Cuando se trata de herramientas relacionadas con detección de intrusos, generalmente se piensa en los Network Intrusion Detection System (NIDS), que no son más que software o appliances que monitorean tráfico de red, comparan firmas y analizan uno que otros patrones de comportamiento, para generar o proponer una acción.
Aunque la fama de los NIDS es bien ganada, existen otros tipos de aplicativos que trabajan al nivel del sistema operativo de la máquina. Aquí es donde intervienen los Host-based Intrusion Detection System, los cuales son aplicativos que validan la integridad de los archivos del equipo, especialmente aquellos que mantienen funcionamiento del mismo, apoyando con esto la cadena de seguridad implementada en cualquier institución.
Probablemente dentro de este grupo uno de los más conocidos es OSSEC. Este software, aparte de validar la integridad antes mencionada, tiene la capacidad de analizar los logs de los equipos, de hacer detecciones de rootkit, de alertar en tiempo real mediante la configuración de alertas y proveer respuesta activa e inmediata en caso de incidentes.
Esta aplicación también ofrece la ventaja de trabajar de manera cliente-servidor, en donde un servidor tiene la aplicación instalada y los equipos que queremos monitorear un agente. En este escenario, todos los clientes reportan al equipo central las alarmas o notificaciones, y desde el servidor se toman las acciones de lugar.
Igualmente, la comunicación entre el equipo principal y los nodos es previamente autenticada y luego encriptada, por lo que supone también seguridad en la transmisión de la información.
Otros puntos claves para considerar usar esta herramienta:
Es open source pero adicionalmente cuenta con soporte comercial provisto por TrendMicro.
Es soportada por los siguientes sistemas operativos: Linux, Windows, MacOS, Vmware, AIX, Solaris y HP-UX.
Bajo consumo de recursos (CPU, Memoria) tanto a nivel del servidor como de los agentes.
Apoya las certificaciones PCI y HIPAA.
Para más información ver: ossec.net