La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Administración centralizada de logs como un método de aproximación a la recolección de evidencia digital y detección temprana de fallos. Andres Holguin.

Publicada porElvira Travieso Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Administración centralizada de logs como un método de aproximación a la recolección de evidencia digital y detección temprana de fallos. Andres Holguin."— Transcripción de la presentación:

1 Administración centralizada de logs como un método de aproximación a la recolección de evidencia digital y detección temprana de fallos. Andres Holguin Coral 2004 v1.0

2 Resumen Dar a conocer una arquitectura de administración de logs de manera centralizada, que sirva como un acercamiento a la recolección de evidencia digital; que a su vez sirva para predecir o anticipar posibles fallos de seguridad y así mismo, detectar problemas funcionales en los sistemas tanto de hardware como de software.

3 Agenda Definiciones Algunas características que debe cumplir la evidencia digital Importancia de la consolidación de logs Modelo de consolidación de logs Arquitectura de consolidación de logs Como son los reportes? Productos (sugeridos) Implementación del esquema de consolidación

4 Agenda (cont) Estrategia de administración de logs Correlación
Aproximación al manejo de logs como evidencia Consideraciones de seguridad de syslog Recomendaciones de implementación Referencias

5 Definiciones Qué es un log?
Es un mensaje generado por el programador de un sistema operativo, una aplicación o un proceso en el cual se muestra un evento del sistema. Qué es evidencia digital? Es un tipo de evidencia física que está construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.(Casey 2000, pág.4).

6 Definiciones (Cont) Qué es consolidación de logs?
Es ubicar en un punto de administración los mensajes de eventos ocurridos en los diferentes sistemas, para su almacenamiento y posterior análisis. Qué es correlacion? Es tomar los datos de múltiples fuentes y analizarlos para obtener la posible causa de un evento.

7 Algunas características que debe cumplir la evidencia digital
No han sido alteradas. Que con el paso del tiempo puedo tener acceso a ella. Tengo control de acceso a estos registros.

8 Importancia de la consolidación de logs
Crear un historial de movimientos y acciones ocurridas en todos los sistemas en un único punto. De esta forma los eventos de diferentes máquinas puedan ser correlacionados para generar patrones de comportamientos de los eventos. Es más difícil para los atacantes modificar los logs originales, ya que están ubicados fuera de las maquinas donde fueron generados.

9 Modelo de consolidación de logs
REGISTRO RECOLECCION DE DATOS MONITOREO SINCRONIZACIÓN CORRELACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA

10 Arquitectura de consolidacion de logs
Red de servicios Red de seguridad Servidores de logs Internet Red abierta DMZ Red corporativa

11 Arquitectura de consolidación de logs
IDS SNMP Syslog BD OTROS

12 Como son los reportes?

13 Cuales son las categorías que usa syslog para los mensajes de error (rfc 3164)
Facility 0 kernel messages 1 user-level messages 2 mail system 3 system daemons 4 security/authorization messages (note 1) 5 messages generated internally by syslogd 6 line printer subsystem 7 network news subsystem 8 UUCP subsystem 9 clock daemon (note 2) 10 security/authorization messages (note 1) 11 FTP daemon 12 NTP subsystem 13 log audit (note 1) 14 log alert (note 1) 15 clock daemon (note 2) 16 local use 0 (local0) 17 local use 1 (local1) 18 local use 2 (local2) 19 local use 3 (local3) 20 local use 4 (local4) 21 local use 5 (local5) 22 local use 6 (local6) 23 local use 7 (local7) Severity 0 Emergency: system is unusable 1 Alert: action must be taken immediately 2 Critical: critical conditions 3 Error: error conditions 4 Warning: warning conditions 5 Notice: normal but significant condition 6 Informational: informational messages 7 Debug: debug-level messages

14 Productos (sugeridos)
Syslog-ng mysql – oracle php-syslog-ng NTsyslog

15 Implementación del esquema de consolidación
Evento de syslog Servidores de syslog-ng

16 Estrategia de administración de logs
Identificar los sistemas involucrados. Identificar el alcance y objetivo para el cual se realizará la consolidación de logs. Sincronizar el reloj de los sistemas involucrados. Identificar los eventos que se desee monitorear. Identificar los tipos de logs que serán almacenados. Definir una estrategia de control de integridad de los archivos. Dimensionar el tamaño, crecimiento y rotación de cada uno de los logs. Identificar el mecanismo de almacenamiento de los backups. Identificar las herramientas comerciales o gratuitas que pueden ayudar a examinar y correlacionar los logs.

