Carlos A. Vicente Altamirano, UNAM Mario Faras-Elinos, ULSA Lidia E. Gmez Velazco, CICESE Mara C. Mendoza Daz, CICESE http://seguridad.internet2.ulsa.mx
Objetivos
Reconocer la importancia y utilidad de la informacin contenida en las bitcoras de los sistemas de cmputo. Mostrar algunas herramientas que ayudan a automatizar el proceso de anlisis de bitcoras.
Agenda
Introduccin La problemtica La importancia de las bitcoras Arquitectura del registro de bitcoras Anlisis de bitcoras y sus herramientas
Introduccin
Hoy en da los sistemas de cmputo se encuentran expuestos a distintas amenazas informticas. Las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen mas complejos. El nmero de ataques tambin aumenta.
Introduccin
El crecimiento de Internet y las capacidades de nuevas redes como Internet2 enfatizan esta problemtica. Los sistemas de cmputo generan una gran cantidad de informacin (bitcoras o logs) que pueden ser de ayuda ante un incidente de seguridad.
Introduccin
Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el sistema que la genera. Fecha y hora Direcciones IP origen y destino Direccin IP que genera la bitcora Usuarios Errores
Problemtica
La revisin diaria de las bitcoras es una tarea tediosa. Es una actividad que pocos administradores llevan a cabo. Se desconoce que las bitcoras nos pueden evitar horas de angustia :)
syslog firewall
syslog
Switches
Log Server
Desventajas
Existe un solo punto de falla. Se necesitan muchos recursos para almacenamiento y redundancia.
syslog
syslog
Log Server 1
Log Server 2
Desventajas
Se requiere de mas equipo
Para Windows
LogAgent
Conclusiones
Las bitcoras contienen informacin crtica Es por ello que las bitcoras deben ser analizadas Las bitcoras estn teniendo mucha relevancia como evidencia en aspectos legales. El uso de herramientas automatizadas son muy tiles para el anlisis de bitcoras. Es importante registrar todas las bitcoras necesarias de todos los sistemas de cmputo activos.
10
Referencias
Importance of Understanding Logs from an Information Security Endpoint. Stewart Allen. October 5, 2001. http://www.sans.org/rr/logging/understanding_logs.php Herramientas de Seguridad: Logcheck. Gunnar Wolf. Octubre de 2000. http://www.gwolf.cx/seguridad/logcheck/ Logcheck
ftp://ftp.seguridad.unam.mx/Herramientas/Unix/Sistema/Logcheck/
Swatch http://sourceforge.net/projects/swatch/
11