14
AbstractThis paper presents a security tool integrated into open source covering from detection to generate metrics and reports to an executive level. ResumenEl presente artículo presente una herramienta de seguridad integrada en código abierto que cubre desde la detección hasta la generación de métricas e informes a un nivel ejecutivo. KeywordsSecurity, Detection, Generation Metrics, Reports. Palabras clavesSeguridad, Detección, Generación de Métricas, Informes. I. INTRODUCCION lienVault es el proveedor líder de Gestión de la Seguridad Unificada y amenaza inteligencia multitud de fuentes sus productos están diseñados y desarrollados para garantizar que las organizaciones de medios de mercado pueden defender de manera efectiva contra las amenazas avanzadas de hoy en día. Con la construcción de las mejores herramientas de seguridad de código abierto en una sola plataforma de gestión de seguridad unificada, y luego alimentar la plataforma con up- to-the-minute amenaza inteligencia de AlienVault laboratorios y nuestro abierto Amenaza Cambio -la mayor amenaza de colaboración de intercambio-AlienVault multitud de fuentes del mundo ofrece a sus clientes con una solución unificada, simple y asequible para la detección de amenazas y la gestión del cumplimiento. Mientras que el perfecto escudo deflector amenaza aún no se ha inventado, AlienVault es capaz de proporcionar a sus clientes un producto de detección de amenazas.[1] AlienVault se ofrece como un producto de seguridad que le permitirá integrar en una única consola todos los dispositivos y herramientas de seguridad que disponga en su red, así también como la instalación de otras herramientas de código abierto y de reconocido como Snort, Openvas, Ntop y OSSEC. _______________________________________ J. Guamán, Universidad Nacional de Loja, Loja, Ecuador, [email protected] P. Morocho, Universidad Nacional de Loja, Loja, Ecuador, [email protected] S. Riofrìo, Universidad Nacional de Loja, Loja, Ecuador, [email protected] H. Vivanco, Universidad Nacional de Loja, Loja, Ecuador, [email protected] 1 OSSIM Open Source Security Information Management Una vez los eventos generados por las diferentes herramientas y dispositivos han sido recogidos por el sistema AlienVault, el sistema realiza una valoración de riesgo para cada evento y tiene lugar a la correlación. Durante el proceso de correlación, a partir de una serie de patrones, se generan nuevos eventos para ataques o problemas en nuestra red. Para acceder a toda la información recogida y generada por el sistema hace uso de una consola WEB que además nos permitirá configurar el sistema y ver el estado global de nuestra red en tiempo real. II. OBJETIVO El objetivo de este tutorial es proporcionar al lector una guía paso a paso de como instalar OSSIM. Este documento también le proporcionará conceptos básicos y una breve explicación de la función de cada perfil que una instalación puede adoptar OSSIM. 1 III. FUNCIONAMIENTO BASICO Trataremos mostrar de una forma simple que proceso tienen lugar dentro de OSSIM: Las aplicaciones generan eventos de seguridad. Los eventos son reconocidos y normalizados. Los eventos son enviados a un servidor central. Valoración de riesgo para cada evento. Correlación de eventos. Almacenamiento de los eventos. Acceso a los eventos almacenados. Acceso a la configuración. Acceso a la métrica e informe. Acceso a información en tiempo real del estado de nuestra red. Los eventos de seguridad son generados por las diferentes aplicaciones y/o dispositivos que dispongan en su red. Estos eventos son recogidos y normalizados por el Sensor de OSSIM, quien se encarga además de enviarlo al servidor central. En un despliegue de OSSIM podremos disponer de varios sensores como necesitemos. Como ejemplo, se puede situar un sensor dentro de la DMZ 2 , un sensor en cada ciudad o utilizar un sensor para monitorizar cada una de las redes de la situación. 2 DMZ diseño conceptual de red donde los servidores de acceso público se colocan en un segmento separado, aislado de la red J. Guamán, P. Morocho, S. Riofrío and H. Vivanco Software de Control de Vulnerabilidades Detecciòn de Intrusos AlientVault (OSSIM) Control Software Vulnerabilities Intrusion Detection AlientVault (OSSIM) A

ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

Embed Size (px)

Citation preview

Page 1: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

Abstract— This paper presents a security tool integrated into

open source covering from detection to generate metrics and reports

to an executive level.

Resumen— El presente artículo presente una herramienta de

seguridad integrada en código abierto que cubre desde la

detección hasta la generación de métricas e informes a un nivel

ejecutivo.

Keywords— Security, Detection, Generation Metrics, Reports.

Palabras claves— Seguridad, Detección, Generación de

Métricas, Informes.

I. INTRODUCCION

lienVault es el proveedor líder de Gestión de la Seguridad

Unificada y amenaza inteligencia multitud de fuentes sus

productos están diseñados y desarrollados para garantizar

que las organizaciones de medios de mercado pueden defender

de manera efectiva contra las amenazas avanzadas de hoy en

día. Con la construcción de las mejores herramientas de

seguridad de código abierto en una sola plataforma de gestión

de seguridad unificada, y luego alimentar la plataforma con up-

to-the-minute amenaza inteligencia de AlienVault laboratorios

y nuestro abierto Amenaza Cambio -la mayor amenaza de

colaboración de intercambio-AlienVault multitud de fuentes

del mundo ofrece a sus clientes con una solución unificada,

simple y asequible para la detección de amenazas y la gestión

del cumplimiento.

Mientras que el perfecto escudo deflector amenaza aún no se ha

inventado, AlienVault es capaz de proporcionar a sus clientes

un producto de detección de amenazas.[1]

AlienVault se ofrece como un producto de seguridad que le

permitirá integrar en una única consola todos los dispositivos y

herramientas de seguridad que disponga en su red, así también

como la instalación de otras herramientas de código abierto y

de reconocido como Snort, Openvas, Ntop y OSSEC. _______________________________________ J. Guamán, Universidad Nacional de Loja, Loja, Ecuador,

[email protected] P. Morocho, Universidad Nacional de Loja, Loja, Ecuador,

[email protected] S. Riofrìo, Universidad Nacional de Loja, Loja, Ecuador,

[email protected] H. Vivanco, Universidad Nacional de Loja, Loja, Ecuador,

[email protected]

1 OSSIM Open Source Security Information Management

Una vez los eventos generados por las diferentes

herramientas y dispositivos han sido recogidos por el sistema

AlienVault, el sistema realiza una valoración de riesgo para

cada evento y tiene lugar a la correlación. Durante el proceso

de correlación, a partir de una serie de patrones, se generan

nuevos eventos para ataques o problemas en nuestra red. Para

acceder a toda la información recogida y generada por el

sistema hace uso de una consola WEB que además nos

permitirá configurar el sistema y ver el estado global de nuestra

red en tiempo real.

