Unidad 3. Análisis y Monitoreo.

3.2 BITÁCORAS

Instituto Tecnológico de Acapulco

Ingeniería en Sistemas Computacionales Profesor: MSC. Williams Nava Diaz
Administración de redes
 Por analogía, se le
llama bitácora a un
conjunto de registros de
lo que sucede en
Bitácora proyectos, sistemas,
etcétera. En TI se usa bitácora
¿Qué es? como traducción indistinta de log
y log files, aunque en realidad es
la equivalencia del nombre “log”
en inglés es “registro” y para “log
files” o simplemente “logs” como
plural es “bitácora”.
Una bitácora es un elemento
necesario para la seguridad d
e las organizaciones, teniendo
en cuenta que si un organismo entre
más grande sea con mayor segurida
d se debe contar.

Es necesario contar con tres aspectos imp

ortantes de una bitácora:
• Su propósito
• Formato en que se presenta
• Ataques a los servicios
Funciones
Intentos de acceso.
1.
Las bitácoras
permiten

monitorear algunas 2. Conexiones y

de las siguientes
actividades o
desconexiones de los
funciones: recursos designados.

3. Terminación de la
conexión.
 Importancia
Ante una catástrofe
la bitácora nos alecciona sobre lo que
01 pasó y cómo podemos mejorar para que
no cometamos los mismos errores, o
para protegernos de lo que no
controlamos.
Elemento clave
Las bitácoras se vuelven elementos
03 clave cuando tenemos que hacer frente
a auditorías, donde todo debe
comprobarse para obtener alguna
certificación, o bien para cumplir con
regulaciones que avalen a nuestras
organizaciones.
Ante una crisis, falla o suceso
relevante
de un dispositivo o sistema, todos
02 queremos saber qué sucedió y es
cuando surge la pregunta sobre la
existencia de registros, y si existen,
sobre quién los administra o incluso por
cuánto tiempo se guardan.
Debe permitirnos
desde un simple “login” a una Intranet,
04 hasta saber quién pudo haber cambiado
tablas en la base de datos del sistema
de facturación, por ejemplo.
 Elementos
indispensables
en una
bitácora
UNA BITÁCORA DEBERÁ TENER
LA CARACTERÍSTICA DE
TRAZABILIDAD.

A partir de ella, deberíamos obtener

información que responda las cuatro
preguntas básicas: ¿qué?, ¿quién?,
¿cuándo? y ¿a través de qué medio?
 “¿Qué?”
elemento manipulado.
IMPORTANTE
no significa que una bitácora deba tener cuatro
campos y con esto se obtenga toda la
información. Pueden requerirse muchos más
datos, o estar divididos en unidades más
granulares para el procesamiento.
“¿A través de qué
medio?”
nos indica el o los vehículos que se usaron para
realizar el evento. Podría ser que una tarea
programada haya sido la encargada de cambiar la
propiedad de un conjunto de archivos de un
directorio, o que se accedió a un switch para
habilitar un puerto dentro del centro de datos.
nos permite responder cuál fue el
“¿Quién?”
apunta hacia la entidad que interactuó con el
elemento de nuestro interés. Puede ser una
persona, un sistema, un grupo o una dirección IP.
Lo que debe ser contundente es que esta
información nos proporcione el rastro al que
queremos llegar.
“¿Cuándo?”
nos dice el tiempo de lo sucedido. Entre más
granular, mejor, ya que un evento sucedido en cierto
momento puede ser normal, pero si ocurre dos
minutos más tarde ya podría ser algo sospechoso.
Las bitácoras son tan relevantes

En la investigación de eventos que no es

de sorprender que una de las primeras
metas de una prueba de penetración o de
un hacker sea apagar las bitácoras, o al
menos ocultar información de quién perpetró las
actividades no autorizadas.

La información contenida en las bitácoras debe

clasificarse, ya que provee información vital acerca de
los sistemas o los usuarios, y puede ser un
requerimiento regulatorio. Por ello, no basta con tener
bitácoras, es preciso salvaguardarlas y hacer que
cumplan las regulaciones estipuladas.
 Por lo general, las
bitácoras se clasifican de
acuerdo a su orientación
Seguridad
Es muy importante clasificar las
Aplicación bitácoras, restringir el acceso a ellas,
Sistema determinar si se requerirá alguna
Orientadas a dar protección adicional, e incluso definir el
información de Indican los sucesos método de destrucción o transferencia de
seguridad que están activados Registran
información en caso de que un tercero
las gestione.
para registrarse en actividades del
una aplicación. sistema
(usualmente donde
reside la
aplicación).

