Principales herramientas IDS Opensource para Detección de Intrusiones

Mejores IDS Opensource para Detección de Intrusiones

Tanto si estás buscando monitorizar clientes (host) o redes de ordenadores para identificar las últimas amenazas, existe un buen puñado de herramientas de uso libre de tipo IDS que te harán un buen servicio. Sígueme en este análisis de las principales herramientas IDS OpenSource, que te permitirán contar con una detección de intrusiones de primer nivel.

El siguiente listado de herramientas está basado en las recomendaciones de todo un experto en ciberseguridad mundial como es John Schreiber, que ha realizado análisis de intrusiones para compañías del Fortune 50.

IDS basados en red

Un IDS de Red o Network IDS nos sirve para inspeccionar tráfico que ocurre entre clientes o hosts. Existen dos tipos principales para Network IDS: detección mediante firmas y detección mediante anomalías (comportamiento).

En el IDS basado en firmas, existen patrones o reglas que contemplan tráfico malicioso conocido y que serán cotejadas por la herramienta. Cuando se encuentre una coincidencia con un patrón, recibiremos una alerta. Alertas de este tipo nos pueden avisar de problemas como malware, actividades de escaneo de red o ataques contra servidores, entre otras cosas.

Si pasamos al modelo basado en anomalías, el payload o “carga” del tráfico es bastante menos relevante respecto a la actividad que genera este. Un IDS basado en análisis de anomalías se basa en una “línea base” de funcionamiento, a partir de la cual se buscará actividad inusual que se desvíe de los promedios , así como actividad no contemplada anteriormente.

Como ejemplo de esto último, podríamos mencionar un servidor que está enviando más tráfico HTTP de lo habitual, o quizá la aparición de un nuevo host (cliente) dentro de nuestra DMZ. Este tipo de solución nos puede además avisar  de violaciones de nuestra política de red, además de si un empleado está usando servicios como Google Talk o subiendo archivos a la nube en lugar de “currar”.

Ambos modelos de detección de intrusiones suelen desplegarse de la misma forma, así que podríamos llegar a crear un IDS basado en anomalías cuya fuente de información sean los flujos de paquetes recopilados externamente, o información de tráfico similar.

Herramientas IDS Opensource recomendadas

Snort

Todo un veterano cuando se trata de análisis de paquetes. La primera versión vió la luz allá por 1998. Cabe mencionar que en aquel momento no se contempló como IDS puro, pero fue evolucionando hasta ese punto poco a poco.

snort-deteccion-de-intrusiones

Desde entonces se ha ido convirtiendo en un estandar para sistemas de detección de intrusiones, eventualmente IPS (Intrusion Prevention System) gracias al trabajo de la comunidad. Sistemas como el de AlienVault lo integran para el análisis de riesgos.

Entre sus ventajas, podemos destacar varios aspectos. Uno de los más evidentes es su longevidad y la buena salud del proyecto, algo que nos permite implementarlo sin preocuparnos por el futuro. También destaca el gran apoyo de la comunidad Snort y por tanto el hecho de ser una herramienta muy probada.

Como desventajas solo podemos decir que Snort no cuenta por defecto con un GUI o interfaz gráfica de usuario por defecto, por tanto no es tan fácil de administrar como otras. Sin embargo, existen herramientas opensource para compensarlo, como Snorby o Squil, así que no es un problema realmente.

Suricata

Podríamos decir que la única razón para no utilizar Snort es estar utilizando Suricata. Aunque se trata de una herramienta IDS de arquitectura distinta, se comporta de la misma manera que Snort y usa las mismas firmas. De hecho, es capaz de funcionar sobre Snort, formando un poderoso tándem.

suricata-ids-intrusion-detection-system

A continuación enumeraré algunos de los puntos clave de este sistema de detección de intrusiones avanzado:

  • Multi-hilo: Snort se ejecuta en modo uni-hilo y por tanto solo puede aprovechar un núcleo de la CPU al mismo tiempo. Suricata aprovecha los procesadores multi-núcleo y multi-threading. Existen benchmarks que demuestran una considerable diferencia de rendimiento.
  • Aceleración mediante hardware: es posible utilizar tarjetas gráficas para inspecionar tráfico de red.
  • Extracción de ficheros: si alguien se descarga malware en nuestro entorno, es posible capturarlo y estudiarlo desde Suricata.
  • LuaJIT: nos proporcionará el poder que nos falta mediante scripting, pudiendo combinar varias reglas, para buscar elementos con mayor eficiencia.
  • Más que paquetes: Suricata no solo es capaz de analizar paquetes, también puede revisar los certificados TLS/SSL, peticiones DNS, solicitudes HTTP…

Dadas sus fortalezas, no extraña que siga siendo una de las herramientas de detección de intrusiones más populares.

