REPBLICA BOLVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITCNICA DE LA FUERZA ARMADA NACIONAL UNEFA CARRERA INGENIERA DE TELECOMUNICACIONES.

PROPUESTA DE DISEO DE UN SISTEMA DE MONITORIZACIN DE LA INFRAESTRUCTURA DE RED DEL BANCO DE DESARROLLO ECONMICO Y SOCIAL DE VENEZUELA (BANDES)

TUTOR INDUSTRIAL: Ing. Santos Truant, Kiel C.I

PASANTE: Br. Ayala Gonzalez, Juan Israel C.I: 18.810.130

Caracas, Julio de 2011.

1

REPBLICA BOLVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITCNICA DE LA FUERZA ARMADA NACIONAL UNEFA CARRERA INGENIERA DE TELECOMUNICACIONES.

PROPUESTA DE DISEO DE UN SISTEMA DE MONITORIZACIN DE LA INFRAESTRUCTURA DE RED DEL BANCO DE DESARROLLO ECONMICO Y SOCIAL DE VENEZUELA (BANDES)

TUTOR INDUSTRIAL: Ing. Santos Truant, Kiel C.I

PASANTE: Br. Ayala Gonzalez, Juan Israel C.I: 18.810.130

Caracas, Julio de 2011.

2

REPBLICA BOLVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITCNICA DE LA FUERZA ARMADA NACIONAL UNEFA CARRERA INGENIERIA DE TELECOMUNICACIONES

CARTA DE APROBACION DEL TUTOR INDUSTRIAL

Yo, Kiel Santos, titular de la cdula de identidad N , como Tutor Industrial del presente Informe de Pasantas donde se desarrollo una propuesta titulada PROPUESTA DE DISEO DE UN SISTEMA DE MONITORIZACIN DE LA INFRAESTRUCTURA DE RED DEL BANCO DE DESARROLLO ECONMICO Y SOCIAL DE VENEZUELA (BANDES). Por el (los) Bachiller (eres) Juan Israel Ayala Gonzlez. Cdula de Identidad 18.810.130, de la Carrera Ingeniera de Telecomunicaciones, considero que el desarrollo del presente informe se encuentra aprobado para realizar su evaluacin y calificacin final de acuerdo al Reglamento Vigente de Pasantas Largas.

TUTOR INDUSTRIAL _________________________________ C.I. ____________________

3

DEDICATORIA Dedicado a Dios, familiares, amigos, compaeros de trabajo y a todas aquellas personas que contribuyeron con la elaboracin del mismo.

4

RECONOCIMIENTO Agradecer primeramente a Dios por permitirme estar hoy en da en este lugar, por proporcionarme la oportunidad de pertenecer a la UNEFA, la casa de estudios que permiti desarrollar los conocimientos necesarios para la formacin como profesional. Tambin quiero dar gracias a mis familiares, amigos, profesores y a todas aquellas personas que de una u otra forma contribuyeron con el desarrollo del proyecto, permitiendo as el cumplimiento del mismo.

Igualmente quiero agradecer al Banco de Desarrollo Econmico y Social de Venezuela por brindarme la oportunidad de desarrollar mi ciclo de pasantas industriales largas en sus instalaciones, proporcionndome las experiencias del campo de trabajo.

Por ltimo, pero no menos importantes, dar gracias a mi tutor industrial y compaeros de trabajo por los consejos y la paciencia brindada para con mi persona.

GRACIAS.

5

INDICE DE CONTENIDO CONTENIDO p.

CARTA APROBACIN DEL TUTOR .iii DEDICATORIA....iv RECONOCIMIENTO...v INDICE DE CONTENIDO..vi LISTA DE TABLASviii LISTA DE FIGURAS...ix RESUMEN..x INTRODUCCIN.1 CAPITULO I PRESENTACIN DE LA EMPRESA Razn Social13 Actividades a las que se dedica...13 Resea histrica...14 Misin..18 Visin...18 Valores.18 Objetivos..19 Organigrama General de la empresa21 Organigrama del Departamento...22 CAPITULO II SITUACIN ACTUAL Necesidad detectada.23 Objetivo general...24 Objetivos especficos...24 Justificacin.25 CAPITULO III DESARROLLO DEL PROYECTO

6

Bases Tericas.26 Metodologa.....31 Resultados....46 Factibilidad tcnica, operativa, financiera y legal...70 Vinculacin de los resultados con el perfil de egreso......70 CONCLUSIONES.71 RECOMENDACIONES...73 REFERENCIAS BIBLIOGRFICAS.75 ANEXOS.76 A. Antena Maestra.....76 B. Plataforma HUB...76

7

INDICE DE TABLAS

N 1. 2. 3. 4. 5 6 7 8 9 10 11 12 13 14 15 16 17 18

CONTENIDO Switches Access..... Organigrama de la Direccin de Lnea... Modelo de Mejora Continua del Servicio... Conexin, alarmas y LEDS de control de los tranceiver...... Panel de control de los motores.. Limpieza CPU Limpieza Mouse. Etiquetas de advertencias Conectores de entrada. Proteccin del conector... Conexin para calibracin.. Conexiones al splitter. Comando ping. Ciclo del mantenimiento de los equipos remotos... Esquema de las actividades para el Pre-Evento.. Esquema de las actividades para el Evento Esquema de las actividades para el Post-Evento Proceso de desincorporacin de equipos

P. 21 22 28 49 50 52 52 54 54 55 55 57 59 61 62 63 64 69

8

INDICE DE FIGURAS N 1. 2. 3. 4. 5 6 7 8 9 10 11 12 13 14 15 16 17 18 CONTENIDO Organigrama general de la empresa... Organigrama de la Direccin de Lnea... Modelo de Mejora Continua del Servicio... Conexin, alarmas y LEDS de control de los tranceiver...... Panel de control de los motores.. Limpieza CPU Limpieza Mouse. Etiquetas de advertencias Conectores de entrada. Proteccin del conector... Conexin para calibracin.. Conexiones al splitter. Comando ping. Ciclo del mantenimiento de los equipos remotos... Esquema de las actividades para el Pre-Evento.. Esquema de las actividades para el Evento Esquema de las actividades para el Post-Evento Proceso de desincorporacin de equipos P. 21 22 28 49 50 52 52 54 54 55 55 57 59 61 62 63 64 69

9

REPBLICA BOLVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITCNICA DE LA FUERZA ARMADA NACIONAL UNEFA CARRERA INGENIERIA DE TELECOMUNICACIONES.

Autor: Larn Leonardo Bolvar Soret. Fecha: Junio de 2010 RESUMEN PROPUESTA DE DISEO DE UN SISTEMA DE MONITORIZACIN DE LA INFRAESTRUCTURA DE RED DEL BANCO DE DESARROLLO ECONMICO Y SOCIAL DE VENEZUELA (BANDES).

El proyecto elaborado consiste en el estudio y documentacin de una Propuesta de Diseo de un Sistema de Monitorizacin de la Infraestructura de Red del Banco de Desarrollo Econmico y Social de Venezuela, Bandes, el cual permite la documentacin e informacin para la Gerencia Ejecutiva de Tecnologa de la Informacin de un sistema de monitorizacin que le permita mantener en optimo funcionamiento la infraestructura de red del banco. La elaboracin del proyecto fue fundamentada en el desarrollo de diferentes actividades como el levantamiento de informacin de la red, el estudio de los equipos de la red, la seleccin de parmetros de monitorizacin, el estudio de un grupo de herramientas de monitorizacin y la evaluacin de las herramientas bajo los requerimientos establecidos.

Descriptores: Monitorizacin, herramientas, SIEM, Infraestructura, red.

10

INTRODUCCIN La infraestructura de red del Banco de Desarrollo Econmico y Social de Venezuela, est comprendida por un grupo de dispositivos de comunicacin de red, elementos imprescindibles y de suma importancia para el desenvolvimiento de las actividades operativas, tcnicas, econmicas y de informacin del instituto.

Un fallo operativo en la red, desde un equipo hasta la totalidad de la misma, genera prdidas sustanciales a la institucin ocasionando retrasos operativos, administrativos y econmicos. La gestin, administracin y monitorizacin de la red del banco es una de los pilares fundamentales para el desempeo ptimo de la red del banco y sus actividades organizacionales.

La Gerencia Ejecutiva de Tecnologa de la Informacin es la encargada de realizar todos los procesos tecnolgicos, comunicacionales y sistemticos de la institucin. La administracin de la red es una de las actividades ms importantes que realiza esta gerencia, teniendo como encargada de esta actividad, a la gerencia de infraestructura y procesos tecnolgicos.

La gerencia de infraestructura y procesos tecnolgicos posee un sistema robusto de gestin y administracin de la red, con capacidad tcnica y operativa que permite un rendimiento aceptable de la red y los servicios que esta brinda, pero en capacidad de monitorizacin eventos de la red y deteccin y prevencin de problemas no posee un rendimiento optimo y necesario para elevar el desempeo de la red en general.

Viendo la problemtica existente en el rea de monitorizacin de redes, la Gerencia Ejecutiva de Tecnologa de la informacin, 11 requiere una investigacin,

documentacin y Propuesta de Diseo de un

Sistema de Monitorizacin de la

Infraestructura de Red de Bandes, capaz de subsanar la problemtica existente.

El desarrollo de la propuesta estar comprendido en una serie de pasos donde se ubicara la situacin actual y a donde se quiere llegar. Es importante destacar que el informe del proyecto se limitar al estudio, planificacin y documentacin de la Propuesta de Diseo de un Sistema de Monitorizacin de la Infraestructura de Red de la institucin.

12

CAPITULO I PRESENTACIN DE LA EMPRESA 1.1 Razn Social. Nombre de la Institucin: Banco de Desarrollo Econmico y Social de Venezuela (BANDES). G-200047526.

Direccin: Av. Universidad, esquinas de Traposos a Coln, Torre Bandes. Caracas, Distrito Capital.

1.2 Actividades a las que se dedica. Las funciones de BANDES estn definidas en la gaceta oficial n 6214 del 15 de julio del 2008 Segn el artculo 4 del decreto con rango valor y fuerza de ley del Bando de Desarrollo Econmico y Social de Venezuela (BANDES):

Financiar y apoyar el desarrollo equilibrado de las distintas regiones del pas. Financiar infraestructura a cargo de la iniciativa pblica, privada y mixta. Financiar y apoyar proyectos de innovacin, transferencia y desarrollo tecnolgico. Administrar recursos financieros de rganos y entes del sector pblico que sean destinados al financiamiento de proyectos orientados a la desconcentracin econmica, estimulando la inversin en zonas deprimidas y de bajo crecimiento.

13

Apoyar

tcnica

y

financieramente

la

expansin,

diversificacin,

modernizacin y competitividad de la estructura productiva y de la infraestructura social. Actuar como Fiduciario y como Fideicomitente. Administrar recursos provenientes de organismos multilaterales, programas bilaterales y cualquier otro acuerdo financiero internacional que establezca el Ejecutivo Nacional. Desarrollar programas de cooperacin y financiamiento internacional dentro del marco del sistema financiero pblico. Apoyar iniciativas en programas y proyectos de inversin de alta prioridad para el pas. Las dems que le sean encomendadas por el Ejecutivo Nacional.

