particular.
Para los profesionales en seguridad informtica un log es usado para
registrar datos o informacin sobre quien, que, cuando, donde y por que un
evento ocurre para un dispositivo o una aplicacin en particular.
La mayora de los logs son almacenados o desplegados en el formato
estndar ASCII. De esta forma logs generados por un dispositivo en
particular puede ser ledo y desplegado en otro diferente.
Todos los sistemas pueden verse comprometidos por un intruso, de manera local o remota.
La seguridad no slo radica en la prevencin, sino tambin en la identificacin. Entre menos
tiempo haya pasado desde la identificacin de intrusin, el dao ser menor; para lograr
esto es importante hacer un constante monitoreo del sistema.
De cualquier forma que se realice una proteccin de Unix debe incluir el monitoreo y
revisin de LOGS de una forma comprensiva, precisa y cuidadosa.
AIX proporciona otro mecanismo para la gestin de errores y mensajes del //hardware//,
del sistema operativo y de las aplicaciones, ofreciendo una informacin muy valiosa para
determinar cualquier tipo de problemas en el entorno.
Los registros guardados por ##errdemon## estn en modo binario (a diferencia de los
//logs// habituales en Unix) por defecto.
AIX ofrece ms herramientas para realizar diferente tareas sobre su sistema nativo de
//log//:
eliminar entradas (##errclear##)
instalar nuevas entradas en el archivo de configuracin (##errinstall##)
detener el demonio ##errdemon## (##errstop##)
Problema
Una desventaja del sistema de auditora en Unix puede ser la complejidad que puede
alcanzar una correcta configuracin; por si la dificultad del sistema no fuera suficiente,
en cada Unix el sistema de logs tiene peculiaridades que pueden propiciar la prdida de
informacin interesante de cara al mantenimiento de sistemas seguros. Aunque muchos
de los ficheros de log son comunes en cualquier sistema, su localizacin, o incluso su
formato, pueden variar entre diferentes versiones de Unix.
Dentro de Unix hay dos grandes familias de sistemas: se trata de System V y BSD; la
localizacin de ficheros y ciertas rdenes relativas a la auditora de la mquina van a ser
diferentes en ellas, por lo que es muy recomendable consultar las pginas del manual
antes de ponerse a configurar el sistema de auditora en un equipo concreto.
Anlisis
Cada una de las etapas descritas para la administracin de logs es crtica, as si se
cuenta con un sistema de centralizacin bien diseado e implementado pero a su vez,
no se logra un buen mtodo de administracin de los archivos en el servidor de logs
(rotacin y comprobacin integridad ), el sistema de administracin como tal ser
ineficiente.
Los archivos de logs aunque son bsicos a la hora de una investigacin de intrusiones
en los sistemas informticos, siempre hay que tener en mente que son esenciales a la
hora de tomar medidas legales contra esos intrusos.
practicas
para
la
Rotacin de logs. Cuidando no se desborde el almacenamiento y el tiempo exacto del los logs.
Proteccin de logs. Buscando que los logs sean: exactos, autentificables y accesibles.
Exactos. Registrar todo en los logs, mantener el tiempo real y usar mltiples sensores para
registrar eventos.
Autenticidad. Se debe probar que no han sido modificados desde que fueron registrados, a
travs de: cambar los Logs de lugar en en sistema, el uso de Firmas, Encripcin y Checksums,
evitar trabajar con logs originales y utilizar copias, auditar permanentemente todos los cambios
que se produzcan en el sistema y documentar los procesos.
Accesibilidad o control de acceso. El log creado debe ser auditado y protegido para prevenir
accesos no autorizados; mediante la restriccin en el acceso a archivos y la Cadena de custodia, es
decir establecer otros medios de almacenamiento secundario.
Almacenaje de logs. Tomar en cuenta Medios en los que se almacenaran los logs, en base a su
importancia, tiempo de vida (del medio y de la informacin) y confidencialidad.
Uso de herramientas de administracin de logs. Las cuales incluye el mismo sistema operativo:
syslog; o software adicional como tripwire o logrotate.
Uso de herramientas de monitorizacin y anlisis de logs. LogCheck, LogWatch, CDM.
FIN