Hola a todos, aquí en colombia he decido crear un tema en esta gran comunidad para que todas las personas con interés en conocer sobre open source security (seguridad open source ), y a eso me refiero a OSSIM que es un proyecto algo reciente que esta cubriendo un hueco en la seguridad y es la tendencia de muchas organizaciones privadas como checkpoint.

En fin la idea es que conoscan mas sobre el proyecto, pregunten lo que requieran para su implementacion o funcionamiento y de una u otra manera se fortalesca mas colombia en los temas de seguriadad informatica y ossim es un como modelo en el Software Libre :)

Algo de historio para empezar.

UNA 'SUITE' LIBRE DE SEGURIDAD HECHA POR ESPAÑOLES TRIUNFA EN MEDIO MUNDO

Mercè Molist
Eran cuatro amigos españoles que gustaban de llamarse
"hackers éticos". Hace cinco años, decidieron crear una

herramienta de seguridad de licencia libre, OSSIM (Open
Source Infrastructure for Security Monitoring). Hoy, es la
'suite' libre de seguridad más descargada del mundo y la
utilizan empresas desde Sudáfrica a Singapur, incluidas

corporaciones y bancos españoles. La aventura de estos
hackers, cuya empresa compraba IT Deusto a principios de
2004, es un buen ejemplo de cómo hacer negocio con un
producto que se regala.


Cuando acabe este año 2004, más de 20.000 personas se habrán

descargado el programa OSSIM de Sourceforge, la principal
lista de proyectos de "software" libre del mundo. No es
fácil estar en Sourceforge. Y menos ser el programa líder en
su categoría de "suites" de seguridad. A pesar de ello,

OSSIM, un programa creado por cuatro jóvenes españoles de
poco más de veinte años, es casi desconocido en su propio
país.

OSSIM es una herramienta de monitorización de seguridad para
administradores de sistema. Agrupa 22 programas libres, como

cortafuegos, detectores de intrusos o antivirus, algunos tan
conocidos como Nessus, Nmap o Snort, todos en un mismo
paquete, que puede bajarse gratuitamente de Internet. Pero
la función de OSSIM no es sólo poner a trabajar juntos estos

programas: recoge y ordena la información que generan y la
cruza, para hacer valoraciones sobre el estado de la red o
buscar patrones que sirvan para detectar si está siendo
atacada.

La gracia de OSSIM es que, al integrar programas libres, no

tiene que encargarse del desarrollo de éstos, que ya tienen
su propia comunidad que los perfecciona. Así, todos los
esfuerzos van a mejorar el motor que los pone a trabajar
juntos. "Es el "efecto red" en su estado más puro: todo se

reutiliza y no se hacen las cosas veinte veces. En nuestro
caso, heredamos el esfuerzo de 22 productos y simplemente
los ponemos a hablar entre ellos", explica Julio Casal,
director del Área de Seguridad de IT Deusto y uno de los

protagonistas de este éxito.

El resultado, dice Casal, es "un sistema impresionantemente
grande, un arsenal de tecnología de seguridad sin coste.
Esto es gracias al movimiento libre, que permite
aprovecharse del esfuerzo de los demás y crear un nivel por

encima. Como ha ocurrido otras veces, en breve alguien
pondrá una capa más, lo cual me encanta, pues todo su
esfuerzo en promoverlo hará que OSSIM esté en más sitios".

La historia empieza en 1997, cuando Casal y Jose Antonio

Izquierdo, de 27 y 25 años, montan la empresa IP6 Seguridad.
Casal, junto con Fabio Ospitia, David Gil y Dominique Karg,
que no tenían más de 22 años, deciden hacer un regalo a la
comunidad libre: dedican tres años de tiempo donado por la

empresa a crear el motor OSSIM. En 2003, lo ofrecen
gratuitamente en Internet.

"No hemos hecho nada de publicidad y ha crecido mucho. El
Ministerio de Economía francés está tan interesado que han
metido gente suya a colaborar en el proyecto. Sin darnos

cuenta, tenemos un producto líder y ganamos concursos y nos
descargan de todo el mundo, incluso los militares o la
Nasa", explica Casal, aún sorprendido.

En enero de 2004, IT Deusto compraba la empresa de los

"hackers éticos", que ahora forman parte de su departamento
de seguridad, y se comprometía a invertir y mantener un
equipo de ocho personas para el desarrollo de OSSIM. "Aunque
hay otras 'suites' libres como la nuestra, no son tan

completas, porque se necesita mucha inversión y constancia,
es difícil que alguien invierta tanto tiempo en algo que
regala. Al principio, nos decían que hacíamos herramientas
para la competencia, pero al final ha sido lo contrario: si

la competencia monta OSSIM en un cliente, nos lo está dando,
porque necesitará que alguien experto le haga el
mantenimiento", explica.

