-
Colombia para el desarrollo de servicios de consultora en info.org/wiki/index.php?page=Asterisk+cmd+AlarmReceiver
tecnologas de informacin y comunicaciones empleando [11] ZoneMinder: Linux Home CCTV and Video Camera Security with
Motion. http://www.zoneminder.com/
herramientas de cdigo abierto, y se convierte en un [12] Ntop. http://www.ntop.org
excelente ejemplo de colaboracin entre universidad y [13] Snort the de facto standard for intrusion detection / prevention.
empresa privada en nuestro entorno. http://www.snort.org
[14] PF-RING overview. http://www.ntop.org/PF_RING.html
[15] Benvenuti, Christian. Understanding Linux Network Internals.
RECONOCIMIENTOS OReilly, USA, 2006. Chapter 10: Frame Reception, 210-238 pp.
[16] Julish, Klaus, Clustering Intrusion Detection Alarms to Support Root
Este trabajo de investigacin fue financiado en parte por Cause Anlisis. ACM Transactions on Information and System
Colciencias y la Gobernacin del Valle del Cauca, en el Security, Vol. 6, No. 4, November 2003. 443471 pp.
marco de la convocatoria 041/2007: Concurso pblico de
mritos para la financiacin de proyectos basados en
investigacin, desarrollo tecnolgico e innovacin en el
marco del fortalecimiento de la competitividad de las
apuestas productivas estratgicas del Departamento del
Valle del Cauca. Como entidad ejecutora del proyecto
particip la Universidad Icesi, y como entidad beneficiaria,
Sistemas TGR, S.A.