Mejores IDS Opensource para Detección de Intrusiones
Tanto si estás buscando monitorizar clientes (host) o redes de ordenadores para identificar las últimas amenazas, existe un buen puñado de herramientas de uso libre de tipo IDS que te harán un buen servicio. Sígueme en este análisis de las principales herramientas IDS OpenSource, que te permitirán contar con una detección de intrusiones de primer nivel.
Aprende más – Funcionamiento de IDS, IPS y UTM ¿Qué es cada uno?
El siguiente listado de herramientas está basado en las recomendaciones de todo un experto en ciberseguridad mundial como es John Schreiber, que ha realizado análisis de intrusiones para compañías del Fortune 50.
IDS basados en red
Un IDS de Red o Network IDS nos sirve para inspeccionar tráfico que ocurre entre clientes o hosts. Existen dos tipos principales para Network IDS: detección mediante firmas y detección mediante anomalías (comportamiento).
En el IDS basado en firmas, existen patrones o reglas que contemplan tráfico malicioso conocido y que serán cotejadas por la herramienta. Cuando se encuentre una coincidencia con un patrón, recibiremos una alerta. Alertas de este tipo nos pueden avisar de problemas como malware, actividades de escaneo de red o ataques contra servidores, entre otras cosas.
Si pasamos al modelo basado en anomalías, el payload o «carga» del tráfico es bastante menos relevante respecto a la actividad que genera este. Un IDS basado en análisis de anomalías se basa en una «línea base» de funcionamiento, a partir de la cual se buscará actividad inusual que se desvíe de los promedios , así como actividad no contemplada anteriormente.
Como ejemplo de esto último, podríamos mencionar un servidor que está enviando más tráfico HTTP de lo habitual, o quizá la aparición de un nuevo host (cliente) dentro de nuestra DMZ. Este tipo de solución nos puede además avisar de violaciones de nuestra política de red, además de si un empleado está usando servicios como Google Talk o subiendo archivos a la nube en lugar de «currar».
Ambos modelos de detección de intrusiones suelen desplegarse de la misma forma, así que podríamos llegar a crear un IDS basado en anomalías cuya fuente de información sean los flujos de paquetes recopilados externamente, o información de tráfico similar.
Herramientas IDS Opensource recomendadas
Todo un veterano cuando se trata de análisis de paquetes. La primera versión vió la luz allá por 1998. Cabe mencionar que en aquel momento no se contempló como IDS puro, pero fue evolucionando hasta ese punto poco a poco.
Desde entonces se ha ido convirtiendo en un estandar para sistemas de detección de intrusiones, eventualmente IPS (Intrusion Prevention System) gracias al trabajo de la comunidad. Sistemas como el de AlienVault lo integran para el análisis de riesgos.
Entre sus ventajas, podemos destacar varios aspectos. Uno de los más evidentes es su longevidad y la buena salud del proyecto, algo que nos permite implementarlo sin preocuparnos por el futuro. También destaca el gran apoyo de la comunidad Snort y por tanto el hecho de ser una herramienta muy probada.
Como desventajas solo podemos decir que Snort no cuenta por defecto con un GUI o interfaz gráfica de usuario por defecto, por tanto no es tan fácil de administrar como otras. Sin embargo, existen herramientas opensource para compensarlo, como Snorby o Squil, así que no es un problema realmente.
Podríamos decir que la única razón para no utilizar Snort es estar utilizando Suricata. Aunque se trata de una herramienta IDS de arquitectura distinta, se comporta de la misma manera que Snort y usa las mismas firmas. De hecho, es capaz de funcionar sobre Snort, formando un poderoso tándem.
A continuación enumeraré algunos de los puntos clave de este sistema de detección de intrusiones avanzado:
- Multi-hilo: Snort se ejecuta en modo uni-hilo y por tanto solo puede aprovechar un núcleo de la CPU al mismo tiempo. Suricata aprovecha los procesadores multi-núcleo y multi-threading. Existen benchmarks que demuestran una considerable diferencia de rendimiento.
- Aceleración mediante hardware: es posible utilizar tarjetas gráficas para inspecionar tráfico de red.
- Extracción de ficheros: si alguien se descarga malware en nuestro entorno, es posible capturarlo y estudiarlo desde Suricata.
- LuaJIT: nos proporcionará el poder que nos falta mediante scripting, pudiendo combinar varias reglas, para buscar elementos con mayor eficiencia.
- Más que paquetes: Suricata no solo es capaz de analizar paquetes, también puede revisar los certificados TLS/SSL, peticiones DNS, solicitudes HTTP…
Dadas sus fortalezas, no extraña que siga siendo una de las herramientas de detección de intrusiones más populares.
