Identificación

El servidor de registro de la empresa CIXCO.

El alcance de la auditoría es verificar si el servidor está configurado correctamente

y si los controles son adecuados. El servidor de registro corporativo es un maquina
con Red Hat Enterprise Linux. Actual colector y el receptor de todos los datos
registro.

3.1.1 La recopilación de registros

El proceso de recopilación registro es la parte donde se transfieren los datos de

registro real y recogido en el servidor registro. La comunicación entre los
dispositivos generadores de registro y el servidor de registro se produce a través
de redes ordinarias dentro de la organización. Hay muchas maneras para lograr
esto. En nuestro caso usaremos dos mecanismos diferentes:

● scp (transferencia segura de archivos a través de SSH)

● syslog14

SCP

SCP (Secure Copy) es un programa que hace parte del paquete OpenSSH15.
SSH (Secure Shell) proporciona una manera de hacer una conexión segura entre
dos sistemas. scp utiliza este tipo de conexión para copiar archivos a través de
una red. Además, permite un inicio de sesión automático (sin contraseña) con la
ayuda de los certificados. La transferencia se inicia todos los días por el servidor
de registro que establece una conexión con el dispositivo generador de registro y
copia los datos de los registro correspondientes.

Esto significa que los registros no están disponibles en tiempo real. La gran
ventaja de la transferencia syslog es que está encriptada (proporciona
confidencialidad e integridad de los certificados SSL).

Syslog

Syslog está descrito en la solicitud de comentarios (RFC) 3164. Se trata de

generadores de registro y uno o más servidores syslog (s) que actúan como el
colector de los datos de registro.

Syslog utiliza un formato de registro estandarizado, lo que facilita el

almacenamiento de registros provenientes de varias fuentes.

3.1.2 El procesamiento de registros

Una vez que los archivos de registro están en el servidor, algunos de ellos tienen
que ser normalizados y / o convertir a un formato donde los registros pueden ser
procesados. La normalización de registros y eventos de seguridad permite la
comparación en sistemas diferentes.

Este proceso lleva los registros en un formato consistente. Por ejemplo los datos
de registro de dos fabricantes de firewall se normalizan para que puedan ser
comparados fácilmente. Algunos programas también requieren el procesamiento
de registros normalizado de las entradas, ya que no entienden el formato de
registro de todos los fabricantes de cortafuegos. Los datos de registro original
siempre se almacenan y se utiliza a veces para un análisis detallado donde la
normalización reduce el proceso y elimina cierta información por razones de
simplificación.

Las estadísticas generadas son útiles para el análisis, ya que ofrecen una visión
general de todas las entradas del registro en tan sólo un vistazo.

3.1.3 La presentación de los registros (interfaz web)

El servidor registro proporciona una interfaz web para presentar los registros. Se
está ejecutando un servidor web Apache con soporte para PHP a través de
HTTPS. La interfaz web está protegida por los usuarios junto con las contraseñas
cuando está en ejecución. htaccess proporcionan una forma de limitar el acceso al
servidor web en función de cada directorio, dando a cada usuario un nombre de
usuario y contraseña para autorizar a sí mismos. Cada usuario tiene una cuenta y
se asigna a un grupo correspondiente. Cada grupo tiene un menú diferente y sólo
pueden acceder a los registros que se supone que ver.

Hay muchas secuencias de comandos diferentes en uso para la presentación

gráfica. Algunos de ellos han sido escritos por los administradores, algunos son
herramientas de código abierto como RRDtool18 y awstats19, lo que genera
estadísticas gráficas.
Figura 1: Acepta firewall / horas: 48 horas vista

Figura 2: Número de mensajes: 8 días 

3.1.4 Operación del Servidor

Hay diferentes tipo de datos de registro. La sensibilidad de los diferentes registros.

Y los más importantes son los registros de VPN (red privada virtual registro de
acceso), los registros de acceso HTTP, firewalls y routers.

Por razones de sensibilidad en el servidor de registro este esta operado por el

equipo de seguridad. El equipo de seguridad no opera con otros servidores,
firewalls, routers o cualquier otro dispositivo. Esto tiene el objetivo de garantizar la
separación de funciones. El análisis y la notificación de los datos de registro
también se realizan por los miembros del equipo de seguridad.

3.1.5 Configuración del servidor

El registro de servidor se ejecuta en una máquina HP ProLiant DL380 con doble

procesador, 2 GB de RAM, disco duro de 1.4TB, fuentes de alimentación
redundantes y ventiladores. El sistema fue establecido de acuerdo con las
directrices de la empresa Linux desde el servidor de instalación central de Linux.
Se trata de un Linux de Red Hat Enterprise.

● SSH (puerto TCP 22)

● Apache (puerto TCP 443)
● Syslog UDP (puerto 514)
● NTP (puerto TCP / UDP 123)

Todas las secuencias de comandos de procesamiento de registro y programas se

están ejecutando bajo una cuenta de usuario sin privilegios. El acceso al servidor
se limita estrictamente al equipo de seguridad.
4 Análisis de Riesgos

Es el proceso de identificación de riesgos, evaluación de riesgos, y tomar medidas

para reducir los riesgos a un nivel aceptable. El objetivo de la gestión del riesgo es
dar una buena base para la toma de decisiones soportada en un documento.
Permite a los gerentes de TI a tomar medidas adecuada para la protección de
sistemas de TI y lograr los objetivos de la organización.

4.1 Tres riesgos identificados

Tres riesgos con impactos más graves fueron seleccionados y se describe aquí
con sus respectivos impactos en el sistema y las vulnerabilidades principales que
podrían llevar estos tres impactos. Hay muchos más riesgos para el sistema.