17 Correlación Existen múltiples estrategias para hacer correlación de eventos. El punto crítico de éxito para la arquitectura anterior consiste en el amplio conocimiento de la infraestructura para así poder hacer consultas SQL que relacionen diferentes eventos. Generando así un único evento que podría servir de aproximación a un root cause analysis.

18 Aproximación al manejo de logs como evidencia
La arquitectura anteriormente expuesta busca garantizar la integridad del registro de los logs de una manera simple. El tener los logs en un punto reduce los problemas de manejo de la evidencia debido a que solo hay que asegurar un solo sitio. El tener un esquema de logs de trabajo y logs “seguros” facilita el hacer investigaciones preeliminares sin afectar los registros “originales”. Toda la operación se puede hacer de manera automática sin la intervención de personas lo cual incrementa la confiabilidad de los registros.

19 Consideraciones de seguridad de syslog
Sylog usa el protocolo UDP, lo cual no garantiza la llegada de los paquetes sobretodo cuando se hace en redes muy congestionadas o en sitios remotos. Syslog no usa encripción por tanto los datos pueden ser interceptados si la red no es segura. Desde un cliente se pueden generar falsos mensajes al servidor de syslog. Se pueden hacer DoS sobre los servidores de syslog generando tormentas de mensajes.

20 Recomendaciones de implementación
Los clientes de syslog deben ser configurados para no aceptar conexiones remotas. Usar dos maquinas para mantener contingencia de los logs. Estimar los espacios requeridos para no peder información. En redes grandes usar servidores intermedios para la recolección y filtrado de logs. Verificar cual es el “sabor” de syslog que mas se ajusta a los requerimientos.

21 Referencias Log Consolidation with syslog Donald Pitt
December 23, 2000 Watching Your Logs Lance Spitzner Establishing a Computer Incident Response Capability at a UniversityClyde Laushey May 28, 2001 Practical Implementation of Syslog in Mixed Windows Environments for Secure Centralized Audit Logging Frederick Garbrecht July 17, 2002 Preparación Forense de Redes: R.E.D.A.R. Un Modelo de Análisis Jeimy Cano Febrero, 2002

Descargar ppt "Administración centralizada de logs como un método de aproximación a la recolección de evidencia digital y detección temprana de fallos. Andres Holguin."

Presentaciones similares

Capitulo 7: Procesamiento batch y el Job Entry Subsystem (JES)

Capitulo 7: Procesamiento batch y el Job Entry Subsystem (JES)
ESTUDIOS DE LINEA DE BASE Metodologías Participativas II Reunión Anual de la Red Latinpapa Cochabamba-Bolivia, 25 al 28 Febrero del 2009 Grupo de impacto.

ESTUDIOS DE LINEA DE BASE Metodologías Participativas II Reunión Anual de la Red Latinpapa Cochabamba-Bolivia, 25 al 28 Febrero del 2009 Grupo de impacto.
Módulo 4 – Prácticas y procedimientos generales de una inspección

Módulo 4 – Prácticas y procedimientos generales de una inspección
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
GFI LANguard Network Security Scanner Version 8 .0 !

GFI LANguard Network Security Scanner Version 8 .0 !
GFI EventsManager 7. Administracion de los registros de sucesos de toda la red Los registros de sucesos son una valiosa herramienta para monitorear la.

GFI EventsManager 7. Administracion de los registros de sucesos de toda la red Los registros de sucesos son una valiosa herramienta para monitorear la.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO 2005. Resumen. 24 de Junio de 2005.

1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO Resumen. 24 de Junio de 2005.
Herramientas informáticas

Herramientas informáticas
IDS SISTEMAS DE DETECCIÓN DE INTRUSOS

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
Internet y tecnologías web

Internet y tecnologías web
Diseño de Bases de Datos

Diseño de Bases de Datos
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.

CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Seminarios Técnicos 1 Microsoft Windows Small Business Server 2003 R2 Volumen I Andrés de Pereda – José Fuentes Microsoft Certified Professionals.

Seminarios Técnicos 1 Microsoft Windows Small Business Server 2003 R2 Volumen I Andrés de Pereda – José Fuentes Microsoft Certified Professionals.
© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Vivir en un mundo basado en redes.

© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Vivir en un mundo basado en redes.
© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Comunicación por la red Fundamentos.

© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Comunicación por la red Fundamentos.
Estructuras de Información y Archivos

Estructuras de Información y Archivos
1 Reporte Componente Impacto 6.1.2 Por Orden Territorial - 6.1.2.1 Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.

1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.
Capa de Transporte del modelo OSI

Capa de Transporte del modelo OSI

Presentaciones similares

Anuncios Google