A veces llamado Bro-IDS o simplemente Bro, este sistema es algo distinto de los dos anteriores. En cierto modo, Bro es tanto un IDS basado en anomalías como en firmas. El tráfico capturado generará una serie de eventos. Por ejemplo, un evento podría ser un inicio de sesión de usuario a un FTP, conexión a servicio web o casi cualquier cosa.
El verdadero punto fuerte de Bro es el Intérprete de Políticas Script. Con su propio lenguaje de adminsitración (Bro-Script) nos ofrece posibilidades muy interesantes.
Si alguna vez has querido automatizar parte de tus tareas de análisis y recolección de datos, esta es la herramienta que buscas. Por poner un ejemplo de su versatilidad, con Bro podríamos descargar ficheros encontrados en nuestro entorno, remitirlos para un análisis de malware, notificar si se encuentra un problema y después introducir en la lista negra la fuente del mismo. Como colofón, incluso podríamos apagar el equipo remoto del usuario que lo descargó.
En caso de no ser un analista con cierta experiencia, podrías acusar una curva de aprendizaje bastante fuerte y quizá deberías fijarte antes en otra herramienta como Suricata o Snort. Sin embargo, en caso contrario te interesa bastante, porque además es capaz de detectar más patrones de actividad que la mayoría de IDS.
Del mismo modo que Snort se convirtió en el estandar para análisis de intrusiones en red, Kismet se ha ido convirtiendo en una referencia para IDS wireless. Un IDS Wireless tiene menos que ver con la carga de paquetes en sí, y más con los eventos que suceden en la red.
WIDS encontrará, por ejemplo, Puntos de acceso falsos o simulados (Rogue AP) que incluso podrían ser creados sin maldad por un empleado de la empresa, abriendo una brecha en la red. En cualquier caso, si nuestra red dispone de repetidores y puntos de acceso WiFi, es ideal para evitar intentos de suplantación de nuestra SSID/Mac y por tanto, evitrar ataques MiTM.
IDS basados en cliente (HIDS)
Ahora analizaremos algunas muestras importantes de Host IDS o sistemas de detección de intrusiones basadas en cliente. Funcionan mediante el análisis de la actividad que tiene lugar a nivel interno en una máquina.
Un HIDS se ocupa de buscar actividad considerada sospechosa o potencialmente dañina, mediante el examen de los LOG o archivos de registro del sistema operativo. Para ello compara versiones de los archivos clave (comprobando si han sufrido alteraciones), realizando el seguimiento del software instalado y a veces auditando las conexiones de red que realiza el sistema anfitrión.
Los primeros sistemas HIDS eran bastsante rudimentarios, normalmente limitándose a crear solamente hashes md5, de forma recurrente, para buscar discrepancias. Sin embargo con el tiempo se han vuelto bastante complejos y realizan un número mayor de comprobaciones.
Además, si queremos cumplir con el estandar PCI-DSS es obligatorio contar con HIDS.
En el mundo de los sistemas de Detección de Intrusiones basadas en Host o HIDS no existe mucha vida más allá de OSSEC. Al menos, si buscamos un sistema «total», probado y con un buen soporte. Digamos que OSSEC es la referencia absoluta en este ámbito, cuya alternativa únicamente podría ser Tripwire OpenSource si queremos cambiar a otro sistema con garantías.
OSSEC se ejecutará sin problemas en cualquier sistema operativo y utiliza una arquitectura de cliente-servidor, tan importante en un sistema tipo HIDS. ¿Por qué? Debido a que un HIDS podría ser también afectado por un ataque (con el consiguiente compromiso de la información forense recabada por él) y por tanto es vital que toda la información tratada en el sistema sea evacuada a una ubicación segura cuanto antes.
Así, este sistema incorpora una arquitectura en la que se envían alertas y registros a un servidor centralizado, donde se podrá llevar a cabo el análisis de datos, incluso si el sistema es comprometido/atacado.
Otra ventaja innegable es la de contar con un control centralizado de los agentes desde un servidor único. Dado que los despliegues pueden alcanzar cientos o miles de clientes, por el bien del administrador es necesario poder hacerlo en bloque.
OSSEC Wazzuh ha sido recientemente actualizado y es un sistema totalmente recomendable por su potencia y elasticidad. La instalación es extremadamente liviana (menos de 1 MB) y la mayor parte del análisis tiene lugar en el servidor especificado, así que la carga sobre los clientes será inapreciable.
Principales características del sistema:
- Agentes disponibles para cualquier sistema operativo mayoritario
- Dispone de agentes compilados para Windows
- Funcionalidad muy extensa
- Instalación sencilla
OSSEC se integra de forma completa con USM, tanto para instalar un agente en servidores, modificar políticas o investigar las capacidades de respuesta activa del sistema HIDS. Todo se puede hacer desde el entorno USM, y los clientes de OSSEC están pre-integrados en los motores de Correlación y SIEM.
