La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

1 Administración centralizada de logs como un método de aproximación a la recolección de evidencia digital y detección temprana de fallos. Andres Holguin.

Presentaciones similares


Presentación del tema: "1 Administración centralizada de logs como un método de aproximación a la recolección de evidencia digital y detección temprana de fallos. Andres Holguin."— Transcripción de la presentación:

1 1 Administración centralizada de logs como un método de aproximación a la recolección de evidencia digital y detección temprana de fallos. Andres Holguin Coral 2004 v1.0

2 2 Resumen Dar a conocer una arquitectura de administración de logs de manera centralizada, que sirva como un acercamiento a la recolección de evidencia digital; que a su vez sirva para predecir o anticipar posibles fallos de seguridad y así mismo, detectar problemas funcionales en los sistemas tanto de hardware como de software.

3 3 Agenda Definiciones Algunas características que debe cumplir la evidencia digital Importancia de la consolidación de logs Modelo de consolidación de logs Arquitectura de consolidación de logs Como son los reportes? Productos (sugeridos) Implementación del esquema de consolidación

4 4 Agenda (cont) Estrategia de administración de logs Correlación Aproximación al manejo de logs como evidencia Consideraciones de seguridad de syslog Recomendaciones de implementación Referencias

5 5 Definiciones Qué es un log? Es un mensaje generado por el programador de un sistema operativo, una aplicación o un proceso en el cual se muestra un evento del sistema. Qué es evidencia digital? Es un tipo de evidencia física que está construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.(Casey 2000, pág.4).

6 6 Definiciones (Cont) Qué es consolidación de logs? Es ubicar en un punto de administración los mensajes de eventos ocurridos en los diferentes sistemas, para su almacenamiento y posterior análisis. Qué es correlacion? Es tomar los datos de múltiples fuentes y analizarlos para obtener la posible causa de un evento.

7 7 Algunas características que debe cumplir la evidencia digital No han sido alteradas. Que con el paso del tiempo puedo tener acceso a ella. Tengo control de acceso a estos registros.

8 8 Importancia de la consolidación de logs Crear un historial de movimientos y acciones ocurridas en todos los sistemas en un único punto. De esta forma los eventos de diferentes máquinas puedan ser correlacionados para generar patrones de comportamientos de los eventos. Es más difícil para los atacantes modificar los logs originales, ya que están ubicados fuera de las maquinas donde fueron generados.

9 9 Modelo de consolidación de logs REGISTRO RECOLECCION DE DATOS MONITOREO SINCRONIZACIÓN CORRELACIÓN SINCRONIZACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA

10 10 Arquitectura de consolidacion de logs Internet Red abierta Red corporativa Red de servicios DMZ Red de seguridad Servidores de logs

11 11 Arquitectura de consolidación de logs BD Syslog SNMP IDS OTROS

12 12 Como son los reportes?

13 13 Cuales son las categorías que usa syslog para los mensajes de error (rfc 3164) Facility 0kernel messages 1user-level messages 2mail system 3system daemons 4security/authorization messages (note 1) 5messages generated internally by syslogd 6line printer subsystem 7network news subsystem 8UUCP subsystem 9clock daemon (note 2) 10security/authorization messages (note 1) 11FTP daemon 12NTP subsystem 13log audit (note 1) 14log alert (note 1) 15clock daemon (note 2) 16local use 0 (local0) 17local use 1 (local1) 18local use 2 (local2) 19local use 3 (local3) 20local use 4 (local4) 21local use 5 (local5) 22local use 6 (local6) 23local use 7 (local7) Severity 0Emergency: system is unusable 1Alert: action must be taken immediately 2Critical: critical conditions 3Error: error conditions 4Warning: warning conditions 5Notice: normal but significant condition 6Informational: informational messages 7Debug: debug-level messages

14 14 Productos (sugeridos) Syslog-ng mysql – oracle php-syslog-ng NTsyslog

15 15 Implementación del esquema de consolidación Servidores de syslog-ng Evento de syslog

16 16 Estrategia de administración de logs Identificar los sistemas involucrados. Identificar el alcance y objetivo para el cual se realizará la consolidación de logs. Sincronizar el reloj de los sistemas involucrados. Identificar los eventos que se desee monitorear. Identificar los tipos de logs que serán almacenados. Definir una estrategia de control de integridad de los archivos. Dimensionar el tamaño, crecimiento y rotación de cada uno de los logs. Identificar el mecanismo de almacenamiento de los backups. Identificar las herramientas comerciales o gratuitas que pueden ayudar a examinar y correlacionar los logs.

17 17 Existen múltiples estrategias para hacer correlación de eventos. El punto crítico de éxito para la arquitectura anterior consiste en el amplio conocimiento de la infraestructura para así poder hacer consultas SQL que relacionen diferentes eventos. Generando así un único evento que podría servir de aproximación a un root cause analysis. Correlación

18 18 Aproximación al manejo de logs como evidencia La arquitectura anteriormente expuesta busca garantizar la integridad del registro de los logs de una manera simple. El tener los logs en un punto reduce los problemas de manejo de la evidencia debido a que solo hay que asegurar un solo sitio. El tener un esquema de logs de trabajo y logs seguros facilita el hacer investigaciones preeliminares sin afectar los registros originales. Toda la operación se puede hacer de manera automática sin la intervención de personas lo cual incrementa la confiabilidad de los registros.

19 19 Consideraciones de seguridad de syslog Sylog usa el protocolo UDP, lo cual no garantiza la llegada de los paquetes sobretodo cuando se hace en redes muy congestionadas o en sitios remotos. Syslog no usa encripción por tanto los datos pueden ser interceptados si la red no es segura. Desde un cliente se pueden generar falsos mensajes al servidor de syslog. Se pueden hacer DoS sobre los servidores de syslog generando tormentas de mensajes.

20 20 Recomendaciones de implementación Los clientes de syslog deben ser configurados para no aceptar conexiones remotas. Usar dos maquinas para mantener contingencia de los logs. Estimar los espacios requeridos para no peder información. En redes grandes usar servidores intermedios para la recolección y filtrado de logs. Verificar cual es el sabor de syslog que mas se ajusta a los requerimientos.

21 21 Referencias Log Consolidation with syslog Donald Pitt December 23, Watching Your Logs Lance Spitzner Establishing a Computer Incident Response Capability at a UniversityClyde Laushey May 28, Practical Implementation of Syslog in Mixed Windows Environments for Secure Centralized Audit Logging Frederick Garbrecht July 17, Preparación Forense de Redes: R.E.D.A.R. Un Modelo de Análisis Jeimy Cano Febrero, 2002


Descargar ppt "1 Administración centralizada de logs como un método de aproximación a la recolección de evidencia digital y detección temprana de fallos. Andres Holguin."

Presentaciones similares


Anuncios Google