Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Documento
Documento
Director:
Ingeniero Edgar Enrique Ruiz
Nota de Aceptacin
______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
________________________________________
________________________________________
Jurado
_________________________________
Jurado
Enero 2007
TABLA DE CONTENIDO
1. INTRODUCCION
10
10
10
11
2. MARCO TERICO
13
43
44
44
45
47
68
68
69
69
71
5. CONCLUSIONES
72
6. TRABAJOS FUTUROS
74
7. BIBLIOGRAFIA
75
8. ANEXOS
79
LISTA DE TABLAS
Tabla 1. Facilidades y su cdigo numrico respectivo.......................................14
Tabla 2.Severidades y su cdigo numrico respectivo......................................15
Tabla 3. Caracterstica de los Mtodos de transporte.......................................51
Tabla 4. Equipos de la red del caso de prueba..................................................68
tabla 5. Lista de validacin para la guia metodolgica......................................70
LISTA DE FIGURAS
Figura 1. Estructura de mensajes SNMP...........................................................19
Figura 2. Interrupcin [28]..................................................................................36
Figura 3. Intercepcin [28]..................................................................................36
Figura 4. Modificacin [28].................................................................................36
Figura 5. Fabricacin [28]...................................................................................37
Figura 6. Esquema jerrquico de NTP. [37].......................................................38
Figura 7. Esquema de distribucin de SSH.......................................................40
Figura 8.Red Tpica de una pyme definida por Microsoft. [29]..........................45
Figura 9. Diagrama de una Red tpica de una pyme.........................................49
Figura 10. Esquema de centralizacin de logs..................................................54
Figura 11. Diagrama de flujo de la gua metodolgica.......................................58
Figura 12. Diagrama de Flujo para la configuracin del servidor...................61
Figura 13. Diagrama de Flujo para la configuracin de los clientes UNIX LIKE
............................................................................................................................62
Figura 14. Diagrama de Flujo para la configuracin de los clientes WINDOWS
............................................................................................................................63
Figura 15. Diagrama de Flujo para la configuracin de los clientes
dispositivos de red..............................................................................................64
Figura 16. Diagrama de Flujo para la configuracin de los clientes UNIX LIKE,
receptores de logs de los dispositivos de red....................................................65
Figura 17. Diagrama de Dependencias de los Servicios...................................66
Figura 18. Esquema de Red del caso de prueba..............................................69
1. INTRODUCCION
2. DESCRIPCIN EL PROBLEMA
En la actualidad, las pequeas y medianas empresas (Pymes) cuentan con
herramientas y equipos informticos los cuales, en su mayora, generan
registros de eventos de seguridad. Los logs son un conjunto de eventos que se
almacenan en los dispositivos donde son generados, y contienen informacin
acerca de los sucesos que ocurren en el dispositivo.
Es importante mantener un monitoreo constante de los logs para detectar
eventos anormales en las herramientas o dispositivos de red, y poder actuar
oportunamente frente a cualquier dificultad, evitando as la perdida o
manipulacin no autorizada de informacin.
Sin embargo, no es suficiente analizar la informacin de cada dispositivo por
separado, ya que en algunos casos, puede existir una relacin directa entre
eventos sucedidos en distintos equipos.
La revisin de los logs y anlisis de la informacin contenida en stos se vuelve
una tarea bastante compleja y tediosa cuando se genera un sin lmite de logs
en la compaa diariamente. Una solucin a ste problema es mantener
almacenados los logs en un solo equipo, y desde este hacer la revisin de
todos los logs de la pyme.
Existen algunas herramientas de software que permiten realizar la
centralizacin de los registros de eventos y en algunos casos correlacionarlas,
sin embargo, son herramientas bastante costosas, las cuales no se encuentran
al alcance de una pyme. Se encuentran herramientas de cdigo libre o guas
que permiten realizar el transporte sobre los logs, pero no cumplen con todos
los requerimientos de seguridad necesarios para el transporte de estos.
Por lo anterior, se lleva a cabo este proyecto, con el fin de proponer una gua
metodolgica que permita a las pymes gestionar de manera centralizada los
registros de eventos de seguridad.
