Mi análisis de Alienvault/OSSIM 4.2.1:
A lo largo de un año conociendo las tripas de las redes de los clientes de
Securízame, me propuse ver el estado de
OSSIM, la rama libre de
Alienvault, para proponerlo, si lo veía conveniente, en aquellos sitios que pudiera aportar valor.
Fue allá por 2005 cuando propuse montar OSSIM por primera vez en un gran cliente, como parte de un proyecto de seguridad que me resultó muy interesante. En aquella época, ni la tecnología hardware era todo lo potente que es ahora, ni las soluciones estaban tan evolucionadas. La idea del cliente era clave: Quiero una solución que me permita monitorizar el tráfico de mi red, y saber qué pasa, pero sin tener cientos de logs diferentes que mirar.
Para los que no conozcáis OSSIM, deciros que estamos hablando de una
herramienta de tipo SIEM que integra un montón de aplicaciones de seguridad, muchas de ellas de código abierto y de utilización libre, en una única plataforma.
A grandes rasgos, a nivel hardware, la arquitectura es como la de cualquier entorno IDS. Se despliegan máquinas a modo de sondas, que por un interfaz escuchan todo el tráfico deseado, generalmente proveniente de un port mirroring (o port span o monitor session). El objetivo es tener un interfaz sin pila TCP/IP montada, que "se traga" una copia del tráfico existente en una VLAN. Cada sonda, dispone al menos de otro interfaz, esta vez con IP, perteneciente a una red de gestión por la que envía los eventos detectados a un servidor o colector. En esta máquina servidora existirá un proceso que recopilará esos eventos almacenándolos y generando alertas de mayor valor, al correlar diferente tipo de eventos.
Aprovechando que las sondas reciben el tráfico en RAW, podemos elegir qué programas (o plugins) queremos que corran. En su día,
Snort,
ntop,
p0f y
pads eran los más usados (tampoco había muchas más) para monitorizar y detectar ataques, aplicaciones y sistemas operativos de forma pasiva, etc,.... Por otra parte, aporta bastante valor si además, incluímos algún analizador de vulnerabilidades como Nessus, por ejemplo, que luego permita correlar las vulnerabilidades existentes en nuestros sistemas, a partir de los resultados de nuestra propia auditoría, con los eventos detectados por las sondas. En 2005, esto era lo que había. Una consola centralizada que incluía de forma muy rudimentaria los accesos a los diferentes programas que corrían en las sondas.
Actualmente, OSSIM pasó de estar soportado por ITDeusto en España, a una compañía americana llamada Alienvault. Sin duda, la financiación y los recursos que Alienvault introdujo en OSSIM, hicieron que pasara de ser una solución libre, con bastante proyección, a ser una solución SIEM consolidada y admitida a competir, de tú a tú, con otras soluciones comerciales de fabricantes de primera división.
Sin embargo, al igual que otras compañías que han "comprado" una solución libre, Alienvault mantiene la rama community completamente activa, nutriéndose de las experiencias de los usuarios para mejorar la versión comercial.
Ocho años después, mi experiencia de montar OSSIM en 2005, a probarlo en 2013, ha sido totalmente diferente.
Para empezar, se nota que es mucho más "producto". La gente de Alienvault ha hecho todo lo posible para hacer que la instalación y configuración sea lo más "Next-> Next -> Next" posible. Mediante un menú ncurses, en las sondas, le indicas cuál serán los interfaces de escucha (que estarán sin IP y en modo promiscuo), cuáles son las redes montorizadas y cuál es el interfaz de gestión. Es interesante y cómodo, porque se supone que así se generarán los ficheros de configuración de todos los plugins que estén corriendo en la sonda, para analizar el tráfico del interfaz configurado como escucha. Otros parámetros como el hostname, un mail relay (que obligatoriamente deberá tener un usuario de correo y contraseña válidos), etc,… también se configurarán desde aquí. En la versión 4.1 (un par de meses antes) había una opción para acceder a una shell directamente como root dentro de la propia sonda. En versión 4.2, han añadido una opción llamada "Jailbreak this appliance" que te da una shell, pero te pide que indiques en una web, qué es lo que no puedes hacer vía menú para lo que necesitas una shell de root (obviamente con la idea de añadir, en vidas futuras, esas opciones al menú).
Los plugins actuales son diferentes y más variados que los de 2005. Además de snort, también corre
suricata. Pads y p0f han sido sustituidos por
Prads, y permite que levantes un montón de plugins más que permiten interactuar con soluciones de diferentes fabricantes como Stonesoft, checkpoint, juniper, Cisco, etc,…
Por otra parte, la consola de gestión, está bastante más evolucionada. Se accede vía web y permite tener al alcance de la mano todos los Assets de la organización. Estos pueden haber sido introducidos "a mano", o haber sido reconocidos mediante un escaneo planificado desde la propia consola. Para esta misión, OSSIM utiliza
Nmap. Es decir, que permite inventariar nuestros assets y configurar un valor.
