SYSLOG CENTRALIZADO CON DETECCION DE EVENTOS

Tamaño: px
Comenzar la demostración a partir de la página:

Download "SYSLOG CENTRALIZADO CON DETECCION DE EVENTOS"

Transcripción

1 SYSLOG CENTRALIZADO CON DETECCION DE EVENTOS Norberto Altalef RedKlee Argentina Alcances Se describirá en el presente documento la implementación de un sistema de syslog centralizado con detección de eventos y generación de distintos tipos de alarmas. Todo el sistema está basado en herramientas Open Source. Se detallarán las herramientas utilizadas, así como detalles de su configuración y ejemplos reales de aplicación. Generalidades de un sistema de log. Log es el registro de acciones y eventos que tienen lugar en un sistema. Los logs son el primer registro de la actividad en los sistemas y redes. Los logs de un sistema son una parte primaria de la seguridad y pueden ser usados en la detección de ataques e intrusiones, así como en el análisis de fallas de hardware y software. El programa syslog, es una interface que provee un framework standard para que tanto programas como el mismo sistema operativo puedan generar mensajes que peuden ser almacenados localmente o ser enviados a un host remoto. Originalmente escrito para Unix, se convirtió en un standard que se usa en muchos sistemas operativos y dispositivos de red. Cual es la utilidad de un sistema de syslog centralizado? En un sistema de syslog centralizado, un server común recibe todos los mensajes de syslog de todos los sistemas de la red. Esto incluye logs de los servers Unix/linux/Windows etc, firewalls, y dispositivos de red (routers, switches, etc) Hay varias ventajas de un sistema de syslog centralizado El syslog puede ser conectado en un segmento de red diferente protegido por un firewall para mantener más segura la información Teniendo los mensajes de todos los equipos, puede hacerse una correlación de ataques o fallas en distintos puntos de una manera mucho más sencilla. Por ejemplo si en el syslog aparece un mensaje de desconexión de la interface de red de varios servers en el mismo Syslog Centralizado Página 1 de 16

2 momento, es lógico suponer una falla en el switch donde estos servers estan conectados. Un usuario no deseado que haya ingresado en un server, no podrá alterar los mensajes que se hayan almacenado en el server central. Se pueden generar alertas usando sistemas de monitoreo de logs. Sistema de monitoreo de logs El análisis de logs es una herramienta muy importante para mantener el control de servers y dispositivos de red. Sin embargo esta es una de las tareas que más tiempo consume y por consiguiente que menos se hace. Con la cantidad de mensajes informativos que se generan en un sistema de log, detectar en forma manual los mensajes de problemas es muy dificultoso y con mucha probabilidad de error. Esto se vé aumentado cuando se usa un sistema de syslog centralizado, donde la información proviene de varias fuentes distintas. Muchas soluciones de monitoreo se basan en sumarizar la información de archivos de log de dias previos. Esto es muy útil para la generación de estadísticas y análisis posterior a una falla o intrusión, pero no tanto para la resolución de problemas. Un administrador no puede actuar en forma proactiva, previamente a que el error ocurra. Muchas fallas o accesos no autorizados se ven precedidos por mensajes que de haber sido detectados, podrían haber permitido tomar acciones preventivas. Por ejemplo, un acceso no autorizado via ssh, puede haber estado precedido por una gran cantidad de intentos fallidos de acceso. Disponer una solución on line de monitoreo, permite disponer de herramientas que pueden ayudar a prevenir problemas graves antes que ocurran. Detectar eventos en el momento que ocurren permite generar acciones en ese mismo instante y no luego de las consecuencias. Siguiendo con el ejemplo del acceso ssh, podría bloquearse el acceso ssh desde determinada Syslog Centralizado Página 2 de 16

3 dirección IP despues de un número de intentos fallidos de acceso. Un concepto que aparece aquí es el de correlación de eventos. Un sistema automatizado de análisis de logs que pueda hacer una correlación de varios eventos simplifica y acelera el monitoreo de eventos consolidando alertas y mensajes de error en un mensaje más corto y fácil de entender. Una serie de operaciones están relacionadas con la correlación de eventos. Compresión toma varias apariciones del mismo evento y se examina la duplicación de información, se remueve las redundacias y se reporta como un único evento. De esta manera 1000 mensajes "route failed" se convierte en un único alerta que dice "route failed 1000 times" Recuento reporta un número específico de eventos similares como uno solo. Esto se diferencia de la compresión en que no solo cuenta en que sea el mismo evento, sino que se supere un determinado umbral para generar un reporte. Supresión asocia prioridades con alarmas y permite que el sistema suprima un alarma de prioridad más baja si ha ocurrido un evento de prioridad mayor. Generalización asocia alarmas con eventos de más alto nivel que son los que son reportados. Esto puede ser útil para por ejemplo para correlacionar eventos de múltiples discos de un array. No se necesita ver cada mensaje específico si se puede determinar que el array completo tiene problemas. Correlación basada en tiempo puede ser útil estableciendo causalidad. A menudo una información puede ser obtenida relacionando eventos que tienen una relación temporal específica. Ejemplos genéricos: El Evento A está seguido del Evento B. Este es el primer Evento A desde el Evento B reciente. El Evento A sigue al Evento B dentro de los dos minutos. El Evento A no fue observado dentro del Intervalo I. Implementación Se detallará a continuación la implementación real de un sistema de syslog centralizado junto con un sistema de monitoreo on line de los logs. La instalación tuvo los siguientes requisitos: Concentrar los logs de un server que corre HPUX, un firewall que corre Linux y un sistema de Syslog Centralizado Página 3 de 16

4 detección de intrusos (IDS) usando snort que corre en Linux. Los mensajes del sistema que corre HPUX eran provenientes del sistema operativo y de una aplicación específica. Debian generarse alarmas para determinados eventos. Se debía disponer de una manera de consultar los logs y realizar búsquedas en ellos. Para armar este sistema se tomaron en cuenta los siguientes aspectos: Sistema operativo: se utilizó Debian GNU/Linux. La decisión estuvo basada en el conocimiento y experiencia con esta distribución, así como la reconocida estabilidad y facilidad de actualización. Sin embargo, la solución podría perfectamente adaptarse a otra distribución. Syslog: si bien el daemon de syslog standard de Linux (syslogd) es adecuado para concentrar información de otros syslog, se decidió utilizar syslog ng (syslog new generation) que es un reempazo directo de syslog. El syslog original permite que los mensajes sean organizados basandose en los pares priority/facility; syslog ng agrega la posibilidad de filtrar basandose en el contenido de los mensajes usando expresiones regulares. syslog ng permite guardar los mensajes en un base de datos y tambien usar TCP en lugar de UDP para enviar los mensajes a otro server. Base de datos: para facilitar las posteriores consultas se decidió almacenar los mensajes en una base de datos MySQL. Consulta de logs: se usó como base un producto denominado php syslog ng, que se modificó para tener más opciones de consulta.. Monitoreo de logs: se utilizó un producto llamado SEC (Simple Event Correlator). En el siguiente observan los componentes del sistema. Syslog Centralizado Página 4 de 16