3. OBJETIVOS DE LA INVESTIGACIN
El principal objetivo de ste trabajo de investigacin es definir y validar una
gua metodolgica para la gestin centralizada de registros de eventos de
seguridad de red, para que pueda ser utilizada en organizaciones de pequea y
mediana escala. Para cumplir con ste objetivo, se intenta dar respuesta a la
pregunta Cmo centralizar registros de eventos de seguridad en pymes
conservando su carcter de evidencia digital a nivel probatorio y
cumpliendo los requicitos para hacer una futura correlacin?. La solucin
a este interrogante,
actividades:
4. ALCANCE DE LA INVESTIGACIN
El proyecto de investigacin busca la elaboracin de una gua metodolgica
para la gestin centralizada de registros de eventos de seguridad para
pequeas y medianas empresas, la cual debe ser apoyada en herramientas de
libre distribucin o que se encuentren al alcance de una pyme.
Para la elaboracin de la gua se pretende hacer uso de herramientas ya
existentes, que cumplan con alguno(s) de los requerimientos necesarios para
realizar la centralizacin de logs manteniendo su carcter de evidencia digital.
Con el seguimiento de la gua metodolgica la pyme debe lograr centralizar los
registros de eventos de seguridad que generan las herramientas o dispositivos
que cumplan con los requerimientos especificados en la gua.
No hace parte del trabajo de investigacin llevar a la pyme a realizar una
correlacin de registros de eventos, sin embargo, como continuacin del
proyecto, queda abierta la posibilidad de implementar un sistema de correlacin
de logs centralizados.
Dentro del objetivo del proyecto, no se encuentra comprendido el desarrollo de
software, definicin de estndares, definicin de polticas ni de procedimientos
para la pyme.
5. MARCO TERICO
La teora en la cual fue basada este proyecto de investigacin se basa en los
conceptos claves para realizar la centralizacin de logs manteniendo su
carcter de evidencia digital. Esto cubre los temas relacionados con los
mtodos de transporte de logs, correlacin de registros de eventos de
seguridad, protocolo de sincronizacin de relojes de tiempo en una red,
mtodos para asegurar el transporte de logs, computacin forense y evidencia
digital.
Tambin se cubrieron temas relacionados con seguridad informtica como los
tipos de ataques informticos y mtodos de proteccin contra estos, con el fin
de conocer las herramientas que son usadas comnmente para la proteccin y
que generan registros de eventos de seguridad que deben ser tenidos en
cuenta en el momento de la centralizacin.
6. METODOS DE TRANSPORTE
Existen diferentes mtodos que se pueden utilizar a la hora de realizar el
transporte de los logs. A continuacin se describen algunos de estos.
7. Syslog
Syslog es un sistema de logs que se encarga principalmente de la
administracin de logs, los cuales son generados por eventos del sistema, sus
programas o por el Kernel. [1]
El envi de mensajes Syslog fue usado inicialmente en sistemas basados en
UNIX para registrar eventos de aplicaciones, sistema operativo o red.
Es comn ahora encontrar equipos de redes que pueden generar y enviar
mensajes Syslog a equipos configurados con un demonio que los reciba [36],
as como ya existen implementaciones para sistemas Windows.
El termino syslog es a menudo utilizado para describir tanto el protocolo para el
envo de mensajes, como el programa o librera que enva mensajes syslog.
7.1.1.1.
Mensaje Syslog
PRI: Este campo debe estar compuesto por 3,4 o 5 caracteres y debe estar
rodeado de corchetes angulares.
Comienza con el carcter < seguido de un nmero, el cual precede del
carcter >. El cdigo utilizado en esta parte debe ser un ASCII de 7 bits en
un campo de 8 bits como est descrito en el RFC 2234.
El nmero encerrado por los corchetes es conocido como la Prioridad, la
cual est compuesta por 1,2 o 3 enteros decimales. La Prioridad representa
a la vez la Facilidad y Severidad las cuales se encuentran codificadas
numricamente con valores decimales.
Algunos de los demonios de sistemas operativos y procesos se les han
asignado valores de Facilidad. Si a algn proceso o demonio no se le ha
asignado explcitamente una Facilidad, puede usar cualquiera de las
facilidades de uso local (local use) o usar la Facilidad nivel de usuario
(user level).
