03 mayo 2013

Mi análisis de Alienvault/OSSIM 4.2.1





A lo largo de un año conociendo las tripas de las redes de los clientes de Securízame, me propuse ver el estado de OSSIM, la rama libre de Alienvault, para proponerlo, si lo veía conveniente, en aquellos sitios que pudiera aportar valor.

Fue allá por 2005 cuando propuse montar OSSIM por primera vez en un gran cliente, como parte de un proyecto de seguridad que me resultó muy interesante. En aquella época, ni la tecnología hardware era todo lo potente que es ahora, ni las soluciones estaban tan evolucionadas. La idea del cliente era clave: Quiero una solución que me permita monitorizar el tráfico de mi red, y saber qué pasa, pero sin tener cientos de logs diferentes que mirar. 

Para los que no conozcáis OSSIM, deciros que estamos hablando de una herramienta de tipo SIEM que integra un montón de aplicaciones de seguridad, muchas de ellas de código abierto y de utilización libre, en una única plataforma. 

A grandes rasgos, a nivel hardware, la arquitectura es como la de cualquier entorno IDS. Se despliegan máquinas a modo de sondas, que por un interfaz escuchan todo el tráfico deseado, generalmente proveniente de un port mirroring (o port span o monitor session). El objetivo es tener un interfaz sin pila TCP/IP montada, que "se traga" una copia del tráfico existente en una VLAN. Cada sonda, dispone al menos de otro interfaz, esta vez con IP, perteneciente a una red de gestión por la que envía los eventos detectados a un servidor o colector. En esta máquina servidora existirá un proceso que recopilará esos eventos almacenándolos y generando alertas de mayor valor, al correlar diferente tipo de eventos.  

Aprovechando que las sondas reciben el tráfico en RAW, podemos elegir qué programas (o plugins) queremos que corran. En su día, Snort, ntopp0f y pads  eran los más usados (tampoco había muchas más) para monitorizar y detectar ataques, aplicaciones y sistemas operativos de forma pasiva, etc,.... Por otra parte, aporta bastante valor si además, incluímos algún analizador de vulnerabilidades como Nessus, por ejemplo, que luego permita correlar las vulnerabilidades existentes en nuestros sistemas, a partir de los resultados de nuestra propia auditoría, con los eventos detectados por las sondas. En 2005, esto era lo que había. Una consola centralizada que incluía de forma muy rudimentaria los accesos a los diferentes programas que corrían en las sondas.

Actualmente, OSSIM pasó de estar soportado por ITDeusto en España, a una compañía americana llamada Alienvault. Sin duda, la financiación y los recursos que Alienvault introdujo en OSSIM, hicieron que pasara de ser una solución libre, con bastante proyección, a ser una solución SIEM consolidada y admitida a competir, de tú a tú, con otras soluciones comerciales de fabricantes de primera división. 

Sin embargo, al igual que otras compañías que han "comprado" una solución libre, Alienvault mantiene la rama community completamente activa, nutriéndose de las experiencias de los usuarios para mejorar la versión comercial. 

Ocho años después, mi experiencia de montar OSSIM en 2005, a probarlo en 2013, ha sido totalmente diferente.

Para empezar, se nota que es mucho más "producto". La gente de Alienvault ha hecho todo lo posible para hacer que la instalación y configuración sea lo más "Next-> Next -> Next" posible. Mediante un menú ncurses, en las sondas, le indicas cuál serán los interfaces de escucha (que estarán sin IP y en modo promiscuo), cuáles son las redes montorizadas y cuál es el interfaz de gestión. Es interesante y cómodo, porque se supone que así se generarán los ficheros de configuración de todos los plugins que estén corriendo en la sonda, para analizar el tráfico del interfaz configurado como escucha. Otros parámetros como el hostname, un mail relay (que obligatoriamente deberá tener un usuario de correo y contraseña válidos), etc,… también se configurarán desde aquí. En la versión 4.1 (un par de meses antes) había una opción para acceder a una shell directamente como root dentro de la propia sonda. En versión 4.2, han añadido una opción llamada "Jailbreak this appliance" que te da una shell, pero te pide que indiques en una web, qué es lo que no puedes hacer vía menú para lo que necesitas una shell de root (obviamente con la idea de añadir, en vidas futuras, esas opciones al menú).

Los plugins actuales son diferentes y más variados que los de 2005. Además de snort, también corre suricata. Pads y p0f han sido sustituidos por Prads, y permite que levantes un montón de plugins más que permiten interactuar con soluciones de diferentes fabricantes como Stonesoft, checkpoint, juniper, Cisco, etc,…




Por otra parte, la consola de gestión, está bastante más evolucionada. Se accede vía web y permite tener al alcance de la mano todos los Assets de la organización. Estos pueden haber sido introducidos "a mano", o haber sido reconocidos mediante un escaneo planificado desde la propia consola. Para esta misión, OSSIM utiliza Nmap. Es decir, que permite inventariar nuestros assets y configurar un valor.

