Los mejores IDS para Linux

enero 13, 2022 , 0 Comments

IDS intrusion detection system

La seguridad es un tema vital en cualquier sistema. Algunos creen que los sistemas *nix son invulnerables a cualquier ataque o que no pueden ser infectados con malware. Y eso es una idea errónea. Siempre hay que mantener la guardia, nada es 100% seguro. Por eso, deberías implementar sistemas que te ayuden a detectar, frenar, o minimizar los daños de un ciberataque. En este artículo verás qué es un IDS y algunos de los mejores para tu distro Linux.

¿Qué es un IDS?

Un IDS (Intrusion Detection System), o sistema de detección de intrusos, es un sistema de monitorización que detecta actividades sospechosas y genera una serie de alertas para informar de las violaciones (pueden ser detectadas por comparación de firmas de los archivos, escaneo de patrones o anomalías maliciosas, monitorizando comportamiento, configuraciones, tráfico de red …) que se hayan podido producir en el sistema.

Gracias a esas alertas, se puede investigar el origen del problema y tomar medidas adecuadas para remediar la amenaza. Aunque, no detecta todos los ataques, hay métodos de evasión, y tampoco los bloquea, solo informa de ello. Además, si se basa en firmas, las amenazas más recientes (0-day), también pueden escapar y no ser detectadas.

Tipos

Fundamentalmente, existen dos tipos de IDS:

  • HIDS (Host-Based IDS): se implementa en un endpoint o máquina en particular y está diseñado para detectar amenazas internas y externas. Ejemplos son OSSEC, Wazuh, y Samhain.
  • NIDS (Network-based IDS): para supervisar toda una red, pero carecen de visibilidad dentro de los endpoints conectados a dicha red. Ejemplos son Snort, Suricata, Bro, y Kismet.

Diferencias con un firewall, IPS y UTM, SIEM…

Existen varios términos que pueden llevar a confusión, pero que tienen diferencias con un IDS. Algunos de los términos relacionados con la seguridad que también deberías conocer son:

  • Firewall: se parece más a un IPS que a un IDS, ya que es un sistema de detección activo. Un cortafuegos está diseñado para bloquear o permitir ciertas comunicaciones, en función de las reglas que se hayan configurado. Se puede implementar tanto por software como por hardware.
  • IPS: son las siglas de Intrusion Prevention System, y es un complemento para un IDS. Es un sistema capaz de prevenir ciertos eventos, por tanto es un sistema activo. Dentro de los IPS se pueden distinguir 4 tipos fundamentales:
    • NIPS: basados en red y por tanto buscan tráfico de red sospechoso.
    • WIPS: como los NIPS, pero para redes inalámbricas.
    • NBA: se basa en el comportamiento de la red, examinando tráfico inusual.
    • HIPS: buscan actividades sospechosas en host únicos.
  • UTM: son las siglas de Unified Threat Managment, un sistema de gestión para ciberseguridad que proporciona múltiples funciones centralizadas. Por ejemplo, incluyen firewall, IDS, antimalware, antispam, filtrado de contenidos, algunos incluso VPN, etc.
  • Otros: también existen otros términos relacionados con la ciberseguridad que seguro has escuchado:
    • SIM: son las siglas de Security Information Manager, o gestión de información de seguridad. En este caso, es un registros central que agrupa todos los datos referentes a seguridad para generar informes, analizar, tomar decisiones, etc. Es decir, un conjunto de capacidades para almacenar a largo plazo dicha información.
    • SEM: una función Security Event Manager, o gestión de eventos de seguridad, se encarga de detectar patrones anormales en accesos, otorga la capacidad de monitorización en tiempo real, correlación de eventos, etc.
    • SIEM: es la combinación de SIM y SEM, y es una de las principales herramientas usadas en SOC o centros de operaciones de seguridad.

Los mejores IDS para Linux

IDS

En cuanto a los mejores sistemas IDS que puedes encontrar para GNU/Linux, tienes los siguientes:

  • Bro (Zeek): es de tipo NIDS y tiene funciones de registro de tráfico y análisis, monitor de tráfico SNMP, y actividad FTP, DNS, y  HTTP, etc.
  • OSSEC:  es de tipo HIDS, de código abierto y gratuito. Además, es multiplataforma, y sus registros incluyen también FTP, datos del servidor web y email.
  • Snort: es uno de los más famosos, de código abierto, y de tipo NIDS. Incluye sniffer para paquetes, registro para paquetes de red, threat intelligence, bloqueo de firmas, actualizaciones en tiempo real de las firmas de seguridad, habilidad para detectar eventos muy numerosos (OS, SMB, CGI, buffer overflow,  puertos ocultos,…).
  • Suricata: otro tipo NIDS, también de código abierto. Puede monitorizar actividad a bajo nivel, como TCP, IP, UDP, ICMP, y TLS, en tiempo real para aplicaciones como SMB, HTTP, y FTP. Permite la integración con herramientas de terceros como Anaval, Squil, BASE, Snorby, etc.
  • Security Onion: NIDS/HIDS, otro sistema IDS especialmente focalizado a las distros Linux, con capacidad para detectar intrusos, monitorización empresarial, sniffer de paquetes, incluye gráficos de lo que sucede, y se pueden usar herramientas como NetworkMiner, Snorby, Xplico, Sguil, ELSA, y Kibana.

Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.