colombiano Juan Manuel Madrid Molina, Carlos Andrey Montoya Gonzlez, Juan David Osorio Betancur, Andrs Vsquez, Luis Eduardo Crdenas, Luis Eduardo Mnera Salazar, Rodrigo Bedoya, Cristian Latorre.
creacin automtica de directivas de correlacin, y la
Resumen Una de las herramientas ms usadas hoy en mejora de la confiabilidad de la captura de datos en da para la gestin de la seguridad informtica en las redes con alto trfico. empresas es la consola de seguridad. Este artculo resume el trabajo efectuado por nuestro equipo de investigacin para integrar una serie de mejoras a la consola de seguridad informtica OSSIM para adaptarla al entorno colombiano. II. PROBLEMTICA DE GESTIN DE LA SEGURIDAD Dichas mejoras incluyen la interconexin con dispositivos de INFORMTICA seguridad fsica, la creacin automtica de directivas de correlacin para el motor de la herramienta y la mejora Para que un sistema informtico se considere como significativa de la confiabilidad de captura de informacin en seguro, debe cumplir con cuatro premisas bsicas [6]: redes con alto trfico. La informacin que contiene debe ser confidencial, es I. INTRODUCCIN decir, no debe poder ser consultada por terceros que
L A gestin de la seguridad informtica se ha convertido no deberan tener en principio acceso a ella.
en una necesidad para las organizaciones de hoy, debido De igual manera, dicha informacin debe conservar su a exigencias legales [1, 2] y de cumplimiento con integridad, o sea no daarse o alterarse a medida que estndares internacionales [3, 4]. se mueve por el sistema Una de las herramientas ms tiles en dicha labor es la El sistema debe ser capaz de autenticar a sus usuarios consola de gestin, que recoge informacin de los diferentes y a la informacin que recibe, de tal manera que la equipos y redes que conforman la plataforma informtica de fuente de la informacin siempre sea verificable, y que la organizacin, con el fin de detectar configuraciones y/o solamente los usuarios autorizados puedan acceder al eventos que podran considerarse como una amenaza o una sistema. evidencia de ataque informtico, y de esa manera poder El sistema debe estar disponible cuando se lo necesite. reaccionar oportunamente y mantener la informacin en un estado seguro. La consola de gestin tambin permite Un ataque informtico atenta contra una o varias de obtener estadsticas e informes acerca del estado de estas premisas. Como se puede ver, la labor del oficial seguridad de los sistemas de la organizacin, que se pueden de seguridad de un sistema informtico no es nada fcil, emplear para verificar el cumplimiento de indicadores de ya que continuamente se pueden presentar ataques que gestin. aprovechen vulnerabilidades existentes o nuevas. La Una de las consolas de gestin de cdigo abierto ms seguridad absoluta no existe, porque a medida que se populares en la actualidad es OSSIM [5]. Esta consola, descubren nuevas vulnerabilidades y se solucionan, adems de recolectar y uniformizar los eventos de los dichas soluciones pueden introducir otras diferentes sistemas, correlaciona los eventos que ocurren en vulnerabilidades, o el avance de la tecnologa hace que el sistema bajo anlisis, con el fin de minimizar el nmero sistemas que antes se consideraban como seguros de alertas que el administrador recibe y eliminar falsos pasen a ser vulnerables, debido al descubrimiento de positivos. nuevos mtodos de ataque. Este artculo describe el trabajo realizado por nuestro Por otro lado, la legislacin de los diferentes pases se equipo investigador, para mejorar la funcionalidad de la ha ido actualizando con el fin de castigar el delito consola OSSIM. Particularmente, se resean el desarrollo de informtico, pero a la vez exige que se disponga de un interfaces para capturar informacin desde dispositivos de nivel adecuado de proteccin en los sistemas de seguridad fsica, la creacin de un mdulo de software para informacin [1, 2]. La seguridad de la informacin tambin se ha convertido en asunto crtico para procesos de calidad total de las empresas y estrategias de gobierno de tecnologas de informacin. En todos estos En un escenario como este, se hace necesario contar procesos no solamente se exige que existan mecanismos con una herramienta que permita unificar y centralizar que garanticen la seguridad [3], sino que se requiere la gestin de las alertas de seguridad. Las herramientas cuantificar su impacto mediante el uso de indicadores [4]. de esta naturaleza se denominan consolas de seguridad. Existen diversas herramientas que pueden ayudar al A continuacin, se har una breve descripcin de administrador en la tarea de mantener seguro un sistema OSSIM, que es la consola de seguridad empleada en informtico. Dichas herramientas se pueden clasificar en los nuestro proyecto de