Herramientas de seguridad: Logcheck. 1.- Introducción -- La problemática a resolver

Transcripción

1 Herramientas de seguridad: Logcheck Gunnar Wolf Departamento de Seguridad en Cómputo 1.- Introducción -- La problemática a resolver Como administradores de sistemas todos sabemos que tenemos que leer las bitácoras --logs, si prefieren decirle así-- de nuestros sistemas. Sin embargo, con las ocupaciones diarias, muchas veces lo olvidamos, y pueden pasar días o semanas sin que veamos nuestras bitácoras... Y nadie sabe qué obscuras criaturas pueden estar penetrando nuestro sistema. Además, cuando leemos las bitácoras --y esto es mucho más acentuado en determinadas versiones de Unix que en otras-- la proporción de información útil a ruido puede ser alarmantemente baja... Si registramos cada que un usuario se conecta y tenemos 50 usuarios --no me voy muy elevado-- con clientes POP3 configurados para conectarse cada 5 minutos, tendremos 600 líneas por hora que no nos interesarán. Si damos servicio de FTP y a mucha gente le interesan nuestros archivos, habrá una cantidad tremenda de información por leer... Hacer todo esto a ojo es muy pesado, sería muy bueno tener las bitácoras en un formato más fácil de leer y consultar. 2.- Generalidades de Logcheck Logcheck revisa periódicamente las bitácoras del sistema, analizando cada una de las líneas y clasificándola según diferentes niveles de alerta, reportándolo al administrador del sistema en un formato fácil de leer, descartando las líneas que no tengan relevancia, y --típicamente-- enviándolo por correo. Logcheck checará cada línea contra cuatro niveles de seguridad: Ignorar, actividad inusual, violación de seguridad y ataque. Logcheck no es un programa reciente --la última revisión es de Sin embargo, su filosofía básica lo hacen aún válido y muy útil, y probablemente no han aparecido nuevas versiones pues no hay nada que agregar, y siendo un programa tan simple, ninguna vulnerabilidad ha sido encontrada desde entonces Dónde y cómo conseguirlo

2 Portsentry forma parte del proyecto Abacus. Su página es y para bajar los programas la página es En esta última encontraremos tanto el archivo con los fuentes (logcheck tar.gz) como la firma PGP (logcheck tar.gz.asc) garantizando contra su llave --también disponible en esta página-- la autenticidad del paquete. En el paquete vienen los fuentes del programa. Para información acerca de la compilación y configuración, consulta las secciones 2.3 y 2.4. Si administras sistemas Linux RedHat o similares, te recomiendo instalarlo desde el RPM para mantener una instalación más limpia que te permita hacer modificaciones y actualizaciones a tu sistema en un futuro. Puedes encontrarlo en En qué sistemas funciona Logcheck es un programa muy sencillo, y hacer ports entre diferentes sistemas Unix debe ser muy sencillo. Dentro del árbol fuente, bajo el subdirectorio systems, aparecen los siguientes sistemas bsdos (sistemas BSDI 2.1) digital (Digital Unix) generic (Unix genérico) hpux (HP UX) linux Sun (Solaris) En el sitio Web menciona a otras varias variantes de Unix. El autor, Craig Rowland, advierte que los ports de Digital, HP UX y Sun pueden presentar problemas pues no ha tenido tiempo de probarlo en dichas plataformas. Claro, es posible que funcione en otros sistemas operativos - Sugiero fuertemente que si lo logran compilar y ejecutar correctamente en otro sistema, contribuyan con sus experiencias al equipo desarrollador Compilación La compilación e instalación no podían ser más sencillas - No hay siquiera un script de configuración, como es típico en los programas para Unix. En vez de ésto, basta darle, entrando como root, make <sistema> Claro está, substituyendo <sistema> por nuestro tipo de sistema operativo. Dandole make

