El
software de detección de intrusos comprueba los cambios realizados por todo
tipo de programas no deseados que los ciberdelincuentes podrían
inyectar en tu sistema. Estas herramientas estudian los paquetes de datos,
tanto entrantes como salientes, para verificar qué tipo de datos se están
transfiriendo y te alertarán en caso de que encuentren algún tipo de actividad
sospechosa en el sistema o en la red.
El
software de detección de intrusos se desarrolló como una respuesta a la frecuencia
cada vez mayor de los ataques realizados en los sistemas. Dichas herramientas
generalmente inspeccionan la configuración del host con el fin de detectar todo
tipo de violaciones que podrían ser peligrosas para la red.
Los IDS también establecen varias formas para que la red registre cualquier actividad sospechosa y posible método de ataque para informarlo al administrador.
Los IDS también establecen varias formas para que la red registre cualquier actividad sospechosa y posible método de ataque para informarlo al administrador.
En
otras palabras, un IDS es bastante
similar a un firewall, pero más que protegerte contra ataques
desde fuera de la red, un IDS también puede identificar actividades sospechosas
y también ataques provenientes de la red.
Algunos
software IDS también pueden responder a la posible intrusión que se
detecta. Los programas que pueden reaccionar se conocen generalmente como
software de sistema de prevención de intrusiones (IPS).
En
términos generales, un Sistema de Detección de
Intrusos IDS muestra lo que está
sucediendo, y un IPS también actúa sobre las amenazas conocidas. Hay
algunos productos que combinan estas dos características, y te presento los
mejores en el mercado.
El mejor software de detección de intrusos para instalar en PC
Snort
para Windows es un software de intrusión de red de código abierto que es capaz
de realizar análisis de tráfico en tiempo real y registro de paquetes en redes
IP. El software puede realizar análisis de protocolos, búsquedas/coincidencias
de contenido y se puede usar para detectar
una variedad de ataques , como desbordamientos de búfer, escaneos de
puertos sigilosos, ataques CGI, análisis SMB, intentos de fingerprinting del
sistema operativo y mucho más.
Esta
herramienta se introdujo por primera vez en 1998 por Martin Roesch, y el
software se considera la herramienta de
seguridad de código abierto más antigua del mundo. Los
desarrolladores y administradores realmente no pueden imaginar una
implementación de red sin al menos un sensor Snort. El programa es
sencillo de implementar y tiene una gran cantidad de desarrolladores de código
abierto. La comunidad Snort soporta el software, pero también proporciona
los conjuntos de reglas centrales para algunos productos IDS/IPS comerciales.
Independientemente
de cómo decidas utilizar el software, descubrirás que es una herramienta sólida
para reunir y analizar el tráfico de la red. Con sus complementos, el software
puede funcionar tan bien como los productos de IDS más comerciales. El
despliegue en infraestructuras de red muy grandes también es posible, incluso
resultará un poco desafiante.
Debido
a su capacidad para ser implementado rápidamente, a sus capacidades muy
completas y su excelente soporte de la comunidad de código abierto, Snort es
usualmente el favorito de todos. También cuenta con una versión comercial –
Sourcefire.
2. Suricata
Suricata
es de código abierto y gratuito. Es un
motor de detección de amenazas extremadamente rápido, robusto y maduro. El
software incluso se ha llamado “Snort en esteroides” y puede ofrecer detección
de intrusos en tiempo real, prevención de intrusos y monitoreo de red. El
software usa reglas, lenguaje de firma y secuencias de comandos Lua para
detectar amenazas sofisticadas. Está
disponible para Linux, macOS, Windows y otras plataformas.
El
rápido desarrollo impulsado por la comunidad de este software se centra en la
seguridad, la usabilidad y la eficiencia.
Las
características del motor Suricata incluyen lo siguiente, ya que se presenta en
el sitio web oficial del software:
- Motor de sistema
de detección de intrusión de red (NIDS)
- Motor de sistema
de prevención de intrusiones de red (NIPS)
- Motor de
supervisión de seguridad de red (NSM)
- Análisis fuera
de línea de archivos PCAP
- Registro de
tráfico usando registrador pcap
- Modo de socket
Unix para el procesamiento automatizado de archivos PCAP
- Integración
avanzada con Linux Netfilter firewalling.
Suricata
es de código abierto y seguirá siendo de código abierto, que se regirá por la
comunidad y los proveedores que confían y ayudan a mantener el motor.
El
rastreador de errores del software, la hoja de ruta de desarrollo y el código están
disponibles para que todos lo vean en cualquier momento. Las decisiones de
entrada y características las toma la comunidad al aire libre.
Este
es también un software IPS gratuito compatible con Windows que proporciona
protección de red para sus usuarios avanzados.
El software manejará con éxito la
prevención de intrusos y también la detección
de malware. Es muy adecuado
para uso doméstico, incluso si su material de instrucción es complicado de
entender para el usuario promedio. El software es un sistema de
prevención de intrusiones de host que monitorea a un único host para
detectar cualquier tipo de actividad sospechosa.
Además
de los archivos habituales, los módulos de registro y aplicación, Malware Defender
también te proporcionará protección de red y debes habilitarlo. También
hay un monitor de conexión incluido, y esto lo convierte en el compañero
perfecto para cualquiera que use el propio firewall de Windows, pero que quiera
un control más detallado.
El
software tiene un excelente desempeño, pero su único inconveniente sería el
hecho de que sus complejidades lo hacen inadecuado para el usuario promedio.
Este
es un potente framework de análisis de
red que es muy diferente de los IDS típicos que puedes haber conocido hasta
ahora. El lenguaje de scripting específico del dominio de Bro permitirá
políticas de monitoreo específicas del sitio. El software se dirige
especialmente a redes de alto rendimiento, y se usa de forma operacional en una
variedad de sitios grandes. El programa viene lleno de analizadores para
muchos protocolos, y permite un análisis semántico de alto nivel en la capa de
aplicación. También mantiene un gran estado de capa de aplicación sobre la
red que monitorea.
El
programa está restringido a cualquier enfoque de detección particular, y no se
basa en firmas tradicionales. Bro se conecta con otras aplicaciones para
el intercambio de información en tiempo real.
Si
bien el programa se centra en la supervisión de la seguridad de la red,
proporcionará a los usuarios una plataforma completa para un análisis de tráfico de red más general también.
Este
es un sistema de software de detección de intruso basado en host de código
abierto que realiza la verificación de
integridad de archivos, análisis de registros, supervisión de políticas, detección
de rootkits, alertas en tiempo real y
respuestas activas, y se ejecuta en casi todas las plataformas, incluido
Windows.
El
software lo observa todo, y supervisa activamente todos los aspectos de la
actividad del sistema Unix. Con este programa, ya no estarás en la
oscuridad con respecto a lo que está sucediendo con los valiosos activos de tu
sistema informático.
OSSEC
es completamente de código abierto y es gratuito para su uso. Podrás
personalizarlo para todas tus necesidades de seguridad a través de sus amplias
opciones de configuración, y también podrás agregar sus propias reglas de
alerta personalizadas y escribir scripts que tomarán medidas en respuesta a las
alteraciones de seguridad. También tienes la opción de modificar el código
fuente y agregar nuevas capacidades.
El
software recibe soporte de una gran comunidad de desarrolladores, usuarios y
también administradores de TI.
¿Te
ha sido útil el post? – por favor compártelo en las redes sociales.
buen blog
ResponderBorrar¡Saludos!
Borrar