investigacin. siguientes grupos: III. GENERALIDADES Y ARQUITECTURA DE OSSIM Antivirus: Se encargan de detectar y eliminar software La plataforma OSSIM (Open System Security maligno de un sistema informtico. Dependiendo de su Information Management) [5] es una consola de funcionalidad, tambin pueden controlar los diferentes seguridad de cdigo abierto, de amplio uso en la vectores de infeccin (correo electrnico, medios de actualidad. Tiene la capacidad de consolidar alertas de almacenamiento removibles, etc.). una gran cantidad de sistemas de seguridad basados en Detectores de intrusos basados en host (HIDS, Host-based cdigo abierto, y es altamente configurable, de tal Intrusion Detection Systems): Este tipo de software manera que permite procesar informacin de programas monitorea procesos y archivos crticos del sistema bajo y dispositivos de seguridad. La arquitectura de OSSIM anlisis, y reporta cuando se producen cambios que es distribuida y comprende cuatro elementos bsicos puedan considerarse como evidencia de un ataque [7]: informtico. Detectores de intrusos basados en red (NIDS, Network- based Intrusion Detection Systems): Los NIDS revisan continuamente los datos que circulan por la red, y avisan cuando observan trfico que evidencia un ataque o una tentativa de ataque informtico. Firewalls: Un firewall acta como aislador entre el trfico de la Internet y el trfico interno de la red corporativa. Mediante un conjunto de reglas determina qu paquetes pueden pasar o no a travs de l, y registra las violaciones a dicha poltica. Detectores de vulnerabilidades: Estos programas hacen un anlisis detallado de un sistema de cmputo, y arrojan como resultado las vulnerabilidades que existen en el sistema operativo y el software instalado.
La abundancia de herramientas, y el hecho de que deban Figura 1. Arquitectura de OSSIM
emplearse varias de ellas en conjunto para monitorear los diferentes frentes del sistema informtico, trae consigo Elementos de captura de informacin: Recolectan la varios problemas graves: informacin requerida por OSSIM, en los diferentes sitios del sistema informtico en donde se desea hacer Falta de uniformidad en el formato de los registros de control. actividad. Base de datos: Almacena todos los eventos recibidos Exceso de alertas. En sistemas grandes, o con actividad de los diferentes elementos de captura de informacin, alta, el nmero de alertas que se genera en un as como las alarmas generadas por el motor de determinado perodo de tiempo puede exceder la correlacin del servidor. capacidad de trabajo del administrador. Servidor: El servidor correlaciona los eventos Manejo de falsos positivos. Dependiendo de la registrados en la base de datos, con el fin de detectar configuracin de las herramientas, pueden reportarse patrones que evidencien una vulnerabilidad en el como alertas de seguridad eventos que son, en realidad, sistema o un ataque informtico, y a la vez acta parte del funcionamiento habitual del sistema. como filtro para tratar de eliminar la mayor cantidad posible de falsos positivos. Adems, con base en las alarmas que se presenten y en el valor de importancia La salida telefnica del panel de alarma se conect a relativa que el administrador haya asignado a cada uno de un servidor Linux, dotado con una tarjeta FXO/FXS para los activos informticos de la empresa, OSSIM es capaz de manejo de voz sobre IP, y el software Asterisk, que calcular tambin el nivel de riesgo informtico del negocio. implementa un PBX IP [9]. Seguidamente, se configur Consola de gestin: La consola es el front-end grfico del bajo Asterisk el puerto FXS de la tarjeta con un nmero sistema. Funciona va web, y permite al administrador del de extensin, y se configur el panel de alarma para sistema consultar las alarmas, reportes y estadsticas que que marcara dicho nmero de extensin en el momento genera el sistema. en que requiera reportar algn evento. La extensin se configura en Asterisk para que IV. MEJORAS IMPLEMENTADAS SOBRE OSSIM EN EL MARCO DEL conteste automticamente despus de un cierto nmero PROYECTO DE INVESTIGACIN de timbres, y para que ejecute la funcin AlarmReceiver() una vez conteste. AlarmReceiver() [10] En el desarrollo del proyecto de investigacin Adaptacin es una rutina incluida con la distribucin de Asterisk, y mejoras al motor de correlacin y sensores remotos del que se encarga de recibir la secuencia de tonos DTMF sistema OSSIM para un centro de seguridad informtica, enviada por el panel de alarma, decodificarla, y escribir acometido por la Universidad Icesi y Sistemas TGR, S.A., se el registro de la alarma en un archivo de log. propusieron los siguientes objetivos: Se procedi entonces a disear un archivo para Montaje y documentacin total del sistema. configuracin del