Kismet (Wireless)

Del mismo modo que Snort se convirtió en el estandar para análisis de intrusiones en red, Kismet
se ha ido convirtiendo en una referencia para IDS wireless. Un IDS Wireless tiene menos que ver
con la carga de paquetes en sí, y más con los eventos que suceden en la red.

kismet

WIDS encontrará, por ejemplo, Puntos de acceso falsos o simulados (Rogue AP) que incluso
podrían ser creados sin maldad por un empleado de la empresa, abriendo una brecha en la red. En
cualquier caso, si nuestra red dispone de repetidores y puntos de acceso WiFi, es ideal para evitar
intentos de suplantación de nuestra SSID/Mac y por tanto, evitrar ataques MiTM.

IDS basados en cliente (HIDS)

Ahora analizaremos algunas muestras importantes de Host IDS o sistemas de detección de

intrusiones basadas en cliente. Funcionan mediante el análisis de la actividad que tiene lugar a
nivel interno en una máquina.

Un HIDS se ocupa de buscar actividad considerada sospechosa o potencialmente dañina, mediante

el examen de los LOG o archivos de registro del sistema operativo. Para ello compara versiones de
los archivos clave (comprobando si han sufrido alteraciones), realizando el seguimiento del
software instalado y a veces auditando las conexiones de red que realiza el sistema anfitrión.

Los primeros sistemas HIDS eran bastsante rudimentarios, normalmente limitándose a crear
solamente hashes md5, de forma recurrente, para buscar discrepancias. Sin embargo con el
tiempo se han vuelto bastante complejos y realizan un número mayor de comprobaciones.

Además, si queremos cumplir con el estandar PCI-DSS es obligatorio contar con HIDS.

OSSEC

En el mundo de los sistemas de Detección de Intrusiones basadas en Host o HIDS no existe mucha
vida más allá de OSSEC. Al menos, si buscamos un sistema “total”, probado y con un buen soporte.
Digamos que OSSEC es la referencia absoluta en este ámbito, cuya alternativa únicamente podría
ser Tripwire OpenSource si queremos cambiar a otro sistema con garantías.

ossec-wazzuh-2

OSSEC se ejecutará sin problemas en cualquier sistema operativo y utiliza una arquitectura de
cliente-servidor, tan importante en un sistema tipo HIDS. ¿Por qué? Debido a que un HIDS podría
ser también afectado por un ataque (con el consiguiente compromiso de la información forense
recabada por él) y por tanto es vital que toda la información tratada en el sistema sea evacuada a
una ubicación segura cuanto antes.

Así, este sistema incorpora una arquitectura en la que se envían alertas y registros a un servidor
centralizado, donde se podrá llevar a cabo el análisis de datos, incluso si el sistema es
comprometido/atacado.

Otra ventaja innegable es la de contar con un control centralizado de los agentes desde un
servidor único. Dado que los despliegues pueden alcanzar cientos o miles de clientes, por el bien
del administrador es necesario poder hacerlo en bloque.

OSSEC Wazzuh ha sido recientemente actualizado y es un sistema totalmente recomendable por

su potencia y elasticidad. La instalación es extremadamente liviana (menos de 1 MB) y la mayor
parte del análisis tiene lugar en el servidor especificado, así que la carga sobre los clientes será
inapreciable.

Principales características del sistema:

Agentes disponibles para cualquier sistema operativo mayoritario

Dispone de agentes compilados para Windows

Funcionalidad muy extensa

Instalación sencilla

OSSEC se integra de forma completa con USM, tanto para instalar un agente en servidores,
modificar políticas o investigar las capacidades de respuesta activa del sistema HIDS. Todo se
puede hacer desde el entorno USM, y los clientes de OSSEC están pre-integrados en los motores
de Correlación y SIEM.
Tripwire Opensource

Al contrario que OSSEC, Tripwire opensource está disponible tanto como software libre como
versión empresarial (de pago). El sistema de Tripwire fue uno de los pioneros en tecnología HIDS,
allá por 1992. Muchas de las características originarias de este sistema se han ido convirtiendo en
estándares para la industria.

tripwire-opensource

Una limitación de Tripwire Opensource se refiere a su compatibilidad, pues es compatible

únicamente con Linux/Nix. Sin embargo, la versión “Enterprise” si soporta sistemas Windows.

La versión opensource evidentemente tiene menos capacidades que la empresarial, aunque

podemos decir que la básica es bastante completa en comparación con otras similares. Tampoco
dispondremos en la versión libre de control e informes centralizados o de características de
automatización avanzadas.

Los agentes de Tripwire Opensource monitorizan los sistemas Linux para detectar y reportar
cambios no autorizados en directorios y archivos. Lo primero que hará es crear una “línea base”
del sistema actual, que guardará en un archivo cifrado. Luego realizará un seguimiento para evitar
cambios de permisos, cambios en archivos, etc.

Además de su utilidad para detectar intrusiones una vez estas ocurren, también podemos sacar
provecho del sistema para asegurar la integridad de la información, llevar un control de cambios y
asegurar el cumplimiento de políticas.

Consideraciones

Con Tripwire OpenSource debemos tener en cuenta dos cosas:

No generará alertas en tiempo real para la función HIDS. Los detalles solamente se almacenan en
ficheros LOG para revisión posterior.
No detectará intrusions previamente existentes en el sistema, así que es recomendable instalar
esta solución inmediatamente después de instalar el sistema operativo.

Samhain

Si comparamos Samhain con OSSEC, podemos calificarlo como uno de los mejores competidores
disponibles. Sin embargo, la comparación directa entre ambos estaría un poco desvirtuada, ya que
a pesar de su estructura cliente-servidor, Samhain no se comporta de la misma forma que este.

samhain

El agente de este sistema tiene una amplia variedad de salidas, no solo la de servidor central sino
además otras como Email, Syslog o RDBMS. Otra importante diferencia es dónde se realizan los
análisis. En OSSEC los análisis se realizan en el servidor mientras en Samhain tiene lugar en el
mismo cliente.

Principales características del sistema:

Instalación más difícil

Clientes Windows requieren Cygwin para funcionar

Gran funcionalidad para FIM (File Integrity Monitoring)

Cliente muy flexible

Herramientas FIM – File Integrity Monitoring

Existen más sistemas comúnmente tratados como HIDS, pero que en realidad no son tan
completos y se limitan a garantizar la integridad y cambios no autorizados en archivos y
directorios.

AIDE

OS Tripwire

Afick

Conclusiones
Como podéis ver, no por el hecho de ser Sistemas de Detección de Intrusiones opensource son
menos sofisticados, en muchos casos, que otros sistemas propietarios. Además, si queréis probar
todos ellos sin esfuerzo existe una distribución de Linux –Security Onion– desde la que podréis
hacerlo rápidamente.

No me gustaría despedir el artículo de hoy sin agradeceros de antemano su lectura y pediros que
aportéis aquello que os parezca útil para completar la información 🙂