[bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Monitorización
- From: Albert Casas Granados <frozenset@xxxxxxxxx>
- To: bofhers@xxxxxxxxxxxxx
- Date: Tue, 12 Mar 2013 09:05:39 +0100
Mientras no uses el "maravilloso" Netcool...
Yo en el trabajo puse un Nagios+Cacti para monitorizar, en este caso, la
red del cliente. Poco a poco le he ido poniendo cosillas como ver estados
del HSRP/VRRP con un script bash, recibir snmptraps, un mapa muy muy cutre
con Nagvis... Ademas le puse una interfaz que se llama Check_MK y ha
quedado bastante bien.
Donde hice las prácticas de ASI utilizaban Zabbix, que también está muy
bien, pero no he tenido el honor de montarlo xD
Ahora me habéis puesto los dientes largos con el OSSIM ese...
El 11 de marzo de 2013 17:52, Marcos Lorenzo de Santiago <
aznar.muerete@xxxxxxxxx> escribió:
> Yo en el trabajo uso Centreon, que es una capa por encima de Nagios. Es
> muy completo, puede que demasiado, pero lo hacen franceses y a veces me ha
> tocado leer documentación en franchute para según que configuraciones...
>
> Navíos+cacti elegiría yo.
> El 11/03/2013 17:38, "M. Alex Hermosilla" <sasha.hs@xxxxxxxxx> escribió:
>
> Ya veo, el problema es que la versión community solo se presenta en una
>> iso que lleva de base una debian (pero no puedo instalar en la máquina
>> fisica ninguna sistema)
>>
>> Al final me toca decantarme por esta opción, sin embargo voy a ver si
>> puedo extraer los repositorios porque tenerlo en una maquina fisica y no
>> virtual.
>> Ya os diré si la iso ya lleva integrado un nagios o me toca instalar uno.
>>
>> Gracias por las opciones!
>>
>> 2013/3/11 Feina Centdos <feina102@xxxxxxxxx>
>>
>>> Hola, un "de acuerdo" más a la descripción que se ha hecho de ossim. Si
>>> te decides por esta plataforma piensa que vas a tener que montar un nagios
>>> ya que forma parte de las herramientas que componen el producto.
>>>
>>> La idea de ossim (es un SIEM con una versión opensource y otra
>>> empresarial) es juntar varias herramientas del mundo opensource para cubrir
>>> los diferentes aspectos en la iso27001, entre otras muchas cosas.
>>>
>>> Con nagios cubren la parte de monitorización, con ocsinventory la parte
>>> de inventario, con openvas el analisis de riesgos, con snort, ntop y demás
>>> el anaĺisis del tráfico que pasa por la red y las posibles anomalías (ah! y
>>> un logserver centralizado).
>>>
>>> A partir de todo este maremagum de información (devices, risks, etc,etc)
>>> y diferentes plugins (que recopilan la información de logs y la normalizan
>>> de manera que pueda ser procesada de una manera uniforme dentro del
>>> sistema), construyen un sistema de directivas que permiten establecer
>>> correlaciones del tipo:
>>>
>>> "Si hay 5 intentos de login por ssh al host XXXX (ataque de fuerza bruta
>>> que aparece en el syslog centralizado), riesgo N y un tiempo después hay un
>>> login exitoso de esa misma ip por ssh en ese host ALARMA)
>>>
>>> "Si tengo un equipo con una versión determinada de software/sistema
>>> operativo (obtenido del ocsinventory) y openvas identifica una
>>> vulnerabilidad para esa version ALARMA)."
>>>
>>> "Si el equipo com mac address xx:... esta identificado como máquina
>>> windows y de repente se 'convierte' en un linux..."
>>>
>>>
>>> Ahora has de escoger si decides implementar un sistema de monitorización
>>> (cualquiera de los que te han comentado es perfectamente válido) o si te
>>> decides por probar e implementar ossim (piensa que con este último vas a
>>> tener que configurar nagios,ocsinventory,syslog o equivalente, snort, ntop,
>>> openvas,....)
>>>
>>>
>>>
>>> Saludos!
>>>
>>>
>>>
>>>
>>>
>>> El 11 de marzo de 2013 16:40, vfmBOFH <vfmbofh@xxxxxxxxx> escribió:
>>>
>>> Estoy de acuerdo con Jorge. OSSIM es más una plataforma de
>>>> monitoreo/IDS/Whatever que monitoreo puro y duro.
>>>>
>>>> Si sólo (SOLO) es monitorizar, con algo basado en
>>>> nagios+cacti/munin+rsyslog va que chuta.
>>>>
>>>>
>>>> El 11 de marzo de 2013 16:37, Jorge SoydelBierzo <
>>>> berciano@xxxxxxxxxxxxxxxx> escribió:
>>>>
>>>> OSSIM va más allá de la simple monitorización.
>>>>>
>>>>> Incluye nmap, openvas, ossec, nagios, ocs, snort y unas cuantas
>>>>> herramientas más.
>>>>>
>>>>> Te permite mantener tu inventario de hardware, monitorizar con nagios,
>>>>> gestionar incidentes, controlar y tomar contramedidas con ossec y snort,
>>>>> además puedes usar su syslog para, por ejemplo, enviarle la info que
>>>>> genera
>>>>> el firewall o la vpn, además de que soporta equipos bigip, fortogate,
>>>>> sonicwall y un largo etc.
>>>>>
>>>>> De toda esa info puedes generar informes, establecer políticas nuevas
>>>>> y si le haces llegar todo el tráfico de la red de la oficina, por ejemplo,
>>>>> inspecciona el tráfico y te alerta de intentos de conexión a botnets, p2p,
>>>>> máquinas actualizando software, usando gtalk, o cualquier otra cosa que le
>>>>> indiques que analice.
>>>>>
>>>>>
>>>>>
>>>>> El 11 de marzo de 2013 16:26, M. Alex Hermosilla
>>>>> <sasha.hs@xxxxxxxxx>escribió:
>>>>>
>>>>>> Hola gente,
>>>>>>
>>>>>>
>>>>>> Tengo que hacer un trabajo en la universidad en el que consiste crear
>>>>>> un sistema de monitorización de servidores, maquinas clientes y routers.
>>>>>> Nos proponen que usemos OSSIM, pero no me termina de convencer. Se que el
>>>>>> OSSIM necesita trabajar con heramientas por debajo como puede ser el
>>>>>> nagios. Para esto tengo las siguientes alternativas:
>>>>>>
>>>>>> - Centreon: http://www.centreon.com/
>>>>>> - Nagios: http://www.nagios.org/
>>>>>> - Pandora FMS: http://pandorafms.com
>>>>>> - Icinga: https://www.icinga.org/
>>>>>>
>>>>>>
>>>>>> Pero alternativas para el OSSIM, la verdad es que despues de buscar,
>>>>>> no he encontrado nada.
>>>>>>
>>>>>> A ver si me podeis aconsejar en ambos tipos de monitores.
>>>>>>
>>>>>>
>>>>>>
>>>>>> Saludos y AZIAS DE ANTEBLASO
>>>>>>
>>>>>> --
>>>>>> M. Alex Hermosilla
>>>>>>
>>>>>
>>>>>
>>>>
>>>
>>
>>
>> --
>> M. Alex Hermosilla
>
>
Other related posts:
- » [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Monitorización - Albert Casas Granados