Además OSSIM incluye una versión de Nagios, que nos permita monitorizar todas aquellas máquinas/servicios que necesitemos.

Otras herramientas dignas de mención podría ser OSSEC como colector de eventos de máquinas que queramos que envíen sus eventos de agentes HIDS del mismo nombre. También puede resultar interesante la utilización de Alienvault/OSSIM como servidor OCS con la finalidad de inventariar el software de las máquinas que queramos, a fin de contar con más información para correlar.

Asimismo, nos permite planificar análisis de vulnerabilidades de los assets, utilizando Openvas o Nessus, según elijamos, o si el cliente tiene una licencia previa, se puede configurar.





Mis conclusiones:
  • Como ya he dicho antes, Alienvault ha hecho bastante por OSSIM, permitiendo que la versión libre y la comercial se retroalimenten, lo cuál es beneficioso para ambas. Ossim dispone de un mantenimiento y una evolución, y Alienvault mejora un producto que luego vende a clientes, y a un precio nada barato por cierto.
  • Como ventajas de la versión Pro podríamos destacar, la cantidad de directivas de correlación de eventos que vienen hechas, es mucho más rica en la pro, aunque en la libre puedes añadir lo que quieras manualmente; la gestión de sondas en la versión libre, los vitals o stats de la máquina, es únicamente la del servidor, y en la pro puedes ver stats de cada sonda en un formato gráfico muy trabajado. 
  • Desde un punto de vista de guardar TODOS los eventos, sean o no falsos positivos, OSSIM no permite configurar (o al menos no he encontrado cómo hacerlo) qué eventos quiero definir como falsos positivos, para que no vuelvan a aparecer. Me pregunto yo: ¿qué sentido tiene guardar eventos producidos por mis propias máquinas que sé positivamente que son falsos positivos? Según Alienvault puedes crear una directiva para que no aparezcan pero,… ¿no es más sencillo una opción que te permita hacer un "mute" a esa regla, o crear una excepción?
  • Cuando planificas una auditoría con Openvas o Nessus, te aparecerán alertas de ataques de tus propias sondas. Obviamente, estoy auditando internamente máquinas. ¿Tampoco existe una forma sencilla de añadir direcciones IP a una lista blanca para que no aparezcan nunca como origen?
  • Asimismo, cuando aparecen hosts nuevos, aunque los borres la primera vez, si vuelves a hacer una auditoría, vuelven a aparecer. Esto es más un "nice-to-have" que un "must", pero estaría bien que OSSIM "aprendiera" lo que le dices respecto a direcciones IP anteriormente borradas. 
  • La integración con Nagios no está tan lograda como se debería. Sí, te crea automáticamente un fichero con la configuración del asset que quieres monitorizar, pero a la hora de enviar las alertas, hay que tocar el fichero de configuración de Nagios a mano, indicando las direcciones de correo, grupos, etc, a los que hay que notificar cuando haya algún problema en la monitorización de los assets. ¿No debería esto hacerse automáticamente desde la consola?
  • En esta instalación, en el despliegue de un cliente, me dí cuenta que NTOP no monitorizaba el tráfico de los interfaces de red deseados. Buscando los ficheros de configuración, en /var/lib/ntop/init.cfg, la variable INTERFACES estaba siempre con valor "lo" (es decir, localhost)… y con los menús no había manera de hacer que cambiase. Se supone que cuando configuras qué interfaz es el de escucha de tráfico, esto debería modificarse automáticamente. Hablando con gente interna de Alienvault, efectivamente en la versión 4.2.1 hay un bug que no actualiza ese fichero. Si se viene de un upgrade de la 4.1 (como era en mi laboratorio) esto sí que funciona correctamente.
  • Sigo teniendo múltiples problemas con la configuración de envío de correos indicándole un servidor, tanto desde la consola, como un relay desde las sondas. En mi laboratorio funciona correctamente. En la instalación del cliente, una 4.2.1 pura, ni siquiera hace ademán de enviar un correo (comprobado con un tcpdump -n -i eth0 port 25), teniendo un hostname en formato FQDN.
  • Si bien la documentación existente a disposición de los mortales me parece bastante pobre, el producto en sí es bastante intuitivo de usar por lo que para cosas más avanzadas como la creación de directivas complejas sería deseable que no se guardasen todo para la versión de pago.
  • En cuanto a consumo de recursos, si os animais a probarlo, os emplazo a que tengáis cuanta más RAM mejor, puesto que todos los procesos que corren en OSSIM, devoran memoria como si no hubiera un mañana.
  • Por lo demás, me parece un producto que va en la dirección correcta. Imagino que en la versión free pasa como Fedora con RedHat, en la que los usuarios son los testers de las últimas funcionalidades, con lo bueno y con lo malo que esto tiene. La información que provee es bastante buena y permite aunar en un mismo framework la consola de monitorización de assets, herramientas de monitorización de tráfico de red como NTOP, así como correlar ataques detectados con sistemas operativos/versiones de aplicaciones existentes en la organización junto a auditorías de herramientas automatizadas como Openvas o Nessus con reportes integrados. 