5 Algunos detalles de este esquema: Los hosts envian sus mensajes al server de syslog, a través del protocolo UDP. No se usó TCP, porque se decidió no instalar syslog ng en los servers HPUX. Se guarda la información de cada server en distintos archivos, para facilitar las reglas de SEC posteriores. En syslog ng no se hace ningún filtrado y se guardan todos los mensajes. El proceso SEC está monitoreando en forma continua estos archivos generados por syslog ng. Existen dos bases de datos a las que SEC tiene acceso. Una base de datos de alarmas y una base de datos de logs. Estas bases de datos pueden ser consultadas desde formularios en forma interactiva o generando reportes estadísticos. En base a distintas reglas de SEC se toman distinto tipo de decisiones, con respecto a los mensajes que se leen de los archivos. Estas decisiones son: 1. Mensaje descartado. Los mensajes que son solo informativos, se descartan y no se almacenan en la base de datos. 2. Mensaje almacenado. Los mensajes que se consideran importantes se almacenan Syslog Centralizado Página 5 de 16

6 en la base de datos de log 3. Alarma. Si hay un evento que genera alguna alarma, se guarda en la base de datos de alarmas. Además de esto, pueden generarse acciones adicionales, tales como enviar un mail o mostrar un mensaje en la consola de monitoreo. Se define una consola de monitoreo, que originalmente se basó en la incluída en phpsyslog ng. En esta consola accesible desde un browser puede elegirse los mensajes de que server se muestran, así como las alarmas que se generan. Detalles de la implementación I syslog ng El paquete syslog ng, puede instalarse usando apt get desde los repositorios de Debian. En otras distribuciones está tambien disponible, sino puede bajarse el códifo fuente desde Toda la configuración se hace en el archivo /etc/syslog ng/syslog ng.conf La ruta que seguirá un mensaje se define con tres posibles secciones, que son source, destination y filtering rules. source: se define el origen de los mensajes (palabra clave: source) El formato es: source <sourcename> { sourcedriver params; sourcedriver params;... }; donde sourcename es un identificador y sourcedriver es el método usado para recibir estos mensajes. Ejemplos: source kernel file("/proc/kmsg" log_prefix("kernel: ")); source net udp; El primer ejemplo indica que los mensajes del kernel se leen desde /proc/kmsg y que se les agrega un prefijo kernel: El segundo ejemplo indica que se habilita la recepción de mensajes a través de conexiones udp. destination: se define el destino de los mensajes (palabra clave: destination) El formato es: Syslog Centralizado Página 6 de 16

7 destination <destname> { destdriver params; destdriver params;... ; }; donde destname es un identificador y destdriver es el método usado para guardar los mensajes. Ejemplos: destination df_mail { file("/var/log/mail.log"); }; destination du_root { usertty("root"); }; El primer ejemplo se define para enviar los mensajes del sistema de mail al archivo /var/log/mail.log El segundo ejemplo se define para enviar mensajes a la tty donde esté conectado root. Estos son solo ejemplos. En ambos casos hay varias opciones adicionales. Consultar man (5) syslog ng.conf, para ver las opciones completas. filtering rules: reglas de filtrado (palabra clave: filter) El formato es: filter <filtername> { expression; }; Donde filtername es el nombre del filtro y expression es una expersión booleana simple. Se puede usar "and", "or" y "not" para conectar las funciones incorporadas. Las funciones pueden ser: facility (una lista separada por comas de nombres de facilities) level (una lista separada por comas o un rango separado por ".." de nombres de priority) program (una expresión regular para buscar coincidencias con nombres de programas) host (una expresión regular para buscar coincidencias con nombres de host match (una expresión regular que busca coincidencias en el mensaje de syuslog en si. Syslog Centralizado Página 7 de 16

8 Sentencias log. Se pueden conectar origenes y destinos, usando sentencias log. El formato es: log { source S1; source S2;... filter F1; filter F2;... destination D1; destination D2;... }; Donde Sx se refiere a uno de los orígenes de log declarados, Fx a uno de los filtros y Dx a uno de los destinos. Veamos un ejemplo: Para loguear los mensajes que se reciben de un server que tiene como nombre amadeus y tiene un IDS (snort). 1 Definimos como origen los mensajes recibidos por udp source s_net { udp(); }; 2 Definimos como destino un archivo llamado /var/log/amadeus.ids.log Adicionalmente se cambia el formato standard de los mensajes, incluyendo el año destination d_amadeus.ids { file("/var/log/amadeus.ids.log" template("$year-$month-$day $WEEKDAY $HOUR:$MIN:$SEC $HOST $FACILITY $PRIORITY $MSG\n") template_escape(no) ); }; 3 Creamos un filtro que seleccione los mensajes recibidos de este server. En este caso snort se configuró para enviar sus mensajes al facility local6. filter f_amadeus.ids { host(amadeus) and facility(local6); }; 3 Por último generamos los mensajes de log log { source(s_net); filter(f_amadeus.ids); Syslog Centralizado Página 8 de 16

9 destination(d_amadeus.ids); }; 2 SEC SEC (Simple Event Corrrelator) es un script en Perl. Está escrito por Risto Vaarandi y su home están en Está pensado para hacer un monitoreo de archivos de log en tiempo real y elegir eventos que se quieran reportar. En SEC se pueden definir y almacenar contextos, que son un juego arbitrario de hechos que describen un evento. Empecemos por un ejemplo básico, para entender el funcionamiento de SEC. Supongamos que queremos controlar los login de root. Cada vez que hay un login de root en un equipo el mensaje de syslog tiene el siguiente formato: Feb 1 11:54: sshd[20994]: [ID auth.info] Accepted publickey for root from port ssh2 Creamos un archivo de configuración (que se llame root.conf) con el siguiente contenido: type=single ptype=regexp pattern=(^.+\d+ \d+:\d+:\d+) (\d+\.\d+\.\d+\.\d+) sshd\[\d+\]: \[.+\] Accepted (.+) for root from (\d+\.\d+\.\d+\.\d+) desc=direct ssh root login on $2 from $4 (via $1 action=add root ssh_$2 $0; report root ssh_$2 /usr/bin/mail s "Login de root en $2 desde $4" Esto es un ejemplo de una regla de SEC. La primer línea, type, define el tipo de regla, que en este caso es "Single", que le indica que queremos analizar ocurrencias únicas de un evento. La segunda línea, ptype, define como haremos la búsqueda de patrones. En este caso "RegExp" indica que se usarán expresiones regulares de Perl. La próxima linea, pattern, es una expresión regular que va a coincidir con los mensajes de log cuando hay un login de root. Se agrupan la fecha y hora, la IP de origen y la IP de destino. La siguiente linea, desc, es una descripción. Esta descripción identifica explicitamente cada ocurrencia (ver Reglas y operaciones de correlación de eventos) Syslog Centralizado Página 9 de 16

