curso avanzado seguridad logs
TRANSCRIPT
Curso Avanzado de Administradores Seguridad en sistemas GNU/Linux:Logs y anlisis forenseAntonio Durn Terrs
Ficheros de log
Logs del sistema repartidos por varios ficheros
La mayora en /var/log/
Muy tiles a la hora de resolver problemas de funcionamiento o cuestiones relacionadas con la seguridad
logs de autenticacin
auth.log
Informacin relacionada con la autenticacin
inicios y finales de sesin, cambios de usuario por su, entradas por ssh...
utmp
usuarios que estn en el sistema actualmente
wtmp
registra todos los inicios y finales de sesin
no refleja el uso de su
logs de autenticacin
Comando last
muestra la informacin de los ficheros utmp y wtmp
Fecha, hora y lugar desde el que se realiz la conexin
Fichero de log de LDAP
mejor no hacer logging, para mejorar la velocidad
slo til para resolver problemas LDAP
no vlido para ver autenticaciones
muchas ms entradas no referidas a la autenticacin, sino a otros usos de LDAP como directorio
logs de navegacin
/var/log/apache
Accesos al servidor web local
til para localizar accesos indebidos a partes privadas de la web
/var/log/squid
acces.log: accesos a travs de Squid
cache.log: log general de Squid
store.log: informacin sobre la cach
otros logs
/var/log/messages
informacin varia del sistema del sistema y de algunos demonios sin fichero propio
/var/log/daemon
informacin de demonios que no tienen ficheros propios
dnsmasq
/var/log/debug
mensajes de debug del kernel
otros logs
/var/log/dmesg
mensajes de arranque
/var/log/kern.log
mensajes generales del kernel
/var/log/lastlog
ltimo login de cada usuario. Comando lastlog
/var/log/mysql/
logs del servidor mysql
otros logs
/var/log/samba
logs de SAMBA, muestra las conexiones realizadas a los recursos locales
/var/log/syslog
log general para los servicios que no eligen otro fichero para escribir
/var/log/user.log
Mensajes relacionados con las sesiones grficas de usuario
otros logs
/var/log/XFree86.0.log
logs del servidor grfico, para saber la razn cuando ste no arranque
Anlisis forense
La primera norma a seguir si creemos estar sufriendo o haber sufrido una incursin u otro ataque es mantener la calma. De otro modo nuestras acciones podran causar ms dao que las del supuesto atacante.
Ser necesario estar seguro de que se ha producido un ataque, comprobando que los daos producidos no han podido ocurrir por otra causa ms comn.
Durante un ataque
Si se trata de un ataque externo a la red local, lo primero es desconectar el cable de conexin del router, para evitar que hagan ms dao, y puede que piensen que es un problema de red en lugar de una deteccin.
Si no es posible hacerlo, lo mejor es denegar todo el trfico desde la direccin del atacante:
problema por no tener punto nico de control -> si el ataque es sobre muchos clientes sera difcil pararlo a tiempo
Durante un ataque
Hay que bloquear la cuenta que el atacante usaba
A continuacin debemos matar todos los procesos del usuario atacante y desconectarlos del sistema
Observar durante un rato para ver si el atacante vuelve a intentarlo, quiz desde otra direccin o con otros objetivos
Durante un ataque
Si detectamos a un usuario local durante un ataque, lo primero que debemos hacer es comprobar que realmente el usuario es el titular de la cuenta.
En los I.E.S., acercarte a donde sea a mirar
En los C.P.R., llamar por telfono y pedir que comprueben quien est sentado en el puesto
Anlisis forense
Si pensamos que un usuario local ha intentado comprometer la seguridad o ha realizado cualquier otro acto contrario a las normas, lo primero es comprobar que efectivamente el titular de la misma es el que ha realizado estas acciones
Comprobar que el puesto desde donde se han realizado es el que usa normalmente el usuario
Comprobar con los horarios y los profesores quien se sentaba en el puesto durante los actos
Anlisis forense
Ejemplo: publicacin de material indebido en el portal interno del centro por parte de un alumno
Comprobamos, mediante el log de Apache, a que hora y desde que puesto se realizaron los comentarios
Comprobamos quien estaba conectado a esa hora en ese puesto, en el auth.log del cliente
El aula no coincide con la del usuario que estaba conectado, por lo que pensamos que puede haber un uso fraudulento de cuentas
Anlisis forense
Ejemplo: publicacin de material indebido en el portal interno del centro por parte de un alumno
Comprobamos en el horario que profesor tena clase en ese aula a esa hora
Un poco de ingeniera social en clase por parte de jefatura de estudios revel qu alumnos exactamente se sentaban en el puesto en cuestin a la hora indicada
Anlisis forense
Ejemplo: publicacin de material indebido en el portal interno del centro por parte de un alumno
Si no hubisemos obtenido la informacin gracias a los alumnos
Comprobaramos en el puesto los logins anteriores y posteriores, por si los usuarios entraron con sus propias cuentas en la misma hora de clase
En caso contrario, habramos comprobado todos los auth.log de los ordenadores de alumnos, preguntndoles a stos con quien se sentaron. La pareja que no hiciera login es la responsable.
