La seguridad es un tema candente y lo ha sido durante bastanteUn rato. Hace muchos años, los virus eran las únicas preocupaciones de los administradores de sistemas. Los virus eran tan comunes que abrieron el camino para una asombrosa variedad de herramientas de prevención de virus. Hoy en día, casi nadie pensaría en ejecutar una computadora desprotegida. Sin embargo, la intrusión informática o el acceso no autorizado a sus datos por parte de usuarios malintencionados es la "amenaza del día". Las redes se han convertido en el objetivo de numerosos piratas informáticos mal intencionados que harán todo lo posible para obtener acceso a sus datos. Su mejor defensa contra este tipo de amenazas es un sistema de detección o prevención de intrusos. Hoy, estamos revisando diez de las mejores herramientas gratuitas de detección de intrusos.
Antes de comenzar, primero discutiremos eldiferentes métodos de detección de intrusos que están en uso. Al igual que hay muchas formas en que los intrusos pueden ingresar a su red, también hay muchas formas, quizás incluso más, de detectarlas. Luego, analizaremos las dos categorías principales del sistema de detección de intrusos: detección de intrusos en la red y detección de intrusos en el host. Antes de continuar, explicaremos las diferencias entre la detección de intrusos y la prevención de intrusos. Y finalmente, le daremos una breve revisión de diez de las mejores herramientas gratuitas de detección de intrusos que pudimos encontrar.
Métodos de detección de intrusiones
Básicamente, se utilizan dos métodos diferentes paradetectar intentos de intrusión Podría estar basado en firmas o en anomalías. Veamos en qué se diferencian. La detección de intrusiones basada en firmas funciona mediante el análisis de datos para patrones específicos que se han asociado con intentos de intrusión. Es algo así como los sistemas antivirus tradicionales que se basan en definiciones de virus. Estos sistemas compararán datos con patrones de firma de intrusión para identificar intentos. Su principal inconveniente es que no funcionan hasta que se carga la firma adecuada en el software, que generalmente ocurre después de que un cierto número de máquinas han sido atacadas.
La detección de intrusiones basada en anomalías proporciona unmejor protección contra ataques de día cero, aquellos que suceden antes de que cualquier software de detección de intrusos haya tenido la oportunidad de adquirir el archivo de firma adecuado. En lugar de tratar de reconocer patrones de intrusión conocidos, estos buscarán anomalías. Por ejemplo, detectarían que alguien intentó acceder a un sistema con una contraseña incorrecta varias veces, una señal común de un ataque de fuerza bruta. Como habrás adivinado, cada método de detección tiene sus ventajas. Es por eso que las mejores herramientas a menudo usan una combinación de ambas para la mejor protección.
Dos tipos de sistemas de detección de intrusiones
Al igual que hay diferentes métodos de detección.También hay dos tipos principales de sistemas de detección de intrusos. Difieren principalmente en la ubicación donde se realiza la detección de intrusiones, ya sea a nivel de host o a nivel de red. Una vez más, cada uno tiene sus ventajas y la mejor solución, o la más segura, es usar ambas.
Sistemas de detección de intrusiones de host (HIDS)
El primer tipo de sistema de detección de intrusos.opera a nivel de host. Podría, por ejemplo, verificar varios archivos de registro para detectar cualquier signo de actividad sospechosa. También podría funcionar comprobando los archivos de configuración importantes para detectar cambios no autorizados. Esto es lo que haría HIDS basado en anomalías. Por otro lado, los sistemas basados en firmas verían los mismos archivos de registro y configuración, pero buscarían patrones de intrusión conocidos específicos. Por ejemplo, se puede saber que un método de intrusión particular funciona agregando una determinada cadena a un archivo de configuración específico que el IDS basado en la firma detectaría.
Como podría haber imaginado, HIDS están instaladosdirectamente en el dispositivo que deben proteger, por lo que deberá instalarlos en todas sus computadoras. sin embargo, la mayoría de los sistemas tienen una consola centralizada donde puede controlar cada instancia de la aplicación.
Sistemas de detección de intrusiones en red (NIDS)
Sistemas de detección de intrusos en red, o NIDS,trabaje en el borde de su red para forzar la detección. Utilizan métodos similares a los sistemas de detección de intrusos del host. Por supuesto, en lugar de buscar archivos de registro y configuración, buscan un tráfico de red, como solicitudes de conexión. Se sabe que algunos métodos de intrusión explotan vulnerabilidades enviando paquetes malformados a propósito a los hosts, haciéndolos reaccionar de una manera particular. Los sistemas de detección de intrusos en la red podrían detectarlos fácilmente.