10 La última línea, action, es la acción que se tomará. En este caso se agrega el mensaje completo (identificado como $0) a un contexto denominado root ssh_$2, donde $2 será la IP de origen. Finalmente, se envía un mail con el contenido del contexto. Para ejecutar SEC: sec detach conf=root.conf input=/var/log/messages detach, hace que SEC corra en background conf, indica el archivo de configuración que debe usarse input, especifica el archivo de donde deben leerse los mensajes. Ahora bien, supongamos que hay una tarea de cron que todos los días hace una conexión como root, para ejecutar un proceso y no queremos recibir un mail cada vez que se realiza esta conexión conocida. Lo que se necesita es agregar en el archivo de configuración la regla siguiente antes de la regla anterior. type=suppress ptype=regexp pattern=^.+\d+ \d+:\d+:\d+ \d+\.\d+\.\d+\.\d+ sshd\[\d+\]: \[.+\] Accepted.+ for root from Enviando la señal SIGABRT al proceso SEC se le indica que relea el archivo de configuración y continue. Ahora las conexiones desde , no generarán mensajes de alerta. Siguiendo con ejemplos veamos, una regla de SEC para detectar posibles ataques por fuerza bruta en conexiones ssh. # # crear el contexto en la primera ocurrencia # type=singlewiththreshold ptype=regexp pattern=(^.+\d+ \d+:\d+:\d+) (\d+\.\d+\.\d+\.\d+) sshd\[\d+\]: \[.+\] Failed (.+) for (.*?) from (\d+\.\d+\.\d+\.\d+) desc=posible ataque por fuerza bruta (ssh) usuario $4 en $2 desde $5 window=60 thresh=5 context=!ssh_brute_from_$5 action=create SSH_BRUTE_FROM_$5 60 (report SSH_BRUTE_FROM_$5 /usr/bin/mail s "ataque por fuerza bruta ssh en $2 desde $5" add SSH_BRUTE_FROM_$5 Detectados 5 intentos fallidos de ssh en 60 seg; Syslog Centralizado Página 10 de 16

11 add SSH_BRUTE_FROM_$5 $0 # # agregar eventos siguientes al contexto # type=single ptype=regexp pattern=(^.+\d+ \d+:\d+:\d+) (\d+\.\d+\.\d+\.\d+) sshd\[\d+\]: \[.+\] Failed (.+) for (.*?) from (\d+\.\d+\.\d+\.\d+) desc=posible ataque por fuera bruta (ssh) usuario $4 en $2 desde $5 context=ssh_brute_from_$5 action=add SSH_BRUTE_FROM_$5 "Evento adicional: $0"; set SSH_BRUTE_FROM_$5 30 Esto son en realidad dos reglas. La primera regla es otro de los tipos disponibles en SEC: SingleWithThershold. Se agregan dos opciones más a las que tenía Single, que son window y thresh. window es el lapso durante el que esta regla debe estar monitoreando y thresh es el umbral para el número de eventos que es necesario que aparezcan dentro del lapso anterior para disparar la action de esta regla. En este caso la regla ejecutará la acción si hay 5 eventos de login fallido dentro de 60 seg. Se usa tambien la opción de contexto, que indica que la regla se dispara solo si el contexto no existe. La línea de action, crea el contexto ($5 representa la IP de origen) que expira en 60 seg. Una vez que expiró el contexto se envía un mail con una descripción y las lineas de log que fueron detectadas. La segunda regla agrega eventos adicionales al contexto y extiende su tiempo de vida por 30 seg, siempre que este exista. Si no existe no hace nada. La creación de estos contextos que son creados en forma dinámica, es una de las principales caracteristicas de SEC. Por ejemplo una impresora con un papel trabado, puede emitir una gran cantidad de mensajes de log y sería una molestia si se genera un mail por cada mensaje de log. En SEC podría crearse un contexto tal que "se ha visto un evento de papel trabado y ya se ha enviado un mail" de manera que la regla podría en el futuro suprimir el envío de los mails si el contexto existe. SEC incluye otros tipos de reglas. La descripción obtenida directamente del manual es: SingleWithScript buscar coincidencias en los eventos de entrada y ejecutar una acción dependiendo del status de un script externo SingleWithSuppress buscar coincidencias en los eventos de entrada y ejecutar una acción inmediatamente, pero ignorar las siguientes coincidencias durante los próximos t seg. Syslog Centralizado Página 11 de 16

12 Pair buscar coincidencias en los eventos de entrada, ejecutar una acción inmediatamente e ignorar las siguientes coincidiencias, hasta que haya una coincidencia con otro evento distinto. En la coincidencia del segundo evento ejecutar otra acción. PairWithWindow buscar coincidencias en los eventos de entrada y esperar t seg para que aparezca otro evento. Si este evento no se observa dentro de un determinado intervalo se ejecuta una acción y si el evento aparece se ejecuta otra acción. SingleWith2Thresholds buscar coincidencias en los eventos de entrada durante t1 seg y si se supera un dado umbral, ejecutar una acción. Entonces empezar a contar las coincidencias de nuevo y si su número durante t2 seg es menor que un segundo umbral, ejecutar otra acción. Calendar ejecuta una acción en momentos específicos. Reglas y operaciones de correlación de eventos (extraído del manual de SEC) Pese a que cada operación de correlación de eventos se inicia por una regla de SEC, no hay una relación uno a uno entre reglas y operaciones de correlación de eventos, ya que una regla podría iniciar varias operaciones de correlación de eventos que corren simultaneamente. Para distinguir una operación de otra, SEC asigna una clave a cada operación que está compuesta por el nombre de archivo de configuración, el ID de la regla y la descripción del evento derivado del parámetro desc de cada regla, reemplazando cada variable con su valor. Uso de SEC en la implementación. Como se vió antes, en la implementación descripta guarda tanto los mensajes de syslog, como las alarmas en una base de datos MySQL. La interacción entre SEC y MySQL, se hace a través de un archivo de tipo FIFO (pipe). SEC puede escribir a un pipe y luego un proceso que está leyendo este pipe hace los insert correspondientes en la base de datos. Dentro de la base de datos se definieron las siguientes tablas: alarms: alarmas cod_alarms: códigos de alarmas. Se usan para los reportes logs: mensajes de syslog Estructura de la tabla alarms: Syslog Centralizado Página 12 de 16

13 newmsg: se usa para saber si un mensaje ha sido leído o no en la consola de monitoreo screen_dest: define en cual de las zonas de la consola de monitoreo debe mostrarse el mensaje host: server que generó la alarma level: es un código que define la importancia de la alarma date y time: fecha y hora msg: texto del mensaje de alarma seq: indice Estructura de la tabla cod_alarms: cod: código de la alarma rep: indica si el tiop de alarma debe incluirse o no en los reportes des: descripción Estructura de la tabla logs: newmsg: se usa para saber si un mensaje ha sido leído o no en la consola de monitoreo screen_dest: define en cual de las zonas de la consola de monitoreo debe mostrarse el mensaje host: server que generó el mensaje facility: sistema que generó el mensaje (ver syslog) priority: nivel del mensaje (ver syslog) date y time: fecha y hora program: programa que generó el mensaje msg: texto del mensaje seq: indice Estas estructuras se respetan tanto cuando SEC escribe al pipe, como cuando el proceso que lee del pipe hace los insert en la base de datos. El proceso que lee del pipe es una modificación de dbinsert.pl, que es un script usado en Syslog Centralizado Página 13 de 16