15 comments :

L☯ngin☠s dijo...

Excelente análisis Lorenzo. Mil gracias por compartirlo!!

Lorenzo_Martinez dijo...

Muchas gracias Longinos! Me sé de un sitio dónde lo puedes poner ;)

Aniceta La Tetona dijo...

Buena diseccion Lorenzo. Gracias por compartir tu experiencia.

Alberto dijo...

Respecto al punto 3 de que no se puede definir eventos como falsos positivos, no hay nada mas sencillo: Se crea una política. En la política se especifica que origen, o destino, o tipo de evento no quieres que se almacene o se correle, y alehop! ya no aparecerán mas esos eventos.

Lo de la auditoría de Nessus u Openvas, lo mismo, definir una política. En realidad la política es uno de los puntos centrales de la configuración!

Lorenzo_Martinez dijo...

Hola Alberto, me vas a perdonar pero que digas que "no hay nada más sencillo", no es correcto en absoluto. Lo sencillo en una herramienta de esta categoría y precio, sería que cuando te aparece un evento que consideras un falso positivo, hubiera un botón gordo al lado de cada evento que pusiera "Falso positivo". Así de una forma WYSIWYG, se podría hacer una política de IDS en condiciones y a una velocidad óptima, en vez de estar creando una política con TODO de forma manual.

BigAlien dijo...

Es una autentica lastima que con los máquinas que estan/estaban en AlienVault se este acabando todo de esta manera tan fea. A este ritmo, AlienVault va a terminar siendo mas bien AlienFault.


True Story Biatch! AlienFault: The rise and fall of the Aliens.

yo_triste dijo...

A mi por defecto, SIN TOCAR NADA, no me funciona ni el escaner de vulnerabilidades, me dice que no ha podido conectar con el...!!

Ni tampoco funciona la captura de trafico, no me deja seleccionar los sensores para poder ejecutarlo...

Tampoco funciona el NTOP.....

Y eso con la configuracion por defecto, es un poco cutre, que sin tocar nada, ya no funcionen cosas

John dijo...

Lorenzo, sobre la lista blanca de ip podría no sern ecesaria, ya que se puede seleccionar los equipos objetivo del análisis por redes pero también por IP, lo que sí puede ser muy trabajoso es en redes con número elevado de equipos el tener que ir seleccionando cada uno de los objetivos.


Yo veo que hay que pelear mucho con ello (demasiado en ocasiones) para que funcione adecuadamente, se hecha en falta una buena documentación oficial.
Saludos.

Diego Castro dijo...

no puedo instalar bn el alienvault, quien me ayuda?

Celso Javier Guzman Diaz dijo...

Hola, el dia de hoy he entrando a esto de la Auditoria de redes para empezar lo he hecho a mi Propia red de 100 Computadoras que tengo en una pequeña empresa, he descargado OSSIM y lo he instalado, la version 4.2.1, he configurado una interfaz eth1 para que se pueda entrar al administrativo y una eth0 en modo promiscuo, ambas interfaces conectadas al Switch donde se centra todas las PCs, de aqui no se que mas hacer, he entrado a ver los sensores en detenciones y he notado que el SNort siempre para APAGADO, y no veo trafico TCP :(

Cristian Carrasco dijo...

Estimados, no se si sera lo mismo que las versiones anteriores de ossim, pero la instalacion del iso es bastante intuitiva, el problema que cada servicio se debe configurar en forma separada eso lo tuve que hacer tanto para openvas,glpi, nagios, etc no es que el sistema sea llegar y usar por lo menos eso me paso a mi, que estuve meses depurandolo hasta llegar a un sitema funcional, recien baje la iso para 64bits de alievault para probarla asi que luego les cuento como me va, saludos

Toto dijo...

Muy bueno brother, felicitaciones

carmelo dijo...

Gracias por el resumen y tu opinión, muy buena la web!

Diego dijo...

estimado, talves tu ayuda con algun manual tecnico en el cual me de las pautas para poder cambiar ciertas cosas en la herramienta

Usuario Invitado dijo...

Alientvault es un producto bueno tecnicamente, sin embargo su método de distribución y agentes de ventas son malos y prepotentes con una política de "soy tan bueno que me vale madre venderte, a otro le venderé".


Veo que nadie aquí a pedido una cotización del producto, háganlo y entenderán lo que estoy comentando. Saludos.