[eside-ghost] Ayuda sobre Ossim
Alberto Olivares
alberto.o.a en gmail.com
Jue Sep 27 14:35:48 CEST 2007
Muy buenas Ibon,
Por lo que yo entiendo de tu mensaje, creo que el cliente tiene un
error de concepto. OSSIM no es una herramienta de detección de
intrusiones (IDS) o filtrado de tráfico (firewall), etc.
OSSIM es una herramienta de gestión de información de seguridad. En
cualquier texto especializado anglosajón se refieren al término SIM
(Security Information Management) o SIEM (Security Information / Event
Management).
Hay muchas en el mercado, los grandes del sector tienen la suya
propia: Symantec, CA, IBM, Cisco, etc. pero también hay una pequeña
representación local como Bitacora de S21sec, LogICA de ICA o OSSIM de
IT Deusto, aunque sea software libre).
Bautizalo con el nombre que más te guste. El objetivo final de este
tipo de herramientas es recopilar registros de auditoría (logs) de
dispositivos de seguridad (IDS, firewalls, Antivirus,etc.), de
servicios de red críticos (Apache, Oracle, etc) o de dispositivos de
red (routers, etc.), normalizarlos, agregarlos y correlarlos con el
objetivo de saber qué está pasando en la red, a nivel de seguridad, en
tiempo real.
Como podrás ver, este tipo de soluciones se basan en una arquitectura
distribuida. Unos agentes se encargan de realizar la recolecta de logs
junto a un nivel inicial de tratamiento. Los agentes, a su vez, mandan
la información al sistema central de correlación donde los logs se
archivan y tratan en tiempo real desde una consola centralizada. Todo
esto contado a muy grandes rasgos.
Para implanatar una solución de este tipo primero tienes que disponer
de una infraestructura de seguridad de gran volumen que necesites
gestionar (no hay que implantar una solución SIM para tener filtrado
de red).
Mi opinión. Lo primero que deberías hacer es explicar al cliente lo
que es OSSIM y lo que son las herramientas SIM porque la problemátia
que trata de cubrir es muy diferente a "necesitar un IDS".
Saludos
On 9/26/07, Ibon Gojenola <ibongojenola en gmail.com> wrote:
> Aupa gente,
>
> Uno de nuestros clientes nos pide que quiere montar un sistema de detección
> de intrusos, filtrado de trafico, etc... y parece ser que le han hablado
> sobre esta herramienta.
>
> La cuestión es que lo quieren montar dentro del propio CPD. Desde mi punto
> de vista ese no es el mejor lugar para montarlo (debería instalarse en el
> perímetro de la red???), pero no estoy seguro.
>
> Por otra parte, parece ser que es bastante complicado de configurarlo.
> Alguien ha tenido alguna experiencia al respecto? algún tutorial para
> seguirlo???
>
> Un saludo,
>
> Ibon
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
Más información sobre la lista de distribución eside-ghost