1.3 Resea Histrica.

El Ejecutivo Nacional cre a Bandes, mediante la promulgacin del Decreto con Rango y Fuerza de Ley de Transformacin del Fondo de Inversiones de Venezuela en el Banco de Desarrollo Econmico y Social de Venezuela, N 1.274, publicado en la Gaceta Oficial de la Repblica Bolivariana de Venezuela, N 37.194, del 10 de mayo de 2001 y reimpreso en la Gaceta Oficial N 37.228, del 27 de junio de 2001.

El 8 de abril de 2005, Bandes se convierte en un Instituto Autnomo adscrito al Ministerio del Poder para Economa y Finanzas, segn Decreto N 3.570, publicado en la Gaceta Oficial N 38.162 de la mencionada fecha.

14

En el marco de la Ley Habilitante el Gobierno Bolivariano aprob, el 31 de julio de 2008, el Decreto N 6.214 con Rango, Valor y Fuerza de Ley del Banco de Desarrollo Econmico y Social de Venezuela que sustituye al Decreto N 1.274. Esta modificacin trae consigo el fortalecimiento de las capacidades de financiamiento, apoyo tcnico y cooperacin nacional e internacional, as como la adecuacin de la estructura organizativa interna.

Un nuevo impulso a la misin financiera de Bandes trae la reforma de su Decreto de Ley, publicado en Gaceta Oficial nmero 39.429 de fecha 21 de mayo de 2010. La entrada en vigencia de estos cambios legales, contribuye al mejoramiento del perfil crediticio del Banco, permitiendo el financiamiento de los proyectos que ayudan a mejorar la capacidad de produccin nacional.

Bandes acta como agente financiero del Estado, para atender proyectos orientados hacia la desconcentracin econmica, estimulando la inversin privada en zonas deprimidas y de bajo rendimiento, apoyando financieramente proyectos especiales de desarrollo regional.

Est facultado para ser el ente fiduciario de organismos del sector pblico; apoyar tcnica y financieramente la expansin y diversificacin de la infraestructura social y productiva de los sectores prioritarios, a fin de contribuir con el desarrollo equilibrado de las distintas regiones del pas; e igualmente para administrar los acuerdos financieros internacionales.

Respecto al mbito internacional, Bandes realiza operaciones de financiamiento internacional con recursos propios o provenientes de terceros, participa en programas 15

bilaterales y cualquier otro acuerdo financiero internacional que establezca el Ejecutivo Nacional, siempre dirigido al bienestar de los pueblos, en el marco de las polticas de Cooperacin Internacional para promover la multipolaridad.

1.4 Misin Somos el Banco dirigido a promover el desarrollo econmico y social a travs del apoyo tcnico y financiero a la inversin social y productiva en el mbito nacional e internacional bajo los principios de justicia, equidad y solidaridad

1.5 Visin Ser el Banco de Desarrollo lder de la inversin social y productiva, modelo en calidad de servicio y talento humano orientado a la excelencia.

1.6 Valores

Honestidad Humildad y Sencillez Lealtad Solidaridad Respeto Compromiso Transparencia Responsabilidad Cooperacin

16

1.7 Objetivos El Banco de Desarrollo Econmico y Social de Venezuela (BANDES) es un banco de desarrollo que tiene por objeto promover el desarrollo econmico-social y financiar actividades a travs del apoyo tcnico y financiero a las inversiones sociales y productivas nacionales e internacionales de acuerdo con las Lneas Generales del Plan de Desarrollo Econmico y Social de la Nacin.

1.8 Organigrama General de la Empresa Figura 1 Organigrama general de la empresa.

17

Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Banco de Desarrollo Econmico y Social de Venezuela.

1.9 Organigrama de la gerencia Ejecutiva.

Figura 2 Organigrama de la Gerencia. Gerencia Ejecutiva de Tecnologa de Informacin

Gerencia de automatizacin y soluciones

Gerencia de infraestructura y servicios tecnolgicos

Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Banco de Desarrollo Econmico y Social de Venezuela.

18

CAPITULO II SITUACIN ACTUAL 2.1 Necesidad Detectada

La gerencia Ejecutiva de Tecnologa de la Informacin de BANDES, requiere disear un sistema de monitorizacin de la infraestructura de la red, basado en software libre que permita la observacin, manejo y control de todos los eventos que ocurran en la red. La necesidad de la Gerencia Ejecutiva de Tecnologa de la Informacin por establecer un sistema de monitorizacin de la red, abre el camino a la investigacin y desarrollo de un sistema integral de monitorizacin. Dentro de los objetivos principales de la gerencia esta investigar y evaluar tecnologas de punta, con el fin de disear e implementar soluciones que permitan monitorizar la infraestructura tecnolgica y comunicaciones, disminuyendo la complejidad y los costos en el manejo de informacin del Instituto.

2.2 Objetivo General Elaborar una propuesta de Diseo de un Sistema de Monitorizacin de la infraestructura de red de BANDES.

2.3 Objetivos Especficos

Examinar la informacin de la infraestructura de red de BANDES. 19

Determinar el equipamiento y variables a monitorizar de la infraestructura de red de BANDES. Evaluar e indicar la herramienta a utilizar para el monitoreo de la red.

2.4 Justificacin

La gerencia de infraestructura y servicios tecnolgicos tiene como objetivo Mantener la plataforma de tecnologas de informacin y comunicacin, con el propsito de garantizar la continuidad operativa de Bandes. El desempeo ptimo de la infraestructura de red de Bandes es fundamental para el mantenimiento de dicha plataforma y es por esto que la monitorizacin de la red es uno de los ejes principales para el cumplimiento de todo esto. La monitorizacin de la red se lleva a cabo mediante diferentes herramientas de monitoreo, como Nagios y Ntop que permiten monitorizar la disponibilidad de dispositivos y el trafico de la red, cada una trabajando por separado sin poder tener una integracin entre los eventos suscitados y las alarmas generadas por cada una de estas herramientas. Esto produce diferentes problemas de gestin de la red, de los recursos de la red, de la optimizacin de los servicios tecnolgicos y de la continuidad operativa de la plataforma. Es por esto que la gerencia de infraestructura y servicios tecnolgicos propone realizar una propuesta de diseo de un sistema de monitorizacin de la infraestructura de red, mediante el estudio y evaluacin de diferentes herramientas de monitorizacin de redes con el fin conocer las capacidades tcnicas y beneficios de dicho sistema y que permita solucionar los diferentes problemas.

20

CAPITULO III DESARROLLO DEL PROYECTO 3.1 Bases Tericas Las bases tericas son todos aquellos complementos que se requieren para analizar y comprender los conocimientos necesarios para el buen entendimiento y desarrollo del tema. Monitorizacin. La teora de la planificacin del desarrollo define la a la monitorizacin como un ejercicio destinado a identificar de manera sistemtica la calidad del desempeo de un sistema, subsistema o proceso a efecto de introducir los ajustes o cambios pertinentes y oportunos para el logro de sus resultados y efectos en el entorno.

El Instituto para el Desarrollo y la Innovacin Educativa IDIE, establece la monitorizacin como la supervisin peridica de un proceso o la ejecucin de una actividad que busca establecer si los insumos entregados, cronogramas de trabajo y otras acciones requeridas y resultados previstos se estn desarrollando de acuerdo con el plan, con el objeto de tomar accin oportuna para corregir cualquier deficiencia detectada.

En el rea de redes, la Monitorizacin es la parte de la gestin de red que se ocupa de la observacin y anlisis del estado y el comportamiento de los recursos gestionados Segn Roberto Hernando.

21

La monitorizacin constituye una funcin importante dentro de la administracin de red. A travs de ella se puede observar y analizar el estado de los componentes de red. Esta abarca cuatro fases:

1. Definicin de la informacin de gestin que se va a monitorizar. 2. Acceso a la informacin de monitorizacin. Las aplicaciones de monitorizacin utilizan los servicios ofrecidos por un gestor para acceder a los datos de monitorizacin mantenidos por un agente. Las comunicaciones entre gestores y agentes se realizan gracias a los protocolos de gestin 3. Diseo de polticas de monitorizacin. Se distinguen dos (2) tipos de comportamiento: Sondeo. En este caso el gestor pregunta peridicamente a los agentes por los datos de monitorizacin. Informe de Eventos. Los agentes, por su propia iniciativa, informan a los gestores. 4. Procesado de la informacin de monitorizacin. sta es la etapa ms importante de la monitorizacin.

Existen, al menos, dos (2) puntos de vista para abordar el proceso de monitorizacin de una red: el enfoque activo y el enfoque pasivo. Aunque son diferentes ambos se complementan.

Monitorizacin activa: este tipo de monitoreo se realiza Inyectando paquetes de prueba en la red, o enviando paquetes a determinadas aplicaciones midiendo sus

22

tiempos de respuesta, agrega trfico en la red. Es utilizado para medir el rendimiento de la red.

Monitorizacin pasiva: este enfoque Se basa en la obtencin de datos a partir de recolectar y analizar el trfico que circula por la red. Se emplean diversos dispositivos como sniffers, ruteadores, computadoras con software de anlisis de trfico y en general dispositivos con soporte para SNMP. Este enfoque no agrega trfico a la red. Es utilizado para caracterizar el trfico en la red y para contabilizar su uso.

Gestin de eventos.

El Instituto Nacional de Tecnologas de la Comunicacin (INTECO) describe La gestin de eventos como la administracin de incidentes de seguridad en cualquiera de sus fases, ya sea antes, durante o despus de que se produzca un incidente. Recogen, cotejan y hacen informes con los datos de los registros de actividad (logs) de los dispositivos de seguridad o de red instalados en la red de rea local (LAN).

Tambin INTECO describe que las herramientas de gestin de eventos permiten la prevencin, deteccin, mitigacin, anlisis y aplicacin de contramedidas. Los productos de esta categora sirven para realizar un seguimiento y organizar las actuaciones en caso de eventos o incidentes de seguridad. Permiten establecer el proceso de gestin de los eventos de seguridad organizando y siguiendo un procedimiento para resolver el incidente en el menor tiempo posible y con las menores consecuencias para la organizacin. Las herramientas de gestin de eventos se clasifican segn su funcionalidad en:

23

Gestin de informacin de seguridad SIM (Security Information Management): son sistemas de supervisin cuya funcionalidad es la recoleccin, correlacin y anlisis de informacin de seguridad en diferido, es decir, creando un repositorio indexado con datos obtenidos de los dispositivos supervisados. Este repositorio permite ser interrogado para generar informes con los que obtener perspectiva general de la seguridad del entorno supervisado, detectar riesgos, revisar el cumplimiento normativo y actuar en consecuencia. Permiten la gestin del ciclo de vida de la informacin, protegindola con garantas de seguridad en su vida til y garantizando su destruccin cuando esta termina.

