1

Administración centralizada de logs como un método de aproximación a la recolección de evidencia digital y

detección temprana de fallos.

Andres Holguin Coral2004 v1.0

2

Resumen

Dar a conocer una arquitectura de administración de logs de manera centralizada, que sirva como un acercamiento a la recolección de evidencia digital; que a su vez sirva para predecir o anticipar posibles fallos de seguridad y así mismo, detectar problemas funcionales en los sistemas tanto de hardware como de software.

3

Agenda Definiciones Algunas características que debe cumplir la

evidencia digital Importancia de la consolidación de logs Modelo de consolidación de logs Arquitectura de consolidación de logs Como son los reportes? Productos (sugeridos) Implementación del esquema de consolidación

4

Agenda (cont) Estrategia de administración de logs Correlación Aproximación al manejo de logs como

evidencia Consideraciones de seguridad de syslog Recomendaciones de implementación Referencias

5

Definiciones Qué es un log?Es un mensaje generado por el programador de un sistema operativo, una aplicación o un proceso en el cual se muestra un evento del sistema.

Qué es evidencia digital?Es un tipo de evidencia física que está construidade campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.(Casey 2000, pág.4).

6

Definiciones (Cont)

Qué es consolidación de logs?Es ubicar en un punto de administración los mensajes de eventos ocurridos en los diferentes sistemas, para su almacenamiento y posterior análisis. Qué es correlacion?Es tomar los datos de múltiples fuentes y analizarlos para obtener la posible causa de un evento.

7

Algunas características que debe cumplir la evidencia digital

No han sido alteradas. Que con el paso del tiempo puedo tener

acceso a ella. Tengo control de acceso a estos

registros.

8

Importancia de la consolidación de logs

Crear un historial de movimientos y acciones ocurridas en todos los sistemas en un único punto. De esta forma los eventos de diferentes máquinas puedan ser correlacionados para generar patrones de comportamientos de los eventos.

Es más difícil para los atacantes modificar los logs originales, ya que están ubicados fuera de las maquinas donde fueron generados.

9

Modelo de consolidación de logsREGISTRO

RECOLECCIONDE DATOS MONITOREO

SINCRONIZACIÓN

CORRELACIÓN

SINCRONIZACIÓN

AFINAMIENTO

SIMULACIÓN Y PRUEBASCONTROL DE EVIDENCIA

10

Arquitectura de consolidacion de logs

Internet Red abierta

Red corporativa

Red de servicios

DMZ

Red de seguridad Servidores

de logs

11

Arquitectura de consolidación de logs

Database

SCRIPTS

BD

Syslog

SNMP

IDS

OTROS

REPORTES

12

Como son los reportes?

13

Cuales son las categorías que usa syslog para los mensajes de error (rfc 3164)Facility0 kernel messages1 user-level messages2 mail system3 system daemons4 security/authorization messages (note 1)5 messages generated internally by syslogd6 line printer subsystem7 network news subsystem8 UUCP subsystem9 clock daemon (note 2)10 security/authorization messages (note 1)11 FTP daemon12 NTP subsystem13 log audit (note 1)14 log alert (note 1)15 clock daemon (note 2)16 local use 0 (local0)17 local use 1 (local1)18 local use 2 (local2)19 local use 3 (local3)20 local use 4 (local4)21 local use 5 (local5)22 local use 6 (local6)23 local use 7 (local7)

Severity

0 Emergency: system is unusable1 Alert: action must be taken immediately2 Critical: critical conditions3 Error: error conditions4 Warning: warning conditions5 Notice: normal but significant condition6 Informational: informational messages7 Debug: debug-level messages

14

Productos (sugeridos) Syslog-ng mysql – oracle php-syslog-ng NTsyslog

15

Implementación del esquema de consolidación

Servidores de syslog-ngEvento de syslog

DatabaseConsultas SQL REPORTES

16

Estrategia de administración de logs Identificar los sistemas involucrados. Identificar el alcance y objetivo para el cual se realizará la

consolidación de logs. Sincronizar el reloj de los sistemas involucrados. Identificar los eventos que se desee monitorear. Identificar los tipos de logs que serán almacenados. Definir una estrategia de control de integridad de los archivos. Dimensionar el tamaño, crecimiento y rotación de cada uno de

los logs. Identificar el mecanismo de almacenamiento de los backups. Identificar las herramientas comerciales o gratuitas que pueden

ayudar a examinar y correlacionar los logs.

17

Existen múltiples estrategias para hacer correlación de eventos. El punto crítico de éxito para la arquitectura anterior consiste en el amplio conocimiento de la infraestructura para así poder hacer consultas SQL que relacionen diferentes eventos. Generando así un único evento que podría servir de aproximación a un root cause analysis.

Correlación

18

Aproximación al manejo de logs como evidencia La arquitectura anteriormente expuesta busca garantizar

la integridad del registro de los logs de una manera simple.

El tener los logs en un punto reduce los problemas de manejo de la evidencia debido a que solo hay que asegurar un solo sitio.

El tener un esquema de logs de trabajo y logs “seguros” facilita el hacer investigaciones preeliminares sin afectar los registros “originales”.

Toda la operación se puede hacer de manera automática sin la intervención de personas lo cual incrementa la confiabilidad de los registros.

19

Consideraciones de seguridad de syslog Sylog usa el protocolo UDP, lo cual no

garantiza la llegada de los paquetes sobretodo cuando se hace en redes muy congestionadas o en sitios remotos.

Syslog no usa encripción por tanto los datos pueden ser interceptados si la red no es segura.

Desde un cliente se pueden generar falsos mensajes al servidor de syslog.

Se pueden hacer DoS sobre los servidores de syslog generando tormentas de mensajes.

20

Recomendaciones de implementación Los clientes de syslog deben ser configurados

para no aceptar conexiones remotas. Usar dos maquinas para mantener

contingencia de los logs. Estimar los espacios requeridos para no peder

información. En redes grandes usar servidores intermedios

para la recolección y filtrado de logs. Verificar cual es el “sabor” de syslog que mas

se ajusta a los requerimientos.

21

ReferenciasLog Consolidation with syslog Donald PittDecember 23, 2000 http://www.giac.org/practical/gsec/Donald_Pitts_GSEC.pdf

Watching Your Logs Lance Spitznerhttp://www.spitzner.net/swatch.html

Establishing a Computer Incident Response Capability at a UniversityClyde Laushey May 28, 2001http://www.sans.org/rr/casestudies/university.php

Practical Implementation of Syslog in Mixed Windows Environments for Secure Centralized Audit LoggingFrederick GarbrechtJuly 17, 2002 http://www.sans.org/rr/casestudies/mixed_win.php

Preparación Forense de Redes: R.E.D.A.R. Un Modelo de Análisis Jeimy CanoFebrero, 2002http://www.criptored.upm.es/guiateoria/gt_m142e.htm