Al contrario que OSSEC, Tripwire opensource está disponible tanto como software libre como versión empresarial (de pago). El sistema de Tripwire fue uno de los pioneros en tecnología HIDS, allá por 1992. Muchas de las características originarias de este sistema se han ido convirtiendo en estándares para la industria.
Una limitación de Tripwire Opensource se refiere a su compatibilidad, pues es compatible únicamente con Linux/Nix. Sin embargo, la versión «Enterprise» si soporta sistemas Windows.
La versión opensource evidentemente tiene menos capacidades que la empresarial, aunque podemos decir que la básica es bastante completa en comparación con otras similares. Tampoco dispondremos en la versión libre de control e informes centralizados o de características de automatización avanzadas.
Los agentes de Tripwire Opensource monitorizan los sistemas Linux para detectar y reportar cambios no autorizados en directorios y archivos. Lo primero que hará es crear una «línea base» del sistema actual, que guardará en un archivo cifrado. Luego realizará un seguimiento para evitar cambios de permisos, cambios en archivos, etc.
Además de su utilidad para detectar intrusiones una vez estas ocurren, también podemos sacar provecho del sistema para asegurar la integridad de la información, llevar un control de cambios y asegurar el cumplimiento de políticas.
Consideraciones
Con Tripwire OpenSource debemos tener en cuenta dos cosas:
- No generará alertas en tiempo real para la función HIDS. Los detalles solamente se almacenan en ficheros LOG para revisión posterior.
- No detectará intrusions previamente existentes en el sistema, así que es recomendable instalar esta solución inmediatamente después de instalar el sistema operativo.
Si comparamos Samhain con OSSEC, podemos calificarlo como uno de los mejores competidores disponibles. Sin embargo, la comparación directa entre ambos estaría un poco desvirtuada, ya que a pesar de su estructura cliente-servidor, Samhain no se comporta de la misma forma que este.
El agente de este sistema tiene una amplia variedad de salidas, no solo la de servidor central sino además otras como Email, Syslog o RDBMS. Otra importante diferencia es dónde se realizan los análisis. En OSSEC los análisis se realizan en el servidor mientras en Samhain tiene lugar en el mismo cliente.
Principales características del sistema:
- Instalación más difícil
- Clientes Windows requieren Cygwin para funcionar
- Gran funcionalidad para FIM (File Integrity Monitoring)
- Cliente muy flexible
Herramientas FIM – File Integrity Monitoring
Existen más sistemas comúnmente tratados como HIDS, pero que en realidad no son tan completos y se limitan a garantizar la integridad y cambios no autorizados en archivos y directorios.
- AIDE
- OS Tripwire
- Afick
Conclusiones
Como podéis ver, no por el hecho de ser Sistemas de Detección de Intrusiones opensource son menos sofisticados, en muchos casos, que otros sistemas propietarios. Además, si queréis probar todos ellos sin esfuerzo existe una distribución de Linux –Security Onion– desde la que podréis hacerlo rápidamente.
No me gustaría despedir el artículo de hoy sin agradeceros de antemano su lectura y pediros que aportéis aquello que os parezca útil para completar la información 🙂
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
Qué tal, este software puede ayudar para detectar ataques arp poison o arp spoofing en mi red local? Estoy teniendo muchos problemas en mi red al respecto, la red inalámbrica se cae o se congela, y también mis clientes cableados dejan de navegar. Estuve escaneando mi red con wireshark y con XArp en Windows y me muestra muchos paquetes arp de 2 o 3 Macs diferentes.
Saludos
Hola Pozolero, algunos de estos IDS te servirán mejor que otros para detectar ese tipo de eventos, pero descarta antes problemas como corrupción en la ARP, problemas en drivers, etc. Saludos
Hola, he configurado AlienVault OSSIM y es la mejor solcion, en su version CE es bastante robusta y la informaicon otorgada ademas de las opciones para remediar los problemas muy detallada a intuitiva.
Hola Milo, muchas gracias por opinar sobre dicho producto, tiene una pinta estupenda aunque no he tenido la oportunidad de probarlo todavía. Saludos
Tengo instalado un servidor con Windows Server 2019, creado con un dominio con varias PC, por favor cual de estos sistemas IDS me aconsejaría . Me sería de mucha utilidad. Vamos a dejar de un lado las distribuciones basadas en Linux o Cortafuegos como pfsense, m0n0wall,etc, que son muy buenas en este sentido. Saludos
Excelente publicación. Muy bien explicado todo. Gracias.
¡Hola Alejandro! Veo que en tu nota mencionas a OSSEC, pero agregas una captura de Wazuh, si bien Wazuh esta basado en OSSEC, es un producto y una empresa completamente diferente. Wazuh, al igual que OSSEC es 100% open source, pero tiene mucho más soporte en un montón de aspectos. Una comunidad open source de más de 10 mil usuarios y más de 10 millones de descargas por año. Si necesitas más información al respecto para actualizar la nota, no dudes en contactarme. Saludos