plugin genrico de OSSIM. El plugin Integracin con dispositivos de seguridad fsica convierte cada registro del archivo de log al formato Produccin automtica de directivas de correlacin estndar empleado por OSSIM, y registra la informacin en la base de datos. A continuacin se explica la manera cmo se lograron B. Integracin de OSSIM con cmaras IP de vigilancia estos objetivos. La mejora de la confiabilidad en la captura De acuerdo con la norma ISO 17799:2005, debe de informacin en redes de alto trfico fue un resultado existir un permetro de seguridad fsica en toda adicional no considerado en los objetivos iniciales, pero que instalacin que contenga equipos de procesamiento de igual se describe por la importancia que reviste. datos, y deben existir sistemas que detecten la A. Integracin con un panel de alarma de incendio presencia de intrusos dentro de dicho permetro. Los La mayora de los paneles de alarma de incendio sistemas de circuito cerrado de televisin (CCTV) han existentes en el mercado tienen la posibilidad de conectarse sido empleados por muchos aos para este propsito en a una central de monitoreo remoto, empleando una lnea reas que as lo requieren, tales como bancos, telefnica. Una vez conectado, el panel transmite los datos almacenes, centros comerciales, viviendas, etc. de la alerta a la central, empleando una secuencia de tonos ZoneMinder [11] es una solucin de cdigo abierto, DTMF. El protocolo ms usado para este propsito se conoce que permite implementar un sistema de monitoreo de como Contact ID [8]. cmaras de vigilancia con funciones de deteccin de La solucin concebida para integrar un panel de alarma al movimiento bajo el sistema operativo Linux. Se decidi sistema OSSIM se ilustra a continuacin. emplear este software debido a la gran variedad de cmaras que soporta. La siguiente figura ilustra la integracin de ZoneMinder con el sistema OSSIM.
Figura 3. Integracin de ZoneMinder con el sistema OSSIM
Figura 2. Integracin de un panel de alarma de incendio con el sistema OSSIM Como fuente de video se emple una cmara IP. Se Correlacin por inventario: Determina si un ataque en configur a ZoneMinder sobre esta cmara; de tal manera particular puede tener xito en una determinada que se generase un registro en el archivo de log cada vez plataforma. Se emplea para descartar falsos positivos. que ocurriese movimiento en alguna de las zonas definidas Correlacin cruzada: Valida la informacin detectada en el cuadro de imagen. Igual que en el caso anterior, se por un sensor con los datos obtenidos por otros escribi un archivo de configuracin para el plugin genrico sensores de la red. Permite descartar falsos positivos o de OSSIM, quien se encarga de registrar el evento en la elevar la categora de una alarma. base de datos de OSSIM. A futuro, se desea modificar la Nuestro equipo de trabajo decidi implementar un consola forense de OSSIM, de tal manera que al seleccionar sistema de generacin automtica de directivas de el evento generado por ZoneMinder, se abra la consola de correlacin, debido a que OSSIM viene por omisin con ZoneMinder y se pueda ver el segmento de video que caus un conjunto limitado de directivas. El administrador de la alerta. la red debe afinar dicho conjunto de reglas de acuerdo con las caractersticas de dicha red, proceso que es C. Mejora de la confiabilidad de la captura de paquetes en largo y engorroso. redes de alto trfico Las directivas se generan a travs de un algoritmo de Algunos de los sensores ms importantes de OSSIM, tales clustering [16] que se corre sobre la base de datos de como Ntop [12] y Snort [13], emplean captura de paquetes eventos. De este modo, dichas directivas se adaptan en para recolectar estadsticas y detectar anomalas en la red. alto grado a las condiciones particulares de la red bajo El ncleo de Linux no viene afinado en su configuracin por anlisis. Las reglas as creadas son validadas entonces omisin para soportar captura de paquetes en redes de alto por un experto humano, antes de implementarlas en el trfico; esto puede ocasionar la prdida de hasta el 55% de ambiente de produccin. los paquetes en una red Ethernet de 100 Mbps operada al 90% de su capacidad. Se implementaron entonces los siguientes afinamientos en el kernel Linux de las mquinas dedicadas a captura: Habilitacin de sockets tipo PF_RING [14] para la captura. Este tipo de socket minimiza el tiempo de trnsito de los paquetes por el kernel de Linux, mediante el uso de memoria compartida y de un buffer de anillo. Habilitacin de la NAPI (New Network API) [15] en el kernel de Linux. NAPI permite que el kernel de Linux maneje los paquetes entrantes con un esquema hbrido entre interrupciones y polling, que, comparado con el esquema de slo interrupciones (habilitado en Linux por