Bitcora del sistema

MATERIA: ARQUITECTURA AVANZADA

PROFESOR:

JUAN JOSE MUOZ

ALUMNO: FEDERICO DIBENEDETTO

MATRICULA: 765697

Bitcora del sistema - Introduccin

Sistema de logs en un Sistema Operativo UNIX/LINUX

/var/log: es la bitcora del sistema, puesto que aqu se almacenan los

registros detallados de toda la actividad desarrollada en el transcurso de una

sesin de trabajo.
Logs del sistema

Los logs del sistema son archivos y directorios donde normalmente

el administrador del sistema recurre en busca de informacin y registros de

actividad, con el objeto de determinar la causa de un problema, o bien como una
actividad de control peridica.

Lo ms usual es que estos archivos se encuentren bajo /var/log:

el administrador debera chequear como parte de sus controles de rutina los

archivos que aparecen bajo este directorio en busca del tipo de informacin
mencionada en el primer prrafo, especialmente el contenido de un archivo.

Bitcora del sistema - Desarrollo

Qu es un log?

Un log es un registro oficial de eventos durante un periodo de tiempo en

particular.

Para los profesionales en seguridad informtica un log es usado para
registrar datos o informacin sobre quien, que, cuando, donde y por que un
evento ocurre para un dispositivo o una aplicacin en particular.

La mayora de los logs son almacenados o desplegados en el formato
estndar ASCII. De esta forma logs generados por un dispositivo en
particular puede ser ledo y desplegado en otro diferente.

Bitcora del sistema - Desarrollo

Propsito de los LOGS

Ayudar a resolver problemas de todo tipo.

Proveer de avisos tempranos de abusos del sistema.
Despus de una cada del sistema, proporcionan datos del porque de la misma.
Como evidencia legal y Auditora del Sistema

Todos los sistemas pueden verse comprometidos por un intruso, de manera local o remota.
La seguridad no slo radica en la prevencin, sino tambin en la identificacin. Entre menos
tiempo haya pasado desde la identificacin de intrusin, el dao ser menor; para lograr
esto es importante hacer un constante monitoreo del sistema.
De cualquier forma que se realice una proteccin de Unix debe incluir el monitoreo y
revisin de LOGS de una forma comprensiva, precisa y cuidadosa.

Bitcora del sistema - Desarrollo

Debido a la cantidad de informacin que se genera en la bitcoras, siempre es bueno
adoptar algn sistema automtico de monitoreo, que levante las alarmas necesarias para
cuando algn evento extrao suceda.
El sistema operativo Debian utiliza LogCheck para realizar el anlisis y monitoreo de
bitcoras; RedHat emplea LogWatch, etc
Una parte integral de cualquier sistema UNIX son sus facilidades de manejo de
bitcoras. La mayora del manejo de bitcoras esta provisto por dos programas
principales:
Klogd: provee de un sistema de bitcoras para los programas y las aplicaciones.
Actualmente enva la mayora de los mensajes al syslogd, pero en ocasiones enviar
mensajes a la consola.
Sysklogd provee del manejo de bitcoras para el kernel. Actualmente maneja las tareas de
procesar la mayora de los mensajes y enviarlos al archivo o dispositivo apropiado; esto se
configura dentro del archivo /etc/syslog.conf.

Bitcora del sistema - Desarrollo

El sysklogd y klogd no son los nicos sistemas para el seguimiento de bitcoras,

existen otros, entre los cuales podemos nombrar:

modular syslog. Firma digitalmente los registros de bitcora para que

cualquier alteracin en ellos sea inmediatamente detectable.

next generation syslog. Permite el firmado digital y adems puede clasificar

los registros de otras maneras (como patrones en los registros) adems del tipo
de servicio y el nivel.

Nsyslogd. Aade soporte para SSL (Secure Socket Layer) en la transmisin de

bitcoras a una computadora remota.

