INTRODUCCION

La gran cantidad de riegos informticos como virus, troyanos, gusanos y malware

a los cuales se encuentra expuesta la informacin y/o datos vitales de los
usuarios, hace necesario que el resguardo de esta forme parte de las prioridades
en las organizaciones, siendo necesario no solo la implementacin de hardware
que blinde la informacin, sino tambin la implementacin de software que
colabore en esta labor.
Las herramientas de deteccin de intrusos, son aplicaciones que poseen la
versatilidad de funcionar tanto en grandes como en pequeos grupos de
computadoras, o en un nico computador, permitiendo proteger la informacin
almacenada dentro de ellos. El surgimiento de las herramientas de deteccin de
intrusos (IDS) se bas en el intento de mitigar acciones efectuadas por terceros
que aprovechan vulnerabilidades de los Sistemas Operativos y/o el uso de
malware para acceder a computadoras para extraer informacin y comprometer el
Sistema Operativo.
La inseguridad informtica evoluciona constantemente con mtodos y formas de
vulnerar las diversas herramientas de seguridad existentes, por ello, estas
herramientas deben evolucionar acorde con las nuevas vulnerabilidades y
amenazas. Los troyanos han surgido como uno de los malware utilizados por los
ciberdelincuentes por la confiabilidad que ofrece y la versatilidad que posee.
Sistema de Deteccin de Intrusos
Un IDS es una herramienta de seguridad que intenta detectar o monitorizar los
eventos ocurridos en un determinado sistema informtico o red informtica en
busca de intentos de comprometer la seguridad de dicho sistema.
Estos sistemas buscan patrones previamente definidos que impliquen cualquier
tipo de actividad sospechosa o maliciosa sobre nuestra red o host. Adems
aportan a nuestra seguridad una capacidad de prevencin y de alerta anticipada
ante cualquier actividad sospechosa. Cabe mencionar que no estn diseados
para detener un ataque, aunque si pueden generar ciertos tipos de respuesta
cuando se presenta uno.
Con los IDS aumentamos la seguridad de nuestro sistema, vigilamos el trfico de
nuestra red, examinamos los paquetes analizndolos en busca de datos
sospechosos detectando las primeras fases de cualquier ataque.
Tipos de IDS:
Host IDS (HIDS).- Protege contra un nico Servidor, PC o host. Monitoriza gran
cantidad de eventos, analizando actividades con una gran precisin, determinando
de esta manera que proceso y usuarios se involucran en una determinada accin.
Recaban informacin del sistema como ficheros, logs, recursos, etc, para su
posterior anlisis en busca de posibles incidencias.

Net IDS (NIDS).- Protege un sistema basado en red. Actan sobre una red
capturando y analizando paquetes de red, es decir, son sniffers del trfico de red.
Luego analizan los paquetes capturados, buscando patrones que supongan algn
tipo de ataque. Bien ubicados, pueden analizar grandes redes y su impacto en el
trfico suele ser pequeo. Actan mediante la utilizacin de un dispositivo de red
configurado en modo promiscuo (analiza todos los paquetes que circulan por un
segmento de red aunque estos no vayan dirigidos a un determinado equipo).
Analizan el trfico de red, normalmente, en tiempo real. No solo trabajan a nivel
TCP/IP, tambin lo pueden hacer a nivel de aplicacin.
Tambin se pueden clasificar en tipo de respuesta como:
Pasivos.- Son aquellos IDS que notifican al administrador de la red mediante el
sistema que sea, alerta, etc. Pero no acta sobre el ataque o atacante.
Activos.- Generan algn tipo de respuesta sobre el sistema atacante o fuente de
ataque como cerrar la conexin o enviar algn tipo de respuesta predefinida en
nuestra configuracin.
Arquitectura de un IDS:
A grandes rasgos est formada de la siguiente manera:
1. La fuente de recogida de datos. Estas fuentes pueden ser un log,
dispositivo de red, o como en el caso de los IDS basados en host, el propio
sistema.
2. Reglas que contienen los datos y patrones para detectar anomalas de
seguridad en el sistema.
3. Filtros que comparan los datos snifados de la red o de logs con los patrones
almacenados en las reglas.
4. Detectores de eventos anormales en el trfico de red.
5. Dispositivo generador de informes y alarmas. En algunos casos con la
sofisticacin suficiente como para enviar alertas va mail, o SMS.
Herramienta OSSEC
OSSEC es un sistema desarrollado por Trend Micro para la deteccin de
intrusiones basado en host de cdigo abierto. Cuenta con un potente motor de
correlacin que realiza anlisis de registros, presentar comprobacin de la
integridad, seguimiento de polticas, deteccin de rootkits (herramientas para
introducirse a un sistema), alertas en tiempo real y respuesta activa.
Es un proyecto en crecimiento con ms de 5,000 descargas al mes en promedio.
Est siendo utilizado por los ISPs, universidades, gobiernos y hasta grandes
centros de datos corporativos como su solucin principal HIDS. Tambin cuenta
con seguimiento y anlisis de cortafuegos, IDS, servidores web y registro de
autenticacin.

