Administración centralizada de logs como un método de aproximación a la recolección de evidencia digital y detección temprana de fallos. Andres Holguin.

Slides:



Advertisements
Presentaciones similares
Capitulo 7: Procesamiento batch y el Job Entry Subsystem (JES)
Advertisements

ESTUDIOS DE LINEA DE BASE Metodologías Participativas II Reunión Anual de la Red Latinpapa Cochabamba-Bolivia, 25 al 28 Febrero del 2009 Grupo de impacto.
Módulo 4 – Prácticas y procedimientos generales de una inspección
Intranets P. Reyes / Octubre 2004.
GFI LANguard Network Security Scanner Version 8 .0 !
GFI EventsManager 7. Administracion de los registros de sucesos de toda la red Los registros de sucesos son una valiosa herramienta para monitorear la.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO Resumen. 24 de Junio de 2005.
Herramientas informáticas
IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
Internet y tecnologías web
Diseño de Bases de Datos
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Seminarios Técnicos 1 Microsoft Windows Small Business Server 2003 R2 Volumen I Andrés de Pereda – José Fuentes Microsoft Certified Professionals.
© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Vivir en un mundo basado en redes.
© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Comunicación por la red Fundamentos.
Estructuras de Información y Archivos
1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.
Capa de Transporte del modelo OSI
Caracterización de la red existente
Base de Datos Distribuidas FUNDAMENTOS DE BASES DE DATOS DISTRIBUIDAS
Phone2Wave-Server Manual de Operación.
Universidad Nacional Autónoma de Honduras
Alumno: Federico Lanzani Materia: Arquitectura Avanzada
Nanci Abarca Pablo Cruz Gabriela Palacios Cisne Sarmiento
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Creación del prototipo de la red del campus
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
O3 Drill Through. 2 El O3 Drill Through El O3 Drill Through permite : Ver información detallada de aquella resumida en cubos de O3. Asociar con cubos.
La aplicación de los tres conceptos a un problema dan como resultado una solución acorde a las necesidades del cliente a un costo acorde al problema.
MI PROGRAMA DE FORMACION
SISTEMA ELECTRONICO DE AVALUOS INMOBILIARIOS VERSION WEBSERVICES
1 Sistema de Administración de Sociedades de Inversión y Fondos.
Propósito Introducción Tema Actividades de aprendizaje Actividades de aprendizaje El éxito fundamental de la web se basa en tres aspectos principales:
Oscar Navarrete J. Jorge Gutiérrez A.
Seguridad de redes empresariales
Compartir Informacion Compartir Hardware y Software
PPQA.
Proceso de Originación de Crédito: Banco de los Alpes
Base de Datos Distribuidas
Es un Sistema operativo de red. Es una de las plataformas de servicio más fiable para ofrecer acceso seguro y continuado a la red y los recursos de.
Exploración de la infraestructura de red empresarial
Control de versiones usando PowerBuilder y Subversion
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Resolución de problemas de una red empresarial Introducción al.
Reunión de los requerimientos de la red
REGISTROS Y ALERTAS DE RENDIMIENTO
ARIS-G: Software de Monitoreo Geomecánico de Superficies
Sistema de Seguridad Domiciliaria
Selling your ideas is challenging
AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.
1/27 Optimización de Internet con Software Libre Jack Daniel Cáceres Meza
Seguridad de la Información
Guía de Implementación
Lineamientos de Pruebas Integrales del GRP Financiero
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
Un sistema de gestión de bases de datos: Es un conjunto de programas que permite a los usuarios crear y mantener una base de datos. Por tanto, el SGBD.
Servicio horario NTP - Protocolo NTP Luis Villalta Márquez.
Soluciones de informática y Electrónica Sistema de Monitoreo de Centrales de Incendio.
UNIVERSIDAD DE GUADALAJARA CENTRO UNIVERSITARIO DE LA COSTA SUR ALUMNA: CLEMENTINA RANGEL ALMEDA MATERIA: SISTEMAS OPERATIVOS ABIERTOS 16 DE JUNIO 09,
Servicio Remoto de Monitoreo
HERRAMIENTAS DE ADMINISTRACION Y MONITOREO DE REDES
Análisis forense en sistemas informáticos
UNIVERSIDAD LATINA II. FUNCIONES DEL ADMINISTRADOR.
DISEÑO CURRICULAR Presentado por: Cesar Augusto Sáenz María Alejandra Hernández 1.contenidos curriculares de competencia.
Protocolos de comunicación TCP/IP
Arquitectura Cliente Servidor
VI. EVALUACIÓN DE LOS RECURSOS
WINDOWS SERVER 2008 r2 ADMINISTRACION DE RECURSOS: Con el Administrador de recursos del sistema de Windows del sistema operativo Windows Server® 2008 R2,
Transcripción de la presentación:

Administración centralizada de logs como un método de aproximación a la recolección de evidencia digital y detección temprana de fallos. Andres Holguin Coral 2004 v1.0

Resumen Dar a conocer una arquitectura de administración de logs de manera centralizada, que sirva como un acercamiento a la recolección de evidencia digital; que a su vez sirva para predecir o anticipar posibles fallos de seguridad y así mismo, detectar problemas funcionales en los sistemas tanto de hardware como de software.

Agenda Definiciones Algunas características que debe cumplir la evidencia digital Importancia de la consolidación de logs Modelo de consolidación de logs Arquitectura de consolidación de logs Como son los reportes? Productos (sugeridos) Implementación del esquema de consolidación

Agenda (cont) Estrategia de administración de logs Correlación Aproximación al manejo de logs como evidencia Consideraciones de seguridad de syslog Recomendaciones de implementación Referencias

Definiciones Qué es un log? Es un mensaje generado por el programador de un sistema operativo, una aplicación o un proceso en el cual se muestra un evento del sistema. Qué es evidencia digital? Es un tipo de evidencia física que está construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.(Casey 2000, pág.4).

