A estas alturas casi todo el mundo conoce a Cisco. Es uno de los fabricantes más representativos en la industria actual, con soluciones que con toda probabilidad nos hayamos encontrado más de una vez en instalaciones informáticas. Quedan excluídos los ambientes domésticos, donde Cisco tiene una presencia mucho menor, pese a disponer de filiales muy conocidas y orientadas plenamente a estos segmentos.
Cisco es un fabricante especializado en tecnologías de comunicación, si bien dispone en su cartera de otros productos orientados a dar soporte a otras funciones de control. Es el caso de MARS (Monitoring, Analysis and Response System), un appliance suministrado en 3U montable en rack, cuya misión es la monitorización, el análisis y la respuesta ante incidentes de seguridad, lo que se conoce en el argot como Security Threat Mitigation System (STM), o Sistema de Mitigación de Amenazas. Cisco MARS fue desarrollado originalmente por Protego Networks, Inc, compañía que fue adquirida posteriormente por el gigante norteamericano.
Es frecuente, al menos en grandes instalaciones informáticas, que Cisco Security MA vaya de la mano de su compañero Cisco Security Manager, integrando entre ambos lo que la compañía denomina Cisco Security Management Suite, un complejo producto modular que proporciona soporte al concepto de red de seguridad autogestionada (Cisco Self-Defending Network)
Pese a que estos productos no gozan de la popularidad de otros elementos más conocidos, como los switches y routers, sí que cuentan con elevadas tasas de implantación, especialmente en entornos críticos donde la seguridad es un valor cotizado y crucial para la continuidad de las operaciones. La mayoría de la bibliografía orientada a la administración de MARS es de la propia compañía, y pese a que es de una indudable calidad, quizás sea extremadamente compleja para que los administradores extraigan de sus contenidos los pasos concretos a seguir cuando se quiere gobernar adecuadamente un MARS.
SANS Information Security Reading Room ha publicado recientemente un paper donde se habla precisamente de los aspectos básicos de la administración práctica de Cisco MARS. El documento se llama Configuring and Tuning Cisco CS-MARS, y es un material de estudio de la GCIA Gold Certification. El apartado más atractivo para mí es el de ajustes, que comprende 5 tareas básicas cuando se dispone de un MARS en funcionamiento:
* Reducción de falsos positivos
* Focalización de alertas en positivos verdaderos
* Extracción de informes para la Gerencia
* Auditoría sobre servidores de acceso críticos
* Extracción de información forense
Merece una lectura. Son sólo 37 páginas, muy digeribles. Si os interesa aprender más sobre Cisco MARS, podéis ojear las especificaciones del fabricante. Hay más contenidos en la página oficial del producto y en este blog no oficial que mantiene Chris Durkin, un experto en seguridad de productos Cisco.
En cuanto a literatura oficial, quizás el texto más representativo sea Security Monitoring with Cisco Security MARS, escrito por Gary Halleen y Greg Kellogg. Confieso que sólo he utilizado partes del texto, concretamente la sección que habla de la fortificación del producto, pero me da la sensación de que es un manual completo y accesible. Eso sí, no es precisamente barato :)
Un saludo,
Sergio,
Gracias por la información. Por lo que dices me da más la impresión de estar ante una solución de análisis, detección, correlación,… orientada a la gestión de incidentes que ante una solución de gestión de logs.
Veo que como solución para gestión de logs puede cojear un poco por falta de flexibilidad-escalabilidad, escasas posibilidades de redundancia, filtrado de información, almacenamiento limitado (uno o varios appliances), espectro de logs abarcado (¿sabes si realmente es cierto que trata logs Windows, Unix-Linux?), imposibilidad de configuración de alertas distinas a las que vienen de serie,…
¿Hasta dónde crees alcanza su capacidad para ser empleado como SEIM?
Gracias
deincognito,
Lo que verdaderamente convierte al producto en una solución de mitigación es la inteligencia que incorpora, es decir, los motores que hacen que pasemos de un mero gestor de eventos a un gestor de mitigación (he visto tal, hago cual, y además pienso qué hacer y por qué y en qué orden, etc.)
¿Emplear MARS como un mero gestor de logs? Quizás sea un poco overkill, ya que estamos desperdiciando un poco las ventajas de un appliance de este tipo. Estos cacharros tienen sentido cuando se despliegan para gestionar incidentes en red, y además no en redes masivas, sino en segmentos críticos, con lo que hay muchos logs que a MARS ni le van ni le vienen, y que dudo mucho que sean cómodamente integrables, ya que, como tu mismo dices, este tipo de productos no permiten una flexibilidad muy elevada a la hora de personalizar el rango de actividad.