14 "Working with SEC The Simple Event Correlator" (http://sixshooter.v6.thrupoint.net/secexamples/article.html). Veamos un ejemplo de una regla que hace un insert en una tabla: # Asignación de variables # Pipe # type=single ptype=regexp pattern=(sec_startup SEC_RESTART SEC_SOFTRESTART) desc=sec Initialization_Pipe context=sec_internal_event action=assign %secdb_pipe /etc/sec/db/secdb.pipe # Generar alarma cuando se presentaron más de 100 mensajes # de cualquier tipo en 1 hora # IDS # type=singlewiththreshold ptype=regexp continue=takenext pattern=(.*) desc=xx eventos en yy minutos IDS window=3600 thresh=100 action=write %secdb_pipe ALR 1 5 amadeus %f %h Más de 100 mensajes en 1 hora IDS Poniendo detalle en la linea action, se observa que SEC vá a escribir al pipe definido en la variable %secdb_pipe, una serie de campos separados por " " El primer campo, no pertenece en realidad a ninguna tabla y es el que le indica al script dbinsert.pl, en que tabla debe hacer el insert. En este caso es ALR indicando que el insert debe hacerse en la tabla alarms. El resto son los campos de la tabla correspondiente. De la misma manera, para guardar un mensaje de syslog (generado en este caso por un programa de usuario): # Fallo al validar la clave # Mensaje en el log # # Fri 10:10:41 gsahp local6 notice gam(ascprec.exe)[28045]: Fallo al validar clave;\ # login= uid=740 euid=740 tty=/dev/pts/tbjrhost=pctuc12 user=tuc00g # Regla type=single Syslog Centralizado Página 14 de 16

15 ptype=regexp pattern=(\s+)\s+\s+\s+(\s+)\s+gsahp\s+local6\s+(\s+)\s+gam\((\s+)\)\[\d+\]\:\s+fallo al validar clave\;\s+(.*) desc=falla de clave sistema comercial action=write %secdb_pipe LOG 1 0 gsahp local6 $3 $1 $2 $4 Fallo al validar clave $5 En este caso el primer campo es LOG, indicando que el insert debe hacerse en la tabla log. Con este esquema, aprovechando la gran potencia de SEC, puede armarse un sistema de monitoreo y alarmas tan complejo y sofisticado como se necesite. No se dispone de una interface gráfica de configuración, por lo que hay que dedicarle un poco de trabajo a armar las reglas. Sin embargo, las potencialidades son muchas. Para ver más ejemplos se recomienda ver la información de SEC, tanto las páginas del manual, como la FAQ y los ejemplos. Hay una colección de reglas en Tambien hay un execelente tutorial en 3 Interface de usuario Una vez que los datos están almacenados en la base de datos es más sencillo, realizar consultas y reportes. Para la aplicación se partió de php syslog ng (http://www.vermeer.org/projects/php syslog ng) pensado para hacer consultas en una base de datos creada directamente por syslog ng y se adaptó al esquema descripto anteriormente. Un ejemplo de un pantalla de consulta es: En php syslog ng tambien hay una opción para mostrar en tiempo real los mensajes que se ván generando: Syslog Centralizado Página 15 de 16

16 Se muestra acá el resultado de una versión modificada donde dos ventanas con mensajes de syslog de hosts y una tercera con alarmas. En el momento de escribir este documento se está realizando una migración de esta interface a una desarrollada en AJAX. Este conjunto de programas, la mayoría usados sin modificación y puestos juntos a trabajar muestran una de las grandes posibilidades del software libre, que es la de lograr una solución completa a un problema, con muchisimas posiblidades de operación. Valga aclarar que este sistema está funcionando desde mediados del 2005, en una empresa de envergadura, monitoreando varios servers y firewall y se le están continuamente agregando funcionalidades y ha demostrado en más de una vez su utilidad. Norberto Altalef RedKlee Soluciones basadas en Software Libre Sanchez de Bustamante 635 Buenos Aires Argentina Tel: / Cel: Syslog Centralizado Página 16 de 16

Gestión de Logs. Carlos Vicente Servicios de Red Universidad de Oregon

Gestión de Logs. Carlos Vicente Servicios de Red Universidad de Oregon Gestión de Logs Carlos Vicente Servicios de Red Universidad de Oregon Contenido Introducción syslog syslog ng php syslogng tenshi Introducción Los logs son la principal fuente de información acerca de

Más detalles

FIREWALL EN ALTA DISPONIBILIDAD

FIREWALL EN ALTA DISPONIBILIDAD FIREWALL EN ALTA DISPONIBILIDAD Norberto Altalef naltalef@redklee.com.ar RedKlee Argentina 1 Alcances Se describirá en este documento las ventajas y la configuración de una estructura de firewall en alta

Más detalles

Gestión de Logs. Carlos Vicente Servicios de Red Universidad de Oregon. Hervey Allen Network Startup Resource Center http://nsrc.

Gestión de Logs. Carlos Vicente Servicios de Red Universidad de Oregon. Hervey Allen Network Startup Resource Center http://nsrc. Gestión de Logs Carlos Vicente Servicios de Red Universidad de Oregon Hervey Allen Network Startup Resource Center http://nsrc.org/ Contenido Introducción syslog syslog-ng php-syslogng swatch Introducción

Más detalles

Una estructura de firewall en alta disponibilidad presenta las siguientes ventajas:

Una estructura de firewall en alta disponibilidad presenta las siguientes ventajas: NOTA. LOS EJEMPLOS BRINDADOS DEBEN SER CORREGIDOS PARA ADECUARLOS A VERSIONES DE OPENBSD 4.7 EN ADELANTE. CONSULTAR www.redklee.com.ar PARA AGREGADOS A ESTE DOCUMENTO. Esquema de firewall en alta disponibilidad

Más detalles

Gestion de Logs. Gestion de Redes NSRC-UNAN León

Gestion de Logs. Gestion de Redes NSRC-UNAN León Gestion de Redes NSRC-UNAN León Gestion de Logs These materials are licensed under the Creative Commons Attribution-Noncommercial 3.0 Unported license (http://creativecommons.org/licenses/by-nc/3.0/) as

Más detalles

Gestión de Red Gestión de Registros (logs)

Gestión de Red Gestión de Registros (logs) Gestión de Red Gestión de Registros (logs) These materials are licensed under the Creative Commons Attribution-Noncommercial 3.0 Unported license (http://creativecommons.org/licenses/by-nc/3.0/) Conceptos

Más detalles

Gestión de Red Gestión de Registros (logs)

Gestión de Red Gestión de Registros (logs) Gestión de Red Gestión de Registros (logs) These materials are licensed under the Creative Commons Attribution-Noncommercial 3.0 Unported license (http://creativecommons.org/licenses/by-nc/3.0/) Conceptos

Más detalles

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla Marco Teórico SIM/SIEM: Security Information and Event Management. Un Administrador de eventos de seguridad (SEM) (siglas SIEM y SIM) es una herramienta informática utilizada en la empresa de redes de

Más detalles

SYSLOG PROTOCOLO Y SERVICIOS

SYSLOG PROTOCOLO Y SERVICIOS SYSLOG PROTOCOLO Y SERVICIOS LOG Registro de eventos o errores Formato Información Distribución de logs Recopilación y análisis costoso - imposible? SYSLOG El protocolo y servicios Syslog proveen un transporte

Más detalles

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior. Listas de control de acceso o ACL. Listas de control de acceso o ACL. Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Más detalles

SolarWinds Kiwi Syslog Server

SolarWinds Kiwi Syslog Server SolarWinds Kiwi Syslog Server Monitoreo de Syslog económico y fácil de usar Kiwi Syslog Server ofrece a los administradores de TI con gran carga de trabajo el software de administración más rentable de

Más detalles

Bitácora del sistema - Introducción

Bitácora del sistema - Introducción Bitácora del sistema M A T E R I A : A R Q U I T E C T U R A A V A N Z A D A P R O F E S O R : J U A N J O S E M U Ñ O Z A L U M N O : F E D E R I C O D I B E N E D E T T O M A T R I C U L A : 7 6 5 6