Gestin de eventos de seguridad SEM (Securitiy Event Managment): ofrece monitorizacin y gestin de eventos en tiempo real. Funcionan recogiendo informacin (registros de actividad o logs) de todos los sistemas y equipos supervisados, agregndola y correlacionndola aproximadamente en tiempo real. Mediante una consola es posible la visualizacin, monitorizacin y gestin de eventos mediante reglas para detectar situaciones anmalas y mecanismos para automatizar la respuesta en caso de incidentes.

Gestin de informacin y eventos de seguridad SIEM (Security information and Event Management): son sistemas con la funcionalidad aadida de SIM y SEM. Es decir recogen o reciben logs (registros de actividad) de todos los dispositivos que monitorizan, almacenndolos y conservndolos a largo plazo (cifrados, firmados,...) Y agregan y correlacionan en tiempo real la informacin recibida para permitir la deteccin y actuacin sobre los eventos, con alertas, respuesta automatizada, informes adecuados a distintas normativas, etc.

24

En cuanto a su forma de distribucin suelen estar formados por: elementos software para el envo de la informacin desde los dispositivos monitorizados appliances o servidores dedicados para realizar el anlisis y reporting (generacin de informes) unidades de almacenamiento/archivo. Definicin de trminos. Local Area Network (LAN): conexin fsica y lgica de computadoras. Su objetivo es compartir recursos (como acceder a una misma impresora o base de datos) y permite el intercambio de ficheros entre equipos que componen la red. SNMP: Simple Network Management Protocol, es el protocolo definido por los comits tcnicos de Internet para ser utilizado como una herramienta de gestin de los distintos dispositivos en cualquier red. El SNMP utiliza la capa de transporte de TCP/IP. Switch: Un conmutador es un dispositivo digital de lgica de interconexin de redes de computadores que opera en la capa de enlace de datos del modelo OSI. Su funcin es interconectar dos o ms segmentos de red, de manera similar a los puentes de red, pasando datos de un segmento a otro de acuerdo con la direccin MAC de destino de las tramas en la red. Router: El enrutador es un dispositivo de hardware para interconexin de red de ordenadores que opera en la capa tres (nivel de red) del modelo OSI. Un enrutador es un dispositivo para la interconexin de redes informticas que permite asegurar el enrutamiento de paquetes entre redes o determinar la mejor ruta que debe tomar el paquete de datos.

Firewall: Un cortafuegos es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones

25

autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Servidor: un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes. Servicios de red: Los servicios de red son la fundacin de una red de trabajo en un ambiente de computadoras. Generalmente los servicios de red son instalados en uno o ms servidores para permitir el compartir recursos a computadoras clientes. Los servicios de red son configurados en redes locales corporativas para asegurar la seguridad y la operacin amigable de los recursos. Estos servicios ayudan a la red local a funcionar sin problemas y eficientemente.

3.2 Metodologa El proceso de desarrollo del Diseo del Sistema de Monitorizacin de la Infraestructura de red de Bandes se realiz a travs de etapas, las cuales fueron llevadas a cabo en orden con el fin de cumplir los objetivos y as lograr el desarrollo y culminacin del proyecto. Dichas etapas son expuestas a continuacin:

Proceso de Investigacin Una vez ubicado en el lugar de trabajo, se procedi a realizar la primera reunin con el tutor para dar a conocer al pasante las actividades, funciones y objetivos de la Gerencia Ejecutiva de Tecnologa de la Informacin. La Gerencia de Infraestructura y Procesos Tecnolgicos propuso realizar una propuesta de diseo de un sistema de monitorizacin de la infraestructura de red, basado en la evaluacin de herramientas de monitorizacin de redes.

26

Como punto inicial para la eleccin de la herramienta de monitorizacin, se estableci que esta, debe cumplir con lo establecido en el Decreto n 3390, publicado en la gaceta oficial n 38.095 de fecha 28/ 12/ 2004 sobre la administracin pblica nacional y el empleo de software libre desarrollado con estndares abiertos y el proceso de migracin gradual y progresiva de estos.

Teniendo la idea de que con el proyecto se busca determinar cual herramienta de monitorizacin se adapta mas a los requerimientos de la Gerencia Ejecutiva de Tecnologa de la Informacin, se procedi a planificar un proceso de documentacin para determinar el equipamiento que se utilizara en el diseo del sistema de monitorizacin.

La documentacin dar paso a la evaluacin de la(s) herramienta(s) de monitorizacin. Los parmetros establecidos en estas dos etapas permitirn la evaluacin tcnica de la herramienta y la elaboracin del diseo del sistema de monitorizacin.

La gerencia de infraestructura y servicios tecnolgicos fundamentada en la poltica de Bandes sobre la confidencialidad de sus procesos, sistemas equipos e informacin, determino que en dicho informe no debe incluirse informacin que pueda ser de carcter sensible y/o confidencial para la institucin.

Desarrollo del Proyecto

27

Una vez entendida la metodologa a implementar en la estructuracin del proyecto, se procedi a desarrollar las interrogantes que permiten la realizacin del mismo de manera ordenada y efectiva.

Cul es la visin? a. Establecer un servicio optimizado, eficiente y centralizado de informacin para la gestin de eventos que ocurran en la red.

Dentro de los objetivos de la gerencia ejecutiva de tecnologa de la informacin esta establecer controles y lineamientos que permitan mantener una Plataforma Tecnolgica actualizada, fcilmente escalable y lo suficientemente robusta y consistente, a los fines de soportar las actividades administrativas y de negocio en el Banco. Para la gerencia de infraestructura y procesos tecnolgicos es fundamental Administrar y mantener los activos de tecnologas de informacin y comunicacin de Bandes, para garantizar su operatividad, as como su utilizacin racional y efectiva.

b. Mantener operativa la infraestructura de red de Bandes. Es total responsabilidad de la gerencia de infraestructura y procesos tecnolgicos, Mantener la plataforma de tecnologas de informacin y comunicacin, con el propsito de garantizar la continuidad operativa de Bandes. Dnde estamos ahora?

Para poder entender la situacin actual de la monitorizacin de la red, se realiz un punto de referencia que permite comparaciones posteriores para verificar si el proceso 28

obtuvo el xito que se esperaba. Esta documentacin es llamada Lnea Base y en ella se ven expresados los puntos donde puede determinarse si un servicio necesita mejora o no.

Lnea Base (Situacin Actual)

La gerencia de infraestructura y procesos tecnolgicos est encargada de Administrar y mantener los activos de tecnologas de informacin y comunicacin de Bandes, para garantizar su operatividad, as como su utilizacin racional y efectiva. La gerencia cuenta con una serie de activos (equipos de redes) que requieren de un ptimo funcionamiento para el desarrollo de las actividades de produccin del instituto.

Esta gerencia requiere Planificar y ejecutar proyectos de tecnologa que se requieran para el efectivo desarrollo, actualizacin y mantenimiento de la plataforma tecnolgica y de comunicaciones del Banco. Actualmente la gerencia no cuenta con un proyecto de gestin de eventos de la infraestructura de red.

La Gestin y solucin de incidencias o eventos de la infraestructura de red de Bandes, es llevada a cabo por un grupo de herramientas implementadas separadamente sin poder complementarse entre ellas. Si bien el funcionamiento de cada una es optimo, As como los requerimientos relacionados con las tecnologas de informacin y comunicacin que permita mantener la productividad y satisfaccin de los usuarios del Banco.

Por ltimo, unas de las funciones de la gerencia son Investigar y evaluar tecnologas de punta, con el fin de disear e implementar soluciones de infraestructura tecnolgica y comunicaciones, aplicables para el Banco, que disminuyan la 29

complejidad y los costos en el manejo de informacin del Instituto.

Dnde queremos estar?

Se quiere realizar de forma general y de carcter informativo, un diseo de un sistema de monitorizacin de la infraestructura de red de Bandes.

Cmo llegamos a donde queremos estar? Para lograr el cumplimiento de los objetivos se trazaron varias actividades a cumplir. La metodologa se baso en estas actividades y fueron ejecutadas paso por paso. Actividad n1 levantamiento de informacin de la infraestructura de red.

En esta actividad se realizo un estudio de los equipos que componen la infraestructura de red del banco. La gerencia determino que solo se estudiara el segmento de produccin de la red. Los otros segmentos, calidad y desarrollo, fueron excluidos de la investigacin ya que no poseen un alto requerimiento en la red.

El segmento de produccin posee una serie de equipos de conmutacin (switch), de enrutamiento (Router) y de corta fuegos (firewall). Tambin hay un grupo de servidores para el alojamiento de los servicios de red. En las tablas que estn a continuacin se da la informacin de la cantidad dispositivos de desplegados en la red y su ubicacin.

30

Este segmento posee dos tipos de conmutadores (switch), los switch Access (conmutador de acceso o borde) y los switch Core (conmutador de ncleo). Los primeros son utilizados para el acceso de todos los equipos conectados a la red y el control del trfico entre ellos. Los switch core se utilizan para dar comunicacin y rutas de acceso a los switch Access. Tabla 1 - Switches Access Switch Access (acceso) 1 1 1 1 1 1 1 1 1 Ubicacin Mezzanina 1 Mezzanina 2 Piso 2 Piso 3 Piso 4 Piso 5 Piso 6 Piso 7 Piso 8 Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Ayala Juan (2011).

Switch Core (nucleo) 1 1

Tabla 2 - switches core Ubicacin Data Center Data Center

Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Ayala Juan (2011).

31

El enrutador se encarga de conectar la red del banco a internet. En el segmento de produccin se incluye este dispositivo de red. Tabla 3 - Router Ubicacin Data Center Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Ayala Juan (2011).

Router 1

Tambin integran este segmento de la red, 1 corta fuegos (firewalls) encargados de permitir o denegar el acceso a la red. Tabla 4 - Firewalls Ubicacin Data Center Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Ayala Juan (2011).

Firewall 1

Por ltimo estn los servidores, equipos encargados de albergar los diferentes servicios de red que posee el instituto. Tabla 5 - Servidores Servicios Intranet (web) Intranet (base de datos) DNS, DHCP Antivirus Active Directory Correo (DMZ) DNS (DMZ)

Servidor 1 1 1 1 2 1 1

Ubicacin Data Center Data Center Data Center Data Center Data Center Data Center Data Center

32

1

Proxy (DMZ)

Data Center

Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Ayala Juan (2011).