Definiciones (Cont) Qué es consolidación de logs? Es ubicar en un punto de administración los mensajes de eventos ocurridos en los diferentes sistemas, para su almacenamiento y posterior análisis. Qué es correlacion? Es tomar los datos de múltiples fuentes y analizarlos para obtener la posible causa de un evento.

Algunas características que debe cumplir la evidencia digital No han sido alteradas. Que con el paso del tiempo puedo tener acceso a ella. Tengo control de acceso a estos registros.

Importancia de la consolidación de logs Crear un historial de movimientos y acciones ocurridas en todos los sistemas en un único punto. De esta forma los eventos de diferentes máquinas puedan ser correlacionados para generar patrones de comportamientos de los eventos. Es más difícil para los atacantes modificar los logs originales, ya que están ubicados fuera de las maquinas donde fueron generados.

Modelo de consolidación de logs REGISTRO RECOLECCION DE DATOS MONITOREO SINCRONIZACIÓN CORRELACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA

Arquitectura de consolidacion de logs Red de servicios Red de seguridad Servidores de logs Internet Red abierta DMZ Red corporativa

Arquitectura de consolidación de logs IDS SNMP Syslog BD OTROS

Como son los reportes?

Cuales son las categorías que usa syslog para los mensajes de error (rfc 3164) Facility 0 kernel messages 1 user-level messages 2 mail system 3 system daemons 4 security/authorization messages (note 1) 5 messages generated internally by syslogd 6 line printer subsystem 7 network news subsystem 8 UUCP subsystem 9 clock daemon (note 2) 10 security/authorization messages (note 1) 11 FTP daemon 12 NTP subsystem 13 log audit (note 1) 14 log alert (note 1) 15 clock daemon (note 2) 16 local use 0 (local0) 17 local use 1 (local1) 18 local use 2 (local2) 19 local use 3 (local3) 20 local use 4 (local4) 21 local use 5 (local5) 22 local use 6 (local6) 23 local use 7 (local7) Severity 0 Emergency: system is unusable 1 Alert: action must be taken immediately 2 Critical: critical conditions 3 Error: error conditions 4 Warning: warning conditions 5 Notice: normal but significant condition 6 Informational: informational messages 7 Debug: debug-level messages

Productos (sugeridos) Syslog-ng mysql – oracle php-syslog-ng NTsyslog

Implementación del esquema de consolidación Evento de syslog Servidores de syslog-ng

Estrategia de administración de logs Identificar los sistemas involucrados. Identificar el alcance y objetivo para el cual se realizará la consolidación de logs. Sincronizar el reloj de los sistemas involucrados. Identificar los eventos que se desee monitorear. Identificar los tipos de logs que serán almacenados. Definir una estrategia de control de integridad de los archivos. Dimensionar el tamaño, crecimiento y rotación de cada uno de los logs. Identificar el mecanismo de almacenamiento de los backups. Identificar las herramientas comerciales o gratuitas que pueden ayudar a examinar y correlacionar los logs.

Correlación Existen múltiples estrategias para hacer correlación de eventos. El punto crítico de éxito para la arquitectura anterior consiste en el amplio conocimiento de la infraestructura para así poder hacer consultas SQL que relacionen diferentes eventos. Generando así un único evento que podría servir de aproximación a un root cause analysis.

Aproximación al manejo de logs como evidencia La arquitectura anteriormente expuesta busca garantizar la integridad del registro de los logs de una manera simple. El tener los logs en un punto reduce los problemas de manejo de la evidencia debido a que solo hay que asegurar un solo sitio. El tener un esquema de logs de trabajo y logs “seguros” facilita el hacer investigaciones preeliminares sin afectar los registros “originales”. Toda la operación se puede hacer de manera automática sin la intervención de personas lo cual incrementa la confiabilidad de los registros.

Consideraciones de seguridad de syslog Sylog usa el protocolo UDP, lo cual no garantiza la llegada de los paquetes sobretodo cuando se hace en redes muy congestionadas o en sitios remotos. Syslog no usa encripción por tanto los datos pueden ser interceptados si la red no es segura. Desde un cliente se pueden generar falsos mensajes al servidor de syslog. Se pueden hacer DoS sobre los servidores de syslog generando tormentas de mensajes.

Recomendaciones de implementación Los clientes de syslog deben ser configurados para no aceptar conexiones remotas. Usar dos maquinas para mantener contingencia de los logs. Estimar los espacios requeridos para no peder información. En redes grandes usar servidores intermedios para la recolección y filtrado de logs. Verificar cual es el “sabor” de syslog que mas se ajusta a los requerimientos.

Referencias Log Consolidation with syslog Donald Pitt December 23, 2000 http://www.giac.org/practical/gsec/Donald_Pitts_GSEC.pdf Watching Your Logs Lance Spitzner http://www.spitzner.net/swatch.html Establishing a Computer Incident Response Capability at a UniversityClyde Laushey May 28, 2001 http://www.sans.org/rr/casestudies/university.php Practical Implementation of Syslog in Mixed Windows Environments for Secure Centralized Audit Logging Frederick Garbrecht July 17, 2002 http://www.sans.org/rr/casestudies/mixed_win.php Preparación Forense de Redes: R.E.D.A.R. Un Modelo de Análisis Jeimy Cano Febrero, 2002 http://www.criptored.upm.es/guiateoria/gt_m142e.htm

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.