1.

Introducción
La intención en el desarrollo de este proyecto es dar solución al problema planteado “En la UNC
existe actualmente una falta de control relacionado a los activos de información, puntos de red,
equipos de comunicación, equipos de cómputo y servidores”. Para mejorar esta situación
planteamos la utilización de OSSIM (Open Source Security Information Management) y de
herramientas con capacidades como las de los IDS (Un sistema de detección de intrusos o de sus
siglas en inglés Intrusion Detection System), el cual nos permitirá tener una visión de una red con
un grado de abstracción que permita una revisión práctica y asumible de los riesgos, además de
darnos una visibilidad de todos los eventos de los sistemas en nuestra red , y a través de esta
visión relacionar y procesar la información permitiéndonos aumentar la capacidad de detección,
priorizar los eventos según el contexto en que se producen, y monitorizar el estado de seguridad
de nuestra red, valiéndonos para todo esto de herramientas que ya forman parte de ossim.

La valoración de riesgos ayudara a decidir sobre las acciones que se tomaran través de la
valoración de la amenaza que representa un evento frente a un activo, teniendo en cuenta la
fiabilidad y probabilidad de ocurrencia de este evento. En este proyecto también se presentara
una arquitectura de solución al problema.

2. Objetivos
 Objetivo general
 Implementar un marco de solución para organizar y mejorar las capacidades de
detección y visibilidad en la monitorización de eventos de la red planteada y los
servidores propuestos.
 Objetivos Especificos
 Comparar y seleccionar la solución SIEM que dé solución al problema.
 Implementar el SIEM OSSIM, para su posterior análisis de resultados que este
muestre.
3. Marco teórico
3.1 Sistema de detección de intrusos.
Un sistema de detección de intrusos (IDS) es un proceso o dispositivo activo que analiza la
actividad del sistema y de la red por entradas no autorizadas y/o actividades maliciosas. La
forma en que un IDS detecta las anomalías pueden variar ampliamente; sin embargo, el
objetivo final de cualquier IDS es el de atrapar a los perpetradores en el acto antes de que
hagan algún daño a sus recursos.
Un IDS protege a un sistema contra ataques, malos usos y compromisos. Puede también
monitorear la actividad de la red, auditar las configuraciones de la red y sistemas por
vulnerabilidades, analizar la integridad de los datos y más. Dependiendo de los métodos de
detección que seleccione utilizar, existen numerosos beneficios directos e incidentales de
usar un IDS.[1]
3.2 Ossim
OSSIM es una distribución de productos open source integrados para construir una infraestructura
de monitorización de seguridad. Su objetivo es ofrecer un marco para centralizar, organizar y
mejorar las capacidades de detección y visibilidad en la monitorización de eventos de seguridad
de la organización. Nuestro sistema constará de las siguientes Herramientas de Monitorización:
a. Cuadro de Mandos para visibilidad a alto nivel
b. Monitores de Riesgo y Comportamiento para la monitorización a nivel medio
c. Consola Forense y Monitores de Red para el bajo nivel
 Estas herramientas se alimentarán de las nuevas capacidades desarrolladas en el “postproceso”
de los SIM y cuyo objeto es aumentar la fiabilidad y sensibilidad de la detección:
a. Correlación
b. Priorización
c. Valoración de Riesgos
El postproceso a su vez es alimentado por los preprocesadores, estos son un número de
detectores y monitores ya conocidos por la mayoría de administradores que integraremos en
nuestra distribución:
d. IDS (detectores de patrones)
e. Detectores de anomalías
f. Firewalls
g. Monitores varios
Por último deberemos tener una herramienta de administración que configure y organice los
diferentes módulos tanto externos como propios que integrará OSSIM, esta herramienta será el
Framework y mediante ella podremos definir la Topología, inventariar activos, definir una Política
de seguridad, definir las reglas de Correlación y enlazar las diferentes herramientas integradas.[2]