Aquellas Facilidades que han sido asignadas son mostradas en la siguiente
tabla, as como sus cdigos numricos:
Cdigo
Numrico
Facilidad
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Mensajes de kernel
Mensajes de nivel de usuario
Sistema de correo
Demonios del sistema
Mensaje de seguridad/autorizacin
Mensaje generado internamente por
syslogd
Subsistema de impresora en lnea
Subsistema de noticias de red
Subsistema UUCP
Demonio de reloj(nota 2)
Mensaje de seguridad/autorizacin(nota
1)
Demonio FTP
Subsistema NTP
Auditoria de eventos (nota 1)
Alerta de eventos (nota 2)
Demonio de reloj (nota 2)
Uso local 0
Uso local 1
Uso local 2
Uso local 3
Uso local 4
Uso local 5
Uso local 6
Uso local 7
Severidad
Mensajes de kernel
Mensajes de nivel de usuario
Sistema de correo
Demonios del sistema
Mensaje de seguridad/autorizacin
Mensaje generado internamente por
syslogd
Subsistema de impresora en lnea
Subsistema de noticias de red
Caractersticas de syslog
Evoluciones de syslog
Syslog Modular.
Syslog modular es una implementacin de syslog que tiene un nuevo modulo
que se encarga de verificar la integridad de los eventos. Los eventos pueden
ser firmados mediante algoritmos como PEO-1 y L-PEO, con los que se pude
verificar si los eventos han sido modificados. [5]
syslog-ng.conf cambia.
7.1.1.4.
Componentes de SNMP:
Operaciones de SNMP:
8.1.1.3.
Estructura de la PDU
SNMP PDU
Mensaje SNMP
Tipo
PDU
empresa
Direccin Trap
agente
genrico
Trap
Timeespecfico stamp
Campos
variables
Trap PDU
SNMP v.3
Falta de Integridad
Falta de Autorizacin
Falta de Autenticacin
Spoofing
@ fr (e, f , T , i ) @(e f , T , i )
11.1.1.1.
Eventos Primitivos:
define primitive event PE with
attributes ([NAME, TYPE], ..., [NAME, TYPE])
Eventos Compuestos:
define composite event CE with
attributes ([NAME, TYPE], ..., [NAME, TYPE])
which occurs
whenever timing condition
TC is [satisfied violated]
if condition
C is true
then
ASSIGN VALUES TO CEs ATTRIBUTES;
12. Tipos de Correlacin
Los dos aspectos ms importantes en la correlacin de eventos son la
velocidad con la cual ocurre la correlacin, y la exactitud de los datos devueltos
en la correlacin. [11] Es importante que el sistema de correlacin informe los
incidentes tan rpido como sea posible para que el administrador de la red
acte de acuerdo a esto. De igual forma, el sistema de correlacin debe reducir
el nmero de falsos positivos y falsos negativos [9].
Luego de haber cumplido con los requisitos para correlacionar se puede
proceder a la correlacin. Existen diferentes mtodos para esto: correlacin
basada en reglas, correlacin estadstica y correlacin con sistemas de
inteligencia artificial
12.1.1.1.
Correlacin estadstica
12.1.1.3.
Este tipo de correlacin usa varias formas de inteligencia artificial (AI). Hay
muchos tipos diversos de inteligencia artificial, y las tcnicas de la correlacin
de eventos se han propuesto utilizar varias combinaciones de ellas, incluyendo
redes neuronales y sistemas expertos. Los sistemas de AI tienen una ventaja
13.
15.1.1.1.
Criterios de admisibilidad
Cuando sea necesario que una persona tenga acceso a evidencia digital
forense, esa persona debe ser un profesional forense.
15.1.1.4.
16.
SEGURIDAD
Es necesario conocer las tcnicas existentes para proteger la informacin y los
recursos de una red. Estas tcnicas se clasifican en dos tipos: Seguridad Fsica
y Seguridad Lgica.
17. Seguridad fsica
La seguridad fsica es uno de los aspectos ms olvidados durante el diseo de
un sistema de seguridad informtica. Sin embargo, este es un tema de gran
importancia y sin l, no tendra sentido la seguridad de la red.
Criptografa.
Autenticacin.
Firewalls.
Las ACL, son listas que permiten definir permisos a usuarios y grupos
concretos. Por ejemplo, puede definirse sobre un Proxy una lista de todos los
usuarios (o grupos de ellos) a quien se le permite el acceso a Internet, FTP, o
cualquier otro servicio. Tambin podrn definirse otras caractersticas como
limitaciones de anchos de banda y horarios.
19.1.1.5.
Los IDS son sistemas diseados para examinar trfico que viaja por la red con
el fin de identificar amenazas y detectar escaneos, pruebas y ataques.