Algunos dirían que los NIDS son mejores que los HIDSya que detectan ataques incluso antes de que lleguen a sus computadoras. También son mejores porque no requieren que se instale nada en cada computadora para protegerlos de manera efectiva. Por otro lado, proporcionan poca protección contra los ataques internos que desafortunadamente no son poco comunes. Este es otro caso en el que la mejor protección proviene del uso de una combinación de ambos tipos de herramientas.
Detección de intrusos contra la prevención
Hay dos géneros diferentes de herramientas en elmundo de protección contra intrusos: sistemas de detección de intrusos y sistemas de prevención de intrusos. Aunque tienen un propósito diferente, a menudo hay cierta superposición entre los dos tipos de herramientas. Como su nombre lo indica, la detección de intrusos detectará intentos de intrusión y actividades sospechosas en general. Cuando lo hace, generalmente activará algún tipo de alarma o notificación. Luego le corresponde al administrador tomar las medidas necesarias para detener o bloquear este intento.
Los sistemas de prevención de intrusiones, por otro lado,trabajar para evitar que las intrusiones sucedan por completo. La mayoría de los sistemas de prevención de intrusiones incluirán un componente de detección que activará alguna acción cada vez que se detecten intentos de intrusión. Pero la prevención de intrusiones también puede ser pasiva. El término se puede usar para referirse a los pasos que se implementan para evitar intrusiones. Podemos pensar en medidas como el fortalecimiento de la contraseña, por ejemplo.
Las mejores herramientas gratuitas de detección de intrusiones
Los sistemas de detección de intrusos pueden ser caros,muy caro. Afortunadamente, hay bastantes alternativas gratuitas disponibles. Hemos buscado en Internet algunas de las mejores herramientas de software de detección de intrusos. Encontramos bastantes y estamos a punto de revisar brevemente los diez mejores que pudimos encontrar.
1. OSSEC
OSSEC, que significa Open Source Security, esCon mucho, el sistema líder de detección de intrusiones de host de código abierto. OSSEC es propiedad de Trend Micro, uno de los nombres líderes en seguridad de TI. El software, cuando se instala en sistemas operativos tipo Unix, se centra principalmente en archivos de registro y configuración. Crea sumas de verificación de archivos importantes y los valida periódicamente, alertándote si sucede algo extraño. También monitoreará y detectará cualquier intento extraño de obtener acceso de root. En Windows, el sistema también vigila las modificaciones de registro no autorizadas.
OSSEC, al ser un sistema de detección de intrusos hostdebe instalarse en cada computadora que desea proteger. Sin embargo, consolidará la información de cada computadora protegida en una sola consola para facilitar la administración. El software solo se ejecuta en sistemas Unix-Like, pero hay un agente disponible para proteger los hosts de Windows. Cuando el sistema detecta algo, se muestra una alerta en la consola y se envían notificaciones por correo electrónico.
2. Resoplar
Al igual que OSSEC fue el principal HIDS de código abierto,Snort es el principal NIDS de código abierto. Snort es en realidad más que una herramienta de detección de intrusos. También es un rastreador de paquetes y un registrador de paquetes. Pero lo que nos interesa por ahora son las funciones de detección de intrusos de Snort. Algo parecido a un firewall, Snort se configura mediante reglas. Las reglas básicas se pueden descargar desde el sitio web de Snort y personalizarse según sus necesidades específicas. También puede suscribirse a las reglas de Snort para asegurarse de obtener siempre las últimas a medida que evolucionan a medida que se identifican nuevas amenazas.
Las reglas básicas de Snort pueden detectar una amplia variedadde eventos como escaneos de puertos furtivos, ataques de desbordamiento de búfer, ataques CGI, sondas SMB y huellas digitales del sistema operativo. Lo que detecta su instalación de Snort depende únicamente de las reglas que haya instalado. Algunas de las reglas básicas que se ofrecen están basadas en firmas, mientras que otras están basadas en anomalías. Usar Snort puede brindarte lo mejor de ambos mundos
3. Suricata
Suricata se anuncia como una intrusiónsistema de detección y prevención y como un ecosistema completo de monitoreo de seguridad de red. Una de las mejores ventajas de esta herramienta sobre Snort es que funciona hasta la capa de aplicación. Esto permite que la herramienta detecte amenazas que podrían pasar desapercibidas en otras herramientas al dividirse en varios paquetes.
