iQue es un log?

Registro oficial de eventos durante un periodo de tiempo en particular. Para los

profesionales en seguridad informtica un log es usado para registrar datos o
informacin sobre quin, que, cuando, donde y por que de un evento que
ocurre para un dispositivo en particular o aplicacin.
La mayora de los logs son almacenados o desplegados en el formato estndar
ASCII1. De esta forma logs generados por un dispositivo en particular puede
ser ledo y desplegado en otro diferente.
Propsito de los LOGS
Todos los sistemas pueden verse comprometidos por un intruso, de manera
local o remota.
La seguridad no slo radica en la prevencin, sino tambin en la identificacin.
Entre menos tiempo haya pasado desde la identificacin de intrusin, el dao
ser menor; para lograr esto es importante hacer un constante monitoreo del
sistema.
De cualquier forma que se realice una proteccion de Unix debe incluir el
monitoreo y revision de LOGS de una forma comprensiva, precisa y cuidadosa.
Los logs tienen numerosos propsitos:
Ayudar a resolver problemas de todo tipo
Proveer de avisos tempranos de abusos del sistema.
Despus de una caida del sistema, proporcionan datos de forensia.
Como evidencia legal
Monitoreo en bitcoras
Generalmente no deseamos permitir a los usuarios ver los archivos de
bitcoras de un servidor, y especialmente no queremos que sean capaces de
modificarlos o borrarlos. Normalmente la mayora de los archivos de bitcoras
sern posedos por el usuario y grupo root, y no tendrn permisos asignados
para otros, as que en la mayora de los casos el nico usuario capaz de
modificar los archivos de bitcoras ser el usuario root.
Debido a la cantidad de informacin que se genera en la bitcoras, siempre es
bueno adoptar algn sistema automtico de monitoreo, que levante las alarmas
necesarias para cuando algn evento extrao suceda.
El sistema operativo Debian utiliza LogCheck para realizar el anlisis y
monitoreo de bitcoras, RedHat emplea LogWatch, etc.

1 Cdigo Estndar Estadounidense para el Intercambio de Informacin

Ejemplos:
CDM
Software que permite la monitorizacin de UNIX, actualmente soportan varias
versiones de UNIX y Linux, incluyendo Solaris, AIX, HP-UX, Irix, Linux, Sinix y
Tru64 UNIX. Est compuesta por 3 mdulos que se pueden usar
individualmente o en conjunto para obtener la mxima visibilidad del
rendimiento del sistema UNIX:
CPU, Disco y Memoria
Monitor de Procesos
Monitor de archivos Log
El Monitor de Archivos Log vigila los archivos log basados en formato ASCII y
extrae informacin predefinida, eliminando la necesidad de intervencin
manual. Las utilidades de bsqueda del monitor permiten una definicin
sofisticada de ficheros log complejos y variables. Se pueden vigilar varios
archivos log a la vez, y definir cualquier cantidad de perfiles de bsqueda para
cada archivo.
Caractersticas:
Monitor de archivos log ASCII
Soporte de mltiples formatos de archivos
Un mensaje por linea
Archivos complejos con mensajes multilnea
Archivos con formato sin estructura
Definicin fcil de perfiles usando
Expresiones Regulares :
Patrones
Posicin absoluta en columnas
Posicin relativa en caracteres
Monitorizacin de mltiples archivos simultneamente
Mltiples perfiles de bsqueda para cada archivo
Consumo mnimo
Se puede buscar en el archivo completo o solo en las lineas nuevas
TANGO04
Esta herramienta nos permite alcanzar un mainframe con diferentes niveles de
servicio, monitorear servidores, integrar diferentes arquitecturas, ademas:
Uso del CPU
Uso del File System
Abuso en el uso de procesos por el CPU
Promedio de carga de trabajo
Informacion general sobre procesos.