Actividad n2 Seleccin del equipamiento y variables a monitorizar. Establecida la informacin de la infraestructura de red, se procedi a determinar los equipos a ser monitorizados. Como se menciono anteriormente, el segmento de produccin fue el seleccionado para realizar la investigacin. A continuacin se recopilo toda la informacin necesaria para la formulacin de las variables a monitorizar bajo los parmetros de cada equipo. Descripcin de los dispositivos. Switch Access Cisco Catalyst 3750. El segmento de produccin cuenta con 9 switches Access Cisco catalyst 3750. Cada dispositivo cuenta con 24 puertos Ethernet de 10/100/1000 Ethernet, 2 puertos Ethernet de 10 Gigabit ubicados en un modulo de dos ranuras. Switch Core Cisco Catalyst 6513. El segmento de produccin posee 2 switches Core Cisco Catalyst 6513. Cada dispositivo cuenta de un chasis de 13 mdulos. Posee puertos Ethernet de velocidad 10/100/1000, Puertos 10 Gigabit Ethernet y puertos fibra ptica. Router Cisco 2811. Se cuenta con 1 Router Cisco 2811, este dispositivo posee un mdulo de red mejorado (NME) simple, cuatro tarjetas de interfaz WAN de alta velocidad simples o 33

dos dobles (HWIC), dos AIM, dos mdulos de datos de voz en paquete (PVDM), dos conexiones Fast Ethernet y 24 puertos de salida de alimentacin telefnica IP. Firewall Cisco ASA 5520. 1 Firewall Cisco ASA 5520 posee la red de produccin. Este dispositivo tiene Capacidad del cortafuegos: 450 Mbps, Capacidad de la VPN: 225 Mbps, Tasa de conexiones: 12.000 conexiones por segundo. Sesiones concurrentes: 280000 Peers VPN IPSec: 750. Peers VPN SSL: 2. Interfaces virtuales (VLAN): 150. 4 interfaces Gigabit Ethernet y un puerto Fast Ethernet. Servidores (servicios de red). Los servicios de red estn ubicados en servidores con diferentes capacidades de hardware. Los Servicios de Intranet estn divididos en Aplicaciones, DNS interno DHCP, antivirus y active Directory. La DMZ est dividida por los servicios de Correo, DNS externo, Proxy. En la siguiente se tabla detalla la descripcin de los servicios. Tabla 6 - Descripcin tcnica Servicios Servicios Intranet- CPU RAM CAPACIDAD DE DMZ Aplicaciones Web de Datos DNS DHCP Antivirus Active Directory Correo 2 CPU's 2Ghz 4 CPU's 2Ghz 4 CPU's 2Ghz 2G Ram 4G Ram 4G Ram 40G Disco 60G Disco 300G Disco interno 4CPU 2Ghz 1G Ram 5G Disco 2 CPU's 2Ghz 2G Ram 6G Ram Aplicaciones Base 4 CPU's 2Ghz DISCOS 5G Disco 40G Disco

34

DNS externo Proxy

2 CPU's 2Ghz 4 CPU's 2Ghz

512M Ram 4G Ram

5G Disco 30G Disco

Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Ayala Juan (2011).

Determinada la informacin general de los dispositivos de la red a ser incluidos en el diseo del sistema de monitorizacin, se procedi a determinar las variables a monitorizar y los parmetros que debe cumplir la herramienta de monitorizacin. Se establecieron las variables y los parmetros implementados en las herramientas que actualmente estn operando para la monitorizacin de la red. A continuacin se detallara cada una de ellas: Disponibilidad y Factores ambientales. Parmetros de Disponibilidad y Factores ambientales: carga del procesador: Estado del procesador del equipo, niveles de consumo del procesador, ocupacin de los discos, volumen de datos ledos y escritos, volumen de datos recibidos y transmitidos por la red. Puertos: Disponibilidad. Memoria: Niveles de consumo de memoria. Host: disponibilidad Servicios: Disponibilidad Temperatura. Humedad. Potencia.

Trafico de la red y deteccin de anomalas. Parmetros de Trfico de la red y deteccin de anomalas:

35

Tipo de Trfico de la red: visualizacin de los diferentes trficos de la red. Anlisis de trfico IP: Ordenamiento y visualizacin del trafico IP. Estadstica del trafico: Origen, Destino, Puertos utilizados y Duracin porcentaje de trafico de las sesiones. Flujos: Captacin de flujos generado por los equipos. Categorizacin: Ordenamiento de los activos de acuerdo al sistema operativo y usuario. Ataques: deteccin de ataques que generen anomalas o comportamientos anormales en la red. Usos: deteccin de usos de servicios con origen y destino anormales, en horarios no establecidos. Deteccin de exceso de trfico o de conexiones. Cambios: deteccin de cambios de servicios, IP, MAC, sistemas operativos.

Luego de tener establecidas las variables a monitorizar y los parmetros de dichas variables, se procedi a determinar las variables que van a ser monitorizadas en cada equipo. Las variables de disponibilidad y factores ambientales son indispensables para la monitorizacin de todos los equipos sometidos al estudio.

La variable de trfico de red, determina muchos aspectos de la informacin y el flujo de la red. Estos parmetros requieren de una monitorizacin en especficos dispositivos de la red, ya que al ser monitorizados en todos los dispositivos, puede generar problemas en la red, como por ejemplo, trfico innecesario, latencia y sobrecarga de los recursos de la red, entre otros. La deteccin de anomalas como variable, es primordial monitorizarla en todos los equipos estudiados.

Switches Cisco Catalyst 3750: Factores ambientales del equipo, disponibilidad del equipo, anlisis del trfico, deteccin de anomalas.

36

Router Cisco 2811: Factores ambientales del equipo, disponibilidad del equipo, anlisis del trfico deteccin de anomalas. Switches Cisco Catalyst 6513: factores ambientales del equipo, disponibilidad del equipo, deteccin de anomalas. Firewall Cisco ASA 5520: Factores ambientales del equipo, disponibilidad del equipo, deteccin de anomalas. Servicios: factores ambientales del equipo, disponibilidad del equipo, deteccin de anomalas. Actividad n3 Estudio de las herramientas de monitorizacin. Para el estudio de las herramientas de monitorizacin, la gerencia de infraestructura y servicios tecnolgicos indico una serie de requisitos que deben cumplir las herramientas. Los requerimientos de la gerencia para el diseo del sistema de monitorizacin estn basados en la capacidad de estas en realizar tareas que van ms all de la informacin oportuna de los eventos ocurridos en la red. Se determino que las herramientas deben tener la capacidad de vincular y analizar todos los eventos ocurridos en la red, y as poder obtener un sistema que optimice la informacin generada y de respuestas eficaces y acertadas. Viendo todo esto, las herramientas estudiadas deben ser de tipo SIEM. A continuacin se dar informacin de las tres (3) herramientas estudiadas. RSA ENVISION. La plataforma RSA enVision es una solucin en el mercado para Informacin de Seguridad y Administracin de Eventos (SIEM). Brinda una solucin de

37

administracin de logs integrada 3 en 1 para simplificar el cumplimiento de normativas, mejorar la seguridad y la mitigacin de riesgos, y optimizar la TI y las operaciones en red mediante recopilacin, anlisis, alerta, auditora, informes y seguridad del almacenamiento de informacin de todos los logs de manera automatizada. La plataforma RSA enVision recopila todos los logs de eventos generados por dispositivos IP dentro de una red, almacena copias de los datos de manera permanente, procesa los logs en tiempo real y genera alertas cuando observa patrones de comportamiento sospechosos. La consola intuitiva permite consultar el volumen completo de datos almacenados, y el software analtico avanzado convierte el complejo conjunto de datos en crudo no estructurado, en informacin estructurada, lo que proporciona datos tiles con el fin de brindar ayuda en tres reas principales: 1) Simplificacin del Cumplimiento de Normativas: Se puede recopilar automticamente datos de log sobre la actividad de usuario, aplicacin, archivo y red que pueden ayudar a simplificar considerablemente los procesos de cumplimiento de normativas. Ms de 1.100 informes incluidos se adaptan a los actuales requerimientos especficos de cumplimiento de normativas. Asimismo, la solucin simplifica el cumplimiento de normativas, dado que almacena todos los datos de log sin filtracin ni normalizacin y los protege contra alteraciones, lo que proporciona una fuente de datos archivados autnticos y verificables. 2) Seguridad Mejorada y Mitigacin de Riesgos: Con alertas de seguridad de eventos en tiempo real, monitorizacin y anlisis de la funcionalidad forense, la plataforma brinda visin clara de la informacin relevante. Dado que se pueden ver y comprender las amenazas y riesgos, permite tomar medidas ms efectivas para mitigar dichos riesgos.

38

3) Optimizacin de TI y Operaciones de Red: Los datos de log administrados constituyen la mejor fuente de informacin sobre el performance de la infraestructura y el comportamiento del usuario. Se puede aprovechar la plataforma RSA enVision para controlar y administrar los logs de actividades para servidores, equipos de red y plataformas de almacenamiento de informacin y monitorizacin de los activos de red, la disponibilidad y el estado de las personas, el hardware y las aplicaciones de negocio. Brinda una herramienta forense inteligente para la resolucin de problemas de infraestructura y la proteccin de recursos de infraestructura. La plataforma RSA enVision permite obtener logs de decenas de miles de dispositivos al mismo tiempo, sin necesidad de agentes de software de cliente. La funcionalidad de reportes, tendencias y bases de RSA enVision proporciona una visin general grfica a largo plazo de los eventos de seguridad y performance, lo que mejora la efectividad de planificacin y reduce la carga de trabajo. La plataforma se puede implementar como una solucin plug and play independiente o como parte de una arquitectura distribuida escalable de alta disponibilidad para enfrentar las demandas de las redes. La administracin basada en Web, proporciona un control intuitivo y un anlisis forense mejorado, profundo y detallado. Cuando se implementa como una solucin independiente permite que una aplicacin autnoma de seguridad consolidada haga todo, incluso recopilacin de datos, administracin, anlisis y almacenamiento de informacin. Cuando se implementa en una arquitectura distribuida, permite implementar mltiples aplicaciones dedicadas cuando se requieren realizar funciones clave. Los recopiladores locales y remotos renen datos. Los servidores de datos administran los datos. Los servidores de aplicaciones realizan anlisis y reportes.

Especificaciones del Producto

39

Entorno operativo: Microsoft Windows 2003 Server incorporado con seguridad consolidada como opcin estndar. Redundancia de Hardware: ES: RAM con proteccin ECC. LS: RAM de bfer completo de 8 GB. ES/LS: ventiladores con capacidades hot-swap redundantes, fuentes de alimentacin y discos con proteccin RAID-1. Monitoreo y administracin ambiental: Administracin IPMI 2.0 fuera de banda. Administracin de dispositivos remota 100% headless. Conexin a redes: ES: (2) puertos 10/100/1000TX Ethernet incluidos, hasta (6) a travs de interfaces de red adicionales. LS: (6) puertos 10/100/1000TX Ethernet . Opciones de almacenamiento de informacin: De conexin directa de 2,75 TB utilizables. Conectado en red de 3,5 TB a 7 TB utilizables.