OSSEC fue escrito por Daniel B. Cid. quien lo publico en el 2004. En junio de
2008, OSSEC y todos los derechos de autor fueron adquiridos por Third Brigade,
Inc. Esta compaa se comprometi a seguir contribuyendo a la comunidad de
cdigo abierto y ampliar el apoyo comercial y formacin a la comunidad de
OSSEC. En mayo de 2009 Trend Micro adquiere a Third Brigade y con ello el
proyecto OSSEC, con la promesa de mantenerlo como cdigo abierto y libre.
Caractersticas.
OSSEC es una plataforma completa para monitorear y controlar los sistemas. Se
mezcla a todos los aspectos de HIDS (deteccin de intrusos basado en host).
Permite a los clientes detectar y alertar sobre las modificaciones del sistema de
archivos no autorizados y comportamiento malicioso incrustado en los archivos de
registro de productos COTS, as como aplicaciones personalizadas.
OSSEC es un sistema multiplataforma, esto quiere decir que lo soportan varios
sistemas operativos como Linux, MacOS, Solaris, HP-UX, AIX y Windows.
El sistema permite a los clientes configurar incidentes de los cuales quieren ser
alertados, aumentado la prioridad de los mismos. Tiene integracin smtp, sms y
syslog que permite a los clientes ser alertados mediante el envi de estos a su
correo electrnico y dispositivos porttiles. Tambin dispone de respuesta activa
para bloquear un ataque inmediato.
OSSEC puede ser integrado a la infraestructura que el cliente tenga, tales como
productos para la presentacin de informes centralizados y correlacin de eventos
SIM/SEM (Gestin de Incidentes de Seguridad/Gestin de Seguridad de Eventos).
Posee un servidor de administracin centralizada simplificada para administrar las
polticas a travs de mltiples sistemas operativos. Adems permite definir
anulaciones especficas de servidor para las polticas de grado alto.
El sistema ofrece la flexibilidad de monitoreo de los sistemas y componentes de
red, tales como routers y firewalls basado en agentes y sin agentes. Permitiendo
restricciones en software que se instalan en los sistemas (como los sistemas o
aparatos aprobados por la FDA) satisfaciendo las necesidades de seguridad y
cumplimiento.
Caractersticas principales.
Archivo de Comprobacin de integridad.- Tiene como objetivo la integridad de los
archivos de control (o FIM- monitorizacin de integridad de archivos) detectando
cambios y avisando cuando se producen. Esto puede ser causado por un ataque o
un mal uso por parte de un empleado o incluso un error tipogrfico por un
administrador, cualquier archivo, directorio o cambio de registro el sistema alerta
de lo sucedido.

Monitoreo de log.- Sabiendo que cada sistema operativo, aplicacin y dispositivo

de red genera un registro (evento) para hacer saber lo que sucede, OSSEC
recopila, analiza y correlaciona estos registro para saber si algo malo est
pasando (ataque, mal uso, errores, etc.).
Deteccin Rookit.- Los hackers (o delincuentes informticos) quieren ocultar sus
acciones, pero el uso de deteccin de rootkits puede notificar cuando ellos
cambian el sistema de esta manera.
Respuesta activa.- El sistema toma respuestas inmediatas y automticas cuando
algo sucede. De esta manera se alerta al administrador y este puede bloquear de
manera correcta el ataque.
Como funciona
OSSEC se compone de mltiples piezas. Cuenta con un gestor central que da
seguimiento a todo y recibe informacin de los agentes, syslog, bases de datos y
dispositivos sin agente.
Administrador.- Es la pieza central de la implementacin OSSEC. Almacena la
integridad del archivo de comprobacin de las bases de datos, los registros,
eventos y entradas de auditoria del sistema. Todas las reglas, decodificadores y
las principales opciones de configuracin se almacenan centralmente en el
administrador, siendo un sistema fcil de administrar, incluso si se cuenta con un
gran nmero de agentes.
Agentes.- Es un pequeo programa que se instala en los sistemas que se deseen
supervisar. Se recopila informacin sobre el en tiempo real y se la enva al
administrador. El programa utiliza muy poca memoria de CPU por defecto, as no
afecta el uso del sistema.
Seguridad del Agente.- Se ejecuta con un nivel de privilegio bajo (creado durante
la instalacin). La mayor parte de la configuracin del agente se hace desde el
administrador, y solo algunos de ellos se almacenan localmente en cada agente.
En caso de que se modifiquen estas opciones locales, el administrador recibir la
informacin y se generara una alerta.
Sin agente.- Para los sistemas donde no se pudo instalar un agente, OSSEC
permite llevar a cabo el monitoreo de integridad de archivos en ellos sin el agente
instalado. Este puede ser til para monitorear los firewalls, routers e incluso
sistemas Unix en el que no est permitido instalar el agente.
Virtualizacin.- OSSEC permite instalar el agente en los Sistemas de Mquinas
Virtuales. Con el agente instalado en el interior del Sistemas de Mquina Virtual se
puede obtener alertas sobre cundo se va a instalar un sistema invitado, cuando
se desinstalo uno, cuando comenz, etc. Tambin supervisa el inicio de sesin,
cierres de sesin y errores dentro del servidor.

