Scribd Logo
Unggah

Selamat datang di Scribd!

  • Bitacoras

    Diunggah oleh

    Dranix Flu
    29 tayangan11 halaman

    Judul Asli

    bitacoras

    Hak Cipta

    © Attribution Non-Commercial (BY-NC)

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    29 tayangan11 halaman

    Bitacoras

    Diunggah oleh

    Dranix Flu

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 11

    La importancia de las bitcoras y su anlisis

    Carlos A. Vicente Altamirano, UNAM Mario Faras-Elinos, ULSA Lidia E. Gmez Velazco, CICESE Mara C. Mendoza Daz, CICESE http://seguridad.internet2.ulsa.mx

    Objetivos
    Reconocer la importancia y utilidad de la informacin contenida en las bitcoras de los sistemas de cmputo. Mostrar algunas herramientas que ayudan a automatizar el proceso de anlisis de bitcoras.

    Agenda
    Introduccin La problemtica La importancia de las bitcoras Arquitectura del registro de bitcoras Anlisis de bitcoras y sus herramientas

    Introduccin
    Hoy en da los sistemas de cmputo se encuentran expuestos a distintas amenazas informticas. Las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen mas complejos. El nmero de ataques tambin aumenta.

    Introduccin
    El crecimiento de Internet y las capacidades de nuevas redes como Internet2 enfatizan esta problemtica. Los sistemas de cmputo generan una gran cantidad de informacin (bitcoras o logs) que pueden ser de ayuda ante un incidente de seguridad.

    Introduccin
    Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el sistema que la genera. Fecha y hora Direcciones IP origen y destino Direccin IP que genera la bitcora Usuarios Errores

    La importancia de las bitcoras


    Recuperacin ante incidentes de seguridad Deteccin de comportamiento inusual Informacin para resolver problemas Evidencia legal Es de gran ayuda en las tareas de cmputo forense

    Problemtica
    La revisin diaria de las bitcoras es una tarea tediosa. Es una actividad que pocos administradores llevan a cabo. Se desconoce que las bitcoras nos pueden evitar horas de angustia :)

    Arquitectura del registro de bitcoras Centralizada


    servidores ruteadores Dial-up

    syslog firewall

    syslog

    Switches

    Log Server

    Arquitectura del registro de bitcoras Centralizada


    Ventajas
    Se requiere de un solo punto de almacenamiento de bitcoras.

    Desventajas
    Existe un solo punto de falla. Se necesitan muchos recursos para almacenamiento y redundancia.

    Arquitectura del registro de bitcoras Descentralizada


    Dispositivos de red Servidores

    syslog

    syslog

    Log Server 1

    Log Server 2

    Arquitectura del registro de bitcoras Descentralizada


    Ventajas
    No hay un solo punto de falla Las bitcoras se almacenan de acuerdo a una clasificacin.

    Desventajas
    Se requiere de mas equipo

    Arquitectura del registro de bitcoras Syslog


    Es el protocolo utilizado para transportar los eventos generados por los dispositivos a los servidores de bitcoras, utilizando el puerto 514 de UDP. Definido en el rfc 3164.

    Anlisis de bitcoras Que eventos analizar ?


    Sistema Correo, web Ruteadores, switches Firewall, IDS RADIUS otros

    Herramientas de anlisis Para UNIX


    Logcheck SWATCH

    Para Windows
    LogAgent

    Herramientas de anlisis (Ejemplo) Logcheck


    Revisa peridicamente las bitcoras del sistema Analiza cada una de las lneas y enva notificaciones por correo electrnico. Se basa en patrones definidos por el usuario.

    Herramientas de anlisis (Ejemplo)


    Alarmas generadas por logcheck
    En este caso es un reporte de alguna mquina infectada por Nimda. Security Violations =-=-=-=-=-=-=-=-=-=
    Jun 10 12:53:37.845 <information deleted> op=GET arg=http://Target IP/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/ c+dir+c: >\\*.cif/s/b result="500 Server Error"

    Herramientas de anlisis (Ejemplo) Alarmas generadas por logcheck


    Barrido de puertos encontrados en las bitcoras de firewall. Security Violations =-=-=-=-=-=-=-=-=-=
    Mar 21 18:09:59.318707 : block IPorigen > IPdestino1.25: S Mar 21 18:10:02.323564 : block IPorigen > IPdestino2.25: S Mar 21 18:10:08.290561: block IPorigen> IPdestino3.25: S

    Herramientas de anlisis (Ejemplo)


    Alarmas generadas por logcheck
    Logs de ruteador que niegan trfico del gusano Slapper.
    Security Violations =-=-=-=-=-=-=-=-=-= Mar 21 10:19:19 , list 145 denied udp IPorigen(3005) -> IPdestino(1433), Mar 21 10:23:00 list 145 denied udp IPorigen(3005) -> IPdestino(1433), Mar 21 10:23:00 list 145 denied udp IPorigen(3005) -> IPdestino(1433),

    Conclusiones
    Las bitcoras contienen informacin crtica Es por ello que las bitcoras deben ser analizadas Las bitcoras estn teniendo mucha relevancia como evidencia en aspectos legales. El uso de herramientas automatizadas son muy tiles para el anlisis de bitcoras. Es importante registrar todas las bitcoras necesarias de todos los sistemas de cmputo activos.

    10

    Referencias
    Importance of Understanding Logs from an Information Security Endpoint. Stewart Allen. October 5, 2001. http://www.sans.org/rr/logging/understanding_logs.php Herramientas de Seguridad: Logcheck. Gunnar Wolf. Octubre de 2000. http://www.gwolf.cx/seguridad/logcheck/ Logcheck

    ftp://ftp.seguridad.unam.mx/Herramientas/Unix/Sistema/Logcheck/

    Swatch http://sourceforge.net/projects/swatch/

    La importancia de las bitcoras y su anlisis


    Carlos A. Vicente Altamirano, UNAM Mario Faras-Elinos, ULSA Lidia E. Gmez Velazco, CICESE Mara C. Mendoza Daz, CICESE http://seguridad.internet2.ulsa.mx

    11

    Anda mungkin juga menyukai