Comparación de herramientas

Las herramientas expuestas a continuación son de tipo NIDS, y la mayor parte de ellas, open source. 2, 20

Security Onion

Ilustración 1- Pantalla de ejecución de Security Onion

Distribución de diseñada para la detección de intrusos, monitorización de la seguridad en red, y gestión de logs. Está basado en Ubuntu y contiene las herramientas IDS más utilizadas y Suricata e interfaces de usuario como Squert y Squill. Este software también contiene herramientas de análisis forense de red como Bro y aplicaciones de captura de paquetes, siendo las más conocidas WireShark y NetworkMiner.

La instalación de las herramientas anteriormente seleccionadas, puede resultar complicada para el usuario, es por ello que Security Onion facilita notablemente toda la instalación. Además, permite desactivar aquellas herramientas que no vayan a ser utilizadas por el usuario.

Suricata

Ilustración 2 - Consola de comandos con Suricata en ejecución

Herramienta IDS/ IPS con posibilidad de NSM. Suricata es capaz de detectar inmediatamente los protocolos en cualquier puerto, aplicando la lógica de almacenamiento y detección que sea necesaria. Además, permite la extracción de ficheros, lo que posibilita capturar el tráfico desde la herramienta y realizar un análisis de este.6

Pese a que su arquitectura es diferente a la de Snort, su comportamiento es el mismo y utilizan las mismas firmas para la detección. Esta herramienta puede usar aquellas reglas que han sido definidas anteriormente en Snort.

Las diferencias más destacables frente a Snort son:

● Multi-hilo: Capacidad de ejecutar varios procesos a la vez, lo que le permite procesar mayor cantidad de paquetes ● Posibilidad de introducir en sus logs más información que la perteneciente a paquetes. Entre la información adicional que se puede almacenar se encuentran certificados TLS/SSL, peticiones HTTP y peticiones DNS.

Al igual que Snort esta herramienta carece de interfaz gráfica de usuario, por lo que se debe instalar herramientas como Snorby, Base y Squill.

BroIDS

Ilustración 3- Consola de comandos con BroIDS en ejecución

Esta herramienta aplica tanto la técnica de detección de anomalías como la basada en firmas. Tiene una gran competencia de análisis a nivel de protocolo, otorgándole junto a otras características una gran capacidad de herramienta de análisis forense. También se debe destacar su elevado rendimiento. 19

Transforma el tráfico capturado en una serie de eventos, que posteriormente son interpretados por el Policy-Script Interpreter. Dispone de sus propias reglas escrito en su propio lenguaje, Bro-Script. En base a ellas, se detectarán las acciones sospechosas más comunes.

Por cada actividad sospechosa detectada, generará un log, aunque se podrá configurar para que se genere un log por cada actividad analizada.

Sin embargo, puede ser compleja de utilizar al principio puesto que fue concebida como una herramienta de análisis. Por otro lado, al igual que las herramientas anteriormente mencionadas carece de interfaz gráfica de usuario, por lo debe instalarse herramientas como ELSA.

Kismet

Ilustración 4- Consola de comandos con Kismet en ejecución

Herramienta open source para sistemas operativos Linux, Unix, Windows y Macos. Se trata de un estándar de WIDS. Esta herramienta se basa en casos extraños que se pueden producir en protocolos inalámbricos (mayoritariamente 802.11).Encontrará puntos de acceso no autorizados, a partir de los cuales se podrían producir diversos ataques.

Incluye características básicas de IDS inalámbrico, entre las que se incluye la detección de los programas sniffers inalámbricos como Netslumber. Además, entre sus características se incluye la capacidad de almacenar los paquetes capturados y realizar la exportación de los paquetes.

Esta herramienta se puede ejecutar en múltiples plataformas, como Android. Cabe mencionar, que al igual que Snort y Suricata, esta herramienta carece de GUI.

PacketSled

Ilustración 5 - Panel de control de PacketSled

Herramienta de seguridad en red que permite realizar continuo monitoreo, detección en hilos y análisis forense de red en la nube.