II. OBJETIVO

El objetivo de este tutorial es proporcionar al lector una guía

paso a paso de como instalar OSSIM. Este documento también

le proporcionará conceptos básicos y una breve explicación de

la función de cada perfil que una instalación puede adoptar

OSSIM.1

III. FUNCIONAMIENTO BASICO

Trataremos mostrar de una forma simple que proceso tienen

lugar dentro de OSSIM:

Las aplicaciones generan eventos de seguridad.

Los eventos son reconocidos y normalizados.

Los eventos son enviados a un servidor central.

Valoración de riesgo para cada evento.

Correlación de eventos.

Almacenamiento de los eventos.

Acceso a los eventos almacenados.

Acceso a la configuración.

Acceso a la métrica e informe.

Acceso a información en tiempo real del estado de

nuestra red.

Los eventos de seguridad son generados por las diferentes

aplicaciones y/o dispositivos que dispongan en su red. Estos

eventos son recogidos y normalizados por el Sensor de OSSIM,

quien se encarga además de enviarlo al servidor central. En un

despliegue de OSSIM podremos disponer de varios sensores

como necesitemos. Como ejemplo, se puede situar un sensor

dentro de la DMZ2, un sensor en cada ciudad o utilizar un sensor

para monitorizar cada una de las redes de la situación.

2 DMZ diseño conceptual de red donde los servidores de acceso público se

colocan en un segmento separado, aislado de la red

J. Guamán, P. Morocho, S. Riofrío and H. Vivanco

Software de Control de Vulnerabilidades Detecciòn de

Intrusos AlientVault (OSSIM)

Control Software Vulnerabilities Intrusion Detection

AlientVault (OSSIM)

A

Page 2: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

El sensor de OSSIM incluye una serie de herramientas

(Snort, Ntop, Tcptrack, Arpwatch...) que permiten analizar todo

el tráfico de red en busca de problemas de seguridad y

anomalías. Para sacar provecho de la funcionalidad de OSSIM

es imprescindible que el sensor sea capaz de ver todo el tráfico

de la red, bien sea utilizando concentrador, o configurando por

un port mirroring o port Span en la electrónica de la red.

Todos los sensores de OSSIM envían sus eventos al servidor,

que se encarga de efectuar una valoración de riesgo para cada

evento, y en el que también tendrá lugar el proceso de

correlación. Una vez estos dos procesos han tenido lugar, los

eventos son almacenados en la base de datos de OSSIM.

Para tener acceso a toda esta información, así como a la

configuración del sistema y una serie de métricas e informes

haremos uso de la consola WEB de OSSIM. Desde esta consola

Web también tenemos acceso a información en tiempo real a

una serie de aplicaciones que nos facilitarán el análisis del

estado global de nuestra red.

IV. PERFILES DE INSTALACION

Dependiendo de la función del nuevo host en el que

despliegue OSSIM es posible configurar el perfilen uso. Esto

puede ser configurado durante la instalación o después de ella.

Por defecto la instalación automatizada permitirá a todos los

perfiles en el mismo equipo.

SENSOR

El perfil del sensor habilitara a ambos, los detectores

de OSSIM y el colector. Los detectores siguientes

están activados por defecto:

Snort (IDS a nivel de red)

Ntop (Monitoreo de red y uso)

Openvas (Gestión de vulnerabilidad)

POF (Sistema pasivo de detección pasiva)

Pads (Sistema pasivo de detección de

activos)

Arpwatch (Anomalía de cambio de Mac)

OSSEC (IDS a nivel de host)

Osiris (Monitor de integridad)

Nagios (Monitor de disponibilidad)

OCS (Inventario)

Una vez que el perfil de sensor ha sido activado, usted puede

desactivar el detector de manera que solo se mantiene la

funcionalidad de la colección.

Para obtener beneficios de las capacidades de detección de

esas herramientas, tendremos que configurar la red en el sensor

de OSSIM de modo que:

Tiene acceso a la red que está supervisando

Escáner de vulnerabilidad, control de disponibilidad,

WMI Agente-Less collection, Colección Syslog.

Recibe todo el tráfico de la red. Es necesario

configurar un port mirroring/portspan o hacer uso de

un concentrador (HUB) o Network tap.Snort, Ntop,

Arpwatch, Generación de Flujos, Pads, P0f…

El perfil del Sensor configura el sistema para que esté listo

para recibir eventos de hosts remotos usando el protocolo

Syslog. Cada aplicación o dispositivo tendrá un plugin asociado

3 SIEM (perfiles personales de un usuario)

(conector DS) que define cómo recoger los sucesos de la

aplicación o dispositivo, así como cómo los acontecimientos

que deberían normalizarse antes de enviarlos al servidor central

de OSSIM.

Un despliegue puede tener tantos sensores como le sea

necesario, básicamente en función de las redes que están siendo

controladas y sobre la distribución geográfica de la

organización que será objeto de seguimiento utilizando OSSIM.

Por lo general, es necesario configurar un sensor por red, pero

si instalamos más de un interfaz de red y en rutamos el tráfico

o configuramos un port-mirroring sobre él, podremos

monitorizar más de una red en el mismo sensor.

SERVER

Esta instalación combina los perfiles SIEM3 y el

componente Logger. Los sensores se conectarán al

servidor de OSSIM para enviar los eventos

normalizados. Los despliegues simples incluirán un

Servidor único en el despliegue. Más despliegues

complejos podrían tener más de un Servidor con

diferentes roles, o en caso de que sea necesario para

implementar el Servidor de OSSIM con alta

disponibilidad.

