CENTRALIZACIÓN DE REGISTROS DE EVENTOS

Transcripción

1 CENTRALIZACIÓN DE REGISTROS DE EVENTOS Pontificia Universidad Javeriana Carrera de Ingeniería de Sistemas Bogotá, Colombia 2007

2 CENTRALIZACIÓN DE REGISTROS DE EVENTOS Diana Carolina Niño Mejía Alejandro Sierra Múnera Enero 11 de 2007 Resumen El presente artículo presenta el proceso de centralización de registros de eventos de seguridad para administradores de red, que busquen una gestión de logs completa y más sencilla. El modelo de centralización presentado cumple con los requerimientos necesarios para mantener el carácter de evidencia digital de los registros de eventos, permitiendo así poder ser presentados en un juzgado cuando sea requerido. Así mismo, el modelo da la posibilidad de realizar una correlación de registros de eventos en un futuro. Adicionalmente, las herramientas de software utilizadas para la centralización, son herramientas de libre distribución lo que permite a cualquier organización implementar el modelo. Como resultado de la definición del modelo de centralización se obtuvo una guía metodológica, que permite llevar al administrador de la red paso a paso, a la centralización de los logs de la red. Abstract This paper presents the process of security log centralization for network administrators, giving a complete and simple log management infrastructure. The displayed centralization model fulfills the necessary requirements to maintain the digital evidence characteristics of the logs, allowing them to be able to be presented in a court when it would be required. Also, the model gives the possibility to make log's registries correlation of events in the future. Additionally the used software tools for the centralization are free code or free licensed software which allows any organization to implement the model. The result of the definition of the model of centralization was a methodological guide, which allows a network administrator to implement step by step the logs centralization of the network Palabras clave: Centralización, Registros de eventos, logs, evidencia digital, correlación, seguridad informática. 1. Introducción Uno de las principales dificultades que existen en la actualidad, es el tema de la seguridad en las redes de comunicaciones. Las empresas y organizaciones siempre buscan proteger su información y garantizar la

3 integridad, confidencialidad y disponibilidad de sus recursos. Para lograr esta seguridad, las compañías cuentan con diferentes herramientas de seguridad, tales como firewalls, antivirus, sistemas de detección de intrusos, entre otros. Estas herramientas se encargan de vigilar cierto tipo de información que circula por la red, y en algunos casos permiten alertar al administrador de la red en caso de alguna anomalía. Es importante tener en cuenta que no es suficiente analizar esta información por independiente. En la mayoría de las veces un simple registro de eventos puede no revelar información importante, pero al relacionarla con registros encontrados en otros puntos de la red o en otros registros del mismo dispositivo, se puede encontrar gran cantidad de información valiosa. Sin embargo, teniendo en cuenta el gran número de eventos que ocurren en un tiempo muy corto en una red y la distribución de estos en muchos dispositivos diferentes, resulta muy tedioso y difícil hacer esta relación manualmente. Para ello es necesario realizar una correlación de eventos de seguridad. La cual se encarga de encontrar relaciones entre eventos para encontrar información útil. Ésta correlación se logra tras haber obtenido una centralización de los logs. Es importante que durante todo el proceso, desde la generación del log hasta el momento en que se realiza la correlación, el log conserve su carácter de evidencia digital, para poder ser analizado y presentado ante la ley en caso en que se presente un delito. Este artículo busca ser una aproximación al tema de la centralización de registros de eventos de seguridad, iniciando con la definición de lo que se consideran registros de eventos, de los requerimientos para mantener el carácter de evidencia digital de los registros de eventos y para su correlación. Seguidamente, se describirá el modelo propuesto para la centralización 2. Definiciones 2.1 Registros de eventos. Antes de entrar en el tema de la centralización es necesario tener claro el concepto de registro de evento. Un evento es un suceso o cambio de estado que puede ocurrir en un sistema o red. Un registro de eventos, es un repositorio de eventos almacenados. De ésta manera se tiene que la función principal de un registro de eventos es proporcionar información a los administradores a cerca de los cambios sucedidos en los sistemas. Es aquí donde se ve la importancia de monitorear y revisar los registros de eventos continuamente. Siendo así, si un evento es atendido oportunamente, se pueden corregir errores en el funcionamiento de los sistemas así como tomar acciones frente a un incidente de seguridad. 2.2 Evidencia digital Debido a que los registros de eventos proporcionan información tan valiosa, es necesario que éstos mantengan siempre su carácter de evidencia digital, y de esta manera poder ser presentados ante un proceso jurídico en el momento en que se requiera.