Procesos por usuario

Memoria Virtual (swap)
AIDE (Advanced Intrusion Detection Environment)
AIDE como su nombre lo dice es un detector de intrusos, tal como Tripwire. Tal
como tripwire crea una base de datos basada en las reglas establecidas, la
cual es usada para verificar la ointegridad de un archivo. Ademas AIDE permite
checar inconsistencias en los atributos de archivos
Osiris
Osiris mantiene un detalle de los cambios de los logs en el flie system, se
puede configurar para que envie un mail al adminstrador con estos logs, los
hosts son escaneados periodicamente, mantiene al adminstrador
constantemente prevenido contra ataques de trojanos. El proposito principal es
aislar los cambios que indicen una amenaza o compromentan el sistema.
Samhain
Software multipalataforma, open source para verificacin centralizada del los
archivos de sistema (file system), basado en sistemas POSIX, capza de
monitorear diferentes sistemas operativos desde un servidor central. Entre sus
caractersticas principales se encuentran:
Consola basada en Web.
Monitoreo de log multiplataforma.
Tamper resistance[6]
Centrify DirectAudit
Permite cumplir reglas estricats en el File System, inspeccionar los problemas
que se presenten a profundidad y proteger contra amenazas en UNIX.
DirectAudit detalla los logs, determinando su importancia, enviando reportes,
accesso de usuarios a sistema, que codigos ejecutaron, que cambios hicieron,
etc.
Herramientas para la administracin de logs.
Tripwire
Es una herramienta diseada especialmente para Sistemas Operacionales
UNIX. Dicha herramienta por medio de funciones se encarga de generar un
Hash nico por cada archivo que se le desee proteger su integridad. De esta
forma cuando se presente un cambio en un log por parte del atacante, este
cambio ser notificado al administrador (envindose un mail automtico), ya

que no reflejar el hash original. Para realizar dichas detecciones Tripwire

tambin se basa en: CRC-32, MD5, SHA y HAVAL (firma digital de 128 bits).
logrotate
Esta herramienta alterna, comprime y enva logs de sistema. Est diseada
para facilitar la administracin de los sistemas que generan un gran nmero de
archivos de logs. Permite la rotacin automtica, comprensin, extraccin y
envi de los archivos de logs. Puede manipularse cada archivo log diaria,
semanal o mensualmente, o cuando se haga demasiado grande.
SYSLOG
Es la principal herramienta de UNIX para llevar la bitcora de eventos. Con
este sistema, se puede configurar el manejo de bitcoras a un nivel
extremadamente alto de detalle y cada flujo de registros puede ir a un archivo
diferente. Una habilidad muy buscada y muy potente del syslog es su
capacidad de enviar registros de bitcoras a computadoras remotas. Esto
permite centralizar las bitcoras en un solo servidor y fcilmente verificar los
archivos de bitcora por razones de violaciones de seguridad y otras cosas
extraas en toda la red.
La mayora del manejo de bitcoras esta provisto por dos programas
principales: sysklogd y klogd. El primero provee de un sistema de bitcoras
para los programas y las aplicaciones, mientras que el segundo provee del
manejo de bitcoras para el kernel.
Klogd actualmente enva la mayora de los mensajes al syslogd, pero en
ocasiones enviar mensajes a la consola.
Sysklogd actualmente maneja las tareas de procesar la mayora de los
mensajes y enviarlos al archivo o dispositivo apropiado; esto se configura
dentro del archivo /etc/syslog.conf.
Sin embargo existen varios problemas con el syslogd y el klogd, la principal es
que si un atacante logra acceso de root, podr modificar los archivos de
bitcoras y nadie lo notar.
Cada mensaje enviado al sistema de bitcoras tiene dos clasificadores: el
servicio y el nivel. El servicio indica el tipo de programa que envi el mensaje y
el nivel es el orden de importancia. Sysklogd y klogd no son los nicos
sistemas para el seguimiento de bitcoras, existen otros, entre los cuales
podemos nombrar:
modular syslog. Firma digitalmente los registros de bitcora para que cualquier
alteracin en ellos sea inmediatamente detectable.
next generation syslog. Permite el firmado digital y adems puede clasificar los
registros de otras maneras (como patrones en los registros) adems del tipo de
servicio y el nivel.
Nsyslogd. Aade soporte para SSL (Secure Socket Layer) en la transmisin de
bitcoras a una computadora remota.

