Mis conclusiones:

Como ya he dicho antes, Alienvault ha hecho bastante por OSSIM, permitiendo que la

versin libre y la comercial se retroalimenten, lo cul es beneficioso para ambas. Ossim

dispone de un mantenimiento y una evolucin, y Alienvault mejora un producto que luego
vende a clientes, y a un precio nada barato por cierto.
Como ventajas de la versin Pro podramos destacar, la cantidad de directivas de

correlacin de eventos que vienen hechas, es mucho ms rica en la pro, aunque en la libre
puedes aadir lo que quieras manualmente; la gestin de sondas en la versin libre, los vitals
o stats de la mquina, es nicamente la del servidor, y en la pro puedes ver stats de cada
sonda en un formato grfico muy trabajado.
Desde un punto de vista de guardar TODOS los eventos, sean o no falsos positivos,

OSSIM no permite configurar (o al menos no he encontrado cmo hacerlo) qu eventos quiero

definir como falsos positivos, para que no vuelvan a aparecer. Me pregunto yo: qu sentido
tiene guardar eventos producidos por mis propias mquinas que s positivamente que son
falsos positivos? Segn Alienvault puedes crear una directiva para que no aparezcan pero,
no es ms sencillo una opcin que te permita hacer un "mute" a esa regla, o crear una
excepcin?
Cuando planificas una auditora con Openvas o Nessus, te aparecern alertas de ataques

de tus propias sondas. Obviamente, estoy auditando internamente mquinas. Tampoco existe
una forma sencilla de aadir direcciones IP a una lista blanca para que no aparezcan nunca
como origen?
Asimismo, cuando aparecen hosts nuevos, aunque los borres la primera vez, si vuelves a

hacer una auditora, vuelven a aparecer. Esto es ms un "nice-to-have" que un "must", pero
estara bien que OSSIM "aprendiera" lo que le dices respecto a direcciones IP anteriormente
borradas.
La integracin con Nagios no est tan lograda como se debera. S, te crea

automticamente un fichero con la configuracin del asset que quieres monitorizar, pero a la
hora de enviar las alertas, hay que tocar el fichero de configuracin de Nagios a mano,
indicando las direcciones de correo, grupos, etc, a los que hay que notificar cuando haya algn
problema en la monitorizacin de los assets. No debera esto hacerse automticamente
desde la consola?
En esta instalacin, en el despliegue de un cliente, me d cuenta que NTOP no

monitorizaba el trfico de los interfaces de red deseados. Buscando los ficheros de

configuracin, en /var/lib/ntop/init.cfg, la variable INTERFACES estaba siempre con valor "lo"
(es decir, localhost) y con los mens no haba manera de hacer que cambiase. Se supone
que cuando configuras qu interfaz es el de escucha de trfico, esto debera modificarse
automticamente. Hablando con gente interna de Alienvault, efectivamente en la versin 4.2.1
hay un bug que no actualiza ese fichero. Si se viene de un upgrade de la 4.1 (como era en mi
laboratorio) esto s que funciona correctamente.
Sigo teniendo mltiples problemas con la configuracin de envo de correos indicndole un
servidor, tanto desde la consola, como un relay desde las sondas. En mi laboratorio funciona
correctamente. En la instalacin del cliente, una 4.2.1 pura, ni siquiera hace ademn de enviar

un correo (comprobado con un tcpdump -n -i eth0 port 25), teniendo un hostname en formato
FQDN.
Si bien la documentacin existente a disposicin de los mortales me parece bastante

pobre, el producto en s es bastante intuitivo de usar por lo que para cosas ms avanzadas
como la creacin de directivas complejas sera deseable que no se guardasen todo para la
versin de pago.
En cuanto a consumo de recursos, si os animais a probarlo, os emplazo a que tengis

cuanta ms RAM mejor, puesto que todos los procesos que corren en OSSIM, devoran
memoria como si no hubiera un maana.
Por lo dems, me parece un producto que va en la direccin correcta. Imagino que en la
versin free pasa como Fedora con RedHat, en la que los usuarios son los testers de las
ltimas funcionalidades, con lo bueno y con lo malo que esto tiene. La informacin que provee
es bastante buena y permite aunar en un mismo framework la consola de monitorizacin de
assets, herramientas de monitorizacin de trfico de red como NTOP, as como correlar
ataques detectados con sistemas operativos/versiones de aplicaciones existentes en la
organizacin junto a auditoras de herramientas automatizadas como Openvas o Nessus con
reportes integrados.