Aprende Linux
OSSEC es un proyecto en software libre que se puede adaptar a los requierimientos de seguridad a través de la detección de intrusos. Ademas se podran analizar los registros de eventos del sistema operativo, comprobar la integridad del mismo, auditorías de los registros, detección de rootkits, alerta en tiempo real y respuesta activa a ataques.
OSSEC permite a los clientes implementar un sistema integral de detección de intrusos basado en la supervisión del host con políticas específicas de aplicaciones en el lado servidor. Como software, funciona con la mayoría de los sistemas operativos, incluyendo Linux, OpenBSD, FreeBSD, Mac OS X, Windows y es compatible con los requisitos de la norma Payment Card Industry Data Security Standard (PCI DSS).
Esta basado en un modelo de cliente-servidor, con lo cual tendremos un servidor centralizado que se encarga de recibir y actuar en base a la información que reciba de los agentes que, en definitiva, son las máquinas que están siendo monitorizadas y atacadas. La forma de actuar del servidor es, por una parte, enviando notificaciones, y por otro lado, si así se configura, generando reglas firewall que se ejecutarán en los propios agentes.
El núcleo de OSSEC está representado por el motor de análisis de registros que es capaz de correlacionar y analizar registros de varios dispositivos y formatos:
- Unix: Unix PAM, sshd (OpenSSH), Solaris telnetd, Samba, su y Sudo
- Servidores FTP: ProFTPd, Pure-FTPd, vsftpd, Microsoft FTP Server y Solaris ftpd
- Servidores de correo: Imapd y pop3d, Postfix, Sendmail, vpopmail y Microsoft Exchange Server
- Bases de datos: PostgreSQL y MySQL
- Servidores web: Servidor HTTP Apache (registro de acceso y registro de errores), servidor web IIS (NSCA y W3C extendido) y registro de errores del servidor web Zeus
- Aplicaciones web: Horde IMP, SquirrelMail y Modsecurity
- Firewalls: firewall iptables, firewall IPFilter de Solaris, ipsec / firewall de AIX, firewall Netscreen, firewall de Windows, Desparramo PIX, Desparramo FWSM y Desparramo ASA
- NIDS: módulo IDS / IPS de Desparramo IOS y Snort IDS (completo, rápido y syslog)
- Herramientas de seguridad: Symantec Antivirus, Nmap, Arpwatch y Desparramo VPN Concentrator
- Otros: DNS (BIND), proxy de Squid, Zeus extensible Traffic Manager (ahora Riverbed Stingray Traffic Manager)
- Registros de eventos de Windows (logins, logouts, información de auditoría, etc.)
- Registro de Windows y acceso remoto
- Autenticación genérica de Unix (adduser, inicios de sesión, etc.)
OSSEC ofrece una gestión centralizada simplificada para la gestión de políticas en varios sistemas operativos. Entre sus principales herramientas y ventajas encontramos:
- Centralización del servicio de registro de eventos (logs) basado en rsyslog.
- Mecanismo de respuesta activa fail2ban.
- Sistema de monitorización de ficheros tripwire.
- El detector de kits de intrusión (rootkit) rkhunter.
- Sistema de alertas y análisis de logstash.
Si deseas instalar OSSEC en CentOS consulta el siguiente LINK
Si deseas instalar OSSEC en Ubuntu consulta el siguiente LINK
Consulta nuestro curso de capacitación para OSSEC
