Las 8 mejores herramientas open source de detección de intrusión

En la sociedad de la información en la que vivimos, es muy importante mantener seguras nuestras redes. Las empresas se esfuerzan en contener y evitar ataques que puedan poner en peligro esa información confidencial. Para ello, existen una serie de herramientas que intentan hacer lo más invulnerable posible nuestro sistema. En este artículo conoceremos las 8 mejores, para que puedas decidirte en caso de que necesites contar con alguna de ellas.

Actualmente, existen muchos Sistemas de Detección de Intrusiones (IDS), que van desde sistemas antivirus hasta sistemas jerárquicos , que monitorizan el tráfico de la red. Los más comunes son los siguientes:

• NIDS : Los sistemas de detección de intrusiones de red se colocan en puntos estratégicos de la red para supervisar el tráfico entrante y saliente de todos los dispositivos de la red. Pero la exploración de todo el tráfico podría conducir a la creación de cuellos de botella, lo que afecta a la velocidad general de la red.
• HIDS : Los sistemas de detección de intrusiones del host se ejecutan en máquinas o dispositivos separados de la red y proporcionan salvaguardias a la red general contra amenazas procedentes del exterior.
• IDS basados en firmas : Los IDS basados en firmas supervisan todos los paquetes de la red y los comparan con la base de datos de firmas, que son patrones de ataque preconfigurados y predeterminados. Funcionan de forma similar al software antivirus.
• IDS basados en anomalías : Estos IDS monitorean el tráfico de red y lo comparan con una línea de base establecida. La línea base determina lo que se considera normal para la red en términos de ancho de banda, protocolos, puertos y otros dispositivos, y el IDS alerta al administrador de todo tipo de actividad inusual.
• IDS Pasivo : Este sistema IDS realiza el sencillo trabajo de detección y alerta. Simplemente alerta al administrador de cualquier tipo de amenaza y bloquea la actividad en cuestión como medida preventiva.
• Identificación reactiva : detecta actividad malintencionada, alerta al administrador de las amenazas y también responde a esas amenazas.

Mejores herramientas open sourceSnort

Tras esta presentación de los distintos IDS, vamos a destacar las herramientas open source más importantes para combatir los ataques.

Snort

Creado por Martin Roesch en 1998, su principal ventaja es la capacidad para realizar análisis de tráfico en tiempo real y registro de paquetes en redes. Con la funcionalidad de análisis de protocolos, búsqueda de contenido y varios preprocesadores, Snort es muy utilizado para detectar gusanos, exploits, exploración de puertos y otras amenazas maliciosas . Puedes aprender esta herramienta con nuestro curso de seguridad en redes con Snort

Security Onion

Security Onion es distribuido por Linux y su objetivo es el monitoreo de seguridad de red y la administración de registros . Está basado en Ubuntu y se compone de muchas herramientas IDS como Snort, Suricata, Bro, Sguil, Squert, Snorby, ELSA, Xplico, NetworkMiner y muchas otras. Security Onion proporciona alta visibilidad y contexto al tráfico de la red, alertas y actividades sospechosas. Sin embargo, requiere una gestión adecuada por parte del administrador de sistemas para revisar las alertas, supervisar la actividad de la red y actualizar periódicamente las reglas de detección basadas en IDS. Las tres funciones principales de Security Onion son la captura completa de paquetes, IDS basados en host y redes y herramientas de análisis.

OpenWIPS-NG

Se trata de un sistema gratuito de detección y prevención de intrusiones inalámbricas que se basa en sensores, servidores e interfaces. Fue desarrollado por Thomas d'Otrepe de Bouvette, el creador del software Aircrack. OpenWIPS utiliza muchas funciones y servicios integrados en Aircrack-NG para el escaneo, la detección y la prevención de intrusiones .

Suricata

Suricata es un sistema de detección de intrusos de red de código abierto, rápido y muy robusto, desarrollado por la Open Information Security Foundation. El motor de Suricata es capaz de detectar intrusos en tiempo real, prevenir intrusiones en línea y monitorear la seguridad de la red. Además, consta de unos módulos como Captura, Recopilación, Decodificación, Detección y Salida. Captura el tráfico que pasa en un flujo antes de la decodificación . A diferencia de Snort, configura los flujos separados después de capturar y especifica cómo se separará el flujo entre los procesadores.

BroIDS

BroIDS es un analizador de tráfico de red pasivo desarrollado por Vern Paxson, y se utiliza para recopilar mediciones de red, realizar investigaciones forenses, etc . Incluye un conjunto de archivos de registro para registrar las actividades de red como las sesiones HTTP con URIs, encabezados de claves, respuestas de servidor, solicitudes de DNS, certificados SSL, sesiones SMTP, etc. Además, proporciona funcionalidad para el análisis y detección de amenazas, extracción de archivos de sesiones HTTP, detección de malware, vulnerabilidades de software, ataques de fuerza bruta SSH y validación de cadenas de certificados SSL.

OSSEC

Este IDS realiza tareas como análisis de registro, comprobación de integridad, supervisión del registro de Windows, detección de rootkits, alertas basadas en el tiempo y respuesta activa. El sistema OSSEC está equipado con una arquitectura centralizada y multiplataforma que permite que los administradores supervisen de forma precisa varios sistemas .

Open Source Tripwire

Su objetivo es detectar cambios en los objetos del sistema de archivos. En la primera inicialización, Tripwire explora el sistema de archivos según las instrucciones del administrador del sistema y almacena la información de cada archivo en una base de datos. Cuando se cambian los archivos en exploraciones futuras, los resultados se comparan con los valores almacenados y se informa de los cambios .

AIDE

AIDE (Advanced Intrusion Detection Environment) fue desarrollado por Rami Lehti y Pablo Virolainen. Es considerado como una de las herramientas más poderosas para monitorear cambios en sistemas UNIX o Linux. AIDE crea una base de datos a través de reglas de expresión regular que encuentra en los archivos de configuración . Al inicializar la base de datos, se verifica la integridad de los archivos.