Más detalles

Seguridad en Redes (Monitoreo y Control)

Seguridad en Redes (Monitoreo y Control) Seguridad en Redes (Monitoreo y Control) Problema Las Redes de computadores estan diseñadas para lograr el maximo de conectividad. Por lo generar una red corporativa provee un conjunto de servicios criticos

Más detalles

Monitoreo de redes. Ing. Diego Córdoba www.linuxinstitute.com.ar Pagina 1 de 9

Monitoreo de redes. Ing. Diego Córdoba www.linuxinstitute.com.ar Pagina 1 de 9 Monitoreo de redes Ing. Diego Córdoba www.linuxinstitute.com.ar Pagina 1 de 9 HIDS: Host Intrusion Detection System OSSEC es un Host Intrusion Detection System, cuya principal función es realizar controles

Más detalles

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX MÁSTER ONLINE EN ADMINISTRACIÓN LINUX Módulo 1 Hardware & Arquitectura de sistemas - 20 horas Este módulo permite conocer y configurar los elementos básicos del hardware del sistema, como también otros

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

Revisión práctica de IDS. por Sacha Fuentes

Revisión práctica de IDS. por Sacha Fuentes por Sacha Fuentes Análisis forense El objetivo es la reconstrucción de los hechos que tienen lugar desde que el sistema estaba íntegro hasta que se ha detectado el acceso no autorizado Deberemos intentar

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU VIVIANA ISABEL ESPINOSA PEÑA 1150017 ANA KATERINE MONTESINOS GELVEZ 1150013 PROFESOR: JEAN POLO CEQUEDA MATERIA: SEGURIDAD INFORMATICA UNIVERSIDAD

Más detalles

Configuración del firewall en Linux con IPtables

Configuración del firewall en Linux con IPtables Configuración del firewall en Linux con IPtables Un firewall es un dispositivo, ya sea software o hardware, que filtra todo el tráfico de red. El sistema operativo Linux dispone de un firewall llamado

Más detalles

Port Scanning. Definición

Port Scanning. Definición Universidad del Valle de Guatemala Redes Ing. Gerson Raymundo Donald Antonio Velásquez Aguilar, 09379 Javier Alejandro Pérez Archila, 09377 Fecha: 27/05/2012 Port Scanning Definición El término Port Scanning

Más detalles

Firewalls: iptables. Pablo Suau Pérez (aka Siew) Marzo 2002

Firewalls: iptables. Pablo Suau Pérez (aka Siew) Marzo 2002 Firewalls: iptables Pablo Suau Pérez (aka Siew) Marzo 2002 Contenido Introducción Seguridad y Linux Necesita un usuario normal un sistema seguro? Mecanismos de seguridad Firewalls (cortafuegos) Alternativas

Más detalles

REDES DE COMPUTADORES REDES Y SISTEMAS DISTRIBUIDOS

REDES DE COMPUTADORES REDES Y SISTEMAS DISTRIBUIDOS REDES DE COMPUTADORES REDES Y SISTEMAS DISTRIBUIDOS Título de la práctica Sesión Monitorización de redes con Ethereal Semana 15/01/2007 Laboratorio 2.2 Material utilizado PCs, PC-Router, Routers Linksys

Más detalles

Logs y Auditoría. Autores: Carolina García Antón Günther Rodríguez Díaz

Logs y Auditoría. Autores: Carolina García Antón Günther Rodríguez Díaz Logs y Auditoría Autores: Carolina García Antón Günther Rodríguez Díaz Logs y Auditoría Contenido: Introducción Archivos Utilidades Lastlog Last Barredores Syslog Logrotate Otras herramientas Logs y Auditoría

Más detalles

Iptables, herramienta para controlar el tráfico de un servidor

Iptables, herramienta para controlar el tráfico de un servidor Iptables, herramienta para controlar el tráfico de un servidor La seguridad es punto muy importante a tener en cuenta en cualquier organización de ahí que sea fundamental hacer uso de aquellos mecanismos

Más detalles

Beneficios estratégicos para su organización. Beneficios

Beneficios estratégicos para su organización. Beneficios La solución ideal para controlar la totalidad de su infraestructura IT mediante un inventario automatizado, control remoto y Gestión de activos informáticos. Beneficios Características Inventario actualizado

Más detalles

Introducción a IP versión 4

Introducción a IP versión 4 Notas de clase IPv4 PROTOTIPO Por Ernesto Alvarez Introducción a IPv4 Introducción a IP versión 4 IPv4 (Internet Protocol versión 4) es el protocolo de nivel de red usado en Internet. Junto con otros protocolos

Más detalles

si por el contrario, queremos compilarlo, tendremos que realizar los siguientes pasos: cd netinvent./configure make make install

si por el contrario, queremos compilarlo, tendremos que realizar los siguientes pasos: cd netinvent./configure make make install Manual de usuario NetInvent (servidor) Netinvent se proporciona en una paquete comprimido en formato netinvent.tar.gz. Este formato es uno de los comúnmente utilizados para distribuir los programas bajos

Más detalles

Semana 3: Con Con r t o r l de Acceso

Semana 3: Con Con r t o r l de Acceso Semana 3: Control de Acceso Intrusiones Aprendizajes esperados Contenidos: Verificación de la seguridad Detección de Intrusiones Métodos de ataque Qué es una INTRUSIÓN? Vamos a dfii definir INTRUSIÓN como

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Software Libre / Código Abierto Programa de contenidos

Software Libre / Código Abierto Programa de contenidos Software Libre / Código Abierto Programa de contenidos Resumen Se presenta a continuación la organización de un curso de cincuenta horas cuyo fin es dar a conocer la base ideológica que sostiene a los

Más detalles

CA Nimsoft Monitor Snap

CA Nimsoft Monitor Snap CA Nimsoft Monitor Snap Guía de configuración de Mi monitor de SQL Server Serie de mysql 1.4 Avisos legales Copyright 2013, CA. All rights reserved. Garantía El material incluido en este documento se proporciona

Más detalles

Inteligencia Artificial y Seguridad Informática. en plataformas Open Source

Inteligencia Artificial y Seguridad Informática. en plataformas Open Source Inteligencia Artificial y Seguridad Informática en plataformas Open Source Jornadas de Software Libre y Seguridad Informática Santa Rosa La Pampa 4 y 5 de Diciembre de 2009 AGENDA Primera Parte Definiciones

Más detalles

Administración de FW. Autores: Sistemas - Redes Fecha de Creación: 25/08/09 Última Actualización: 07/09/2009 Versión: 1.1.