OSSIM es una distribución de productos open source integrados para construir una infraestructura
de monitorización de seguridad.
SERVICIOS Ossim contiene las siguientes características de los componentes del software:
 Arpwatch: utilizado para la detección de anomalía de mac.
 P0f: utilizado para la detección y análisis de los cambios en los sistemas operativos OS. 
 Pads: utilizado para el servicio de detección de anomalías.
 Nessus: utilizado para la evaluación de la vulnerabilidad y de correlación cruzada (IDS vs
Security Scanner).
 Snort: el IDS, también se utiliza para cruzar la correlación con nessus.
 Spade: Realiza las estadísticas de paquetes de motor de detección de anomalías. Se usa
para obtener conocimientos sobre los ataques sin firma.
 Tcptrack: utilizado para los datos de la sesión de información que puede dar información útil
para el ataque correlación.
 Ntop: construye una impresionante red de base de datos de información que podemos obtener
de detección de anomalías en el comportamiento aberrante.
 Nagios: Se alimenta de la base de datos activos para supervisar la disponibilidad de los
equipos.
 Osiris: una gran HIDS (HIDS, Sistema de detección de intrusos en un Host. Busca detectar
anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host).
Puede tomar medidas protectoras.)
 OCS-NG: Cruz-Plataforma para realizar los inventarios e informes.
 OSSEC: la integridad, de rootkit, detección y registro de más.[3]
3.3 Ubuntu
Ubuntu es un sistema operativo de código abierto para computadores. Es una distribución
de Linux basada en la arquitectura de Debian. Actualmente corre en computadores de
escritorio y servidores, en arquitecturas Intel, AMD y ARM. Está orientado al usuario
promedio, con un fuerte enfoque en la facilidad de uso y en mejorar la experiencia del
usuario. Está compuesto de múltiple software normalmente distribuido bajo
una licencia libre o de código abierto. [4]
3.4 MongoDB
MongoDB es un sistema de base de datos NoSQL orientado a documentos, desarrollado
bajo el concepto de código abierto.
 MongoDB forma parte de la nueva familia de sistemas de base de datos NoSQL. En lugar
de guardar los datos en tablas como se hace en las base de datos relacionales, MongoDB
guarda estructuras de datos en documentos similares a JSON con un esquema dinámico,
haciendo que la integración de los datos en ciertas aplicaciones sea más fácil y rápida.[5]
3.5 Snmp
El Protocolo simple de administración de red es un protocolo de la capa de aplicación que
facilita el intercambio de información de administración entre dispositivos de red. Los
dispositivos que normalmente soportan SNMP incluyen routers, switches, servidores,
estaciones de trabajo, impresoras, bastidores de módem y muchos más. Permite a los
administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas,
y planear su crecimiento.[6]
4. Arquitectura propuesta:
 5. Instalación de OSSIM:
- seleccionamos la primera opción

Figura1

- En la siguiente pestaña elegimos el idioma, en nuestro caso Español.

Figura 2

- Seleccionamos la ubicación, en nuestro caso Perú.

 Figura 3
- Seleccionamos la configuración del teclado, en nuestro caso Latinoamericano.

Figura 4
- Ingresamos la contraseña que utilizaremos.
 Figura 5
- Se empieza a instalar

Figura 6
- En esta pestaña ingresamos la IP de la red
 Figura 7
- Insertamos la máscara de Red

Figura 8
- Ingresar la compuerta de Red.
 Figura 9
- Luego de esperar un tiempo que se instalen los componentes, nos mandara a la siguiente pantalla
donde ingresaremos usuario y contraseña que creamos al inicio.

Figura 10
- Luego configuramos la red para ingresar a OSSIM

Figura 11
 Figura 12

Figura 13
- Ingresamos la IP que le asignaremos a nuestro OSSIM, la máscara de red y la compuerta.

Figura 15
 Figura 16

Figura 17
- Luego nos dirá que ya podemos inicializar con la IP configurada

Figura 18
- Una vez configurada la IP, iremos a nuestro navegador e ingresaremos con esa IP, nos dirá que
el sitio no es seguro, seleccionaremos la opción avanzada y luego continuar conexión. Nos
aparecerá la siguiente ventana donde crearemos la cuenta de ingreso a OSSIM, seleccionamos
save.