Los objetivos de los detectores de intrusos son:
Antivirus.
Dispositivos de red.
Sistemas Anti-Sniffers.
Todos pueden acceder a las herramientas que necesitan y los costos van de
acuerdo con el tamao y potencialidades de la herramienta.
Tambin es importante mencionar que actualmente, en Internet, se encuentran
gran cantidad de herramientas de libre distribucin.
21.
22. Vulnerabilidad
Las vulnerabilidades de seguridad, es la posibilidad de que el sistema u
organizacin est expuesto a una amenaza. Las vulnerabilidades pueden ser
aprovechadas por un atacante para acceder a un sistema o una red.
En la actualidad las vulnerabilidades son un punto crtico en la seguridad
informtica. Sin embargo, vale la pena mencionar, que la gran mayora de las
vulnerabilidades se deben malas configuraciones de las aplicaciones, sistemas
operativos y equipos de trabajo, as como a los descuidos de los oficiales de
seguridad.
22.1.1.1.
Tipo de vulnerabilidades
Emisor
Recepto
r
Emisor
Recepto
r
Intruso
Emisor
Recepto
r
Intruso
Emis
or
Rece
ptor
Intrus
o Fabricacin [28]
Figura 5.
23.1.1.2.
24.
26.
SSH
Privacidad.
SSH suministra privacidad de los datos que viajan por la red por medio del
cifrado. ste cifrado se basa en llaves aleatorias que son negociadas
seguramente para la sesin y luego destruidas cuando la sesin es finalizada.
El protocolo Secure Shell soporta una variedad de algoritmos de cifrado para
los datos, incluyendo los siguientes: TSS, RC4, IDEA, DES, y triple-DES
(3DES).
28.1.1.2.
Autenticacin.
Autorizacin.
28.1.1.4.
Integridad
Para asegurar que los datos que llegan al receptor no fueron alterados y son
los mismos que envo el emisor, el transporte con SSH revisa la integridad de
los datos, por medio del uso de algoritmos hash basados en MD5 y SHA-1.
28.1.1.5.
Tnel (Tunneling)
31.
La definicin de una red tpica de una pyme se planeo realizar por medio del
levantamiento de informacin en entidades pblicas o privadas, cuyo objetivo
fuese el estudio y apoyo a las pymes. Sin embargo, al realizar esta actividad,
se encontr que no existen grandes estudios a nivel tecnolgico de la pequea
y mediana empresa, la cual nos pudiera revelar informacin apropiada para la
definicin de las caractersticas de una pyme.
De este modo, se planeo en segunda medida realizar un estudio con una
muestra significativa de pequeas y medianas empresas, para lograr as
obtener la informacin deseada. Al ejecutar esta accin, se encontr que no es
sencillo obtener informacin en cuanto al manejo de la seguridad informtica y
de la red de pymes donde no se tiene una relacin de confianza previa, por lo
que el levantamiento de informacin no tuvo xito.
Finalmente, se decidi buscar la informacin de las caractersticas de una red
tpica de una pyme por medio del tamao definido para estas legalmente,
obteniendo as un nmero aproximado de usuarios. Seguidamente, se busc
informacin en los proveedores de tecnologa para pymes, de esta manera se
consigui obtener la informacin deseada y se pudo realizar un esquema
genrico de una red tpica de una red.
32. Tamao de una Pyme
Segn la ley LEY 905 DE 2004 que reforma la LEY 590 DE 2000 se define el
tamao las microempresas, pequeas empresas y medianas empresas de la
siguiente manera:
ARTCULO 2o. El artculo 2o de la Ley 590 de 2000 quedar as:
Artculo 2o. Definiciones. Para todos los efectos, se entiende por micro
incluidas las Famiempresas pequea y mediana empresa, toda unidad de
explotacin econmica, realizada por persona natural o jurdica, en actividades
empresariales, agropecuarias, industriales, comerciales o de servicios rurales o
urbanos, que responda a dos (2) de los siguientes parmetros:
1. Mediana empresa:
a) Planta de personal entre cincuenta y uno (51) y doscientos (200)
trabajadores, o
b) Activos totales por valor entre cinco mil uno (5.001) a treinta mil (30.000)
salarios mnimos mensuales legales vigentes.
