Los Sistemas de Detección de Intrusos (IDS, por sus siglas en inglés) son herramientas esenciales para la seguridad de cualquier sistema Linux. Su función principal es monitorear y analizar el tráfico de red y los registros del sistema para detectar actividades sospechosas o maliciosas. En esta sección, aprenderás sobre los diferentes tipos de IDS, cómo funcionan y cómo implementarlos en un sistema Linux.

Existen dos tipos principales de IDS:

1. IDS Basados en Red (NIDS):

   • Monitorean el tráfico de red en busca de actividades sospechosas.
   • Ejemplo: Snort.

2. IDS Basados en Host (HIDS):

   • Monitorean los registros del sistema y las actividades de los archivos en un host específico.
   • Ejemplo: OSSEC.

1. Actualizar el sistema:

   sudo apt-get update
   sudo apt-get upgrade
   

2. Instalar Snort:

   sudo apt-get install snort
   

1. Editar el archivo de configuración:

   sudo nano /etc/snort/snort.conf
   

2. Configurar las variables de red:

   var HOME_NET 192.168.1.0/24
   var EXTERNAL_NET any
   

3. Definir las reglas de Snort:

   • Las reglas se encuentran en el directorio /etc/snort/rules/.
   • Puedes descargar reglas actualizadas desde Snort.org.

4. Iniciar Snort:

   sudo snort -A console -q -c /etc/snort/snort.conf -i eth0
   

• alert: Acción a tomar (alertar).
• tcp: Protocolo.
• any any: Cualquier IP y puerto de origen.
• 192.168.1.0/24 80: Red de destino y puerto.
• msg: Mensaje de alerta.
• sid: ID de la regla.

1. Actualizar el sistema:

   sudo apt-get update
   sudo apt-get upgrade
   

2. Instalar OSSEC:

   wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash
   sudo apt-get install ossec-hids
   

1. Configurar OSSEC:

   sudo /var/ossec/bin/ossec-control start
   sudo nano /var/ossec/etc/ossec.conf
   

2. Agregar configuraciones específicas:

   <ossec_config>
     <global>
       <email_notification>yes</email_notification>
       <email_to>[email protected]</email_to>
       <smtp_server>smtp.example.com</smtp_server>
     </global>
     <syscheck>
       <frequency>7200</frequency>
       <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
     </syscheck>
   </ossec_config>
   

3. Reiniciar OSSEC:

   sudo /var/ossec/bin/ossec-control restart
   

1. Objetivo: Crear una regla en Snort que alerte sobre cualquier tráfico SSH.
2. Pasos:
   • Edita el archivo de reglas de Snort:

     sudo nano /etc/snort/rules/local.rules
     

   • Añade la siguiente regla:

     alert tcp any any -> any 22 (msg:"SSH Traffic Detected"; sid:1000002;)
     

   • Guarda y cierra el archivo.
   • Reinicia Snort:

     sudo snort -A console -q -c /etc/snort/snort.conf -i eth0
     

1. Objetivo: Configurar OSSEC para monitorear cambios en el directorio /var/log.
2. Pasos:
   • Edita el archivo de configuración de OSSEC:

     sudo nano /var/ossec/etc/ossec.conf
     

   • Añade la siguiente configuración dentro de la etiqueta <syscheck>:

     <directories check_all="yes">/var/log</directories>
     

   • Guarda y cierra el archivo.
   • Reinicia OSSEC:

     sudo /var/ossec/bin/ossec-control restart
     

En esta sección, hemos cubierto los conceptos básicos de los Sistemas de Detección de Intrusos, incluyendo los tipos de IDS, su comparación, y cómo instalar y configurar Snort y OSSEC. Estos sistemas son fundamentales para mantener la seguridad de tu entorno Linux, permitiéndote detectar y responder a actividades sospechosas de manera efectiva. En la próxima sección, profundizaremos en cómo asegurar aún más tu sistema Linux.