FRAMEWORK

El perfil de Framework instalará y configurará el

componente de la interfaz de Gestión Web. Una única

interfaz de Gestión Web será desplegada en cada

instalación OSSIM. Más despliegues complejos con

múltiples Servidores OSSIM pueden tener más de un

equipo con el perfil de Marco habilitado. El

Framework es el perfil de instalación que utiliza la

menor cantidad de memoria y CPU. Por esta razón, el

Framework se suele instalar con el perfil de Servidor.

DATABASE

El perfil Database permitirá a una base de datos

MySQL almacenar la configuración y eventos (Si la

funcionalidad SIEM está en uso). Por lo menos una

base de datos se requiere en cada despliegue. Incluso

si sólo el perfil SIEM es habilitado, una base de datos

será necesaria para almacenar la información de los

inventarios y los parámetros de configuración.

ALL-IN-ONE

El perfil all-in-one habilitará a todos los perfiles en un

solo equipo. Este es el perfil de instalación por defecto

y se activa si el usuario realiza una instalación

automatizada.

V. INSTALACION OSSIM

Para empezar vamos a instalar OSSIM de 64 bits en

VMware, creamos una máquina virtual nueva. Damos click en

nueva máquina virtual y nos aparece el asistente de instalación

le damos click en instalación typical o recomendad y damos

click en next. (la diferencia entre 32 bits y 64 bits es notable por

lo que se recomienda instalar en sistemas de 64 bits, para la

Page 3: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

versión 4.8 que estaremos usando la arquitectura ya es solo para

sistemas de 64 bits).

Figura 1. Instalación De OSSIM

El siguiente paso es montar la imagen ISO4 para eso le damos

la ruta de la imagen y damos click en next.

Figura 2. Montar iso

El siguiente paso es asignarle el nombre a la máquina, en

este caso es OSSIM. Y damos click en next.

4 ISO: Un archivo donde se almacena una copia o imagen exacta de un

sistema de ficheros

Figura 3. Nombre a la Maquina

El siguiente paso es asignarle la capacidad del disco en este

caso son 20 GB, además nos pregunta almacenar discos

virtuales en un archivo único o dividir disco virtual en varios

discos. Le damos click en la segunda opción y damos click en

next.

Figura 4. Capacidad de Disco

El asistente nos muestra el nombre de la máquina,

ubicación, versión del VMware, sistema operativo etc. Damos

click en personalizar de la máquina virtual pues aquí podremos

cambiar el tamaño de la memoria ram asignada y el numero de

procesadores que deseemos aunque esto también se puede hacer

una vez creada la maquina virtual

Page 4: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

Figura 5. Detalles de la Maquina y Personalización de la misma.

En este paso empezamos la instalación de OSSIM, nos pregunta

que opción de instalación, damos click en la segunda opción y

damos enter.

Figura 6. Elegir que opción queremos instalar.

El siguiente paso es asignarle el idioma al sistema en este

caso Español y damos click en continúe.

Figura 7. Elegir idioma

El siguiente paso es asignar la zona o región a la que se

pertenece en este caso Ecuador y damos click en continúe.

Figura 8. Asignar Zona

El siguiente paso es asignarle la distribución del teclado en

este caso es Latinoamericano y damos click en continúe.

Figura 9. Asignar Distribución del Teclado

Lo siguiente es esperar unos segundos:

Figura 10. Esperar

El siguiente paso es asignarle la dirección IP del servidor en

este caso es 192.168.22.4 y damos click en continúe.(esta ip

podrá luego ser cambiada por lo que no debemos

Page 5: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

preocuparnos por ahora, aunque el cambio de IP una vez

instalado el servidor suele demorar unos minutos).

Figura 11. Asignar Dirección IP al Servidor

El siguiente paso es asignarle la máscara a la red en este caso

es 255.255.255.0 y damos click en continúe.

Figura 11. Asignar Mascara de Red

El siguiente paso asignarle la pasarela de red que nos indica la

dirección IP del encaminador en este caso es 192.168.22.1 y

damos click en continúe

Figura 12. Dirección IP de Encaminamiento

El siguiente paso es configura el reloj seleccionamos la zona

horario, (es recomendable poseer conexión a internet para la

puesta del reloj) y damos click en continúe

Figura 13. Configurar Reloj

En el siguiente paso es asignar la clave al usuario root,

asignamos la clave y damos click en continuar.

Figura 14. Asignar clave al usuario ROOT

Lo que vemos a continuación es la configuración y el

levantamiento de los servicios.

Figura 15. Configuración y Levantamiento Servidores

Page 6: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

Ya totalmente instalado nos pide el usuario y la contraseña.

Figura 16. Usuario y Contraseña

Como vemos a continuación el servidor está listo para

empezar la configuración, con eso llegamos al final de la

instalación.

Figura 17. Listo Configurar Servidor

El siguiente paso es ingresar a la plataforma desde

cualesquier navegador que tenga conexión al servidor de

AlienVault OSSIM(recordamos la IP que le dimos en la

instalación y la colocamos).

Como recordaran la ip en la instalación fue 192.168.22.2, ahora

con estos datos mi cliente no puede acceder puesto que la

dirección ip antes mencionada está mal configurada ya que la

dirección de mi PC el que hospeda la máquina virtual que

creamos está en la red 192.168.1.0, y para que exista

comunicación entre la máquina virtual y la computadora real,

debe estar dentro de la misma red sin antes olvidar cambiar la

conexión de la máquina virtual a brigte, una vez hecho esto

podemos cambiar la ip del servidor OSSIM, en este caso la

nueva ip será 192.168.1.9, echo esto ya podremos ingresar a la

plataforma.

Figura 18. Plataforma Navegador

Al ser la primera vez que nos conectamos a la plataforma esta

nos muestra un formulario el cual llenaremos con los datos

correspondientes y simplemente dares clic en START USING

ALIEVAULT

Y listo la magia se ha hecho realidad ahora ya podemos ver

cómo el OSSIM. Mientras vemos la página de cuadros de

mando en el apartado de información general.