Bro

A veces llamado Bro-IDS o simplemente Bro, este sistema es algo distinto de los dos anteriores. En cierto modo, Bro es tanto un IDS basado en anomalías como en firmas. El tráfico capturado generará una serie de eventos. Por ejemplo, un evento podría ser un inicio de sesión de usuario a un FTP, conexión a servicio web o casi cualquier cosa.

El verdadero punto fuerte de Bro es el Intérprete de Políticas Script. Con su propio lenguaje de adminsitración (Bro-Script) nos ofrece posibilidades muy interesantes.

bro-ids

Si alguna vez has querido automatizar parte de tus tareas de análisis y recolección de datos, esta es la herramienta que buscas. Por poner un ejemplo de su versatilidad, con Bro podríamos descargar ficheros encontrados en nuestro entorno, remitirlos para un análisis de malware, notificar si se encuentra un problema y después introducir en la lista negra la fuente del mismo. Como colofón, incluso podríamos apagar el equipo remoto del usuario que lo descargó.

En caso de no ser un analista con cierta experiencia, podrías acusar una curva de aprendizaje bastante fuerte y quizá deberías fijarte antes en otra herramienta como Suricata o Snort. Sin embargo, en caso contrario te interesa bastante, porque además es capaz de detectar más patrones de actividad que la mayoría de IDS.

Kismet (Wireless)

Del mismo modo que Snort se convirtió en el estandar para análisis de intrusiones en red, Kismet se ha ido convirtiendo en una referencia para IDS wireless. Un IDS Wireless tiene menos que ver  con la carga de paquetes en sí, y más con los eventos que suceden en la red.

kismet

WIDS encontrará, por ejemplo, Puntos de acceso falsos o simulados (Rogue AP) que incluso podrían ser creados sin maldad por un empleado de la empresa, abriendo una brecha en la red. En cualquier caso, si nuestra red dispone de repetidores y puntos de acceso WiFi, es ideal para evitar intentos de suplantación de nuestra SSID/Mac y por tanto, evitrar ataques MiTM.

IDS basados en cliente (HIDS)

Ahora analizaremos algunas muestras importantes de Host IDS o sistemas de detección de intrusiones basadas en cliente. Funcionan mediante el análisis de la actividad que tiene lugar a nivel interno en una máquina.

Un HIDS se ocupa de buscar actividad considerada sospechosa o potencialmente dañina, mediante el examen de los LOG o archivos de registro del sistema operativo. Para ello compara versiones de los archivos clave (comprobando si han sufrido alteraciones), realizando el seguimiento del software instalado y a veces auditando las conexiones de red que realiza el sistema anfitrión.

Los primeros sistemas HIDS eran bastsante rudimentarios, normalmente limitándose a crear solamente hashes md5, de forma recurrente, para buscar discrepancias. Sin embargo con el tiempo se han vuelto bastante complejos y realizan un número mayor de comprobaciones.

Además, si queremos cumplir con el estandar PCI-DSS es obligatorio contar con HIDS.

OSSEC

En el mundo de los sistemas de Detección de Intrusiones basadas en Host o HIDS no existe mucha vida más allá de OSSEC. Al menos, si buscamos un sistema “total”, probado y con un buen soporte. Digamos que OSSEC es la referencia absoluta en este ámbito, cuya alternativa únicamente podría ser Tripwire OpenSource si queremos cambiar a otro sistema con garantías.

ossec-wazzuh-2

OSSEC se ejecutará sin problemas en cualquier sistema operativo y utiliza una arquitectura de cliente-servidor, tan importante en un sistema tipo HIDS. ¿Por qué? Debido a que un HIDS podría ser también afectado por un ataque (con el consiguiente compromiso de la información forense recabada por él) y por tanto es vital que toda la información tratada en el sistema sea evacuada a una ubicación segura cuanto antes.

Así, este sistema incorpora una arquitectura en la que se envían alertas y registros a un servidor centralizado, donde se podrá llevar a cabo el análisis de datos, incluso si el sistema es comprometido/atacado.

Otra ventaja innegable es la de contar con un control centralizado de los agentes desde un servidor único. Dado que los despliegues pueden alcanzar cientos o miles de clientes, por el bien del administrador es necesario poder hacerlo en bloque.

OSSEC Wazzuh ha sido recientemente actualizado y es un sistema totalmente recomendable por su potencia y elasticidad. La instalación es extremadamente liviana (menos de 1 MB) y la mayor parte del análisis tiene lugar en el servidor especificado, así que la carga sobre los clientes será inapreciable.