Administración de FW. Autores: Sistemas - Redes Fecha de Creación: 25/08/09 Última Actualización: 07/09/2009 Versión: 1.1. Administración de FW Autores: Sistemas - Redes Fecha de Creación: 25/08/09 Última Actualización: 07/09/2009 Versión: 1.1 Aprobado por: Contenido Contenido... 2 Propósito del Documento... 3 1. Administración

Más detalles

Especificación de Requerimientos de Software. Versión 1.0

Especificación de Requerimientos de Software. Versión 1.0 Versión 1.0 Revisiones Fecha Versión Descripción Autor 13/05/11 1.0 Primera Versión Grupo 411 Pagina 3 Tabla de Contenidos 1. Introducción...6 1.1. Objetivo...6 1.2. Alcance...6 1.3. Definiciones, acrónimos

Más detalles

2003 Cisco Systems, Inc. All rights reserved.

2003 Cisco Systems, Inc. All rights reserved. Access Control Lists (ACLs) CCNA 2 v3.0 Session Number Presentation_ID 2 of 942 Conceptos Básicos de ACL Session Number Presentation_ID 3 of 943 Configuración de Laboratorio: Topología y Scripts La Topología

Más detalles

Conferencias Abiertas de GNU/Linux MTLUG La Matanza GNU/Linux Users Group Firewalls con IPTABLES (y sus amigos)

Conferencias Abiertas de GNU/Linux MTLUG La Matanza GNU/Linux Users Group Firewalls con IPTABLES (y sus amigos) Conferencias Abiertas de GNU/Linux MTLUG La Matanza GNU/Linux Users Group Firewalls con IPTABLES (y sus amigos) Daniel E. Coletti CaFeLUG / LUGAr Agenda Terminología Introducción Qué son los Firewalls

Más detalles

Materia: Telefonía UNEFA 2013 Semestre 11. Prof. Ing. Eduardo Gutierrez. 1

Materia: Telefonía UNEFA 2013 Semestre 11. Prof. Ing. Eduardo Gutierrez. 1 Spanning tree (Spanning Tree Protocol) (SmmTPr o STP) es un protocolo de red de nivel 2 de la capa OSI (nivel de enlace de datos). Está basado en un algoritmo diseñado por Radia Perlman mientras trabajaba

Más detalles

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager IBM Security Systems QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar constituye una plataforma de inteligencia de seguridad líder en el mercado gracias a su enorme capacidad de aportar inteligencia

Más detalles

NETFLOW Herramientas de análisis de tráfico

NETFLOW Herramientas de análisis de tráfico NETFLOW Herramientas de análisis de tráfico Humberto Rodríguez Jorge Agenda Introducción Características esenciales de Netflow Hardware y Configuración Herramientas de Análisis de Tráfico Conclusiones

Más detalles

Módulos: Módulo 1. Hardware & Arquitectura de sistemas - 20 Horas

Módulos: Módulo 1. Hardware & Arquitectura de sistemas - 20 Horas Módulos: Módulo 1 Hardware & Arquitectura de sistemas - 20 Horas Este módulo permite conocer y configurar los elementos básicos del hardware del sistema, como también otros componentes adicionales como

Más detalles

Multi Traffic Routing Grapher (MRTG)

Multi Traffic Routing Grapher (MRTG) UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGÍA COORDINACIÓN DE POST-GRADO Maestría en Ciencias de la Computación- Mención Redes de Computadoras Multi Traffic Routing Grapher

Más detalles

Cyner CDR. Soluciones para VoIP INFORMACION COMERCIAL

Cyner CDR. Soluciones para VoIP INFORMACION COMERCIAL INFORMACION COMERCIAL Cyner CDR fue diseñado para tomar información de equipos, que cumplen la función de dispositivos VoIP (Voice over IP). Después de desarrollada una red VOIP, el siguiente paso es implementar

Más detalles

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330 Manual de Usuario CPE OX330 Índice Contenido 2 1 Set UP 3 2 Configuración LAN 3 3 Configuración WAN 5 4 Configuración NAT 5 5 Configuración del Sistema 6 6 Tools 7 Estado del Sistema 7 2 Manual de uso

Más detalles

Registros del sistema

Registros del sistema Registros del sistema Seguridad en los Sistemas Informáticos Ismael Ripoll Universidad Politècnica de València Abril 2011 Ismael Ripoll (Universidad Politècnica de València) Registros del sistema Abril

Más detalles

Ejemplo de configuración de ACL en controlador para redes LAN inalámbricas

Ejemplo de configuración de ACL en controlador para redes LAN inalámbricas Ejemplo de configuración de ACL en controlador para redes LAN inalámbricas Contenido Introducción Requisitos previos Requerimientos Componentes utilizados Convenciones ACL en WLC Consideraciones al configurar

Más detalles

WORKSHOP Pandora FMS

WORKSHOP Pandora FMS WORKSHOP Pandora FMS Abril 2012 Objetivos del curso Aprender a instalar Pandora FMS. Aprender a monitorizar remotamente. Aprender a monitorizar localmente (con agentes). Aprender a gestionar Pandora FMS:

Más detalles

CAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM

CAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM CAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM 59 En este tercer capítulo se presenta el diseño de un mecanismo de detección de tráfico malicioso para RedUNAM. Abarca

Más detalles

LPIC-1 Guía de estudio Exámenes 101-102

LPIC-1 Guía de estudio Exámenes 101-102 LPIC-1 Guía de estudio Exámenes 101-102 Agradecimientos Sobre el autor Introducción Qué es Linux? Por qué obtener una certificación Linux? Cómo obtener un certificado del LPI Por qué debería comprar este

Más detalles

Arquitectura de Redes y Sistemas de Telecomunicación

Arquitectura de Redes y Sistemas de Telecomunicación Práctica 0 Arquitectura de Redes y Sistemas de Telecomunicación Introducción al Wireshark Fundamentos del analizador de protocolos Wireshark. Objetivos En esta introducción se pretenden adquirir las capacidades

Más detalles

LogICA en la UCM Luis Padilla

LogICA en la UCM Luis Padilla Luis Padilla UCM 14-junio 2010 Contenido de la presentación Software LogICA v3 Hardware Fuentes Tiempo real Reglas de correlación Forense Puntos fuertes Puntos débiles Mejoras Conclusiones 2 Software LogICA

Más detalles

DESCRIPCIÓN GENERAL DE

DESCRIPCIÓN GENERAL DE DESCRIPCIÓN GENERAL DE 1. Introducción OSSIM (Open Source Security Information Management System) agrupa más de 15 programas de código abierto proporcionando todos los niveles tecnológicos necesarios para

Más detalles

APLICACIONES DE MONITORIZACIÓN. Servicio de Informática

APLICACIONES DE MONITORIZACIÓN. Servicio de Informática APLICACIONES DE MONITORIZACIÓN HERRAMIENTAS DE CONTROL SERVICIOS DE RED, RECURSOS HW, SW NAGIOS DETECCIÓN DE INTRUSOS SNORT - ACID NAGIOS. Características Sistema de monitorización de las aplicaciones

Más detalles

HERRAMIENTA PARA EL MAPEO DE LA RED

HERRAMIENTA PARA EL MAPEO DE LA RED HERRAMIENTA PARA EL MAPEO DE LA RED Network mapper >nmap TITULO: NETWORK MAPPING FROM LINUX OS (PARTE 1) AUTOR: Luis Miguel Castañeda Ibañez ESTUDIANTE DE LA FACULTAD #2, 4TO AÑO Network Mapper, más conocida

Más detalles

Alcance y descripción del servicio MONITOREO DE SERVIDORES

Alcance y descripción del servicio MONITOREO DE SERVIDORES Alcance y descripción del servicio MONITOREO DE SERVIDORES 1. Introducción. MONITOREO DE SERVIDORES, le permite al Cliente monitorear los Servidores (físicos o virtuales) y servicios (software) que se

Más detalles

66.69 Criptografía y Seguridad Informática FIREWALL

66.69 Criptografía y Seguridad Informática FIREWALL 66.69 Criptografía y Seguridad Informática Qué es un Firewall? = Cortafuegos Qué es un Firewall? = Cortafuegos Qué es un Firewall? = Cortafuegos Elemento de hardware o software utilizado en una red de

