[Modularit-devel] modularit

[Miguel Armas]

Hola Fabrizio!!!
te contesto despues de un tiempito de vacaciones... ;)

Por cierto, si tienes problemas para entender algo en español dimelo y
te escribo en ingles ;)

El 16 de julio de 2009 12:20, Fabrizio Tivano<fabrizio at fuertek.net> escribió:

> estoy aquí, dime que hacer! :)
>...
> Me gustan muchos los temas de network security y intrusion detection y
> monitoring, conosco muy bien snort y hace tiempo he hecio el modulo iptables para
> snortsam (un plugin para snort).

Un tema que hace tiempo que quiero hacer es integrar algun sistema de
gestion de seguridad en el entorno de gestion de ModularIT (OSSIM o
similares)

Relacionado con el tema de la seguridad tenemos varios temas pendientes:
- Utilizacion de una red de snorts en los firewalls que centralicen
las alertas en nuestro sistema de gestion. De esta forma podemos
centralizar las alertas y ver tendencias. No nos vale el envio directo
de alertas a BBDD porque la conexion puede tener cortes. Hace tiempo
empece a experimentar con un modulo que almacenaba las alertas en
local y periodicamente (mediante un cron) volcaba las alertas a una
BBDD remota, pero lo deje por falta de tiempo. Si tienes experiencia
con Snort, esto seria MUY interesante

- Integracion de un sistema IDS en host. Ahora uso AIDE, pero se
podria sustituir por otra cosa (samhain? osiris?) Ademas, si seguimos
con AIDE hay que afinar la configuracion porque recibimos muchos
falsos positivos

- Integracion de sistemas de control de seguridad (rootkits, gestion
de logs, checks activos con nessos/nmap, etc). Si integramos OSSIM no
hace falta porque ya lo hace...

- Definicion de politicas SELinux estrictas para que la maquina solo
pueda hacer lo que debe hacer. Esta tarea puede ser muy extensa porque
hay servicios muy especificos (p.ej, la ejecucion de comandos de
gestion de LDAP desde Samba)

Salu2!
-- 
Miguel Armas <kuko at canarytek.com>
CanaryTek Consultoria y Sistemas SL
ModularIT http://www.modularit.org/