Bitcora del sistema - Desarrollo

Estrategias para la administracin de logs.
Un nico servidor central para la administracin de Logs. Al tener un nico y comn servidor
de logs se establece tambin un nico punto de falla o ataque. El sistema por completo dependera
de la disponibilidad de este punto e igualmente un atacante al obtener acceso a este servidor
pondra en duda la validez de los logs y la utilizacin de estos como evidencia en una investigacin
formal.
Diferentes servidores pueden almacenan los logs de acuerdo a una clasificacin de los mismos.
En el caso que alguno falle, seguir disponible alguno de los restantes (pueden estar montados en
distintos S.O.) Una forma de aumentar la disponibilidad es tener una replica de los logs en otros
servidores de logs, la contra es la alta redundancia.
Los archivos de log pueden rpidamente consumir gran cantidad de almacenamiento en un servidor
centralizado de logs. La tcnica de rotacin de logs permite limitar el volumen de datos que se
tienen disponibles para examinar fcilmente, en este caso en el servidor de logs, y adems controlar
el nmero de archivos de logs que estarn expuestos a un posible dao por parte de un intruso.

Bitcora del sistema - Desarrollo

Monitoreo en bitcoras
Generalmente no deseamos permitir a los usuarios ver los archivos de bitcoras de un
servidor, y especialmente no queremos que sean capaces de modificarlos o borrarlos.
Normalmente la mayora de los archivos de bitcoras sern posedos por el usuario y grupo
root, y no tendrn permisos asignados para otros, as que en la mayora de los casos el nico
usuario capaz de modificar los archivos de bitcoras ser el usuario root.
Ejemplo:
CDM
Software que permite la monitorizacin de UNIX, actualmente soportan varias versiones de
UNIX y Linux, incluyendo Solaris, AIX, HP-UX, Irix, Linux, Sinix y Tru64 UNIX. Est
compuesta por 3 mdulos que se pueden usar individualmente o en conjunto para obtener la
mxima visibilidad del rendimiento del sistema UNIX:

CPU, Disco y Memoria

Monitor de Procesos

Monitor de archivos Log

Bitcora del sistema - Desarrollo

SYSLOG
Es la principal herramienta de UNIX para llevar la bitcora de eventos. Con este
sistema, se puede configurar el manejo de bitcoras a un nivel extremadamente alto de
detalle y cada flujo de registros puede ir a un archivo diferente. Una habilidad muy
buscada y muy potente del syslog es su capacidad de enviar registros de bitcoras a
computadoras remotas. Esto permite centralizar las bitcoras en un solo servidor y
fcilmente verificar los archivos de bitcora por razones de violaciones de seguridad y
otras cosas extraas en toda la red.

Sysklogd actualmente maneja las tareas de procesar la mayora de los mensajes y

enviarlos al archivo o dispositivo apropiado; esto se configura dentro del archivo
/etc/syslog.conf. Sin embargo existen varios problemas con el syslogd y el klogd, la
principal es que si un atacante logra acceso de root, podr modificar los archivos de
bitcoras y nadie lo notar.

Cada mensaje enviado al sistema de bitcoras tiene dos clasificadores: el servicio y el

nivel. El servicio indica el tipo de programa que envi el mensaje y el nivel es el orden de
importancia.

Bitcora del sistema - Desarrollo

El sistema de Log en AIX

AIX proporciona otro mecanismo para la gestin de errores y mensajes del //hardware//,
del sistema operativo y de las aplicaciones, ofreciendo una informacin muy valiosa para
determinar cualquier tipo de problemas en el entorno.
Los registros guardados por ##errdemon## estn en modo binario (a diferencia de los
//logs// habituales en Unix) por defecto.
AIX ofrece ms herramientas para realizar diferente tareas sobre su sistema nativo de
//log//:
eliminar entradas (##errclear##)
instalar nuevas entradas en el archivo de configuracin (##errinstall##)
detener el demonio ##errdemon## (##errstop##)

Bitcora del sistema - Desarrollo

El sistema de Log en AIX
El sistema de //log// en AIX es una de las caractersticas ms potentes que el operativo
nos ofrece, proporcionando un nivel de detalle y granularidad en la clasificacin de
eventos muy superior al de ##syslogd##; no obstante, la cantidad de informacin
registrada, y el hecho de que no existan herramientas que informen de algn modo
especial ante errores graves, hacen que no se consulte mucho el //log// y se pierdan
entradas que son importantes, no slo en lo referente a la seguridad del sistema sino
tambin en lo que concierne a su estabilidad.

