Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Del mismo modo que Snort se convirtió en el estandar para análisis de intrusiones en red, Kismet
se ha ido convirtiendo en una referencia para IDS wireless. Un IDS Wireless tiene menos que ver
con la carga de paquetes en sí, y más con los eventos que suceden en la red.
kismet
WIDS encontrará, por ejemplo, Puntos de acceso falsos o simulados (Rogue AP) que incluso
podrían ser creados sin maldad por un empleado de la empresa, abriendo una brecha en la red. En
cualquier caso, si nuestra red dispone de repetidores y puntos de acceso WiFi, es ideal para evitar
intentos de suplantación de nuestra SSID/Mac y por tanto, evitrar ataques MiTM.
Los primeros sistemas HIDS eran bastsante rudimentarios, normalmente limitándose a crear
solamente hashes md5, de forma recurrente, para buscar discrepancias. Sin embargo con el
tiempo se han vuelto bastante complejos y realizan un número mayor de comprobaciones.
Además, si queremos cumplir con el estandar PCI-DSS es obligatorio contar con HIDS.
OSSEC
En el mundo de los sistemas de Detección de Intrusiones basadas en Host o HIDS no existe mucha
vida más allá de OSSEC. Al menos, si buscamos un sistema “total”, probado y con un buen soporte.
Digamos que OSSEC es la referencia absoluta en este ámbito, cuya alternativa únicamente podría
ser Tripwire OpenSource si queremos cambiar a otro sistema con garantías.
ossec-wazzuh-2
OSSEC se ejecutará sin problemas en cualquier sistema operativo y utiliza una arquitectura de
cliente-servidor, tan importante en un sistema tipo HIDS. ¿Por qué? Debido a que un HIDS podría
ser también afectado por un ataque (con el consiguiente compromiso de la información forense
recabada por él) y por tanto es vital que toda la información tratada en el sistema sea evacuada a
una ubicación segura cuanto antes.
Así, este sistema incorpora una arquitectura en la que se envían alertas y registros a un servidor
centralizado, donde se podrá llevar a cabo el análisis de datos, incluso si el sistema es
comprometido/atacado.
Otra ventaja innegable es la de contar con un control centralizado de los agentes desde un
servidor único. Dado que los despliegues pueden alcanzar cientos o miles de clientes, por el bien
del administrador es necesario poder hacerlo en bloque.
Instalación sencilla
OSSEC se integra de forma completa con USM, tanto para instalar un agente en servidores,
modificar políticas o investigar las capacidades de respuesta activa del sistema HIDS. Todo se
puede hacer desde el entorno USM, y los clientes de OSSEC están pre-integrados en los motores
de Correlación y SIEM.
Tripwire Opensource
Al contrario que OSSEC, Tripwire opensource está disponible tanto como software libre como
versión empresarial (de pago). El sistema de Tripwire fue uno de los pioneros en tecnología HIDS,
allá por 1992. Muchas de las características originarias de este sistema se han ido convirtiendo en
estándares para la industria.
tripwire-opensource
Los agentes de Tripwire Opensource monitorizan los sistemas Linux para detectar y reportar
cambios no autorizados en directorios y archivos. Lo primero que hará es crear una “línea base”
del sistema actual, que guardará en un archivo cifrado. Luego realizará un seguimiento para evitar
cambios de permisos, cambios en archivos, etc.
Además de su utilidad para detectar intrusiones una vez estas ocurren, también podemos sacar
provecho del sistema para asegurar la integridad de la información, llevar un control de cambios y
asegurar el cumplimiento de políticas.
Consideraciones
No generará alertas en tiempo real para la función HIDS. Los detalles solamente se almacenan en
ficheros LOG para revisión posterior.
No detectará intrusions previamente existentes en el sistema, así que es recomendable instalar
esta solución inmediatamente después de instalar el sistema operativo.
Samhain
Si comparamos Samhain con OSSEC, podemos calificarlo como uno de los mejores competidores
disponibles. Sin embargo, la comparación directa entre ambos estaría un poco desvirtuada, ya que
a pesar de su estructura cliente-servidor, Samhain no se comporta de la misma forma que este.
samhain
El agente de este sistema tiene una amplia variedad de salidas, no solo la de servidor central sino
además otras como Email, Syslog o RDBMS. Otra importante diferencia es dónde se realizan los
análisis. En OSSEC los análisis se realizan en el servidor mientras en Samhain tiene lugar en el
mismo cliente.
Existen más sistemas comúnmente tratados como HIDS, pero que en realidad no son tan
completos y se limitan a garantizar la integridad y cambios no autorizados en archivos y
directorios.
AIDE
OS Tripwire
Afick
Conclusiones
Como podéis ver, no por el hecho de ser Sistemas de Detección de Intrusiones opensource son
menos sofisticados, en muchos casos, que otros sistemas propietarios. Además, si queréis probar
todos ellos sin esfuerzo existe una distribución de Linux –Security Onion– desde la que podréis
hacerlo rápidamente.
No me gustaría despedir el artículo de hoy sin agradeceros de antemano su lectura y pediros que
aportéis aquello que os parezca útil para completar la información 🙂