Pero Suricata no solo funciona en la aplicacióncapa. También supervisará el protocolo de nivel inferior, como TLS, ICMP, TCP y UDP. La herramienta también comprende protocolos como HTTP, FTP o SMB y puede detectar intentos de intrusión ocultos en solicitudes normales. También hay una capacidad de extracción de archivos que permite a los administradores examinar ellos mismos los archivos sospechosos.
En cuanto a la arquitectura, Suricata está muy bien hecha ydistribuirá su carga de trabajo en varios núcleos y subprocesos del procesador para obtener el mejor rendimiento. Incluso puede descargar parte de su procesamiento a la tarjeta gráfica. Esta es una gran característica en los servidores, ya que su tarjeta gráfica está inactiva.
4. Bro Network Security Monitor
El siguiente en nuestra lista es un producto llamado BroNetwork Security Monitor, otro sistema gratuito de detección de intrusos en la red. Bro opera en dos fases: registro y análisis de tráfico. Al igual que Suricata, Bro opera en la capa de aplicación, lo que permite una mejor detección de intentos de intrusión dividida. Parece que todo viene en pares con Bro y su módulo de análisis está formado por dos elementos. El primero es el motor de eventos que rastrea eventos desencadenantes como conexiones TCP netas o solicitudes HTTP. Luego, los scripts de política analizan más a fondo los eventos que deciden si activar o no una alerta y lanzar una acción, lo que convierte a Bro en una prevención de intrusos además de un sistema de detección.
Bro te permitirá rastrear HTTP, DNS y FTPactividad, así como monitorear el tráfico SNMP. Esto es bueno porque, aunque SNMP se usa a menudo para la supervisión de la red, no es un protocolo seguro. Bro también le permite ver los cambios de configuración del dispositivo y las trampas SNMP. Bro se puede instalar en Unix, Linux y OS X, pero no está disponible para Windows, quizás su principal inconveniente.
5. Abra WIPS NG
Open WIPS NG apareció en nuestra lista principalmente porquees el único que se dirige específicamente a redes inalámbricas. Open WIPS NG, donde WIPS significa Wireless Intrusion Prevention System, es una herramienta de código abierto que consta de tres componentes principales. Primero, está el sensor, que es un dispositivo tonto que solo captura el tráfico inalámbrico y lo envía al servidor para su análisis. El siguiente es el servidor. Éste agrega datos de todos los sensores, analiza los datos recopilados y responde a los ataques. Es el corazón del sistema. Por último, pero no menos importante, está el componente de interfaz, que es la GUI que utiliza para administrar el servidor y mostrar información sobre amenazas en su red inalámbrica.
Sin embargo, no a todos les gusta Open WIPS NG. El producto es del mismo desarrollador que Aircrack NG, un rastreador de paquetes inalámbrico y un descifrador de contraseñas que forma parte del conjunto de herramientas de cada pirata informático WiFi. Por otro lado, dada su experiencia, podemos suponer que el desarrollador sabe bastante sobre seguridad de Wi-Fi.
6. Samhain
Samhain es un sistema de detección de intrusos de host gratuitoque proporciona comprobación de integridad de archivos y monitoreo / análisis de archivos de registro. Además, el producto también realiza detección de rootkits, monitoreo de puertos, detección de ejecutables SUID no autorizados y procesos ocultos. Esta herramienta ha sido diseñada para monitorear múltiples sistemas con varios sistemas operativos con registro centralizado y mantenimiento. Sin embargo, Samhain también se puede usar como una aplicación independiente en una sola computadora. Samhain puede ejecutarse en sistemas POSIX como Unix Linux u OS X. También puede ejecutarse en Windows bajo Cygwin, aunque solo el agente de monitoreo y no el servidor ha sido probado en esa configuración.
Una de las características más exclusivas de Samhain es sumodo sigiloso que le permite correr sin ser detectado por atacantes eventuales. Con demasiada frecuencia, los intrusos matan los procesos de detección que reconocen, lo que les permite pasar desapercibidos. Samhain usa la esteganografía para ocultar sus procesos de los demás. También protege sus archivos de registro centrales y copias de seguridad de configuración con una clave PGP para evitar la manipulación.
