[eside-ghost] Ayuda sobre Ossim
Jon Urionaguena
juriona en nesys-st.com
Jue Sep 27 17:51:28 CEST 2007
Aupi gente,
Nosotros hemos montado Ossim, junto con una arquitectura de
monitorización y detección partiendo de cero, es decir, instalar las
herramientas opensource (IDSs, detectores de anomalías, monitorizadores
de recursos, etc...) y hacerlas funcionar "dentro de un entorno
centralizado" y logueando todos sus eventos al servidor Ossim, que será
el que luego procese todo y le aplique las diversas técnicas de
correlación para darnos las diferentes "vistas" a diferentes niveles...
El dónde montar Ossim no tiene gran importancia (me refiero a la
estructura lógica de la red) ya que lo que importa es abrir los puertos
de comunicación entre, agentes, servidores y framework. Así que como si
te montas una VLAN específica para ellos. Además, estas máquinas se
suelen montar con múltiples interfaces de red, así que pueden "tener
presencia" en varios lugares...
En cuanto a la estructura física, no sé porqué dices que no se puede
poner en el CPD y que esté en el perímetro... ¿Hay algo que me he perdido?
La base principal de los eventos de seguridad suelen ser los eventos
emitidos por los IDS, así que lo más crítico del proyecto suele ser
tener claro la infraestructura de DIDS que montes... Eso dependerá
siempre del hardware de red que manejes, ya que será el que te de la
posibilidad real de "pincharte" en los diferentes puntos de red.
Ahora mismo estoy con una instalación, ya os contaremos.
P.D: Ossim ya no tiene que ver con ITDeusto... Se han "independizado".
Esto es una gran noticia ya que los desarrolladores se van a dedicar más
a la consultoría a integradores y al desarrollo del producto...
P.D2: Ossim todavía no tiene ni versión 1.0, así que las cosas están
todavía un poco en canicas...
P.D3: Me interesa mucho el tema (estoy con ello activamente ahora mismo)
así que la gente interesada podría ponerse en contacto más cercano ;-)
Saludos,
Jon
Ibon Gojenola escribió:
> Aupa gente!
>
> Gracias por todas las respuestas , ya que me han aclarado bastantes
> cosas. Mucho me temo que la idea que tiene el cliente es la de montar
> el OSSIM en un servidor alojado dentro del rack JUNTO con todos los
> paquetes (IDS, etc...) que pueda integrar en el mismo equipo. Es
> posible que la solución que plantean ellos sea "equivocada" en el
> aspecto de que este servidor se ubique dentro del propio CPD. De todas
> formas, y si se ubicase en el perímetro, es posible que se formará un
> cuello de botella en el propio servidor a la hora de gestionar todas
> las entradas creadas por estos paquetes de seguridad (creo recordar
> que el servidor cuenta con tarjetas gigabit ethernet, y el CPD es
> bastante grande).
>
> Un saludo,
>
> Ibon
>
--
Jon
Más información sobre la lista de distribución eside-ghost