Principales características del sistema:

  • Agentes disponibles para cualquier sistema operativo mayoritario
  • Dispone de agentes compilados para Windows
  • Funcionalidad muy extensa
  • Instalación sencilla

OSSEC se integra de forma completa con USM, tanto para instalar un agente en servidores, modificar políticas o investigar las capacidades de respuesta activa del sistema HIDS. Todo se puede hacer desde el entorno USM, y los clientes de OSSEC están pre-integrados en los motores de Correlación y SIEM.

Tripwire Opensource

Al contrario que OSSEC, Tripwire  opensource está disponible tanto como software libre como versión empresarial (de pago). El sistema de Tripwire fue uno de los pioneros en tecnología HIDS, allá por 1992. Muchas de las características originarias de este sistema se han ido convirtiendo en estándares para la industria.

tripwire-opensource

Una limitación de Tripwire Opensource se refiere a su compatibilidad, pues es compatible únicamente con Linux/Nix. Sin embargo, la versión “Enterprise” si soporta sistemas Windows.

La versión opensource evidentemente tiene menos capacidades que la empresarial, aunque podemos decir que la básica es bastante completa en comparación con otras similares. Tampoco dispondremos en la versión libre de control e informes centralizados o de características de automatización avanzadas.

Los agentes de Tripwire Opensource monitorizan los sistemas Linux para detectar y reportar cambios no autorizados en directorios y archivos. Lo primero que hará es crear una “línea base” del sistema actual, que guardará en un archivo cifrado. Luego realizará un seguimiento para evitar cambios de permisos, cambios en archivos, etc.

Además de su utilidad para detectar intrusiones una vez estas ocurren, también podemos sacar provecho del sistema para asegurar la integridad de la información, llevar un control de cambios y asegurar el cumplimiento de políticas.

Consideraciones

Con Tripwire OpenSource debemos tener en cuenta dos cosas:

  1. No generará alertas en tiempo real para la función HIDS. Los detalles solamente se almacenan en ficheros LOG para revisión posterior.
  2. No detectará intrusions previamente existentes en el sistema, así que es recomendable instalar esta solución inmediatamente después de instalar el sistema operativo.

Samhain

Si comparamos Samhain con OSSEC, podemos calificarlo como uno de los mejores competidores disponibles. Sin embargo, la comparación directa entre ambos estaría un poco desvirtuada, ya que a pesar de su estructura cliente-servidor, Samhain no se comporta de la misma forma que este.

samhain

El agente de este sistema tiene una amplia variedad de salidas, no solo la de servidor central sino además otras como Email, Syslog o RDBMS. Otra importante diferencia es dónde se realizan los análisis. En OSSEC los análisis se realizan en el servidor mientras en Samhain tiene lugar en el mismo cliente.

Principales características del sistema:

  • Instalación más difícil
  • Clientes Windows requieren Cygwin para funcionar
  • Gran funcionalidad para FIM (File Integrity Monitoring)
  • Cliente muy flexible
Herramientas FIM – File Integrity Monitoring

Existen más sistemas comúnmente tratados como HIDS, pero que en realidad no son tan completos y se limitan a garantizar la integridad y cambios no autorizados en archivos y directorios.

  • AIDE
  • OS Tripwire
  • Afick

Conclusiones

Como podéis ver, no por el hecho de ser Sistemas de Detección de Intrusiones opensource son menos sofisticados, en muchos casos, que otros sistemas propietarios. Además, si queréis probar todos ellos sin esfuerzo existe una distribución de Linux –Security Onion– desde la que podréis hacerlo rápidamente.

No me gustaría despedir el artículo de hoy sin agradeceros de antemano su lectura y pediros que aportéis aquello que os parezca útil para completar la información 🙂

4 comentarios en “Mejores IDS Opensource para Detección de Intrusiones

  1. Qué tal, este software puede ayudar para detectar ataques arp poison o arp spoofing en mi red local? Estoy teniendo muchos problemas en mi red al respecto, la red inalámbrica se cae o se congela, y también mis clientes cableados dejan de navegar. Estuve escaneando mi red con wireshark y con XArp en Windows y me muestra muchos paquetes arp de 2 o 3 Macs diferentes.

    Saludos

    Me gusta

    1. Hola, he configurado AlienVault OSSIM y es la mejor solcion, en su version CE es bastante robusta y la informaicon otorgada ademas de las opciones para remediar los problemas muy detallada a intuitiva.

      Me gusta

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s