Figura 19
- Luego ya podremos ingresar con nuestro usuario y contraseña.

Figura 20
 - Luego de haber iniciado sesión le aparecerá la siguiente pantalla de inicio y ya puede seguir con
las configuraciones necesarias.

Figura 21
- Para escanear los activos conectados a la red nos dirigimos a environment, assets and groups,
donde desplegaremos la opción add assets y Scan for new assets.

Figura 22
- Luego seleccionaremos Networs y la red local.

Figura 23
- Luego se dará click en start scan.

Figura 24
- En la figura25 se ve como se escanea los nuevos activos.

Figura 25
- Luego de haber escaneado nos mostrara la información de todos los activos encontrados.

Figura 26
 - Para agregar agentes nos dirigimos a environment y deteccion , luego dar click en Add agente ,
luego les saldrá una pestaña donde se seleccionara el activo al cual se añadirá.

Figura 27
- Luego se dirige a HIDS controls dentro de la misma ventana y se seleccionar la opción restart.
(HIDS, Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un
riesgo potencial, revisando las actividades en la máquina (host). Puede tomar medidas
protectoras.)

Figura 28
- Luego nos dirigimos a environment, assets and groups y observamos que ya está monitorizando.
Figura 29
- En la parte de Nagios de OSSIM, se muestra los eventos a detalle y el estado de cada uno, como
también podemos ver la fecha y hora de ocurrencia de cada uno. Se alimenta de la base de datos
activos para supervisar la disponibilidad de los equipos.

Figura 30

Figura 31
6. Servidor de Aplicaciones. Para nuestro servidor de aplicaciones, usaremos Glassfish dentro de
nuestro Servidor de Aplicaciones, Ubuntu Server con dirección ip 192.168.1.73.
- Dentro de lo primero que hacemos es instalar el jdk, que es necesario para poder levantar
nuestro servidor de aplicaciones, entrando a un terminal de Ubuntu y colocando el código:
sudo apt-get install openjdk-7-jdk. Aquí usaremos la versión 7 del jdk.

- Ahora descargamos Glassfish dentro de la carpeta tmp, para ello usamos el comando cd /tmp
y descargamos con el código: wget http://download.java.net/glassfish/4.1.2/release/glassfish-
4.1.2-web.zip

- En Ubuntu, las descargas de software opcional se almacenan en la carpeta tmp, para

descomprimir, entramos a la carpeta opt y desde allí, colocamos el código: unzip
/tmp/glassfish-4.1.2-web.zip. con esto empezará el desempaquetado.
- Ahora creamos un usuario Glassfish para que pueda ejecutar el servidor. Para esto colocamos
el código: sudo useradd --system glassfish –d /opt/glassfish4. Ahora con esto ya tenemos el
usuario glassfish. También cambiamos el usuario con el código: sudo chown –R glassfish
glassfish4. Cambiamos también el grupo del directorio, para que sea de los administradores,
con el comando: sudo chgrp –R sudo glassfish4/.
- Continuando, otorgamos permisos de ejecución a los scripts que se encuentran dentro de la
carpeta bin en Glassfish4 con el comando: sudo chmod –R +x glassfish4/bin. Y también en
 los scripts que se encuentran en la carpeta Glassfish con el comando: sudo chmod –R +x
glassfish4/glassfish/bin.

- Ahora veremos el dominio para Glassfish, para ello entramos a glassfish4, usando el
comando: cd glassfish4/. Una vez dentro de la carpeta, inicializamos el dominio1, que viene
por defecto en glassfish, usando el comando: sudo –u glassfish bin/asadmin start domain
domain1. EL servidor corre en el puerto 9090 y la consola en el puerto 4848.

- Ahora asignamos una contraseña para el acceso remoto, usando el código: sudo –u glassfish
bin/asadmin change-admin-password. Que, para nuestro servidor, la contraseña será:
“sistemas1234”

- Luego, procedemos a habilitar la administración segura para lo cual usamos el código: sudo
–u glassfish bin/asadmin enable-secure-admin.
 - Por último, creamos un script de inicio, para que el servidor Glassfish se ejecute
automáticamente al encender la máquina virtual. Para ello, creamos un archivo usando el
código: sudo vi /etc/init.d/glassfish. Allí creamos el script.

