[Modularit-devel] modularit [repost]

Fabrizio Tivano fabrizio at fuertek.net
Wed Aug 19 14:04:26 WEST 2009 

============================================
Pardona el repost, no vi el CC a la lista!
============================================
Hola Kuko! 


On Wed, 19 Aug 2009 10:31:33 +0100
Miguel Armas <kuko at canarytek.com> wrote:

> Hola Fabrizio!!!
> te contesto despues de un tiempito de vacaciones... ;)
> 

.......lo havia imaginado! :))


> Por cierto, si tienes problemas para entender algo en español dimelo y
> te escribo en ingles ;)
> 

todo limpio, yo puedo entender muy bien español el mi problema es escribir...
....tambien causa del mi teclado US! :)


> El 16 de julio de 2009 12:20, Fabrizio Tivano<fabrizio at fuertek.net> escribió:
> 
> > estoy aquí, dime que hacer! :)
> >...
> > Me gustan muchos los temas de network security y intrusion detection y
> > monitoring, conosco muy bien snort y hace tiempo he hecio el modulo iptables para
> > snortsam (un plugin para snort).
> 
> Un tema que hace tiempo que quiero hacer es integrar algun sistema de
> gestion de seguridad en el entorno de gestion de ModularIT (OSSIM o
> similares)
> 

creo que OSSIM sea uno de los mejores sistema para el tema.

> Relacionado con el tema de la seguridad tenemos varios temas pendientes:
> - Utilizacion de una red de snorts en los firewalls que centralicen
> las alertas en nuestro sistema de gestion. De esta forma podemos
> centralizar las alertas y ver tendencias. No nos vale el envio directo
> de alertas a BBDD porque la conexion puede tener cortes. Hace tiempo
> empece a experimentar con un modulo que almacenaba las alertas en
> local y periodicamente (mediante un cron) volcaba las alertas a una
> BBDD remota, pero lo deje por falta de tiempo. Si tienes experiencia
> con Snort, esto seria MUY interesante
>

muy interesante! poner una red de sensores snort que envien toda 
las infos en una central.

Que modulo era? y en que forma almacenaba las alertas?

donde trabajava antes desarrollamos un protocol de comunicacion
que hacia eso trabajo. exemplo:
-servidor en red que envia keepalive
-cliente en escucha 

quando el cliente (que normalmente era un linux embedded + WIFI) 
se presenta en red y recibe el keepalive del servidor, empeza 
eviando en central todo lo que tiene en el spool.
también usamos este sistema por la sincronización diaria de los servidores,
 algunos de los quales estavan conectados en ISDN.
El sistema enviava piezas de arcivos y despues varios escripts
lado servidor importavan todo en la base de datos central.

el mismo sistema trabajava a revez para tema de upgrade en los clientes remotos.

Claro es que snort ya puede insertar las alarmas en la BBDD y 
por una question de integridad de los datos veria mejor un 
sistema de replicacion tipo: mysql replication.

Por exemplo los sensores podrian guardar
las alertas en la base de datos local, y despues con cron + un script
hacer de forma que las base de datos clientes, vayan replicandose 
con la base de datos central.


> 
> - Integracion de un sistema IDS en host. Ahora uso AIDE, pero se
> podria sustituir por otra cosa (samhain? osiris?) Ademas, si seguimos
> con AIDE hay que afinar la configuracion porque recibimos muchos
> falsos positivos
> 

el aide no lo conosco muy bien, samhain si, pero si ya has empezado 
trabajando con AIDE porque no? 

>
> - Integracion de sistemas de control de seguridad (rootkits, gestion
> de logs, checks activos con nessos/nmap, etc). Si integramos OSSIM no
> hace falta porque ya lo hace...
> 

OSSIM!  :)

> - Definicion de politicas SELinux estrictas para que la maquina solo
> pueda hacer lo que debe hacer. Esta tarea puede ser muy extensa porque
> hay servicios muy especificos (p.ej, la ejecucion de comandos de
> gestion de LDAP desde Samba)
> 

es un trabajo enorme !! lo unico es empezar con paciencia :)
pero creo que pueda eser un gran valor añadido expecialmente 
en tema comercial!

Si te parece bien podria empezare haciendo alcunos test 
con firewall+snort y envio en central, 
puedo instalar una version modularit en una maquina virtual
e jugar un poquito! :)

ciaooo

-- 
Fabrizio Tivano
 Fuertek.NET, "Information Technology en Fuerteventura"
 Mobile: +34 697-313-819
 E-mail: fabrizio at fuertek.net	
 URL1: http://www.fuertek.net
 URL2: http://dns.fuertek.net
 URL3: http://fabriziotivano.fuertek.net

More information about the Modularit-devel mailing list