Laboratório do Curso de OSSIM
1. VISÃO GERAL
O objetivo deste laboratório é permitir que o instruendo implemente o OSSIM(Open Source
SIEM) explorando suas diversas funcionalidades. Antes de descrever como funcionará este
Laboratório, precisamos destacar dois pontos importantes. Primeiro, a implementação de qualquer
SIEM passa pela integração das informações de segurança dos diversos ativos(computadores, servidores, equipamentos) no SIEM, faremos isso neste Laboratório. Segundo, o grande diferencial do OSSIM em relação a outras ferramentas é que ele traz ferramentas de segurança que possibilitam o monitoramento de sua infraestrutura como por exemplo o Snort, Suricata, Pads, P0f, Nagios, Ocsng, Ossec.

Figura 1: Diagrama de rede Cenário 1 – Visão geral
O cenário descrito na figura acima será criado através de máquinas virtuais utilizando o
VirtualBox(https://www.virtualbox.org). O aluno criará a máquina virtual do OSSIM que será utilizada na instalação do mesmo. No diagrama acima fica claro que a Interface 1 do OSSIM está conectada a uma porta que espelha todo o tráfego das demais máquinas virtuais, esse tráfego é analisado pelos monitores do OSSIM. As funções desempenhadas pelas máquinas virtuais estão descritas na tabela abaixo.

Material desenvolvido pelo 3° Sgt Mnt Com Marcio de Souza Oliveira – 7° CTA

1

Nome da máquina virtual

Sistema
Operacional

Computador 01

GNU/Linux
Debian 7

Servidor Windows Windows XP SP3

Servidor WEB

GNU/Linux
Debian 7

PROXY

Principais
Função no Laboratório
Serviços rodando na máquina
Nenhum

Telnet e Web server(Apache) GNU/Linux
Debian 7

Squid/SSH

GNU/Linux
Debian 7

Bind/SSH

Ubuntu 8.04.4

Será monitorada utilizando o cliente
OSSEC e será atacada pela máquina Curinga.

DHCP

10.0.2.1

Terá o log do Apache integrado ao OSSIM por
Apache/SSH/Sam meio de Data Source ba plugin e também será 10.0.2.20 atacada. DNS

METAESPLOIT

Será utilizada para gerenciar o OSSIM.

IP

Terá o OSSEC instalado e será vítima de ataques
da