4.1.1 Riesgo 1: El acceso no autorizado de los registros (pérdida de

confidencialidad)

El acceso no autorizado es posible a través del acceso al servidor y / o datos de

registro sin el consentimiento del propietario o usuario. Transmisión de los datos
registro en limpio (blanco) o el uso de un algoritmo de cifrado débil también podría
conducir a una pérdida de confidencialidad.

El acceso no autorizado de los registros puede ocurrir a través de varias formas:

● interfaz web (la vulnerabilidad en la aplicación web)

● hack de contraseña (por ejemplo, olfateó o adivinar la contraseña)
● correr servicios innecesarios (por ejemplo, telnet)
● uso de la encriptación débil o no durante la transmisión (inhalación de clara
transferencia registro texto)

Impacto

El acceso no autorizado a los datos de registro podría dar lugar a una pérdida de
confidencialidad. Los archivos de registro puede contener datos confidenciales
como nombres de usuario, contraseñas y acceso a muchas otras y las estadísticas
de uso. Un posible atacante podría obtener información útil acerca de la topología
de red y vulnerabilidades que podrían facilitar nuevos ataques.

Las vulnerabilidades que podrían llevar a este riesgo

● Vulnerabilidades en la interfaz web

● Encriptación débil o sin encriptación durante la transferencia de datos de
registro
● Cifrado débil o sin cifrado para el acceso remoto
● Encriptación débil o ninguna encriptación para acceder a la interfaz web

Controles
Una serie de controles se implementan para mitigar los riesgos.
● El acceso al sistema está limitado a los administradores del sistema a través de
una contraseña de acceso protegido
● La mayoría de las transferencias son las transferencias de archivos encriptados
para reducir la posibilidad de oler clara transferencia registro de texto
● Acceso a la administración a distancia sólo se permite con protocolos
encriptados como SSH
● El acceso al servidor web (interfaz web) sólo a través de HTTPS con cifrados
fuertes

4.1.2 Riesgo 2: La modificación no autorizada de los registros

La modificación de los datos de registro consiste en leer, modificar o borrar el

contenido de los archivos de registro. La modificación desapercibida de datos
podría ser muy destructiva ya que puede conducir a conclusiones erróneas en el
análisis y por lo tanto a malas decisiones.
Una modificación puede ser la supresión de una o más líneas en un archivo de
registro o la cancelación de algunos o todos los archivos de registro. La alteración
intencionada de las entradas de registro específico (por ejemplo, cambiar las
direcciones IP o los nombres de usuario) puede ser muy difícil de detectar.

Impacto

La integridad y la disponibilidad pueden verse comprometida por la alteración de

los registros. El acceso no autorizado al registro completo de datos puede tener
varias consecuencias. La alteración de las entradas de registro específico puede
conducir a conclusiones falsas como con vistas a los eventos importantes. A
través de la manipulación de la actividad de pruebas maliciosos pueden pasar
desapercibidos y la identidad de un usuario malintencionado puede ocultarse.

Las vulnerabilidades que podrían llevar a este riesgo

● manejo negligente de las contraseñas de los empleados (por ejemplo, la

elección de contraseñas débiles, escribirlos)
● vulnerabilidad en el sistema operativo
● la vulnerabilidad en el demonio o la aplicación (interfaz web, PHP)
● una mala configuración por el administrador del sistema
● vulnerabilidad en el informe de programas de generación de controles (para
mitigar el riesgo)
● El uso de contraseñas seguras y procesos buena contraseña
● Los parches regulares del sistema
● La configuración de seguridad como un valor predeterminado (por ejemplo, no
hay cuentas de invitado)

4.1.3 Riesgo 3: La pérdida de los registros

La pérdida total o parcial de los registros puede ser intencional o no intencional. La
eliminación intencional de algunos o todos los datos de registro a través de una
persona con malas intenciones pueden tener el objetivo de ocultar una actividad
maliciosa y la identificación de esta actividad. La pérdida involuntaria puede ocurrir
a través de amenazas naturales (terremotos, inundaciones) o amenazas de origen
humano (persona con malas intenciones) si no hay ninguna copia de seguridad o
si fue destruido por los mismos medios.

Las vulnerabilidades que podrían llevar a este riesgo

● Error de hardware (por ejemplo, error en el disco duro, corte de energía) que
conduce a la corrupción de los datos
● Falta de copias de seguridad
● Proceso de copia de seguridad violados.
● Supresión deliberada o involuntaria de los registros (manipulación incorrecta)

Controles

● Mantener una copia de seguridad válida es un componente fundamental para

poder recuperar en caso de una emergencia
● Un proceso de copia de seguridad que se analiza regularmente
● El despliegue de hardware redundante
● control de acceso físico

5 PRUEBAS

La razón principal para probar la seguridad de un sistema operativo consiste en

identificar las posibles vulnerabilidades que puedan ser fijos. Como el número de
vulnerabilidades reportadas está creciendo a diario, las pruebas para detectar
nuevas vulnerabilidades y errores de configuración se está volviendo más y más
importantes.
La auditoría se llevará a cabo con la presencia del administrador del sistema
responsable de la operación y el mantenimiento del servidor de registro. Todos los
comandos que requieren acceso de root será introducida por el administrador.

6 Auditoría

En esta parte de la auditoría se lleva a cabo la parte de análisis y descubrimiento

de la vulnerabilidad. Las pruebas elaboradas anteriormente se ejecutaran aquí.
Cada prueba será explicada en detalle, con una recomendación dada.