UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD FILOSOFÍA, LETRAS Y CIENCIAS DE LA EDUCACIÓN

PEDAGOGÍA DE LAS CIENCIAS EXPERIMENTALES - INFORMÁTICA
Periodo Académico: Octubre 2018 – Febrero 2019
OPTATIVA III

ESTUDIANTE:
ALTAMIRANO DAVID
ALMACHI KEVIN
ERAS LEONARDO
NEPAS LUIS
ÑATO LENIN

SEMESTRE: OCTAVO PARALELO: “B”

FECHA: 21/11/2018

DETECCIÓN DE INTRUSOS OSSEC

Un sistema de detección de intrusión de equipos tiene como cometido analizar los

registros de eventos del sistema operativo, comprobar la integridad del mismo,
auditorías de los registros de los equipos Windows, detección de rootkits, alerta en
tiempo real y respuesta activa a ataques.

OSSEC es un software de código abierto y gratuito para su uso.

Por sus características, es un software altamente adaptable para necesidades de
seguridad a través de sus extensas opciones de configuración, adición de reglas de
alerta personalizadas y escritura de reglas de acción en respuesta a las alertas de
seguridad.

CARACTERÍSTICAS:

Es una Plataforma completa Para monitorear y controlar los sistemas ( se mezcla a

todos los aspectos de 1ID- detección de intrusos Basado en Host.( Termite a los
clientes detectar y alertar sobre las modificaciones del sistema de archivos no
autorizados

Archivo de Comprobación de integridad.- Tiene como objetivo la integridad de los

archivos de control (o FIM- monitorización de integridad de archivos) detectando
cambios y avisando cuando se producen. Esto puede ser causado por un ataque o un
mal uso por parte de un empleado o incluso un error tipográfico por un administrador,
cualquier archivo, directorio o cambio de registro el sistema alerta de lo sucedido.

Monitoreo de log.- Sabiendo que cada sistema operativo, aplicación y dispositivo de

red genera un registro (evento) para hacer saber lo que sucede, OSSEC recopila,
analiza y correlaciona estos registro para saber si algo malo está pasando (ataque, mal
uso, errores, etc.).
 UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD FILOSOFÍA, LETRAS Y CIENCIAS DE LA EDUCACIÓN
PEDAGOGÍA DE LAS CIENCIAS EXPERIMENTALES - INFORMÁTICA
Periodo Académico: Octubre 2018 – Febrero 2019
Detección Rookit.- Los hackers (o delincuentes informáticos) quieren ocultar sus
acciones, pero el uso de detección de rootkits puede notificar cuando ellos cambian el
sistema de esta manera.

Respuesta activa.- El sistema toma respuestas inmediatas y automáticas cuando algo

sucede. De esta manera se alerta al administrador y este puede bloquear de manera
correcta el ataque.

INSTALACIÓN:

Instalación y requerimientos
Para trabajar con OSSEC lo debemos instalar sobre un servidor GNU Linux,
tanto Ubuntu, Debian como Red Hat.
En el artículo he utilizado un sistema operativo Ubuntu Server 14.04.3 LTS en su versión de 64
bits, sobre una máquina virtualizada.
En dichos sistemas el producto necesita una serie de paquetes instalados, como por ejemplo gnu
make, gcc y libc, ya que está escrito en lenguaje C. Se sugiere utilizar también openssl, pero no es
obligatorio.
Instalalamos un sólo paquete, que engloba gran parte de los paquetes que necesitamos, hablo
de build-essential:
1
sudo apt-get install build-essential

Con esto ya podemos descargar los ficheros de instalación:

1
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz

También es recomendable descargar el fichero txt con el checksum.

1
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt

Utilizamos el comando cat para ver el contenidos del fichero:

1
cat ossec-hids-2.8.1-checksum.txt

Y veremos:

Ahora utilizamos lo comandos md5sum y sha1sum, para comprobar que coinciden los datos con
el txt.

Todo OK, así que seguimos. Procedemos a descomprimir el fichero.

1
tar -zxvf ossec-hids-*.tar.gz (or gunzip -d; tar -xvf)
2
 UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD FILOSOFÍA, LETRAS Y CIENCIAS DE LA EDUCACIÓN
PEDAGOGÍA DE LAS CIENCIAS EXPERIMENTALES - INFORMÁTICA
Periodo Académico: Octubre 2018 – Febrero 2019

3 cd ossec-hids-*
sudo ./install.sh

En la última línea, tenemos el fichero install.sh, que cuando lo ejecutemos el script instalará el
producto.
Nos preguntará el idioma, yo seleccionará [es] de español.

En el paso a continuación nos hace saber que debemos cumplir con una serie de requisitos.

Al aceptar con ENTER, nos preguntará si la instalación es para una agente ,para
un servidor, local o ayuda. Le indicamos lo segundo.
La ubicación del directorio del programa la dejaremos por defecto, es decir, en /var/ossec.
Cuando nos pregunta si queremos notificaciones por correo electrónico le decimos que sí, y añadimos
la que más nos convenga.
A partir de éste paso nos preguntará los servicios que queremos utilizar, a todos le decimos que sí.
En cualquier caso podemos moficiar los parámetros del programa, modificando el fichero ossec.conf
Si todo ha ido bien, veremos la siguiente imagen, al finalizar el proceso de instalación:
 UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD FILOSOFÍA, LETRAS Y CIENCIAS DE LA EDUCACIÓN
PEDAGOGÍA DE LAS CIENCIAS EXPERIMENTALES - INFORMÁTICA
Periodo Académico: Octubre 2018 – Febrero 2019

Tal y como nos indica para iniciar el programa debemos escribir:

1
sudo /var/ossec/bin/ossec-control start

Y ya lo tendremos listo para trabajar:

Es importante recalcar que la comunicación entre el servidor y los agentes funciona por el
puerto UDP 1514, por lo que lo tenemos que tener habilitado en nuestra red.