MARS es un producto altamente escalable. La versión básica MARS 20R gestiona 50 eventos por segundo, 1.500 NetFlows por segundo y dispone de 120 GB de almacenamiento no RAID. El hermano mayor de la familia, MARS 210, puede dar servicio a 15.000 eventos por segundo, 300.000 NetFlows por segundo y dispone de 2000 GB en RAID 10 para almacenar. Entre ambos extremos, la amalgama es extensa.
Siendo Cisco, tampoco me preocupa la disponibilidad, ya que suelen tener cifras muy decentes ausencia de fallos y en caso de fallos, tienen modos de «fail safe» adecuados para reposar en los siguientes elementos de seguridad existentes en la red. Además, es un producto montable en rack, con lo que tener un proceso paralelo de redundancia es tan fácil como tener dos unidades balanceadas operando simultáneamente.
Cuando me hablas de SEIM, entiendo que te ha bailado la e con la i, y te refieres a SIM/SEM/SIEM (para el que esté siguiendo el hilo, Security Event Management – SEM , Security Information Management – SIM y Security Information and Event Management – SIEM) pues yo creo que sí, que cumple las funciones de un SIEM, ya que contempla no sólo la parte de gestión de seguridad como tal, sino que también cubre los requisitos de gestión de eventos, ya que como decía al principio, MARS, más que un gestor «tonto» de logs, contiene inteligencia para el tratamiento de la información que por él pasa.
Sobre soporte de logs, te confirmo que admite host logs Windows NT, 2000, y 2003 (todos en modo con agente y agentless) y que también soporta Linux y Solaris. También admite análisis de aplicaciones, como servidores Web Internet Information Server, iPlanet y Apache) y hasta logs de auditoría de Oracle, por citar algunos ejemplos.
De todos modos, soluciones SIM/SEM/SIEM hay un trillón. Desde un ArcSight hasta un centralizador de syslog. Las ventajas que tiene para mí tirar de un appliance de este tipo pueden resumirse en el expertise del fabricante, metodologías de implementación sólidas y que no hacen peligrar la producción, soporte de un fabricante centralizado, reducción de costes de operación y disponer de una solución con buena resiliencia y fiabilidad, habida cuenta de que tanto el software como el hardware son «pata negra» :) Además, tiene herramientas de reporting muy completas, y esto es siempre útil para poder explotar la información que el dispositivo va generando.
Espero haber respondido a tu duda.
Buenas…
quisiera hacer una pregunta no se si suene tonto o ignorante, pero mi jefe me pidio q averiguara si los equipos Mars pueden ser ultilizados solos, me explico,
existen los equipos globales y los locales, queria saber si pueden ser utilizados solos o es necesario tener conectado un local con un global para su funcionamiento soy alumno en practica y solo ayer escuche de estos equipos asi q no critiquen mi ignorancia xD bueno gracias
hola denuevo ya resolvi mi anterior duda pero buscando por ahi encontre otro software llamado Nimbus que aparentemente resuelve las mismas cosas q realiza Cisco mars kisiera saber si alguno de ustedes conoces las diferencias entre estas 2 herramientas
de antemano gracias
Buenas mi nombre es Alexis les cuento estoy un poco complicado en la empresa donde trabajo adquirieron un
CS-MARS y me los an pasado para que lo investigue y entregue los reportes que se pueden emitir con este dispositivo, le verdad lo miro y es como chino para mi trato de entenderlo o al menos generar un reporte pero sada click que hago es mas complicado… si alguie me pudiera ayudar o indicarme como hacer algo con este dispositivo se lo agradeceria de corazon ya que estoy complicado la idea no es dar lastima pero cuando uno no sabe pregunta y pide ayuda y eso estoy haciendo.
Hola Sergio:
Por lo que leo veo que sabes mucho del tema..!!yo estoy en lo mismo que Alexis…!!tengo dificultades con el manejo de este equipo…!!!si tubieras una guia para el usuario, vos o alguien, y que sea en español les agradecería mucho..!!
Desde ya muchas gracias….
Juan,
Lamento decirte que mi experiencia con MARS es limitada (sólo lo he visto en producción una vez), y habida cuenta que no lo administro, no tengo manuales de usuario.
Dirígete a Cisco, estoy seguro que te pueden dar soporte en este particular.
Alexis,
MARS es complejo pero no es inabordable. Emplea la documentación y el soporte de Cisco, estoy seguro que echándole un poco de paciencia sacarás adelante la evaluación.
Un saludo para ambos, y lamento la tardanza.