Más detalles

Laboratorio de Redes de Computadores

Laboratorio de Redes de Computadores 3. Análisis de tráfico en una LAN 3.1 Introducción En esta práctica se va a trabajar sobre la misma configuración de red utilizada en la práctica anterior (Figura 32) y se van a hacer ejercicios muy similares,

Más detalles

Universidad Técnica Federico Santa María Departamento de Electrónica. Proyecto Redes de Computadores Elo322 Routers, Servidor Virtual y Seguridad

Universidad Técnica Federico Santa María Departamento de Electrónica. Proyecto Redes de Computadores Elo322 Routers, Servidor Virtual y Seguridad Universidad Técnica Federico Santa María Departamento de Electrónica Proyecto Redes de Computadores Elo322 Routers, Servidor Virtual y Seguridad Integrantes: Edson Contreras C. Luis Marcel Barraza M. Fecha:

Más detalles

09-303 Diego Auyón Redes 27 de Mayo de 2012. Port Scanning

09-303 Diego Auyón Redes 27 de Mayo de 2012. Port Scanning Universidad del Valle de Guatemala Alejandra Canahui 09-303 Diego Auyón Redes 27 de Mayo de 2012 Definición 1 Port Scanning Port Scanning es comparable a un ladrón revisando cada una de las puertas y ventanas

Más detalles

Transformación de las Operaciones de Seguridad

Transformación de las Operaciones de Seguridad Transformación de las Operaciones de Seguridad Douglas Casas Regional Sales Manager douglas.casas@rsa.com 1 Agenda Administración de información sobre seguridad Detección de incidentes de alto riesgo Optimización

Más detalles

Firewall Firestarter. Establece perímetros confiables.

Firewall Firestarter. Establece perímetros confiables. Firewall Firestarter Qué es un Firewall? Un muro de fuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo

Más detalles

Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas. Laboratorio de Seguridad en aplicaciones web

Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas. Laboratorio de Seguridad en aplicaciones web Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas Laboratorio de Seguridad en aplicaciones web Practica 2: Configuración de VPN y escaneo de puertos. Objetivos: En esta práctica

Más detalles

CENTRALIZACIÓN DE REGISTROS DE EVENTOS

CENTRALIZACIÓN DE REGISTROS DE EVENTOS CENTRALIZACIÓN DE REGISTROS DE EVENTOS Pontificia Universidad Javeriana Carrera de Ingeniería de Sistemas Bogotá, Colombia 2007 CENTRALIZACIÓN DE REGISTROS DE EVENTOS Diana Carolina Niño Mejía Alejandro

Más detalles

Laboratorio de Redes y Sistemas Operativos Trabajo Práctico Final

Laboratorio de Redes y Sistemas Operativos Trabajo Práctico Final Laboratorio de Redes y Sistemas Operativos Trabajo Práctico Final Tema: Instalación de X2GO Profesor: Di Biase José Luis Integrantes: Cardozo Griselda Chiniewicz Stefania Arnez Inochea Eric 1 Índice: 1.

Más detalles

Arquitectura de sensores de seguridad para. la correlación de eventos

Arquitectura de sensores de seguridad para. la correlación de eventos Arquitectura de sensores de seguridad para la correlación de eventos Lic. Javier Diaz Lic. Nicolás Macia Lic. Paula Venosa Lic. Miguel Luengo Ms. Lía Molinari C.C. Viviana Ambrosi (*) { javierd, nmacia,

Más detalles

Laboratorio práctico 4.3.4 Exploración de QoS de red

Laboratorio práctico 4.3.4 Exploración de QoS de red Laboratorio práctico 4.3.4 Exploración de QoS de red Designación del dispositivo Nombre del dispositivo Dirección Máscara de subred Servidor Discovery Servicios de red 172.17.1.1 255.255.0.0 R1 R2 Objetivo

Más detalles

6 INSTALA, ADMINISTRA, SECURIZA Y VIRTUALIZA ENTORNOS LINUX RA-MA

6 INSTALA, ADMINISTRA, SECURIZA Y VIRTUALIZA ENTORNOS LINUX RA-MA ÍNDICE PRÓLOGO...13 CAPÍTULO 1. LINUX: UNA VISIÓN GENERAL...15 1.1 QUÉ APORTA ESTE LIBRO SOBRE LINUX...16 1.2 CÓMO COMIENZA LINUX...17 1.3 SISTEMA OPERATIVO LINUX...17 1.4 GNU LINUX, LINUX GNU O LINUX...18

Más detalles

Router Teldat. Agente SNMP

Router Teldat. Agente SNMP Router Teldat Agente SNMP Doc. DM512 Rev. 8.40 Septiembre, 2000 ÍNDICE Capítulo 1 Introducción al protocolo SNMP... 1 1. Introducción...2 2. Tipos de paquetes SNMP...3 3. Autenticación...4 Capítulo 2 Configuración

Más detalles

Laboratorio de Router Estático Laboratorio de Redes 2

Laboratorio de Router Estático Laboratorio de Redes 2 Laboratorio de Router Estático Laboratorio de Redes 2 Profesor: Diego Aracena Pizarro PARTE I Armar una red doméstica (PC Router con Ubuntu o Linux) La figura 1 muestra la topología de red ha utilizar

Más detalles

La Universidad, la Tecnología y el Software Libre

La Universidad, la Tecnología y el Software Libre ESCUELA SUPERIOR POLITECNICA DE CHIMBORAZO La Universidad, la Tecnología y el Software Libre Carlos Volter Buenaño Pesántez DIRECTOR DEPARTAMENTO DE SISTEMAS Y TELEMATICA ESPOCH Mail: cbuenano@live.espoch.edu.ec

Más detalles

Filtrado de paquetes y NAT

Filtrado de paquetes y NAT Semana 9: Firewalls Filtrado de paquetes y NAT Aprendizajes esperados Contenidos: Filtrado de paquetes NAT Filtrado de paquetes Un # ping c 1 127.0.0.1 Filtrado de paquetes Cada regla especifica un conjunto

Más detalles

Comparativo de la versión 4.x a la versión 5.9.8.x Generalidades en funciones, herramientas y vistas de información en la consola de administración

Comparativo de la versión 4.x a la versión 5.9.8.x Generalidades en funciones, herramientas y vistas de información en la consola de administración Comparativo de la versión 4.x a la versión 5.9.8.x Generalidades en funciones, herramientas y vistas de información en la consola de administración No está en la versión Está incluido en la versión Consulta

Más detalles

Aprendiendo a usar IPTABLES desde cero.

Aprendiendo a usar IPTABLES desde cero. Aprendiendo a usar IPTABLES desde cero. Introducción Al conectarnos a internet en nuestras casas, de forma explícita nos estamos conectando, en AMBOS sentidos: directamente a la red, "desnudos" si se me

Más detalles

Gestión de Recursos y Seguridad en Redes Seguridad en la red con Open Source. Derman Zepeda Vega. dzepeda@unan.edu.ni

Gestión de Recursos y Seguridad en Redes Seguridad en la red con Open Source. Derman Zepeda Vega. dzepeda@unan.edu.ni Gestión de Recursos y Seguridad en Redes Seguridad en la red con Open Source Derman Zepeda Vega dzepeda@unan.edu.ni 1 Agenda Introducción a los Firewall Iptables en Linux Elaboración de un firewall básico

Más detalles

Sistemas de detección de intrusos: un enfoque práctico. Antonio Villalón Huerta

Sistemas de detección de intrusos: un enfoque práctico. Antonio Villalón Huerta Sistemas de detección de intrusos: un enfoque práctico Antonio Villalón Huerta avillalon@s2grupo.com Abril, 2003 This is 100% Microsoft free Contenidos Introducción. Detección en el cortafuegos. Detección

Más detalles

Cortafuegos y Linux. Iptables

Cortafuegos y Linux. Iptables Raúl Sánchez Sánchez raul@um.es Atica Miércoles 22 de Septiembre de 2004 Introducción Conceptos basicos Filtrado de paquetes Cortafuegos de aplicacion Configuraciones de cortafuegos Conceptos basicos Filtrado

Más detalles

CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN.

CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN. CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN. Finalmente en este último capítulo se conocen los resultados, las pruebas y las conclusiones finales de la aplicación Web para el monitoreo

Más detalles

Monitorización de sistemas y servicios

Monitorización de sistemas y servicios Monitorización de sistemas y servicios Contenidos Contenidos... 1 Resumen ejecutivo... 2 Arquitectura de la plataforma de monitorización... 2 Monitorización y alarmas... 3 Monitorización... 3 Servicios

Más detalles

EDITRAN/PX. Windows/Unix. Manual de instalación y usuario.

EDITRAN/PX. Windows/Unix. Manual de instalación y usuario. EDITRAN/PX Windows/Unix Manual de instalación y usuario. INDRA 18 de marzo de 2015 EDITRAN/PX Windows/Unix Manual de instalación y usuario. ÍNDICE 1. INTRODUCCION... 1-1 1.1. Características principales...

Más detalles

Internet Firewalls Linux ipchains.

Internet Firewalls Linux ipchains. Internet Firewalls Linux ipchains. I Parte. Firewalls Introducción. Actualmente, Internet es la principal vía para consultar y publicar información de una forma sencilla, económica y revolucionaria. Del

Más detalles

NetCrunch 6. Sistema de monitorización de redes. Monitorización

NetCrunch 6. Sistema de monitorización de redes. Monitorización AdRem NetCrunch 6 Sistema de monitorización de redes Con NetCrunch, los administradores de red siempre saben exactamente lo que está sucediendo con las aplicaciones críticas, servidores y dispositivos

Más detalles

Prevención Dinámica de Ataques con IPTables. www.securetia.com

Prevención Dinámica de Ataques con IPTables. www.securetia.com Prevención Dinámica de Ataques con IPTables Modelo OSI Intro a Firewalls Firewall de Host vs Firewall de Red Stateless vs Stateful Firewalls Firewalls vs IDS/IPS Firewalls vs UTM/NGFW Intro a IPTables

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

Direccionamiento IP. Contenido

Direccionamiento IP. Contenido Direccionamiento IP Contenido Descripción general 1 Direccionamiento IP en clases 2 Subdivisión de una red 6 Planificación del direccionamiento IP 11 Asignación de direcciones TCP/IP 15 Direccionamiento

Más detalles

WireShark. Este instructivo describe el uso del programa WireShark (antes llamado Ethereal) para examinar paquetes en una red de datos.

WireShark. Este instructivo describe el uso del programa WireShark (antes llamado Ethereal) para examinar paquetes en una red de datos. Redes de Datos - Laboratorio Objetivo WireShark Este instructivo describe el uso del programa WireShark (antes llamado Ethereal) para examinar paquetes en una red de datos. Analizadores de Protocolos de

Más detalles

1. O3 Server Administrator... 2 1.1 Usando O3 Server Administrator... 2 1.2 Administrando el O3 Server... 4 1.3 Administrando los Cubos... 14 1.

1. O3 Server Administrator... 2 1.1 Usando O3 Server Administrator... 2 1.2 Administrando el O3 Server... 4 1.3 Administrando los Cubos... 14 1. O3 Server Administrator...................................................................................... 2 1 Usando O3 Server Administrator...........................................................................

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad. Admon de Redes de Pc: Cristian Mutis Caez

Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad. Admon de Redes de Pc: Cristian Mutis Caez Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad Admon de Redes de Pc: Cristian Mutis Caez Contenido de la charla Parte I Fundamentos de IDS Conceptos fundamentales de

Más detalles

ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/205/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD

ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/205/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/05/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD 1. Instrucciones Generales de Presentación de Propuestas, Sección

Más detalles

INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES

INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES SEGURIDAD DE REDES DE COMPUTADORAS Tarea de Investigación CONFIGURACIÓN DE FIREWALL Autor: Jorge Antonio Cobeña Reyes Tutor:

Más detalles

Gráficos de tráfico y estadísticas usando MRTG

Gráficos de tráfico y estadísticas usando MRTG Gráficos de tráfico y estadísticas usando MRTG La presentación de gráficos estadísticos para evaluar el uso del ancho de banda a Internet se considera una característica opcional de un router; sin embargo,

Más detalles

Herramienta para la construcción de un cluster y la distribución de carga entre los nodos

Herramienta para la construcción de un cluster y la distribución de carga entre los nodos Herramienta para la construcción de un cluster y la distribución de carga entre los nodos Rubén A. González García 1, Gabriel Gerónimo Castillo 2 1 Universidad Juárez Autónoma de Tabasco, Av. Universidad

Más detalles

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES Defensa equipo a equipo INTERNET Redes Externas Defensa perimetral Cliente Herramientas para la seguridad en Firewall Servicios

Más detalles

Administración de GNU/Linux

Administración de GNU/Linux Administración de GNU/Linux Curso de Utilización y Administración avanzada de sistemas GNU/Linux y aplicaciones de Software Libre para estudiantes universitarios Pablo Cabezas Mateos Índice Qué debe conocer

Más detalles

Autor: Angel Alonso Párrizas Director: Santiago Felici Castell. Ingeniería informática Universitat de València

Autor: Angel Alonso Párrizas Director: Santiago Felici Castell. Ingeniería informática Universitat de València Propuesta de una arquitectura de sistemas de detección de intrusos con correlación. Autor: Angel Alonso Párrizas Director: Santiago Felici Castell Noviembre 2005 Haga clic TABLA para cambiar DE CONTENIDOS

Más detalles

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS Instituto de Formación Profesional CBTech Estudie desde su hogar y obtenga un certificado universitario Formación a distancia de EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS 1 Temario del

Más detalles

Gestión de Redes TCP/IP basada en RMON. Dra. Ing. Caridad Anías Calderón Cujae cacha@tesla.cujae.edu.cu

Gestión de Redes TCP/IP basada en RMON. Dra. Ing. Caridad Anías Calderón Cujae cacha@tesla.cujae.edu.cu Gestión de Redes TCP/IP basada en RMON Dra. Ing. Caridad Anías Calderón Cujae cacha@tesla.cujae.edu.cu Aspectos a tratar Introducción Características de RMON Ventajas del empleo de RMON Versiones de RMON

Más detalles

ANEXO A: Guía de instalación de Debian GNU/Linux 4.0.

ANEXO A: Guía de instalación de Debian GNU/Linux 4.0. Técnico en Repatación de PC y Redes (intensivo) ANEXO A: Guía de instalación de Debian GNU/Linux 4.0. Introducción. La presente guía indica el paso a paso para instalar la version 4.0 de Debian GNU/Linux

Más detalles