Despus de un ataque
Cerrar el agujero
Si sabes por donde ha entrado el usuario, desconecta ese servicio, y comprueba que la versin que ests usando no tiene fallos de seguridad conocidos
Si no, comprueba todos los ficheros de logs buscando actividad cercana al momento del ataque, que pueda indicar cmo consigui entrar el intruso
Despus de un ataque
Comprobando el dao
Mantener copia de seguridad de todos los datos y ficheros de configuracin para poder realizar una nueva instalacin rpida si fuese necesario
Despus de un ataque que obtiene privilegios de root -> reinstalar y recuperar los datos de los backups
Comprobar cuando comenz el ataque, por si los backups pudiesen estar daados
Despus de un ataque
Copias de seguridad
Hacer copias de seguridad regularmente ayuda con la seguridad, para restaurar los datos que pudiesen haber sido comprometidos
Comprobar varios backups antes de restaurar los datos, por si llevan modificados mucho tiempo
Mantener las copias de seguridad en un sitio seguro y separado del servidor
Despus de un ataque
tripwire
Herramienta de seguridad y integridad de los datos til para monitorizar y alertar sobre determinados cambios en ficheros.
En primer lugar se inicializa la base de datos, creando una visin de los datos actuales. Al hacer posteriormente las comprobaciones de integridad, se tomarn estos datos como referencia.
Despus de un ataque
tripwire
El fichero de configuracin especifica las opciones para el programa (directorios a revisar, nivel de alertas, etc ...)
El fichero de polica (POLICY) especifica que ficheros se van a controlar.
Inicializacin de la BD:
tripwire -m i -v
Se genera la base de datos
Despus de un ataque
tripwire
Comprobacin de la BD:
tripwire -m c
Se va comprobando la integridad de todos los ficheros presentes en la BD
Se muestra por pantalla el informe y se guarda en el lugar indicado en el fichero de configuracin
Para ver el informe almacenado:
# twprint -m r -r /var/lib/tripwire/report/ddprog.elbrocense.ex-20060519-124320.twr |less
Despus de un ataque
tripwire
Comprobacin de la BD:
tripwire -m c
Se va comprobando la integridad de todos los ficheros presentes en la BD
Se muestra por pantalla el informe y se guarda en el lugar indicado en el fichero de configuracin
Para ver el informe almacenado:
# twprint -m r -r /var/lib/tripwire/report/ddprog.elbrocense.ex-20060519-124320.twr |less
Despus de un ataque
tripwire
Comprobacin de la BD:
Se muestra primero un resumen indicando los ficheros que han sido eliminados, modificados o aadidos desde que se cre la base de datos.
Posteriormente detalla cada uno de los problemas encontrados, para que podamos comprobarlos.
Cada vez que toquemos algo de lo que revisa tripwire, deberamos actualizar la BD.
Despus de un ataque
tripwire
Actualizacin de la BD
# tripwire -m u -r /var/lib/tripwire/report/ddprog.elbrocense.ex-20060519-124320.twr
Este modo permite reconciliar las diferencias entre la base de datos y el sistema actual.
El estado actual se obtiene del informe que le indiquemos
Despus de un ataque
tripwire
Actualizacin de la BD
Se abre el editor que tengamos configurado
Al lado de cada cambio en la BD aparece una marca [x] para indicar si queremos que el cambio se aplique o no.
Dejarlo marcado indica que queremos realizar el cambio.
Despus de un ataque
tripwire
Actualizacin de la poltica
# tripwire -m p twpol2.txt
Modifica la poltica con el nuevo fichero de poltica indicado
Se obtiene un nuevo fichero binario de poltica a partir del fichero de texto
Se actualiza la BD conforme a la nueva poltica
Despus de un ataque
Identificar al atacante
Debido a que a la Intranet no se puede, al menos en teora, acceder desde fuera, cualquier ataque proceder de algn centro de la RTE
Lo ideal sera tener el listado de direcciones IP por centros para poder informar inmediatamente a los responsables de los mismos de que se est produciendo un ataque desde sus instalaciones