logotipo

Hoy me he despertado por primera vez siendo ingeniero, o mejor dicho ingeniero técnico( en informática de gestión ). Poco importa, cuando me pregunten diré ingeniero a secas que suena mucho mejor y así me sentiré más mejor.
Sin embargo lo que siento no es alegría plena, no es la consecución de un título. Esas cosas las sentí cuando me saqué el CEH en abril. Lo que siento ahora es alivio, es librarme de recluirme 3 veces al año para tener lo que ahora tengo, una linea más en el curriculum.

¿Sirve para algo? Evidentemente sí, queda muy bien en negro sobre blanco y probablemente tenerlo me proporcione más duros al mes. A nivel de conocimientos lo poco util que he aprendido en la carrera podría haberlo aprendido en un año. Mucha paja y muchos conocimientos teóricos, de los cuales ya he olvidado la mayoría, y que no me servirán absolutamente para nada en mi carrera profesional.
Cuando entré en la técnica en lugar de la superior lo hize porque no quería estar mucho tiempo en la facultad( 6 años hace de eso ) y porque intuía que me proporcionaría una formación mucho más práctica. Me equivoqué.

Al menos durante todo este tiempo he alternado los estudios oficiales con los underground y desde hace dos años estoy trabajando profesionalmente en el campo de la seguridad informatica.

Hoy escribo para comentar esta noticia que me he encontrado en un medio digital dedicado integramente a la tecnología.
Por noticias como esta entiendo que aún haya víctimas que piquen en los tocomochos digitales como el phishing, o el caso que nos ocupa: el scam.

Es imposible tratar de concienciar al usuario final( las vítimas potenciales ) si los propios estamentos informativos no tienen ni idea sobre los temas de los que escriben.
No voy a señalar a este medio en particular ni a ningún otro porque la cuestión no es hacer sangre. Probablemente en el caso que nos ocupa el artículo haya sido redactado por un becario que entró al medio por un conocido que tenía un primo que conocía de pasada al redactor jefe, y que aspira a seguir las andaduras del Real Madrid en Champions o ser un columnista político de referencia y piensa que es lo suficientemente listo como para no caer en la trilería digital.

El campo de los detectores de intrusos siempre me ha fascinado, la idea en sí misma de un IDS es genial: un sistema que me permita saber cuándo y cómo soy atacado e incluso efectuar acciones reactivas ante dichos ataques. En un mundo ideal los detectores de intrusos serían la panacea de la seguridad informática pero no estamos en un mundo ideal. No obstante estamos en un campo interesantísmo.

Hay 3 tipos de detectores de intrusos:

Host IDS (HIDS): los sensores se encuentran en cada maquina y por tanto vigilan unicamente dicha maquina.
Network IDS (NIDS): los sensores se encuentran en segmentos de red y por tanto vigilan el trafico de la misma.
Distributed IDS (DIDS): en la práctica se trata de una serie de NIDS que se comunican con un sensor central, ideal para VPN's.

Todo el mundo que haya oido hablar de detectores de intrusos estará pensando en Snort, sin duda el rey de los NIDS OpenSource. Esta entrada sin embargo es para hablar de OSSEC, un HIDS que he utilizado desde hace tiempo pero que me ha sorprendido gratamente en sus ultimas versiones y que ha incorporado una interfaz web para visionar las alertas.
OSSEC es un detector de intrusos en host que proporciona análisis de logs, verificación de integridad de ficheros( gracias a OSSEC he dicho adiós a AIDE ), monitorización del registro de Window$, detección de rootkits en tiempo real, etc y que permite configurar respuestas activas. Funciona en multitud de sistemas operativos como Linux, OpenBSD, FreeBSD, MacOS, Solaris y Window$. En esta entrada comentaré brevemente como montarnos un OSSEC sobre Linux sin respuesta activa( no se os puede dar todo masticado ) y configuraremos la interfaz web para ver las alertas de forma cómoda y sencilla.

Instalación

Lo primero es bajarnos el agente para Linux, es muy sencillo solo hay que ejecutar:

# wget http://www.ossec.net/files/ossec-hids-1.3.tar.gz

Descomprimimos el fichero

# tar zxvf ossec-hids-1.3.tar.gz

En el directorio resultante ejecutamos el script de instalación:

# ./install.sh

Este script nos deja instalado el OSSEC con la configuración por defecto, para afinarla solo tenemos que modificar el fichero /var/ossec/etc/ossec.conf pero eso es cosa vuestra. Un aspecto a destacar en la instalación es que OSSEC se instala específicamente para el núcleo de Linux que se esté ejecutando en ese momento, por lo tanto si cambiamos de kernel es necesario instalar nuevamente OSSEC.