3 sin parámetros nos muestra las cadenas que identifican a cada sistema operativo. Por ejemplo, en un sistema Linux: [root@hostname logcheck-1.1.1]# make linux make install SYSTYPE=linux make[1]: Entering directory `/home/gwolf/logcheck-1.1.1' Making linux cc -O -o./src/logtail./src/logtail.c./src/logtail.c: In function `main':./src/logtail.c:51: warning: return type of `main' is not `int' Creating temp directory /usr/local/etc/tmp Setting temp directory permissions chmod 700 /usr/local/etc/tmp Copying files cp./systems/linux/logcheck.hacking /usr/local/etc cp./systems/linux/logcheck.violations /usr/local/etc cp./systems/linux/logcheck.violations.ignore /usr/local/etc cp./systems/linux/logcheck.ignore /usr/local/etc cp./systems/linux/logcheck.sh /usr/local/etc cp./src/logtail /usr/local/bin Setting permissions chmod 700 /usr/local/etc/logcheck.sh chmod 700 /usr/local/bin/logtail chmod 600 /usr/local/etc/logcheck.violations.ignore chmod 600 /usr/local/etc/logcheck.violations chmod 600 /usr/local/etc/logcheck.hacking chmod 600 /usr/local/etc/logcheck.ignore Done. Don't forget to set your crontab. make[1]: Leaving directory `/home/gwolf/logcheck-1.1.1' [root@hostname logcheck-1.1.1]# Con esto, el programa queda compilado e instalado en el directorio /usr/local/etc. No podemos dejar de hacer énfasis en esto: El programa se configura e instala muy fácilmente. Sin embargo, es vital para un administrador el leer la información completa que acompaña a los programas que instala, especialmente si los utilizará para ayudarlo en la administración. Por ello la recomendación de leer con calma y tiempo la documentación incluída con el sistema: INSTALL, README, README.keywords y README.how.to.interpret Configuración Logcheck opera encontrando expresiones regulares; de hecho, itera sobre cada uno de los archivos de bitácora tres veces (para localizar mensajes inusuales, violaciones de seguridad y alertas de ataque) utilizando egrep para buscar los patrones. Te sugerimos consultar el manual de egrep (man egrep) para poder construir reglas de revisión más poderosas más fácilmente.

4 Archivos Al instalar Logcheck quedan en el directorio de instalación los siguientes archivos: logcheck.sh es el programa que correrá cada vez que sea invocado logcheck. Es un script en shell normal, e incluye la configuración en un formato fácil de comprender. logcheck.hacking tiene la lista de cadenas con las que una línea será identificada como intento de entrar al sistema o de conseguir información acerca de él, y por tanto serán reportadas como ataques activos, llamando la atención de manera especial al administrador. logcheck.ignore tiene la lista de expresiones que son muy comunes y no vale la pena reportarlas al administrador. logcheck.violations tiene la lista de expresiones que pueden ser consideradas moderadamente peligrosas, y son etiquetadas como violaciones de seguridad. logcheck.violations.ignore permite ser más específico: Si una línea concuerda con una de las expresiones de logcheck.violations pero también concuerda con una de éste archivo, la línea es ignorada. tmp es el directorio temporal utilizado por el programa para procesar los datos. Además de estos archivos, logcheck instala el programa logtail en /usr/local/bin. Este programa mantiene la información de qué logs han sido analizados y hasta qué punto, para no perder ni repetir ni una línea. Logcheck por default analizará los archivos /var/log/messages, /var/log/secure y / var/log/maillog Opciones en logcheck.sh En el archivo logcheck.sh encontraremos las siguientes opciones de configuración: PATH indica dónde buscará el sistema los binarios. Recuerda que correrá desde cron, por lo que no hace daño definirlo, y tal vez limitarlo al mínimo necesario. SYSADMIN es la persona que recibirá el reporte por correo. Si no lleva una dirección completa, asume que es una dirección local. LOGTAIL indica el path completo para el programa logtail TMPDIR especifica el directorio temporal en el que el programa hará su trabajo temporal. Este debe ser un directorio seguro, que no tenga acceso de escritura más que para el usuario que esté ejecutando Logcheck. GREP indica el nombre del comando grep a ejecutar. En muchos sisetmas Unix hay diferentes