7. Fail2Ban
Fail2Ban es una intrusión de host gratuita interesanteSistema de detección que también tiene algunas características de prevención. Esta herramienta funciona monitoreando los archivos de registro para detectar eventos sospechosos, como intentos fallidos de inicio de sesión, búsquedas de exploits, etc. Cuando detecta algo sospechoso, actualiza automáticamente las reglas del firewall local para bloquear la dirección IP de origen del comportamiento malicioso. Esta es la acción predeterminada de la herramienta, pero se puede configurar cualquier otra acción arbitraria, como enviar notificaciones por correo electrónico.
El sistema viene con varios filtros preconstruidos.para algunos de los servicios más comunes como Apache, Courrier, SSH, FTP, Postfix y muchos más. La prevención se lleva a cabo modificando las tablas de firewall del host. La herramienta puede funcionar con Netfilter, IPtables o la tabla hosts.deny de TCP Wrapper. Cada filtro se puede asociar con una o muchas acciones. Juntos, los filtros y las acciones se denominan cárcel.
8. AYUDA
AIDE es un acrónimo de intrusión avanzadaAmbiente de detección. El sistema de detección de intrusiones de host gratuito se centra principalmente en la detección de rootkits y las comparaciones de firmas de archivos. Cuando instala inicialmente AIDE, compilará una base de datos de datos administrativos de los archivos de configuración del sistema. Esto se usa como una línea de base contra la cual se puede comparar cualquier cambio y eventualmente revertirlo si es necesario.
AIDE utiliza tanto la firma como la anomalíaanálisis que se ejecuta bajo demanda y no está programado o se ejecuta continuamente. Este es realmente el principal inconveniente de este producto. Sin embargo, AIDE es una herramienta de línea de comandos y se puede crear un trabajo CRON para ejecutarlo a intervalos regulares. Y si lo ejecuta con mucha frecuencia, como cada minuto, obtendrá datos casi en tiempo real. En esencia, AIDE no es más que una herramienta de comparación de datos. Se deben crear scripts externos para que sea un verdadero HIDS.
9. Cebolla de seguridad
Security Onion es una bestia interesante que puedeahorrarte mucho tiempo Este no es solo un sistema de detección o prevención de intrusos. Security Onion es una distribución completa de Linux con un enfoque en la detección de intrusos, monitoreo de seguridad empresarial y gestión de registros. Incluye muchas herramientas, algunas de las cuales acabamos de revisar. Por ejemplo, Security Onion tiene Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner y más. Todo esto se incluye con un asistente de configuración fácil de usar, que le permite proteger su organización en cuestión de minutos. Puede pensar en Security Onion como la navaja suiza de seguridad informática empresarial.
Lo más interesante de esta herramienta esque obtienes todo en una simple instalación. Y obtienes herramientas de detección de intrusos de red y host. Existen herramientas que utilizan un enfoque basado en firmas y algunas que están basadas en anomalías. La distribución también presenta una combinación de herramientas basadas en texto y GUI. Realmente hay una excelente mezcla de todo. El inconveniente, por supuesto, es que obtienes tanto que configurarlo todo puede tomar un tiempo. Pero no tiene que usar todas las herramientas. Puede elegir solo los que prefiera.
10. Sagan
Sagan es en realidad más un sistema de análisis de registrosque un IDS verdadero pero tiene algunas características similares a IDS que pensamos que justificaban su inclusión en nuestra lista. Esta herramienta puede ver los registros locales del sistema donde está instalado, pero también puede interactuar con otras herramientas. Podría, por ejemplo, analizar los registros de Snort, agregando efectivamente alguna funcionalidad NIDS a lo que es esencialmente un HIDS. Y no solo interactuará con Snort. También puede interactuar con Suricata y es compatible con varias herramientas de creación de reglas como Oinkmaster o Pulled Pork.
Sagan también tiene capacidades de ejecución de scriptconvirtiéndolo en un crudo sistema de prevención de intrusiones. Es probable que esta herramienta no se use como su única defensa contra la intrusión, pero será un gran componente de un sistema que puede incorporar muchas herramientas al correlacionar eventos de diferentes fuentes.
Conclusión
Los sistemas de detección de intrusiones son solo uno de losMuchas herramientas disponibles para ayudar a los administradores de redes y sistemas a garantizar el funcionamiento óptimo de su entorno. Cualquiera de las herramientas discutidas aquí son excelentes, pero cada una tiene un propósito ligeramente diferente. El que elija dependerá en gran medida de las preferencias personales y las necesidades específicas.
Comentarios