Para inicializar OSSEC debemos ejecutar el script de control:

# /var/ossec/bin/ossec-control start

No obstante OSSEC detecta el tipo de Linux en el que se está ejecutando y crea un script de inicio adecuado para cada uno, en mi caso para Slackware Linux creó el script /etc/rc.d/rc.ossec

El sistema de detección de intrusos utiliza 4 procesos:

/var/ossec/bin/ossec-maild
/var/ossec/bin/ossec-execd
/var/ossec/bin/ossec-analysisd
/var/ossec/bin/ossec-logcollector
/var/ossec/bin/ossec-syscheckd
/var/ossec/bin/ossec-monitord

Aunque no lo parezca por las grandes prestaciones que tiene, OSSEC no consume ni memoria ni CPU en exceso.

Interfaz Web

El problema cuando instalamos verificadores de integridad, IDS's, etc suele ser que en teoría proporcionan multitud de beneficios pero en la practica la gestión de las alertas resulta tan tediosa que no merece la pena su uso. Para que no suceda esto último los chicos de OSSEC han desarrollado una interfaz web escrita en php que permite la consulta rapida y sencilla de las alertas. Es una interfaz que si bien no está aún muy madura, ya tiene beneficios y todo apunta a que se están volcando mucho en su desarrollo. Prueba de ello es que existe un Wiki creado unicamente para ella con una lista de funciones pendientes por desarrollar muy interesante.

Instalarla es muy sencillo una vez que tengamos ya en funcionamiento nuestro servidor LAMP( en realidad con un LAP es suficiente ), apenas unos pocos y sencillos pasos.
Descargamos la interfaz web:

# wget http://www.ossec.net/files/ui/ossec-wui-0.2.tar.gz

La descomprimimos en el Document Root de nuestro servidor web:

# tar zxvf ossec-wui-0.2.tar.gz

Entramos en el directorio resultante y ejecutamos el scrip de instalación:

# ./setup.sh

Añadimos en el fichero /etc/group el grupo de nuestro servidor web al grupo ossec, por ejemplo si nuestro servidor se ejecuta con el usuario nobody la linea quedaría similar a esta:

ossec:x:1003:nobody

Una vez realizado esto ya deberíamos poder ver las alertas introduciendo en el navegador la ruta de la interfaz web. Hay que destacar que aún no se permite eliminar alertas, hacer gráficos, etc, pero todo se andará, no nos podemos quejar ya que es la versión 0.2 y nos la venden por el módico precio de 0 €.
Como nota final quiero añadir que normalmente será necesario incluir alguna restricción sobre la interfaz web, para que no pueda visualizarla cualquiera, esto puede restringirse desde Apache configurando una autenticación. En estos momentos solo ofrecemos información porque no se permite el borrado de alertas, pero en el futuro no configurar una autenticación hacia la interfaz web podría dar lugar a un importante agujero de seguridad.

Dejo algunos pantallazos de mi OSSEC en acción:




En esta imagen vemos la vista general de OSSEC, con los agentes disponibles( desde un servidor web se pueden controlar multitud de PC's con OSSEC ) a la derecha los ultimos ficheros detectados que han sido modificados en el chequeo de integridad. Debajo podemos ver los ultimos eventos detectados.




En esta imagen vemos la vista de búsqueda. Se permite buscar eventos por fecha, nivel de peligrosidad, categoría, etc.




En esta imagen vemos una vista detallada de todos los cambios detectados en la revisión de integridad.




En esta imagen vemos las estadísticas del sensor, organizadas por riesgo, regla y hora. Como decía antes aún no hay graficos, pero todo se andará.

Conclusión

OSSEC es un sistema de detección de intrusos muy potente, facil de usar, gratuito y licenciado bajo la GPL v2.
Posee capacidades avanzadas como la respuesta ante eventos, aunque configurarla correctamente requiere una dedicación mayor. Unido al poco consumo de recursos y a que es un programa soportado por el 95% de las plataformas más comunes lo convierten en una referencia en el campo de los HIDS y en una imprescindible herramienta que todos los interesados en proteger nuestros sistemas deberíamos utilizar.

Referencias

http://www.ossec.net/main/
http://www.ossec.net/wiki/index.php/OSSEC
http://www.ossec.net/wiki/index.php/OSSECWUI
http://www.ossec.net/dcid/
http://www.snort.org