omisin), procesa ms rpidamente la llegada de mltiples paquetes a una misma interfaz, con menor consumo de procesador. En los experimentos realizados por nosotros, se encontr que este afinamiento disminuy sustancialmente las estadsticas de prdida de paquetes, llegando a ser dicha prdida del 5.6% a lo sumo, en condiciones de carga de la red similares a las del experimento con kernel sin modificar. D. Produccin automtica de directivas de correlacin El motor de correlacin de OSSIM efecta tres tipos de correlacin sobre los eventos que se registran en la base de datos [7]: Correlacin lgica: Trabaja con base en una serie de reglas llamadas directivas de correlacin, que especifican las condiciones que se deben cumplir para que un evento o una serie de eventos registrados en la base de datos puedan generar una alarma. V. CONCLUSIONES REFERENCIAS La consola OSSIM presta un invaluable servicio al [1] Unin Europea. Proteccin de datos en la Unin Europea. 2000. http://ec.europa.eu/justice_home/fsj/privacy/docs/guide/guide- administrador de un sistema informtico, brindndole spain_es.pdf . informacin til para la toma de decisiones en el campo de [2] United Status Congress. Sarbanes-Oxley Act of 2002. 23 de enero la seguridad informtica. Con la intencin de mejorar una de 2002. http://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302 herramienta de muy buena calidad, nuestro equipo .pdf . investigador logr desarrollar las interfaces necesarias para [3] International Standards Organization (ISO). Information technology integrar un panel de alarma de incendios y un sistema de Security techniques Code of practice for information security management (Norma ISO/IEC 17799:2005). Junio de 2005. 115 cmaras de vigilancia IP a la consola OSSIM, mejorar la pp. confiabilidad de sus sistemas de captura de trfico, y crear [4] International Standards Organization (ISO). Information technology un mdulo de generacin automtica de directivas de Security techniques Information security management systems Requirements (Norma ISO/IEC 27001:2005). Noviembre de correlacin. 2005. 34 pp. La solucin implementada emplea en su totalidad [5] OSSIM (Open System Security Information Management). http://www.ossim.net software libre de cdigo abierto, por lo cual preserva la [6] Carracedo Gallardo, Justo. Seguridad en redes Telemticas. filosofa original de OSSIM, y permite su implementacin a McGraw-Hill, Espaa, 2004. Captulo 1, 1-32 pp. un costo relativamente bajo. [7] Casal, Julio. OSSIM: General Description Guide. http://www.ossim.net/dokuwiki/doku.php?id=documentation:gener Este desarrollo ha permitido a la empresa Sistemas TGR, al_description . S.A., de la ciudad de Cali, ofrecer a las empresas de la [8] Security Industry Association. Digital Communication Standard - regin los servicios de montaje y configuracin de consolas Ademco Contact ID Protocol - for Alarm System Communications. http://www.smartelectron.ru/files/DC- de seguridad informtica, y el monitoreo centralizado de las 05_Contact_ID.pdf . mismas, mediante la implementacin de un centro de [9] Asterisk The Open Source PBX & Telephony Platform. gestin de seguridad informtica (SOC Colombia). http://www.asterisk.org [10] Asterisk Alarmreceiver - SIA (Ademco) Contact ID Alarm Receiver Este trabajo muestra el enorme potencial que existe en Application. http://www.voip- Colombia para el desarrollo de servicios de consultora en info.org/wiki/index.php?page=Asterisk+cmd+AlarmReceiver tecnologas de informacin y comunicaciones empleando [11] ZoneMinder: Linux Home CCTV and Video Camera Security with Motion. http://www.zoneminder.com/ herramientas de cdigo abierto, y se convierte en un [12] Ntop. http://www.ntop.org excelente ejemplo de colaboracin entre universidad y [13] Snort the de facto standard for intrusion detection / prevention. empresa privada en nuestro entorno. http://www.snort.org [14] PF-RING overview. http://www.ntop.org/PF_RING.html [15] Benvenuti, Christian. Understanding Linux Network Internals. RECONOCIMIENTOS OReilly, USA, 2006. Chapter 10: Frame Reception, 210-238 pp. [16] Julish, Klaus, Clustering Intrusion Detection Alarms to Support Root Este trabajo de investigacin fue financiado en parte por Cause Anlisis. ACM Transactions on Information and System Colciencias y la Gobernacin del Valle del Cauca, en el Security, Vol. 6, No. 4, November 2003. 443471 pp. marco de la convocatoria 041/2007: Concurso pblico de mritos para la financiacin de proyectos basados en investigacin, desarrollo tecnolgico e innovacin en el marco del fortalecimiento de la competitividad de las apuestas productivas estratgicas del Departamento del Valle del Cauca. Como entidad ejecutora del proyecto particip la Universidad Icesi, y como entidad beneficiaria, Sistemas TGR, S.A.