Cabe destacar que esta herramienta a diferencia de otras, mantiene todo lo capturado en el tráfico de manera indefinida. De este modo, se puede realizar un nuevo análisis de los datos aplicando otros indicadores

Otras de las características de esta herramienta son:

● Detección temprana de comportamiento, manteniéndose alerta a amenazas avanzadas, violaciones de políticas y filtración de datos, que suelen no ser detectados por otras herramientas. ● Detección en tiempo real de IOC ● Extracción de archivos y análisis

No obstante, esta herramienta es de pago. Su precio oscila sobre los 90000 dólares al año por el servicio prestado.

Redborder

Ilustración 6- Consola de comandos con Redborder en ejecución

Herramienta de análisis de datos y seguridad en la red de naturaleza open source.

Tiene aplicaciones y sondas que les permiten recopilar datos en la red y aplicar las políticas debidas en cada momento. Los datos analizados son visualizados y gestionados en una interfaz muy sencilla desde la cual el usuario puede analizar los datos, monitorizar las redes y tomar aquellas acciones que considere oportunas.

Entre sus características se encuentran:

● Capacidad de analizar miles de eventos provenientes de diferentes sensores en segundos.

● Visibilización tráfico de red.

● Fácil visualización de eventos pasados o análisis de actuales.

● Integración con Snort y Suricata.

● Gestión de logs. Esta gestión incluye el almacenamiento de los datos, búsquedas y comparación con incidentes sucedidos en el transcurso del tiempo.

Ilustración 7- Consola de comandos con Sagan en ejecución

Es una herramienta open source de alto rendimiento. Se puede ejecutar en los sistemas operativos Linux. Utiliza una arquitectura multihilos para obtener un mejor análisis de eventos. Puede correlacionar los logs con el sistema IDS/IPS Snort/Suricata. También puede escribir en las bases de datos Snort/Suricata vía Unified2/BarnYard2. Es compatible con las GUIs de ambos sistemas IDS anteriormente mencionados.6,18

Algunas de sus características más destacables son:

● Arquitectura multihilo.

● Usa poca memoria y CPU

● Puede exportar datos de manera sencilla.

● Puede trazar eventos basados en la ubicación geográfica vía IP o datos de destino.

● Permite ejecución de scripts durante el análisis de eventos. AlienVault - OSSIM/ USM

Ilustración 8 - Panel de control de OSSIM

OSSIM es una programa open source que provee al usuario de diversas herramientas open source para mantener el sistema seguro. Consta de diversas herramientas de monitorización entre las que se encuentran los cuadros de mando, los monitores de riesgo y la consola forense. También incluye herramientas IDS, detectores de anomalías y Firewalls.

Además OSSIM permite a los usuarios contribuir y recibir información a tiempo real sobre los host maliciosos.

USM es otra herramienta con las mismas finalidades, que a diferencia de OSSIM, puede ser instalada en sistemas que tengan un menor número de recursos. Además de las funcionalidades de OSSIM, permite el manejo de logs, y la monitorización de aplicaciones en la nube así como la automatización de la seguridad.

Tabla comparativa

Gratuito GUI SO Comunidad Compatibilidad Otras funcionalidades de reglas Snort SI NO Windows/ SI NO SI Linux (IPS) Security SI SI Ubuntu SI SI SI Onion (IPS) Suricata SI NO Windows/ SI SI SI Linux (IPS/ NSM) BroIDS SI NO Linux/MAC SI NO SI (análisis forense) Linux/ Kismet SI NO Plataformas SI SI NO móviles PacketSled NO SI Todos NO N/A SI (Análisis forense de la red) Redborder NO NO Todos NO N/A SI (gestión de logs) SI Sagan NO NO Linux NO SI (ejecución de scripts durante análisis de eventos) OSSIM SI SI VM SI N/A SI (Firewall) USM NO SI VM SI N/A SI (Manejo de logs) Tabla 1 - Resumen comparativo de las herramientas expuestas

Donde el campo comunidad de la tabla 1 hace referencia a la comunicación de los usuarios de dicha herramientas, ya sea mediante un foro o una lista de correos.