:
 Tipos 01
De BITÁCORAS DE RED

bitácoras Es todo el proceso esencial de llevar un registro de lo que

ocurre en el transcurso del mismo, y más si es algo
sobresaliente, de manera que esto nos permita predecir
incidentes o resolvernos de una manera rápida en caso
de que ya se hayan presentado, para esto existen las
bitácoras de sucesos. En el caso de redes algunos de los
sucesos pudieran ser: fallas en el sistema, caída de la
red, infección de algún virus a la red, etc.

Existen distintos tipos de bitácoras:

• Inicio de sesión
• Cambios de un objeto
• Caída de un servidor
 Tipos
De 02 BITÁCORAS DEL SISTEMA

La seguridad y administración de
un sistema operativo tiene en las

bitácoras bitácoras un gran aliado, ya que

en ellas se registran los eventos
que ocurren el sistema operativo,
es decir eventos que el
administrador pasaría
inadvertidos sin el respaldo de las
bitácoras. Para una buena
administración de bitácoras es
necesario conocer 3 cosas:

1. Conocer el propósito de cada

bitácora.
2. Conocer el formato en el que
se presenta la información.
3. Conocer los ataques propios
de cada servicio.
 03 BITÁCORAS BÁSICAS
Messages.
Este archivo contiene bastante
información, por lo que debemos buscar
sucesos inusuales, aquí podemos ver
todos los mensajes que el sistema mando
a la consola, por ejemplo, cuando el
usuario hace el login, los
TCP_WRAPPERS mandan aquí la
información, el cortafuegos de paquetes
IP también la manda aquí, etc.
Xferlog.
Si el sistema comprometido tiene
servicio FTP, este archivo contiene
el loggeo de todos los procesos del
FTP. Podemos examinar que tipo
de herramientas han subido y que
archivos han bajado de nuestro
servidor.
Wtmp.
Cada vez que un usuario entra al
servidor, sale del mismo, la
máquina resetea, este archivo es
modificado. Este archivo al igual
que el anterior esta en binario por
lo que tendremos que usar alguna
herramienta especial para ver el
contenido de este archivo.
POSIBLE ATAQUE
Sin duda, hay muchas más
que aumentan el nivel de
seguridad y minimizan el
nivel de riesgos; pues
cuando se instala algún
nuevo elemento en la red,
por una mala práctica se
deja en valores por defecto,
no se habilitan las bitácoras
y no tenemos visión de los
eventos.

Si algún ataque enfocado en saltarse las medidas de seguridad

es perpetrado no podríamos ver estas anomalías y por ende no
podríamos ver que estamos siendo atacados.
Por tanto, para tener un buen control de las bitácoras se hace necesario:

01 Contar con un gestor de bitácoras

Activar bitácoras que vayan de acuerdo al perfil de

02 las soluciones implementadas y enviarlas al gestor

Gestor capaz de correlacionar eventos y generar

03 alertas

Implementar una política interna que obligue a todo

04 dispositivo a enviar sus bitácoras

Equipo especializado para la revisión y gestión de las

05 bitácoras

Plan de acción en caso de detectar algún problema

06 de seguridad
 Your Picture Here

Recuerda que las

bitácoras son vitales para Una vez que se tiene
Las bitácoras saber que existe en
nuestro entorno de red,
un plan únicamente
pueden ser en seguridad son nos resta monitorear
primordiales pues son la y buscar mejoras
nuestra guía evidencia perfecta a la
para detectar
hora enfrentar cualquier
#1 para hacer tipo de ataque. Entre algún ataque, tomar
mejoras a otros de los beneficios,
cabe resaltar el ahorro en
medidas
necesarias y
nuestros el consumo de tiempo por
parte del equipo de reaccionar de
parámetros TI.You can simply acuerdo a los planes
impress your audience
de seguridad and add a unique zing que a nivel
and appeal to your corporación se
Presentations. tengan. 
 Monitoreo
El monitoreo de la red nos permite identificar si existen cambios
(fallas) en el flujo de la información, las redes soportan cada vez
más aplicaciones y tráfico de información, servicios; por lo que
es muy importante el uso de herramientas que nos permitan
tener un registro (análisis) de la red.

MONITOREO PASIVO

Este enfoque se basa MONITOREO ACTIVO

en la obtención de datos Este tipo de monitoreo se realiza
a partir de recolectar y introduciendo paquetes de pruebas en
analizar el tráfico que la red, o enviando paquetes a
circula por la red. determinadas aplicaciones y midiendo
sus tiempos de respuesta.
 Monitorización del registro de eventos de seguridad

Monitorización del registro de eventos de Windows de

OpManager proporciona varias reglas automáticas para
monitorizar los registros de seguridad críticos en todos los
servidores y estaciones de trabajo Windows de su red.