Software de aplicacin: Plataforma RSA enVision, con RSA enVision LogSmart IPDB; correlacin en lnea y en tiempo real con generacin automtica de puntuacin de amenazas; soporte de dispositivo universal; ms de 1.100 informes estndar con asistente de informes completos; herramienta de anlisis forense y visualizacin avanzada de Event Explorer; administracin de polticas de retencin, soporte para almacenamiento de informacin en niveles y proteccin de ILM de RSA enVision. 40

Opciones de alimentacin: Fuentes de alimentacin redundantes de 400 W con uso compartido de carga. Conmutacin automtica de 120/240 voltios.

Fsica: 74, 4 x 44, 5 x 8, 6 cm (29, 3 x 17,5 x 3,4 in) (P x A x A). Incluye rieles deslizantes de montaje en rack (requiere rack de 4 postes). Peso: 24,5 kg (59 lb).

OSSIM OSSIM (Open Source Security Information Management System) agrupa ms de 15 programas de cdigo abierto proporcionando todos los niveles tecnolgicos necesarios para cubrir el ciclo completo de la gestin de seguridad y crear centros remotos de supervisin de seguridad (SOC). El propsito de OSSIM no es solo recolectar la informacin detallada y en profundidad que los IDS o los monitores pasivos pueden ofrecer, sino tambin implementar un proceso abstracto en el cual millones de eventos con un formato muy tcnico y de bajo nivel, se convierten en unas docenas de alarmas de alto nivel mucho ms comprensibles, la correlacin de eventos. Gestin del Riesgo.

41

OSSIM acta, informa y lanza respuestas utilizando parmetros de riesgo. El riesgo se calcula y almacena para cada uno de los eventos recolectados. En el Proceso de Gestin de Seguridad se utiliza esta valoracin; se desencadenan respuestas Automticas, se generan informes de alarmas y se toman medidas de la situacin de riesgo de las redes. La administracin, el ajuste y los procedimientos forenses deben ser guiados por estas medidas. Herramientas de cdigo abierto. Algunos de los productos de cdigo abierto utilizados son: Snort: IDS. Nessus: Escner de vulnerabilidades. Ntop: Monitor de red. Nagios: Monitor de disponibilidad. Osiris y Snare: IDSs de Host. Spade y HW Aberant Behaviour: Detectores de anomalas. P0f, Pads, y Fprobe: Monitores pasivos. Nmap: Escner de red. Acid/Base: Analizador Forense. Otros pequeos programas como Oinkmaster, PHPAcl, fw1logcheck, ScanMap3D, etc. OSVDB: Base de datos de vulnerabilidades.

Herramientas desarrolladas para OSSIM. La lista de mdulos creados por el equipo de OSSIM para conectar los programas anteriores es:

42

Sistema Recolector. Motor de Correlacin Lgica, Cruzada y de Inventario. Gestor de Inventario. Gestores para modificar prioridades, realizar ajustes, y crear Polticas de Recoleccin. Generador de informes de Seguridad. Gestor de Incidencias y Reaccin a ellas. Cumplimiento de Normas de Seguridad y Paneles de Mtricas y medidas de Riesgo.

Arquitectura. Un despliegue tpico de OSSIM consiste en 4 elementos: Sensores Servidor de Control Base de Datos Frontal Web

Una caracterstica muy importante es que OSSIM tambin puede recibir eventos de dispositivos comerciales o aplicaciones personalizadas gracias a una serie de plugins configurables, tanto especficos como genricos. Tambin se pueden instalar motores de correlacin en todos los Sensores, permitiendo correlacin o filtrado a un bajo nivel, as como la implementacin de polticas de Consolidacin de eventos (para reducir drsticamente el ancho de banda). Sensor.

43

Los sensores son desplegados en diferentes redes para monitorizar su actividad. Generalmente los sensores contienen: Detectores de bajo nivel y monitores que pasivamente (sin afectar al rendimiento de la red) recolectan datos buscando patrones. Escneres que pueden buscar vulnerabilidades en la red activamente (realizando conexiones). Tambin suelen incluir el Agente OSSIM que recibe datos de mquinas de la red, como por ejemplo un router o firewall y se comunica con su servidor de gestin padre para enviarle eventos. Servidor de Gestin El Servidor de gestin realiza al menos las siguientes funciones: Una serie de tareas principales tales como son Normalizar, Priorizar, Recolectar, Evaluar el Riesgo, y ejecutar el Motor de Correlacin. El mantenimiento y las tareas externas, tales como backups, backups programados, inventario online o lanzamiento de escaneos. Base de Datos. La BBDD almacena eventos e informacin til para la gestin del sistema. Es una base de datos SQL. Frontal. El Frontal o Consola es la aplicacin de visualizacin y gestin de los datos, en este caso un frontal web. 44

Reportes: OSSIM incluye una gran cantidad de reportes de seguridad para el anlisis tanto en tiempo real como forense: Mtricas a Medida. Mtricas de Riesgo. Consola Forense. Reportes de Seguridad. Reportes de Anomalas. Reportes de Disponibilidad. Reportes de Uso y Perfiles de Red.

Funcionalidad. El camino que recorren los paquetes consta de varias fases, pudiendo tener cada una de ellas diferentes sub-fases: 1) Detectores. i) Detectores por Patrones: OSSIM incluye algunos detectores por patrones de cdigo abierto que se instalan en los Sensores. El detector bsico por patrones incluido dentro de OSSIM es el NIDS (Network Intrusion Detection System) Snort. ii) Detectores externos: OSSIM tambin incluye un Sistema Recolector que permite la obtencin de datos de otros muchos dispositivos externos.

45

iii) Detectores por Anomalas:. Los siguientes productos de cdigo abierto estn compilados en OSSIM y son utilizados para la deteccin por anomalas: Spade detecta conexiones inusuales en los puertos y direccionamientos utilizados Plugin Aberrant behaviour (comportamiento aberrante) de Ntop aprende los parmetros de uso normales y alerta cuando no se comportan en la manera predicha. Arpwatch se utiliza para detectar cambios de MAC. P0f se usa para detectar cambios en el S.O. Pads y Nmap detectan nuevos servicios de red que puedan aparecer o cambiar. 2) Monitores. i) Perfiles de uso y Monitorizacin de Sesiones: Los monitores de OSSIM crean un Perfil de uso para cada mquina en la red con la siguiente informacin: Informacin de uso de red de la mquina, tal como el nmero de bytes transmitidos a lo largo del tiempo. Informacin de actividad de los servicios, como por ejemplo el uso de mail o http. La monitorizacin en tiempo real de las sesiones proporciona una instantnea de la situacin de las sesiones en las que ha participado cada mquina.

46

OSSIM proporciona estas tres capacidades de monitorizacin utilizando el monitor pasivo de Ntop, que puede actuar como un sniffer y ver la situacin de la red con el grado ms alto de detalle. ii) Flows (flujos): OSSIM tiene un plugin que permite implementar flujos con fprobe en sus Sensores, siendo la informacin visualizada dentro de Ntop. iii) Monitores de Disponibilidad: OSSIM incluye el monitor de disponibilidad Nagios, capaz de comprobar, mostrar e informacin de mquinas y redes que no estn disponibles. Incluye tambin un plugin capaz de recolectar e incluir estos eventos en la correlacin, los informes y los procesos de toma de decisiones. iv) Monitores personalizados: Existe un plugin que hace posible el crear un Monitor Personalizado para extraer cada parmetro que queramos reunir, filtrar o consolidar, y enviar esta informacin al Servidor para que sea analizada por procesos de ms alto nivel.

3) Escneres de Vulnerabilidades OSSIM incluye el escner de seguridad Nessus 2.X, el ms completo y ampliamente distribuido. ste escner puede ser instalado en cada uno de los sensores desplegados o en un servidor central. Los escaneos pueden ser lanzados automticamente mediante un programador de tareas. Los informes individuales con recogidos desde el servidor central, manteniendo as OSSIM una lista de vulnerabilidades para cada mquina de manera que la Correlacin Cruzada pueda ser llevada a cabo por el Motor de Correlacin.

47

4) Inventariado Automtico. El inventariado automtico se realiza a nivel de los sensores con los detectores pasivos que pueden ver todo el trfico. Este mecanismo de inventariado est tambin implementado en el servidor gracias a los escneres de red que pueden encontrar mquinas y servicios activamente desde un punto central. Ambos mtodos alimentan automticamente la base de datos de inventario con la siguiente informacin: Tipo de S.O. y Versin. Tipo de Servicio y Versin. Direcciones MAC e IP.

OSSIM implementa inventariado automtico usando los siguientes programas de cdigo abierto:

Nmap como un escner de red (sin necesidad de instalar Agente). P0f como un detector de S.O. pasivo (sin necesidad de instalar Agente). Pads como un detector pasivo de servicios (sin necesidad de instalar Agente). Arpwatch como un detector pasivo de cambios ARP (sin necesidad de instalar Agente). OCS como un Agente.

Es de resaltar que usando estas tcnicas, sin instalar ningn Agente, el tipo de S.O. y la informacin de la versin detectada es nicamente aproximada debido a los mtodos de suposicin utilizados. Es en el lado del servidor donde la informacin puede ser insertada o cambiada manualmente.

48

5) Sistema de Coleccin. El proceso de recoleccin unifica los eventos de seguridad de todos los sistemas crticos de la organizacin en un nico formato en una sola consola. Con esos eventos unificados seremos capaces de observar todo lo relacionado con el estado de la seguridad en un momento particular del tiempo vengan de donde vengan; un Router un firewall, un IDS o un servidor UNIX- en la misma pantalla y con el mismo formato. La recoleccin de datos puede hacerse de dos formas en la parte del sensor: Enviando los datos desde la mquina a ser analizada, usando un protocolo nativo, al Sensor ms cercano que actuar como concentrador. Instalando agentes en la mquina a ser analizada, los cuales enviarn informacin al sensor. Escoger un mtodo u otro depender normalmente de la capacidad de las mquinas de enviar datos hacia el exterior y de lo que se quiera analizar. 6) Correlacin: La correlacin se realiza de formas diferentes: Correlacin Lgica: El principal propsito de la correlacin lgica es buscar evidencias para comprobar si un evento de seguridad (o un conjunto de ellos) es verdad o es un falso positivo. El motor de correlacin lgica de OSSIM tiene como caractersticas: Origen hbrido, aceptando informacin de entrada tanto de los patrones de los detectores como de los indicadores de los monitores.

49

Arquitectura recursiva ya que la salida sern eventos que pueden ser correlacionados de nuevo por otras directivas de correlacin.

Arquitectura jerrquica distribuida, ya que podemos definir n niveles de correlacin en una topologa distribuida. Definiciones flexibles orientadas a objetos y a rangos de tiempo para el escenario de cada directiva.

Correlacin Cruzada: La correlacin cruzada permite priorizar o despriorizar eventos para los que sabemos que un activo determinado es (o no) vulnerable, cruzando la informacin de los detectores y los escneres de vulnerabilidades. La correlacin cruzada de OSSIM depende de bases de datos de vulnerabilidades y de tablas de correlacin cruzada para cada detector. OSSIM utiliza la base de datos de vulnerabilidades de OSVDB y actualmente incluye tablas de correlacin cruzada para el IDS Snort y para Nessus.