Figura 19. OSSIM

VI. INTERFAZ OSSIM 4.8 [2]

Figura 20. Interfaz OSSIM

1. Utilidad de menú : Bienvenido; Configuración; Salir.

2. Menú Principal: análisis;; Medio Ambiente;; informes

y Botones de configuración.

3. Ayuda Button.

4. Menú secundario relacionado con una funcionalidad

específica. Este secundario menú cambia

dependiendo de lo que la opción está activada.

5. Bandeja de Notificación. Se accede a esta

información a través de hacer clic en la pestaña

derecha.

Page 7: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

UTILIDAD DE MENÚ

Esta área incluye los siguientes botones:

Figura 21. Botones Menu.

"Bienbenido <USUARIO>". Este campo es

informativo y se utiliza para saber cuál es el nombre

de usuario del usuario que actualmente ha iniciado la

sesión en que es.

"Configuraciones"

“Soperte”

“Salir”:

NOTA: Botones que su nombre se describen muy bien.

MENÚ PRINCIPAL

El menú principal incluye las siguientes opciones:

Figura 22. Menú Principal.

A continuación, hay una explicación de cada uno de estos

menús desplegables en las siguientes secciones

Figura 23. Cuadro del Mando (Menú Desplegable)

INFORMACION GENERAL: Esta opción se utiliza

para ver los diferentes paneles que muestran el estado

del sistema y alarmas generadas. Se trata de un menú

por defecto.

ESTADO DE DESPLIEGUE

Figura 24. Estado Despliegue

"CUADRO DE MANDO". Permite al usuario tener

visibilidad sobre las ubicaciones con sensores, activos

y red.

"AVISOS y ERRORES ". Muestra los detalles,

advertencias y mensajes de error.

Alien Vault supervisa sí para tratar de detectar los

posibles problemas que se producen durante el

funcionamiento normal. Estos problemas vienen en

forma de mensaje.

MAPA DE RIESGOS

Figura 25. Mapa Riesgos

"INFORMACION GENERAL". Permite al usuario

visualizar el estado del activo dentro del mapa

seleccionado.

"GESTIONAR MAPAS". Esta opción se utiliza para

gestionar mapas. Hay mapas configurados y, además,

es posible cargar nuevos mapas. Los mapas pueden ser

editados; en Establecer como predeterminado;

nombre cambiado y propietario;, y también se pueden

eliminar.

OTX

Esta opción permite a los usuarios visualizar

gráficamente, en un mapa, amenazas. En realidad, son

IP direcciones que pertenecen a los hosts que están

atacando o haciendo cosas peligrosas en su propia

actividad. Estas direcciones IP son proporcionados por

AlienVault, así como por todo el mundo. Cada usuario

puede participar y contribuir a AlienVault OTX por

medio del

Notificación Ambiente Bandeja / Snapshot:

Figura 26. Snapshot

Page 8: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

ANALISIS DEL (Menu Desplegable)

Figura 27. Menú Desplegable.

"ALARMAS". Cualquier evento con un riesgo de 1

o mayor es una alarma. Si un evento tiene un muy

alto prioridad, que se puede transformar en una

alarma. Además, varios eventos con prioridad baja

puede generar una alarma debido a que las

directivas de correlación son capaces de aumentar

el riesgo de los eventos juntos. El panel de alarma

se muestran todas las alarmas generadas en

AlienVault USM. Cada usuario sólo puede ver las

alarmas que pertenecen a los hosts que están

autorizados para controlar y basadas en el usuario

permisos. Es posible buscar y filtrar las búsquedas.

Además, es posible visualizar alarmas agrupadas.

"EVENTOS (SIEM)". Esta opción se utiliza para

visualizar la secuencia de eventos que provocado la

alarma. El usuario puede hacer un análisis forense

de todos los eventos que se han procesada por el

servidor de AlienVault. La base de datos de eventos

de seguridad está diseñado para una rápida y

análisis versátil, que se requiere para la detección y

la respuesta de los ataques.

" LOGS". El logger permite al usuario almacenar un

gran volumen de datos al tiempo que garantiza su

admisibilidad como prueba en un tribunal de

justicia. El registrador proporciona una base de

datos adicional que está dirigido específicamente

para masiva, almacenamiento a largo plazo y

archivo forense. Es también la recopilación de datos

en bruto, firma digitalmente y marcas de tiempo de

los datos. Los datos son con seguridad almacenado

y conservado su integridad.

"TICKETS". Un billete es un elemento dentro de

AlienVault USM, que contiene información sobre

detección de problemas mediante el uso de Alien

Vault USM. Hay filtros simples y avanzados

disponibles para facilitar las búsquedas. Las

entradas se pueden crear de forma manual y,

también, de forma automática a través de algunos

componentes (escáner de vulnerabilidades, alarmas

...) lo que permite a los usuarios trabajar en la

boleto.

ENTORNO (Menú Desplegable)

Figura 28. Entorno Menú Despegable

ACTIVOS.- Un activo es cualquier entidad en el

entorno del usuario que tiene una dirección IP.

Figura 29. Activos

"ACTIVO". Esta opción muestra una lista de los

bienes inventariados dentro de AlienVault. Los

activos pueden crear, modificar, eliminar, exportar a

un archivo CSV e importado de SIEM. Es posible

filtrar las búsquedas y guardar esas búsquedas.

"DESCUBRIMIENTO DE ACTIVOS". Firmas de

descubrimiento de activos permiten AlienVault para

automáticamente identificar el fabricante y el modelo

de sus activos. Esta opción permite al usuario escanear

redes y hosts. La exploración se realiza para añadir

elementos a los Alien Vault base de datos y que los

activos son monitoreados por el sistema.

GRUPOS Y REDES

Figura 30. Grupos y Redes

"GRUPOS". Esto se utiliza para crear un nuevo objeto,

que agrupa los activos.

"REDES". Se utiliza para administrar los dispositivos

que están conectados entre sí y que forman parte de la

organización que se va a monitorizar. Las redes

pueden ser crear, modificar, eliminar, exportar a un

archivo CSV e importado de SIEM.