Además OSSIM incluye una versión de
Nagios, que nos permita monitorizar todas aquellas máquinas/servicios que necesitemos.
Otras herramientas dignas de mención podría ser
OSSEC como colector de eventos de máquinas que queramos que envíen sus eventos de
agentes HIDS del mismo nombre. También puede resultar interesante la utilización de Alienvault/OSSIM como servidor
OCS con la finalidad de inventariar el software de las máquinas que queramos, a fin de contar con más información para correlar.
Asimismo, nos permite planificar análisis de vulnerabilidades de los assets, utilizando
Openvas o
Nessus, según elijamos, o si el cliente tiene una licencia previa, se puede configurar.
Mis conclusiones:
- Como ya he dicho antes, Alienvault ha hecho bastante por OSSIM, permitiendo que la versión libre y la comercial se retroalimenten, lo cuál es beneficioso para ambas. Ossim dispone de un mantenimiento y una evolución, y Alienvault mejora un producto que luego vende a clientes, y a un precio nada barato por cierto.
- Como ventajas de la versión Pro podríamos destacar, la cantidad de directivas de correlación de eventos que vienen hechas, es mucho más rica en la pro, aunque en la libre puedes añadir lo que quieras manualmente; la gestión de sondas en la versión libre, los vitals o stats de la máquina, es únicamente la del servidor, y en la pro puedes ver stats de cada sonda en un formato gráfico muy trabajado.
- Desde un punto de vista de guardar TODOS los eventos, sean o no falsos positivos, OSSIM no permite configurar (o al menos no he encontrado cómo hacerlo) qué eventos quiero definir como falsos positivos, para que no vuelvan a aparecer. Me pregunto yo: ¿qué sentido tiene guardar eventos producidos por mis propias máquinas que sé positivamente que son falsos positivos? Según Alienvault puedes crear una directiva para que no aparezcan pero,… ¿no es más sencillo una opción que te permita hacer un "mute" a esa regla, o crear una excepción?
- Cuando planificas una auditoría con Openvas o Nessus, te aparecerán alertas de ataques de tus propias sondas. Obviamente, estoy auditando internamente máquinas. ¿Tampoco existe una forma sencilla de añadir direcciones IP a una lista blanca para que no aparezcan nunca como origen?
- Asimismo, cuando aparecen hosts nuevos, aunque los borres la primera vez, si vuelves a hacer una auditoría, vuelven a aparecer. Esto es más un "nice-to-have" que un "must", pero estaría bien que OSSIM "aprendiera" lo que le dices respecto a direcciones IP anteriormente borradas.
- La integración con Nagios no está tan lograda como se debería. Sí, te crea automáticamente un fichero con la configuración del asset que quieres monitorizar, pero a la hora de enviar las alertas, hay que tocar el fichero de configuración de Nagios a mano, indicando las direcciones de correo, grupos, etc, a los que hay que notificar cuando haya algún problema en la monitorización de los assets. ¿No debería esto hacerse automáticamente desde la consola?
- En esta instalación, en el despliegue de un cliente, me dí cuenta que NTOP no monitorizaba el tráfico de los interfaces de red deseados. Buscando los ficheros de configuración, en /var/lib/ntop/init.cfg, la variable INTERFACES estaba siempre con valor "lo" (es decir, localhost)… y con los menús no había manera de hacer que cambiase. Se supone que cuando configuras qué interfaz es el de escucha de tráfico, esto debería modificarse automáticamente. Hablando con gente interna de Alienvault, efectivamente en la versión 4.2.1 hay un bug que no actualiza ese fichero. Si se viene de un upgrade de la 4.1 (como era en mi laboratorio) esto sí que funciona correctamente.
- Sigo teniendo múltiples problemas con la configuración de envío de correos indicándole un servidor, tanto desde la consola, como un relay desde las sondas. En mi laboratorio funciona correctamente. En la instalación del cliente, una 4.2.1 pura, ni siquiera hace ademán de enviar un correo (comprobado con un tcpdump -n -i eth0 port 25), teniendo un hostname en formato FQDN.
- Si bien la documentación existente a disposición de los mortales me parece bastante pobre, el producto en sí es bastante intuitivo de usar por lo que para cosas más avanzadas como la creación de directivas complejas sería deseable que no se guardasen todo para la versión de pago.
- En cuanto a consumo de recursos, si os animais a probarlo, os emplazo a que tengáis cuanta más RAM mejor, puesto que todos los procesos que corren en OSSIM, devoran memoria como si no hubiera un mañana.
- Por lo demás, me parece un producto que va en la dirección correcta. Imagino que en la versión free pasa como Fedora con RedHat, en la que los usuarios son los testers de las últimas funcionalidades, con lo bueno y con lo malo que esto tiene. La información que provee es bastante buena y permite aunar en un mismo framework la consola de monitorización de assets, herramientas de monitorización de tráfico de red como NTOP, así como correlar ataques detectados con sistemas operativos/versiones de aplicaciones existentes en la organización junto a auditorías de herramientas automatizadas como Openvas o Nessus con reportes integrados.