Correlacin de Inventario: Los ataques que se lanzan son siempre contra objetivos con un S.O. y/o servicio especfico. La correlacin de inventario comprueba si la mquina atacada utiliza ese S.O. y/o servicio especfico para el cual se est lanzando el ataque. Si lo utiliza estaremos seguros de que existe un riesgo, pero si no, podemos confirmar que el evento de ataque es un falso positivo. Este tipo de correlacin depende de la precisin del inventario. OSSIM tiene capacidades de realizar inventarios manuales y automticos para ajustar estos detalles.

7)

Gestin del Riesgo.

50

La importancia en trminos de seguridad de un evento depende de los 3 factores siguientes: 1) El valor del activo que sea el destino del ataque, o cunto dinero cuesta. 2) La amenaza representada por cada evento, o cuanto puede daar nuestro activo. 3) La probabilidad de que el evento ocurra. El sistema OSSIM est completamente diseado para manejar estos tres parmetros: 1) Activos. 2) Amenazas (que llamamos prioridades). 3) Fiabilidad. Gracias a ello se producen parmetros de riesgo en tiempo real para cada evento. 8) Respuestas automticas Una vez que recibimos una alarma de un ataque que est teniendo lugar, podemos desencadenar respuestas automticas para llevar a cabo acciones relacionadas con este ataque. Este tipo de acciones, a travs de las respuestas en tiempo real, permite a los administradores ahorrar tiempo. Las respuestas crean acciones predefinidas tales como enviar un email, bloquear la conexin a nivel del firewall, o desactivar el puerto de un switch. Estas acciones utilizan una serie de variables como SRC_IP, DATE, que son sustituidas en tiempo real cuando alguna respuesta utiliza dicha accin.

51

9) Gestin de Incidentes. OSSIM incluye un Gestor de Incidencias que controla la asignacin de tareas que se tienen que realizar debido a las acciones resultantes de los eventos de seguridad. El Gestor de Incidencias permite crear tickets de la mayor parte de las herramientas de informes de OSSIM, tales como el panel de alarmas, la consola forense, las mtricas de riesgo, o las puntuaciones de los paneles informativos. Cada uno de los tickets generados se almacena en la BBDD y una herramienta de bsqueda los filtra. Procesando estos datos, se imprime un Informe de Explotacin de forma automtica y peridica. Es posible tambin mostrar las tendencias e implementar mtricas para medir la situacin en el momento actual, siguiendo la evolucin a travs del tiempo. 10) Informes de Seguridad y Anlisis Forense. Como parte de los Procedimientos de Gestin de Seguridad los administradores deben revisar peridicamente los Informes de Seguridad y efectuar un Anlisis Forense. Informes de Seguridad: Los informes de seguridad se generan automticamente usando informacin de diferentes bases de datos. Estos informes dan una visin general del estado de la seguridad, agregando datos desde diferentes puntos de vista: (i) Eventos estadsticos de seguridad por origen, destino y tipo. (ii) Anomalas. (iii)Informes de IDS de host. (iv) Informes de Vulnerabilidades.

52

Anlisis Forense: La herramienta de anlisis forense es un frontal que gestiona la base de datos de eventos almacenados con una gran cantidad de vistas, permitiendo filtrarlos utilizando cualquiera de los campos de dichos eventos.

SENTINEL Sentinel de Novell proporciona una visin integral y en tiempo real de las actividades de seguridad y conformidad con las directivas de su entorno de TI. Logra una mayor efectividad en la administracin de riesgos, ya que Sentinel supervisa y genera respuestas e informes para los eventos de seguridad y conformidad con las normas de virtualmente cualquier fuente de datos, incluidos los sistemas, dispositivos y las aplicaciones personalizados y de marca. Seguridad automatizada y gestin de conformidad con las normas: En toda la empresa la gestin de un entorno de seguridad de TI distribuido y heterogneo, mediante el uso de herramientas puntuales convencionales es una tarea mayor. Todos los elementos del entorno, incluidos servidores, bases de datos, aplicaciones, cortafuegos, routers, conmutadores y sistemas de prevencin y deteccin de intrusos, producen una multitud de datos que se deben agregar y analizar para tener una perspectiva clara de la seguridad de su organizacin y del estado de conformidad con las normas. Sentinel de Novell reemplaza estos procesos manuales intensivos mediante una supervisin continua y automatizada de los controles de TI y de los eventos de seguridad y conformidad con las directivas. Sentinel correlaciona y analiza los

53

eventos de conformidad con normativas y seguridad de todas las fuentes de datos en su entorno para que pueda identificar los eventos de seguridad en tiempo real y responder con rapidez. La gestin automatizada de respuesta a incidentes le permite documentar y formalizar el proceso de seguimiento, profundizando y respondiendo a los incidentes y violaciones de las directivas, y le brinda una integracin en dos sentidos con sistemas de aviso de incidencias (troubleticketing).

Sentinel le permite reaccionar con prontitud, resolver los incidentes con eficiencia y demostrar a los auditores que sus controles de TI funcionan correctamente. Con Sentinel de Novell, obtiene: Funciones de monitoreo de conformidad con las directivas y administracin de seguridad en tiempo real, automatizadas e integradas en todos los sistemas y redes.

Una infraestructura que permite a las directivas de la empresa impulsar las acciones y normativas de TI. Generacin de documentos e informes de eventos de seguridad, sistemas y acceso en toda la empresa. Solucin de problemas y gestin de incidentes incorporados.

Descripcin del producto Novell Sentinel permite a las organizaciones recoger, monitorizar, relacionar y visualizar informacin sobre los millones de eventos que tienen lugar en su entorno TI todo ello en tiempo real.

54

Con Novell Sentinel, los administradores, auditorias y responsables relacionados dispondrn en el momento de solicitarlo informes actualizados sobre la salud de la compaa en trminos de seguridad y cumplimiento con la normativa vigente. Con Novell Sentinel, el cliente disfruta de una solucin que le permitir reducir costes relacionados con la seguridad de infraestructuras y acceso y costes relacionados con los cumplimientos de legislaciones y normativas. Los sistemas de prevencin de intrusos, cortafuegos, aplicaciones de antivirus, conmutadores y routers generan grandes cantidades de datos todo el tiempo. Pero qu ocurre si su cortafuego indica un problema urgente mientras su Sistema de deteccin de intrusos permanece extraamente silencioso? Cul de los dos est en lo correcto? Cmo responde? Sentinel correlaciona los datos pertinentes y aplica la taxonoma de eventos y relevancia comercial apropiados para alertarle sobre los eventos de los que debe ocuparse. Reducir las falsas alarmas y podr concentrarse en los recursos que necesitan de su atencin. Mediante el uso de reglas empresariales incorporadas puede establecer una configuracin que refleje las directivas y mejores prcticas de su empresa, as como monitorear y hacer un seguimiento del estado de las infracciones y de las acciones para la solucin de problemas. Puede identificar rpidamente las nuevas tendencias o ataques, manipular e interactuar con informacin grfica en tiempo real y desglosar los detalles del historial desde segundos a horas. Adems, la arquitectura de mensajes basada en bus de Sentinel permite una integracin fcil con el Gestor de identidades de Novell y otras soluciones de identidad, seguridad y gestin de acceso. Sentinel usa adems una correlacin incorporada a la memoria para reducir la carga en su base de datos y acelerar el envo de datos de eventos crticos. Sentinel es compatible con las plataformas Windows*, UNIX*, Solaris* y Linux*. Puede conectarse a cualquier dispositivo que se comunique a travs de SNMP, ODBC y otros protocolos estndares.

55

Componentes de Novell Sentinel. El servidor Novell Sentinel tiene como objetivo principal la generacin de un centro unificado de informacin relacionada con eventos que se producen en los sistemas de la compaa. Dicha informacin, a la vez que es monitorizada, es tambin almacenada en una base de datos que puede ser Oracle o MS SQL Server con fines de histrico. Ms en detalle, el servidor Novell Sentinel se compone de los siguientes elementos: iSCALE message bus: Sistema de bus de mensajes patentado responsable de unir a todo el resto de componentes. Correlation engine: Es la parte responsable de ofrecer la posibilidad de relacionar datos tanto de los recibidos de los distintos sistemas conectados como con los existentes en la base de datos de histrico.

Control Center: Herramienta grfica de gestin y control. ActiveViews and Reporting: Herramienta de generacin de vistas para la configuracin del sistema de monitorizacin.

iTRAC remediation work-flow: Sistema de gestin de flujos de aprobacin con el objetivo de permitir la asociacin de posibles remedios (avisar a un responsable, ejecutar un comando, apagar un servicio) en base a posibles incidentes. En este caso, un incidente es la obtencin de un resultado concreto,

56

que nosotros interpretamos como incidencia, procedente de una relacin de datos (Correlation Engine). Collectors: Son los conectores que van a permitir acceder a los sistemas de eventos y registros de cada sistema para que, una vez la informacin traducida, poder gestionar la informacin en un formato comn.

Beneficios: Obtener la visibilidad necesaria para gestionar de forma efectiva, tanto en tiempo como en coste, el entorno de seguridad de la compaa obteniendo as el mejor nivel de efectividad. Detectar y resolver ms rpidamente los posibles incidentes reduciendo as los costes de operacin.

Disponer de los informes y mtricas apropiados de forma rpida y actualizada satisfaciendo cualquier requerimiento por auditoria o cumplimiento de legislacin.

Optimizar los ya reducidos recursos existentes mediante la eliminacin de tediosos procesos manuales de recopilacin de datos utilizando en su lugar sistemas automticos de monitorizacin y anlisis de procesos.

Especificaciones tcnicas.

57

Sentinel puede instalarse en tres sistemas operativos: Linux, Windows y Solaris (UNIX). Para obtener un rendimiento ptimo, se recomiendan las especificaciones que se indican a continuacin: Sistemas operativos. Se garantiza la compatibilidad de los componentes de Sentinel 6 (incluida la base de datos) con los siguientes sistemas operativos: SUSE Linux Enterprise Server 9 con el ltimo Support Pack SUSE Linux Enterprise Server 10 con el ltimo Support Pack Red Hat Enterprise Linux 3, actualizacin 5 ES (x86) Sun Solaris 9 (clster de parches recomendado, de fecha 03/05/05) Sun Solaris 10 Windows 2003 Standard o Enterprise Edition SP1 Windows XP SP1 (para centro de control de Sentinel, generador de recopiladores y gestor de datos de Sentinel nicamente) Windows 2000 SP4, Standard o Enterprise Edition (para centro de control de Sentinel, generador de recopiladores y gestor de datos de Sentinel nicamente) Bases de datos. Se garantiza que Sentinel 6 se puede ejecutar con las siguientes bases de datos: Oracle 10g Enterprise Edition (v 10.2.0.3 con el parche crtico de Oracle 5881721) Oracle 9i Enterprise Edition (v 9.2.0.7 p. 5490841) Microsoft SQL Server 2005 SP1 de 32 bits (v.9.00.2047), Standard o Enterprise Edition

58

Microsoft SQL Server 2005 de 64 bits (v.9.00.2047), Standard o Enterprise Edition

Servidor de informes. El servidor de informes compatible es Crystal Enterprise Server XI R2, que se puede ejecutar en cualquiera de las siguientes plataformas en el entorno de Sentinel 6: Windows 2003 SP1 Server, Standard o Enterprise Edition

Base de datos Crystal en Microsoft SQL 2005 Base de datos Crystal en MySQL Base de datos Crystal en MySQL

Red Hat Enterprise Linux 3, actualizacin 5 ES (x86)

SUSE Linux Enterprise Server 9 SP2 (x86)

Pilas (stacks) compatibles. Novell admite la instalacin de componentes de Sentinel 6 en cualquiera de los sistemas operativos compatibles. Adems, el entorno puede ser mixto (Linux, Solaris y Windows), con algunas excepciones y salvedades: Collector Builder (slo funciona en plataformas Windows)

Crystal Enterprise Server.