Puede detectar fácilmente

eventos tales como inicios de También puede crear
sesión fallidos, errores de las reglas
inicio de sesión debidos a personalizadas que
contraseñas erróneas, necesite para
bloqueos de cuentas, intentos reforzar las directivas
de seguridad
de acceso fallido a archivos
adoptadas por su
Add Text
seguros, intrusión en el Easy to change
registro de seguridad, etc. empresa
colors, photos
Easy to change colors, photos and Text.
and Text.
Monitorización del registro del sistema y aplicaciones – Servidores Monit
or IIS, Exchange, SQL e ISA

Además de los registros de seguridad, la función de Monitorización del registro de eventos

de Windows de OpManager’ puede monitorizar los registros de las aplicaciones, del
sistema y otros registros de eventos.You can simply impress your audience and add a
unique zing.

Hay disponibles varias reglas
para monitorizar aplicaciones
críticas para la misión como
servidores Exchange, IIS, MS-
SQL e ISA.
También puede añadir reglas Además, existen reglas
personalizadas para para monitorizar
monitorizar eventos servicios de
generados por cualquier directorios, servidores DNS y
aplicación. servidores de replicación de
archivo.
Monitorización integrada del registro de eventos

En vez de tratar la monitorización

del registro de eventos de
Windows como una solución
autónoma aislada, la función de
Monitorización del registro de eventos de
Windows de OpManager le permite
monitorizar los registros de eventos de
Windows como parte de una solución
integrada de gestión de la red, las
aplicaciones y los servidores.

Así sus operadores sólo tienen que aprender una

única interfaz para monitorizar los registros de
eventos de Windows.
Monitoreo de Bitácoras (Logs) del active Directory

Las operaciones de
Es un componente Active Directory en
Si las bitácoras son Por lo tanto, el
muy crítico, ya que cuanto al servicio
analizadas a fondo, seguimiento a las
la falta de este del directorio y
El Active Directory se puede encontrar bitácoras de
puede afectar toda contexto de
forma parte central la causa raíz de la eventos de Active
la red. Cuando falla nombres de origen
de la administración falla. Cualquier Directory es
el servicio de afecta directamente
del dominio operación de los fundamental para
directorio, los datos al usuario que
Microsoft Windows. objetos de Active garantizar el buen
se graban accede y al
Directory tiene que funcionamiento de
rápidamente en las funcionamiento de
ser capturada. las redes.
bitácoras. las máquinas de la
red.
Se tiene la flexibilidad para crear informes personalizados para monitorear eventos
específicos del Active Directory. Los respectivos identificadores de eventos de
Active Directory pueden ser monitoreados.

Forma parte del

Autentifica y autoriza a todos
sistema los usuarios y equipos de un
operativo de dominio de red de Windows.
Windows Server. Asigna y hace cumplir las
políticas de seguridad en todos
Active Directory es un El servidor que
ejecuta Active los equipos. Utiliza Lightweight
servicio de directorio
Directory es llamado Directory Access Protocol
de redes de dominio
de Microsoft controlador de (LDAP). Los registros de Active
Windows. dominio. Directory se almacena en el
Visor de sucesos del sistema
Proporciona a los
administradores la operativo de Windows.
gestión y la seguridad
de red centralizada.
IDs relativos al Active Directory

Windows 565 - Objeto Abierto (Active Directory)

Windows 566 - Operación de Objetos (W3 Active Directory)
Servidores 2008, IDs para eventos del Directorio de Servicios
Windows 4661 - Identificador de Objeto Solicitado
Windows 4662 - Se realizó una operación en un objeto

Windows 4928 - Se estableció un contexto de nombres de origen de réplica de Active Directory

Windows 4929 - Se removió un contexto de nombres de origen de réplica de Active Directory

Windows 4930 - Un contexto de nombres de origen de réplica de Active Directory se modificó

Windows 4931 - Un contexto de nombres de destino de réplica de Active Directory se modificó

Windows 4932 - La sincronización de una réplica de un contexto de nomenclatura de Active Directory ha

comenzado
IDs relativos al Active Directory

Windows 4933 - La sincronización de una réplica de un contexto de nomenclatura de Active Directory ha

terminado
Windows 4934 - Los atributos de un objeto de Active Directory se replicaron

Windows 4935 - Comienza Error de replicación

Windows 4936 - Termina Error de replicación

Windows 4937 - Un objeto persistente se ha quitado de una réplica

Windows 5136 - Un objeto de servicio de directorio se modificó

Windows 5137 - Un objeto de servicio de directorio se creó

Windows 5138 - Un objeto de servicio de directorio no se ha eliminado

Windows 5139 - Un objeto de servicio de directorio se ha movido

Windows 5141 - Un objeto de servicio de directorio se ha eliminado

¡GRACIAS!