2. Pequea empresa:
a) Planta de personal entre once (11) y cincuenta (50) trabaja-dores, o
b) Activos totales por valor entre quinientos uno (501) y menos de cinco mil
(5.000) salarios mnimos mensuales legales vigentes o,
3. Microempresa:
a) Planta de personal no superior a los diez (10) trabajadores o,
b) Activos totales excluida la vivienda por valor inferior a quinientos (500)
salarios mnimos mensuales legales vigentes o,
Para efectos de la definicin del tamao de una red el factor que interesa es el
nmero de trabajadores, por lo cual se puede deducir que siendo una Pyme
una empresa pequea o mediana, el nmero de trabajadores podra oscilar
entre 11 y 200 trabajadores.
33. Caractersticas de una red tpica de una PyME
33.1.1.1.
En [29] definen una red tpica SMB con productos Microsoft de la siguiente
manera.
En un DC estn [30]:
Una copia fsica de la base de datos Active Directoty
Un Active Directory esta compuesto por
o LDAP
o X.500
o DNS
o Kerberos
Servicios de Registros
o Kerberos
o LAN Manager Authentication
Adicionalmente sirve como servidor DHCP.
Servidor de Archivos
Servidor de Impresin.
Exchange:
Servidor de correo electrnico basado en PC.
SQL Server
Servidor de base de datos basado en PC
IIS
Servidor Web basado en PC
Servidor de Seguridad/VPN (ISA Server)
Punto de Acceso Inalmbrico
33.1.1.2.
Con base en los componentes definidos en [29], una red tpica de una PyME
tendra los siguientes servicios:
Servidor de Autenticacin
DNS
DHCP
Servidor de Archivos
Servidor de Impresin
Servidor de correo electrnico
Segn estadsticas de [33] los 3 servidores de correo ms usados son:
o Microsoft ESMTP MAIL Service
o Sendmail
o Imail
Servidor o manejador de bases de datos
Servidor Web
De acuerdo con [31] los tres servidores Web ms usados en Agosto de
2006 son:
o Apache.
o Microsoft IIS.
o Zeus Web Server.
Cubriendo entre los 3 un 93,21% de los encuestados.
Servidor VPN + Firewall
Segn [32] la industria de los Firewalls con VPN integrados ha crecido
notablemente; es el tercer segmento ms grande dentro del software de
seguridad. Tambin aseguran que segn un estudio de Infonetics
Research, Cisco System es la empresa lder en este mercado seguida
por
Check Point Software Technologies. Sumando entre ambas un
59,2% del
mercado.
Access Point inalmbrico
Enrutador hacia Internet
34.
38.
DEFINICIN DE INFRAESTRUCTURA
Entindase como Unix Like todo sistema operativo que se comporte de manera similar a un
sistema UNIX, como Linux.
Sin embargo, hay que tener en cuenta que no basta con transportar los
registros de eventos a un punto central. Este transporte debe realizarse
cumpliendo con los requerimientos que obligan a tener un mecanismo que
garantice autenticacin, integridad, y confidencialidad. Adicionalmente, este
transporte debe ser orientado a conexin.
Para establecer el mtodo ms apropiado para realizar el transporte, se busca
el mtodo que cumpla con la mayor cantidad de requerimientos posibles. Para
esto, se realiza una comparacin entre los mtodos contemplados teniendo en
cuenta los requerimientos con los que cumplen.
Mtodo de transporte
Syslog-ng
RFC 3195
/Secure Syslog
Nsyslog
Modular Syslog(msyslog)
Stealthful Logging
SNMP Traps v1.
SNMP Traps v3.
Integridad
Autenticacin
Confidencialidad
Orientado
conexin
Para la creacin del tnel SSH, se debe buscar una herramienta que permita
establecer el tnel en una mquina con sistema operativo UNIX LIKE y acte
como servidor de SSH. Se recomienda el uso de la herramienta Open SSH
[44], ya que sta es una herramienta libre que permite establecer el tnel, y
soporta todas las versiones del protocolo SSH. sta herramienta es
desarrollada por the OpenBSD Project.
Luego, se debe obtener la herramienta syslog-ng, la cual se encuentra
disponible en la pgina principal de syslog-ng [45]. Esta herramienta se debe
configurar para responder a los servicios solicitados por los clientes, de
acuerdo como se muestra en la gua metodolgica. [ANEXO 1]
41.1.1.2.