4 Antes de ahondar en las características que deben conservar los registros de eventos durante su transporte para la centralización, con el fin de conservar su carácter de evidencia digital es importante tener claro el concepto de evidencia digital. Según Casey la evidencia digital es cualquier dato que puede establecer que un crimen se ha cometido o puede proporcionar una relación entre un crimen y su víctima o un crimen y su autor. [1] Existen cuatro criterios que caracterizan la evidencia digital, los cuales se describen a continuación [2] Autenticidad. Se refiere a la no alterabilidad de los medios originales. Confiabilidad: esta característica hace referencia al correcto funcionamiento del sistema que generó, modificó o almacenó la evidencia. Completitud o suficiencia. Se refiere a contar con toda la evidencia necesaria, para proveer la información suficiente de caso. Conformidad con las leyes y reglas del Poder Judicial. Esto quiere decir, que la evidencia digital debe regirse por las normas o leyes presentes en el país. De ésta manera se identifican los requerimientos que debe satisfacer el transporte de registros de eventos, para mantener el carácter de evidencia digital de los registros. Adicionalmente, se encuentran otras características que deben ser tenidas en cuenta durante la producción y recolección de la evidencia digital, las cuales aplican al proceso de centralización de los registros de eventos. Estas características son mencionadas a continuación. [3] Producción de la evidencia. Durante la producción de la evidencia se debe cumplir con las siguientes características: El sistema o tecnología de información debe producir los registros electrónicos Validación de que la aplicación es quien genera los registros electrónicos Identificación de la fecha y hora de creación Verificación de que la aplicación funciona correctamente en la creación o modificación de los registros. Verificación de la completitud de los registros. Recolección de la evidencia. En la recolección de la evidencia se requiere el cumplir con los siguientes objetivos: Establecimiento de buenos procedimientos para recolectar evidencia digital la evidencia debe poder ser utilizadas en el presente y futuro. Mantener y verificar la cadena de custodia Seguimiento de las regulaciones y normas de la recolección de la evidencia digital Desarrollo de criterios para establecer la relevancia o no de la evidencia recolectada. Una vez, se tienen claros los conceptos de evidencia digital y sus características de admisibilidad. Es necesario definir cuales de estos deben ser tenidos en

5 cuenta en el proceso de centralización de los registros de eventos para conservar su carácter de evidencia. Los cuales son citados a continuación: Integridad Autenticidad Confidencialidad Suficiencia Identificación de la fecha y hora de creación las evidencias debe poder ser utilizadas en el presente y futuro Las características que no se encuentran citadas en el listado anterior, no aplican al proceso de transporte, éstas deben ser tenidas en cuenta en el momento de la creación de la evidencia, o en su recolección para presentar frente a un juzgado. 2.3 Correlación de registros de eventos de seguridad. La correlación de eventos es el proceso mediante el cual se busca asociar los eventos para encontrar información útil. Para lograr dicha correlación, los registros de eventos deben cumplir con tres requisitos, enumerados a continuación: [4] Consolidación de los datos. Esto se refiere al proceso mismo del transporte orientado a conexión de los eventos desde sus orígenes hasta un repositorio central. Este proceso debe garantizar la integridad y seguridad de los datos. La normalización de los datos. consiste en cambiar el formato de los registros de eventos a un solo formato polimórfico. Reducción de los datos por medio de la compresión, combinación de varios eventos en unos solo y eliminación de duplicados. Vale la pena destacar, que es de gran importancia el cumplimiento de éstos requisitos durante la centralización de los registros de eventos. Sin embargo, al analizar estos requisitos, se encuentra que aquel que hace referencia a la reducción de los datos está en contradicción con el requisito de la suficiencia en los criterios de admisibilidad de la evidencia digital. Por tal motivo, la reducción de los datos no es tenido en cuenta en el modelo de centralización definido. 3. Centralización de registros de eventos. Antes de inicial la centralización de los registros de eventos de seguridad, es necesario hacer uso del protocolo NTP (Network Time Protocol). De esta manera se asegura que todos los relojes de tiempo presentes en los dispositivos de la red se encuentren sincronizados. Es importante recordar que el protocolo NTP actúa bajo una arquitectura cliente servidor, por lo que es necesario definir un servidor de NTP en la red. Este servidor puede ser el mismo servidor de logs, en el cual se almacenarán todos los registros de eventos generados en la red. Para la sincronización de los relojes de tiempo, es necesaria la instalación y configuración de NTPd en las máquinas con sistema operativo UNIX LIKE. Los sistemas Windows, ya vienen con un cliente NTP para la sincronización incorporado, el cual debe ser

