[eside-ghost] Ayuda sobre Ossim
Ibon Gojenola
ibongojenola en gmail.com
Vie Sep 28 10:08:28 CEST 2007
Aupa gente,
La duda que yo tengo despues de leer la entrada de Jon Urionaguena, es la de
si el Ossim en si solo es un sistema "centralizador" de todos los eventos,
logs, ... que suceden en todo el sistema, o en caso contrario, es un paquete
que combina si el sistema "centralizador" y las aplicaciones que pueda
centralizar (tipo snort etc...) en el MISMO servidor. Se que todo este tipo
de aplicaciones pueden estar en cualquier otro equipo (los sistemas de
firewall en el perímetro, etc), pero creo que la idea que tiene el cliente
es la de aglutinar todo este tipo de gestión en un solo servidor.
Voy a indagar algo mas en lo referente al cliente.
Gracias a todos,
Ibon
El día 27/09/07, Jon Urionaguena <juriona en nesys-st.com> escribió:
>
> Aupi gente,
>
> Nosotros hemos montado Ossim, junto con una arquitectura de
> monitorización y detección partiendo de cero, es decir, instalar las
> herramientas opensource (IDSs, detectores de anomalías, monitorizadores
> de recursos, etc...) y hacerlas funcionar "dentro de un entorno
> centralizado" y logueando todos sus eventos al servidor Ossim, que será
> el que luego procese todo y le aplique las diversas técnicas de
> correlación para darnos las diferentes "vistas" a diferentes niveles...
>
> El dónde montar Ossim no tiene gran importancia (me refiero a la
> estructura lógica de la red) ya que lo que importa es abrir los puertos
> de comunicación entre, agentes, servidores y framework. Así que como si
> te montas una VLAN específica para ellos. Además, estas máquinas se
> suelen montar con múltiples interfaces de red, así que pueden "tener
> presencia" en varios lugares...
>
> En cuanto a la estructura física, no sé porqué dices que no se puede
> poner en el CPD y que esté en el perímetro... ¿Hay algo que me he perdido?
>
> La base principal de los eventos de seguridad suelen ser los eventos
> emitidos por los IDS, así que lo más crítico del proyecto suele ser
> tener claro la infraestructura de DIDS que montes... Eso dependerá
> siempre del hardware de red que manejes, ya que será el que te de la
> posibilidad real de "pincharte" en los diferentes puntos de red.
>
> Ahora mismo estoy con una instalación, ya os contaremos.
>
> P.D: Ossim ya no tiene que ver con ITDeusto... Se han "independizado".
> Esto es una gran noticia ya que los desarrolladores se van a dedicar más
> a la consultoría a integradores y al desarrollo del producto...
>
> P.D2: Ossim todavía no tiene ni versión 1.0, así que las cosas están
> todavía un poco en canicas...
>
> P.D3: Me interesa mucho el tema (estoy con ello activamente ahora mismo)
> así que la gente interesada podría ponerse en contacto más cercano ;-)
>
> Saludos,
>
> Jon
>
>
>
> Ibon Gojenola escribió:
> > Aupa gente!
> >
> > Gracias por todas las respuestas , ya que me han aclarado bastantes
> > cosas. Mucho me temo que la idea que tiene el cliente es la de montar
> > el OSSIM en un servidor alojado dentro del rack JUNTO con todos los
> > paquetes (IDS, etc...) que pueda integrar en el mismo equipo. Es
> > posible que la solución que plantean ellos sea "equivocada" en el
> > aspecto de que este servidor se ubique dentro del propio CPD. De todas
> > formas, y si se ubicase en el perímetro, es posible que se formará un
> > cuello de botella en el propio servidor a la hora de gestionar todas
> > las entradas creadas por estos paquetes de seguridad (creo recordar
> > que el servidor cuenta con tarjetas gigabit ethernet, y el CPD es
> > bastante grande).
> >
> > Un saludo,
> >
> > Ibon
> >
> > El día 27/09/07, *Iker Sagasti Markina* <iker en irontec.com
> > <mailto:iker en irontec.com>> escribió:
> >
> > Aupi Ibon,
> >
> > Te recomiento Ipcop [1] o Smoothwall [2]. No demasiado complejo de
> > configurar (si no tienes que recompilarlo a mano)
> >
> > Claro que la mejor ubicación es en el perímetro.
> >
> > Un saludo,
> >
> > [1] http://ipcop.org/
> > [2] http://www.smoothwall.org/
> >
> > Ibon Gojenola escribió:
> > > Aupa gente,
> > >
> > > Uno de nuestros clientes nos pide que quiere montar un sistema de
> > > detección de intrusos, filtrado de trafico, etc... y parece ser
> > que le
> > > han hablado sobre esta herramienta.
> > >
> > > La cuestión es que lo quieren montar dentro del propio CPD. Desde
> mi
> > > punto de vista ese no es el mejor lugar para montarlo (debería
> > > instalarse en el perímetro de la red???), pero no estoy seguro.
> > >
> > > Por otra parte, parece ser que es bastante complicado de
> > configurarlo.
> > > Alguien ha tenido alguna experiencia al respecto? algún tutorial
> > para
> > > seguirlo???
> > >
> > > Un saludo,
> > >
> > > Ibon
> > >
> > >
> > >
> >
> ------------------------------------------------------------------------
> > >
> > > _______________________________________________
> > > eside-ghost mailing list
> > > eside-ghost en deusto.es <mailto:eside-ghost en deusto.es>
> > > https://listas.deusto.es/mailman/listinfo/eside-ghost
> >
> > --
> > Iker Sagasti Markina
> > Irontec, Internet y Sistemas sobre GNU/LinuX -
> http://www.irontec.com
> > +34 94.404.81.82
> > _______________________________________________
> > eside-ghost mailing list
> > eside-ghost en deusto.es <mailto:eside-ghost en deusto.es>
> > https://listas.deusto.es/mailman/listinfo/eside-ghost
> >
> >
> > ------------------------------------------------------------------------
> >
> > _______________________________________________
> > eside-ghost mailing list
> > eside-ghost en deusto.es
> > https://listas.deusto.es/mailman/listinfo/eside-ghost
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.deusto.es/mailman/private/eside-ghost/attachments/20070928/72a2f495/attachment.htm
Más información sobre la lista de distribución eside-ghost