OSSIM está demostrando a sus creadores que es posible hacer
negocio con un programa libre: "Regalo la aplicación, pero

soy tan experto en ella que luego gano más contratos, para
su mantenimiento o personalización. Nos piden soporte
técnico de todo el mundo, quieren hacerse 'partners'
empresas de la India, Sudáfrica, Singapur, Nueva Jersey...",

dice.

Además, a un coste barato, según Casal: "La inversión de dar
a conocer un producto de forma internacional: probarlo,
empaquetarlo, distribuirlo y publicitarlo, que pueden ser
miles de millones sólo en márketing, lo ofrece la comunidad

libre como reconocimiento por un esfuerzo inicialmente
desinteresado. Nos permite concentrar el esfuerzo en lo
importante, que es el desarrollo, el 1% del coste, comparado
con el resto".

La popularidad internacional de este producto español se

nota también en la procedencia de los voluntarios que
colaboran en su desarrollo: son entre 30 y 40 personas, de
universidades como la de Pequín y grandes empresas, como
Philips. Casal se queja: "Nos escribe gente interesadísima,

pero de España casi nadie. Es la primera vez en España que
se hace algo libre en seguridad y que traspasa las
fronteras, pero hay pocos españoles que ayuden".

Trabajo como sysadmin... Me interesa mucho el tema.

Trabajo como sysadmin... Me interesa mucho el tema.

bueno ossim es un SIM open opensource, cualquier cosa no dudes en preguntar

bueno ossim es un SIM open opensource, cualquier cosa no dudes en preguntar
Para empezar una instalacion de pruebas... Algun sitio donde empezar?... documentacion en español?

Saludos.

Para empezar una instalacion de pruebas... Algun sitio donde empezar?... documentacion en español?

Saludos.


Descripcion general del sistema (muy completa):

http://www.ossim.net/docs/OSSIM-desc-es.pdf

Sobre la instalacion si tienes amplios conocimientos en linux debian y software de redes hay este S.O, hay un manual paso a paso:

http://www.ossim.net/dokuwiki/doku.php?id=installation:debian_en_espanol

Si deseas la instalacion de una manera mas sencilla, desde aca puedes bajar un instalador que es el resultado de los pasos mencionados anteriormente:

http://downloads.alienvault.com/ossim-installer-1.0.4.iso

La guia del instalador:

http://www.ossim.net/docs.php#installation

Nota: se debe actualizar para estar al dia con la versiones
con el comando "perl /home/ossim/dist/ossim-update.pl"

Los datos que le pase anetiormente son españo casi todos( el proyecto es original de madrid) pero el resto de la documentacion es en ingles por eso de la internacionalizacion.


he aqui algunos enlaces:

OSSIM Wiki:

http://www.ossim.net/wiki/doku.php

OSSIM Forums:

http://www.ossim.net/forum

Pagina oficial

http://www.ossim.net

De todas formas soporte en español lo puedo proporcionar por este foro asi que animese a preguntar lo que requiera.

Saludos. :-p

Hola mi querido amigo...

Ya tengo instalado el ossim de alienvault, como puedo ponerlo a funcionar?
Donde debe ponerse el ossim, como firewall o como un equipo normal?
como hago para agregar equipos?
como hago para que el ossim tome los logs de otros equipos y los analice?

Gracias

[QUOTE=julyusito;2456900]Hola mi querido amigo...

Ya tengo instalado el ossim de alienvault, como puedo ponerlo a funcionar?

ossim de dos formas:

1. analizando el trafico de una red (port mirror)

2. analizando logs (revisar la lista de software soportado

Donde debe ponerse el ossim, como firewall o como un equipo normal?

1.lo mas basico es firewall
2. en implementaciones avanzadas se usa la caracteristica port mirror de swichies como CISCO, este espejo se hace incialmente de la granja de servidores

como hago para agregar equipos?

1. primero deves ir a politicas y definir una red
2. luego vas a herramientas => scaneo de red
como hago para que el ossim tome los logs de otros equipos y los analice?

la coleccion de logs se hace de una sola forma y es revisando logs . para esto ossim ha diseñado un plugin que busca una expresion regular y asi almacena la informacion importante en la base de datos para luego ser correlacionada

estos logs los puedes obtener por syslog remoto, snmp o directamente de las maquinas haciendo uso de una agente, sea:

ossim agent para windows
ossec HIDS
snare Log Collector