En los clientes con sistema operativo UNIX LIKE, para establecer el tnel SSH,
se sugiere el uso de la herramienta SSH client [44]. Aunque cualquier otra que
permita establecer un tnel SSH con el servidor podra ser til.
En cuanto a syslog-ng, se utiliza la misma herramienta nombrada para el
servidor, y su configuracin es tal como se muestra en la gua metodolgica.
[ANEXO 1]
41.1.1.3.
Para el envo de los registros de eventos de los clientes con sistema operativo
UNIX LIKE, se tiene la herramienta syslog-ng. Syslog-ng se comunica va TCP
con un cliente SSH (ssh) de la herramienta Open SSH, y ste cliente SSH se
encarga de establecer el tnel con el servidor. De ste modo se realiza el
transporte de los registros de eventos desde el cliente hasta el servidor.
De forma similar, se realiza el transporte de los registros de eventos de los
clientes con sistema operativo Windows, en donde la herramienta LASSO
acta recogiendo los logs. sta herramienta se comunica va TCP con el cliente
SSH (plink) para Windows y transporta los registros de eventos por medio del
tnel SSH hasta el servidor.
Los clientes con sistema operativo diferente a Windows o UNIX LIKE, como los
dispositivos de red, envan sus registros de eventos por medio de syslog, a un
cliente UNIX LIKE. Este transporte se realiza va UDP y sin ningn mecanismo
de integridad, confidencialidad, ni autenticacin, por lo cual se debe tener una
red alterna, que se utilice nicamente para este transporte y debe ser
fsicamente altamente protegida.
43. Mtodos utilizados para la satisfaccin de los requerimientos de la
gua metodolgica.
A continuacin se muestra la manera en que se abarca cada uno de los
requerimientos definidos para la gua metodolgica, con la infraestructura
definida.
43.1.1.1.
Requerimientos funcionales
Requerimientos no funcionales
44.
45.1.1.2.
Tras asegurar que todos los dispositivos de la red tienen sus relojes de tiempo
sincronizados, se procede a realizar la creacin del tnel SSH.
Para ello es necesario elegir el equipo con sistema operativo RED HAT LINUX,
el cual actuar como servidor de SSH. ste ser el mismo equipo que prestar
el servicio de recibir los logs enviados por todos los clientes y de almacenarlos.
Una vez configurado el servidor de SSH, como se muestra en el ANEXO 1, se
crea el tnel desde los clientes. El proceso de creacin del tnel depende del
tipo de cliente que se vaya a configurar (LINUX, WINDOWS).
Para la creacin del tnel SSH se debe tener algn mecanismo de
autenticacin, el mecanismo recomendado por la gua metodolgica es por
medio de llaves pblicas y privadas. Esto con el fin de que el establecimiento
del tnel pueda hacerse como un servicio del sistema operativo, y
adicionalmente para que la creacin del tnel y su proceso de autenticacin
sea transparente para los usuarios finales.
En los sistemas Operativos Windows, para establecer el tnel como un servicio
del sistema, es necesaria la creacin de una cuenta de usuario en el sistema
operativo. Esta cuenta requiere contar con privilegios administrativos. El
objetivo de la creacin de la cuenta, es poder establecer el servicio en
Windows, ya que los servicios deben quedar ligados a una cuenta de usuario.
45.1.1.3.
Instalacin y Configuracin
de eventos.
de herramientas de envo
Establecer Auditoria.
de la
centralizacin.
La configuracin de cada equipo para la centralizacin de registros de eventos
debe cumplir con una secuencia de pasos, los cuales deben ser seguidos
estrictamente en el orden descrito a continuacin para cada equipo.
46.1.1.1.
del servidor
del servidor
46.1.1.2.
de los
46.1.1.3.
de los
46.1.1.4.
de clientes
de los clientes
Figura 16. Diagrama de Flujo para la configuracin de los clientes UNIX LIKE,
receptores de logs de los dispositivos de red.
La configuracin del equipo encargado de recibir los registros de eventos
enviados por los dispositivos de red, por medio de syslog y de enviarlos al
servidor de logs, se realiza de manera similar a la configuracin de un cliente
UNIX LIKE. Sin embrago en la configuracin se Syslog-ng existe una variacin,
la cual puede ser detallada en la gua metodolgica. [ANEXO 1]
47. Centralizacin de registros de eventos de herramientas utilizadas en
pymes.