- Le asignamos permisos de ejecución al script con el comando: sudo chmod a+x

/etc/init.d/glassfish

- Finalmente, creamos los scripts automáticos para que Glassfish se inicialice cuando se
encienda la computadora usando el código: sudo update-rc.d glassfish defaults 90 10

 Así, ya tenemos levantado nuestro servidor de Aplicaciones Glassfish en la dirección

192.168.1.66:9090 y la consola de administración en 192.168.1.66:4848.

6.1 Servidor de Base de datos. Instalaremos MySql Server dentro de una máquina virtual Ubuntu
Server, con la dirección ip 192.168.1.46.
 - Para instalar la base de datos, abrimos un terminal en Ubuntu y colocamos el comando: sudo
apt-get install mysql-server. Luego ingresamos un password para el motor de base de datos.
Después, ingresamos a nuestro motor de base de datos usando el comando: mysql –u root –
p, nos pide que ingresemos la contraseña y ya entramos a MySQL.

- Ahora ya podemos administrar las bases de datos con MySQL en Ubuntu Server.

6.2 Interconexiones
a) Glassfish y MySQL.
- Para la conexión entre nuestro servidor de aplicaciones y nuestro servidor de base de datos MySql,
necesitamos descargar el conector de MySql para Glassfish y copiarlo en el dominio que tenemos
ejecutando. Podemos verificar el conector .jar con el comando que se muestra.

- Luego procedemos a reiniciar el Glassfish para que pueda reconocer el conector a MySql.
Seguidamente, entramos al Ubuntu server donde tenemos el MySql y creamos una base de
datos y un usuario, actualizando sus privilegios.
- Necesitamos dar un permiso de acceso remoto para poder conectarnos con MySql desde
otras computadoras de la red. Para ello ingresamos a my.cnf y modificamos el blind-address
a 0.0.0.0.
 -

- Con esto, le damos privilegios al usuario root para conectarse remotamente.

6.3 Instalación de Agentes.

- Para que Alien Vault Ossim pueda monitorear los eventos, es necesario instalar un agente en cada activo
de información, para ello, actualizamos las dependencias en los activos de la información.
- Luego instalamos ossec para poder administrar el agente.
- Ahora configuramos el agente en el activo de información.
 - Con esto, ya podemos monitorear los eventos que se realiza en el servidor de base de datos.
El mismo procedimiento se realiza para el servidor de aplicaciones. Con esto, cada vez que
se hace alguna acción en los activos de información, Ossim realiza el monitoreo de los
eventos.
7. Instalación y configuración de MongoDB en Ubuntu.
7.1 Instalación y Configuración de ubuntu-14.04.5-server-amd64.iso
Descargar el archivo de imagen iso de Ubuntu Server desde la siguiente URL
http://releases.ubuntu.com/14.04/ .
Instalamos los sistemas operativos y configuramos las interfaces de red de la siguiente manera:
Ubuntu: Con el editor de su preferencia, y configuramos una dirección IP a cada servidor.

7.2 Instalación y configuración de mongodb

-sudo apt-get install mongodb
-sudo apt-get update
7.3 Creación de la base de datos Productos.
-db.productos.insert ({ })
 7.4 Instalando snmpd
-sudo apt-get install snmpd

Referncias bibliográficas
[1] https://es.ccm.net/contents/162-sistema-de-deteccion-de-intrusiones-ids
[2] https://www.alienvault.com/docs/OSSIM-desc-es
[3] https://hermeschavez.files.wordpress.com/2010/11/manual-super-de-ossim.pdf
[4] https://es.wikipedia.org/wiki/Balanceador_de_carga
[5] https://blog.desdelinux.net/nginx-una-interesante-alternativa-a-apache/
[6] https://es.wikipedia.org/wiki/Base_de_datos_distribuida