5 grep con diferentes características, sugerimos instalar el egrep de GNU. MAIL es el comando empleado para mandar un correo. Típicamente será mail, aunque en algunos sistemas puede ser Mail o mailx. HACKING_FILE es el pathname y nombre completos del archivo logcheck.hacking (ver2.4.1) VIOLATIONS_FILE es el pathname y nombre completos del archivo logcheck.violations (ver2.4.1) VIOLATIONS_IGNORE_FILE es el pathname y nombre completos del archivo logcheck.violations.ignore (ver2.4.1) IGNORE_FILE es el pathname y nombre completos del archivo logcheck.ignore (ver2.4.1) Ejecución Logcheck no es un programa que funcione contínuamente, sino que es llamado cada que el administrador lo vea adecuado. Como cada reporte será enviado por correo, lo más común es hacerlo cada hora. Para ello es necesario crear una entrada en el crontab de root o de algún usuario que tenga permiso de leer los archivos localizados en /var/log y crear o, por lo menos, modificar los archivos que indiquen la posición. Éstos son <archivo>.offset -- típicamente messages.offset, secure.offset y maillog.offset. La línea a ser agregada en el crontab será similar a la siguiente: 0 * * * * /bin/sh /usr/local/etc/logcheck.sh Con esto, cada hora el administrador recibirá un mensaje similar al siguiente: From root@hostname.dominio.com Wed Sep 27 21:46: Date: Wed, 27 Sep :00: From: root <root@hostname.dominio.com> To: root@hostname.dominio.com Subject: hostname.dominio.com 09/27/00:19.00 system check Security Violations =-=-=-=-=-=-=-=-=-= Sep 27 18:23:07 hostname PAM_pwdb[14075]: authentication failure; (uid=0) -> root for ssh service Sep 27 18:23:11 hostname PAM_pwdb[14075]: (ssh) session opened for user root by (uid=0) Sep 27 18:23:11 hostname sshd[14075]: log: Password authentication for root accepted. Sep 27 18:23:11 hostname sshd[14075]: log: ROOT LOGIN as 'root' from hostname2.dominio.com Sep 27 18:23:43 hostname PAM_pwdb[14075]: (ssh) session closed for user root Unusual System Events =-=-=-=-=-=-=-=-=-=-=

6 Sep 27 18:02:26 hostname proftpd[13963]: hostname.dominio.com (lab1-15.dominio.com [ ]) - FTP no transfer timeout, disconnected. Sep 27 18:14:40 hostname proftpd[14030]: hostname.dominio.com (lab1-15.dominio.com [ ]) - FTP no transfer timeout, disconnected. Sep 27 18:22:19 hostname proftpd[13875]: hostname.dominio.com (lab2-21.dominio.com [ ]) - FTP no transfer timeout, disconnected. Sep 27 18:23:07 hostname PAM_pwdb[14075]: authentication failure; (uid=0) -> root for ssh service Sep 27 18:23:11 hostname PAM_pwdb[14075]: (ssh) session opened for user root by (uid=0) Sep 27 18:23:11 hostname sshd[14075]: log: ROOT LOGIN as 'root' from dir-03.dominio.com Sep 27 18:00:12 hostname sendmail[13610]: RAB13605: SAA13610: DSN: Host unknown (Name server: mail.internet.com: host not found) En caso de haberse registrado algún evento que concuerde con alguna línea de logcheck.hacking, para que el reporte sea visto más rápidamente por el administrador cambiarán los encabezados, quedando así: From root@hostname.dominio.com Wed Sep 27 21:52: Date: Wed, 27 Sep :00: From: root <root@hostname.dominio.com> To: root@hostname.dominio.com Subject: hostname.dominio.com 09/27/00:21.00 ACTIVE SYSTEM ATTACK! Active System Attack Alerts =-=-=-=-=-=-=-=-=-=-=-=-=-= Sep 27 20:10:48 hostname portsentry[14722]: attackalert: SYN/Normal scan from host: ejemplo.dominio.com/ to TCP port: 1019 Sep 27 20:10:48 hostname portsentry[14722]: attackalert: Host has been blocked via wrappers with string: "ALL: " Sep 27 20:10:48 hostname portsentry[14722]: attackalert: Host has been blocked via dropped route using command: "/sbin/ ipchains -I input -s j DENY -l" (...)

7 Security Violations =-=-=-=-=-=-=-=-=-= Sep 27 20:09:19 hostname PAM_pwdb[14589]: authentication failure; (uid=0) -> root for ssh service Sep 27 20:09:22 hostname PAM_pwdb[14589]: (ssh) session opened for user root by (uid=0) Sep 27 20:09:22 hostname sshd[14589]: log: Password authentication for root accepted. (...) Unusual System Events =-=-=-=-=-=-=-=-=-=-= Sep 27 20:10:47 hostname sshd[14624]: fatal: Did not receive ident string. Sep 27 20:19:43 hostname PAM_pwdb[14985]: authentication failure; (uid=0) -> llec for ssh service Sep 27 20:09:34 hostname in.telnetd[14610]: connect from (...)