"GRUPOS DE RED". Esto se utiliza para crear un

objeto nuevo, que las redes de grupos. Grupos de red

Page 9: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

se pueden crear, modificar y eliminar.

VULNERABILIDADES

El sistema de análisis de vulnerabilidades proporciona una

interfaz gráfica para administrar OpenVAS. La análisis de

vulnerabilidades puede ser distribuida (Análisis de

vulnerabilidades se hace desde el AlienVault Sensores) o

centralizado (Análisis de vulnerabilidades desde una única

posición).

Figura 31. Vulnerabilidades

"INFORMACION GENERAL". Se utiliza para

visualizar y analizar los dispositivos o los activos de la

red y saber si hay fallas de seguridad. Es posible

visualizar las vulnerabilidades actuales. Un informe es

generados por cada trabajo de exploración. Este

informe se muestra en la parte inferior de la pantalla.

"TRABAJOS DE ESCANEO". En Alien Vault

Server, utilice análisis de vulnerabilidad para

identificar vulnerabilidades en sus activos

monitoreados. Usted puede programar escaneos de

vulnerabilidades para ejecutar a intervalos regulares y

emplear diversos grados de rigurosidad Esta opción

permite al usuario configurar y ejecutar nuevos

trabajos de exploración. Es posible importar datos de

otras exploraciones ya realizada por la importación de

un archivo 'nbe'.

"BASE DE DATOS DE AMENAZAS". Se trata de

una base de datos de fuente de datos utilizada por la

exploración. Este base de datos se actualiza

automáticamente y no se puede modificar.

PERFILES

Esta funcionalidad utiliza el analizador de red, Ntop

Figura 32. Perfiles

"SERVICIOS". Esta opción muestra los informes

estadísticos sobre el uso de la red.

"GLOBAL". Muestra los informes estadísticos que

se refieren el sensor seleccionado.

"RENDIMIENTO". Muestra los informes

estadísticos que se refieren los ejércitos.

"MATRIX". Muestra los informes estadísticos que

se refieren el tráfico de subred IP y el tráfico de cada

alojar en la red por el tiempo.

NETFLOW

Netflow es un protocolo de red desarrollado por Cisco

Systems para recoger el tráfico IP información.

Esta opción ofrece a los usuarios la capacidad de controlar y

trabajar con datos de Netflow. AlienVault ha puesto en marcha

esta seccion de acuerdo NFSen y desplegado en la instalación

por defecto Nfdump.

Figura 33. Netflow

"DETALLES". Esta opción permite al usuario

navegar a través de los datos de Netflow, así como

la selección de un único intervalo de tiempo o

ventana de tiempo.

"INFORME GENERAL". Se muestra una visión

general del modo seleccionado. Por defecto, un vivo

Se muestra el perfil. Las tres columnas muestran los

"flujos", "paquetes" y la historia "Bits".

"GRAFICO". Muestra una vista específico de los

flujos, paquetes y tráfico.

CAPTURA DE TRÁFICO

Esta opción permite al usuario realizar el tráfico de captura

remota a través del sensor AlienVault.

Hay varias opciones de captura como el tiempo de espera, el

tamaño del paquete, nombre del sensor y de paquetes origen y

el destino.

DISPONIBILIDAD

Esta funcionalidad utiliza un software de monitoreo de red y

monitorización de infraestructuras aplicación.

Figura 34. Disponibilidad

"MONITORIZANDO". Permite al usuario

comprobar la información tal como anfitriones y sus

problemas o redes y sus problemas.

"INFORMES". Esta opción permite al usuario

generar informes mediante la selección de un host o

un servicio.

DETECCIÓN

Esta opción notifica acerca de los cambios que se detectan en

el equipo.

Page 10: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

Figura 35. Deteccion

"HIDS". Muestra de análisis de registros,

verificación de la integridad, la supervisión del

registro de Windows, rootkit detección, alerta

basada en el tiempo, y la respuesta activa. También

proporciona la intrusión detección para la mayoría

de sistemas operativos. Esta opción requiere la

instalación de un agente en el interior dirigir los

ejércitos.

"IDENTIFICACIONES WIRELES". Las

organizaciones que requerir de Seguridad de Datos

de la Industria de Tarjetas de Pago

Estándar (PCI DSS) el cumplimiento es necesario seguir una

serie de procedimientos al implementar 802.11 redes

inalámbricas de área local (WLAN). AlienVault incluye esta

inalámbrica módulo que ayuda a las organizaciones que

requieren el cumplimiento de PCI DSS.

INFORMES (Menú desplegable)

Figura 36. Informes

Esta opción permite al usuario visualizar, descargar en

formato PDF y / o enviar por correo electrónico un informe.

Cada informe incluirá la información configurada mediante la

selección o no de los campos que aparecerá en esta pantalla.

Nuevos campos no se pueden añadir.

CONFIGURACIÓN (Menú desplegable)

Figura 37. Configuración

ADMINISTRACIÓN

Figura 38. Administración

"USUARIOS". Esta opción se utiliza para gestionar

los usuarios: creación, modificación y supresión.

"PRINCIPAL". Esta opción permite al usuario

modificar las variables generales de la configuración.

"COPIA DE SEGURIDAD". Esta opción permite al

usuario restaurar las copias de seguridad. Datos de

copia de seguridad se refieren a los datos almacenados

en una base de datos AlienVault.

DESPLIEGUE

Figura 39. Despliegue

"COMPONENTES". Esta opción se utiliza para

gestionar los sensores, servidores, bases de datos y

interfaces remotas, así como actualizarlos.

"PROGRAMADOR". Se utiliza para programar las

tareas para NMAP, OCS y WMI.

"LUGARES". Se utiliza para administrar ubicaciones:

crear, modificar y eliminar.

INFORMACION SOBRE AMENAZAS

Figura 40. Info. Sobre Amenazas

"POLÍTICA". Esta opción permite al usuario

configurar cómo procesa el sistema de la eventos una

vez que llegan a la AlienVault Server.

"ACCIONES". Permite al usuario enviar un mensaje

de correo electrónico, ejecutar y externa programa o

abrir un ticket. Acciones están relacionadas con las

reglas de política, de modo que cuando una política es

se ejecutan coincidentes todas las acciones

relacionadas con esa política.

