[Modularit-devel] modularit [repost]

[Miguel Armas]

El 19 de agosto de 2009 14:04, Fabrizio Tivano<fabrizio at fuertek.net> escribió:

>> Relacionado con el tema de la seguridad tenemos varios temas pendientes:
>> - Utilizacion de una red de snorts en los firewalls que centralicen
>> las alertas en nuestro sistema de gestion. De esta forma podemos
>> centralizar las alertas y ver tendencias. No nos vale el envio directo
>> de alertas a BBDD porque la conexion puede tener cortes. Hace tiempo
>> empece a experimentar con un modulo que almacenaba las alertas en
>> local y periodicamente (mediante un cron) volcaba las alertas a una
>> BBDD remota, pero lo deje por falta de tiempo. Si tienes experiencia
>> con Snort, esto seria MUY interesante
>>
>
> muy interesante! poner una red de sensores snort que envien toda
> las infos en una central.
>
> Que modulo era? y en que forma almacenaba las alertas?

Creo recordar que usaba barnyard para almacenar las alertas en
ficheros locales y periodicamente las volcaba a una BBDD. Creo que
para esto usaba el soporte de BBDD de barnyard, pero no lo recuerdo
muy bien, hace mucho tiempo...

> Claro es que snort ya puede insertar las alarmas en la BBDD y
> por una question de integridad de los datos veria mejor un
> sistema de replicacion tipo: mysql replication.

Pero para eso necesitariamos meter MySQL en los sensores y lo ideal es
que fueran lo mas simple posible, aunque si no queda mas remedio se
puede hacer asi...

>
> el aide no lo conosco muy bien, samhain si, pero si ya has empezado
> trabajando con AIDE porque no?
>

Bueno, igual necesitamos algo mas centralizado. Ahora mismo AIDE no
soporta firmar la config y la BBDD asi que lo hago con GPG, y cuando
cambio el fichero de configuracion tengo que entrar en las maquinas y
firmar la configuracion con GPG, es un poco engorroso.

>> - Integracion de sistemas de control de seguridad (rootkits, gestion
>> de logs, checks activos con nessos/nmap, etc). Si integramos OSSIM no
>> hace falta porque ya lo hace...
>
> OSSIM!  :)

Lo has usado? (yo no, pero me han dado buenas referencias). Igual
podemos montar una maquina para ir probando...

>> - Definicion de politicas SELinux estrictas para que la maquina solo
>> pueda hacer lo que debe hacer. Esta tarea puede ser muy extensa porque
>> hay servicios muy especificos (p.ej, la ejecucion de comandos de
>> gestion de LDAP desde Samba)
>>
>
> es un trabajo enorme !! lo unico es empezar con paciencia :)
> pero creo que pueda eser un gran valor añadido expecialmente
> en tema comercial!

Lo se. Pero es uno de los puntos mas importantes ;)

> Si te parece bien podria empezare haciendo alcunos test
> con firewall+snort y envio en central,
> puedo instalar una version modularit en una maquina virtual
> e jugar un poquito! :)

Genial ;)

Salu2!
-- 
Miguel Armas <kuko at canarytek.com>
CanaryTek Consultoria y Sistemas SL
ModularIT http://www.modularit.org/