Bitcora del sistema - Desarrollo

Logs remotos
El demonio ##syslog## permite fcilmente guardar registros en mquinas remotas;
de esta forma se pretende que, aunque la seguridad de un sistema se vea comprometida y
sus //logs// sean modificados se puedan seguir registrando las actividades sospechosas
en una mquina segura. Esto se consigue definiendo un ##`LOGHOST'## en lugar de un
archivo normal en el fichero ##/etc/syslogd.conf## de la mquina de la que nos interesa
guardar informacin.

A partir de ese momento todos los mensajes generados en la mquina origen se

enviarn a la destino y se registrarn segn las reglas de esta, en un fichero (lo habitual),
en un dispositivo o incluso se reenviarn a otra mquina.

Esto, que en muchas situaciones es muy recomendable, si no se realiza correctamente

puede incluso comprometer la seguridad de la mquina que guarda registros en otro
equipo: por defecto, el trfico se realiza en texto claro, por lo que cualquier atacante con
un //sniffer// entre las dos mquinas puede tener acceso a informacin importante que
habra que mantener en secreto.

Bitcora del sistema - Desarrollo

Logs remotos

Imaginemos una situacin muy habitual: un usuario que teclea su

//password// cuando el sistema le pide el //login//. Evidentemente, esto

generar un mensaje de error que ##syslogd## registrar.

Para evitar este problema existen dos aproximaciones: o bien registramos

//logs// en un equipo directamente conectado al nuestro, sin emitir trfico al

resto de la red, o bien utilizamos comunicaciones cifradas (por ejemplo con
SSH) para enviar los registros a otro ordenador.

Bitcora del sistema - Conclusiones

Problema
Una desventaja del sistema de auditora en Unix puede ser la complejidad que puede
alcanzar una correcta configuracin; por si la dificultad del sistema no fuera suficiente,
en cada Unix el sistema de logs tiene peculiaridades que pueden propiciar la prdida de
informacin interesante de cara al mantenimiento de sistemas seguros. Aunque muchos
de los ficheros de log son comunes en cualquier sistema, su localizacin, o incluso su
formato, pueden variar entre diferentes versiones de Unix.

Dentro de Unix hay dos grandes familias de sistemas: se trata de System V y BSD; la
localizacin de ficheros y ciertas rdenes relativas a la auditora de la mquina van a ser
diferentes en ellas, por lo que es muy recomendable consultar las pginas del manual
antes de ponerse a configurar el sistema de auditora en un equipo concreto.

Bitcora del sistema - Conclusiones

Anlisis
Cada una de las etapas descritas para la administracin de logs es crtica, as si se
cuenta con un sistema de centralizacin bien diseado e implementado pero a su vez,
no se logra un buen mtodo de administracin de los archivos en el servidor de logs
(rotacin y comprobacin integridad ), el sistema de administracin como tal ser
ineficiente.

Los archivos de logs aunque son bsicos a la hora de una investigacin de intrusiones
en los sistemas informticos, siempre hay que tener en mente que son esenciales a la
hora de tomar medidas legales contra esos intrusos.

Bitcora del sistema - Conclusiones

Despus de la lectura considero que las mejores
administracin y monitoreo de logs, son las siguientes:

practicas

para

la

Rotacin de logs. Cuidando no se desborde el almacenamiento y el tiempo exacto del los logs.
Proteccin de logs. Buscando que los logs sean: exactos, autentificables y accesibles.
Exactos. Registrar todo en los logs, mantener el tiempo real y usar mltiples sensores para
registrar eventos.

Autenticidad. Se debe probar que no han sido modificados desde que fueron registrados, a
travs de: cambar los Logs de lugar en en sistema, el uso de Firmas, Encripcin y Checksums,
evitar trabajar con logs originales y utilizar copias, auditar permanentemente todos los cambios
que se produzcan en el sistema y documentar los procesos.

Accesibilidad o control de acceso. El log creado debe ser auditado y protegido para prevenir
accesos no autorizados; mediante la restriccin en el acceso a archivos y la Cadena de custodia, es
decir establecer otros medios de almacenamiento secundario.

Almacenaje de logs. Tomar en cuenta Medios en los que se almacenaran los logs, en base a su
importancia, tiempo de vida (del medio y de la informacin) y confidencialidad.

Uso de herramientas de administracin de logs. Las cuales incluye el mismo sistema operativo:
syslog; o software adicional como tripwire o logrotate.

Uso de herramientas de monitorizacin y anlisis de logs. LogCheck, LogWatch, CDM.

FIN