Firewalls, Switches y Routers.- OSSEC puede recibir y analizar los eventos de

syslog de una gran variedad de firewalls, switches y routers. Es compatible con
todos los routers Cisco, Cisco PIX, Cisco FWSM, Cisco ASA, Juniper Routers y
muchos ms.
OSSEC Tiene dos formas de trabajo:

Modo local: Se debe instalar en cada nodo que tiene que ser protegido.
Entonces, en cada nodo se llevan a cabo todas las funciones de OSSEC.
Modo servidor/agente: Se instala en una nica maquina (servidor) donde se
realiza el anlisis y la correlacin de eventos. Las dems maquinas envan
los eventos al servidor, de forma que el conjunto es mucho ms sencillo de
configurar y administrar.

Herramienta Snort
Snort es un IDS basado en red (NIDS). Implementa un motor de deteccin de
ataques y barrido de puertos que permite registrar, alertar y responder ante
cualquier anomala previamente definida como patrones que corresponden a
ataques, barridos, intentos de aprovechar alguna vulnerabilidad, anlisis de
protocolos, etc. Todo en tiempo real.
Es un sistema disponible bajo licencia GPL, gratuito y funciona en plataformas
Windows y UNIX/Linux. Es uno de los sistemas ms usados y dispone de una
gran cantidad de filtros o patrones ya predefinidos, as como actualizaciones
constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo
detectadas a travs de los distintos boletines de seguridad.
Esta herramienta implementa un lenguaje de creacin de reglas flexibles, potente
y sencillo. Durante su instalacin ya nos provee de cientos de filtros o reglas para
backdoor, ddos, finger, ftp, ataques web, CGI, escaneos Nmap, etc.
Snort se puede utilizar como sniffer (viendo en consola en tiempo real lo que
ocurre en nuestra red), registro de paquetes (guardando en un archivo los logs
para su posterior anlisis) o como un IDS normal.
Snort fue diseado para tratar de solventar una solucin no muy costosa. Las
ideas originales en las que se basa su desarrollo vienen del movimiento Open
Source, cuyo pionero fue Richard Stallman durante la dcada de los 80. Snort
confa en la ideologa de que una aplicacin desarrollada en base a ideas Open
Source puede ser superior a una equivalente que siga mtodos propietarios
tradicionales Eric S. Raymond- The Cathedral and the Bazaar.
Fue lanzado en 1998 por Martin Roesch e inicialmente declarado como un
ligthweight intrusin detection technology. En ese entonces Snort lleno un hueco
en el mbito de los sistemas de seguridad de red siendo un aplicacin ligera capaz

de monitorizar pequeas redes TCP/IP y de detectar una amplia variedad de

trafico sospechoso, as como ataques ya conocidos. Tambin proporcionaba
suficiente informacin a los administradores del sistema para que tomaran
decisiones en cuanto a actividades sospechosas.
Bsicamente Snort es un analizador de paquetes de red que funciona como
sistema de deteccin de intrusos y est basado en librera libcap, una interfaz de
sistema para la captura de paquetes que se cre como parte de la aplicacin
tcpdump. Esta librera permite a los desarrolladores poder recibir paquetes de la
capa de enlace de datos y trabajar sobre ellos. La principal caracterstica que
distingue a Snort de tcpdump es la inspeccin del payload del paquete. Esto le
permite detectar un gran abanico de actividades hostiles, incluyendo buffer
overflows, escaneo de vulnerabilidades CGI o cualquier otra que pueda ser
detectada en el payload.
Caractersticas
Una caracterstica importantes es su herramienta FlexResp implementada desde
hace pocas versiones. Permite, dada una conexin que emita trafico malicioso,
darla de baja, hacerle un DROP mediante el envi de un paquete con el flag RST
activa, con lo cual cumple funciones de firewall, cortando conexiones que cumplan
ciertas reglas predefinidas.
Otra caracterstica notable es su subsistema flexible de firmas de ataques. Con
este sistema aportamos a nuestra seguridad una capacidad de prevencin y de
alerta anticipada ante cualquier actividad sospechosa.
Snort dispone de siete modos de alertas en la lnea de rdenes, completa, rpida,
Socket, Syslog, Smb (WinPopup), consola y ninguno. Los usuarios pueden crear
firmas basadas en las caractersticas de los nuevos ataques de red y enviarlas a la
lista de correo de firmas de Snort, para que as todos los usuarios de Snort se
puedan beneficiar. Esta tica de comunidad y compartir ha convertido a Snort en
uno de los IDS basados en red ms populares, actualizado y robustos.

Bibliografa
http://www.ossec.net/
http://dcid.me/ossec.html
http://repository.upb.edu.co:8080/jspui/bitstream/123456789/2042/1/digital_24096.
pdf
http://www.maestrosdelweb.com/snort/

http://bibing.us.es/proyectos/abreproy/12077/fichero/memoria%252Fpor_capitulos
%252F04.snort.pdf
http://www.ecured.cu/index.php/Snort
https://www.snort.org/