6 configurado para que se sincronice con el servidor. Una vez sincronizados los relojes, se puede iniciar la centralización de los registros de eventos. Para el proceso de la centralización, se presenta un método de transporte, que cumpla con los requerimientos de seguridad que se deben satisfacer para la correlación y evidencia digital. Figura 1. Modelo de Centralización Inicialmente, se define un servidor de logs, el cual es el encargado de recibir los registros de eventos y almacenarlos en un repositorio ubicado en la misma máquina. De éste modo se garantiza que todos los registros de eventos queden ubicados en un punto central para efectos de la correlación. Por medio de la creación de un túnel SSH, se pretende encapsular un servicio para el transporte de los registros de eventos que actúe con el protocolo TCP en una sesión SSH. De este modo, se obtienen los beneficios de seguridad proveídos por SSH para el transporte. El protocolo SSH provee privacidad, autenticación, autorización e integridad. Adicionalmente su comunicación es orientada a conexión. Cubriendo de éste modo una gran cantidad de requerimientos para garantizar la evidencia digital de los registros de eventos de seguridad. Uno de los servicios de transporte de registros de eventos que trabajan sobre TCP, es syslo-ng. Éste protocolo es una evolución de syslog, para trabajar sobre TCP. Adicionalmente, provee el beneficio de almacenar los registros de eventos en bases de datos. Por ser éste una evolución de syslog, maneja de igual manera un formato para los mensajes, el cual se compone de tres campos: PRI (prioridad del evento), HEADER (en donde se encuentra la estampilla de tiempo y el identificador del origen del evento) y MSG (contiene el nombre de programa o proceso que genero el evento y el detalle del evento). El uso de éste formato satisface el requerimiento de correlación que sugiere la normalización de los registros de eventos, así como los requerimientos de la evidencia digital, los cuales indican que los registros de eventos deben tener una estampilla con la fecha y hora en que sucedió el evento, y de tener un identificador del sistema donde se produjo. De ésta manera, para lograr la centralización de los registros de eventos a través de un túnel SSH tanto el servido de logs como los clientes deben contar con el software necesario para esto. La herramienta OPEN SSH, la cual es de libre distribución, se encuentra disponible para sistemas operativos UNIX LIKE. Para Windows, se encuentra la herramienta PLINK. El servidor de logs, que a su vez, debe ser el servidor de SSH. Debe ser una maquina con sistema operativo UNIX LIKE. Esta máquina debe tener tener

7 instalado y configurado OPEN SSH Server (sshd). De forma similar, los clientes con sistema operativo UNIX LIKE, deben tener la herramienta Open SSH Client (ssh). En cuanto a los clientes con sistema operativo Windows, es necesario instalar y configurar la herramienta PLINK. Esta herramienta es una versión de PUTTY la cual actúa por medio de línea de comandos y puede dejar el proceso corriendo de fondo (background). Esto con el fin de hacer transparente para los usuarios finales el establecimiento del túnel y el proceso mismo del transporte de eventos. Una vez establecido el túnel SSH se procede con la instalación y configuración de las herramientas que proveerán el servicio de syslog-ng. En Windows, existe una herramienta que permite la recolección de los registros de eventos, los convierte al formato syslog y los envía por syslogng. Ésta herramienta es llamada LASSO y es de libre distribución. De esta manera, es posible lograr centralizar los registros de eventos de seguridad de los sistemas operativos Windows y UNIX LIKE, en un servidor de logs. En cuanto a los dispositivos de red, los cuales generalmente vienen con syslog incorporado, pero no es un syslog seguro, el modelo de centralización sugiere la creación de una red alterna que comunique dicho dispositivo con un maquina con sistema operativo UNIX LIKE. De esta manera el transporte de los logs desde el dispositivo hasta la maquina se realizará vía UDP, y está máquina actuará enviándolos de forma segura hasta el servidor de logs. Vale la pena recalcar que la red alterna debe ser físicamente altamente protegida, ya que los datos no viajan cifrados ni se tiene ningún mecanismo de autenticación. Una vez, realizada la configuración para la implantación del modelo de centralización, es recomendable configurar los servicios de transporte de logs usados en cada máquina para que al iniciar el sistema operativo suban automáticamente, de este modo, el proceso de centralización será transparente para el usuario final. 4. Resultados. Una vez definido el modelo de centralización apropiado para el cumplimiento de los requerimientos definidos, se realiza y valida una guía metodológica que permite a los administradores de redes, centralizar los registros de eventos generados en los dispositivos de su red. Como fruto del trabajo de investigación, la guía metodológica permite al administrador implementar paso a paso un sistema de centralización de logs, el cual cuenta con niveles de seguridad altamente considerados durante el transporte de los logs. Con la validación de la guía metodológica se concluye que la guía es una herramienta de fácil manejo y lleva de la mano a la implementación del sistema de centralización. El proceso de validación que se llevó a cabo fue montar una red que cumpla con carácterísticas propias de una pyme y seguir la guía paso a paso para montar la infraestructura.

8 5. Conclusiones. Por medio del establecimiento de un túnel SSH que encapsule un servicio basado en TCP para el transporte de los logs, se garantiza que los registros de eventos pueden ser transportados por la red sin perder su carácter de evidencia digital. Si el sistema de centralización es implementado paso a paso como lo indica la guía metodológica, la centralización será un proceso transparente para el usuario final. El uso de un protocolo derivado de syslog, permite la normalización de los registros de eventos, dejando así a todos los logs en un solo formato. El modelo de centralización propuesto cumple satisfactoriamente con todos los requerimientos propuestos. 6. Referencias [1] CASEY, Eoghan. Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet [2] Cano Martines Jeimy José. Admisibilidad de la Evidencia Digital: Algunos Elementos de Revisión y Análisis. Agosto de [3] CANO, Jeimmy J. Buenas Prácticas en la Administración de la evidencia digital [4] CALDWELL, Matthew. The Importance of Event Correlation for Effective Security Management, ISACA,