No se puede ejecutar en Solaris No se puede ejecutar en Windows 2000 en un entorno de Sentinel 6 No se puede ejecutar con MSDE como base de datos en un entorno de Sentinel 6

59

Base de datos.

Debe ser SQL Server si Sentinel Server funciona con Windows Debe ser Oracle si Sentinel Server funciona con Linux o Solaris (no con Windows) El entorno de Sentinel 6 no admite la ejecucin de Oracle sobre Windows

Servicio de acceso a datos (DAS).

No se puede utilizar la autenticacin de Windows si DAS se instala en un entorno mixto en el que el servicio de acceso a datos se ejecuta sobre Windows y la base de datos es Oracle o DAS se ejecuta en UNIX o Linux y la base de datos es SQL Server.

Actividad n 4 Seleccin de la herramienta de monitorizacin. En la actividad anterior, se desgloso la informacin y los detalles tcnicos de cada una de las herramientas. Se pudo determinar la funcionalidad y la capacidad de gestin y monitoreo de estas. Informacin necesaria para poder realizar comparaciones y as, seleccionar la herramienta de monitorizacin.

60

En esta actividad, la ms importante fue la escogencia de la herramienta con mejores prestaciones, capacidad de monitoreo y la factible implementacin y adaptacin a los equipos del segmento de la red en estudio. Es por esto que la seleccin se enfoco en dos puntos esenciales; la comparacin de herramientas evaluando sus capacidades tcnicas y los requerimientos expuestos anteriormente por parte de la gerencia.

El primer esquema de comparacin se baso en la capacidad de Monitorizacin de los factores ambientales de los equipos por parte de las herramientas. Se compararon las herramientas bajo los parmetros de temperatura, Humedad y Potencia. Tabla 7- Capacidad de monitorizacin de factores ambientales Herramientas RSA EnVision OSSIM SENTINEL Temperatura No Si No Humedad No Si No Potencia No Si No

Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Ayala Juan (2011).

OSSIM a travs de la herramienta Nagios tiene la capacidad de instalar plugins para la medicin de estos parmetros en los dispositivos de la red. RSA EnVision y SENTINEL no tienen la capacidad de realizar este tipo de medicin.

Los parmetros de

disponibilidad como la carga de procesador y todos los

aspectos que determinan a esta, los puertos, la memoria y los servicios, son los que permitieron realizar la comparacin de las herramientas para establecer esta capacidad de monitorizacin.

61

Tabla 8- parmetros de disponibilidad Herramientas RSA EnVision OSSIM SENTINEL Carga Procesador Si Si Si Si Si Si Si Si Si Si Si Si Puertos Memoria Servicios

Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Ayala Juan (2011).

Tanto RSA EnVision como OSSIM y SENTINEL, tienen la capacidad de realizar una monitorizacin de estos parmetros que determinan a la disponibilidad como variable de los procesos de monitorizacin de redes. El trfico de red como variable a monitorizar, est comprendida por diferentes factores como la sealizacin de tipos de trficos, anlisis de estos trficos, las estadsticas enmarcadas en el trfico de la red, los flujos que generan los dispositivos de la red y la categorizacin de estos dispositivos en la red. La comparacin se realizo basada en estos parmetros.

Tabla 9- factores del trafico de red Herramientas Tipo de Trfico RSA EnVision OSSIM SENTINEL Si No Si Si Si Si Si No Si Si Si Anlisis de trfico IP Si Estadstica del trfico No No Si Flujos Categorizacin

Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Ayala Juan (2011). 62

RSA EnVision permite generar una clasificacin de los tipos de trficos de la red, tambin genera la estadstica del uso de la red y la categorizacin de todos los dispositivos de la red. OSSIM cumple con todos los requerimientos para la monitorizacin del trfico de red. SENTINEL no cumple con dos aspectos del trfico de red, la monitorizacin del trfico de red y la captacin de flujos de la red. El ltimo esquema de comparacin se baso en la capacidad de monitorizacin de las anomalas de la red. Los parmetros que determinaron la comparacin son la deteccin de ataques a la red, la deteccin de usos anormales de equipos, servicios, conexiones, puertos de la red y la deteccin de cambios de todos los dispositivos que comprende esta. Tabla 10 Capacidad de monitorizacin de anomalas de la red Herramientas RSA EnVision OSSIM SENTINEL Ataques Si Si Si Uso Si Si Si Cambios Si Si Si

Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Ayala Juan (2011).

Como sistemas SIEM, cada una de estas tres herramientas tienen la capacidad monitorizar y detectar ataques a la red. La deteccin de anomalas es un punto esencial en este tipo de sistemas ya que son unos de los eventos de mayor relevancia en la gestin de seguridad de redes. OSSIM se comporta como un SIEM de monitorizacin integral, que abarca todas las reas de la monitorizacin y a su vez, introduce la capacidad de generacin de

63

reporte, correlacin y seguridad de redes. OSSIM proporciona una correlacin de las interfaces de visualizacin y herramientas de gestin de incidentes que facilitan la presentacin de informes, trabajando con un conjunto de activos que se define como anfitriones, redes, grupos y servicios. En cada uno de los esquemas comparativos, la herramienta que cumpli con la totalidad de los requerimientos fue OSSIM. Es por esto, que la herramienta de monitorizacin a elegir para el diseo del sistema de monitorizacin de la red es SIEM OSSIM. 3.3 Resultados. La arquitectura del sistema de monitorizacin est comprendida por tres bloques; El SIEM o servidor de gestin, el sensor y el Logger o base de datos. La capacidad del sistema es determinada por los eventos que puede procesar el SIEM. Para el segmento de produccin se calcula un SIEM que maneje un mximo de 2500 eventos por segundo. El sensor se determina por la capacidad de rendimiento de la red, dando un estimado de un 1Gbps para la capacidad de este elemento. El Logger viene sujeto a la capacidad de procesar los eventos del SIEM, es por ello que una base de datos para 2500 eventos por segundos es la ideal para el sistema. La gerencia de infraestructura y procesos tecnolgicos posee la arquitectura de hardware necesaria para cubrir los requerimientos de Ossim. Tabla 11 Requerimientos de la arquitectura del sistema de monitorizacin Sistema- Capacidad Max EPS Rendimiento SIEM 2500 1Gbps SENSOR LOGGER 2500

64

Eventos Concurrentes Memoria Puertos Red Disco Procesador

10MM 8GB 2 1TB 1 quad Core 16GB 6 1 TB 2 quad Core 8GB 2 1TB 1 Quad Core

Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Ayala Juan (2011).

Gran parte de los requerimientos del sistema estn estipulados en la configuracin y disposicin del sensor de OSSIM, viendo las capacidades de monitorizacin, los detectores del sensor son los siguientes: Detector de Nagios: Monitorizacin de los recursos de hardware (carga del procesador, puertos, memoria). Jerarquizacin de la red, permitiendo distinguir entre host cados y host inaccesibles. Monitorizacin de factores ambientales del equipo (temperatura, humedad relativa, lneas de tensin, voltaje). Informacin de actividad de los servicios. Detector de Ntop: Tipo de trfico de la red. Anlisis IP, ordenamiento y visualizacin del trfico. estadstica tales como orgenes, destinos, puertos, trfico y duracin de las sesiones. Captacin del flujo generado por el equipo. Categorizacin de los activos de la red de acuerdo con SO y usuario.

Detector Arpwatch: Cambios en las direcciones MAC.

La arquitectura del segmento de produccin est comprendida por 9 Switches Cisco Catalyst 3750, 2 Switches Cisco Catalyst 6513, 1 Firewall Cisco ASA 5520, 1

65

Router Cisco 2811 y 9 servicios de red comprendidos en DHCP, BDD Web, Active Directory, DNS int, Antivirus, Aplicaciones Web y DMZ ( Correo, DNS ext, proxy). En un total de 23 equipos de comunicacin. Figura 3 Topologa del segmento de la red de produccin

Fuente: Banco de Desarrollo Econmico y Social de Venezuela. Autor: Ayala Juan (2011).

El sistema requiere que el sensor de Ossim capte todo el trfico de la red. Es necesario la instalacin del sensor a travs de un puerto espejo o port mirroring, el

66

cual se encarga de replicar el trafico de un puerto o de varias interfaces en otro puerto. Los switches Cisco Catalyst tienen la capacidad de realizar un port mirroring o como Cisco lo denomina, Switch Port Analyzer (SPAN).

Para el sensor de Ossim pueda captar la mayora del trafico del segmento de la red, se debe realizar el SPAN en switch que pueda ver toda la red. Bajo la topologa Los switches que tienen la capacidad de ver toda la red, son los switches core catalyst 6513. El SPAN se puede realizar en el Switch Core 1 (SW CORE1). Todas las interfaces conectadas a este Switch pueden ser replicadas en un puerto Ethernet Gigabit, permitiendo obtener un rendimiento ptimo entre el sensor (1Gbps) y el switch core. La figura muestra que el SW CORE 1 posee 18 interfaces operativas en la red. La configuracin del SPAN en el SW CORE 1 queda de la siguiente manera:Switch(config)#monitor session 1 source interface fastethernet 0/1 - 18 both Switch(config)#monitor session 1 destination interface

gigabitethernet 0/1

Configuracin del sistema. Para simplificar la configuracin del gran nmero de herramientas que se incluyen dentro de la instalacin de Ossim la configuracin est centralizada en un nico fichero. Cada vez que se modifique este fichero se deber ejecutar un comando que ser el encargado de aplicar esta configuracin centralizada a cada una de las herramientas incluidas dentro de Ossim.