Los registros de eventos de las herramientas de seguridad utilizadas en la
pyme para la proteccin informtica, tales como Antivirus, AntiSpyware,
Firewalls, etc. Deben ser tenidos en cuenta dentro del esquema de
centralizacin.
En los clientes con sistema operativo Windows tanto LASSO como PLINK,
deben configurarse como un servicio del sistema operativo. En este caso el
servicio LASSO depende del servicio tunelssh.
En los cliente UNIX/UNIX, es importante tener en cuenta que se debe
configurar como servicios syslog-ng, ntpd y ssh. En donde syslog-ng depende
de ntpd y de ssh.
De forma similar sucede en el servidor de logs, en donde los servicios a
configurar son syslog-ng, mysql, sshd y ntpd. En este caso, syslog-ng depende
de los otros servicios.
La configuracin
de los servicios y las dependencias en cada sistema
operativo, se detalla en la gua metodolgica. [ANEXO 1].
50.
Sistema
Operativo
Red Hat Linux
Funcin en la
red
Servidor
logs
Host
Elemento del
modelo de
centralizacin
de Servidor de logs
Cliente Windows
Windows XP
Equipo
de Receptor de logs
gestin de logs de dispositivo de
red.
Host
Cliente Windows
Host
Firewall
Cisco
Software
v.12,4
IOS Enrutador
1841
Cliente dispositivo
de red
52.
Punto para
Equipo
verificar
Sincronizacin Clientes Windows XP
de los relojes
de tiempo.
Clientes Unix Like
Prueba
si
no
N/A
53.
54. CONCLUSIONES
Durante el tiempo de desarrollo del trabajo se logr definir y validar una gua
metodolgica para la gestin centralizada de registros de eventos de seguridad
de red, la cual puede ser utilizada en organizaciones de pequea y mediana
escala.
La definicin de la gua metodolgica se consigui por medio de la apropiacin
de la teora asociada a la gestin y centralizacin de eventos de seguridad, de
donde se obtuvieron los requerimientos que deba satisfacer la gua. Con base
a estos requerimientos, se defini la infraestructura para la gestin centralizada
que los satisficiera. Finalmente, se lleg a la implantacin de la infraestructura,
definiendo as la gua metodolgica, la cual fue validada en un ambiente de
pruebas.
Durante el desarrollo del trabajo, se obtuvieron las conclusiones y resultados
que se describen a continuacin:
56. BIBLIOGRAFIA
TORRES, Juan Carlos. RONDN, Richard Garca.
Administracin
E
Integridad
Logs. http://www.criptored.upm.es/guiateoria/gt_m248h.htm
[1]
Control,
De
LONVICK, C., The BSD Syslog Protocol, RFC 3164, August 2001.
http://www.ietf.org/rfc/rfc3164.txt
[2]
[4]
PITT DONALD,Log Consolidation with
http://www.giac.org/practical/gsec/Donald_Pitts_GSEC.pdf
[6]
[9]
CRESPO, Joaquin, Correlacin de eventos de seguridad,
www.germinus.com/sala_prensa/articulos/Correlacion%20Eventos%20Seguridad.pdf
2004.
in
Security,
2004.
[17]
GMEZ,
Nelson.
Soluciones
de
seguridad.
http://ainsuca.javeriana.edu.co/seginfor/. Septiembre de 2005. Consultado Abril
de 2006.
[23]
McDowell,
Mindi.
Understanding
http://www.us-cert.gov/cas/tips/ST04-015.html
[26]
Denial-of-Service
RAFAIL,
Jason.
Cross-Site
Scripting
http://www.cert.org/archive/pdf/cross_site_scripting.pdf
Attacks .
[27]
Vulnerabilities.
[28]
2005.
Netcarft.
Web
Server
Survey
Archives.
Netcraft.
http://news.netcraft.com/archives/web_server_survey.html. Consultado Agosto
8 de 2006
[31]
Mail
Server
Survey
April
2004.
FalkoTimme.com.
http://www.falkotimme.com/projects/survey_smtp.php?id=170 .
Consultado
Agosto 14 de 2006.
[33]
de NTP. http://www.arcert.gov.ar.
[39]
[40]
[41]
de
2002.
[43]
[44]
[45]
[46]
http://www.chiark.greenend.org.uk/~sgtatham/putty
[47]
[48]
57. ANEXOS
ANEXO 1: Remtase al documento Gua Metodolgica para la Gestin
Centralizada de registros de eventos de seguridad en Pymes