Cada vez es más frecuente ver cómo las grandes empresas trabajan con enormes redes de ordenadores, tanto físicas (formadas por servidores y hosts) como en la nube. Sin embargo, estas redes a menudo se ven amenazadas por piratas informáticos que buscan comprometer los datos de las compañías y, si pueden hacerse con información confidencial que, posteriormente, venderán al mejor postor. Las amenazas siempre se esconden donde menos lo esperamos, y por ello, las grandes redes de ordenadores deben contar con monitores de seguridad capaces de detectar cualquier amenaza que pueda esconderse en la red, como es el caso de OSSEC Wazuh.
Antes de empezar a hablar de Wazuh debemos conocer el proyecto OSSEC. Este proyecto empezó a funcionar en 2004 y fue comprado por Trend Micro en 2009 manteniendo naturaleza gratuita y de código abierto. El proyecto OSSEC es una herramienta de detección de intrusos a nivel de red (HIDS) de código abierto, multiplataforma y escalable que cuenta con un potente motor de análisis, funciones de análisis de logs, comprobaciones de integridad, supervisión del registro de Windows y la detección de rootkits en tiempo real, entre otras de sus funciones. Podéis visitar nuestro tutorial sobre para qué sirve el modo monitor WiFi.
OSSEC Wazuh, un fork de OSSEC reforzado y que cumple con las normativas de seguridad
Wazuh, también conocido como OSSEC Wazuh, es una completa herramienta derivada directamente de los repositorios OSSEC de manera que se pueda brindar un soporte completo a la red, cumplir con las normativas de seguridad y dotar a la herramienta de varias funciones de administración adicionales. Esta plataforma cumple sin problemas con las funciones de monitor y control de sistemas e implementa además módulos HIDS (para detectar intrusos en las redes) mejorados y funciones de seguimiento y control de estado de servidores para ofrecer a los usuarios una completa solución de monitor y seguridad totalmente de código abierto y, sobre todo, con soporte especializado.
Wazuh aporta una serie de características y módulos adicionales de código abierto al proyecto OSSEC como:
- OSSEC Wazuh Ruleset – Incluye el kit de reglas necesarias para que la herramienta sea capaz de cumplir con las normas PCI DSS v3.1 y CIS, así como con otras reglas adicionales para detectar posibles amenazas y poder descifrar el tráfico para un análisis a bajo nivel. Estas reglas se actualizan periódicamente.
- OSSEC Wazuh fork – Ofrece capacidades de registro JSON extendidas para una integración más fácil con herramientas de gestión de registros (logs) de terceros. También se incluyen modificaciones de los binarios OSSEC para implementar la RESTful API.
- OSSEC Wazuh RESTful API – Se utiliza para monitorizar y controlar toda una instalación OSSEC, Esta API proporciona una interfaz para controlar el administrador desde cualquier máquina capaz de enviar una petición HTTP.
- Cuenta con una serie de paquetes precompilados para facilitar su instalación en sistemas como RedHat, CentOS, Fedora, Debian, Ubuntu y Windows.
- Scripts Puppet para automatizar todo el proceso de implementación y configuración de la infraestructura.
- Ofrece contenedores Docker para virtualizar fácilmente toda la plataforma.
Podemos obtener más información sobre Wazuh desde la página web principal del proyecto, desde donde también podemos acceder a una completa documentación sobre OSSEC Wazuh donde se nos explican todas sus funciones y características y la puesta en marcha de esta plataforma.
¿Qué te parece el monitor de seguridad OSSEC Wazuh?