Page 11: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

"PUERTOS". Estos son los puertos TCP / IP estándar,

y el usuario puede gestionar estos puertos porque se

permite para crear, modificar y borrar.

"DIRECTIVAS". Una Directiva Correlación crea un

Evento Directiva cuando todos lod eventos

especificadas en una regla de correlación se han

detectado. El usuario puede añadir o modificar las

directivas de correlación existentes para generar

nuevas alarmas.

"CUMPLIMIENTO DE NORMATIVA ". Esta opción

se utiliza para definir las relaciones entre la objetivos

de control de cumplimiento y las reglas de correlación

AlienVault. Las normas incluidos son ISO 27001 y

PCI DSS. Estas normas no se pueden borrar. Es

posible cancelar la selección de partes de cada norma.

"CORRELACIÓN CRUZADA". Correlación

identifica las amenazas potenciales a la seguridad

mediante la detección patrones de comportamiento

que ocurren a través de diferentes tipos de activos de

vigilancia. Se utiliza para modificar la fiabilidad de un

evento.

"ORIGEN DE DATOS ". En un sensor de AlienVault,

diferentes tipos de datos Fuente Plugins permitir

AlienVault para extraer y normalizar los datos del

archivo de registro recibidas de los diferentes activos.

Durante archivo de registro de la normalización, de

una fuente de datos Plugins evalúa cada entrada del

archivo de registro y lo traduce a un ID de evento que

identifica el tipo de evento y subtipo dentro de la

AlienVault Taxonomía Evento. AlienVault viene

equipado con plugins de origen de datos para muchos

comúnmente encontrados tipos de activos. Los

usuarios pueden complementar el conjunto estándar de

AlienVault origen de datos Plugins con plugins de

origen de datos personalizado.

"TAXONOMÍA". Este es un sistema de clasificación

de eventos de seguridad.

"BASE DE CONOCIMIENTO". Esta opción

proporciona acceso a una definida por el usuario, de

búsqueda base de conocimientos de soluciones a los

incidentes. Existe la posibilidad de crear nuevos KDB

documentos. Estos documentos se pueden vincular a

los billetes.

BANDEJA INSTANTÁNEA NOTIFICACIÓN /

MEDIO AMBIENTE

Esta parte ofrece información general sobre los tickets abiertos:

Figura 41. Medio Ambiente

VII. CONCLUSIONES.

En este trabajo hemos presentado una herramienta de control

de vulnerabilidades y detección de intrusos dentro de una

organización.

OSSIM, es software que da solución a las necesidades que

tiene una organización ya que cuenta con un amplio conjunto

de herramientas que hace posible un efectivo monitoreo de toda

la organización.

OSSIM, presta una amplia información de una organización

gracias a su efectivo monitoreo gracias a esto es muy útil en la

toma de decisiones en tanto a la seguridad de la información de

la organización.

El desarrollo del presente artículo nos ha permitido

incrementar nuestros conocimientos en cuanto a la seguridad de

una organización.

VIII. GLOSARIO DE TERMINOS [3]

Agente AlienVault: Hay dos tipos de agentes

AlienVault ejecutan en Activos monitorizadas.

Agentes AlienVault OCS proporcionan la Capacidad

de descubrimiento de activos con información

detallada sobre la configuración y un Activo »

software instalado. AlienVault Agentes ossec

proporcionan la capacidad de detección de amenazas

con un Estado HIDS de activos. Comparar con

Proceso de sensor.

Alarma Alien Vault: Server utiliza una fórmula basada

en Valor Patrimonial, Prioridad de eventos y sucesos

Fiabilidad a calcular el riesgo de un evento. Cualquier

evento con un riesgo de 1 o mayor es una alarma.

Cuando un Reglas de correlación detecta una

secuencia específica de eventos, la regla puede crear

un evento de la Directiva que tiene una Prioridad del

Evento suficientemente alta para producir una Alarma.

Page 12: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

AlienVault motor de correlación: En Alien Vault

Server, el motor de correlación utiliza directivas de

correlación para detectar relaciones entre los

diferentes tipos de eventos que ocurren en uno o más

activos supervisados.

AlienVault Evento Taxonomía

El Evento Taxonomía AlienVault (evento taxonomía,

taxonomía) proporciona el motor de correlación con

un marco normalizado de los tipos de eventos y

subtipos sobre la cual operar. La normalización

entradas del registro de eventos desigual formateados

recibidas de los diferentes tipos de activos en el Marco

único de taxonomía permite al motor de correlación

para detectar patrones de comportamiento que ocurre

en todos los activos supervisados.

AlienVault Labs ™

AlienVault laboratorios llevan a cabo investigaciones

de seguridad sobre las amenazas y vulnerabilidades

globales. Este resultado de Investigación AlienVault

laboratorios se pondrá a disposición de los clientes a

través de un Alien Vault USM suscripción a

AlienVault Labs. Threat Intelligence.

AlienVault Logger: AlienVault Logger es uno de los

tres componentes AlienVault USM (Logger, de

sensores, Server). AlienVault Logger ofrece

AlienVault Server con la capacidad de archivar los

archivos de registro para el fines de análisis forense y

para cumplir con los requisitos de cumplimiento para

el archivo de registro y gestión. AlienVault Logger

está disponible sólo como parte del producto Alien

Vault USM.

AlienVault Labs. Threat Intelligence AlienVault Labs.

Threat Intelligence proporciona a los suscriptores la

capacidad de detectar la última amenazas con normas

actualizadas continuamente de correlación, firmas de

IDS, auditorías, la vulnerabilidad de los activos firmas

de descubrimiento, de datos de reputación de IP, de

recolección y de fuente de datos de plugins, y el

informe plantillas. AlienVault Abrir Amenaza

Exchange ™ AlienVault Abrir Amenaza Exchange

(Abrir Amenaza Exchange ™, AlienVault OTX ™) es

un proceso abierto y la comunidad de colaboración de

los profesionales de seguridad para conectar con sus

compañeros, descubre herramientas libres para la

supervisión de seguridad, y aprender sobre las últimas

amenazas y tácticas de defensa de expertos de la

industria y los investigadores de seguridad.