Configuracin del syslog

La lista de servicios disponibles en el syslogd es:
AUTH. Para mensajes de seguridad/autorizacin (obsoleto, ahora se utiliza
AUTHPRIV)
AUTHPRIV . Mensaje de seguridad/autorizacin
CRON. Para los servicios de tareas programadas (cron y at)
DAEMON. Servicios del sistema sin un servicio especificado
FTP. Servicio de ftp
KERN. Mensajes del kernel
LOCAL0 a LOCAL7. Reservados para uso local del equipo
LPR. Subsistema de impresin
MAIL. Subsistema de correo electrnico
NEWS. Subsistema de USENET
SYSLOG. Mensajes generados internamente por el syslogd
USER. Mensajes genricos a nivel de usuario
UUCP. Subsistema de UUCP
La lista de niveles disponibles para el syslogd es:
EMERGE. El sistema esta inservible
ALERT. Alguna accin debe ser tomada inmediatamente
CRIT. Condiciones crticas
ERR. Condiciones de error
WARNING. Condiciones de advertencia
NOTICE. Condicin normal pero significativa
INFO. Mensaje informativo
DEBUG. Mensaje de depuracin

PROCEDIMIENTO PARA REVISIN DE LOGs

Periodicidad de la revisin
Es funcin del Centro de Sistemas de Informacin efectuar revisiones peridicas de los archivos que
contengan los registros de error de acceso en la conexin a la Base de Datos o errores en los datos a
travs de los Sistemas de Informacin.
Las revisiones debern ser realizadas semanalmente como proceso previo a la obtencin de backups o
discos de respaldo de la informacin de los servidores.

Cmo se deben realizar las revisiones de los logs del Sistema?

Las revisiones deben realizarse sobre el archivo de alerta de ORACLE (alert.log) y sobre los archivos de
rastreo de procesos de background y de usuarios para identificar errores que se presenten a nivel de
base de datos o de sistema operativo.
Los archivos de alerta tiles para el diagnstico de informacin que contiene ORACLE y que se utilizan
para la deteccin de errores en la base de datos son:

Archivo de Logs de alerta (alert.log)

El Alert Log registra errores en forma cronolgica, provenientes de la operacin diaria de la Base de
Datos. La ubicacin actual del archivo es la ubicacin por defecto establecida por ORACLE y se verifica
mediante el parmetro BACKGROUND_DUMP_DEST del archivo init.ora:
BACKGROUND_DUMP_DEST = E:\U01\ORACLE\UCBL\ADMIN\bdump.
La revisin de este archivo en forma peridica permite detectar errores internos (ORA-600) y errores de
corrupcin de bloques (ORA-1578). Adicionalmente, permite monitorear las operaciones de la base de
datos (CREATE DATABASE, STARTUP, SHITDOWN, ARCHIVE LOG y RECOVER) y ver los parmetros que
no se muestran por defecto en la inicializacin.

Archivos de rastreo de procesos de Background

Los archivos de rastreo de procesos de Background se generan cuando un proceso de background
(SMON, PMON, DBWn, etc.) emite un error. Estos archivos se almacenan en BACKGROUND_DUMP_DEST
= E:\U01\ORACLE\UCBL\ADMIN\bdump.

Archivos de rastreo de usuarios

Los archivos de rastreo de usuarios (user trace files) se crean a travs de procesos de servidor cuando
se generan errores o cuando se solicita el rastreo por el usuario o a nivel de parmetros de la base de
datos.
Su ubicacin actual definida por el parmetro USER_DUMP_DEST y actualmente es:
E:\U01\ORACLE\UCBL\ADMIN\udump.
Las normas de revisin de los archivos mencionados se definen en el documento Procedimientos de
Administracin de Base de Datos.
El principal riesgo que se menciona en las observaciones es la posibilidad que se realicen operaciones no
autorizadas y que stas no sean identificadas en la base de datos; sin embargo los archivos de logs de
usuarios no permiten identificar con facilidad estas operaciones y en todo caso requieren de una gran
cantidad de tiempo de revisin y espacio de almacenamiento. Por este motivo, se utilizan tablas de
auditoria para todos los sistemas y para aquellas tablas relevantes de cada uno, las tablas de auditoria
tienen las siguientes caractersticas:

Almacenan datos obligatorios (transaccin, fecha y usuario) y datos relacionados con la tabla a
la que hacen el monitoreo.

Los registros a las tablas de auditoria se activan mediante un disparador cada vez que se
realizan cambios en la tabla base.

Se consultan estas tablas cuando se quiere identificar una transaccin, un usuario o una fecha
de transaccin.

El contenido de estas tablas permite mantener un registro constante sobre las operaciones que se
realizan en la base de datos y las mismas pueden ser consultadas en cualquier momento.