67

El fichero en que se centraliza la configuracin es el siguiente: /etc/ossim/ossim_setup.conf Podemos editar el fichero con cualquier editor de texto (vim, nano, pico) o bien utilizar una interfaz que permite gestionar la configuracin del fichero. Para arrancar esta interfaz utilizaremos el siguiente comando: ossim-setup Para aplicar los cambios realizados en el fichero de configuracin y generar los ficheros de configuracin para todas las herramientas instaladas deberemos ejecutar el siguiente comando: ossim-reconfig Cambio de Perfil Por defecto la instalacin habilita todos los perfiles en la mquina instalada. Para cambiar el perfil de la mquina deberemos ejecutar el script ossim-setup y escoger la segunda opcin (change profile settings). Dependiendo del perfil que escojamos deberemos configurar unos parmetros u otros: all-in-one: Choose interfaces: Deberemos marcar aquellas interfaces que vayan a utilizarse como interfaces de monitorizacin o escucha, es decir, aquellas que hayamos conectado al port mirroring de nuestra red.

68

Profile Networks: Deberemos introducir las redes que vayamos a monitorizar con esta mquina, en formato CIDR, y separadas por comas, por ejemplo 192.168.0.0/24, 10.0.0.0/8.

OSSIM Sensor Name: Deberemos introducir el nombre que le vamos a dar al sensor instalado en esta mquina (El perfil all-in-one incluye tambin el sensor).

Choose the plugins: Deberemos seleccionar los plugins que queremos habilitar en este sensor, tanto los que son de tipo monitor (Gestionan peticiones de informacin durante la correlacin) como los de tipo detector (Recogida de eventos).

Sensor: OSSIM Sensor Name: Deberemos introducir el nombre que le vamos a dar al sensor instalado en esta mquina (El perfil all-in-one incluye tambin el sensor). Choose interfaces: Deberemos marcar aquellas interfaces que vayan a utilizarse como interfaces de monitorizacin o escucha, es decir, aquellas que hayamos conectado al port mirroring de nuestra red. Profile Networks: Deberemos introducir las redes que vayamos a monitorizar con esta mquina, en formato CIDR, y separadas por comas, por ejemplo 192.168.0.0/24, 10.0.0.0/8. OSSIM Server Ip Address: Deberemos introducir la direccin IP en que se encuentra escuchando el Servidor del despliegue en cuestin. Choose the plugins: Deberemos seleccionar los plugins que queremos habilitar en este sensor, tanto los que son de tipo monitor (Gestionan peticiones de informacin durante la correlacin) como los de tipo detector (Recogida de eventos). Server (Servidor):

69

OSSIM Mysql Server IP Address: Deberemos introducir la direccin IP en que se encuentra instalado el perfil Base de datos. En ese perfil deberemos haber dado permisos para que se puedan realizar conexiones desde esta mquina a la base de datos en cuestin.

OSSIM Mysql Server Port: Puerto de escucha del servidor Mysql, por defecto 3306. OSSIM Mysql Password: Contrasea de la base de datos para el usuario root.

database (Base de datos): OSSIM Mysql Password: Contrasea de la base de datos para el usuario root.

Si nicamente queremos reconfigurar el sistema para cambiar, por ejemplo, los plugins que estamos utilizando deberemos seleccionar el perfil en uso. Para terminar de configurar el sistema no debemos olvidar seleccionar la 5 opcin desde el men principal (apply and save all changes) o bien ejecutar el comando ossim-reconfig. Configuracin de red Las mquinas en que instalamos alienvault open source sim, especialmente en caso de que estemos utilizando el perfil sensor, requieren de una buena configuracin de red. La configuracin de red se define en el siguiente fichero: /etc/network/interfaces Para aplicar los cambios de configuracin realizados en el fichero es necesario reiniciar el servicio de red con el siguiente comando:

70

/etc/init.d/networking restart Una instalacin de ossim deber disponer de una direccin ip esttica para que los diferentes componentes de ossim puedan comunicarse entre s y para realizar tareas de administracin en la mquina. Cada interfaz con direccin ip deber ser configurada en el fichero /etc/network/interfaces como el siguiente esquema: allow-hotplug eth0 iface eth0 inet static address 192.168.1.133 netmask 255.255.0.0 network 192.168.0.0 broadcast 192.168.255.255 gateway 192.168.1.1 dns-nameservers 192.168.1.100 Los parmetros son los siguientes: address: Es la direccin IP de la mquina en la interfaz que estemos configurando, como ejemplo eth0. netmask: Mscara de red de la LAN network: Es la parte de la IP de la mquina comn a todas las mquinas de la red. broadcast: Es la IP a la que se mandan los paquetes que deben recibir todas las mquinas de la LAN. gateway: Direccin de pasarela o puerta de enlace. Se trata de la direccin IP de la mquina de nuestra LAN a travs de la cual salimos hacia el exterior.

71

dns-nameservers: Direccin IP de los DNS que utilizar la mquina para traducir los nombres de mquina a direcciones IP. Se puede colocar ms de un servidor DNS separndolos por coma. Es importante que el DNS en primera posicin sea el DNS interno, en caso de disponer de uno, para que el sistema sea capaz de resolver los nombres de las mquinas de nuestra red antes de enviar los eventos al servidor.

Aquellas interfaces en modo promiscuo no requieren de ninguna configuracin especial.

3.4 Factibilidad Tcnica, Operativa, Financiera y Legal

La gerencia Ejecutiva de Tecnologa de la Informacin, cuenta con el personal tcnico especializado para el desarrollo e implementacin del sistema de monitorizacin de la infraestructura de red. Tambin la gerencia cuenta con los equipos de red necesarios para la puesta en marcha del estudio. Queda de parte de la gerencia, buscar el presupuesto de la compra de las licencias de la herramienta SIEM.

Es importante destacar que el Proyecto de Pasantas Industriales Largas se limita al estudio, planificacin, diseo y documentacin de un sistema de monitorizacin de la infraestructura de red de Bandes.

3.5 Vinculacin de los Resultados con el Perfil de Egreso El diseo de un sistema de monitorizacin de la infraestructura de red de Bandes exigi el desarrollo de su contenido en el mbito tcnico, operativo, administrativo y

72

gerencial. La vinculacin del proyecto con el Perfil del Ingeniero de Telecomunicaciones es netamente directa, debido a que se aplican los conocimientos tcnicos y operativos aprendidos a lo largo de la carrera en materia de comunicaciones, redes de comunicaciones y transmisin de datos. As mismo, el proyecto tambin se relaciona con los conocimientos administrativos y de gerencia de proyectos adquiridos en la ltima fase de la carrera.

73

CONCLUSIONES La infraestructura de red de Bandes requiere un sistema de monitorizacin capacitado para cubrir las necesidades requeridas por la gerencia Ejecutiva de Tecnologa de la Informacin. Para solventar todos estos requerimientos, fue presentada una propuesta de un diseo de un sistema de monitorizacin de la infraestructura de red de Bandes, con el propsito de darle a la gerencia, la informacin necesaria para el futuro desarrollo e implementacin de un sistema de monitorizacin de la infraestructura de red del instituto.

La propuesta se elaboro basndose en una serie de pasos o procedimiento investigativo, fijando como punto esencial, una lnea de base (situacin actual) de la problemtica. Esto ayudo a determinar el desarrollo completo del proyecto. Se logro determinar las actividades a realizar para la obtencin de los resultados.

En primer lugar, se levanto una informacin precisa y concisa de la situacin de la red del banco, dando como resultado la enmarcacin y delimitacin de los elementos de la red a ser utilizados para el desarrollo del sistema. Este paso fue fundamental para la comprensin y ubicacin tangible del proyecto y los requerimientos de la gerencia ejecutiva de tecnologa de la informacin y del sistema de monitorizacin.

Otro punto esencial fue la seleccin del equipo a monitorizar, pasos necesarios para el clculo de las variables y parmetros del sistema. Se analizo las capacidades del hardware de cada equipo o grupos de equipos de la red sumado a una descripcin general de cada elemento. Teniendo como base esta informacin, se establecieron las variables y parmetros del sistema, basados en los requerimientos de la gerencia y en las herramientas de monitorizacin ya existentes en la red.

74

El estudio de las herramientas de monitorizacin fue el eje central del proyecto donde se desgloso la informacin tcnica de cada una de las herramientas presentadas. El desarrollo fue establecido bajo el conocimiento general de las bondades que ofrecen cada herramienta y las necesidades de hardware y red. La seleccin se enmarco en una serie de esquemas comparativos de las herramientas, poniendo como tema, los requerimientos y variables establecidos para el diseo del sistema de monitorizacin de la red.

El diseo del sistema de monitorizacin fue basado en la estructura de OSSIM. El servidor de gestin, el sensor y la base de datos son los elementos que necesita el sistema de monitorizacin para su funcionamiento. El sistema puede gestionar un mximo de 2500 eventos por segundos teniendo una base de datos que soporta todo el grueso de informacin generada. El punto ms importante es el sensor, el cual tiene un rendimiento de 1Gbps dndole una capacidad de coleccin adecuada.

Se establecieron los detectores de OSSIM necesarios para el cumplimiento de los requerimientos. Nagios, Ntop y Arpwatch estn establecidos por el SIEM, como plugins del sistema. La configuracin del sensor en la red se estableci mediante los parmetros o requerimientos de OSSIM.

La elaboracin del proyecto permiti que el pasante desarrollara conocimientos en el rea tcnica, operativa, administrativa y gerencial. El estudio, la planificacin, documentacin y diseo del sistema de monitorizacin le proporcion diferentes beneficios al estudiante, entre los cuales se destacan:

75

Conocimientos de equipos de redes, tecnologas de la informacin, gestin y monitorizacin de redes. Aplicacin de conocimientos en materia de comunicaciones satelitales, electrnica. Desarrollar procedimientos y tareas de manera administrativa y gerencial. Desenvolverse en el ambiente de trabajo, adquiriendo las experiencias de del mismo.

76

RECOMENDACIONES

La Propuesta de Diseo de un Sistema de Monitorizacin de la infraestructura de Red, proporciona la informacin necesaria para determinar las polticas de de la red del banco, Sin embargo, siendo esta propuesta, una dejando las dems Monitorizacin

investigacin tcnica basada en la bibliografa que ofrece los desarrolladores de OSSIM para la implementacin del SIEM gratuitamente, especificaciones tcnicas y otros beneficios de su herramienta sujetas a la compra de una licencia, se sugiere la inclusin en la propuesta de las siguientes recomendaciones:

Desarrollar la propuesta incluyendo otros servicios, que ofrece el SIEM, como la deteccin de intrusos, deteccin de anomalas, monitores pasivos, escner de red y vulnerabilidades.

La compra de la licencia del SIEM, para obtener de todas las capacidades o beneficios administrativos, de gestin y monitorizacin del sistema.

La implementacin del sistema de monitorizacin incluyendo todos los segmentos de la red del banco.

77

REFERENCIAS BIBLIOGRFICAS

Gerometta, Oscar (2007). Principios Bsicos de Networking versin 3.1. Buenos Aires: Autor Bejtlich, Richard (2005). El Tao De La Monitorizacin De Seguridad En Redes. Madrid: Pearson Educac