AlienVault OSSIM ™

Creado AlienVault, y sigue apoyando, proyecto SIEM

mayor fuente abierta del mundo, OSSIM ™. OSSIM

proporciona un subconjunto de las capacidades

esenciales de monitoreo de seguridad que se encuentra

en las versiones comerciales de

Alien Vault USM. AlienVault OTX Monitor de

Reputación ™ AlienVault OTX Monitor de

Reputación (OTX Monitor de Reputación ™, Monitor

de Reputación) informa que cuando las direcciones IP

dentro de su dominio están asociados con

comportamientos maliciosos. Por agregación de la

información acerca de los ataques de todas partes del

mundo, OTX Monitor de Reputación proporciona una

visión global de las fuentes de comportamientos

maliciosos.

AlienVault OTX Reputación monitor AlertSM

Supervisor de alertas AlienVault OTX Reputación

(Supervisor de alertas OTX Reputación) es un servicio

web gratuito que le permite ser alertado acerca de la

conducta públicamente observable de su red y su IP

direcciones. Si otro contribuyente a OTX Monitor de

Reputación observa sus direcciones IP la realización

de la actividad maliciosa, Supervisor de alertas de

Reputación le avisa para que pueda tomar una acción

inmediata.

AlienVault Sensor

AlienVault sensor es uno de los tres componentes

AlienVault USM (Logger, de sensores, Server).

AlienVault Sensores realizan cuatro de las cinco

capacidades esenciales de Alien Vault: Activos

Descubrimiento, evaluación de la vulnerabilidad,

detección de amenazas y Monitoreo del

Comportamiento. Sensores recibir datos en bruto de

los registros de eventos, el tráfico de red supervisada,

Agentes AlienVault y activa exploraciones. Los

Procesos de sensores realizan procesamiento inicial

(normalización) en que los datos en bruto, y

transmitirá eventos normalizados para AlienVault

Server para la correlación y la presentación de la

Interfaz Web.

AlienVault Servidor

Alien Vault Server es uno de los tres componentes

AlienVault USM (Logger, de sensores, Server). Alien

Vault Server proporciona una capacidad de gestión y

la configuración de seguridad unificada para todos

activos monitoreados. AlienVault servidor recibe los

datos normalizados a partir de uno o más sensores,

correlaciona y prioriza los eventos de seguridad que se

producen en todos los activos, a continuación, utiliza

la Web Interfaz de presentar esos eventos de seguridad

en una variedad de resumen y vistas detalladas.

AlienVault Unified Security Management ™

El AlienVault Unified sistema de la Seguridad

Management ™ (Alien Vault ™, USM) integra cinco

capacidades esenciales - Descubrimiento de activos,

evaluación de la vulnerabilidad, detección de

Page 13: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

amenazas, Seguimiento del Comportamiento y de

inteligencia de seguridad - en una seguridad integral y

la amenaza solución de gestión.

Baza En Alien Vault, un activo es cualquier entidad en

el entorno del cliente que tenga una dirección IP.

Descubrimiento de Activos

Activos Descubrimiento utiliza la exploración activa

de la red de activos, el descubrimiento de activos de

red pasiva, y inventario de software basado en agentes

para proporcionar una de las cinco capacidades

esenciales de Alien Vault USM.

Activos Descubrimiento Firma Firmas de

descubrimiento de activos permiten AlienVault para

identificar automáticamente el fabricante y modelo de

sus activos. Cuando Activos Descubrimiento detecta

un activo que corresponde a un particular, firma,

AlienVault automáticamente agrega que los detalles

de los activos de su entrada en el inventario de activos

monitoreados. Un AlienVault Labs. Amenaza

suscripción Inteligencia le proporciona AlienVault

Instalación USM con el conjunto más actual de las

firmas de descubrimiento de activos.

Valor del Activo Valor del Activo especifica de un

activo importante o criticidad en relación con otros

activos supervisados. Cuando AlienVault Server

calcula si un evento particular, debe ser clasificado

como un Alarma, Server utiliza una fórmula basada en

Patrimonio Neto, Prioridad de eventos y eventos de

confiabilidad. Actividad que afecta a los activos de

mayor valor será más rápido ser clasificado como un

evento de alta prioridad o Alarma.

Monitoreo del Comportamiento

Monitoreo del Comportamiento utiliza monitorización

de servicios la disponibilidad, análisis de flujo de red,

y el evento de activos registros de normalización para

proporcionar una de las cinco capacidades esenciales

de Alien Vault USM.

Correlación

En AlienVault, correlación identifica las amenazas

potenciales a la seguridad mediante la detección de

patrones de comportamiento que ocurre a través de

diferentes tipos de activos de vigilancia.

Directiva Correlación Una directiva de correlación

(Directiva) contiene una o más reglas de correlación.

Después de todo el evento condiciones especificadas

en una regla de correlación se han detectado, la

Directiva genera una Directiva de eventos y avanza a

la siguiente más alto nivel de correlación.

Nivel de correlación En una directiva de correlación

AlienVault, Nivel Correlación especifica la posición

de una regla de correlación dentro de la Directiva.

Cuando todos los eventos que están definidos en una

regla de correlación han sido detectada, la Directiva

Correlación genera una Directiva de eventos y avanza

a la siguiente alto nivel de correlación.

Reglas de correlación En una directiva de correlación

AlienVault, una regla de correlación especifica una

secuencia de eventos. Cuando todas las condiciones de

eventos especificados en una regla de correlación se

han detectado dentro de un período de tiempo

específico, la Directiva que contiene la regla genera

una Directiva de eventos y avanza al siguiente nivel de

correlación.

Directiva Evento Una Directiva Correlación crea un

Evento Directiva cuando todos los eventos

especificados en un Reglas de correlación se han

detectado.

Evento

En Alien Vault, una entrada del archivo de registro

normalizada corresponde a un solo evento.

Prioridad del Evento y Confiabilidad Evento La

Fuente Plugins Datos asigne a cada Id. del suceso una

prioridad y valor fiabilidad por omisión. Prioridad

define con qué urgencia debe investigarse el caso.

Confiabilidad especifica la probabilidad de que los el

evento es exacta. Alien Vault Server utiliza una

fórmula basada en Valor Patrimonial, Prioridad del

Evento, y Evento Confiabilidad para categorizar un

evento como una alarma.

Sistema de detección de intrusiones

AlienVault Gestión Unificado de Seguridad (USM)

recibe información de los tres tipos de Sistema de

detección de intrusiones (IDS) agentes: IDS de red

(NIDS), Host IDS (HIDS) y Wireless IDS (WIDS).

AlienVault sensores proporcionan las capacidades de

NIDS y WIDS; Agentes AlienVault proporcionar la

capacidad HIDS.

Firmas del sistema de detección de intrusiones

Sistemas de Detección de Intrusos (IDS) Firmas

definen el conjunto de métodos de un IDS utiliza para

identificar patrones de ataque en la recepción de datos.

Cada tipo de IDS evalúa patrones dentro de un

particular, el tipo de datos: NIDS evalúa el tráfico de

red, un WIDS evalúa red inalámbrica tráfico, y un

HIDS evalúa el comportamiento del sistema

operativo.

IP y Dominio Reputación AlienVault utiliza las

puntuaciones de reputación de IP y dominio para

reconocer las direcciones IP que son fuentes malware,

spam y otras conductas maliciosas. AlienVault OTX

Monitor de Reputación ™ proporciona AlienVault

con los datos de reputación de IP y dominio

actualizadas continuamente. En correlación Reglas,

las puntuaciones de reputación de IP y dominio

Page 14: ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco

permiten una regla para responder al tráfico

procedente de IP direcciones conocidas que se originó

el comportamiento malicioso.

Activos supervisados

Activos supervisados definen el conjunto total de la

red y los dispositivos de acogida están supervisados y

protegido por AlienVault.

Normalización En AlienVault

Data Fuente Plugins ejecuta en un Sensor AlienVault

traducir las entradas del archivo de registro recibido de

tipos dispares de los activos controlados en el marco

normalizado de eventos tipos y subtipos definidos en

el Evento Taxonomía AlienVault. Entradas del

archivo de registro de Normalización permite que el

motor de correlación AlienVault para detectar

patrones de comportamiento que ocurren a través de

diferentes tipos de activos de vigilancia.

Módulo de Informes

Un módulo de informes es una sección de informe

reutilizable que lleva a cabo una consulta de datos pre-

definidos. Alien Vault ofrece más de 2.500 módulos

de informes que se pueden incorporar en

personalizable Plantillas de informe.

Plantilla de informe

Una plantilla de informe es una recopilación de

Informe módulos que proporcionan un informe de

seguridad portátil. Alien Vault ofrece 200 plantillas de

informes que presentan una variedad de métricas de

seguridad, tanto en resumen y detalle formulario.

Usted puede utilizar Report Módulos para añadir

personalización adicional a un Plantilla de informe.

Riesgo Alien Vault Server utiliza una fórmula basada

en Valor Patrimonial, Prioridad de eventos y sucesos

Fiabilidad a calcular el riesgo de un evento.

AlienVault categoriza cualquier evento con Riesgo de

1 o mayor como un Alarma.

Seguridad de la Información y Gestión de Eventos

Sistemas (SIEM) Seguridad de la Información y

Gestión de Eventos emplean una variedad de separada

herramientas para monitorear los recursos del host y

de red para la actividad de las amenazas y el estado de

cumplimiento.

Inteligencia de Seguridad Security Intelligence integra

los datos recogidos y tratados por los otros cuatro

Essential Capacidades y las capacidades del motor de

correlación SIEM y Motor de Informes, a

proporcionar la capacidad central de las cinco

capacidades esenciales de Alien Vault USM.

Disponibilidad del servicio de Monitoreo

En AlienVault, monitoreo de la disponibilidad de

servicios proporciona la capacidad de Vigilancia del

Comportamiento con el estado de los servicios que se

ejecutan en los activos.

Proceso Sensor En un sensor de AlienVault, un

Proceso Sensor (ossim-agente) realiza el

procesamiento inicial (Normalización) sobre los datos

en bruto, a continuación, transmite Eventos

normalizados a AlienVault Server para correlación y

de la presentación de la interfaz web. Comparar con el

Agente AlienVault.

Activos Targeted

Un activo específico ha sido identificado por

AlienVault como punto focal de un ataque que tiene a

su vez producido una alarma.

Detección de amenazas

Detección de amenazas utiliza IDS de red, Host IDS y

IDS Wireless para ofrecer uno de los Cinco

Capacidades esenciales de Alien Vault USM.

Evaluación de la vulnerabilidad

Evaluación de la vulnerabilidad utiliza la exploración

de vulnerabilidades de red activa y pasiva y monitoreo

de la vulnerabilidad continua para proporcionar una de

las cinco capacidades esenciales de Alien Vault USM.

Análisis de vulnerabilidades

En Alien Vault Server, utilice análisis de

vulnerabilidad para identificar las vulnerabilidades en

sus activos supervisados. Usted puede programar

escaneos de vulnerabilidades para ejecutar a intervalos

regulares y emplear diversos grados de rigor

REFERENCIAS

[1] AlienVault, Who We Are, Meet AlienVault. Copyright 2014 AlienVault,

Inc. [Online]. Available: http://www.alienvault.com/who-we-are.

[2] AlienVault Unified Security Management™ Solution User Interface Guide;Edition 04; Copyright© 2014 AlienVault. All rights reserved.

[3] AlienVault Unified Security Management™ Solution; Technical

Glossary;Edition01; Copyright© 2014 AlienVault. All rights reserved. [4] AlienVault Unified Security Management™ Solution; Assets, Groups &

Networks;Edition03; Copyright© 2014 AlienVault. All rights reserved.

[5] AlienVault Unified Security Management™ Solution; System Errors, Warnings and Suggestions;Edition01; Copyright© 2014 AlienVault. All

rights reserved

[6] AlienVault Unified Security Management™ Solution; Wizard for the first-time User Experience;Edition05; Copyright© 2014 AlienVault. All

rights reserved